• Курсы Академии Кодебай, стартующие в мае - июне, от команды The Codeby

    1. Цифровая криминалистика и реагирование на инциденты
    2. ОС Linux (DFIR) Старт: 16 мая
    3. Анализ фишинговых атак Старт: 16 мая Устройства для тестирования на проникновение Старт: 16 мая

    Скидки до 10%

    Полный список ближайших курсов ...

Гостевая статья Операция Overtrap

Недавно мы обнаружили новую кампанию, которую мы назвали «Операция Overtrap» за многочисленные способы заражения или захвата жертв своей полезной нагрузкой. Кампания в основном нацелена на онлайн-пользователей различных японских банков путем кражи их банковских учетных данных с использованием трехэтапной атаки. Опираясь на нашу телеметрию, операция Overtrap была активна с апреля 2019 года и предназначалась исключительно для пользователей онлайн-банкинга, расположенных в Японии. Наш анализ показал, что эта кампания использует три различных вектора атаки для кражи банковских учетных данных своих жертв:

  • Отправляя спам-сообщения со ссылками на фишинг на страницу, замаскированную под банковский сайт
  • Отправляя спам-письма с просьбой к жертвам запустить исполняемый файл скрытого вредоносного ПО, загруженный со связанной фишинг-страницы.
  • Используя пользовательский набор эксплойтов для доставки вредоносных программ с помощью вредоносной рекламы
FIgure-1-01-1024x558.png


Рисунок 1. Операция Overtrap трехступенчатой атаки

В этом блоге мы расскажем о том, как мы обнаружили кампанию, и представим новенького банковского трояна Cinobi. Между тем, в нашем задании обсуждается подробный анализ различных векторов атак, связанных с этой кампанией, и более глубокий анализ удаленных файлов конфигурации, а также функций Cinobi .

Технический анализ
Обнаружение операции Overtrap
Впервые мы обнаружили кампанию в сентябре 2019 года, используя неопознанный набор эксплойтов. Согласно нашим данным, операция «Оверрап» использует спам-сообщения для доставки своей полезной информации жертвам уже в апреле 2019 года.

В середине сентября мы наблюдали, как значительное число жертв было перенаправлено на набор эксплойтов, предназначенный для Internet Explorer, после того, как они нажали на ссылки с платформ социальных сетей. Однако следует отметить, что способ, которым жертвы получали ссылки, не был идентифицирован. Стоит также отметить, что операция «Overtrap», похоже, нацелена только на японских пользователей онлайн-банкинга; он перенаправляет жертв с другими геолокациями в поддельный интернет-магазин.

После анализа мы увидели, что набор эксплойтов сбрасывает только чистый двоичный файл, который не выполняет вредоносных действий на устройстве жертвы. Это также немедленно закрывается после инфекции. До сих пор неясно, почему субъекты угрозы, стоящие за операцией «Острый ловушка», изначально поставили чистый двоичный файл; Возможно, они тестировали свой пользовательский набор эксплойтов на этом этапе разработки кампании.

fig2.png

Рисунок 2. Снимок экрана, показывающий сетевой трафик набора эксплойтов в сентябре 2019 г.

fig3.png

Рисунок 3. Снимок экрана, на котором показан чистый файл, удаленный с помощью эксплойта Operation Overtrap

Пользовательский набор эксплойтов Operation Overtrap: Набор эксплойтов для бутылок
29 сентября 2019 года мы заметили, что набор эксплойтов перестал отбрасывать чистый файл, и вместо этого доставил совершенно новый банковский троян, который мы назвали «Cinobi». Мы также отметили, что субъекты угрозы, стоящие за «Операцией« Захват », перестали перенаправлять жертв из социальных сетей и начали использовать кампанию вредоносной рекламы, нацеленную на Японию, для продвижения своего специального набора эксплойтов.

Другой исследователь позже обнаружил пользовательский набор эксплойтов, который получил название (BottleEK). Он использует , , использующую Flash Player после освобождения, а также , уязвимость удаленного выполнения кода VBScript. Жертвы будут заражены полезной нагрузкой BottleEK, если они получат доступ к целевой странице данного комплекта эксплойтов с помощью исправленных или устаревших браузеров. Наша телеметрия показывает, что BottleEK был самым активным комплектом эксплойтов, обнаруженным в Японии в феврале 2020 года.

Figure-4-01.png

Рисунок 4. Активность набора эксплойтов, наблюдаемая в Японии в феврале 2020 года (данные получены из Trend Micro Smart Protection Network ™)

Совершенно новое банковское вредоносное ПО: Cinobi
Операция Overtrap использовала новое банковское вредоносное ПО, которое мы решили назвать Cinobi. Основываясь на нашем анализе, у Cinobi есть две версии - первая имеет полезную нагрузку для вставки библиотеки DLL, которая ставит под угрозу веб-браузеры жертв для выполнения захвата форм.

Эта версия Cinobi также может изменять веб-трафик, отправляемый и получаемый с целевых веб-сайтов. Наше расследование показало, что все сайты, на которые была нацелена эта кампания, принадлежали банкам из Японии.

Помимо захвата форм, он также имеет функцию веб-инъекции, которая позволяет киберпреступникам изменять доступные веб-страницы. Вторая версия обладает всеми возможностями первой, а также возможностью связи с командно-контрольным (C & C) сервером через прокси-сервер Tor.

Четыре стадии заражения Cinobi
Каждый из четырех этапов Cinobi содержит зашифрованный независимый от позиции шелл-код, который немного усложняет анализ. Каждый этап загружается с сервера C & C после выполнения определенных условий.

Начальная ступень
Первый этап цепочки заражения Cinobi, который также был другим исследователем кибербезопасности, начинается с вызова функции « », чтобы проверить, установлены ли локальные настройки зараженного устройства на японский язык.

fig5.png

Рисунок 5. Экран проверки Cinobi для определения языковых настроек устройства с помощью «GetUserDefaultUILanguages»

Затем Cinobi загрузит законные приложения unzip.exe и Tor из следующих мест:

  • FTP: [.] [.] // FTP cadwork.ch/DVD_V20/cadwork.dir/COM/unzip ех
  • https: // Архив torproject орг / тор-пакет-архив / torbrowser / 8.0.8 / тор-win32-0.3.5.8 застежка-молния [.] [.] [.]
После извлечения архива Tor в каталог «\ AppData \ LocalLow \» Cinobi переименует tor.exe в taskhost.exe и выполнит его. Он также запустит tor.exe с пользовательскими настройками файла torrc.

  • «C: \ Users \ <имя пользователя> \ AppData \ LocalLow \ <random_name> \ Tor \ taskhost.exe» –f
  • «C: \ Users \ <имя пользователя> \ AppData \ LocalLow \ <random_name> \ torrc»
Он загрузит вторую стадию вредоносного ПО с адреса .onion C & C и сохранит его в произвольно названном файле .DLL в папке «\ AppData \ LocalLow \». Имя файла загрузчика первого этапа сохраняется в файле .JPG со случайным именем.

fig6.png

Рисунок 6. Снимок экрана .JPG-файла, который содержит имя файла загрузчика первого этапа

После этого Cinobi запустит второй этап загрузки на машине жертвы.

fig7.png

Рисунок 7. Экран кода, показывающий, что Cinobi запускает второй этап загрузки на компьютере жертвы.

Вторая стадия
Cinobi подключится к своему C & C-серверу, чтобы загрузить и расшифровать файл для третьего этапа своей цепочки заражения. Мы заметили, что имя файла третьего этапа начинается с буквы C, за которой следуют случайные символы. После этого он загрузит и расшифрует файл для четвертого этапа, имя файла которого начинается с буквы А, за которой следуют случайные символы.

После этого Cinobi загрузит и расшифрует файл конфигурации (<random_name> .txt), который содержит новый адрес C & C.

Cinobi использует шифрование RC4 с жестко закодированным ключом.

fig8.png

Рисунок 8. Скриншот кода, показывающего декодированный файл конфигурации Cinobi

Затем Cinobi запустит загруженный файл заражения третьей стадии, используя метод обхода UAC через .

Третий этап
На третьем этапе заражения Cinobi будет копировать файлы вредоносных программ из «\ AppData \ LocalLow \» в папку «% PUBLIC%». Затем он установит четвертый этап загрузчика (который был загружен на втором этапе) в качестве ( ).

fig9.png

Рисунок 9. Снимок экрана с кодом, показывающим установку четвертой стадии заражения на компьютере жертвы под названием «WSCInstallProviderAndChains»

Cinobi выполнит следующие действия:

  • Измените конфигурацию службы диспетчера очереди на «SERVICE_AUTO_START»
  • Отключите следующие службы:
    • UsoSvc
    • Wuauserv
    • WaaSMedicSvc
    • SecurityHealthService
    • DisableAntiSpyware
  • Скопируйте и извлеките файлы Tor в папку «% PUBLIC%»
  • Переименуйте tor.exe в taskhost.exe
  • Создайте torrc в «% PUBLIC%» с содержимым «DataDirectory C: \ Users \ Public \ <random_nam> \ data \ tor»
  • Создать файл .JPG с исходным именем дроппера
  • Удалить файлы из «\ AppData \ LocalLow \», удалить оригинальный файл дроппера
Четвертый этап
Cinobi функцию для получения информации о доступных транспортных протоколах. Он также функцию чтобы получить путь к DLL исходного транспортного провайдера. Эта функция вызывается дважды. Первый вызов вернет злонамеренный провайдер (поскольку четвертая стадия вредоносной программы уже была установлена во время третьей стадии заражения). Второй вызов вернет исходный транспортный поставщик («% SystemRoot% \ system32 \ mswsock.dll»), разрешит и вызовет его функцию . Затем Cinobi проверит имя процесса, в который внедряется вредоносный провайдер DLL. На практике Cinobi следует внедрять во все процессы, которые устанавливают сетевые подключения с использованием ,

fig10.png

Рисунок 10. Снимок экрана процессов, в которые был внедрен вредоносный провайдер DLL

Лучшие практики против спама и уязвимостей
Операция Overtrap использует множество векторов атак для кражи банковских учетных данных. Пользователи и организации должны применять для защиты своих систем от угроз, связанных с обменом сообщениями, и предотвращения вредоносной рекламы. Примером наилучшей практики является наличие центральной точки для сообщения о подозрительных электронных письмах. Организации через свои ИТ-отделы должны иметь централизованную систему сбора информации, и все сотрудники должны быть осведомлены о процедуре сообщения о подозрительных электронных письмах. Тем временем пользователи могут избежать вредоносной рекламы, избегая кликов по подозрительным ссылкам или всплывающим окнам и обновляя программное обеспечение по официальным каналам.

Организации получат выгоду от регулярного обновления систем (или использования для устаревших систем), чтобы не дать злоумышленникам воспользоваться пробелами в безопасности. Дополнительные механизмы безопасности, такие как и , помогут предотвратить подозрительные действия в сети, такие как фильтрация данных или обмен данными C & C.

Источник:
 

ghostphisher

местный
Grey Team
07.12.2016
2 602
3 413
BIT
0
Уважаемый ТС. Мы очень рады Вашему рвению наполнения контентов нашего ресурса. НО - Вы хоть и пишите в раздел Статьи других авторов , мое пожелание - перед тем как постить, лучше сами на себе попробуйте это, изучите сделайте скрины и свой обзор. И Вам польза и ресурсу авторская статья ;)
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!