Набір експлойтів Stegano використовується зловмисниками для компрометації користувачів

Спеціалісти ESET виявили, що мільйони відвідувачів популярних новинних веб-сайтів були мішенню декількох шкідливих оголошень, які спеціалізувалися на перенаправлення користувачів на набір експлойтів. Цей набір експлойтів використовувався на компрометації користувачів шкідливим ПЗ із залученням експлойтів для Flash Player.



Починаючи, принаймні, з жовтня місяця цього року, користувачі могли стикатися з оголошеннями, рекламують такі програми як «Browser Defence» і «Broxu». Нижче наведено банери цих оголошень, які використовувалися для показу на веб-сайтах.



Ці рекламні банери зберігалися на віддалених доменів з назвами hxxps://browser-defence.com і hxxps://broxu.com.

Цікаво відзначити, що без яких-небудь дій з боку користувача, початковий скрипт веб-сторінки повідомляв інформацію про систему потенційної жертви на віддалений сервер атакуючих. Після отримання цієї інформації, сервер вирішував, яку картинку банера слід надати клієнту — звичайне зображення або його шкідливий аналог.

Шкідлива версія картинки банера має в своєму складі зашифрований скрипт, який автоматично розташовується в альфа-каналі RGB зображення. Цей альфа-канал задає прозорість кожного пікселя. Оскільки ця зміна не сильно позначається на зовнішньому вигляді картинки, вона лише незначно відрізняється від оригінальної версії.



Закодований таким незвичайним чином скрипт використовує уразливість в Internet Explorer з ідентифікатором CVE-2016-0162, а також перевіряє середовище свого виконання на предмет виявлення віртуального середовища.

У тому випадку, якщо скрипт не виявляє ознак того, що аналітики намагаються відстежити його активність, він перенаправляє користувача на сторінку посадки (landing page) набору експлойтів Stegano з використанням сервісу TinyURL. Сторінка посадки намагається відтворити файл Flash, який спеціалізується на експлуатації трьох вразливостей (CVE-2015-8651, CVE-2016-1019, CVE-2016-4117) в залежності від того, яка версія Flash Player встановлена в системі.



Після успішної експлуатації уразливості, виконуваний шелл-код збирає інформацію про встановлених в системі security-продуктів, а також ще раз перевіряє оточення, в якому виповнюється код. У разі виконання необхідних умов, шелл-код намагається завантажити зашифровану корисну навантаження з того ж сервера. Корисне навантаження також замаскована в якості зображення GIF.

Потім корисне навантаження розшифровується і запускається з використанням regsvr32.exe або rundll32.exe. В якості корисного навантаження ми спостерігали бекдори, банківські трояни, викрадачі паролів, а також різні трояни-завантажувачі.

Ми вже спостерігали більш ранній варіант цього набору експлойтів в кібератаках на голландських користувачів. Навесні 2015 р. зловмисники спеціалізувалися на компрометації користувачів Чехії, а тепер звернули увагу на Канаду, Великобританію, Австралію, Іспанію, Італію.

У попередніх кампаніях зловмисники намагалися замаскувати свою шкідливу активність у формі реклами. При цьому набір експлойтів використовував назви доменів, які починалися у назви «ads», а також назви URI, які містили watch.flv, media.flv, delivery.flv player.flv, або mediaplayer.flv.

В ході нинішніх кібератак, зловмисники поліпшили свою тактику, вони почали використовувати скомпрометовані ними рекламні мережі, які перенаправляли користувачів різних країн на набір експлойтів.

Особливістю поточних кампаній було і те, що зловмисники використовували такі популярні набори експлойтів як Angler і Neutrino в меншій мірі, ніж набір експлойтів Stegano. Кількість перенаправлень на Stegano з веб-сайтів з шкідливими банерами було вище ніж у випадку з Angler і Neutrino.

Ми спостерігали, що хостингом цих шкідливих банерів займалися великі легітимні веб-сайти, включаючи, новинні, аудиторія яких складає мільйони людей щодня.

У переважній більшості випадків, рекламні оголошення спеціалізувалися на просуванні продукту під назвою «Browser Defence». Не так давно ми виявили банери, які займаються просуванням ПО під назвою «Broxu». Тим не менш, для простоти сприйняття, ми зупинимося на розгляді шкідливої кампанії «Browser Defence». Крім цього, обидві кампанії практично ідентичні за своїми властивостями.

Рекламне оголошення було розташоване на ресурсі browser-defence.com з форматом URI, схожим на наступний.

hxxps://browser-defence.com/ads/s/index.html?w=160&h=600



Документ index.html завантажує скрипт countly.min.js і подає йому при виконанні початкові параметри. Цей скрипт, однак, не представляє з себе бібліотеку для роботи з фондовим ринком платформи і веб-аналітики з відкритим вихідним кодом. Зловмисники використовують сильно модифіковану і обфусцированную версію цієї бібліотеки, з якої був видалений певний код і вставити новий. Цей новий код відповідає за первинну перевірку оточення. Потім інформація про оточенні відправляється на віддалений сервер в якості параметрів файлу gif, які зашифровані з допомогою XOR. Інформація про це показано на скріншоті вище.

Наступна інформація про оточенні відправляється на віддалений сервер.

systemLocale^screenResolution^GMT offset^Date^userAgent^pixelRatio

Після цього, скрипт запитує у сервера рекламний банер. Сервер може відповісти або нормальної версією зображення банера, або шкідливою, залежно від інформації про те оточення, в якому він був запущений. Потім скрипт намагається завантажити банер і зчитати інформацію його RGBA структури. У тому випадку, якщо отримана шкідлива версія скрипта, він буде декодувати код JavaScript і деякі змінні з альфа-каналу зображення.

Стеганографія при цьому реалізується наступним чином: два послідовних альфа значення представляють десятки і одиниці символів коду, закодованих як різниці від 255 (повна альфа). Крім цього, для маскування змін, які можна виявити неозброєним оком, різниця мінімізується за допомогою зміщення 32.

Наприклад, якщо початкові кілька байт альфи містили значення 239, 253, 237, 243, 239, 237, 241, 239, 237, 245, 239, 247, 239, 235, 239, і 237, вони будуть декодуватися в слово «функція» (function). У цьому прикладі, перші байти значення альфи 239 і 253 відповідають символу 'f'.



Більш пильним поглядом на один з чистих банерів і на його шкідливий аналог можна побачити невелике розходження.


(зліва направо: чисте зображення, шкідливий аналог, розширений для маскування шкідливий аналог)

Альфа-канал невикористаних пікселів заповнюється деякими псевдослучайными значеннями для того, щоб зробити т. н. «альфа-шум» рівномірно розподіленим, що посилює маскування. Після успішного вилучення, скрипт перевіряє цілісність коду JavaScript і порівнює отриманий хеш з тим заздалегідь зафіксованим значенням хеш, який зазначений в кінці картинки. Після цього, скрипт виконується.

Після свого запуску, скрипт намагається перевірити середовище свого виконання, а саме, веб-браузер і запущену ОС на предмет присутності інструмента захоплення мережевих пакетів, пісочниці (sandbox), ПЗ для віртуалізації, а також присутність встановлених security-продуктів. При цьому код скрипта також намагається експлуатувати вразливість CVE-2016-0162 в Internet Explorer. Він також перевіряє присутність у системі різних графічних і security-драйверів для виявлення автоматичної системи аналізу шкідливого ПЗ.

У тому випадку, якщо жодних з перерахованих вище ознак у системі не виявлено, скрипт створює IFRAME (розміром в один піксель), встановлює властивість вікна window.name, яке буде використовуватися в подальшому. Після цього користувач перенаправляється на TinyURL через https. Далі, TinyURL перенаправляє користувача на http веб-сторінку посадки набору експлойтів.

Після успішного перенаправлення, сторінка посадки експлойта перевіряє UserAgent на відповідність веб-браузера Internet Explorer, а потім завантажує файл Flash та встановлює параметри FlashVars через зашифрований файл JSON. Сторінка посадки також виступає в якості посередника для Flash і віддаленого сервера через ExternalInterface і забезпечує функції шифрування і розшифровки.

Завантажувальний Flash файл містить у себе всередині ще один Flash файл і як у випадку з набором експлойтів Neutrino, він містить три різних експлойта для різних версій Flash Player. На другому етапі Flash файл розшифровує FlashVars. Він містить файл JSON з адресою URI для надсилання повідомлення про помилку, назви функцій JS для ExternalInterface, назва функції зворотного виклику і деякі не використовувані дані.

{«a»:"\/e.gif?ts=1743526585&r=10&data=",«b»:«dUt»,«c»:«hML»,«d»:true,«x»:"\/x.gif?ts=1743526585&r=70&data="}

Надалі, він викликає JavaScript через ExtelnalInterface.call(), який перевіряє версію Flash і передає цю інформацію на сервер через веб-сторінку посадки. Це виконується через зашифрований URI параметр запиту для GIF-файлу. Алгоритм шифрування досить простий і використовує значення window.name з рекламного оголошення.



Відповідь представляє з себе GIF зображення, в якому відкидаються перші байти, а частина, що залишилася розшифровується за допомогою того ж алгоритму, а потім передача керування назад Flash.



Відповідь представляє з себе JSON, що містить символ, який позначає використовуваний експлойт (CVE-2015-8651, CVE-2016-1019 або CVE-2016-4117), пароль для відповідного експлойта і готовий шелл-код за адресою URI корисного навантаження.

Шелл-код розшифровується на останньому етапі експлуатації уразливості. Він намагається завантажити в систему зашифровану корисну навантаження, яке знову замасковано під GIF зображення. На першому етапі свого виконання, шелл-код також перевіряє те середовище, в якій він виконується.



Він особливо зацікавлений у перевірці присутності наступного програмного забезпечення.

  • vmtoolsd.exe
  • VBoxService.exe
  • prl_tools_service.exe
  • VBoxHook.dll
  • SBIEDLL.DLL
  • fiddler.exe
  • charles.exe
  • wireshark.exe
  • proxifier.exe
  • procexp.exe
  • ollydbg.exe
  • windbg.exe
  • eset*, kasper* avast*, alwil*, panda*, nano a*, bitdef*, bullgu*, arcabi*, f-secu*, g data*, escan*, trustp*, avg*, sophos*, trend m*, f*, lavaso*, immune*, clamav*, emsiso*, superanti*, avira*, vba32*, sunbel*, gfi so*, ca*, microsoft sec*, microsoft ant*, norman*, ikarus*, fortin*, filsec*, k7 com*, ahnlab*, malwareby*, comodo*, symant*, norton*, agnitu*, drweb*, 360*, quick h
У разі виявлення одного з перерахованих вище компонентів, шелл-код не буде намагатися завантажити корисну навантаження. Якщо корисне навантаження отримана, перші 42 байта GIF зображення відкидаються, інші дані розшифровуються і зберігаються у файл з використанням одного з нижче перелічених функцій.

  1. CreateFile, WriteFile
  2. CreateUrlCacheEntryA(*" google.com",,,,), CreateFileA, CreateFileMappingA, MapViewOfFile, {loop of moving bytes}, FlushViewOfFile, UnmapViewOfFile
Сам файл корисного навантаження запускається за допомогою інструментів regsvr32.exe або rundll32.exe.

Ми спостерігали в завантаженні шелл-кодом шкідливих файлів корисного навантаження (Stegano exploit kit), які мають наступні виявлення AV продуктів ESET.

Win32/Trojan.Agent.CFH
Win32/Trojan.Dagozill.B
Win32/GenKryptik.KUM
Win32/Kryptik.DLIF


Після аналізу завантажувачів і файлів з обнаружениями сімейств Kryptik, ми з'ясували, що вони містили в собі, або завантажували віддалено шкідливе ПО Ursnif і Ramnit.

Ursnif містить безліч модулів для крадіжки облікових даних електронної пошти, має у своєму складі бекдор, кейлоггер, інструмент для створення скріншотів і відео, компонент впровадження коду веб-браузери Internet Explerer, Firefox, Chrome і модифікації http трафіку. Він також може вкрасти будь-який файл із зараженої системи. Згідно інформації з конфігураційних файлів, які були знайдені в зразках цього шкідливого ПО, воно орієнтоване на корпоративний сектор і, особливо, на платіжних сервісах та інститутах.

Ramnit представляє з себе файловий вірус, який був спрямований на банківський сектор. Цей вірус також містить у собі численні шкідливі функції, включаючи крадіжку даних, захоплення скріншотів, виконання файлів.

Висновок

Набір експлойтів Stegano використовувався зловмисниками ще з 2014 р. Його автори доклали чимало зусиль для реалізації декількох методів досягнення відповідного рівня скритності. В одній з недавніх кампаній ми виявили те, що відстежувалася нами ще з початку жовтня 2016 р., зловмисники поширювали посилання на набір експлойтів з використанням рекламних банерів та стеганографії. При цьому автори подбали про приховування шкідливої активності від очей аналітиків, які можуть використовувати спеціальне оточення для моніторингу.

У разі успішної експлуатації, вразливі для використовуваних експлойтів системи жертв залишаються відкритими для компрометації з боку інших шкідливих програм, включаючи, бекдори, spyware та банківські трояни.

Шкідливих дій набору експлойтів Stegano або іншого набору експлойтів можна уникнути в тому випадку, якщо регулярно оновлювати встановлене ПЗ і ОС, а також використовувати надійний антивірусний продукт.

Присутність таких продуктів в системі намагається виявити Stegano exploit kit.





Присутність таких драйверів і бібліотек у системі намагається виявити Stegano exploit kit.



До наступних рядків у своєму тілі шкідлива програма не звертається.



Індикатори компрометації (IoC)

Хеші представлені у форматі SHA1.

countly.min.js
24FA6490D207E06F22A67BC261C68F61B082ACF8

Код банера
A57971193B2FFFF1137E083BFACFD694905F1A94

banner.png з Stegano
55309EAE2B826A1409357306125631FDF2513AC5
67799F80CEF4A82A07EFB3698627D7AE7E6101AB
09425B3B8BF71BA12B1B740A001240CD43378A6C
4528736618BBB44A42388522481C1820D8494E37
FE841DF1ACD15E32B4FFC046205CAAFD21ED2AB2
7BE0A9387F8528EC185ACC6B9573233D167DF71B
A5BC07E8E223A0DF3E7B45EEFD69040486E47F27
EC326BA5CD406F656C3B26D4A5319DAA26D4D5FE
3F1A5F624E0E974CAA4F290116CE7908D360E981
33F921C61D02E0758DCB0019C5F37A4D047C9EC7
2FF89048D39BE75F327031F6D308CE1B5A512F73
9A0D9EBC236DF87788E4A3E16400EB8513743233
F36C283B89C9F1B21A4AD3E384F54B0C8E7D417A
17787879D550F11580C74DA1EA36561A270E16F7
9090DB6731A8D49E8B2506087A261D857946A0EB
45B3EE46ADA9C842E65DCF235111AB81EF733F34
F56A878CA094D461BDF0E5E0CECED5B9903DB6E0
6C74A357B932CF27D5634FD88AA593AEF3A77672
0C3C22B8AA461C7DE4D68567EEA4AE3CD8E4D845
5A5A015C378159E6DC3D7978DAD8D04711D997F8
B2473B3658C13831C62A85D1634B035BC7EBD515
9638E1897B748D120149B94D596CEC6A5D547067
0195C8C7B687DD4CBF2578AD3CB13CD2807F25CB
FEC222095ABD62FC7635E2C7FA226903C849C25C
0FCB2B3ED16672A94CD003B4B53181B568E35912
03483E4039839F0807D7BEC08090179E62DBCC60

Сторінка посадки набору експлойтів Stegano
67E26597CF1FF35E4B8300BF181C84015F9D1134
CD46CEE45F2FC982FBA7C4D246D3A1D58D13ED4A
191FFA6EB2C33A56E750BFFEFFE169B0D9E4BBE4
4B2F4C20CC9294F103319938F37C99C0DE7B4932
3FCEA1AFDA9888400D8DE5A232E4BF1E50D3380F
CA750F492691F4D31A31D8A638CE4A56AF8690D0
1374EE22D99ECFC6D68ADE3ACE833D4000E4705B
6BF1A2B7E8CA44E63E1A801E25189DC0212D71B9
B84AB2D5EAD12C257982386BC39F18532BF6939E
476A0455044B9111BDA42CDB7F4EA4E76AA7AB2D
0C1CA7D9C7E4B26A433946A6495782630EF6FD18
29B6DD92FBDF6070B171C38B1D3CA374F66E4B66
89DA7E7A88F9B6CBBFAF7F229BFEA8767220C831
CEE32C8E45A59D3084D832A9E6500AE44F75F7B5
A152AB43BEDCD8F6B7BFB67249C5599CF663D050
3AC722AC0D4764545A3E8A6DF02059C8A164CA17
25E0474E4F8D7D3053278B45A9C24380275B4705
35FB5F3C2957B4525A0330427397915AEEFDDD91
19EEE9745E25194DD573423C6DB0F5AF5D8CFE1D
E88B2B7A08322738C74B29C4CA538741F85A0B7F
A388A2A241339489685CB4AD22EBA9E04B72CD67

Файли Flash
BADAE04BFF7AFD890C3275E0434F174C6706C2C6
6EF95ACB8AA14D3BA8F1B3C147B7FB0A9DA579A2
10840AEB8342A26DFC68E0E706B36AC2B5A0D5B2
093B25B04FE21185BFEEAFD48F712942D3A3F0C6
C680734AF8670895F961C951A3629B5BC64EFE8E
EEDBBB65A441979974592343C6CA71C90CC2550F
DE288CADE8EE3F13D44719796A5896D88D379A1E
9488CDBB242BE50DF3D20B12F589AF2E39080882
B664365FC8C0B93F6A992C44D11F44DD091426DD
7557B5D987F0236FF838CD3AF05663EFA98EBC56
24B7933A8A8F6ED50FBAF2A5021EF47CE614A46F
11BA8B354001900ED79C43EA858F1BC732961097

Зразки URL
TinyURL.com
/jf67ejb
/jqp7efh
/j56ks2b
/gplnhvm
/gwwltaf
/hgnsysa
/hvfnohs

Сторінка посадки набору експлойтів Stegano
hxxp://conce.republicoftaste.com/urq5kb7mnimqz/3dyv72cqtwjbgf5e89hyqryq5zu60_os24kfs1j3u_i
hxxp://compe.quincephotographyvideo.com/kil5mrm1z0t-ytwgvx/g7fjx4_caz9
hxxp://ntion.atheist-tees.com/v2mit3j_fz0cx172oab_eys6940_rgloynan40mfqju6183a9a4kn/f
hxxp://entat.usedmachinetools.co/6yg1vl0q15zr6hn780pu43fwm5297itxgd19rh54-3juc2xz1t-oes5bh
hxxp://connt.modusinrebus.net/34v-87d0u3
hxxp://ainab.photographyquincemiami.com/w2juxekry8h9votrvb3-k72wiogn2yq2f3it5d17/j9r
hxxp://rated.republicoftaste.com/6t8os/lv-pne1_dshrmqgx-8zl8wd2v5h5m26m_w_zqwzq
hxxp://rence.backstageteeshirts.com/qen5sy/6hjyrw79zr2zokq1t4dpl276ta8h8-/3sf9jlfcu0v7daixie_do6zb843/z7
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.