Аз охири соли гузашта мо пайгирии як маъракаи нави зарароварро барои паҳн кардани трояни бонкӣ оғоз кардем. Ҳамлагарон ба тахаллуфи ширкатҳои русӣ, яъне корбарони корпоративӣ тамаркуз кардаанд. Маъракаи зараровар ҳадди аққал як сол фаъол буд ва бар иловаи трояни бонкӣ, ҳамлагарон ба истифода аз абзорҳои гуногуни нармафзор истифода карданд. Ба онҳо як боркунаки махсус бастабандӣ карда мешавад , ва нармафзори ҷосусӣ, ки ҳамчун нармафзори маъруфи қонунии Yandex Punto пинҳон карда шудааст. Пас аз он ки ҳамлагарон тавонистанд, ки компютери ҷабрдидаро вайрон кунанд, онҳо пушти дарвоза ва сипас трояни бонкиро насб мекунанд.
Барои нармафзори зараровар, ҳамлагарон якчанд сертификатҳои рақамии дуруст (он вақт) ва усулҳои махсусро барои гузаштан аз маҳсулоти AV истифода мекарданд. Маъракаи бадқасдона шумораи зиёди бонкҳои Русияро ҳадаф қарор дода, таваҷҷӯҳи хоса дорад, зеро ҳамлагарон усулҳоеро истифода мебурданд, ки аксар вақт дар ҳамлаҳои мақсаднок истифода мешаванд, яъне ҳамлаҳое, ки сирф бо қаллобии молиявӣ ангеза надоранд. Мо метавонем баъзе монандиҳоро байни ин маъракаи бадқасдона ва як ҳодисаи бузурге, ки қаблан таблиғоти зиёде пайдо карда буд, қайд кунем. Сухан дар бораи як гурӯҳи киберҷинояткоре меравад, ки трояни бонкиро истифода мекард /.
Ҳамлагарон нармафзори зарароварро танҳо дар он компютерҳое насб кардаанд, ки бо нобаёнӣ забони русиро дар Windows (локализатсия) истифода мекарданд. Вектори асосии паҳнкунии Троян ҳуҷҷати Word бо истисмор буд. , ки хамчун замима ба хуччат фиристода шудааст. Скриншотҳои дар поён овардашуда намуди чунин ҳуҷҷатҳои қалбакиро нишон медиҳанд. Ҳуҷҷати аввал «Ҳисобнома-фактураи № 522375-FLORL-14-115.doc» ва дуюм «kontrakt87.doc» ном дорад, ки нусхаи шартномаи пешниҳоди хизматрасонии телекоммуникатсионӣ аз ҷониби оператори мобилии «Мегафон» мебошад.
Райс. 1. Ҳуҷҷати фишинг.
Райс. 2. Дигар тағйироти ҳуҷҷати фишинг.
Далелҳои зерин нишон медиҳанд, ки ҳамлагарон тиҷорати Русияро ҳадаф қарор додаанд:
- паҳн кардани нармафзори зараровар бо истифода аз ҳуҷҷатҳои қалбакӣ дар мавзӯи зикршуда;
- тактикаи ҳамлагарон ва воситаҳои зарароваре, ки онҳо истифода мебаранд;
- пайвандҳо ба замимаҳои тиҷоратӣ дар баъзе модулҳои иҷрошаванда;
- номҳои доменҳои зараровар, ки дар ин маърака истифода шудаанд.
Воситаҳои махсуси нармафзоре, ки ҳамлагарон дар системаи вайроншуда насб мекунанд, ба онҳо имкон медиҳанд, ки назорати дурдасти системаро ба даст оранд ва фаъолияти корбаронро назорат кунанд. Барои иҷрои ин вазифаҳо онҳо пушти дарвоза насб мекунанд ва инчунин кӯшиш мекунанд, ки пароли ҳисоби Windows-ро гиранд ё ҳисоби нав эҷод кунанд. Ҳамлагарон инчунин ба хидматҳои keylogger (keylogger), дуздии буфери Windows ва нармафзори махсус барои кор бо кортҳои смарт муроҷиат мекунанд. Ин гурӯҳ кӯшиш кард, ки компютерҳои дигарро, ки дар як шабакаи маҳаллӣ бо компютери ҷабрдида қарор доранд, осеб расонад.
Системаи телеметрии ESET LiveGrid мо, ки ба мо имкон медиҳад, ки омори паҳнкунии нармафзори зарароварро зуд пайгирӣ кунем, ба мо омори ҷолиби ҷуғрофии паҳнкунии нармафзори зараровареро, ки ҳамлагарон дар маъракаи зикршуда истифода мебаранд, пешкаш кард.
Райс. 3. Омори тақсимоти ҷуғрофии нармафзори зараровар, ки дар ин маъракаи зараровар истифода мешаванд.
Насб кардани нармафзори зараровар
Пас аз он ки корбар ҳуҷҷати зарароварро бо истисмор дар системаи осебпазир мекушояд, зеркашии махсуси бо истифода аз NSIS бастабандишуда дар он ҷо зеркашӣ ва иҷро карда мешавад. Дар оғози кор, барнома муҳити Windows-ро барои мавҷудияти debuggers дар он ҷо ё кор кардан дар контексти мошини виртуалӣ тафтиш мекунад. Он инчунин маҳаллисозии Windows-ро месанҷад ва оё корбар ба URL-ҳои дар зер овардашуда дар ҷадвали браузер дидан кардааст ё на. Барои ин APIҳо истифода мешаванд Аввалинро пайдо кунед/NextUrlCacheEntry ва калиди сабти SoftwareMicrosoftInternet ExplorerTypedURLs.
Боркунак мавҷудияти замимаҳои зеринро дар система тафтиш мекунад.
Рӯйхати равандҳо воқеан таъсирбахш аст ва, тавре ки мебинед, он на танҳо барномаҳои бонкиро дар бар мегирад. Масалан, файли иҷрошаванда бо номи "scardsvr.exe" ба нармафзор барои кор бо кортҳои смарт (Microsoft SmartCard Reader) ишора мекунад. Худи трояни бонкӣ қобилияти кор бо кортҳои смартиро дар бар мегирад.
Райс. 4. Диаграммаи умумии раванди насби нармафзори зараровар.
Агар ҳамаи санҷишҳо бомуваффақият анҷом дода шаванд, боркунак аз сервери дурдаст файли махсусро (архив) зеркашӣ мекунад, ки дар он ҳамаи модулҳои иҷрошавандаи зараровар, ки ҳамлагарон истифода мебаранд, дар бар мегирад. Ҷолиб он аст, ки вобаста ба иҷрои чекҳои дар боло зикршуда, бойгониҳои аз сервери дурдасти C&C боршуда метавонанд фарқ кунанд. Архив метавонад зараровар бошад ё не. Агар зараровар набошад, он панели асбобҳои Windows Live-ро барои корбар насб мекунад. Эҳтимол, ҳамлагарон ба фиреби системаҳои таҳлили автоматии файлҳо ва мошинҳои виртуалӣ, ки дар онҳо файлҳои шубҳанок иҷро карда мешаванд, ба ҳилаҳои шабеҳ истифода карданд.
Файле, ки аз ҷониби зеркашӣкунандаи NSIS бор карда шудааст, бойгонии 7z мебошад, ки дорои модулҳои гуногуни нармафзори зараровар мебошад. Тасвири зер тамоми раванди насби ин нармафзори зараровар ва модулҳои гуногуни онро нишон медиҳад.
Райс. 5. Нақшаи умумии чӣ гуна кор кардани нармафзори зараровар.
Гарчанде ки модулҳои пурборшуда барои ҳамлагарон мақсадҳои гуногун доранд, онҳо ба таври якхела баста шудаанд ва бисёре аз онҳо бо шаҳодатномаҳои рақамии дуруст имзо карда шудаанд. Мо чор чунин шаҳодатномаро ёфтем, ки ҳамлагарон аз аввали маърака истифода мекарданд. Дар пайи шикояти мо ин шаҳодатномаҳо лағв шуданд. Ҷолиб он аст, ки ҳамаи шаҳодатномаҳо ба ширкатҳое, ки дар Маскав ба қайд гирифта шудаанд, дода шудаанд.
Райс. 6. Шаҳодатномаи рақамӣ, ки барои имзои нармафзори зараровар истифода шудааст.
Ҷадвали зерин шаҳодатномаҳои рақамиро муайян мекунад, ки ҳамлагарон дар ин маъракаи шубҳанок истифода кардаанд.
Қариб ҳамаи модулҳои зарароваре, ки ҳамлагарон истифода мебаранд, тартиби насби якхела доранд. Онҳо бойгониҳои 7zip-и худкор мебошанд, ки бо парол муҳофизат карда мешаванд.
Райс. 7. Фрагменти файли партияи install.cmd.
Файли партияи .cmd барои насб кардани нармафзори зараровар дар система ва оғози асбобҳои гуногуни ҳамлакунанда масъул аст. Агар иҷроиш ҳуқуқҳои гумшудаи маъмуриро талаб кунад, коди зараровар барои ба даст овардани онҳо якчанд усулҳоро истифода мебарад (пайравӣ аз UAC). Барои татбиқи усули аввал, ду файли иҷрошаванда бо номи l1.exe ва cc1.exe истифода мешаванд, ки барои гузаштан аз UAC бо истифода аз Рамзи сарчашмаи Carberp. Усули дигар ба истифодаи осебпазирии CVE-2013-3660 асос ёфтааст. Ҳар як модули нармафзори зараровар, ки афзоиш додани имтиёзҳоро талаб мекунад, ҳам версияи 32-бит ва 64-бити истисморро дар бар мегирад.
Ҳангоми пайгирии ин маърака, мо якчанд архивҳоеро, ки зеркашӣкунанда бор кардааст, таҳлил кардем. Мундариҷаи бойгонӣ гуногун буд, яъне ҳамлагарон метавонанд модулҳои зарароварро барои мақсадҳои гуногун мутобиқ созанд.
Мушкилоти корбар
Тавре ки мо дар боло зикр кардем, ҳамлагарон асбобҳои махсусро барои вайрон кардани компютерҳои корбарон истифода мебаранд. Ба ин воситаҳо барномаҳое дохил мешаванд, ки номҳои файлҳои иҷрошавандаи mimi.exe ва xtm.exe мебошанд. Онҳо ба ҳамлагарон кӯмак мекунанд, ки компютери ҷабрдидаро назорат кунанд ва дар иҷрои вазифаҳои зерин тахассус диҳанд: дарёфт кардан/барқарор кардани паролҳо барои ҳисобҳои Windows, фаъол кардани хидмати RDP, эҷод кардани ҳисоби нав дар ОС.
Барномаи иҷрошавандаи mimi.exe версияи тағирёфтаи абзори маъруфи кушодаасосро дар бар мегирад . Ин восита ба шумо имкон медиҳад, ки паролҳои ҳисоби корбарии Windows-ро гиред. Ҳамлагарон қисмеро аз Mimikatz, ки барои ҳамкории корбарон масъул аст, хориҷ карданд. Рамзи иҷрошаванда инчунин тағир дода шудааст, ки ҳангоми ба кор андохтани Mimikatz бо фармонҳои имтиёз::debug ва sekurlsa:logonPasswords кор кунад.
Файли дигари иҷрошаванда, xtm.exe, скриптҳои махсусро оғоз мекунад, ки хидмати RDP-ро дар система фаъол мекунанд, кӯшиш мекунанд, ки дар ОС ҳисоби нав эҷод кунанд ва инчунин танзимоти системаро тағир диҳанд, то ба якчанд корбар имкон диҳанд, ки дар як вақт ба компютери осебдида тавассути RDP пайваст шаванд. Аён аст, ки ин қадамҳо барои ба даст овардани назорати пурраи системаи вайроншуда заруранд.
Райс. 8. Фармонҳое, ки тавассути xtm.exe дар система иҷро мешаванд.
Ҳамлагарон дигар файли иҷрошавандаи impack.exe-ро истифода мебаранд, ки барои насб кардани нармафзори махсус дар система истифода мешавад. Ин нармафзор LiteManager номида мешавад ва аз ҷониби ҳамлагарон ҳамчун пушти дарвоза истифода мешавад.
Райс. 9. Интерфейси LiteManager.
Пас аз насб кардани системаи корбар, LiteManager ба ҳамлагарон имкон медиҳад, ки мустақиман ба он система пайваст шаванд ва онро аз фосилаи дур идора кунанд. Ин нармафзор дорои параметрҳои махсуси сатри фармонӣ барои насби пинҳонии он, эҷоди қоидаҳои махсуси брандмауэр ва оғози модули он мебошад. Ҳама параметрҳоро ҳамлагарон истифода мебаранд.
Модули охирини бастаи нармафзори зараровар, ки ҳамлагарон истифода мебаранд, як барномаи зараровари бонкӣ (банкир) бо номи файли иҷрошавандаи pn_pack.exe мебошад. Вай дар ҷосусии корбар тахассус дорад ва барои ҳамкорӣ бо сервери C&C масъул аст. Бонкир бо истифода аз нармафзори қонунии Yandex Punto оғоз мешавад. Punto аз ҷониби ҳамлагарон барои оғоз кардани китобхонаҳои зараровар DLL истифода мешавад (усули DLL Side-Loading). Худи нармафзори зараровар метавонад вазифаҳои зеринро иҷро кунад:
- пайгирии клавиатура ва мундариҷаи буфер барои интиқоли минбаъдаи онҳо ба сервери дурдаст;
- номбар кардани ҳамаи кортҳои смарт, ки дар система мавҷуданд;
- бо сервери дурдасти C&C ҳамкорӣ кунед.
Модули нармафзори зараровар, ки барои иҷрои ҳамаи ин вазифаҳо масъул аст, китобхонаи рамзгузоришудаи DLL мебошад. Он ҳангоми иҷрои Punto рамзкушоӣ ва ба хотира бор карда мешавад. Барои иҷрои вазифаҳои дар боло зикршуда, рамзи иҷрошавандаи DLL се риштаро оғоз мекунад.
Далели он, ки ҳамлагарон нармафзори Punto-ро барои ҳадафҳои худ интихоб кардаанд, тааҷҷубовар нест: баъзе форумҳои Русия ба таври ошкоро дар ин мавзӯъҳо маълумоти муфассал пешниҳод мекунанд, ба монанди истифодаи камбудиҳои нармафзори қонунӣ барои вайрон кардани корбарон.
Китобхонаи зараровар алгоритми RC4-ро барои рамзгузории сатрҳои худ, инчунин ҳангоми ҳамкории шабакавӣ бо сервери C&C истифода мебарад. Он дар ҳар ду дақиқа бо сервер тамос мегирад ва тамоми маълумотеро, ки дар ин муддат дар системаи вайроншуда ҷамъоварӣ шудааст, интиқол медиҳад.
Райс. 10. Фрагментҳои ҳамкории шабакавӣ байни бот ва сервер.
Дар зер баъзе дастурҳои сервери C&C мавҷуданд, ки китобхона метавонанд қабул кунанд.
Дар посух ба гирифтани дастурҳо аз сервери C&C, нармафзори зараровар бо рамзи вазъ ҷавоб медиҳад. Ҷолиб он аст, ки ҳамаи модулҳои бонкие, ки мо таҳлил кардем (навтарин модул бо санаи тартиб додани санаи 18 январ) дорои сатри "TEST_BOTNET", ки дар ҳар як паём ба сервери C&C фиристода мешавад.
хулоса
Барои осеб расонидан ба корбарони корпоративӣ, ҳамлагарон дар марҳилаи аввал як корманди ширкатро тавассути ирсоли паёми фишинг бо истисмор мекунанд. Минбаъд, вақте ки нармафзори зараровар дар система насб карда мешавад, онҳо асбобҳои нармафзорро истифода мебаранд, ки ба онҳо дар васеъ кардани салоҳияти онҳо дар система ва иҷрои вазифаҳои иловагӣ дар он кӯмак мекунанд: ба компютерҳои дигар дар шабакаи корпоративӣ ва ҷосусӣ дар корбар, инчунин амалиёти бонкие, ки ӯ анҷом медиҳад.
Манбаъ: will.com