Mula noong katapusan ng nakaraang taon, sinimulan naming subaybayan ang isang bagong nakakahamak na kampanya upang ipamahagi ang isang banking Trojan. Nakatuon ang mga umaatake sa pagkompromiso sa mga kumpanya ng Russia, ibig sabihin, mga corporate user. Ang malisyosong kampanya ay aktibo nang hindi bababa sa isang taon at, bilang karagdagan sa pagbabangko Trojan, ang mga umaatake ay gumamit ng iba't ibang mga tool sa software. Kabilang dito ang isang espesyal na loader na nakabalot gamit , at spyware, na disguised bilang ang kilalang lehitimong Yandex Punto software. Kapag nagawang ikompromiso ng mga umaatake ang computer ng biktima, nag-install sila ng backdoor at pagkatapos ay isang banking Trojan.
Para sa kanilang malware, gumamit ang mga umaatake ng ilang wastong (sa oras na iyon) na mga digital na sertipiko at mga espesyal na pamamaraan upang i-bypass ang mga produkto ng AV. Ang nakakahamak na kampanya ay nag-target ng malaking bilang ng mga bangko sa Russia at partikular na interesado dahil ang mga umaatake ay gumagamit ng mga pamamaraan na kadalasang ginagamit sa mga naka-target na pag-atake, ibig sabihin, mga pag-atake na hindi puro pandaraya sa pananalapi. Mapapansin natin ang ilang pagkakatulad ng malisyosong kampanyang ito at isang malaking insidente na nakatanggap ng malaking publisidad kanina. Pinag-uusapan natin ang tungkol sa isang cybercriminal group na gumamit ng banking Trojan /.
Ang mga umaatake ay nag-install lamang ng malware sa mga computer na iyon na gumamit ng wikang Russian sa Windows (localization) bilang default. Ang pangunahing vector ng pamamahagi ng Trojan ay isang dokumento ng Word na may pagsasamantala. , na ipinadala bilang attachment sa dokumento. Ang mga screenshot sa ibaba ay nagpapakita ng hitsura ng naturang mga pekeng dokumento. Ang unang dokumento ay pinamagatang "Invoice No. 522375-FLORL-14-115.doc", at ang pangalawang "kontrakt87.doc", ito ay isang kopya ng kontrata para sa pagkakaloob ng mga serbisyo sa telekomunikasyon ng mobile operator na Megafon.
kanin. 1. Dokumento ng phishing.
kanin. 2. Isa pang pagbabago ng dokumento ng phishing.
Ang mga sumusunod na katotohanan ay nagpapahiwatig na ang mga umaatake ay nagta-target sa mga negosyong Ruso:
- pamamahagi ng malware gamit ang mga pekeng dokumento sa tinukoy na paksa;
- ang mga taktika ng mga umaatake at ang mga nakakahamak na tool na ginagamit nila;
- mga link sa mga aplikasyon ng negosyo sa ilang mga executable na module;
- mga pangalan ng mga nakakahamak na domain na ginamit sa kampanyang ito.
Ang mga espesyal na tool ng software na ini-install ng mga umaatake sa isang nakompromisong system ay nagbibigay-daan sa kanila na makakuha ng remote control ng system at subaybayan ang aktibidad ng user. Upang maisagawa ang mga function na ito, nag-i-install sila ng backdoor at sinusubukan ding kunin ang password ng Windows account o gumawa ng bagong account. Gumagamit din ang mga umaatake sa mga serbisyo ng isang keylogger (keylogger), isang magnanakaw ng impormasyon mula sa clipboard ng Windows (clipboard stealer), pati na rin ang espesyal na software para sa pagtatrabaho sa mga smart card. Sinubukan ng grupong ito na ikompromiso ang iba pang mga computer na nasa parehong lokal na network ng computer ng biktima.
Ang aming ESET LiveGrid telemetry system, na nagbibigay-daan sa aming mabilis na subaybayan ang mga istatistika ng pamamahagi ng malware, ay nagbigay sa amin ng mga kawili-wiling heograpikal na istatistika sa pamamahagi ng malware na ginagamit ng mga umaatake sa nabanggit na kampanya.
kanin. 3. Mga istatistika sa heyograpikong pamamahagi ng malware na ginamit sa nakakahamak na kampanyang ito.
Pag-install ng malware
Pagkatapos magbukas ng malisyosong dokumento ang isang user na may pagsasamantala sa isang vulnerable system, isang espesyal na downloader na naka-package gamit ang NSIS ang ida-download at isasagawa doon. Sa simula ng trabaho nito, sinusuri ng programa ang kapaligiran ng Windows para sa pagkakaroon ng mga debugger doon o para sa pagtakbo sa konteksto ng isang virtual machine. Sinusuri din nito ang lokalisasyon ng Windows at kung binisita ng user ang mga URL na nakalista sa ibaba sa talahanayan sa browser. Ginagamit ang mga API para dito FindFirst/NextUrlCacheEntry at ang registry key ng SoftwareMicrosoftInternet ExplorerTypedURLs.
Sinusuri ng bootloader ang pagkakaroon ng mga sumusunod na application sa system.
Ang listahan ng mga proseso ay talagang kahanga-hanga at, tulad ng nakikita mo, kasama nito hindi lamang ang mga aplikasyon sa pagbabangko. Halimbawa, ang isang executable file na pinangalanang "scardsvr.exe" ay tumutukoy sa software para sa pagtatrabaho sa mga smart card (Microsoft SmartCard reader). Ang banking Trojan mismo ay kinabibilangan ng kakayahang magtrabaho sa mga smart card.
kanin. 4. Pangkalahatang diagram ng proseso ng pag-install ng malware.
Kung ang lahat ng mga pagsusuri ay matagumpay na nakumpleto, ang loader ay nagda-download ng isang espesyal na file (archive) mula sa malayong server, na naglalaman ng lahat ng malisyosong executable na mga module na ginagamit ng mga umaatake. Nakatutuwang tandaan na depende sa pagsasagawa ng mga pagsusuri sa itaas, ang mga archive na na-download mula sa remote na server ng C&C ay maaaring mag-iba. Ang archive ay maaaring malisyoso o hindi. Kung hindi nakakahamak, ini-install nito ang Windows Live Toolbar para sa user. Malamang, ang mga umaatake ay gumamit ng mga katulad na trick upang linlangin ang mga awtomatikong sistema ng pagsusuri ng file at mga virtual machine kung saan pinapagana ang mga kahina-hinalang file.
Ang file na na-download ng NSIS downloader ay isang 7z archive na naglalaman ng iba't ibang mga module ng malware. Ipinapakita ng larawan sa ibaba ang buong proseso ng pag-install ng malware na ito at ang iba't ibang mga module nito.
kanin. 5. Pangkalahatang pamamaraan kung paano gumagana ang malware.
Bagama't ang mga na-load na module ay nagsisilbi sa iba't ibang layunin para sa mga umaatake, ang mga ito ay naka-package nang magkapareho at marami sa mga ito ay nilagdaan ng mga wastong digital na sertipiko. Nakakita kami ng apat na ganoong sertipiko na ginamit ng mga umaatake mula pa sa simula ng kampanya. Kasunod ng aming reklamo, ang mga sertipikong ito ay binawi. Ito ay kagiliw-giliw na tandaan na ang lahat ng mga sertipiko ay inisyu sa mga kumpanyang nakarehistro sa Moscow.
kanin. 6. Digital na sertipiko na ginamit para lagdaan ang malware.
Tinutukoy ng sumusunod na talahanayan ang mga digital na sertipiko na ginamit ng mga umaatake sa nakakahamak na kampanyang ito.
Halos lahat ng malisyosong module na ginagamit ng mga umaatake ay may magkaparehong pamamaraan sa pag-install. Ang mga ito ay self-extracting 7zip archive na protektado ng password.
kanin. 7. Fragment ng install.cmd batch file.
Ang batch .cmd file ay responsable para sa pag-install ng malware sa system at paglulunsad ng iba't ibang mga tool sa pag-atake. Kung ang pagpapatupad ay nangangailangan ng nawawalang mga karapatang pang-administratibo, ang malisyosong code ay gumagamit ng ilang mga paraan upang makuha ang mga ito (pag-bypass sa UAC). Upang ipatupad ang unang paraan, dalawang executable file na tinatawag na l1.exe at cc1.exe ang ginagamit, na dalubhasa sa pag-bypass sa UAC gamit ang Mga source code ng Carberp. Ang isa pang paraan ay batay sa pagsasamantala sa kahinaan ng CVE-2013-3660. Ang bawat module ng malware na nangangailangan ng pagtaas ng pribilehiyo ay naglalaman ng parehong 32-bit at 64-bit na bersyon ng pagsasamantala.
Habang sinusubaybayan ang kampanyang ito, sinuri namin ang ilang mga archive na na-upload ng nag-download. Iba-iba ang mga nilalaman ng archive, ibig sabihin, maaaring iangkop ng mga umaatake ang mga nakakahamak na module para sa iba't ibang layunin.
Kompromiso ng user
Gaya ng nabanggit namin sa itaas, ang mga umaatake ay gumagamit ng mga espesyal na tool upang ikompromiso ang mga computer ng mga user. Kasama sa mga tool na ito ang mga program na may mga executable na pangalan ng file na mimi.exe at xtm.exe. Tinutulungan nila ang mga umaatake na kontrolin ang computer ng biktima at dalubhasa sa pagsasagawa ng mga sumusunod na gawain: pagkuha/pagbawi ng mga password para sa mga Windows account, pagpapagana sa serbisyo ng RDP, paggawa ng bagong account sa OS.
Ang mimi.exe executable ay may kasamang binagong bersyon ng isang kilalang open source tool . Binibigyang-daan ka ng tool na ito na makakuha ng mga password ng Windows user account. Inalis ng mga umaatake ang bahagi mula sa Mimikatz na responsable para sa pakikipag-ugnayan ng user. Ang executable code ay binago din upang kapag inilunsad, ang Mimikatz ay tumatakbo na may privilege::debug at sekurlsa:logonPasswords na mga utos.
Ang isa pang maipapatupad na file, xtm.exe, ay naglulunsad ng mga espesyal na script na nagbibigay-daan sa serbisyo ng RDP sa system, subukang lumikha ng isang bagong account sa OS, at baguhin din ang mga setting ng system upang payagan ang ilang mga gumagamit na sabay na kumonekta sa isang nakompromisong computer sa pamamagitan ng RDP. Malinaw, ang mga hakbang na ito ay kinakailangan upang makakuha ng ganap na kontrol sa nakompromisong sistema.
kanin. 8. Mga utos na isinagawa ng xtm.exe sa system.
Gumagamit ang mga attacker ng isa pang executable na file na tinatawag na impack.exe, na ginagamit para mag-install ng espesyal na software sa system. Ang software na ito ay tinatawag na LiteManager at ginagamit ng mga umaatake bilang backdoor.
kanin. 9. Interface ng LiteManager.
Kapag na-install na sa system ng isang user, pinapayagan ng LiteManager ang mga attacker na direktang kumonekta sa system na iyon at malayuang kontrolin ito. Ang software na ito ay may mga espesyal na parameter ng command line para sa nakatagong pag-install nito, paglikha ng mga espesyal na panuntunan sa firewall, at paglulunsad ng module nito. Ang lahat ng mga parameter ay ginagamit ng mga umaatake.
Ang huling module ng malware package na ginagamit ng mga umaatake ay isang banking malware program (banker) na may executable file name na pn_pack.exe. Dalubhasa siya sa pag-espiya sa user at responsable sa pakikipag-ugnayan sa C&C server. Ang bangkero ay inilunsad gamit ang lehitimong Yandex Punto software. Ang Punto ay ginagamit ng mga umaatake upang maglunsad ng mga nakakahamak na DLL library (DLL Side-Loading method). Ang malware mismo ay maaaring gumanap ng mga sumusunod na function:
- subaybayan ang mga keystroke ng keyboard at mga nilalaman ng clipboard para sa kanilang kasunod na pagpapadala sa isang malayuang server;
- ilista ang lahat ng mga smart card na naroroon sa system;
- makipag-ugnayan sa isang remote C&C server.
Ang malware module, na responsable sa pagsasagawa ng lahat ng mga gawaing ito, ay isang naka-encrypt na DLL library. Ito ay na-decrypted at na-load sa memorya sa panahon ng pagpapatupad ng Punto. Upang maisagawa ang mga gawain sa itaas, ang DLL executable code ay magsisimula ng tatlong mga thread.
Ang katotohanan na pinili ng mga umaatake ang Punto software para sa kanilang mga layunin ay hindi nakakagulat: ang ilang mga Russian forum ay hayagang nagbibigay ng detalyadong impormasyon sa mga paksang tulad ng paggamit ng mga bahid sa lehitimong software upang ikompromiso ang mga user.
Ginagamit ng nakakahamak na library ang RC4 algorithm upang i-encrypt ang mga string nito, gayundin sa panahon ng mga pakikipag-ugnayan ng network sa C&C server. Nakikipag-ugnayan ito sa server bawat dalawang minuto at ipinapadala doon ang lahat ng data na nakolekta sa nakompromisong sistema sa panahong ito.
kanin. 10. Fragment ng pakikipag-ugnayan sa network sa pagitan ng bot at ng server.
Nasa ibaba ang ilan sa mga tagubilin ng server ng C&C na maaaring matanggap ng library.
Bilang tugon sa pagtanggap ng mga tagubilin mula sa C&C server, tumutugon ang malware gamit ang isang status code. Kagiliw-giliw na tandaan na ang lahat ng mga module ng banker na aming sinuri (ang pinakabago na may petsa ng compilation noong ika-18 ng Enero) ay naglalaman ng string na βTEST_BOTNETβ, na ipinapadala sa bawat mensahe sa C&C server.
Konklusyon
Upang ikompromiso ang mga corporate na user, kinokompromiso ng mga umaatake sa unang yugto ang isang empleyado ng kumpanya sa pamamagitan ng pagpapadala ng mensahe ng phishing na may pagsasamantala. Susunod, kapag na-install na ang malware sa system, gagamit sila ng mga software tool na makakatulong sa kanilang makabuluhang palawakin ang kanilang awtoridad sa system at magsagawa ng mga karagdagang gawain dito: ikompromiso ang iba pang mga computer sa corporate network at tiktikan ang user, gayundin ang ang mga transaksyon sa pagbabangko na kanyang ginagawa.
Pinagmulan: www.habr.com