Зловмисне програмне забезпечення використовується для кібершпіонажу за користувачами Центральної та Східної Європи

У минулому році фахівці компанії ESET змогли виявити і проаналізувати кілька примірників шкідливої програми, які використовувались в операціях кібершпіонажу за користувачами. Ця шкідлива програма отримала назву SBDH та використовує в своїй роботі потужні фільтри даних, різні методи взаємодії зі своїми операторами, а також цікаву техніку забезпечення свого виживання в системі. Шкідлива програма була спрямована на отримання цікавих для атакуючих даних комп'ютерів урядових і державних установ, які в основному зосереджені на економічному зростанні та співпраці в Центральній і Східній Європі. Інформація про SBDH також буде представлена дослідниками ESET Tomáš Gardoň і Robert Lipovský на конференції Copenhagen Cybercrime Conference 2016 в Копенгагені.



SBDH складається з завантажувача і інших модулів, які використовуються операторами. Компактний за розміром завантажувач поширювався зловмисниками з використанням фішингових повідомлень електронної пошти. Такі повідомлення містили вкладення, в якості якого містився файл, що має в назві подвійне розширення. Так як Windows приховує розширення відомих файлів, користувачеві відображалося фальшиве розширення, на що і розраховували зловмисники. Для того, щоб ще більше переконати потенційну жертву у своїй легітимності, для виконуваних файлів були підібрані значки стандартних додатків Microsoft або документа Word.


Рис. Зловмисники маскують виконуваний файл завантажувача під легітимні Microsoft.


Рис. Зловмисники маскують виконуваний файл завантажувача під документ Word.

Після успішного виконання в системі, шкідлива програма звертається до віддаленого сервера для завантаження в систему двох її головних компонентів: бекдор і викрадача даних. Комбінація цих модулів дозволяє атакуючому не тільки отримувати повний контроль за скомпрометованим комп'ютером, але також надає йому додаткові методи викрадення з нього даних. Завдяки системі потужних фільтрів, оператор в найдрібніших подробицях може вказати, які конкретно дані повинні бути викрадені. Фільтр включає в себе інформацію про розширення файлу, дату його створення, його розмірі та інших характеристиках. Службові дані фільтрів можуть бути модифіковані з використанням конфігураційних файлів шкідливої програми.


Рис. Конфігураційний файл шкідливої програми.

Оскільки всі компоненти цього киберпреступного інструменту вимагають підключення до керуючого C&C-сервера, працездатність SBDH в значній мірі залежить від можливості роботи з мережевим підключенням. Для цього автори реалізували в SBDH кілька методів взаємодії в C&C-сервером. Перший полягає у використанні простого протоколу HTTP. У разі недоступності, шкідлива програма намагається використовувати протокол SMTP і безкоштовний зовнішній шлюз для відправки листів. Останній спосіб полягає в можливості використання програми Microsoft Outlook Express і відправлення через нього спеціальним чином сформованих електронних повідомлень. Такі електронні листи відправляються під обліковим записом користувача, дозволяючи шкідливій програмі обійти обмеження безпеки (передбачається, що поточний користувач має права на надсилання й отримання повідомлень електронної пошти). Надіслані шкідливою програмою повідомлення потім поміщаються в теку вихідних повідомлень для того, щоб виключити до них прояв підвищеної уваги.

Для виявлення вхідних підключень, тобто спроб операторів зв'язатися з ботом, шкідлива програма виконує пошук електронних листів в поштовій скриньці користувача. Такі шкідливі листи мають специфічну назву теми. У разі виявлення SBDH таких листів, здійснюється їх аналіз з метою вилучення звідти відправлених команд операторів. Після цієї операції, бот модифікує теми в електронному повідомленні таким чином, щоб воно не привертало його увагу в подальшому. Однак, ця остання функція використовувалася авторами SBDH до 2006 р, коли програма Outlook Express була замінена іншим новим додатком під назвою Windows Mail. Після цього автори більшою мірою зосередились на удосконалюванні методу взаємодії з C&C-сервером через HTTP і почали маскувати цей процес із залученням фальшивих файлів зображень .JPG і .GIF для пересилання потрібних даних.


Рис. Маскування процесу взаємодії з керуючим сервером.

У разі недоступності керуючого C&C-сервера компонент бекдор вдасться до використання міститься у собі жорстко зашитого URL-адреси, що вказує на фальшивий файл зображення (розміщений на безкоштовному ресурсі), який, у свою чергу, містить адресу альтернативного C&C-сервера.


Рис. Картинка з URL-адресою альтернативного C&C-сервера.

Деякі з проаналізованих нами зразків SBDH містили в собі цікаву реалізацію методу забезпечення свого виживання в системі. Шкідлива програма модифікувала використовуваний системою обробник Word документів таким чином, що при спробі відкриття або редагування файлу Word у провіднику, виконувався код шкідливої програми.


Рис. Ідентифікатор B64SBDH в тілі шкідливої програми.

Потрібно відзначити, що сама назва SBDH є послідовністю символів, якій було частиною шляху компіляції у файлі завантажувача. Ще однією цікавою особливістю є той факт, що для завантаження двох інших компонентів шкідливої програми з C&C-сервера використовується рядок «B64SBDH», спрацьовує як тригер.

Висновок

Стоять за SBDH кіберзлочинці використовують ті ж методи, що і ті, які стояли за операцій Buhtrap. Цей шпигунський інструмент доводить той факт, що навіть сучасні загрози поширюються з використанням простих методів, таких як вкладення електронної пошти. Тим не менш, ризики компрометації подібним шкідливим ПЗ в організаціях можуть бути істотно зменшені за рахунок інструктування працівників і використання надійного рішення багаторівневої системи безпеки.

Ідентифікатори шкідливих зразків SBDH (хеші):

1345b6189441cd1ed9036ef098adf12746ecf7cb
15b956feee0fa42f89c67ca568a182c348e20ead
f2a1e4b58c9449776bd69f62a8f2ba7a72580da2
7f32cae8d6821fd50de571c40a8342acaf858541
5DDBDD3CF632F7325D6C261BCC516627D772381A
4B94E8A10C5BCA43797283ECD24DF24421E411D2
D2E9EB26F3212D96E341E4CBA7483EF46DF8A1BE
09C56B14DB3785033C8FDEC41F7EA9497350EDAE
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.