Отчеты о целевых атаках (APT)

DarkPulsar FAQ

В чем суть?

В марте 2017 года группа хакеров, называющих себя ShadowBrokers, опубликовала часть украденных данных, в которую входили два фреймворка: DanderSpritz и FuzzBunch. Последний включал несколько типов плагинов, которые предназначались для анализа жертвы, эксплуатации уязвимостей, постановки задач на выполнение по расписанию и т.п. DanderSpritz был разработан главным образом для того, чтобы исследовать уже зараженную машину и извлекать нужные данные. Вместе оба фреймворка образовывали очень мощную и эффективную платформу для кибершпионажа.

Как имплант DarkPulsar был обнаружен?

Мы всегда анализируем все опубликованные утечки, содержащие вредоносное ПО, с целью оперативного предоставления лучшей защиты для наших пользователей. То же правило мы применили после публикации утечки «Lost in Translation». В ходе анализа мы обнаружили утилиту в категории «implants», которая была названа DarkPulsar. Мы изучили ее и поняли, что эта утилита не является собственно бэкдором – это только рабочий инструмент администратора бэкдора. Мы также обратили внимание на некоторые «волшебные» константы, которые использовались в этой утилите. Основываясь на собранной информации, мы разработали специальные детектящие правила, с помощью которых сумели обнаружить собственно имплант. Наши правила сработали на письме, направленном в «Лабораторию Касперского» на выделенный почтовый ящик, предназначенный для отправки к нам новых модификаций вредоносного ПО.

Каков функционал этого имланта?

Имплант поддерживает семь команд:

Наиболее интересные из них — DisableSecurity and EnableSecurity.

  • Burn – самоуничтожение.
  • RawShellcode – выполнить произвольный базонезависимый код.
  • EDFStageUpload – Exploit Development Framework Stage Upload. Эта команда позволяет развернуть в памяти жертвы и выполнить полезную нагрузку из фреймворка DanderSpritz без записи его на диск. После этого оператор получает возможность выполнить любую из команд DanderSprits в отношении жертвы (подробности – в технической части нашего отчета).
  • DisableSecurity – эта команда для отключения проверок безопасности NTLM-протокола. С помощью этой команды оператор может совершать действия на зараженной машине, требующие авторизации, без ввода правильных учетных данных пользователя – система будет воспринимать любую пару «имя пользователя»-«пароль» как валидную (подробности – в технической части нашего отчета).
  • EnableSecurity – команда, обратная DisableSecurity.
  • UpgradeImplant – команда обновления импланта.
  • PingPong – команда проверки связи с имплантом.

Сколько жертв?

Мы обнаружили порядка 50 жертв на момент исследования, но уверены, что в период активного использования фреймворков Fuzzbunch и DanderSpritz жертв было значительно больше. В пользу этого говорит то, что интерфейс DanderSpritz позволяет управлять множеством жертв одновременно. Еще одна причина нашей уверенности – имплант поддерживает функцию удаления, и мы убеждены, что операторы всегда пытались удалить уже ненужный имплант после того, как достигли своей цели. 50 обнаруженных жертв на момент исследования – это, мы полагаем, просто жертвы, импланты которых каким-то образом остались неудаленными.

В каких странах?

Все найденные жертвы находились в России, Иране и Египте. Обычно заражены были ОС Windows 2003/2008 Server. Жертвы имели отношение к ядерной энергетике, телекоммуникациям, информационным технологиям и аэрокосмической отрасли.

Что мы знаем о продолжительности атаки? Насколько долгой она была?

Создатели DarkPulsar потратили немало ресурсов для разработки своего механизма присутствия в системе. Они также включили в состав своего импланта возможность отключения проверок безопасности NTLM протокола, чтобы получить возможность обойти проверку учетных данных при аутентификации. Все это указывает на то, что бэкдор был разработан для длительного присутствия на зараженной машине.

Атака сейчас активна?

Мы думаем, что после публикации утечки «Lost In Translation» кампании кибершпионажа, основанные на применении утекших средств, были свернуты. Но это не означает, что на сегодняшний день не осталось ни одного зараженного этим имплантом компьютера. Всех клиентов «Лаборатории Касперского» мы вылечили. А для тех, кто не использует наши защитные технологии, у нас есть несколько советов, как проверить свою систему на заражение и как вылечить ее самостоятельно. Мы бы хотели заметить, что для использования импланта на зараженных машинах атакующий должен знать приватный RSA-ключ, который образует пару с публичным ключом, встроенным в имплант. На практике это значит, что никто, исключая настоящих операторов DarkPulsar, не может подключиться к импланту на зараженных машинах.

Как защититься от угрозы?

Мы детектируем эту угрозу с помощью различных технологий, водящих в состав наших продуктов.

Тем не менее, общие рекомендации остаются прежними:

  • поддерживать средства антивирусной защиты обновленными;
  • не отключать компоненты средств защиты;
  • поддерживать установленную ОС и используемое ПО обновленными;
  • устанавливать все security-патчи так быстро, как это возможно;
  • использовать специальные утилиты для анализа трафика и уделять особое внимание зашифрованному трафику;
  • не использовать «слабые» пароли или одинаковые пароли для различных рабочих станций;
  • использовать сложные пароли;
  • не позволять подключаться к рабочим станциями удаленно с правами администратора;
  • не позволять доменным администраторам являться одновременно локальными администраторами с теми же самыми учетными данными.

Дополнительные стратегии снижения риска заражения тут представлены тут:

Какие проактивные технологии вы используете для защиты пользователей от подобных угроз?

Мы используем машинное обучение, облачные технологии, эмуляцию и поведенческий анализ вместе с системой защиты от эксплойтов для достижения лучшей проактивной защиты наших пользователей.

Кто же стоит за этой угрозой?

Мы не делаем атрибуцию атаки – для нас это не является целью, мы противодействуем всем угрозам вне зависимости от их источника и назначения.

Как же использовался этот имплант? Он был создан для хищения денег или только информации?

Мы не видели техник для хищения денег в импланте, но нужно иметь ввиду, что имплант может доставить и выполнить любой исполняемый код, так что его функциональность может быть существенно расширена.

DarkPulsar FAQ

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике