Отчеты о целевых атаках (APT)

Банковский троянец Lurk: специально для России

PDF-версия

На закрытых российских форумах киберпреступников можно часто услышать фразу-совет: «не работай по RU» — это своего рода напутствие опытных негодяев молодой смене. В переводе на русский язык фраза означает следующее: «не воруй деньги у граждан РФ, не заражай их машины, не используй соотечественников для отмывания денег».

«Работать по RU» невыгодно с точки зрения безопасности киберпреступников: жители других стран вряд ли обратятся в полицию РФ. Кроме того, в зоне RU не слишком распространен интернет-банкинг, во всяком случае – распространен гораздо меньше, чем в западных странах. Следовательно, потенциальная доходность деятельности в RU-зоне ниже, чем в других зонах, а риск – выше. Именно поэтому появилось правило «не работай по RU».

Как и всегда, из этого правила есть исключения. Весьма заметный банковский троянец, о котором мы расскажем вам сегодня, – Lurk – уже несколько лет активно используется для воровства денег у резидентов РФ.

Мы уже писали об этом банковском троянце раньше, он привлек наше внимание практически сразу после появления тем, что использовал механизм бестелесного распространения – вредоносный код не сохранялся на диске и запускался непосредственно из памяти. Однако детальное описание Lurk до сих пор не было опубликовано.

Особенности троянца

Банковский троянец Lurk стоит особняком среди вредоносного ПО, предназначенного для хищения денежных средств у клиентов банков:

  • Lurk существует и активно развивается более 5 лет, но действует избирательно только на тех компьютерах, где он может украсть деньги. За более чем пятилетнюю историю этого банковского троянца в C&C было зарегистрировано около 60 000 ботов, что не слишком много.
  • Lurk – это универсальный банковский троянец, он способен похищать деньги не только из системы «iBank 2», которая используется многими российскими банками, но и из уникальных интернет-систем ДБО некоторых крупных российских банков.
  • Lurk активно противодействует обнаружению – разработчики прикладывают много усилий, чтобы минимизировать детектирование своего троянца, а таргетированные атаки делают затруднительным оперативное получение новых самплов.
  • По использованным методам внутренней организации зловреда, объему функционала и частоте вносимых изменений можно сделать вывод, что над проектом работает команда профессиональных разработчиков и тестировщиков.

Мы не утверждаем, что этот троянец хорошо написан – мы видели и анализировали банковские троянцы, которых отличало гораздо более высокое качество кода. Более того, анализ Lurk показал, что над кодом работало несколько программистов, и их квалификация была различной. Местами в коде встречаются откровенно неудачные решения, которые авторы не исправляют годами (мы, разумеется, не будем указывать авторам на их ошибки). Отметим, что вирусописатели развивают свой продукт – мы видим повышение качества кода с течением времени и улучшение используемых авторами решений. Lurk отличает высокая таргетированность – авторы делают все, чтобы заразить максимальное количество интересных им жертв, не привлекая при этом внимания аналитиков и исследователей. Инциденты, о которых известно нам, убеждают в том, что Lurk со своей задачей справляется – периодически приходят сообщения о хищениях в системе ДБО, а криминалистические исследования после инцидентов показывают следы Lurk на машине.

Жертвы

В качестве жертв злоумышленников интересуют:

  • IT-организации в сфере телеком;
  • СМИ и новостные агрегаторы;
  • банки и финансовые организации.

Скомпрометированные компьютеры IT- и телеком-компаний дают хозяевам Lurk возможность создания новых перевалочных серверов, через которые идет трафик к серверам злоумышленников. Сайты СМИ и новостные агрегаторы, особенно те, которые посещают бухгалтеры, используются для заражения большого числа компьютеров пользователей из «целевой аудитории» Lurk. Банки и финансовые организации интересуют злоумышленников для достижения их основной цели – кражи денег.

Желание авторов зловреда закрепиться на машинах силовых структур (эти организации также есть в списке атакованных) оставим без комментариев.

В число атакованных троянцем мишеней вошли, пожалуй, все крупные российские банки, в том числе четыре крупнейших.

Распространение

Для распространения банковского троянца Lurk применяется широко известная техника drive-by. Кроме нее, авторы также распространяют троянца через взломанные сайты легитимного ПО и внутри сетей организации – при помощи утилиты psexec.

Заражение через эксплойт-пак

Lurk распространяется главным образом при помощи знаменитого эксплойт-пака Angler (авторское название – XXX).При таком способе распространения для заражения компьютера жертвы не требуется никаких специальных действий пользователя.

Angler по праву считается флагманом среди эксплойт-паков: эксплойты для новых уязвимостей почти всегда реализуются сначала в Angler, а уже потом расползаются по остальным пакам (не исключено, что просто «заимствуются»). Нередки случаи реализации в Angler эксплойтов к уязвимостям «нулевого дня», что делает его особенно опасным.

Вот как обычно происходит подготовка к заражению Lurk новых жертв:

  1. Выбирается сайт, интересный ЦА: бухгалтерский форум, новостной портал и т.п. Заражение сайта осуществляется при помощи скрытного размещения на нем ссылки на лендинг эксплойт-пака. Если заражение сайта невозможно, вредоносная ссылка размещается в материалах какой-либо «партнерки», которые демонстрируются на сайте.
  2. Зашедшие на сайт пользователи скрытно отправляются на лендинг эксплойт-пака. Angler пытается произвести эксплуатацию какой-либо уязвимости в ПО пользователя, что должно привести к запуску загрузчика Lurk – mini.

Отметим, что ссылка на лендинг эксплойт-пака либо ставится на короткое время, либо появляется и исчезает периодически. Например, мы наблюдали заражение форума одного известного журнала для бухгалтеров, на котором вредоносная ссылка появлялась в рабочие дни ровно на два часа в обеденное время. Мы, разумеется, замечали аномальную активность и оповещали владельцев ресурса. Однако к моменту, когда они читали наше письмо, ресурс уже был чист, и они не видели заражения. А между тем владельцы Lurk за время наличия вредоносной ссылки на форуме получали несколько новых зараженных вредоносным ПО компьютеров.

Заражение через взломанные сайты

Второй вариант заражения, который злоумышленники активно использовали, — это распространение вредоносного кода с легитимных сайтов. Судя по всему, при таком способе распространения зараженные файлы отдаются только пользователям из RU-зоны, остальные получают чистые файлы.

Заражение машин внутри сети организации

Для злоумышленников очень интересна схема, при которой при первоначальной атаке заражается один из компьютеров организации. Даже если на зараженной машине нет ничего, что представляет интерес для злоумышленников, такой компьютер находится в одной сети, в одном домене с другими компьютерами, которые обладают интересующей хозяев троянца информацией. В таких случаях для распространения внутри сети используется утилита Марка Руссиновича psexec, а для запуска основных модулей троянца на других компьютерах в сети – специальный дроппер mini. Такой способ может привести к крайне печальным последствиям, т.к. безопасность компьютера с интересующими злоумышленников данными по сути определяется безопасностью самого слабозащищенного компьютера в атакованной сети.

Основные модули

Троянец состоит из нескольких модулей, обладающих довольно богатыми возможностями. Основные модули Lurk:

  • модуль mini
  • модуль prescanner,
  • модуль core (ядро бота),
  • модуль core_x64 (64-битная версия ядра),
  • модуль mini_x64 (64-битная версия модуля mini).

Модуль mini

На первом этапе атаки при помощи эксплойт-пака Angler происходит эксплуатация найденной уязвимости в ПО пользователя, загрузка и запуск модуля mini банкера Lurk. Как уже было сказано выше, вредоносный файл пользователь может скачать со взломанного сайта, заражение также может произошло по локальной сети.

Mini – это небольшая по меркам Lurk программа (100-400 Кб). Ее основная задача – скачать и запустить на исполнение два других основных модуля вредоносной программы Lurk. Адрес сервера mini жестко зашит в теле программы. Скачивание модулей происходит при помощи обычных GET-запросов. Модули, скачиваемые mini, зашифрованы, причем применяются различные криптоалгоритмы. Модуль prescanner зашифрован при помощи простого «xor-next». Другие модули зашифрованы при помощи криптоалгоритма BlowFish (ECB Mode), псевдо-ключ для которого вшит непосредственно в mini. Настоящий ключ получается из вшитого псевдо-ключа при помощи последовательного перебора одного символа (brute-force атака).

Для того чтобы не приходилось загружать дополнительные модули при каждом запуске mini, троянец сохраняет эти модули в отдельный зашифрованный файл. Этот файл расположен в каталоге %APPDATA%. Содержимое хранилища зашифровано при помощи криптоалгоритма Blowfish, при этом используется ключ, зависящий от времени создания каталога Windows. Помимо названия плагина и его тела, в хранилище также содержится список контрольных сумм имен процессов, в контексте которых плагин должен выполняться. С помощью этой информации mini определяет, в какой процесс внедрять плагин: для модуля веб-инжектов это процесс браузера, для модуля ibank это Java.exe, в контексте которого функционирует система ДБО.

Модуль prescanner

В соответствии со схемой работы mini вторым этапом атаки является загрузка модуля prescanner. Этот модуль представляет собой динамически загружаемую библиотеку с единственной экспортируемой функцией Prescan.

Prescanner нужен злоумышленникам для того, чтобы сделать свои атаки максимально целевыми. Если машина не соответствует специальным правилам prescanner и на ней не найдены системы ДБО, модуль сообщает об этом mini, и последний принимает решение не закрепляться на этой машине. Таким образом создатели троянца пытаются избежать лишнего внимания к себе со стороны правоохранительных органов и разработчиков антивирусных продуктов. В подтверждение приведем следующий факт: каждый раз при регистрации нового бота в C&C боту назначается его уникальный идентификатор – номер бота. За более чем пятилетнюю историю этого банковского троянца в C&C было зарегистрировано всего около 60 000 ботов.

Prescanner выполняет две основные задачи:

  • сбор информации о зараженной системе;
  • граббинг паролей из FTP-клиентов, обнаруженных на машине пользователя.

Собрав информацию о машине и проверив выполнение имеющихся правил, prescanner отправляет отчет на свой управляющий сервер. В рассмотренных нами случаях C&C модуля perscanner совпадал с C&C загрузчика mini.

Если по результатам анализа машина признана непригодной для атаки Lurk, mini и prescanner завершают свою работу и самоудаляются. Если prescanner принял решение закрепиться на машине, он сообщает об этом загрузчику mini, который, в свою очередь, скачивает и запускает модуль core – основное тело бота.

Модуль core

Core – это главный модуль Lurk. Его основные функции:

  • сетевое взаимодействие с C&C;
  • выполнение команд, полученных от злоумышленников;
  • ведение журнала клавиатурного ввода (функция кейлоггера) и запись видеопотока с экрана зараженной системы;
  • обеспечение работы шифрованного хранилища данных и настроек Lurk;
  • загрузка, установка и запуск дополнительных модулей троянца.

Модуль core является своего рода «каналом связи» между другими модулями вредоносной программы и командным центром. C&C-серверы для mini и для core разные. Core не содержит жестко зашитого адреса центра управления, он вычисляется при помощи алгоритма генерации доменных имен (DGA – Domain Generation Algorithm). Авторы троянца используют в качестве основных входных параметров DGA в том числе данные биржевых котировок, полученных с Yahoo Finance. То есть при генерации адресов C&C используются данные, которые не могут быть заранее известны экспертам по безопасности. Как следствие, предсказать сгенерированные Lurk адреса невозможно.

После успешного соединения на управляющий сервер каждые пять минут отправляются собранные зловредом данные и результаты выполнения команд, запрашиваются обновления и команды. Вся коммуникация между модулем core и C&C шифруется, обмен данными между core и C&C происходит в JSON-формате.

Функция перехвата данных, вводимых пользователем с клавиатуры, в модуле core реализована в новых версиях Lurk (как минимум, начиная с 8.9773). Перехват осуществляется только в контексте окон с определенными словами/фразами в названии, список которых получен с C&C. Перехваченная информация отправляется на управляющий сервер в ходе очередного сеанса связи (раз в 5 минут).

Основная часть хранилища троянца Lurk расположена в реестре, но часть дополнительных данных, относящихся к хранилищу, может быть представлена в виде файла на жестком диске. Как правило в виде файлов хранится большой, но логически единый, объем данных, например, видео, захваченное с экрана, или код веб-инжектов. Но в любом случае ссылки и эти дополнительные файлы обязательно присутствуют в основной части хранилища в реестре.

Дополнительные модули

Дополнительные модули (плагины) бота загружаются core на те машины, которые вредоносная программа определит как наиболее подходящие для атаки, при этом на каждую машину загружаются именно те модули, которые на ней нужны для хищения денежных средств.

Известные нам на сегодняшний день виды модулей Lurk приведены в таблице ниже.

GUID плагина Название Назначение плагина
{5FBA6505-4075-485b-AEC4-75767D9054C9} module_Bifit Набор .class-файлов для внесения изменения в нормальную функциональность систем «IBank 2» с целью хищения денег.
{0F3E7AFA-1F2B-4b0e-99D6-3716A4C3D6DE} module_Bifit_admin Модифицированный злоумышленниками административный апплет для систем «iBank 2» (предназначен для хищения учетных данных «iBank 2»-систем, в том числе – ключевых файлов).
{04DB063E-1454-4a73-B2CC-4DB6D4BB6AA1} module_ibank Плагин для обеспечения инжектов собственных апплетов в систему «IBank 2». Именно с помощью этих апплетов (но не только их) деньги воруются у пользователя.
{AABA3126-14E2-443b-A11B-FB6C1F793103} module_w3bank Плагин, предназначенный для организации веб-инжектов в страницы систем ДБО.
{5C345F77-B111-4a85-B6D6-EC8F27F993C4} module_w3bank_scripts Набор скриптов на JavaScript, для инжектированя модулем w3bank. Предназначен для кражи денег и данных из систем ДБО.
{50D13F6C-FC46-4fdf-A294-E149D36E54D4} module_spider Вспомогательный модуль, основная задача которого – обеспечить загрузку других модулей Lurk в контекст процессов «iexplore.exe», «firefox.exe», «chrome.exe», «opera.exe», «jp2launcher.exe», «java.exe» до реального запуска этих процессов.
{52F1F7D8-4BCC-4498-AC86-3562F81990F6} module_vnc Плагин для доступа по VNC на зараженную машину (в целях удаленного управления скомпрометированным компьютером).
{A06B5020-0DF3-11E5-BE38-AE5E4B860EDE} rdp-plugin-x86 Плагин, обеспечивающий включение RDP на зараженной машине.
{9F786E98-3D4C-4020-8819-B97D9D4DBCC0} highLauncher Загрузчик плагинов бота в high Integrity level (нужен для rdp-plugin-x86 и lsa-plugin-x86).
{968A2A9A-7DF4-4E69-BF81-563AF8FFB7DC} launcher Загрузчик mini. Ожидает IPC-сообщения с именем <LurkDll>, после чего загружает mini при помощи LoadLibrary(). Используется в процессе запуска mini с повышением привилегий.
{5B3957F2-AAAF-4FF8-94B8-83C52AFCD2A9} lsa-plugin-x86 Плагин для граббинга администраторских и/или доменных аккаунтов (используется известная программа mimikatz).

О трех модулях (плагинах) бота мы расскажем подробнее: модули w3bank и ibank.dll – две «рабочие лошадки» троянца Lurk, они непосредственно участвуют в хищении денег. Модуль module_vnc предоставляет возможность удаленного управления зараженной системой с использованием протокола VNC.

Модуль w3bank

Модуль w3bank предназначен для атак на онлайн-системы ДБО. Его основная задача – внедрение инжектов («автозаливов») в браузер пользователя.

Модуль ibank

Модуль ibank предназначен для совершения хищений в системах ДБО «iBank».

Модуль функционирует в контексте процесса виртуальной машины Java. При запуске Java-апплета происходит проверка этого апплета на принадлежность системе «iBank 2». В случае запуска этой системы ДБО на управляющий сервер вредоносной программы отправляется запрос, блокировать или продолжить запуск апплета. Вместе с командой на продолжение запуска с C&C приходит набор файлов Java-классов, подменяющих оригинальные классы апплета «iBank».

Зараженный апплет позволяет злоумышленникам незаметно подменять данные в платежных поручениях, оставляя в распечатках исходную информацию.

Модуль module_vnc

Модуль module_vnc предоставляет возможность удаленного управления зараженной системой с использованием протокола VNC. При этом удаленный узел получает полный доступ к системе: видит изображение, выводимое на экран, может передавать и получать любые файлы и данные, включая данные с устройств записи видео и звука, использовать имеющееся на машине ПО и устанавливать новое.

Также данный модуль предоставляет возможность запускать процессы браузеров со следующими параметрами:

Mozilla Firefox: -profile
Google Chrome: —user-data-dir=
Internet Explorer: -nomerge

При каждом запуске Mozilla Firefox и Google Chrome создается новый профиль пользователя браузера. Это позволяет скрывать активность зловреда от легитимного пользователя, который не сможет видеть ее в истории посещенных сайтов. Кроме того, это позволяет создать на каком-либо сайте отдельную сессию параллельно с уже открытой. В частности, это дает возможность злоумышленникам второй раз пройти аутентификацию на сайте, с которым работает легитимный пользователь, и производить в параллельной сессии действия, которые не будут влиять на сессию пользователя.

Этапы атаки Lurk

Таким образом, последовательность типичной атаки троянца следующая:

  1. Машина пользователя заражается при помощи эксплуатации уязвимости;
  2. На зараженной машине запускается модуль mini;
  3. mini скачивает модуль prescanner и запускает его;
  4. prescanner похищает у пользователя FTP-учетные данные;
  5. Если зараженная машина по результатам анализа признана непригодной, mini и prescanner тихо «умирают».
  6. Если зараженная машина интересует злоумышленников, атака продолжается.
  7. Если атака продолжается, mini скачивает и запускает модуль core – основное тело бота.
  8. core связывается с командным сервером бота, получает и выполняет команды злоумышленников.
  9. core получает с C&C дополнительные плагины бота.
  10. core «шпионит» за пользователем – перехватывает данные, вводимые с клавиатуры, и записывает видеопоток с экрана зараженной системы. Перехват осуществляется только в контексте окон с определенными словами/фразами в названии, список которых получен с C&C и определен прежде всего финансовыми интересами владельцев Lurk.
  11. Используя дополнительные модули (ibank, w3bank), Lurk осуществляет кражу денежных средств в системе ДБО.

Пример атаки на банк

В рамках исследования мы обнаружили атаку Lurk на один из крупных российских банков с использованием модуля w3bank, осуществляющего веб-инжекты. Нам удалось получить скрипт инжектов.

Файлы скрипта инжектов имеют одинаковые имена для различных систем онлайн-ДБО (content.min.js), но разный GUID, т.к. последний генерируется случайным образом.

Данный скрипт осуществляет перехват аутентификационной информации, вводимой в систему ДБО банка. При аутентификации пользователя в системе ДБО происходит перехват его логина и пароля. После успешной аутентификации создается скрытая от пользователя параллельная сессия, в ходе которой Lurk переходит по банковским страницам и ищет имя держателя карты и номер телефона, связанный с картой. То есть вредоносный скрипт собирает всю информацию, необходимую для совершения платежа в данной системе ДБО. В дальнейшем эта информация отправляется на управляющий сервер, адрес которого совпадает с сетевым адресом сервера, взаимодействующего с модулем core.

Управляющий сервер в ответ может прислать скрипт, который будет исполнен в контексте браузера. В рамках нашего исследования получить такой скрипт не удалось.

Также у правляющий сервер может зарегистрировать автоматический платеж, который будет выполнен после следующей аутентификации пользователя в системе ДБО.

Заключение

Авторы троянца прикладывали усилия, чтобы максимально защитить свое детище от аналитиков, особенно – защитить Lurk от глубокого анализа. Или, как минимум, сильно усложнить такой анализ. Однако, несмотря на все сложности анализа зловреда, Lurk оперативно детектируется современными антивирусными решениями.

Противодействуют Lurk не только антивирусные компании. Разработчик «iBank 2» систем – компания «БИФИТ» – также прикладывает усилия для борьбы с атаками на свой продукт. Компания реализовала методы противодействия банковским троянцам в ПО «iBank 2» и изучила их эффективность. Из результатов проведенного «БИФИТ» исследования следует, что из всех реализованных в системе «iBank 2» средств защиты против Lurk эффективен только контроль на стороне сервера банка, остальные меры противодействия, реализованные в системе «iBank 2», были успешно преодолены авторами Lurk, что говорит об их профессионализме.

В целом, Lurk оставляет впечатление сложной и мощной системы, предназначенной для достижения преступной цели создателей продукта – хищения денежных средств у пользователей. Упорство и сосредоточенность, с которыми авторы работают над своим троянцем, говорит о высокой степени их мотивации.

«Лаборатория Касперского» для противодействия этому троянцу применяет методики сигнатурного, эвристического и проактивного детектирования. Такой подход позволяет детектировать даже новые экземпляры Lurk еще до того, как они появляются у нас в коллекции. Детектирование этого троянца происходит со следующими вердиктами: Trojan.Win32.Lurk, Trojan-Banker.Win32.Lurk, Trojan-Spy.Win32.Lurk.

В заключение дадим банальный, но от этого не потерявший актуальности совет. Безопасность системы ДБО обеспечивается:

  • грамотным проектированием и администрированием локальных сетей организаций;
  • регулярным обучением сотрудников правилам и нормам информационной безопасности;
  • использованием современного и регулярно обновляемого защитного ПО.

Уверены, что соблюдение этих простых правил позволит обеспечить высокий уровень защиты от Lurk и подобных ему угроз.

IOCS:

Ключи реестра:

HKCUSoftwareClassesCLSID{118BEDCC-A901-4203-B4F2-ADCB957D1887}
HKLMSoftwareClassesCLSID{118BEDCC-A901-4203-B4F2-ADCB957D1887}
HKCUSoftwareClassesDriveShellExFolderExtensions{118BEDCC-A901-4203-B4F2-ADCB957D1887}
HKLMSoftwareClassesDriveShellExFolderExtensions{118BEDCC-A901-4203-B4F2-ADCB957D1887}

Файлы:

Возможные названия модуля mini:

%APPDATA%API32.DLL
%APPDATA%dlg.dll
%APPDATA%mm.dll
%APPDATA%setup.dll
%APPDATA%help.dll
%APPDATA%mi.dll
%APPDATA%http.dll
%APPDATA%wapi.dll
%APPDATA%ER32.DLL
%APPDATA%core.dll
%APPDATA%theme.dll
%APPDATA%vw.dll
%APPDATA%el32.dll
%APPDATA%sta.dll
%APPDATA%p10.dll
%APPDATA%fc.dll
%APPDATA%in_32.dll
%APPDATA%pool.drv
%APPDATA%env.dll
%APPDATA%man.dll

Возможные названия хранилища модулей:

%APPDATA%ddd2.dat
%APPDATA%pdk2.dat
%APPDATA%km48.dat
%APPDATA%9llq.dat
%APPDATA%ddqq.dat
%APPDATA%834r.dat
%APPDATA%gi4q.dat
%APPDATA%wu3w.dat
%APPDATA%qq34.dat
%APPDATA%dqd6.dat
%APPDATA%w4ff.dat
%APPDATA%ok4l.dat
%APPDATA%kfii.dat
%APPDATA%ie31.dat
%APPDATA%4433.dat

Сетевые индикаторы:

Сервера управления:

3d4vzfh68[.]com
43xkchcoljx[.]com
carlton69f[.]com
diameter40i[.]com
elijah69valery[.]com
embassy96k[.]com
evince76lambert[.]com
globe79stanhope[.]com
groom58queasy[.]com
hackle14strand[.]com
hotbed89internal[.]com
mechanic17a[.]com
paper17cried[.]com
plaguey42u[.]com
possum89hilarity[.]com
rhythmic81o[.]com
ri493hfkzrb[.]com
roomful44e[.]com
s8f40ocjv[.]com
scale57banana[.]com
wing97pyroxene[.]com
yf3zf90kz[.]com

Правила IDS:

alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:»Bot.Lurk.HTTP.C&C»; flow:established,to_server; content:»POST»; pcre:»/?hl=[a-z]+&source=[^rn&]+&q=[^rn&]+/msi»;)

MD5:

mini:

185C8FFA99BA1E9B06D1A5EFFAE7B842
2F3259F58A33176D938CBD9BC342FDDD
217DAB08B62B6F892A7D33E05E7F788C
3387E820F0F67FF00CF0C6D0F5EA2B75
36DB67CCADC59D27CD4ADF5F0944330D
6548D3304E5DA11ED2BED0551C3D6922
72D272A8198F1E5849207BC03024922D
85B66824A7F2787E87079903F0ADEBDF
B4FFAD760A52760FBD4CE25D7422A07B
C461706E084880A9F0409E3A6B1F1ECD
D0B4C0B43F539384BBDC103182E7FF42
E006469EA4B34C757FD1AA38E6BDAA72
E305B5D37B04A2D5D9AA8499BBF88940
E9CAB9097E7F847B388B1C27425D6E9A
E9DA19440FCA6F0747BDEE8C7985917F
F5022EAE8004458174C10CB80CCE5317

prescanner:

A802968403162F6979D72E04597B6D1F

core:

C15E18AFF4CDC76E99C7CB34D4782DDA
8643E70F8C639C6A9DB527285AA3BDF7

ibank.dll:

A6C032B192A8EDEF236B30F13BBFF204
4CB6CA447C130554FF16787A56A1E278
BFE73DE645C4D65D15228BD9A3EBA1B6
CC891B715C4D81143491164BFF23BF27

module_vnc:

601F0691D03CD81D94AD7BE13A10A4DB
6E5ADF6246C5F8A4D5F4F6BBFC5033B9
78EDD93CEA9BEDB90E55DE6D71CEA9C4

w3bank.dll:

1B84E30D4DF8675DC971CCB9BEE7FDF5
3A078D5D595B0F41AD74E1D5A05F7896

Банковский троянец Lurk: специально для России

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

  1. Андрей

    А YARA скрипты для детекта будут выкладывать?

  2. Mikhail Prokhorenko

    Авторы Lurk используют различные упаковщики для того, чтобы предотвратить детектирование своего трояна сигнатурами, поэтому правила YARA в данном случае не будут эффективны. Мы предлагаем использовать альтернативные индикаторы компрометации, такие как уникальные ключи реестра и имена файлов. Эти индикаторы до сих пор позволяли эффективно детектировать экземпляры Lurk.

    1. Анатолий

      Михаил, добрый день, как с вами можно связаться? готовим сюжет на одном из центральных телеканалов посвященный как раз хищениям посредством Lurk

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике