Tangu mwisho wa mwaka jana, tulianza kufuatilia kampeni mpya hasidi ya kusambaza Trojan ya benki. Washambuliaji walizingatia kuathiri makampuni ya Kirusi, yaani watumiaji wa ushirika. Kampeni hiyo mbovu ilifanya kazi kwa angalau mwaka mmoja na, pamoja na Trojan ya benki, washambuliaji waliamua kutumia zana zingine za programu. Hizi ni pamoja na kipakiaji maalum kilichowekwa kwa kutumia , na spyware, ambayo imefichwa kama programu halali ya Yandex Punto. Mara tu washambuliaji wameweza kuhatarisha kompyuta ya mwathirika, huweka mlango wa nyuma na kisha Trojan ya benki.
Kwa programu hasidi, washambuliaji walitumia vyeti kadhaa halali (wakati huo) dijitali na mbinu maalum kukwepa bidhaa za AV. Kampeni hiyo mbovu ililenga idadi kubwa ya benki za Urusi na inavutia sana kwa sababu washambuliaji walitumia mbinu ambazo mara nyingi hutumiwa katika mashambulizi yaliyolengwa, yaani, mashambulizi ambayo hayachochewi tu na ulaghai wa kifedha. Tunaweza kutambua baadhi ya ufanano kati ya kampeni hii ovu na tukio kubwa ambalo lilitangazwa sana hapo awali. Tunazungumza juu ya kikundi cha wahalifu wa mtandao ambacho kilitumia Trojan ya benki /.
Washambuliaji waliweka programu hasidi kwenye kompyuta hizo tu zilizotumia lugha ya Kirusi katika Windows (ujanibishaji) kwa chaguo-msingi. Vekta kuu ya usambazaji wa Trojan ilikuwa hati ya Neno yenye unyonyaji. , ambayo ilitumwa kama kiambatisho kwa hati. Picha za skrini hapa chini zinaonyesha kuonekana kwa hati hizo bandia. Hati ya kwanza inaitwa "Invoice No. 522375-FLORL-14-115.doc", na ya pili "kontrakt87.doc", ni nakala ya mkataba wa utoaji wa huduma za mawasiliano ya simu na operator wa simu Megafon.
Mchele. 1. Hati ya kuhadaa.
Mchele. 2. Marekebisho mengine ya hati ya hadaa.
Mambo yafuatayo yanaonyesha kuwa washambuliaji walikuwa wakilenga biashara za Urusi:
- usambazaji wa programu hasidi kwa kutumia hati bandia kwenye mada maalum;
- mbinu za washambuliaji na zana mbaya wanazotumia;
- viungo vya maombi ya biashara katika baadhi ya moduli zinazoweza kutekelezwa;
- majina ya vikoa hasidi ambavyo vilitumika katika kampeni hii.
Zana maalum za programu ambazo washambuliaji husakinisha kwenye mfumo ulioathiriwa huwaruhusu kupata udhibiti wa mbali wa mfumo na kufuatilia shughuli za mtumiaji. Ili kutekeleza majukumu haya, wao husakinisha mlango wa nyuma na pia hujaribu kupata nenosiri la akaunti ya Windows au kuunda akaunti mpya. Wavamizi pia huamua kutumia huduma za kiweka vitufe (keylogger), kiibaji ubao wa kunakili kwenye Windows, na programu maalum ya kufanya kazi na kadi mahiri. Kikundi hiki kilijaribu kuhatarisha kompyuta zingine ambazo zilikuwa kwenye mtandao wa ndani sawa na kompyuta ya mwathirika.
Mfumo wetu wa telemetry wa ESET LiveGrid, unaotuwezesha kufuatilia kwa haraka takwimu za usambazaji wa programu hasidi, ulitupa takwimu za kijiografia za kuvutia kuhusu usambazaji wa programu hasidi zinazotumiwa na washambuliaji katika kampeni iliyotajwa.
Mchele. 3. Takwimu za usambazaji wa kijiografia wa programu hasidi zinazotumiwa katika kampeni hii hasidi.
Inasakinisha programu hasidi
Baada ya mtumiaji kufungua hati hasidi na unyonyaji kwenye mfumo ulio hatarini, kipakuliwa maalum kilichowekwa kwa kutumia NSIS kitapakuliwa na kutekelezwa hapo. Mwanzoni mwa kazi yake, programu huangalia mazingira ya Windows kwa uwepo wa debuggers huko au kwa kukimbia katika mazingira ya mashine ya kawaida. Pia hukagua ujanibishaji wa Windows na ikiwa mtumiaji ametembelea URL zilizoorodheshwa hapa chini kwenye jedwali katika kivinjari. API hutumiwa kwa hili TafutaKwanza/NextUrlCacheEntry na ufunguo wa usajili wa SoftwareMicrosoftInternet ExplorerTypedURLs.
Bootloader huangalia uwepo wa programu zifuatazo kwenye mfumo.
Orodha ya michakato ni ya kuvutia sana na, kama unavyoona, inajumuisha sio maombi ya benki pekee. Kwa mfano, faili inayoweza kutekelezwa inayoitwa "scardsvr.exe" inarejelea programu ya kufanya kazi na kadi mahiri (Kisomaji cha Microsoft SmartCard). Trojan ya benki yenyewe inajumuisha uwezo wa kufanya kazi na kadi smart.
Mchele. 4. Mchoro wa jumla wa mchakato wa usakinishaji wa programu hasidi.
Ikiwa hundi zote zimekamilika kwa ufanisi, kipakiaji hupakua faili maalum (kumbukumbu) kutoka kwa seva ya mbali, ambayo ina moduli zote mbaya zinazoweza kutekelezwa zinazotumiwa na washambuliaji. Inafurahisha kutambua kwamba kulingana na utekelezaji wa ukaguzi hapo juu, kumbukumbu zilizopakuliwa kutoka kwa seva ya mbali ya C&C zinaweza kutofautiana. Kumbukumbu inaweza kuwa mbaya au isiwe mbaya. Ikiwa si hasidi, husakinisha Upauzana wa Windows Live kwa mtumiaji. Uwezekano mkubwa zaidi, washambuliaji walitumia hila kama hizo kudanganya mifumo ya kiotomatiki ya uchanganuzi wa faili na mashine pepe ambazo faili zinazotiliwa shaka hutekelezwa.
Faili iliyopakuliwa na kipakuzi cha NSIS ni kumbukumbu ya 7z ambayo ina moduli mbalimbali za programu hasidi. Picha hapa chini inaonyesha mchakato mzima wa usakinishaji wa programu hasidi na moduli zake mbalimbali.
Mchele. 5. Mpango wa jumla wa jinsi programu hasidi inavyofanya kazi.
Ingawa sehemu zilizopakiwa hutumikia madhumuni tofauti kwa washambuliaji, zimefungwa sawa na nyingi zilitiwa saini na vyeti halali vya dijiti. Tulipata vyeti vinne kama hivyo ambavyo wavamizi walitumia tangu mwanzo wa kampeni. Kufuatia malalamiko yetu, vyeti hivi vilifutwa. Inashangaza kutambua kwamba vyeti vyote vilitolewa kwa makampuni yaliyosajiliwa huko Moscow.
Mchele. 6. Cheti cha dijitali ambacho kilitumika kutia saini programu hasidi.
Jedwali lifuatalo linabainisha vyeti vya kidijitali ambavyo wavamizi walitumia katika kampeni hii hasidi.
Takriban moduli zote hasidi zinazotumiwa na washambuliaji zina utaratibu sawa wa usakinishaji. Zinajichimbua kumbukumbu za 7zip ambazo zinalindwa kwa nenosiri.
Mchele. 7. Kipande cha faili ya batch install.cmd.
Faili ya batch .cmd ina jukumu la kusakinisha programu hasidi kwenye mfumo na kuzindua zana mbalimbali za washambulizi. Ikiwa utekelezaji unahitaji kukosa haki za kiutawala, msimbo hasidi hutumia mbinu kadhaa kuzipata (kupitia UAC). Ili kutekeleza njia ya kwanza, faili mbili zinazoweza kutekelezwa zinazoitwa l1.exe na cc1.exe hutumiwa, ambazo zina utaalam wa kupitisha UAC kwa kutumia Nambari ya chanzo cha Carberp. Mbinu nyingine inategemea kutumia uwezekano wa CVE-2013-3660. Kila sehemu ya programu hasidi inayohitaji uboreshaji wa upendeleo ina toleo la biti 32 na 64 la matumizi.
Tulipokuwa tukifuatilia kampeni hii, tulichanganua kumbukumbu kadhaa zilizopakiwa na kipakuzi. Yaliyomo kwenye kumbukumbu yalitofautiana, kumaanisha kuwa washambuliaji wanaweza kurekebisha moduli hasidi kwa madhumuni tofauti.
Maelewano ya mtumiaji
Kama tulivyosema hapo juu, washambuliaji hutumia zana maalum kuhatarisha kompyuta za watumiaji. Zana hizi ni pamoja na programu zilizo na majina ya faili zinazoweza kutekelezeka mimi.exe na xtm.exe. Wanasaidia washambuliaji kuchukua udhibiti wa kompyuta ya mwathirika na utaalam katika kufanya kazi zifuatazo: kupata/kurejesha nenosiri kwa akaunti za Windows, kuwezesha huduma ya RDP, kuunda akaunti mpya katika OS.
Mimi.exe inayoweza kutekelezeka inajumuisha toleo lililorekebishwa la zana huria inayojulikana sana . Zana hii hukuruhusu kupata nywila za akaunti ya mtumiaji wa Windows. Wavamizi waliondoa sehemu kutoka kwa Mimikatz ambayo inawajibika kwa mwingiliano wa watumiaji. Msimbo unaoweza kutekelezeka pia umerekebishwa ili inapozinduliwa, Mimikatz iendeshe na amri za mapendeleo::debug na sekurlsa:logonPasswords.
Faili nyingine inayoweza kutekelezwa, xtm.exe, inazindua scripts maalum zinazowezesha huduma ya RDP katika mfumo, jaribu kuunda akaunti mpya katika OS, na pia kubadilisha mipangilio ya mfumo ili kuruhusu watumiaji kadhaa kuunganisha wakati huo huo kwenye kompyuta iliyoathirika kupitia RDP. Kwa wazi, hatua hizi ni muhimu ili kupata udhibiti kamili wa mfumo ulioathirika.
Mchele. 8. Amri zinazotekelezwa na xtm.exe kwenye mfumo.
Wavamizi hutumia faili nyingine inayoweza kutekelezwa inayoitwa impack.exe, ambayo hutumiwa kusakinisha programu maalum kwenye mfumo. Programu hii inaitwa LiteManager na hutumiwa na washambuliaji kama mlango wa nyuma.
Mchele. 9. Kiolesura cha LiteManager.
Ikisakinishwa kwenye mfumo wa mtumiaji, LiteManager huruhusu washambuliaji kuunganisha moja kwa moja kwenye mfumo huo na kuudhibiti wakiwa mbali. Programu hii ina vigezo maalum vya mstari wa amri kwa ajili ya ufungaji wake wa siri, kuundwa kwa sheria maalum za firewall, na kuzindua moduli yake. Vigezo vyote vinatumiwa na washambuliaji.
Sehemu ya mwisho ya kifurushi cha programu hasidi kinachotumiwa na washambuliaji ni programu hasidi ya benki (benki) yenye jina la faili linaloweza kutekelezeka pn_pack.exe. Yeye ni mtaalamu wa kupeleleza mtumiaji na ana jukumu la kuingiliana na seva ya C&C. Benki imezinduliwa kwa kutumia programu halali ya Yandex Punto. Punto hutumiwa na wavamizi kuzindua maktaba hasidi za DLL (mbinu ya Upakiaji wa Upande wa DLL). Programu hasidi yenyewe inaweza kufanya kazi zifuatazo:
- fuatilia vibonye vya kibodi na yaliyomo kwenye ubao wa kunakili kwa uwasilishaji wao unaofuata kwa seva ya mbali;
- orodhesha kadi zote smart ambazo zipo kwenye mfumo;
- ingiliana na seva ya C&C ya mbali.
Moduli ya programu hasidi, ambayo inawajibika kwa kufanya kazi hizi zote, ni maktaba ya DLL iliyosimbwa kwa njia fiche. Husimbwa na kupakiwa kwenye kumbukumbu wakati wa utekelezaji wa Punto. Ili kufanya kazi zilizo hapo juu, nambari inayoweza kutekelezeka ya DLL huanza nyuzi tatu.
Ukweli kwamba washambuliaji walichagua programu ya Punto kwa madhumuni yao haishangazi: baadhi ya mabaraza ya Kirusi hutoa kwa uwazi maelezo ya kina kuhusu mada kama vile kutumia dosari katika programu halali ili kuathiri watumiaji.
Maktaba hasidi hutumia algoriti ya RC4 kusimba mifuatano yake, na vile vile wakati wa mwingiliano wa mtandao na seva ya C&C. Inawasiliana na seva kila baada ya dakika mbili na kusambaza huko data yote ambayo ilikusanywa kwenye mfumo ulioathiriwa katika kipindi hiki cha muda.
Mchele. 10. Kipande cha mwingiliano wa mtandao kati ya bot na seva.
Yafuatayo ni baadhi ya maagizo ya seva ya C&C ambayo maktaba inaweza kupokea.
Kwa kujibu kupokea maagizo kutoka kwa seva ya C&C, programu hasidi hujibu kwa msimbo wa hali. Inafurahisha kutambua kwamba moduli zote za benki tulizochanganua (ya hivi karibuni zaidi iliyo na tarehe ya utungaji ya tarehe 18 Januari) ina mfuatano wa "TEST_BOTNET", ambao hutumwa kwa kila ujumbe kwa seva ya C&C.
Hitimisho
Ili kuhatarisha watumiaji wa kampuni, wavamizi katika hatua ya kwanza huhatarisha mfanyakazi mmoja wa kampuni kwa kutuma ujumbe wa kuhadaa ili kupata maelezo ya kibinafsi na unyonyaji. Ifuatayo, mara tu programu hasidi imewekwa kwenye mfumo, watatumia zana za programu ambazo zitawasaidia kupanua mamlaka yao kwenye mfumo na kufanya kazi za ziada juu yake: kuathiri kompyuta zingine kwenye mtandao wa ushirika na kupeleleza mtumiaji, na vile vile. shughuli za benki anazofanya.
Chanzo: mapenzi.com