Sedan slutet av förra året började vi spåra en ny skadlig kampanj för att distribuera en banktrojan. Angriparna fokuserade på att kompromissa med ryska företag, det vill säga företagsanvändare. Den skadliga kampanjen var aktiv i minst ett år och, förutom banktrojanen, använde angriparna olika andra programvaruverktyg. Dessa inkluderar en speciell lastare förpackad med hjälp av , och spionprogram, som är förklädd som den välkända legitima Yandex Punto-mjukvaran. När angriparna väl har lyckats äventyra offrets dator installerar de en bakdörr och sedan en banktrojan.
För sin skadliga programvara använde angriparna flera giltiga (vid den tiden) digitala certifikat och speciella metoder för att kringgå AV-produkter. Den skadliga kampanjen riktade sig mot ett stort antal ryska banker och är av särskilt intresse eftersom angriparna använde metoder som ofta används vid riktade attacker, det vill säga attacker som inte motiveras enbart av ekonomiskt bedrägeri. Vi kan notera vissa likheter mellan den här skadliga kampanjen och en stor incident som fick stor publicitet tidigare. Vi pratar om en cyberkriminell grupp som använde en banktrojan /.
Angriparna installerade skadlig programvara endast på de datorer som använde ryska språket i Windows (lokalisering) som standard. Trojanens huvudsakliga distributionsvektor var ett Word-dokument med en exploit. , som skickades som en bilaga till handlingen. Skärmbilderna nedan visar utseendet på sådana falska dokument. Det första dokumentet har rubriken "Faktura nr. 522375-FLORL-14-115.doc", och det andra "kontrakt87.doc", det är en kopia av avtalet för tillhandahållande av telekommunikationstjänster av mobiloperatören Megafon.
Ris. 1. Nätfiskedokument.
Ris. 2. Ytterligare en modifiering av nätfiskedokumentet.
Följande fakta tyder på att angriparna riktade in sig på ryska företag:
- distribution av skadlig programvara med hjälp av falska dokument om det angivna ämnet;
- angriparnas taktik och de skadliga verktyg de använder;
- länkar till affärsapplikationer i vissa körbara moduler;
- namn på skadliga domäner som användes i den här kampanjen.
Särskilda mjukvaruverktyg som angripare installerar på ett komprometterat system tillåter dem att få fjärrkontroll över systemet och övervaka användaraktivitet. För att utföra dessa funktioner installerar de en bakdörr och försöker även få Windows-kontolösenordet eller skapa ett nytt konto. Angripare använder sig också av en keylogger (keylogger), en Windows urklippsstöldare och speciell programvara för att arbeta med smarta kort. Denna grupp försökte äventyra andra datorer som fanns på samma lokala nätverk som offrets dator.
Vårt ESET LiveGrid-telemetrisystem, som gör att vi snabbt kan spåra distributionsstatistik för skadlig programvara, gav oss intressant geografisk statistik om distributionen av skadlig programvara som angripare använder i den nämnda kampanjen.
Ris. 3. Statistik över den geografiska spridningen av skadlig programvara som används i denna skadliga kampanj.
Installerar skadlig programvara
Efter att en användare har öppnat ett skadligt dokument med en exploatering på ett sårbart system, kommer en speciell nedladdningsprogram paketerad med NSIS att laddas och köras där. I början av sitt arbete kontrollerar programmet Windows-miljön för förekomst av felsökningar där eller för att köras i sammanhanget av en virtuell maskin. Den kontrollerar också lokaliseringen av Windows och om användaren har besökt webbadresserna nedan i tabellen i webbläsaren. API:er används för detta Hitta först/NextUrlCacheEntry och SoftwareMicrosoftInternet ExplorerTypedURLs registernyckel.
Starthanteraren kontrollerar förekomsten av följande applikationer på systemet.
Listan över processer är verkligen imponerande och, som du kan se, inkluderar den inte bara bankapplikationer. Till exempel hänvisar en körbar fil med namnet "scardsvr.exe" till programvara för att arbeta med smartkort (Microsoft SmartCard-läsare). Banktrojanen i sig inkluderar möjligheten att arbeta med smarta kort.
Ris. 4. Allmänt diagram över installationsprocessen för skadlig programvara.
Om alla kontroller genomförs framgångsrikt, laddar laddaren ned en speciell fil (arkiv) från fjärrservern, som innehåller alla skadliga körbara moduler som används av angripare. Det är intressant att notera att beroende på utförandet av ovanstående kontroller kan arkiven som laddats ner från den fjärranslutna C&C-servern skilja sig åt. Arkivet kan vara skadligt eller inte. Om den inte är skadlig installerar den Windows Live Toolbar för användaren. Troligtvis tog angriparna till liknande knep för att lura automatiska filanalyssystem och virtuella maskiner på vilka misstänkta filer körs.
Filen som laddas ner av NSIS-nedladdaren är ett 7z-arkiv som innehåller olika skadliga programmoduler. Bilden nedan visar hela installationsprocessen för denna skadliga programvara och dess olika moduler.
Ris. 5. Allmänt schema för hur skadlig programvara fungerar.
Även om de laddade modulerna tjänar olika syften för angriparna, är de förpackade identiskt och många av dem signerades med giltiga digitala certifikat. Vi hittade fyra sådana certifikat som angriparna använde redan från början av kampanjen. Efter vårt klagomål återkallades dessa certifikat. Det är intressant att notera att alla certifikat utfärdades till företag registrerade i Moskva.
Ris. 6. Digitalt certifikat som användes för att signera skadlig programvara.
Följande tabell identifierar de digitala certifikat som angriparna använde i den här skadliga kampanjen.
Nästan alla skadliga moduler som används av angripare har en identisk installationsprocedur. De är självextraherande 7zip-arkiv som är lösenordsskyddade.
Ris. 7. Fragment av batchfilen install.cmd.
Batch-.cmd-filen är ansvarig för att installera skadlig programvara på systemet och starta olika angriparverktyg. Om exekvering kräver saknade administrativa rättigheter, använder den skadliga koden flera metoder för att få dem (förbigående av UAC). För att implementera den första metoden används två körbara filer som heter l1.exe och cc1.exe, som är specialiserade på att kringgå UAC med hjälp av Carberp källkod. En annan metod är baserad på att utnyttja sårbarheten CVE-2013-3660. Varje skadlig programvara modul som kräver privilegieskalering innehåller både en 32-bitars och en 64-bitars version av exploateringen.
När vi spårade den här kampanjen analyserade vi flera arkiv som laddats upp av nedladdaren. Innehållet i arkiven varierade, vilket innebar att angripare kunde anpassa skadliga moduler för olika ändamål.
Användarkompromiss
Som vi nämnde ovan använder angripare specialverktyg för att äventyra användarnas datorer. Dessa verktyg inkluderar program med körbara filnamn mimi.exe och xtm.exe. De hjälper angripare att ta kontroll över offrets dator och specialiserar sig på att utföra följande uppgifter: skaffa/återställa lösenord för Windows-konton, aktivera RDP-tjänsten, skapa ett nytt konto i operativsystemet.
Den körbara filen mimi.exe innehåller en modifierad version av ett välkänt verktyg med öppen källkod . Med det här verktyget kan du få lösenord för Windows-användarkonton. Angriparna tog bort den del från Mimikatz som är ansvarig för användarinteraktion. Den körbara koden har också modifierats så att Mimikatz när den startas körs med kommandona privilegiet::debug och sekurlsa:logonPasswords.
En annan körbar fil, xtm.exe, lanserar speciella skript som möjliggör RDP-tjänsten i systemet, försöker skapa ett nytt konto i operativsystemet och även ändra systeminställningar så att flera användare samtidigt kan ansluta till den komprometterade datorn via RDP. Uppenbarligen är dessa steg nödvändiga för att få full kontroll över det komprometterade systemet.
Ris. 8. Kommandon som körs av xtm.exe på systemet.
Angripare använder en annan körbar fil som heter impack.exe, som används för att installera speciell programvara på systemet. Denna programvara kallas LiteManager och används av angripare som en bakdörr.
Ris. 9. LiteManager-gränssnitt.
När LiteManager har installerats på en användares system tillåter angripare att ansluta direkt till det systemet och fjärrstyra det. Denna programvara har speciella kommandoradsparametrar för dess dolda installation, skapande av speciella brandväggsregler och start av dess modul. Alla parametrar används av angripare.
Den sista modulen i malware-paketet som används av angripare är ett bankprogram för skadlig programvara (banker) med det körbara filnamnet pn_pack.exe. Hon är specialiserad på att spionera på användaren och är ansvarig för att interagera med C&C-servern. Banken lanseras med legitim Yandex Punto-programvara. Punto används av angripare för att starta skadliga DLL-bibliotek (DLL Side-Loading-metoden). Skadlig programvara i sig kan utföra följande funktioner:
- spåra tangenttryckningar och urklippsinnehåll för deras efterföljande överföring till en fjärrserver;
- lista alla smartkort som finns i systemet;
- interagera med en fjärrstyrd C&C-server.
Skadlig programvara, som ansvarar för att utföra alla dessa uppgifter, är ett krypterat DLL-bibliotek. Den dekrypteras och laddas in i minnet under körning av Punto. För att utföra ovanstående uppgifter startar den körbara DLL-koden tre trådar.
Det faktum att angripare valde Punto-programvara för sina ändamål är inte en överraskning: vissa ryska forum tillhandahåller öppet detaljerad information om sådana ämnen som att använda brister i legitim programvara för att äventyra användare.
Det skadliga biblioteket använder RC4-algoritmen för att kryptera sina strängar, såväl som under nätverksinteraktioner med C&C-servern. Den kontaktar servern varannan minut och överför där all data som samlades in på det komprometterade systemet under denna tidsperiod.
Ris. 10. Fragment av nätverksinteraktion mellan boten och servern.
Nedan finns några av C&C-serverinstruktionerna som biblioteket kan ta emot.
Som svar på att ta emot instruktioner från C&C-servern svarar skadlig programvara med en statuskod. Det är intressant att notera att alla bankmoduler som vi analyserade (den senaste med kompileringsdatum 18 januari) innehåller strängen "TEST_BOTNET", som skickas i varje meddelande till C&C-servern.
Slutsats
För att äventyra företagsanvändare kompromissar angripare i det första skedet en anställd på företaget genom att skicka ett nätfiskemeddelande med en exploatering. Sedan, när skadlig programvara är installerad på systemet, kommer de att använda mjukvaruverktyg som hjälper dem att avsevärt utöka sin auktoritet på systemet och utföra ytterligare uppgifter på det: äventyra andra datorer i företagets nätverk och spionera på användaren, samt de banktransaktioner som han utför.
Källa: will.com