Geçen yılın sonundan bu yana, bankacılık Truva Atını dağıtmaya yönelik yeni bir kötü amaçlı kampanyayı izlemeye başladık. Saldırganlar Rus şirketlerini, yani kurumsal kullanıcıları ele geçirmeye odaklandı. Kötü amaçlı kampanya en az bir yıldır aktifti ve saldırganlar bankacılık Truva Atı'nın yanı sıra çeşitli başka yazılım araçlarını da kullanmaya başvurdu. Bunlar, kullanılarak paketlenmiş özel bir yükleyiciyi içerir. ve tanınmış meşru Yandex Punto yazılımı olarak gizlenen casus yazılımlar. Saldırganlar kurbanın bilgisayarına sızmayı başardıktan sonra bir arka kapı ve ardından bir bankacılık Truva atı yüklerler.
Saldırganlar, kötü amaçlı yazılımları için AV ürünlerini atlamak amacıyla çeşitli geçerli (o zamanlar) dijital sertifikalar ve özel yöntemler kullandı. Kötü niyetli kampanya çok sayıda Rus bankasını hedef aldı ve saldırganların hedefli saldırılarda sıklıkla kullanılan yöntemleri, yani yalnızca finansal dolandırıcılık motivasyonu olmayan saldırıları kullanması nedeniyle özellikle ilgi çekici. Bu kötü niyetli kampanya ile daha önce büyük yankı uyandıran büyük bir olay arasında bazı benzerlikler olduğunu söyleyebiliriz. Bankacılık Truva Atı kullanan bir siber suçlu grubundan bahsediyoruz /.
Saldırganlar, kötü amaçlı yazılımları yalnızca varsayılan olarak Windows'ta Rusça dilini (yerelleştirme) kullanan bilgisayarlara yükledi. Truva atının ana dağıtım vektörü, istismar içeren bir Word belgesiydi. , belgenin eki olarak gönderildi. Aşağıdaki ekran görüntüleri bu tür sahte belgelerin görünümünü göstermektedir. İlk belge “Fatura No. 522375-FLORL-14-115.doc”, ikincisi ise “kontrakt87.doc” başlıklı olup, mobil operatör Megafon tarafından telekomünikasyon hizmetlerinin sağlanmasına ilişkin sözleşmenin bir kopyasıdır.
Pirinç. 1. Kimlik avı belgesi.
Pirinç. 2. Kimlik avı belgesinde yapılan başka bir değişiklik.
Aşağıdaki gerçekler saldırganların Rus işletmelerini hedef aldığını gösteriyor:
- belirtilen konuyla ilgili sahte belgeler kullanarak kötü amaçlı yazılım dağıtımı;
- saldırganların taktikleri ve kullandıkları kötü amaçlı araçlar;
- bazı yürütülebilir modüllerdeki iş uygulamalarına bağlantılar;
- Bu kampanyada kullanılan kötü amaçlı alan adlarının adları.
Saldırganların ele geçirilen bir sisteme yüklediği özel yazılım araçları, sistemin uzaktan kontrolünü ele geçirmelerine ve kullanıcı faaliyetlerini izlemelerine olanak tanır. Bu işlevleri gerçekleştirmek için bir arka kapı kurarlar ve ayrıca Windows hesabının şifresini almaya veya yeni bir hesap oluşturmaya çalışırlar. Saldırganlar ayrıca bir keylogger (keylogger), bir Windows pano hırsızı ve akıllı kartlarla çalışmak için özel bir yazılım hizmetlerine de başvuruyor. Bu grup, kurbanın bilgisayarıyla aynı yerel ağda bulunan diğer bilgisayarların güvenliğini aşmaya çalıştı.
Kötü amaçlı yazılım dağıtım istatistiklerini hızlı bir şekilde takip etmemizi sağlayan ESET LiveGrid telemetri sistemimiz, söz konusu kampanyada saldırganlar tarafından kullanılan kötü amaçlı yazılımların dağıtımına ilişkin ilginç coğrafi istatistikler sağladı.
Pirinç. 3. Bu kötü niyetli kampanyada kullanılan kötü amaçlı yazılımların coğrafi dağılımına ilişkin istatistikler.
Kötü amaçlı yazılım yükleme
Bir kullanıcı, savunmasız bir sistem üzerinde kötü amaçlı bir belgeyi istismar ederek açtıktan sonra, NSIS kullanılarak paketlenmiş özel bir indirici burada indirilecek ve çalıştırılacaktır. Program, çalışmasının başında Windows ortamını orada hata ayıklayıcıların olup olmadığını veya bir sanal makine bağlamında çalışıp çalışmadığını kontrol eder. Ayrıca Windows'un yerelleştirmesini ve kullanıcının aşağıdaki tabloda listelenen URL'leri tarayıcıda ziyaret edip etmediğini de kontrol eder. Bunun için API'ler kullanılır İlk Bul/SonrakiUrlCacheEntry ve SoftwareMicrosoftInternet ExplorerTypedURLs kayıt defteri anahtarı.
Önyükleyici, sistemde aşağıdaki uygulamaların varlığını kontrol eder.
Süreçlerin listesi gerçekten etkileyici ve gördüğünüz gibi sadece bankacılık uygulamalarını içermiyor. Örneğin, “scardsvr.exe” adlı yürütülebilir dosya, akıllı kartlarla (Microsoft SmartCard okuyucu) çalışmaya yönelik yazılımı ifade eder. Bankacılık Truva Atı'nın kendisi akıllı kartlarla çalışma yeteneğini de içeriyor.
Pirinç. 4. Kötü amaçlı yazılım yükleme işleminin genel şeması.
Tüm kontroller başarıyla tamamlanırsa yükleyici, uzak sunucudan saldırganlar tarafından kullanılan tüm kötü amaçlı yürütülebilir modülleri içeren özel bir dosya (arşiv) indirir. Yukarıdaki kontrollerin yürütülmesine bağlı olarak uzak C&C sunucusundan indirilen arşivlerin farklılık gösterebileceğini belirtmek ilginçtir. Arşiv kötü amaçlı olabilir veya olmayabilir. Kötü amaçlı değilse kullanıcı için Windows Live Araç Çubuğu'nu yükler. Büyük ihtimalle saldırganlar, otomatik dosya analiz sistemlerini ve şüpheli dosyaların yürütüldüğü sanal makineleri kandırmak için benzer hilelere başvurmuşlardı.
NSIS indiricisi tarafından indirilen dosya, çeşitli kötü amaçlı yazılım modülleri içeren bir 7z arşividir. Aşağıdaki resim, bu kötü amaçlı yazılımın ve çeşitli modüllerinin tüm kurulum sürecini göstermektedir.
Pirinç. 5. Kötü amaçlı yazılımların nasıl çalıştığına dair genel şema.
Yüklenen modüller saldırganlar için farklı amaçlara hizmet etse de aynı şekilde paketleniyor ve birçoğu geçerli dijital sertifikalarla imzalanmış durumda. Saldırganların kampanyanın en başından beri kullandığı bu türden dört sertifika bulduk. Şikayetimiz üzerine bu sertifikalar iptal edildi. Tüm sertifikaların Moskova'da kayıtlı şirketlere verildiğini belirtmek ilginçtir.
Pirinç. 6. Kötü amaçlı yazılımı imzalamak için kullanılan dijital sertifika.
Aşağıdaki tablo, saldırganların bu kötü amaçlı kampanyada kullandığı dijital sertifikaları tanımlamaktadır.
Saldırganların kullandığı neredeyse tüm kötü amaçlı modüller aynı kurulum prosedürüne sahiptir. Kendiliğinden açılan, şifre korumalı 7zip arşivleridir.
Pirinç. 7. install.cmd toplu dosyasının parçası.
Toplu .cmd dosyası, sisteme kötü amaçlı yazılım yüklemekten ve çeşitli saldırgan araçlarını başlatmaktan sorumludur. Yürütme için eksik yönetim hakları gerekiyorsa, kötü amaçlı kod bunları elde etmek için çeşitli yöntemler kullanır (UAC'yi atlayarak). İlk yöntemi uygulamak için, l1.exe ve cc1.exe adı verilen ve UAC'yi atlama konusunda uzmanlaşmış iki yürütülebilir dosya kullanılır. Carberp'in kaynak kodu. Diğer bir yöntem ise CVE-2013-3660 güvenlik açığından yararlanmaya dayanıyor. Ayrıcalık yükseltmeyi gerektiren her kötü amaçlı yazılım modülü, istismarın hem 32 bit hem de 64 bit sürümünü içerir.
Bu kampanyayı takip ederken indirici tarafından yüklenen çeşitli arşivleri analiz ettik. Arşivlerin içeriği farklılık gösteriyordu; bu da saldırganların kötü amaçlı modülleri farklı amaçlarla uyarlayabileceği anlamına geliyordu.
Kullanıcı uzlaşması
Yukarıda da belirttiğimiz gibi saldırganlar, kullanıcıların bilgisayarlarını ele geçirmek için özel araçlar kullanır. Bu araçlar, mimi.exe ve xtm.exe yürütülebilir dosya adlarına sahip programları içerir. Saldırganların kurbanın bilgisayarının kontrolünü ele geçirmesine ve şu görevleri yerine getirmede uzmanlaşmasına yardımcı olurlar: Windows hesapları için parola alma/kurtarma, RDP hizmetini etkinleştirme, işletim sisteminde yeni bir hesap oluşturma.
Mimi.exe yürütülebilir dosyası, iyi bilinen bir açık kaynaklı aracın değiştirilmiş bir sürümünü içerir . Bu araç, Windows kullanıcı hesabı şifrelerini almanızı sağlar. Saldırganlar Mimikatz'ın kullanıcı etkileşiminden sorumlu kısmını kaldırdı. Yürütülebilir kod da değiştirildi, böylece Mimikatz başlatıldığında ayrıcalık::debug ve sekurlsa:logonPasswords komutlarıyla çalışacak.
Başka bir yürütülebilir dosya olan xtm.exe, sistemde RDP hizmetini etkinleştiren, işletim sisteminde yeni bir hesap oluşturmaya çalışan ve ayrıca birkaç kullanıcının aynı anda güvenliği ihlal edilmiş bir bilgisayara RDP aracılığıyla bağlanmasına izin verecek şekilde sistem ayarlarını değiştiren özel komut dosyalarını başlatır. Açıktır ki, bu adımlar ele geçirilen sistemin tam kontrolünü ele geçirmek için gereklidir.
Pirinç. 8. Sistemde xtm.exe tarafından yürütülen komutlar.
Saldırganlar, sisteme özel yazılım yüklemek için impack.exe adı verilen başka bir yürütülebilir dosya kullanıyor. Bu yazılıma LiteManager adı veriliyor ve saldırganlar tarafından arka kapı olarak kullanılıyor.
Pirinç. 9. LiteManager arayüzü.
Bir kullanıcının sistemine yüklendikten sonra LiteManager, saldırganların bu sisteme doğrudan bağlanmasına ve sistemi uzaktan kontrol etmesine olanak tanır. Bu yazılımın gizli kurulumu, özel güvenlik duvarı kurallarının oluşturulması ve modülünün başlatılması için özel komut satırı parametreleri vardır. Tüm parametreler saldırganlar tarafından kullanılır.
Saldırganlar tarafından kullanılan kötü amaçlı yazılım paketinin son modülü, pn_pack.exe yürütülebilir dosya adına sahip bir bankacılık kötü amaçlı yazılım programıdır (bankacı). Kullanıcıyı gözetleme konusunda uzmanlaşmıştır ve C&C sunucusuyla etkileşimden sorumludur. Bankacı meşru Yandex Punto yazılımı kullanılarak başlatılır. Punto, saldırganlar tarafından kötü amaçlı DLL kitaplıklarını (DLL Yan Yükleme yöntemi) başlatmak için kullanılır. Kötü amaçlı yazılımın kendisi aşağıdaki işlevleri gerçekleştirebilir:
- uzak bir sunucuya daha sonra iletilmek üzere klavye tuş vuruşlarını ve pano içeriğini izleyin;
- sistemde mevcut olan tüm akıllı kartları listeleyin;
- uzak bir C&C sunucusuyla etkileşime geçin.
Tüm bu görevlerin gerçekleştirilmesinden sorumlu olan kötü amaçlı yazılım modülü, şifrelenmiş bir DLL kütüphanesidir. Punto'nun yürütülmesi sırasında şifresi çözülür ve belleğe yüklenir. Yukarıdaki görevleri gerçekleştirmek için DLL yürütülebilir kodu üç iş parçacığını başlatır.
Saldırganların kendi amaçları için Punto yazılımını seçmesi sürpriz değil: Bazı Rus forumları, meşru yazılımdaki kusurların kullanıcıları tehlikeye atmak için kullanılması gibi konularda açıkça ayrıntılı bilgi sağlıyor.
Kötü amaçlı kitaplık, dizelerini şifrelemek için ve ayrıca C&C sunucusuyla ağ etkileşimleri sırasında RC4 algoritmasını kullanıyor. Her iki dakikada bir sunucuyla iletişim kurar ve bu süre zarfında ele geçirilen sistemde toplanan tüm verileri oraya iletir.
Pirinç. 10. Bot ile sunucu arasındaki ağ etkileşiminin bir parçası.
Aşağıda kütüphanenin alabileceği bazı C&C sunucusu talimatları bulunmaktadır.
Kötü amaçlı yazılım, C&C sunucusundan talimatlar almasına yanıt olarak bir durum koduyla yanıt verir. Analiz ettiğimiz tüm bankacı modüllerinin (derleme tarihi 18 Ocak olan en yenisi), C&C sunucusuna her mesajda gönderilen “TEST_BOTNET” dizesini içerdiğini belirtmek ilginçtir.
Sonuç
Saldırganlar, kurumsal kullanıcıları tehlikeye atmak için ilk aşamada bir açıktan yararlanma içeren kimlik avı mesajı göndererek şirketin bir çalışanını tehlikeye atar. Daha sonra, kötü amaçlı yazılım sisteme yüklendikten sonra, sistem üzerindeki yetkilerini önemli ölçüde genişletmelerine ve sistem üzerinde ek görevler gerçekleştirmelerine yardımcı olacak yazılım araçlarını kullanacaklar: kurumsal ağdaki diğer bilgisayarların güvenliğini ihlal etmek ve kullanıcıyı gözetlemek ve ayrıca gerçekleştirdiği bankacılık işlemleri.
Kaynak: habr.com