Kể từ cuối năm ngoái, chúng tôi đã bắt đầu theo dõi một chiến dịch độc hại mới nhằm phát tán Trojan ngân hàng. Những kẻ tấn công tập trung vào việc xâm phạm các công ty Nga, tức là người dùng doanh nghiệp. Chiến dịch độc hại này đã hoạt động ít nhất một năm và ngoài Trojan ngân hàng, những kẻ tấn công còn sử dụng nhiều công cụ phần mềm khác. Chúng bao gồm một bộ nạp đặc biệt được đóng gói bằng cách sử dụng và phần mềm gián điệp được ngụy trang dưới dạng phần mềm Yandex Punto hợp pháp nổi tiếng. Khi những kẻ tấn công đã xâm nhập được vào máy tính của nạn nhân, chúng sẽ cài đặt một cửa hậu và sau đó là một Trojan ngân hàng.
Đối với phần mềm độc hại của mình, những kẻ tấn công đã sử dụng một số chứng chỉ kỹ thuật số hợp lệ (tại thời điểm đó) và các phương pháp đặc biệt để vượt qua các sản phẩm AV. Chiến dịch độc hại nhắm vào một số lượng lớn các ngân hàng Nga và được đặc biệt quan tâm vì những kẻ tấn công đã sử dụng các phương pháp thường được sử dụng trong các cuộc tấn công có chủ đích, tức là các cuộc tấn công không hoàn toàn có động cơ là gian lận tài chính. Chúng ta có thể lưu ý một số điểm tương đồng giữa chiến dịch độc hại này và một sự cố lớn đã nhận được sự chú ý lớn trước đó. Chúng ta đang nói về một nhóm tội phạm mạng đã sử dụng Trojan ngân hàng /.
Những kẻ tấn công chỉ cài đặt phần mềm độc hại trên những máy tính sử dụng ngôn ngữ tiếng Nga trong Windows (bản địa hóa) theo mặc định. Vectơ phân phối chính của Trojan là một tài liệu Word có lỗ hổng. , được gửi dưới dạng phần đính kèm của tài liệu. Các ảnh chụp màn hình bên dưới cho thấy sự xuất hiện của các tài liệu giả mạo như vậy. Tài liệu đầu tiên có tựa đề “Hóa đơn số 522375-FLORL-14-115.doc”, và tài liệu thứ hai “kontrakt87.doc”, đây là bản sao hợp đồng cung cấp dịch vụ viễn thông của nhà mạng di động Megafon.
Cơm. 1. Tài liệu lừa đảo.
Cơm. 2. Một sửa đổi khác của tài liệu lừa đảo.
Các sự kiện sau đây chỉ ra rằng những kẻ tấn công đang nhắm mục tiêu vào các doanh nghiệp Nga:
- phân phối phần mềm độc hại bằng cách sử dụng tài liệu giả mạo về chủ đề được chỉ định;
- chiến thuật của những kẻ tấn công và các công cụ độc hại mà chúng sử dụng;
- liên kết đến các ứng dụng kinh doanh trong một số mô-đun thực thi;
- tên của các miền độc hại đã được sử dụng trong chiến dịch này.
Các công cụ phần mềm đặc biệt mà kẻ tấn công cài đặt trên hệ thống bị xâm nhập cho phép chúng giành quyền kiểm soát hệ thống từ xa và giám sát hoạt động của người dùng. Để thực hiện các chức năng này, chúng cài đặt một cửa sau và cố gắng lấy mật khẩu tài khoản Windows hoặc tạo một tài khoản mới. Những kẻ tấn công cũng sử dụng các dịch vụ của keylogger (keylogger), phần mềm đánh cắp clipboard của Windows và phần mềm đặc biệt để làm việc với thẻ thông minh. Nhóm này đã cố gắng xâm nhập các máy tính khác trên cùng mạng cục bộ với máy tính của nạn nhân.
Hệ thống đo từ xa ESET LiveGrid của chúng tôi, cho phép chúng tôi nhanh chóng theo dõi số liệu thống kê phân phối phần mềm độc hại, đã cung cấp cho chúng tôi số liệu thống kê địa lý thú vị về việc phân phối phần mềm độc hại được những kẻ tấn công sử dụng trong chiến dịch được đề cập.
Cơm. 3. Thống kê về sự phân bố địa lý của phần mềm độc hại được sử dụng trong chiến dịch độc hại này.
Cài đặt phần mềm độc hại
Sau khi người dùng mở một tài liệu độc hại có lỗ hổng khai thác trên hệ thống dễ bị tấn công, một trình tải xuống đặc biệt được đóng gói bằng NSIS sẽ được tải xuống và thực thi ở đó. Khi bắt đầu công việc, chương trình sẽ kiểm tra môi trường Windows xem có sự hiện diện của trình gỡ lỗi ở đó hay không hoặc chạy trong bối cảnh của máy ảo. Nó cũng kiểm tra quá trình bản địa hóa của Windows và liệu người dùng đã truy cập các URL được liệt kê bên dưới trong bảng trên trình duyệt hay chưa. API được sử dụng cho việc này Tìm đầu tiên/Tiếp theoUrlCacheEntry và khóa đăng ký SoftwareMicrosoftInternet ExplorerTypedURLs.
Bộ nạp khởi động kiểm tra sự hiện diện của các ứng dụng sau trên hệ thống.
Danh sách các quy trình thực sự ấn tượng và như bạn có thể thấy, nó không chỉ bao gồm các ứng dụng ngân hàng. Ví dụ: tệp thực thi có tên “scardsvr.exe” đề cập đến phần mềm làm việc với thẻ thông minh (trình đọc Microsoft SmartCard). Bản thân Trojan ngân hàng bao gồm khả năng hoạt động với thẻ thông minh.
Cơm. 4. Sơ đồ chung quá trình cài đặt phần mềm độc hại.
Nếu tất cả quá trình kiểm tra hoàn tất thành công, trình tải sẽ tải xuống một tệp đặc biệt (kho lưu trữ) từ máy chủ từ xa, tệp này chứa tất cả các mô-đun thực thi độc hại được kẻ tấn công sử dụng. Điều thú vị cần lưu ý là tùy thuộc vào việc thực hiện các bước kiểm tra trên, các kho lưu trữ được tải xuống từ máy chủ C&C từ xa có thể khác nhau. Kho lưu trữ có thể độc hại hoặc không độc hại. Nếu không độc hại, nó sẽ cài đặt Windows Live Toolbar cho người dùng. Rất có thể, những kẻ tấn công đã sử dụng các thủ thuật tương tự để đánh lừa các hệ thống phân tích tệp tự động và các máy ảo nơi thực thi các tệp đáng ngờ.
Tệp được trình tải xuống NSIS tải xuống là tệp lưu trữ 7z chứa nhiều mô-đun phần mềm độc hại khác nhau. Hình ảnh bên dưới hiển thị toàn bộ quá trình cài đặt phần mềm độc hại này và các mô-đun khác nhau của nó.
Cơm. 5. Sơ đồ chung về cách thức hoạt động của phần mềm độc hại.
Mặc dù các mô-đun được tải phục vụ những mục đích khác nhau cho kẻ tấn công nhưng chúng được đóng gói giống hệt nhau và nhiều mô-đun trong số đó được ký bằng chứng chỉ kỹ thuật số hợp lệ. Chúng tôi đã tìm thấy bốn chứng chỉ như vậy mà những kẻ tấn công đã sử dụng ngay từ đầu chiến dịch. Sau khiếu nại của chúng tôi, các chứng chỉ này đã bị thu hồi. Điều thú vị cần lưu ý là tất cả các chứng chỉ đều được cấp cho các công ty đăng ký tại Moscow.
Cơm. 6. Chứng chỉ kỹ thuật số đã được sử dụng để ký phần mềm độc hại.
Bảng sau đây xác định các chứng chỉ kỹ thuật số mà những kẻ tấn công đã sử dụng trong chiến dịch độc hại này.
Hầu như tất cả các mô-đun độc hại được kẻ tấn công sử dụng đều có quy trình cài đặt giống hệt nhau. Chúng là các kho lưu trữ 7zip tự giải nén được bảo vệ bằng mật khẩu.
Cơm. 7. Một đoạn của tệp bó install.cmd.
Tệp batch .cmd chịu trách nhiệm cài đặt phần mềm độc hại trên hệ thống và khởi chạy nhiều công cụ tấn công khác nhau. Nếu việc thực thi yêu cầu thiếu quyền quản trị, mã độc sẽ sử dụng một số phương pháp để chiếm được chúng (bỏ qua UAC). Để triển khai phương pháp đầu tiên, hai tệp thực thi có tên l1.exe và cc1.exe được sử dụng, chuyên vượt qua UAC bằng cách sử dụng Mã nguồn Carberp. Một phương pháp khác dựa trên việc khai thác lỗ hổng CVE-2013-3660. Mỗi mô-đun phần mềm độc hại yêu cầu leo thang đặc quyền đều chứa cả phiên bản khai thác 32 bit và 64 bit.
Trong khi theo dõi chiến dịch này, chúng tôi đã phân tích một số kho lưu trữ do người tải xuống tải lên. Nội dung của kho lưu trữ rất đa dạng, có nghĩa là kẻ tấn công có thể điều chỉnh các mô-đun độc hại cho các mục đích khác nhau.
Sự thỏa hiệp của người dùng
Như chúng tôi đã đề cập ở trên, kẻ tấn công sử dụng các công cụ đặc biệt để xâm nhập máy tính của người dùng. Những công cụ này bao gồm các chương trình có tên tệp thực thi mimi.exe và xtm.exe. Chúng giúp kẻ tấn công chiếm quyền kiểm soát máy tính của nạn nhân và chuyên thực hiện các tác vụ sau: lấy/khôi phục mật khẩu tài khoản Windows, kích hoạt dịch vụ RDP, tạo tài khoản mới trong HĐH.
Tệp thực thi mimi.exe bao gồm phiên bản sửa đổi của một công cụ nguồn mở nổi tiếng . Công cụ này cho phép bạn lấy mật khẩu tài khoản người dùng Windows. Những kẻ tấn công đã loại bỏ phần khỏi Mimikatz chịu trách nhiệm tương tác với người dùng. Mã thực thi cũng đã được sửa đổi để khi khởi chạy, Mimikatz chạy với các lệnh đặc quyền::debug và sekurlsa:logonPasswords.
Một tệp thực thi khác, xtm.exe, khởi chạy các tập lệnh đặc biệt kích hoạt dịch vụ RDP trong hệ thống, cố gắng tạo tài khoản mới trong HĐH, đồng thời thay đổi cài đặt hệ thống để cho phép nhiều người dùng kết nối đồng thời với máy tính bị xâm nhập thông qua RDP. Rõ ràng, các bước này là cần thiết để giành được toàn quyền kiểm soát hệ thống bị xâm nhập.
Cơm. 8. Các lệnh thực thi bởi xtm.exe trên hệ thống.
Những kẻ tấn công sử dụng một tệp thực thi khác có tên impack.exe, tệp này được sử dụng để cài đặt phần mềm đặc biệt trên hệ thống. Phần mềm này được gọi là LiteManager và được những kẻ tấn công sử dụng làm cửa sau.
Cơm. 9. Giao diện LiteManager.
Sau khi được cài đặt trên hệ thống của người dùng, LiteManager cho phép kẻ tấn công kết nối trực tiếp với hệ thống đó và điều khiển nó từ xa. Phần mềm này có các tham số dòng lệnh đặc biệt để cài đặt ẩn, tạo các quy tắc tường lửa đặc biệt và khởi chạy mô-đun của nó. Tất cả các tham số được sử dụng bởi những kẻ tấn công.
Mô-đun cuối cùng của gói phần mềm độc hại được kẻ tấn công sử dụng là chương trình phần mềm độc hại ngân hàng (banker) có tên tệp thực thi là pn_pack.exe. Cô ấy chuyên theo dõi người dùng và chịu trách nhiệm tương tác với máy chủ C&C. Nhân viên ngân hàng được khởi chạy bằng phần mềm Yandex Punto hợp pháp. Punto được kẻ tấn công sử dụng để khởi chạy các thư viện DLL độc hại (phương thức DLL Side-Loading). Bản thân phần mềm độc hại có thể thực hiện các chức năng sau:
- theo dõi các lần nhấn phím trên bàn phím và nội dung clipboard để truyền tiếp theo đến máy chủ từ xa;
- liệt kê tất cả các thẻ thông minh có trong hệ thống;
- tương tác với máy chủ C&C từ xa.
Mô-đun phần mềm độc hại chịu trách nhiệm thực hiện tất cả các tác vụ này là một thư viện DLL được mã hóa. Nó được giải mã và tải vào bộ nhớ trong quá trình thực thi Punto. Để thực hiện các tác vụ trên, mã thực thi DLL bắt đầu ba luồng.
Việc những kẻ tấn công chọn phần mềm Punto cho mục đích của chúng không có gì đáng ngạc nhiên: một số diễn đàn ở Nga công khai cung cấp thông tin chi tiết về các chủ đề như sử dụng lỗ hổng trong phần mềm hợp pháp để xâm phạm người dùng.
Thư viện độc hại sử dụng thuật toán RC4 để mã hóa chuỗi của nó, cũng như trong quá trình tương tác mạng với máy chủ C&C. Nó liên lạc với máy chủ hai phút một lần và truyền đến đó tất cả dữ liệu được thu thập trên hệ thống bị xâm nhập trong khoảng thời gian này.
Cơm. 10. Đoạn tương tác mạng giữa bot và máy chủ.
Dưới đây là một số hướng dẫn máy chủ C&C mà thư viện có thể nhận được.
Để phản hồi việc nhận hướng dẫn từ máy chủ C&C, phần mềm độc hại sẽ phản hồi bằng mã trạng thái. Điều thú vị cần lưu ý là tất cả các mô-đun ngân hàng mà chúng tôi đã phân tích (mô-đun gần đây nhất có ngày tổng hợp là ngày 18 tháng XNUMX) đều chứa chuỗi “TEST_BOTNET”, được gửi trong mỗi tin nhắn đến máy chủ C&C.
Kết luận
Để xâm phạm người dùng doanh nghiệp, những kẻ tấn công ở giai đoạn đầu tiên sẽ xâm phạm một nhân viên của công ty bằng cách gửi tin nhắn lừa đảo có khai thác. Tiếp theo, sau khi phần mềm độc hại được cài đặt trên hệ thống, chúng sẽ sử dụng các công cụ phần mềm giúp chúng mở rộng đáng kể quyền hạn của mình trên hệ thống và thực hiện các tác vụ bổ sung trên hệ thống: xâm phạm các máy tính khác trong mạng công ty và theo dõi người dùng, cũng như theo dõi người dùng. các giao dịch ngân hàng mà anh ta thực hiện.
Nguồn: www.habr.com