Отчет Varonis о тенденциях в области вредоносных программ

Аналитика и прогнозы, Исследование угроз

Этот отчет является ежемесячной сводкой группы сетевой криминалистики Varonis. В нем перечислена активность, наблюдаемая при реагировании на инциденты, проведении расследований сетевой криминалистики и обратной разработке образцов вредоносных программ. Данный отчет призван помочь лучше понять меняющийся ландшафт угроз и соответствующим образом адаптировать защиту.

Обзор вредоносных программ — EvilQuest

Программа-вымогатель EvilQuest, также известная под названиями ThiefQuest и Mac.Ransom.K, нацелена на шифрование данных на устройствах macOS, которые обычно в меньшей степени подвержены такому типу угроз (1).
EvilQuest — это третья разновидность вредоносной программы для устройств macOS, встречающаяся в сети.

От других видов вредоносных программ EvilQuest отличается тем, что использует исключительно симметричное шифрование, в то время как остальные используют асимметричный ключ по крайней мере на одном этапе шифрования.
Это значит, что ключ, использовавшийся для шифрования файла, можно использовать для его расшифровки, что намного упрощает задачу расшифровки файлов.
Кроме этого данная программа-вымогатель имеет функции эксфильтрации данных. Для этого она использует три внешних скрипта, написанных на Python, которые могут отправлять POST-запросы HTTP:

EvilQuest включает дополнительные функции, которыми не обладает большинство других программ-вымогателей. Например, EvilQuest ищет SSH-ключи, с помощью которых злоумышленник сможет авторизоваться в системе жертвы. Программа-вымогатель также ищет доверенные сертификаты, которые затем злоумышленник может использовать для получения доступа, не вызывая при этом срабатываний системы безопасности.
Кроме того, мы обнаружили намеки на наличие функций клавиатурного шпиона в частях кода, вызывающих функции API, которые ищут низкоуровневые аппаратные события (их названия содержат сокращенное слово «klgr», означающее «клавиатурный шпион», а также строки с текстом «started logging» — «начало перехвата»):

Мы видим подтверждение того, что EvilQuest по-прежнему разрабатывается, так что это еще не окончательная форма программы-вымогателя. Так, например, функции дешифрования пока не реализованы полностью. Поскольку код программы не содержит строк, вызывающих процедуру дешифрования, очевидно, что жертвы не смогут расшифровать свои файлы, даже если заплатят выкуп.

Обзор вредоносных программ — Agent Tesla

Agent Tesla — это шпионская программа и клавиатурный шпион, используемая для эксфильтрации данных, собранных на устройствах жертв (2). Программа нацелена в основном на пользователей и интернет-провайдеров в Индии. Впервые Agent Tesla обнаружили в 2014 году. Программа распространяется по схеме «вредоносная программа как услуга»: злоумышленники могут приобрести подписку на официальном сайте.


Источник

Традиционно Agent Tesla распространялся в основном посредством фишинговых писем и затем использовался для кражи данных с зараженных устройств. Более новые версии вредоносной программы нацелены на кражу сохраненных учетных данных, паролей от VPN и почтовых служб. Это может свидетельствовать о росте спроса на данные такого типа, что, по всей видимости, связано с ростом количества людей, работающих удаленно.
Кроме того, новая версия использует, на первый взгляд, законные и надежные службы, такие как Telegram, в качестве платформ, через которые производится эксфильтрация данных. Использование Telegram потенциально позволяет избежать традиционных сетевых обнаружений.
Исполняемый файл с программой-дроппером, написанной на Auto-IT, содержит функцию внедрения процесса, позволяющую вредоносной программе внедрить свой шелл-код в процесс и передать управление программе под названием RegSvcs.exe (3).

Эта программа, написанная на .NET, содержит функцию сбора учетных данных, хранящихся в программах на устройстве жертвы, например, в популярных браузерах, как показано на изображении ниже. Затем собранные данные передаются на сервер контроля и управления злоумышленника.

Обзор вредоносных программ — комплекс для таргетированных атак Foudre

Foudre — это название обнаруженного в 2017 году иранского комплекса средств для проведения таргетированных атак (4). «Прародители» этой программы — Infy или Prince of Persia — были созданы еще в 2007 году, а ее основное назначение — осуществлять скрытную кражу данных у организаций и VIP-персон.
Этот комплекс средств используется в основном против целей в Европе и Северной Америке и состоит из нескольких этапов. На первом этапе жертва открывает поддельный документ с макросом, распаковывающим архив с компонентами Foudre. Пример документа, отправляемого жертвам:

На втором этапе через HTTP устанавливается связь с сервером контроля и управления для того, чтобы легализовать себя, а также скачать вредоносную программу Tonnerre для третьего этапа.
Во время третьего этапа запускается Tonnerre. У этой программы две задачи: обновить себя посредством связи с сервером контроля и управления по HTTP, а также выполнить эксфильтрацию данных по протоколу FTP.
Сама вредоносная программа не содержит IP-адреса и доменного имени сервера контроля и управления. Для поиска домена она использует алгоритм генерации доменов — метод, который генерирует множество доменных имен и пытается связаться с ними, в то время как лишь одно из них является настоящим доменным именем сервера контроля и управления. Этот метод позволяет хакеру скрыть свою личность и уберечь сервер контроля и управления от быстрого раскрытия.

Обзор вредоносных программ — Drovorub

Drovorub является вредоносной программой, атакующей устройства с операционной системой Linux. Программа скорее всего создана российской группой хакеров, известной под именами Fancy Bear, APT28 и Stronium (5).
Вредоносная программа создана путем объединения трех различных инструментов — руткита для ядра операционной системы, компонента для переадресации портов и утилиты связи с сервером контроля и управления.
Цель руткита для ядра — скрыть деятельность вредоносной программы, спрятав процесс от системных вызовов и файловой системы, скрыв файлы с помощью специальных функций, отфильтровав сетевые сокеты, а также используя другие методы сокрытия пакетов.
Также считается, что Fancy Bear стоит за рядом других хакерских кампаний, например за атаками на посольства и министерства в Азии и Европе, которые были обнаружены в 2019 году, а также за атаками на ряд спортивных организаций в сентября того же года. Хотя обе атаки включали попытки фишинга, в первой из них на нескольких этапах также использовались загрузчики, некоторые из которых были написаны на нишевых языках программирования.
Другая операция, приписываемая этой группе киберпреступников, длилась около полутора лет, с декабря 2018 года по май 2020 года. В результате у нескольких государственных учреждений США были скомпрометированы почтовые серверы и службы VPN.

Обзор вредоносных программ — StrongPity

StrongPity, так же известная как APT-C-41 и Promethium, является инструментом для обхода защиты, бэкдором, созданным турецкой группой злоумышленников (6). Его основными жертвами являются европейские финансовые, производственные и учебные организации, а целью — установление слежки за ними. Впервые эта вредоносная программа была обнаружена в 2012 году, а последняя зарегистрированная активность — в 2020 году.
Для распространения StrongPity используетcя стратегия под названеием watering hole («водопой»). Она заключается в том, что вредоносная программа прикрепляется к легитимному программному обеспечению, такому как WinRAR или TrueCrypt, на сайтах, которые якобы предлагают эти программы, но на самом деле поставляют версии с трояном (7).
Насчитывается несколько этапов исполнения этой вредоносной программы. На начальном этапе происходит заражение устройства жертвы методом «водопоя». Затем она размещает файлы с конфигурацией вредоносной программы по адресу %temp%\ndaData.

После этого она с помощью поисковых функций ищет файлы, на поиск которых настроена, например, файлы с определенными расширениями. Тип файлов, на поиск которых настроена программа, встроен в полезную нагрузку («пейлоад») вредоносной программы.
Найденные файлы сжимаются в ZIP-архив, который затем шифруется и разбивается на части, а части делаются скрытыми. После этого части архива пересылаются злоумышленнику на сервер контроля и управления с помощью POST-запросов. Этот метод призван помочь злоумышленнику избежать обнаружения, поскольку POST-запрос с небольшой полезной нагрузкой является нормальным явлением и не вызывает подозрений в большинстве организаций.
После отправки разделенные файлы удаляются с диска жертвы.

Обнаружения Varonis

Продукты Varonis для обнаружения угроз имеют ряд встроенных моделей угроз, способных идентифицировать перечисленные разновидности вредоносных программ на разных этапах их деятельности:

  • «Обнаружена криптографическая деятельность»: выявляет создание на файловом сервере сообщений о выкупе.
  • «Обнаружена модель поведения, требующая срочного реагирования: действия пользователя напоминают действия программы-вымогателя»: обнаруживает процесс шифрования файлов на файловом сервере, не полагаясь на известные имена или расширения файлов программы-вымогателя. Это позволяет обнаружить новые разновидности программ-вымогателей и уничтожителей данных.
  • «Нестандартное поведение: на внешние сайты загружен необычный объем данных»: проверяет объем отправляемой информации и обнаруживает загрузку собранных данных на веб-сайт за пределами домена организации.
  • «Возможная фишинговая атака: доступ к опасному сайту, доменное имя которого содержит необычные символы»: обнаруживает, когда пользователь обращается к веб-сайту, который может содержать вредоносные программы, на основе необычных символов в URL-адресе сайта.
  • «Подозрительное электронное письмо: получено электронное письмо с предположительно вредоносным вложением»: обнаруживает, когда вложение электронной почты может содержать вредоносный код или ссылку на вредоносный сайт.
  • «Обнаружена загрузка потенциально опасного файла»: обнаруживает загрузку файла, который может оказаться вредоносным.
  • «Возможное заражение вредоносным объектом: обнаружена программа-дроппер»: обнаруживает вероятное заражение вредоносной программой-дроппером, которая может использоваться для загрузки других вредоносных программ для проведения следующих этапов атаки.
  • «Обнаружен алгоритм генерации доменов»: обнаруживает виды вредоносных программ, которые генерируют имена доменов и связываются с сервером DNS для преобразования имен в попытке найти сервер контроля и управления.

История успеха

В течение нескольких последних недель февраля наблюдался всплеск атак программ-вымогателей, как правило направленных против организаций в сфере здравоохранения.
Мы выяснили, что для контроля и управления таргетированными атаками используется CobaltStrike, а их целью был сбор данных с ряда конечных устройств, используя для этого, помимо прочего, доступ к учетным записям подрядчиков без многофакторной аутентификации.

Один из клиентов Varonis — канадская страховая компания среднего размера — столкнулся с заражением нескольких серверов вредоносной программой.
Она обратилась к команде сетевой криминалистики Varonis с просьбой расследовать заражения серверов, найти затронутые файлы, а также помочь восстановить ход событий и составить отчет о вредоносной деятельности.

Команда Varonis нашла ряд подозрительных файлов и экспортировала журнал USN и основную таблицу файлов с заражённых серверов.
Специалисты обнаружили, что некоторые из подозрительных файлов содержат вредоносные функции:

  • Вредоносная программа использовала два файла — исполняемый файл для связи с сервером контроля и управления и файл конфигурации.
  • Файл конфигурации маскировался под аудиофайл в формате .wav и даже имел соответствующие заголовки.
  • Для запуска вредоносной программе требовалось два параметра — файл конфигурации и второй исполняемый файл, который по умолчанию можно было найти на устройстве жертвы.
  • Затем использовался rundll32.exe для запуска вредоносного кода и попытки связи с сервером контроля и управления.
  • С помощью журнала USN (ReadJournal) мы сумели выяснить, что злоумышленники удалили некоторые вредоносные файлы, использовавшиеся на ранних этапах, чтобы скрыть следы своей атаки.

Вот как наша команда помогла клиенту:

  • В решениях безопасности организации применены индикаторы компрометации вредоносных файлов.
  • Произведена обратная разработка образца вредоносной программы и предоставлен полный и всеобъемлющий отчет о вредоносной программе, включая описание всех её возможностей и функций.
  • Вместе с заказчиком мы использовали веб-интерфейс Varonis для анализа оповещений, чтобы убедиться, что всё под контролем и ничего не упущено.
  • Мы соотнесли известные фазы атаки с событиями, показанными в Varonis.

Новые разновидности программ-вымогателей, проанализированные в феврале

Основные векторы атак в феврале 2021 г.

Ссылки

(1) https://www.sentinelone.com/blog/evilquest-a-new-macos-malware-rolls-ransomware-spyware-and-data-theft-into-one/
(2) https://cofense.com/strategic-analysis-agent-tesla-expands-targeting-and-networking-capabilities/
(3) https://www.fortinet.com/blog/threat-research/new-agent-tesla-variant-spreading-by-phishing
(4) https://research.checkpoint.com/2021/after-lightning-comes-thunder/
(5) https://securityintelligence.com/news/malware-russian-fancy-bear-identified-drovorub/
(6) https://0xthreatintel.medium.com/uncovering-apt-c-41-strongpity-backdoor-e7f9a7a076f4
(7) https://cybleinc.com/2020/12/31/strongpity-apt-extends-global-reach-with-new-infrastructure/

 

Бесплатный аудит рисков кибербезопасности

Узнайте об уязвимостях вашей ИТ-инфраструктуры - мы проведем бесплатный аудит рисков и подготовим для вас отчет. Это займет около 90 минут вашего времени и никак не отразится на бизнес-процессах компании.