Зловмисники використовують комплексне шкідливе програмне забезпечення для атак на російський бізнес

З кінця минулого року ми почали відслідковувати нову шкідливу кампанію щодо поширення банківського трояна. Зловмисники орієнтувалися компрометацію російських компаній, т. е. корпоративних користувачів. Шкідлива кампанія була активна щонайменше рік і крім банківського трояна, зловмисники вдавалися до використання інших різних програмних інструментів. До них відносяться спеціальний завантажувач, упакований з використанням Nsis, та шпигунське ПЗ, яке замасковано під відоме легітимне ПЗ Yandex Punto. Щойно зловмисникам удалося скомпрометувати комп'ютер жертви, вони встановлюють туди бекдор, а потім банківську троянську програму.

Для своїх шкідливих програм зловмисники використовували кілька дійсних (на той час) цифрових сертифікатів та спеціальні методи обходу AV-продуктів. Шкідлива кампанія була спрямована на велику кількість російських банків і становить особливий інтерес, оскільки зловмисники використовували для неї ті методи, які часто використовуються в спрямованих атаках, тобто атаках, не мотивованих суто фінансовим шахрайством. Можна відзначити деяку подібність цієї шкідливої ​​кампанії з великим інцидентом, який здобув велику популярність раніше. Йдеться про кіберзлочинну групу, яка використовувала банківський троян. Анунак/Карбанак.

Зловмисники встановлювали шкідливе програмне забезпечення лише на ті комп'ютери, які використовували російську мову в Windows (локалізація) за умовчанням. Основним вектором поширення трояна був документ Word з експлойтом CVE-2012-0158, що розсилався як вкладення до документа. Внизу на скріншотах показано зовнішній вигляд таких підроблених документів. Перший документ під назвою «Рахунок № 522375-ФЛОРЛ-14-115.doc», а другий «kontrakt87.doc», він є копією контракту на надання телекомунікаційних послуг мобільного оператора Мегафон.

Мал. 1. Фішинговий документ.

Мал. 2. Інша модифікація фішингового документа.

Наступні факти свідчать про те, що зловмисники орієнтувалися на російський бізнес:

• поширення шкідливого програмного забезпечення з використанням фальшивих документів зазначеної тематики;
• тактика зловмисників та використовувані ними шкідливі інструменти;
• посилання на бізнес-додатки в деяких модулях;
• назви шкідливих доменів, які використовувалися у цій кампанії.

Спеціальні програмні інструменти, які зловмисники встановлюють у скомпрометованій системі, дозволяють їм отримувати віддалений контроль за системою та відстежувати діяльність користувача. Для виконання цих функцій вони встановлюють бекдор, а також намагаються отримати пароль від облікового запису Windows або створити новий обліковий запис. Зловмисники також вдаються до послуг кейлоггера (клавіатурного шпигуна), викрадача інформації з буфера обміну Windows (clipboard stealer), а також спеціального програмного забезпечення для роботи зі смарт-картами. Ця група намагалася скомпрометувати й інші комп'ютери, які були в тій же локальній мережі, що й комп'ютер жертви.

Наша система телеметрії ESET LiveGrid, яка дозволяє оперативно відстежувати статистику розповсюдження шкідливого програмного забезпечення, надала нам цікаву географічну статистику поширення шкідливого програмного забезпечення, використаного зловмисниками у згаданій кампанії.

Мал. 3. Статистика географічного поширення шкідливого ПЗ, яке використовувалося у цій шкідливій кампанії.

Інсталяція шкідливого ПЗ

Після відкриття користувачем шкідливого документа з експлойтом на вразливій системі, туди буде завантажено та виконано спеціальний завантажувач (downloader), упакований за допомогою NSIS. На початку своєї роботи програма перевіряє оточення Windows щодо присутності там відладчиків або запуску в контексті віртуальної машини. Вона також перевіряє локалізацію Windows і чи відвідував користувач нижче перелічені в таблиці URL-адреси у браузері. Для цього використовуються API FindFirst/NextUrlCacheEntry та розділ реєстру SoftwareMicrosoftInternet ExplorerTypedURLs.

Завантажувач перевіряє наявність у системі наступних програм.

Список процесів справді вражає і, очевидно, у ньому присутні як банківські докладання. Наприклад, файл, що виконується, з ім'ям «scardsvr.exe» відноситься до ПЗ для роботи зі смарт-картами (Microsoft SmartCard reader). Сам банківський троян має у своєму складі можливості роботи зі смарт-картами.

Мал. 4. Загальна схема процесу встановлення шкідливого ПЗ.

У разі успішного виконання всіх перевірок, завантажувач завантажує з віддаленого сервера спеціальний файл (архів), який містить усі шкідливі модулі, що використовуються зловмисниками. Цікаво відзначити, що в залежності від виконання вищеперелічених перевірок, архіви, що скачуються з віддаленого C&C-сервера, можуть відрізнятися. Архів може бути шкідливим і ні. У випадку нешкідливого, він інсталює користувачеві Windows Live Toolbar. Швидше за все, зловмисники пішли на такі хитрощі для обману автоматичних систем аналізу файлів та віртуальних машин, на яких виконуються підозрілі файли.

Завантажувачем файл, що завантажується NSIS, являє собою 7z архів, який містить різні модулі шкідливих програм. На малюнку нижче показано весь процес встановлення цього шкідливого ПЗ та його різні модулі.

Мал. 5. Загальна схема роботи шкідливого ПЗ.

Хоча завантажені модулі служать для виконання різних завдань зловмисників, вони однаково упаковані і багато хто з них був підписаний дійсними цифровими сертифікатами. Ми виявили чотири такі сертифікати, які зловмисники використали від початку кампанії. Після нашої скарги ці сертифікати було відкликано. Цікаво відзначити, що всі сертифікати було видано компаніям, зареєстрованим у Москві.

Мал. 6. Цифровий сертифікат, який використовувався для підписання шкідливого програмного забезпечення.

У наступній таблиці вказано цифрові сертифікати, які зловмисники використовували у цій шкідливій кампанії.

Майже всі шкідливі модулі, які використовуються зловмисниками, мають ідентичну процедуру установки. Вони являють собою архіви формату 7zip, що саморозпаковуються, які захищені паролем.

Мал. 7. Фрагмент пакетного файлу install.cmd.

Пакетний .cmd файл відповідає за встановлення в систему шкідливого програмного забезпечення та запуск різних інструментів зловмисників. Якщо для виконання необхідних прав адміністратора, шкідливий код використовує кілька способів їх отримання (обхід UAC). Для реалізації першого способу залучаються два файли з назвами l1.exe і cc1.exe, які спеціалізуються на обході UAC механізмом з втекли вихідні тексти Carberp. Інший спосіб заснований на експлуатації вразливості CVE-2013-3660. Кожен модуль шкідливої ​​програми, якому потрібне підвищення привілеїв, містить як 32-бітну, так і 64-бітну версію експлойта.

За час відстеження цієї кампанії ми проаналізували кілька архівів, які завантажуються завантажувачем. Вміст архівів відрізнявся, тобто зловмисники могли адаптувати шкідливі модулі під різні цілі.

Компрометація користувача

Як ми згадували вище, зловмисники використовують спеціальні інструменти компрометації комп'ютерів користувачів. До таких інструментів належать програми з назвами виконуваних файлів mimi.exe та xtm.exe. Вони допомагають зловмисникам встановити контроль за комп'ютером жертви та спеціалізуються на виконанні наступних завдань: отримання/відновлення паролів до облікових записів Windows, включення сервісу RDP, створення нового облікового запису в ОС.

Виконуваний файл mimi.exe включає модифіковану версію відомого інструменту з відкритими вихідними текстами Мімікац. Цей інструмент дозволяє отримувати паролі облікових записів користувачів Windows. Зловмисники видалили з Mimikatz ту частину, яка відповідає за взаємодію з користувачем. Виконуваний код був модифікований таким чином, щоб при запуску Mimikatz запускався з командами privilege::debug і sekurlsa:logonPasswords.

Інший файл xtm.exe, що виконується, запускає на виконання спеціальні скрипти, які включають в системі сервіс RDP, намагаються створити новий акаунт в ОС, а також змінюють системні налаштування таким чином, щоб дозволити кільком користувачам одночасно підключатися до скомпрометованого комп'ютера через RDP. Очевидно, що ці кроки необхідні для отримання повного контролю над скомпрометованою системою.

Мал. 8. Команди, що виконуються xtm.exe у системі.

Зловмисники використовують ще один файл, що виконується під назвою impack.exe, за допомогою якого в систему встановлюється спеціальне ПЗ. Це ПЗ називається LiteManager і використовується зловмисниками як бекдор.

Мал. 9. Інтерфейс LiteManager.

Будучи встановленим у систему користувача, LiteManager дозволяє зловмисникам безпосередньо підключатися до цієї системи та віддалено керувати нею. Це програмне забезпечення має спеціальні параметри командного рядка для своєї скритної установки, створення спеціальних правил фаєрвола, і запуску свого модуля. Усі параметри використовуються зловмисниками.

Останній модуль з того комплекту шкідливого ПЗ, який використовується зловмисниками, є банківською шкідливою програмою (banker) з назвою виконуваного файлу pn_pack.exe. Вона спеціалізується на шпигунстві за користувачем та відповідає за взаємодію з керуючим C&C-сервером. Запуск банкера виконується за допомогою легітимного ПЗ Yandex Punto. Punto використовується зловмисниками для запуску шкідливої ​​бібліотеки DLL (метод DLL Side-Loading). Саме шкідливе програмне забезпечення може виконувати такі функції:

• відстежувати натискання клавіш клавіатури та вміст буфера обміну для їхньої подальшої передачі на віддалений сервер;
• перераховувати всі смарт-картки, які є у системі;
• взаємодіяти з віддаленим C&C-сервером.

Модуль шкідливої ​​програми, який відповідає за виконання всіх цих завдань, є зашифрованою DLL бібліотекою. Вона розшифровується та завантажується в пам'ять у процесі виконання Punto. Для виконання перерахованих вище завдань, виконуваний код DLL запускає три потоки.

Той факт, що зловмисники вибрали ПЗ Punto для своїх цілей, не є сюрпризом: деякі російські форуми відкрито надають детальну інформацію з такої теми як використання недоробок у легітимному ПЗ для компрометації користувачів.

Шкідлива бібліотека використовує алгоритм RC4 для шифрування своїх рядків, а також при мережній взаємодії з C&C-сервером. Вона пов'язується з сервером кожні дві хвилини і передає туди всі дані, зібрані на скомпрометованій системі за цей проміжок часу.

Мал. 10. Фрагмент мережевої взаємодії між ботом та сервером.

Нижче наведено деякі інструкції C&C-сервера, які може отримувати бібліотека.

У відповідь на отримання інструкцій з C&C-сервера шкідлива програма відповідає йому кодом статусу. Цікаво відзначити, що всі модулі банкера, які ми проаналізували (найпізніший з датою компіляції 18 січня), містять рядок «TEST_BOTNET», який відправляється в кожному повідомленні на C&C-сервер.

Висновок

Для компрометації корпоративних користувачів зловмисники першому етапі компрометують одного співробітника компанії шляхом відправки фішингового повідомлення з експлойтом. Далі, як тільки шкідлива програма буде встановлена ​​в систему, вони скористаються програмними інструментами, які допоможуть їм значно розширити повноваження в системі та виконувати на ній додаткові завдання: компрометувати інші комп'ютери в корпоративній мережі та шпигувати за користувачем, а також за банківськими транзакціями, які він виконує.

Джерело: habr.com