Saprak ahir taun ka tukang, urang mimiti nyukcruk kampanye jahat anyar pikeun ngadistribusikaeun Trojan perbankan. Para panyerang museurkeun kana kompromi perusahaan Rusia, nyaéta pangguna perusahaan. Kampanye jahat éta aktip sahenteuna sahenteuna sataun sareng, salian ti Trojan perbankan, panyerang ngagunakeun sababaraha alat parangkat lunak anu sanés. Ieu kaasup loader husus rangkep ngagunakeun
Para panyerang masang malware ngan ukur dina komputer anu nganggo basa Rusia dina Windows (lokalisasi) sacara standar. Vektor distribusi utama Trojan nyaéta dokumén Word kalayan mangpaat.
Sangu. 1. Dokumén phishing.
Sangu. 2. modifikasi sejen tina dokumen phishing.
Fakta di handap ieu nunjukkeun yén panyerang nargétkeun usaha Rusia:
- distribusi malware nganggo dokumén palsu dina topik anu ditangtukeun;
- taktik panyerang sareng alat jahat anu aranjeunna anggo;
- Tumbu ka aplikasi bisnis dina sababaraha modul laksana;
- ngaran domain jahat anu dipaké dina kampanye ieu.
Parangkat parangkat lunak khusus anu dipasang ku panyerang dina sistem anu dikompromi ngamungkinkeun aranjeunna kéngingkeun kadali jauh sistem sareng ngawas kagiatan pangguna. Pikeun ngalaksanakeun fungsi ieu, aranjeunna masang backdoor sareng ogé nyobian kéngingkeun sandi akun Windows atanapi ngadamel akun énggal. Penyerang ogé nganggo jasa keylogger (keylogger), maling papan klip Windows, sareng parangkat lunak khusus pikeun damel sareng kartu pinter. Grup ieu nyobian kompromi komputer sanés anu aya dina jaringan lokal anu sami sareng komputer korban.
Sistem telemétri ESET LiveGrid kami, anu ngamungkinkeun urang gancang ngalacak statistik distribusi malware, nyayogikeun kami statistik geografis anu pikaresepeun ngeunaan distribusi malware anu dianggo ku panyerang dina kampanye anu disebatkeun.
Sangu. 3. Statistik distribusi geografis malware anu dianggo dina kampanye jahat ieu.
Masang malware
Saatos pangguna muka dokumen jahat sareng eksploitasi dina sistem anu rentan, undeuran khusus anu dibungkus nganggo NSIS bakal diunduh sareng dieksekusi di dinya. Dina awal karyana, program mariksa lingkungan Windows pikeun ayana debugger di dinya atanapi pikeun ngajalankeun dina konteks mesin virtual. Éta ogé pariksa lokalisasi Windows sareng naha pangguna parantos nganjang ka URL anu didaptarkeun di handap dina tabel dina browser. API dipaké pikeun ieu Panggihan Kahiji/NextUrlCacheEntry jeung konci pendaptaran SoftwareMicrosoftInternet ExplorerTypedURLs.
Bootloader mariksa ayana aplikasi di handap ieu dina sistem.
Daptar prosés sabenerna impressive na, anjeun tiasa ningali, éta ngawengku teu ukur aplikasi perbankan. Contona, hiji file laksana ngaranna "scardsvr.exe" nujul kana software pikeun gawé bareng kartu pinter (Microsoft SmartCard maca). Trojan perbankan sorangan kalebet kamampuan damel sareng kartu pinter.
Sangu. 4. Diagram umum tina prosés instalasi malware.
Upami sadaya pamariksaan parantos réngsé, pamuat ngaunduh file khusus (arsip) tina server jauh, anu ngandung sadaya modul anu tiasa dieksekusi jahat anu dianggo ku panyerang. Éta pikaresepeun pikeun dicatet yén gumantung kana palaksanaan cék di luhur, arsip anu diunduh tina server C&C jauh tiasa bénten. Arsip tiasa atanapi henteu jahat. Upami henteu jahat, éta masang Windows Live Toolbar pikeun pangguna. Paling dipikaresep, panyerang nganggo trik anu sami pikeun nipu sistem analisa file otomatis sareng mesin virtual dimana file anu curiga dieksekusi.
Berkas anu diunduh ku pangunduh NSIS mangrupikeun arsip 7z anu ngandung sababaraha modul malware. Gambar di handap ieu nunjukkeun sadaya prosés pamasangan malware ieu sareng sababaraha modul na.
Sangu. 5. Skéma umum kumaha malware jalan.
Sanaos modul anu dimuat pikeun tujuan anu béda pikeun panyerang, aranjeunna dibungkus sami sareng seueur diantarana ditandatanganan ku sertipikat digital anu valid. Kami mendakan opat sertipikat sapertos anu dianggo ku panyerang ti mimiti kampanye. Saatos keluhan kami, sertipikat ieu dicabut. Éta metot pikeun dicatet yén sakabéh sertipikat dikaluarkeun ka pausahaan didaptarkeun di Moscow.
Sangu. 6. Sertipikat digital anu dipaké pikeun asup malware.
Tabel di handap ieu nunjukkeun sertipikat digital anu dianggo ku panyerang dina kampanye jahat ieu.
Ampir sadaya modul jahat anu dianggo ku panyerang gaduh prosedur pamasangan anu sami. Éta mangrupikeun ékstrak sorangan arsip 7zip anu ditangtayungan ku sandi.
Sangu. 7. Fragmen tina file bets install.cmd.
Berkas .cmd batch tanggung jawab pikeun masang malware dina sistem sareng ngaluncurkeun sababaraha alat panyerang. Lamun palaksanaan merlukeun leungit hak administratif, kode jahat ngagunakeun sababaraha métode pikeun ménta aranjeunna (bypassing UAC). Pikeun nerapkeun metodeu anu munggaran, dua file anu tiasa dieksekusi anu disebut l1.exe sareng cc1.exe dianggo, anu ngahususkeun pikeun ngalangkungan UAC nganggo
Nalika nyukcruk kampanye ieu, kami nganalisis sababaraha arsip anu diunggah ku anu ngaunduh. Eusi arsipna rupa-rupa, hartosna panyerang tiasa adaptasi modul jahat pikeun tujuan anu béda.
Kompromi pamaké
Sakumaha anu disebatkeun di luhur, panyerang ngagunakeun alat khusus pikeun kompromi komputer pangguna. Parabot ieu kalebet program sareng nami file anu tiasa dieksekusi mimi.exe sareng xtm.exe. Aranjeunna ngabantosan panyerang ngontrol komputer korban sareng ngahususkeun ngalaksanakeun tugas-tugas di handap ieu: kéngingkeun/ngamulihan kecap akses pikeun akun Windows, ngaktipkeun layanan RDP, nyiptakeun akun énggal dina OS.
Eksekusi mimi.exe kalebet vérsi anu dirobih tina alat open source anu terkenal
File laksana anu sanés, xtm.exe, ngaluncurkeun skrip khusus anu ngaktifkeun jasa RDP dina sistem, cobian nyiptakeun akun énggal dina OS, sareng ogé ngarobih setélan sistem pikeun ngamungkinkeun sababaraha pangguna nyambung ka komputer anu dikompromi ku RDP. Jelas, léngkah-léngkah ieu dipikabutuh pikeun ngawasa pinuh ku sistem anu dikompromi.
Sangu. 8. Paréntah dieksekusi ku xtm.exe dina sistem.
Panyerang nganggo file anu tiasa dieksekusi anu sanés disebut impack.exe, anu dianggo pikeun masang parangkat lunak khusus dina sistem. Parangkat lunak ieu disebut LiteManager sareng dianggo ku panyerang salaku backdoor.
Sangu. 9. panganteur LiteManager.
Sakali dipasang dina sistem pangguna, LiteManager ngamungkinkeun panyerang pikeun langsung nyambung ka sistem éta sareng ngontrol jarak jauh. Parangkat lunak ieu ngagaduhan parameter garis paréntah khusus pikeun pamasangan disumputkeun na, nyiptakeun aturan firewall khusus, sareng ngaluncurkeun modul na. Sadaya parameter dianggo ku panyerang.
Modul terakhir tina pakét malware anu dianggo ku panyerang nyaéta program malware perbankan (bankir) kalayan nami file anu tiasa dieksekusi pn_pack.exe. Manehna specializes di spionase on pamaké sarta tanggung jawab interacting jeung server C&C. Bankir diluncurkeun nganggo parangkat lunak Yandex Punto anu sah. Punto dianggo ku panyerang pikeun ngaluncurkeun perpustakaan DLL anu jahat (metode DLL Side-Loading). Malware sorangan tiasa ngalaksanakeun fungsi ieu:
- lagu keystrokes keyboard jeung eusi clipboard pikeun transmisi saterusna maranéhanana ka server jauh;
- daptar sadaya kartu pinter anu aya dina sistem;
- berinteraksi sareng C & C server jauh.
Modul malware, anu tanggung jawab pikeun ngalaksanakeun sadaya pancén ieu, mangrupikeun perpustakaan DLL énkripsi. Éta didekripsi sareng dimuat kana mémori salami palaksanaan Punto. Pikeun ngalaksanakeun tugas di luhur, kode laksana DLL dimimitian tilu threads.
Kanyataan yén panyerang milih parangkat lunak Punto pikeun tujuanana henteu heran: sababaraha forum Rusia sacara terbuka masihan inpormasi lengkep ngeunaan topik sapertos ngagunakeun cacad dina parangkat lunak anu sah pikeun kompromi pangguna.
Perpustakaan jahat ngagunakeun algoritma RC4 pikeun énkripsi senarna, ogé nalika interaksi jaringan sareng server C&C. Éta ngahubungi server unggal dua menit sareng ngirimkeun sadayana data anu dikumpulkeun dina sistem anu dikompromi salami waktos ieu.
Sangu. 10. Fragmen interaksi jaringan antara bot jeung server.
Di handap ieu aya sababaraha C & C server parentah nu perpustakaan bisa nampa.
Salaku tanggepan kana nampi paréntah ti server C&C, malware ngabales ku kode status. Éta metot pikeun dicatet yén sakabéh modul bankir nu urang dianalisis (nu panganyarna hiji kalawan tanggal kompilasi 18. Januari) ngandung string "TEST_BOTNET", nu dikirim dina unggal pesen ka server C & C.
kacindekan
Pikeun kompromi pangguna perusahaan, panyerang dina tahap kahiji kompromi hiji karyawan perusahaan ku ngirim pesen phishing kalayan eksploitasi. Salajengna, saatos malware dipasang dina sistem, aranjeunna bakal ngagunakeun alat parangkat lunak anu bakal ngabantosan aranjeunna sacara signifikan ngalegaan otoritasna dina sistem sareng ngalaksanakeun tugas tambahan dina éta: kompromi komputer sanés dina jaringan perusahaan sareng nénjo pangguna, ogé transaksi perbankan anu anjeunna lakukeun.
sumber: www.habr.com