Полезные знания Необычные методы заражения вредоносным ПО и его дальнейшего распространения

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
29.100
Репутация
11.695
Реакции
61.889
RUB
50
Мы сосредоточились на методах заражения, к которым злоумышленники прибегают значительно реже, и в этой статье приводим выдержки из отчетов.


[H2]BlackBasta: новый метод распространения[/H2]

BlackBasta, известный шифровальщик, о котором мы уже писали, недавно был обновлен. В нем появился второй дополнительный параметр командной строки: -bomb.

При использовании этого параметра зловред выполняет следующие действия:

  1. подключается к Active Directory, используя библиотеку LDAP, и получает список компьютеров в сети;
  2. используя список компьютеров, копирует на них вредоносное ПО;
  3. используя модель компонентных объектов (COM), запускает вредоносное ПО на компьютере в удаленном режиме.

Фрагмент кода с функциональностью LDAP

Преимущество встроенного механизма распространения состоит в том, что он оставляет в системе меньше следов, чем общедоступные инструменты. Например, один из любимых инструментов злоумышленников, PsExec, можно легко обнаружить в сети, тогда как этот метод усложняет выявление вредоносной активности.

[H2]CLoader: заражение через торренты[/H2]

Киберпреступники редко размещают вредоносные файлы, предназначенные для заражения целевых компьютеров, в торрент-сервисах. Однако, как показывает пример CLoader, этот метод не стоит полностью сбрасывать со счетов.

Кампания CLoader была обнаружена в апреле 2022 года. Злоумышленники использовали взломанные игры и программы как приманку для установки вредоносного ПО. Загруженные файлы представляли собой NSIS-установщики, содержащие вредоносный код в скрипте установки.


Вредоносный скрипт. Красным выделены команды загрузки вредоносного ПО

Всего мы обнаружили шесть разных полезных нагрузок, загруженных пользователями:

  • вредоносный прокси-сервис Microleaves — работает как прокси на зараженном компьютере.
  • Вредоносный прокси-сервис Paybiz — работает как прокси на зараженном компьютере.
  • Загрузчик MediaCapital — может устанавливать дополнительное вредоносное ПО в системе.
  • Загрузчик CSDI — может устанавливать дополнительное вредоносное ПО в системе.
  • Загрузчик Hostwin64 — может устанавливать дополнительное вредоносное ПО в системе.
  • Бэкдор Inlog — устанавливает легитимное приложение NetSupport для удаленного доступа к компьютеру.
В список жертв входят пользователи со всего мира, но в основном из США, Бразилии и Индии.

[H2]OnionPoison: заражение через поддельный браузер Tor[/H2]

В августе 2022 года мы обнаружили кампанию, проводимую по меньшей мере с января 2022 года и направленную на пользователей из Китая. На популярном китайскоязычном YouTube-канале, посвященном анонимности в Интернете, был размещен видеоролик с инструкциями по установке браузера Tor. В самом этом факте нет ничего необычного, так как Tor запрещен в Китае, однако, если пользователь переходит по ссылке в описании, вместо легитимного браузера он загружает зараженную версию.

Зараженная версия очень похожа на оригинальную, поэтому пользователь не замечает разницы. Отличия состоят в следующем:

  • Установщик не имеет цифровой подписи.
  • Одна из DLL-библиотек (freebl3.dll), входящих в оригинальный браузер, полностью изменена и содержит код с бэкдором.
  • Добавлен новый файл (freebl.dll), идентичный оригинальной библиотеке freebl3.dll.
  • Исполняемый файл Firefox, входящий в пакет установки Tor, отличается от оригинального одним символом в URL-адресе, используемом для обновлений браузера. Это сделано для отключения автоматического обновления браузера.
  • Конфигурационный файл браузера также изменен и обеспечивает пользователям меньшую степень анонимности. Например, история браузера сохраняется на диск.
Библиотека freebl3.dll с бэкдором работает довольно просто. Она перенаправляет все функции исходной DLL-библиотеке и загружает дополнительную DLL-библиотеку с командного сервера.

Эта загруженная библиотека содержит большую часть вредоносной функциональности. Ее возможности включают:

  • выполнение команд в системе;
  • отправку истории браузера Tor на командный сервер;
  • отправку идентификаторов учетных записей WeChat и QQ, принадлежащих жертве, на командный сервер.
[H2]AdvancedIPSpyware: модифицированный легитимный инструмент с цифровой подписью[/H2]

Более распространенный метод — добавление вредоносного кода в легитимные программы для скрытия вредоносной активности и обмана пользователя. Однако мы нечасто встречаем исполняемые файлы с внедренным бэкдором, у которых есть цифровая подпись. Таков случай AdvancedIPSpyware — модифицированной версии легитимного инструмента Advanced IP Scanner, который используют сетевые администраторы для контроля локальных сетей. Сертификат, которым подписан зловред, был, скорее всего, украден. Вредоносное ПО размещалось на двух сайтах, домены которых отличаются от легитимного домена только одной буквой. Более того, внешний вид этих сайтов также был скопирован с сайта Advanced IP Scanner. Единственное различие — добавленная кнопка «бесплатной загрузки».


Информация о цифровых подписях легитимного и вредоносного файлов

Еще одна необычная характеристика AdvancedIPSpyware — модульная архитектура. Как правило, модульная архитектура применяется во вредоносных программах, спонсируемых государством. Для программ, используемых для финансовых преступлений, это необычно.

Мы обнаружили три следующих компонента, которые взаимодействовали друг с другом через IPC:

  • Основной модуль служит для обновления, удаления или создания дополнительного экземпляра зловреда.
  • Модуль выполнения команд выполняет обычные функции шпионского ПО, такие как сбор информации и выполнение команд.
  • Модуль сетевого взаимодействия выполняет все функции, связанные с сетью, такие как отправка сигнальных сообщений.
География жертв кампании AdvancedIPSpyware обширна. Мы обнаружили несколько жертв в Латинской Америке, Африке, Западной Европе, Южной Азии, Австралии и странах СНГ. Всего за все время проведения кампании было обнаружено около 80 жертв.

[H2]Заключение[/H2]

Хотя операторы вредоносного ПО чаще всего используют электронную почту как основной вектор атаки, не следует забывать и о других возможностях. Тайпсквоттинг (регистрация доменных имен, почти идентичных легитимным) и распространение зараженного ПО через торрент-сервисы — лишь два примера альтернативных техник, которые злоумышленники используют, чтобы вынудить своих жертв установить вредоносное ПО.

Разработчики шифровальщиков также постоянно их обновляют. Так, в BlackBasta была добавлена функциональность, затрудняющая обнаружение и расследование зловреда, так как теперь он может распространяться в сети самостоятельно.


 

Часть 2


Введение

Хотя программы-шифровальщики остаются серьезной угрозой, о которой мы продолжаем рассказывать в рамках сервиса информирования о crimeware, мы расследуем и описываем и другие угрозы. Так, в последнее время мы рассматривали различные методы заражения, в том числе использование и т. д. В этой статье мы приводим выдержки из недавних отчетов, посвященных необычным методам заражения, и описываем соответствующее вредоносное программное обеспечение.

abstract_random_red_code-1000x600.jpg

RapperBot: «умный подбор паролей»

RapperBot на базе Mirai (но с другим протоколом связи с командным серверам) – это червь, которым злоумышленники заражают устройства интернета вещей, чтобы проводить DDoS-атаки на цели, использующие протоколы, отличные от HTTP. Первый образец, обнаруженный в июне 2022 года, атаковал SSH-сервисы. Telnet-сервисы на тот момент оставались вне зоны интереса злоумышленников. Однако из последней версии была удалена функциональность, связанная с SSH, и теперь бот атакует только Telnet-сервисы – причем с ощутимым успехом.

В четвертом квартале 2022 года мы зафиксировали 112 тысяч попыток заражения RapperBot с более чем двух тысяч уникальных IP-адресов.

От других червей RapperBot отличается «умным» подходом к подбору паролей. Он анализирует запрос авторизационных данных, который устройство отправляет при попытке подключения, чтобы определить тип атакуемого устройства, и в зависимости от результата подбирает подходящие учетные данные.

Затем RapperBot определяет архитектуру процессора и заражает устройство. Для загрузки самого зловреда используется множество различных команд (например, wget, curl, tftp и ftpget). Если по какой-то причине они не срабатывают, загрузчик зловреда скачивается на устройство с помощью shell-команд echo.

Rhadamanthys: вредоносная реклама на веб-сайтах и в поисковых системах

Rhadamanthys – новый зловред для кражи данных, впервые представленный на русскоязычном киберпреступном форуме в сентябре 2022 года. Авторы предлагали приобрести его по схеме «вредоносное ПО как услуга» (MaaS).

Согласно описанию, стилер:

  • Написан на C/C++, а его командный сервер – на Golang.
  • Может заражать целевую машину «незаметно».
  • Может красть (собирать) информацию о типе ЦП, разрешении экрана, поддерживаемых кошельках и т. п.
  • Обходит решения для защиты рабочих мест и антивирусы.
  • Обменивается данными с командным сервером в зашифрованном виде.
Несмотря на то что реклама зловреда появилась на форуме в сентябре 2022 года, мы увидели первые образцы только в начале 2023 года. Изначально для распространения Rhadamanthys использовались фишинг и спам, однако в последнее время он стал проникать на целевые компьютеры через вредоносную рекламу.

Рекламные платформы проводят среди рекламодателей своеобразные аукционы: заказчики предлагают лучшую цену за показ коротких объявлений в поисковой выдаче (например, Google), на веб-сайтах, в мобильных приложениях и т. д. Для распространения Rhadamanthys используется реклама и в поисковых системах, и на сайтах.

Злоумышленники демонстрируют рекламу легитимных приложений, но ссылки в ней ведут на фишинговые веб-сайты. На них выложены вредоносные установочные файлы. Ничего не подозревающие пользователи скачивают их и устанавливают на свои устройства.

Анализ Rhadamanthys выявил множество совпадений с майнером . В обоих образцах используются изображения для сокрытия полезной нагрузки и похожие шелл-коды для инициализации. Кроме того, в обоих используются виртуальные файловые системы с хранением данных в оперативной памяти и язык Lua для загрузки плагинов и модулей.


Сравнение модулей prepare.bin в Rhadamantys и preload в Hidden Bee

CUEMiner: распространение через BitTorrent и OneDrive

В августе 2021 года на GitHub был запущен проект SilentCryptoMiner. В него входил сам майнер, состоящий из загрузчика и полезной нагрузки, исходный код бота, скомпилированный билдер и дополнительные программы, такие как инструмент мониторинга системы. Проект постоянно обновлялся, последнее обновление было опубликовано 31 октября 2022 года. Среди киберпреступников репозиторий проекта приобрел большую популярность.

Об этом мы можем судить по огромному количеству обнаруженных образцов, различающихся незначительными модификациями, URL-адресами, техниками, тактиками и процедурами. Очевидно, что разные группы одновременно использовали этот майнер.

В ходе расследования мы отметили два метода распространения майнера. Первый – через троянизированное взломанное ПО, загружаемое с BitTorrent. Второй – через троянизированное взломанное ПО, загружаемое с сервиса для обмена файлами OneDrive. Как жертв заставляют скачать эти взломанные пакеты, пока непонятно, так как мы не обнаружили прямых ссылок. Однако на многих сайтах, распространяющих взломанное ПО, нельзя сразу получить ссылку для загрузки. Вместо этого на них размещается ссылка на каналы Discord для дальнейшего обсуждения.

Это позволяет предположить, что злоумышленники напрямую взаимодействуют с жертвами и используют методы социальной инженерии.

Загрузчик, названный CUEMiner, написан на .NET, но для его доставки используется дроппер на C++. Загрузчик подключается к нескольким URL-адресам (которые отличаются в разных образцах) для загрузки майнера и получения конфигурационных данных. Он также выполняет ряд проверок, чтобы подтвердить, что запущен на физическом компьютере, а не на виртуальной машине.

Если все проверки проходят успешно, зловред выполняет следующие действия:

  • Изменяет конфигурацию Защитника Windows, чтобы исключить из сканирования путь к пользовательской папке и весь системный диск.
  • Получает информацию о конфигурации с определенного URL-адреса и сохраняет ее в различных директориях (например, c:\logs.uce, %localappdata%\logs.uce).
  • Создает пустые файлы и вложенные папки в папке %ProgramData%\HostData, чтобы она не вызывала подозрений.
  • Загружает майнер и инструмент мониторинга.
  • Выполняет ряд других действий. Их полный список вы можете найти в нашем закрытом отчете.
Инструмент мониторинга, как это видно из названия, отвечает за мониторинг системы. Если он не обнаруживает процессов, потребляющих много системных ресурсов (таких как игры), начинает работать майнер. Если запускается игра или другой ресурсоемкий процесс, майнер прекращает работу и возобновляет только после остановки процесса. Это позволяет ему дольше оставаться незамеченным.

Заключение​

Вредоносное ПО с открытым исходным кодом часто используют не самые опытные киберпреступники. Им не хватает нужных технических навыков и связей для проведения масштабных кампаний. Однако, как показывает огромное количество найденных нами образцов CUEMiner, их атаки могут быть успешными. По мере приобретения новых навыков, например в области программирования и кибербезопасности, такие киберпреступники начинают повторно использовать и улучшать ключевые фрагменты вредоносного кода из открытых источников.

Злоумышленники часто повторно используют или переименовывают чужой код. Существует множество вариантов шифровальщиков, названия которых меняются со временем, но кодовая база остается той же. В других случаях киберпреступники повторно используют фрагменты кода в новых кампаниях. Например, код стилера Rhadamantys частично совпадает с кодом майнера Hidden Bee. Можно предположить, что по крайней мере один участник кампании Rhadamantys участвовал и в разработке Hidden Bee.

Отчеты об угрозах помогают защитить себя от таких атак.

 
Сверху Снизу