自去年年底以來,我們開始追蹤一個新的傳播銀行木馬的惡意活動。 攻擊者的重點是危害俄羅斯公司,也就是企業用戶。 該惡意活動已經活躍了至少一年,除了銀行木馬之外,攻擊者還使用了各種其他軟體工具。 其中包括使用打包的特殊載入器 ,以及偽裝成眾所周知的合法 Yandex Punto 軟體的間諜軟體。 一旦攻擊者成功侵入受害者的計算機,他們就會安裝後門,然後安裝銀行木馬。
對於他們的惡意軟體,攻擊者使用了幾個有效的(當時)數位憑證和特殊方法來繞過防毒產品。 該惡意活動針對大量俄羅斯銀行,並且特別令人感興趣,因為攻擊者使用了定向攻擊中經常使用的方法,即並非純粹出於金融詐欺動機的攻擊。 我們可以注意到這次惡意活動與先前廣為人知的重大事件之間存在著一些相似之處。 我們正在談論一個使用銀行木馬的網路犯罪集團 /.
攻擊者僅在 Windows(本地化)中預設使用俄語的電腦上安裝惡意軟體。 該特洛伊木馬的主要傳播媒介是帶有漏洞的 Word 文件。 ,作為文檔的附件發送。 下面的螢幕截圖顯示了此類虛假文件的外觀。 第一份文件的標題為“Invoice No. 522375-FLORL-14-115.doc”,第二份文件的標題為“kontrakt87.doc”,它是行動電信商 Megafon 提供電信服務的合約副本。
米。 1. 釣魚文檔。
米。 2.釣魚文檔的另一處修改。
以下事實顯示攻擊者的目標是俄羅斯企業:
- 使用指定主題的虛假文檔傳播惡意軟體;
- 攻擊者的策略及其使用的惡意工具;
- 某些可執行模組中指向業務應用程式的連結;
- 此活動中使用的惡意網域的名稱。
攻擊者在受感染的系統上安裝的特殊軟體工具使他們能夠遠端控制系統並監視使用者活動。 為了執行這些功能,他們安裝後門並嘗試取得Windows帳戶密碼或建立新帳戶。 攻擊者還利用鍵盤記錄器(鍵盤記錄器)、Windows 剪貼簿竊取程式以及用於處理智慧卡的特殊軟體的服務。 該組織試圖破壞與受害者電腦位於同一本地網路的其他電腦。
我們的 ESET LiveGrid 遙測系統使我們能夠快速追蹤惡意軟體分佈統計數據,為我們提供了有關攻擊者在上述活動中使用的惡意軟體分佈的有趣地理統計數據。
米。 3. 本次惡意活動中所使用的惡意軟體的地理分佈統計。
安裝惡意軟體
當使用者在易受攻擊的系統上開啟帶有漏洞的惡意文件後,將下載並執行使用 NSIS 打包的特殊下載程式。 在工作開始時,程式會檢查 Windows 環境中是否有偵錯器或是否在虛擬機器上下文中執行。 它還檢查 Windows 的本地化以及使用者是否在瀏覽器中造訪下表中列出的 URL。 API 用於此目的 尋找優先/下一個UrlCache條目 和 SoftwareMicrosoftInternet ExplorerTypedURLs 註冊表項。
引導程式檢查系統上是否存在以下應用程式。
流程清單確實令人印象深刻,正如您所看到的,它不僅包括銀行應用程式。 例如,名為「scardsvr.exe」的可執行檔是指用於處理智慧卡(Microsoft 智慧卡讀卡機)的軟體。 銀行木馬本身俱有使用智慧卡的能力。
米。 4. 惡意軟體安裝過程總圖。
如果所有檢查均成功完成,載入程式將從遠端伺服器下載特殊檔案(存檔),其中包含攻擊者使用的所有惡意可執行模組。 值得注意的是,根據上述檢查的執行情況,從遠端 C&C 伺服器下載的檔案可能會有所不同。 該存檔可能是惡意的,也可能不是惡意的。 如果不是惡意的,它會為使用者安裝 Windows Live 工具列。 最有可能的是,攻擊者採用了類似的技巧來欺騙自動文件分析系統和執行可疑文件的虛擬機器。
NSIS 下載器下載的檔案是一個 7z 存檔,其中包含各種惡意軟體模組。 下圖展示了該惡意軟體及其各個模組的整個安裝過程。
米。 5. 惡意軟體如何運作的一般方案。
儘管載入的模組對攻擊者有不同的用途,但它們的打包方式相同,並且其中許多模組都使用有效的數位憑證進行了簽署。 我們發現攻擊者從活動一開始就使用了四個此類憑證。 在我們投訴後,這些證書被撤銷。 有趣的是,所有證書都是頒發給在莫斯科註冊的公司的。
米。 6. 用於簽署惡意軟體的數位憑證。
下表列出了攻擊者在此惡意活動中使用的數位憑證。
攻擊者使用的幾乎所有惡意模組都有相同的安裝過程。 它們是受密碼保護的自解壓縮 7zip 檔案。
米。 7. install.cmd 批次檔的片段。
批次 .cmd 檔案負責在系統上安裝惡意軟體並啟動各種攻擊工具。 如果執行需要缺少管理權限,則惡意程式碼會使用多種方法來取得它們(繞過 UAC)。 為了實現第一種方法,使用了兩個名為 l1.exe 和 cc1.exe 的可執行文件,它們專門使用 卡伯普原始碼。 另一種方法是基於利用 CVE-2013-3660 漏洞。 每個需要權限升級的惡意軟體模組都包含 32 位元和 64 位元版本的漏洞利用。
在追蹤此活動時,我們分析了下載者上傳的多個檔案。 檔案的內容各不相同,這意味著攻擊者可以將惡意模組用於不同的目的。
用戶妥協
正如我們上面提到的,攻擊者使用特殊工具來危害使用者的電腦。 這些工具包括可執行檔名稱為 mimi.exe 和 xtm.exe 的程式。 它們可協助攻擊者控制受害者的電腦並專門執行下列任務:取得/復原 Windows 帳戶的密碼、啟用 RDP 服務、在作業系統中建立新帳戶。
mimi.exe 執行檔包含知名開源工具的修改版本 。 此工具可讓您取得 Windows 使用者帳戶密碼。 攻擊者刪除了 Mimikatz 中負責使用者互動的部分。 可執行程式碼也已修改,以便在啟動時,Mimikatz 使用特權::debug 和 sekurlsa:logonPasswords 指令運行。
另一個可執行檔案 xtm.exe 啟動特殊腳本,在系統中啟用 RDP 服務,嘗試在作業系統中建立新帳戶,並變更系統設定以允許多個使用者透過 RDP 同時連接到受感染的電腦。 顯然,這些步驟對於獲得對受感染系統的完全控制是必要的。
米。 8. xtm.exe 在系統上執行的指令。
攻擊者使用另一個名為 impack.exe 的可執行文件,該文件用於在系統上安裝特殊軟體。 該軟體稱為 LiteManager,被攻擊者用作後門。
米。 9.LiteManager介面。
一旦安裝在使用者的系統上,LiteManager 就允許攻擊者直接連接到該系統並遠端控制它。 該軟體具有特殊的命令列參數,用於隱藏安裝、創建特殊的防火牆規則以及啟動其模組。 所有參數都被攻擊者使用。
攻擊者使用的惡意軟體套件的最後一個模組是銀行惡意軟體程式(banker),可執行檔名稱為 pn_pack.exe。 她專門監視用戶並負責與 C&C 伺服器互動。 銀行家是使用合法的 Yandex Punto 軟體啟動的。 攻擊者利用 Punto 來啟動惡意 DLL 函式庫(DLL Side-Loading 方法)。 惡意軟體本身可以執行以下功能:
- 追蹤鍵盤按鍵和剪貼簿內容,以便隨後傳輸到遠端伺服器;
- 列出系統中存在的所有智慧卡;
- 與遠端 C&C 伺服器互動。
負責執行所有這些任務的惡意軟體模組是一個加密的 DLL 函式庫。 它在 Punto 執行期間被解密並載入到記憶體中。 為了執行上述任務,DLL 執行程式碼啟動三個執行緒。
攻擊者選擇 Punto 軟體來達到其目的這一事實並不令人意外:一些俄羅斯論壇公開提供有關利用合法軟體中的缺陷來危害用戶等主題的詳細資訊。
該惡意庫使用 RC4 演算法加密其字串,以及在與 C&C 伺服器的網路互動期間加密。 它每兩分鐘與伺服器聯繫一次,並向伺服器傳輸在此期間在受感染系統上收集的所有數據。
米。 10. 機器人與伺服器之間的網路互動片段。
以下是該程式庫可以接收的一些 C&C 伺服器指令。
為了回應從 C&C 伺服器接收的指令,惡意軟體會使用狀態碼回應。 有趣的是,我們分析的所有銀行家模組(最新的編譯日期為 18 月 XNUMX 日)都包含字串“TEST_BOTNET”,該字串在每個訊息中發送到 C&C 伺服器。
結論
為了危害企業用戶,攻擊者在第一階段透過發送帶有漏洞的網路釣魚訊息來危害公司的一名員工。 接下來,一旦惡意軟體安裝在系統上,他們將使用軟體工具來幫助他們大幅擴展對系統的權限並在系統上執行其他任務:危害公司網路上的其他電腦並監視用戶,以及他進行的銀行交易。
來源: www.habr.com