O'tgan yilning oxiridan boshlab biz bank troyanini tarqatish bo'yicha yangi zararli kampaniyani kuzatishni boshladik. Hujumchilar Rossiya kompaniyalari, ya'ni korporativ foydalanuvchilarni buzishga e'tibor qaratishgan. Zararli kampaniya kamida bir yil davomida faol bo'ldi va tajovuzkorlar bank troyanidan tashqari, turli xil dasturiy vositalardan foydalanishga murojaat qilishdi. Bular yordamida qadoqlangan maxsus yuklagich kiradi
Buzg'unchilar zararli dasturlarni faqat sukut bo'yicha Windows tizimida rus tilidan foydalangan kompyuterlarga o'rnatdilar (lokalizatsiya). Troyanning asosiy tarqatish vektori ekspluatatsiyaga ega Word hujjati edi.
Guruch. 1. Fishing hujjati.
Guruch. 2. Fishing hujjatining yana bir modifikatsiyasi.
Quyidagi faktlar hujumchilar Rossiya korxonalarini nishonga olganligini ko‘rsatadi:
- ko'rsatilgan mavzu bo'yicha soxta hujjatlardan foydalangan holda zararli dasturlarni tarqatish;
- hujumchilarning taktikasi va ular ishlatadigan zararli vositalar;
- ba'zi bajariladigan modullardagi biznes ilovalariga havolalar;
- ushbu kampaniyada ishlatilgan zararli domenlar nomlari.
Buzg'unchilar buzilgan tizimga o'rnatadigan maxsus dasturiy vositalar ularga tizimni masofadan boshqarish va foydalanuvchi faoliyatini kuzatish imkonini beradi. Ushbu funktsiyalarni bajarish uchun ular orqa eshikni o'rnatadilar, shuningdek, Windows hisob qaydnomasi parolini olishga yoki yangi hisob yaratishga harakat qilishadi. Hujumchilar shuningdek, keylogger (keylogger), Windows clipboard o'g'irlash vositasi va smart-kartalar bilan ishlash uchun maxsus dasturiy ta'minot xizmatlariga murojaat qilishadi. Ushbu guruh jabrlanuvchining kompyuteri bilan bir xil mahalliy tarmoqdagi boshqa kompyuterlarni buzishga harakat qildi.
Zararli dasturlarni tarqatish statistikasini tezkor kuzatish imkonini beruvchi ESET LiveGrid telemetriya tizimimiz bizga eslatib o‘tilgan kampaniyada tajovuzkorlar tomonidan qo‘llaniladigan zararli dasturlarning tarqalishi bo‘yicha qiziqarli geografik statistik ma’lumotlarni taqdim etdi.
Guruch. 3. Ushbu zararli kampaniyada foydalanilgan zararli dasturlarning geografik tarqalishi bo'yicha statistika.
Zararli dasturlarni o'rnatish
Foydalanuvchi zaif tizimda ekspluatatsiyaga ega zararli hujjatni ochgandan so'ng, NSIS yordamida paketlangan maxsus yuklab oluvchi yuklab olinadi va u erda amalga oshiriladi. Ishning boshida dastur Windows muhitini u erda tuzatuvchilar mavjudligini yoki virtual mashina kontekstida ishlashini tekshiradi. Shuningdek, u Windows-ning lokalizatsiyasini va foydalanuvchi brauzerdagi jadvalda quyida keltirilgan URL-manzillarga tashrif buyurganligini tekshiradi. Buning uchun API ishlatiladi Birinchi top/NextUrlCacheEntry va SoftwareMicrosoftInternet ExplorerTypedURLs ro'yxatga olish kitobi kaliti.
Bootloader tizimda quyidagi ilovalar mavjudligini tekshiradi.
Jarayonlar ro'yxati haqiqatan ham ta'sirli va siz ko'rib turganingizdek, u nafaqat bank ilovalarini o'z ichiga oladi. Misol uchun, "scardsvr.exe" deb nomlangan bajariladigan fayl smart-kartalar (Microsoft SmartCard o'quvchi) bilan ishlash uchun dasturiy ta'minotga ishora qiladi. Bank troyanining o'zi smart-kartalar bilan ishlash qobiliyatini o'z ichiga oladi.
Guruch. 4. Zararli dasturlarni o'rnatish jarayonining umumiy diagrammasi.
Agar barcha tekshiruvlar muvaffaqiyatli yakunlangan bo'lsa, yuklovchi uzoq serverdan tajovuzkorlar tomonidan ishlatiladigan barcha zararli bajariladigan modullarni o'z ichiga olgan maxsus faylni (arxivni) yuklab oladi. Shunisi qiziqki, yuqoridagi tekshiruvlarning bajarilishiga qarab, masofaviy C&C serveridan yuklab olingan arxivlar farq qilishi mumkin. Arxiv zararli bo'lishi mumkin yoki bo'lmasligi mumkin. Agar zararli bo'lmasa, u foydalanuvchi uchun Windows Live asboblar panelini o'rnatadi. Ehtimol, tajovuzkorlar shubhali fayllar bajariladigan avtomatik fayllarni tahlil qilish tizimlari va virtual mashinalarni aldash uchun xuddi shunday hiyla-nayranglarga murojaat qilishgan.
NSIS yuklab oluvchi tomonidan yuklab olingan fayl turli zararli dasturlar modullarini o'z ichiga olgan 7z arxividir. Quyidagi rasmda ushbu zararli dastur va uning turli modullarini o'rnatish jarayoni ko'rsatilgan.
Guruch. 5. Zararli dastur qanday ishlashining umumiy sxemasi.
Yuklangan modullar tajovuzkorlar uchun turli maqsadlarda xizmat qilsa-da, ular bir xil tarzda paketlangan va ularning ko'pchiligi haqiqiy raqamli sertifikatlar bilan imzolangan. Biz hujumchilar kampaniyaning boshidanoq foydalangan to'rtta shunday sertifikatni topdik. Bizning shikoyatimizdan keyin bu sertifikatlar bekor qilindi. Shunisi qiziqki, barcha sertifikatlar Moskvada ro'yxatdan o'tgan kompaniyalarga berilgan.
Guruch. 6. Zararli dasturni imzolash uchun foydalanilgan raqamli sertifikat.
Quyidagi jadval tajovuzkorlar ushbu zararli kampaniyada foydalangan raqamli sertifikatlarni aniqlaydi.
Buzg'unchilar tomonidan ishlatiladigan deyarli barcha zararli modullar bir xil o'rnatish tartibiga ega. Ular parol bilan himoyalangan o'z-o'zidan ochiladigan 7zip arxivlardir.
Guruch. 7. install.cmd ommaviy ish faylining fragmenti.
Ommaviy .cmd fayli tizimga zararli dasturlarni o'rnatish va turli xil hujum vositalarini ishga tushirish uchun javobgardir. Agar ijro etish uchun etishmayotgan ma'muriy huquqlar kerak bo'lsa, zararli kod ularni olish uchun bir nechta usullardan foydalanadi (UACni chetlab o'tish). Birinchi usulni amalga oshirish uchun l1.exe va cc1.exe deb nomlangan ikkita bajariladigan fayl ishlatiladi, ular UACni chetlab o'tishga ixtisoslashgan.
Ushbu kampaniyani kuzatishda biz yuklab oluvchi tomonidan yuklangan bir nechta arxivlarni tahlil qildik. Arxivlar mazmuni xilma-xil edi, ya'ni tajovuzkorlar zararli modullarni turli maqsadlar uchun moslashtira oladi.
Foydalanuvchining kelishuvi
Yuqorida aytib o'tganimizdek, tajovuzkorlar foydalanuvchilarning kompyuterlarini buzish uchun maxsus vositalardan foydalanadilar. Bu vositalarga mimi.exe va xtm.exe bajariladigan fayl nomlari bo'lgan dasturlar kiradi. Ular tajovuzkorlarga jabrlanuvchining kompyuterini nazorat qilishda yordam beradi va quyidagi vazifalarni bajarishga ixtisoslashgan: Windows hisoblari uchun parollarni olish/qayta tiklash, RDP xizmatini yoqish, OTda yangi hisob yaratish.
Mimi.exe executable fayli taniqli ochiq manbali vositaning o'zgartirilgan versiyasini o'z ichiga oladi
Boshqa bajariladigan fayl, xtm.exe, tizimda RDP xizmatini faollashtiradigan maxsus skriptlarni ishga tushiradi, OTda yangi hisob yaratishga harakat qiladi, shuningdek, bir nechta foydalanuvchilarga RDP orqali buzilgan kompyuterga bir vaqtning o'zida ulanish imkonini beradigan tizim sozlamalarini o'zgartiradi. Shubhasiz, bu qadamlar buzilgan tizimni to'liq nazorat qilish uchun zarurdir.
Guruch. 8. Tizimda xtm.exe tomonidan bajariladigan buyruqlar.
Hujumchilar impack.exe deb nomlangan boshqa bajariladigan fayldan foydalanadilar, bu fayl tizimga maxsus dasturlarni o'rnatish uchun ishlatiladi. Ushbu dastur LiteManager deb ataladi va tajovuzkorlar tomonidan orqa eshik sifatida ishlatiladi.
Guruch. 9. LiteManager interfeysi.
LiteManager foydalanuvchi tizimiga oʻrnatilgach, tajovuzkorlarga ushbu tizimga bevosita ulanish va uni masofadan boshqarish imkonini beradi. Ushbu dastur yashirin o'rnatish, maxsus xavfsizlik devori qoidalarini yaratish va modulini ishga tushirish uchun maxsus buyruq qatori parametrlariga ega. Barcha parametrlar hujumchilar tomonidan qo'llaniladi.
Buzg'unchilar tomonidan ishlatiladigan zararli dasturlar paketining oxirgi moduli pn_pack.exe bajariladigan fayl nomiga ega bo'lgan bank zararli dasturlari (bankir) dasturidir. U foydalanuvchiga josuslik qilishga ixtisoslashgan va C&C serveri bilan o'zaro aloqa qilish uchun javobgardir. Bankir qonuniy Yandex Punto dasturi yordamida ishga tushirilgan. Punto tajovuzkorlar tomonidan zararli DLL kutubxonalarini ishga tushirish uchun ishlatiladi (DLL Side-Loading usuli). Zararli dasturning o'zi quyidagi funktsiyalarni bajarishi mumkin:
- uzoq serverga keyinchalik uzatish uchun klaviatura tugmalarini va almashish buferi tarkibini kuzatish;
- tizimda mavjud bo'lgan barcha smart-kartalarni sanab o'ting;
- masofaviy C&C server bilan o'zaro aloqada bo'ling.
Bu barcha vazifalarni bajarish uchun mas'ul bo'lgan zararli dastur moduli shifrlangan DLL kutubxonasidir. Punto ijrosi paytida u paroldan chiqariladi va xotiraga yuklanadi. Yuqoridagi vazifalarni bajarish uchun DLL bajariladigan kod uchta ipni ishga tushiradi.
Buzg'unchilar o'z maqsadlari uchun Punto dasturiy ta'minotini tanlagani ajablanarli emas: ba'zi rus forumlari foydalanuvchilarni murosaga keltirish uchun qonuniy dasturiy ta'minotdagi kamchiliklardan foydalanish kabi mavzular bo'yicha batafsil ma'lumotni ochiqchasiga taqdim etadi.
Zararli kutubxona RC4 algoritmidan o'z satrlarini shifrlash uchun, shuningdek, C&C serveri bilan tarmoq o'zaro aloqasi vaqtida foydalanadi. U har ikki daqiqada server bilan bog'lanadi va shu vaqt ichida buzilgan tizimda to'plangan barcha ma'lumotlarni u erga uzatadi.
Guruch. 10. Bot va server o'rtasidagi tarmoq o'zaro ta'sirining fragmenti.
Quyida kutubxona qabul qilishi mumkin boʻlgan C&C server koʻrsatmalari keltirilgan.
C&C serveridan ko'rsatmalar olishiga javoban, zararli dastur holat kodi bilan javob beradi. Shunisi qiziqki, biz tahlil qilgan barcha bankir modullarida (eng oxirgisi 18 yanvarda tuzilgan) har bir xabarda C&C serveriga yuboriladigan “TEST_BOTNET” qatori mavjud.
xulosa
Korporativ foydalanuvchilarni murosaga keltirish uchun tajovuzkorlar birinchi bosqichda kompaniyaning bir xodimini ekspluatatsiya bilan fishing xabarini yuborish orqali murosaga keltiradilar. Keyinchalik, zararli dastur tizimga o'rnatilgandan so'ng, ular tizimdagi vakolatlarini sezilarli darajada kengaytirishga va unda qo'shimcha vazifalarni bajarishga yordam beradigan dasturiy vositalardan foydalanadilar: korporativ tarmoqdagi boshqa kompyuterlarni buzish va foydalanuvchiga josuslik qilish, shuningdek u amalga oshiradigan bank operatsiyalari.
Manba: www.habr.com