Простой пример сложной кибератаки

Мы уже привыкли, что в сложных кибератаках используются 0-day уязвимости, обход проверки цифровой подписи, виртуальные файловые системы, нестандартные алгоритмы шифрования и другие приемы. Но иногда всё немного проще, как в случае с вредоносной кампанией, которую мы обнаружили некоторое время назад и назвали Microcin – в честь microini, одного из использованных вредоносных компонентов.

Мы обнаружили подозрительный файл в формате RTF. В документе содержался эксплойт к ранее известной и закрытой уязвимости CVE-2015-1641, но его код был сильно модифицирован. Примечательно, что вредоносный документ распространялся через сайты, предназначенные для очень узкой группы людей, и поэтому мы сразу стали подозревать, что перед нами целевая атака. Операторы вредоносной кампании «целились» в посетителей форумов, на которых обсуждаются вопросы, связанные с получением льготных квартир российскими военнослужащими и их семьями.

Так выглядят сообщения на форумах со ссылкой на вредоносный документ

Такой подход кажется очень эффективным, т.к. существенно повышает вероятность того, что потенциальная жертва злоумышленников скачает и откроет вредоносный документ – ведь форум легитимный, а название документа соответствует его тематике.

Все ссылки в сообщениях на форуме ведут на вредоносный ресурс files[.]maintr**plus[.]com, где, и размещался RTF-документ с эксплойтом. Иногда злоумышленники использовали PPT-файлы, содержащие исполняемый PE-файл, но без эксплойта: запуск полезной нагрузки производился с помощью внедренного в PPT-файл скрипта.

В случае успешной эксплуатации уязвимости в пакете MS Office, эксплойт создает на диске исполняемый PE-файл и запускает его. Вредоносная программа является платформой для внедрения дополнительных модулей, их скрытного хранения и добавления новых возможностей для злоумышленников. Шаги атаки можно представить следующим образом:

1. В результате срабатывания эксплойта на атакованный компьютер устанавливается вредоносная программа в соответствии с разрядностью операционной системы. Установка происходит через внедрение в системный процесс explorer.exe, без использования записи в память. Зловред имеет модульную структуру: основное тело хранится в реестре, дополнительные модули загружаются по команде управляющего сервера (C&C). Автозапуск основного модуля осуществляется через dll hijacking с помощью модифицированной системной библиотеки.
2. Основной модуль вредоносной программы получает команду на загрузку и запуск дополнительных модулей открывающих новые возможности злоумышленникам.
3. Дополнительные вредоносные модули, позволяют управлять зараженной системой, делать скриншоты окон и перехватывать клавиатурный ввод. Их мы видели и в других кампаниях кибершпионажа.
4. Злоумышленники используют модифицированный набор powershell-скриптов PowerSploit и различных утилит, чтобы похищать файлы и пароли, обнаруженные на зараженном компьютере.

На скомпрометированных компьютерах преступников прежде всего интересовали файлы с расширениями .doc, .ppt, .xls, .docx, .pptx, .xlsx, .pdf, .txt и .rtf. Перед отправкой на сервер злоумышленников файлы упаковывались в архив, защищённый паролем.

В целом, тактики, техники и процедуры, которые злоумышленники применяли в ходе атаки, едва ли можно назвать сложными и дорогостоящими, однако кое-что всё же привлекло наше внимание:

• Полезная нагрузка (как минимум, один из модулей) доставляется с применением упрощённой стеганографии. В трафике это выглядит как загрузка обычного JPEG-изображения, но сразу после данных изображения следует зашифрованная полезная нагрузка. Microcin ищет специальную метку в таком файле – «ABCD» – и от нее, пропустив специальную структуру, начинает расшифровывать полезную нагрузку. Таким образом может доставляться как новый базонезависимый код, так и файлы PE-формата.
• Если перед закреплением в системе инсталлятор Microcin обнаружит запущенные процессы некоторых антивирусных программ, то установка пойдет без использования внедрения в explorer.exe, а модифицированная системная библиотека, которая используется для закрепления вредоносной программы в системе, помещается в каталог %WINDIR% посредством использования системного приложения wusa.exe с параметром «/extract» (на ОС, где есть UAC).

Заключение

В рассмотренной вредоносной кампании не используются принципиально новые технологии: уязвимости нулевого дня, новшества в техниках внедрения или маскировки. В арсенале злоумышленников:

• Атака типа watering hole с экплойтом MS Office;
• Беcфайловое хранение основного набора вредоносных функций (шеллкода) и дополнительных модулей;
• Внедрение в системный процесс без записи в его память;
• DLL hijacking по отношению к системному процессу как способ автозапуска, который не оставляет следов в ключах автозапуска в реестре.

Также атакующие используют powershell-скрипты, широко применяемые в тестах на проникновение. Бэкдоры мы видели в различных целевых атаках, а PowerSploit – это и вовсе проект с открытым кодом. Однако и известные технологии могут позволить злоумышленникам достигнуть своих целей.

На наш взгляд, рассмотренная вредоносная кампания интересна в первую очередь используемыми векторами атаки – часто организации, которые могут оказаться в списке целей киберпреступников, не обращают на них внимание.

Во-первых, если инфраструктура вашей организации хорошо защищена, и атаковать её будет «дорого» (то есть для этого могут понадобиться дорогие эксплойты под уязвимости нулевого дня и прочие сложные инструменты), атакующие, скорее всего, попытаются атаковать рядовых сотрудников. Логика подобного шага проста: личные IT-ресурсы сотрудника (его компьютер или мобильное устройство) вполне могут стать «дверью» в ваш периметр без прямой атаки. Поэтому организациям необходимо информировать сотрудников о существующих киберугрозах и о том, как они работают.

Во-вторых, Microcin – одна из множества вредоносных кампаний, использующих инструменты и методы, которые сложно обнаружить с помощью стандартных защитных решений даже корпоративного уровня. Поэтому мы рекомендуем крупным корпорациям и госорганам использовать комплексные решения для защиты от целевых атак. Подобные решения способны распознать атаку, даже если использование очевидно вредоносных инструментов в ней сведено к минимуму, а вместо этого атакующие стремятся прибегать к помощи легальных инструментов для тестирования на проникновение, удалённого доступа и других задач.

Построение комплексной защитной системы может существенно снизить риск стать жертвой целевой атаки, даже неизвестной на момент ее реализации. Другого выхода нет – иначе секреты будут похищены, а информация, зачастую, стоит больше затрат на ее надежную защиту.

Более подробно о технических деталях атаки читайте в Приложении (PDF).