WWW.LIBRUS.DOBROTA.BIZ
БЕСПЛАТНАЯ  ИНТЕРНЕТ  БИБЛИОТЕКА - собрание публикаций
 

«Василий Бердников, Дмитрий Карасовский, Алексей Шульмин Версия 1.2 (Сентябрь 25, 2017) Microcin: технические детали и IOCs Оглавление Оглавление Приложение 1. Технические ...»

ЗЛОВРЕД MICROCIN:

ТЕХНИЧЕСКИЕ ДЕТАЛИ И IOCS

Василий Бердников, Дмитрий Карасовский, Алексей Шульмин

Версия 1.2 (Сентябрь 25, 2017)

Microcin: технические детали и IOCs

Оглавление

Оглавление

Приложение 1. Технические детали атаки

Watering hole

Первый этап заражения

Дроппер

Инсталлятор: основной шеллкод и DLL

DLL hijacking

Закрепление

Основной шеллкод

Дополнительный модуль

Закрепление: другие вредоносные инструменты

Завершение миссии – PowerATK

Приложение 2. IoCs

MD5 (вредоносные документы)

MD5 (бэкдоры)

For any inquiries, contact intelreports@kaspersky.com Page 2 of 14 Microcin: технические детали и IOCs Приложение 1.

Технические детали атаки Watering hole Исходный вредоносный файл (эксплойт) был обнаружен нами на одном из ПК в ходе расследования watering hole атаки:

md5 a50b6ec77276cf235eaf2d14665bdb5c file name КакПриниматьКвартиру-1.rtf source traffic Первый этап заражения Дроппер После срабатывания эксплойта на атакованном ПК запускается исполняемый файл – дроппер.

В его ресурсах содержатся зашифрованные инсталляторы вредоносной программы, предназначенные для работы в 32- и 64-битных ОС:

–  –  –

Дроппер определяет разрядность операционной системы, в которой он запущен, расшифровывает соответствующий инсталлятор, помещает его в %temp% каталог с именем вида kb[набор случайных символов].tmp и запускает на исполнение. После этого процесс дроппера завершается .

Инсталлятор: основной шеллкод и DLL

–  –  –

Инсталлятор приступает к заражению системы и для того, чтобы закрепиться в ней, ведет себя нетипично:

1. Записывает в реестр свой основной модуль – это шелкод, который хранится в параметре реестра с типом REG_BINARY в ключе с произвольным именем, начинающимся с «M», например «HKCU\Software\Mbaccbbg». Сам шеллкод хранится в зашифрованном с помощью XOR виде кодом последнего символа в имени ключа .

2. Изменяет параметр “Path” (переменная среды пользователя) в ключе «hkcu\environment», прописывая там путь к временному каталогу %temp% .

3. Читает память процесса explorer.exe и ищет там подходящую строку, которая будет использована для осуществления принудительной загрузки вредоносной библиотеки в этот системный процесс .

4. Создает во временном каталоге %temp% библиотеку, имя которой составляет из найденной строки в памяти процесса explorer.exe (например, библиотеку с именем rer.pdb – из найденной подходящей строки «explorer.pdb» в памяти explorer.exe) .

5. Производит внедрение библиотеки в действующий процесс explorer.exe с помощью функции QueueUserAPC, в которую первым параметром передается адрес kernel32.LoadLibraryA, а третьим – адрес строки, полученной на шаге 3. После успешной загрузки вредоносной библиотеки в процесс explorer.exe инсталлятор удаляет путь к %temp% из переменной среды “Path”. Именно благодаря модификации параметра “Path” вызов LoadLibraryA в контексте процесса explorer.exe, получив на вход строку без полного пути к загружаемой DLL, будет искать ее в каталоге %temp%, а в случае успеха – загрузит ее в память. Таким образом, вредоносный код попадает в процесс explorer.exe без записи в память процесса .





6. Инсталлятор копирует в %temp% одну из системных библиотек с именем вида kb[набор случайных символов].ini и модифицирует ее, используя метод расширения секции ресурсов и изменение точки входа на записанный вредоносный код. Это позволит передать управление на вредоносный код в момент загрузки билиотеки в память процесса .

–  –  –

Модифицированная точка входа библиотеки с переходом на вредоносный код For any inquiries, contact intelreports@kaspersky.com Page 5 of 14 Microcin: технические детали и IOCs Модифицируемые вредоносной программой библиотеки для различных версий

Windows могут различаться:

–  –  –

Таблица соответствий модифицируемой системной библиотеки и ОС

7. Далее инсталлятор отправляет команду библиотеке, которая на предыдущих шагах была внедрена в процесс explorer.exe, на помещение модифицированной системной DLL в каталог %WINDIR% .

DLL hijacking Таким образом, способ закрепления в системе данной вредоносной программы – это DLL hijacking по отношению к процессу проводника «explorer.exe». Каждый раз, когда система загружается, процесс explorer.exe сам загружает в память модифицированную вредоносную библиотеку, которая находится в том же каталоге, что и файл explorer.exe. Будучи загруженной в память процесса explorer.exe, вредоносная библиотека читает из реестра параметр с шелкодом, расшифровывает его и запускает на выполнение. Это и есть основная полезная нагрузка исследуемой вредоносной программы .

Если перед закреплением в системе инсталлятор Microcin обнаруживает запущенные процессы некоторых антивирусных программ, то установка идет без использования принудительной загрузки вредоносной библиотеки в контекст процесса explorer.exe. В случае активного UAC, инсталлятор помещает модифицированную системную библиотеку в каталог %WINDIR%, используя системное приложение wusa.exe (автономный установщик обновлений Windows) с параметром “/extract”. Это приложение является auto-elevated приложением и при стандартных настройках UAC без обращений к пользователю помещает модифицированную DLL в нужное место (%WINDIR%) .

Стоит отметить, что на современной ОС Windows 10 данный метод не будет работать, т.к .

Microsoft исключила параметр “/extract” из параметров утилиты wusa.exe .

Закрепление Основной шеллкод После запуска основной шеллкод обращается к своими серверам управления, адреса которых в нем же и содержатся:

hand.wid******lay[.]com – 127.0.0.1 foot.bac******ike[.]com – 45.**.***.192 Первый C&C, вероятно, резервный – и он соответствует loopback-IP-адресу 127.0.0.1 .

–  –  –

Второй C&C активен не постоянно, а лишь периодически оживает, чтобы принять информацию с зараженных компьютеров или отправить команды шеллкоду .

Обращение к C&C осуществляется по ссылке вида «/index.asp?ID=hhhtjqmrspjnQ», где выделенная строка формируется в зависимости от параметров операционной системы .

Вредоносная программа отправляет такой запрос (ping) на C&C каждую минуту и анализирует ответ .

В большинстве случаев приходит пустой ответ – просто pong:

Но в процессе наблюдения за C&C мы получили ответ вида «hj1000198377=», который был опознан ботом как задача на загрузку файла \0001.jpg с домена C&C, что и произошло:

–  –  –

Всего основной шеллкод умеет обрабатывать три команды: первые две сводятся к расшифровке и запуску (с сохранением на диск или без него) MZPE или шеллкода, а третья – к удалению параметра с дополнительным шеллкодом (модулем) в реестре .

For any inquiries, contact intelreports@kaspersky.com Page 7 of 14 Microcin: технические детали и IOCs Файл 0001.jpg, загруженный с сервера вредоносной программой, представляет собой изображение в формате JPEG .

Так выглядит загруженное вредоносной программой изображение Эту картинку можно увидеть в галерее, где она называется «kariminal_rider» .

Вредоносный код ищет в загруженном изображении специальный маркер «ABCD» и расшифровывает данные далее по следующему алгоритму:

Процедура расшифровки дополнительного шелкода в изображении После расшифровки содержимого рассмотренного изображения по смещению 0x0D от маркера «ABCD» станет явным следующий код:

For any inquiries, contact intelreports@kaspersky.com Page 8 of 14 Microcin: технические детали и IOCs

–  –  –

Это второй шеллкод – дополнительный модуль, который загружается и устанавливается основным шелкодом .

Дополнительный модуль Дополнительный модуль тоже сохраняется в реестре, в параметре типа REG_BINARY в ключе “hkcu\software\microini”. В начале работы основного шеллкода производится проверка наличия данного ключа и, если он есть, получение содержимого параметра, его расшифровка и запуск .

–  –  –

В дополнительном модуле также содержится адрес C&C:

bird.sin******oll[.]com -- 45.**.***.192 Это тот же IP, что и у одного из C&C основного модуля – foot.bac******ike[.]com .

От своего разработчика дополнительный вредоносный модуль получил имя DiskSearch.dll. Он позволяет атакующим получать доступ к файловой системе: получать информацию о разделах, имеющихся в системе, искать необходимые файлы, перемещать их, удалять, отправлять их на удаленный сервер. Но работа модуля этим не ограничивается, он – полноценный бэкдор, позволяющий управлять зараженной системой: работать с реестром и сервисами, запускать необходимые приложения, получать список процессов и завершать произвольный процесс,

–  –  –

запускать консоль (cmd.exe) для удаленного выполнения команд, перезагружать и выключать систему, может делать скриншоты экрана и отправлять их на сервер злоумышленников .

–  –  –

Закрепление: другие вредоносные инструменты Обратившись к нашим облачным технологиям в поисках доменных имен, используемых вредоносной программой Microcin, мы обнаружили, что с адреса foot.bac******ike[.]com были загружены и другие вредоносные модули. Эти модули использовались не только в атаках Microcin, но и в других кампаниях кибершпионажа, некоторые из которых активны до сих пор .

foot.bac******ike[.]com/whale32.jpg (и его 64-битная версия whale64.jpg, лежит там же)

– это MZPE, несмотря на расширение. Бэкдор предназначен для выполнения команд злоумышленника, передачи данных с зараженных компьютеров, исполнения файлов, получения информации о системе и т.д. C&C – whale.dee******ave[.]com (IP:

104.***.***.19), работает по HTTPS .

foot.bac*****ike[.]com/ocean.jpg – тоже MZPE, тоже бэкдор, но работает с сервером по адресу vodxe.k*****c[.]com (IP: 45.**.**.65). Эта вредоносная программа предоставляет злоумышленнику возможность выполнять команды на зараженном компьютере, удалять файлы, получать файлы, собирать информацию о системе, рекурсивно удалять каталоги, устанавливать и запускать службы, делать скриншоты, завершать процессы и т.д. Данный бэкдор запускается с помощью техники DLL hijacking с легитимным приложением с цифровой подписью для сокрытия своей деятельности и имеет внутреннее имя RingDllWM.dll, данное модулю разработчиком .

foot.bac******ike[.]com/updater.jpg – компонента вредоносной программы Microcin, предназначенная для обновления основного шеллкода в реестре .

For any inquiries, contact intelreports@kaspersky.com Page 11 of 14 Microcin: технические детали и IOCs Завершение миссии – PowerATK Получив адрес сервера управления бэкдора whale (whale.dee******ave.com), мы обнаружили там открытую директорию, которая по сути своей являлась git-клоном PowerSploit – готового набора Powershell модулей для использования в тестах на проникновение.

Организаторы Microcin, добавив в готовый набор PowerSploit ряд дополнительных вредоносных программ, использовали его для кражи информации с зараженных ПК:

Содержание корневой директории сервера управления бэкдора Содержание директории PowerATK_PS на сервере управления бэкдора For any inquiries, contact intelreports@kaspersky.com Page 12 of 14 Microcin: технические детали и IOCs Содеражение директории payload на сервере управления бэкдора

–  –  –

Также в арсенале злоумышленников, стоящих за атакой Microcin, есть и другие вредоносные программы: это утилита для скрытной передачи собранных данных на сервер злоумышленников с помощью системной программы bitsadmin.exe, различные утилиты для получения логинов и паролей из браузеров, кейлоггер, пакетные командные файлы для сбора и архивирования обособленных данных, собранных перечисленными выше утилитами, их архивирования под паролем и сохранения в конкретном месте для дальнейшей их отправки злоумышленникам .

For any inquiries, contact intelreports@kaspersky.com Page 13 of 14 Microcin: технические детали и IOCs Приложение 2. IoCs MD5 (вредоносные документы) 371bae0fc70563c7fa1ec0e3a0f037f4 a50b6ec77276cf235eaf2d14665bdb5c f4deeb3db67bae6cc224802fbad1f3f6 3f288e450a375a26bd9c4de7f2bcfd66 7bcf447a93fd37d068ec27dd04c301cb 873105f03ae425101ea206dcd6bc539f ab6544e1eba3af3f5236d99b755c701c 6e006124678ffc18458d1322de6232a7 MD5 (бэкдоры) 056f811ef41c213b037008300b0daf0d 3ebcacb207b33bd5376d00b24cb3386c 4644ce606ab4b62622e4a9e6a80d792d 4ba4346984a380e22afaccff78688a54 60cb9e553884085700e359e5367d5fb4 7771e1738fc2e4de210ac06a5e62c534 7a290a29ea0d84e4475e021fa87ec466 7d8ee0e91cd88bb36d84d52d1d796dea a54966098b2281e4b75b747dbb52f431 a5c7b7a26fa0f15cbf7bdd3db597fbe6 dc6c8bae242c43dad76970329270155e 335cb36cc21c47b849d370a892d759b8 948fecf6a044b79de79dc69e09d9979b



Похожие работы:

«СЕКЦИЯ 17. ЭКОНОМИКА МИНЕРАЛЬНОГО И УГЛЕВОДОРОДНОГО СЫРЬЯ. ГОРНОЕ ПРАВО 997 СОВРЕМЕННЫЕ МЕТОДЫ ВОССТАНОВЛЕНИЯ ВОДНЫХ РЕСУР СОВ ЗАГРЯЗНЁННЫХ НЕФТЕПРОДУКТАМИ Д. С. Белозерова Научные руководители, доцент О. В. Пожарницка...»

«Международная конференция, посвященная 70-летию Физико-технического Института В случае реакции (п,2п) на ядре 124Те образуется изомер 123тТе, основное состояние которого стабильно. В этом случае изомерные отношения сечений реакции определяются как отношения...»

«^ Л МИТРОШИН ИГОРЬ АЛЕКСАНДРОВИЧ ТЕПЛОИЗОЛЯЦИОННЫЕ МАТЕРИАЛЫ НА ОСНОВЕ ДИАТОМИТА Специальность 05.23.05 Строительные материалы и изделия Автореферат диссертации на соискание ученой степени кандидата технических наук Саратов 2007 Работа...»

«VI МЕЖДУНАРОДНАЯ НАУЧНО-ПРАКТИЧЕСКАЯ КОНФЕРЕНЦИЯ "БЕЗОПАСНОСТЬ И ЭФФЕКТИВНОСТЬ АТОМНОЙ ЭНЕРГЕТИКИ" ОДЕССКИЙ НАЦИОНАЛЬНЫЙ ПОЛИТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ Одесса, 04-06 сентября 2018 Генеральный инспектор директор по безопасности, к.т.н. Билей Данко Васильевич Понятие термина "культура безопасности...»

«127018, Москва, ул. Сущёвский вал, д. 16 строение 5 Телефон: +7 (495) 780 4820 Факс: +7 (495) 780 4820 http://www.CryptoPro.ru E-mail: info@CryptoPro.ru СРЕДСТВО КРИПТОПРО HSM . КРИПТОГРАФИЧЕСКОЙ РУКОВОДСТВО ЗАЩИТЫ АДМИНИСТРАТОРА ИНФОРМАЦИИ БЕЗОПАСНОСТИ ЖТЯИ.00046-01 90 03 Листов 33 2009 г. ЖТЯИ.0004...»

«Голубцов Павел Евгеньевич ПОЛИМОРФИЗМЫ И ЗАДАЧА О РАЗРУШЕНИИ АДИАБАТИЧЕСКОГО ИНВАРИАНТА 01.02.01 – теоретическая механика АВТОРЕФЕРАТ диссертации на соискание ученой степени кандидата физико-математических наук Москва – 2012 Работа выполнена на кафедре теоретической механики и мехатроники механико-математического факультета Московского...»

«ОРГАНИЗАЦИЯ ОБЪЕДИНЕННЫХ НАЦИЙ Distr. РАМОЧНАЯ КОНВЕНЦИЯ GENERAL ОБ ИЗМЕНЕНИИ КЛИМАТА FCCC/SBSTA/2002/8 14 August 2002 RUSSIAN Original: ENGLISH ВСПОМОГАТЕЛЬНЫЙ ОРГАН ДЛЯ КОНСУЛЬТИРОВАНИЯ ПО НАУЧНЫМ И ТЕХНИЧЕСКИМ АСПЕКТАМ Семнадцатая сессия Дели, 23-29 октября 2002 года Пункт 4 d) п...»

«Дудина Елена Васильевна РАЗВИТИЕ СИСТЕМЫ ГОСУДАРСТВЕННОГО ЭКОНОМИЧЕСКОГО РЕГУЛИРОВАНИЯ ИНВЕСТИЦИОННОЙ ДЕЯТЕЛЬНОСТИ В МАЛОМ ПРВДПРИНИМАТЕЛЬСТВЕ 08.00.05 Экономика и управление народным хозяйством (Управление инновациями и инвестиционной деятельностью) Автореферат диссертации на соискание ученой степени кандидата экон...»







 
2019 www.librus.dobrota.biz - «Бесплатная электронная библиотека - собрание публикаций»

Материалы этого сайта размещены для ознакомления, все права принадлежат их авторам.
Если Вы не согласны с тем, что Ваш материал размещён на этом сайте, пожалуйста, напишите нам, мы в течении 1-2 рабочих дней удалим его.