自去年年底以来,我们开始跟踪一个新的传播银行木马的恶意活动。 攻击者的重点是危害俄罗斯公司,即企业用户。 该恶意活动已经活跃了至少一年,除了银行木马之外,攻击者还使用了各种其他软件工具。 其中包括使用打包的特殊加载器 ,以及伪装成众所周知的合法 Yandex Punto 软件的间谍软件。 一旦攻击者成功侵入受害者的计算机,他们就会安装后门,然后安装银行木马。
对于他们的恶意软件,攻击者使用了几个有效的(当时)数字证书和特殊方法来绕过反病毒产品。 该恶意活动针对大量俄罗斯银行,并且特别令人感兴趣,因为攻击者使用了定向攻击中经常使用的方法,即并非纯粹出于金融欺诈动机的攻击。 我们可以注意到这次恶意活动与之前广为人知的重大事件之间存在一些相似之处。 我们正在谈论一个使用银行木马的网络犯罪组织 /.
攻击者仅在 Windows(本地化)中默认使用俄语的计算机上安装恶意软件。 该特洛伊木马的主要传播媒介是带有漏洞的 Word 文档。 ,作为文档的附件发送。 下面的屏幕截图显示了此类虚假文档的外观。 第一份文件的标题为“Invoice No. 522375-FLORL-14-115.doc”,第二份文件的标题为“kontrakt87.doc”,它是移动运营商 Megafon 提供电信服务的合同副本。
米。 1. 网络钓鱼文档。
米。 2.钓鱼文档的另一处修改。
以下事实表明攻击者的目标是俄罗斯企业:
- 使用指定主题的虚假文档传播恶意软件;
- 攻击者的策略及其使用的恶意工具;
- 某些可执行模块中指向业务应用程序的链接;
- 此活动中使用的恶意域名的名称。
攻击者在受感染的系统上安装的特殊软件工具使他们能够远程控制系统并监视用户活动。 为了执行这些功能,他们安装后门并尝试获取Windows帐户密码或创建新帐户。 攻击者还利用键盘记录器(键盘记录器)、Windows 剪贴板窃取程序以及用于处理智能卡的特殊软件的服务。 该组织试图破坏与受害者计算机位于同一本地网络的其他计算机。
我们的 ESET LiveGrid 遥测系统使我们能够快速跟踪恶意软件分布统计数据,为我们提供了有关攻击者在上述活动中使用的恶意软件分布的有趣地理统计数据。
米。 3. 本次恶意活动中使用的恶意软件的地理分布统计。
安装恶意软件
当用户在易受攻击的系统上打开带有漏洞的恶意文档后,将下载并执行使用 NSIS 打包的特殊下载程序。 在工作开始时,该程序会检查 Windows 环境中是否存在调试器或是否在虚拟机上下文中运行。 它还检查 Windows 的本地化以及用户是否在浏览器中访问过下表中列出的 URL。 API 用于此目的 使用FindFirst/下一个UrlCache条目 和 SoftwareMicrosoftInternet ExplorerTypedURLs 注册表项。
引导加载程序检查系统上是否存在以下应用程序。
流程列表确实令人印象深刻,正如您所看到的,它不仅包括银行应用程序。 例如,名为“scardsvr.exe”的可执行文件是指用于处理智能卡(Microsoft 智能卡读卡器)的软件。 银行木马本身具有使用智能卡的能力。
米。 4. 恶意软件安装过程总图。
如果所有检查均成功完成,加载程序将从远程服务器下载一个特殊文件(存档),其中包含攻击者使用的所有恶意可执行模块。 值得注意的是,根据上述检查的执行情况,从远程 C&C 服务器下载的档案可能会有所不同。 该存档可能是恶意的,也可能不是恶意的。 如果不是恶意的,它会为用户安装 Windows Live 工具栏。 最有可能的是,攻击者采用了类似的技巧来欺骗自动文件分析系统和执行可疑文件的虚拟机。
NSIS 下载器下载的文件是一个 7z 存档,其中包含各种恶意软件模块。 下图展示了该恶意软件及其各个模块的整个安装过程。
米。 5. 恶意软件如何工作的一般方案。
尽管加载的模块对攻击者有不同的用途,但它们的打包方式相同,并且其中许多模块都使用有效的数字证书进行了签名。 我们发现攻击者从活动一开始就使用了四个此类证书。 在我们投诉后,这些证书被撤销。 有趣的是,所有证书都是颁发给在莫斯科注册的公司的。
米。 6. 用于签署恶意软件的数字证书。
下表列出了攻击者在此恶意活动中使用的数字证书。
攻击者使用的几乎所有恶意模块都有相同的安装过程。 它们是受密码保护的自解压 7zip 存档。
米。 7. install.cmd 批处理文件的片段。
批处理 .cmd 文件负责在系统上安装恶意软件并启动各种攻击工具。 如果执行需要缺少管理权限,恶意代码会使用多种方法来获取它们(绕过 UAC)。 为了实现第一种方法,使用了两个名为 l1.exe 和 cc1.exe 的可执行文件,它们专门使用 卡伯普源代码。 另一种方法是基于利用 CVE-2013-3660 漏洞。 每个需要权限升级的恶意软件模块都包含 32 位和 64 位版本的漏洞利用。
在跟踪此活动时,我们分析了下载者上传的多个档案。 档案的内容各不相同,这意味着攻击者可以将恶意模块用于不同的目的。
用户妥协
正如我们上面提到的,攻击者使用特殊工具来危害用户的计算机。 这些工具包括可执行文件名为 mimi.exe 和 xtm.exe 的程序。 它们帮助攻击者控制受害者的计算机并专门执行以下任务:获取/恢复 Windows 帐户的密码、启用 RDP 服务、在操作系统中创建新帐户。
mimi.exe 可执行文件包含知名开源工具的修改版本 。 该工具允许您获取 Windows 用户帐户密码。 攻击者删除了 Mimikatz 中负责用户交互的部分。 可执行代码也已被修改,以便在启动时,Mimikatz 使用特权::debug 和 sekurlsa:logonPasswords 命令运行。
另一个可执行文件 xtm.exe 启动特殊脚本,在系统中启用 RDP 服务,尝试在操作系统中创建新帐户,并更改系统设置以允许多个用户通过 RDP 同时连接到受感染的计算机。 显然,这些步骤对于获得对受感染系统的完全控制是必要的。
米。 8. xtm.exe 在系统上执行的命令。
攻击者使用另一个名为 impack.exe 的可执行文件,该文件用于在系统上安装特殊软件。 该软件称为 LiteManager,被攻击者用作后门。
米。 9.LiteManager接口。
一旦安装在用户的系统上,LiteManager 就允许攻击者直接连接到该系统并远程控制它。 该软件具有特殊的命令行参数,用于隐藏安装、创建特殊的防火墙规则以及启动其模块。 所有参数都被攻击者使用。
攻击者使用的恶意软件包的最后一个模块是银行恶意软件程序(banker),可执行文件名为 pn_pack.exe。 她专门监视用户并负责与 C&C 服务器交互。 银行家是使用合法的 Yandex Punto 软件启动的。 攻击者利用 Punto 来启动恶意 DLL 库(DLL Side-Loading 方法)。 恶意软件本身可以执行以下功能:
- 跟踪键盘击键和剪贴板内容,以便随后传输到远程服务器;
- 列出系统中存在的所有智能卡;
- 与远程 C&C 服务器交互。
负责执行所有这些任务的恶意软件模块是一个加密的 DLL 库。 它在 Punto 执行期间被解密并加载到内存中。 为了执行上述任务,DLL 可执行代码启动三个线程。
攻击者选择 Punto 软件来达到其目的这一事实并不令人意外:一些俄罗斯论坛公开提供有关利用合法软件中的缺陷来危害用户等主题的详细信息。
该恶意库使用 RC4 算法加密其字符串,以及在与 C&C 服务器的网络交互期间加密。 它每两分钟与服务器联系一次,并向服务器传输在此期间在受感染系统上收集的所有数据。
米。 10. 机器人与服务器之间的网络交互片段。
以下是该库可以接收的一些 C&C 服务器指令。
为了响应从 C&C 服务器接收的指令,恶意软件会使用状态代码进行响应。 有趣的是,我们分析的所有银行家模块(最新的编译日期为 18 月 XNUMX 日)都包含字符串“TEST_BOTNET”,该字符串在每条消息中发送到 C&C 服务器。
结论
为了危害企业用户,攻击者在第一阶段通过发送带有漏洞的网络钓鱼消息来危害公司的一名员工。 接下来,一旦恶意软件安装在系统上,他们将使用软件工具来帮助他们显着扩展对系统的权限并在系统上执行其他任务:危害公司网络上的其他计算机并监视用户,以及他进行的银行交易。
来源: habr.com