Comment les assaillants nous ont rendus heureux ces six derniers mois

Les six derniers mois ont été, pour le moins, difficiles. Nouvelle réalité - nouveaux vecteurs de cyberattaques, bien que les cybercriminels n'aient pas oublié les vieux outils éprouvés par le temps. Solar JSOC et JSOC CERT ne se sont pas ennuyés: attaques sur RDP, nouvelles coquilles de malwares bien connus et méthodes de masquage de Mimikatz ... Les détails, comme toujours, sont dans la lettre ci-dessous.





Tendances générales





Exploitation du thème COVID-19



Au deuxième trimestre 2020, les cybercriminels ont activement exploité le sujet de la pandémie dans des attaques utilisant l'ingénierie sociale (inattendu, non?). En règle générale, les e-mails malveillants imitaient la liste de diffusion officielle avec des informations sur le coronavirus, ce qui augmentait considérablement l'efficacité de ces attaques pendant une période de panique et de tension générales. De plus, les pirates ont utilisé non seulement des virus massifs (ransomwares, chevaux de Troie bancaires, RAT, etc.), mais il y a également eu des cas d'utilisation de la pandémie par des groupes APT. Ils ont attaqué presque tous les secteurs et types de clients (des PME aux entreprises et aux sociétés d'État).



Un exemple d'e-mail d'hameçonnage provenant des Centers for Disease Control and Prevention des États-Unis:







Dharma ransomware et attaques RDP



Pendant la pandémie, de nombreuses entreprises ont organisé des opérations à distance, principalement via RDP. Qui pouvait faire ce qu'il pouvait. Cela a provoqué une augmentation des attaques réussies contre les organisations selon deux vecteurs: les attaques par force brute via RDP et le piratage des systèmes des employés avec infiltration ultérieure dans l'infrastructure.



De plus, fin mars 2020, une annonce est apparue sur les forums parallèles à propos de la vente du code source du ransomware Dharma pour 2000 $. Et déjà en avril et mai, nous avons été confrontés à des enquêtes sur des incidents au cours desquels un attaquant (et, à en juger par les résultats de l'enquête, il s'agissait de plusieurs attaquants différents) avait pénétré l'infrastructure de la victime en essayant le mot de passe du compte administrateur local en utilisant le protocole RDP. Après cela, il a décidé de contourner l'antivirus de manière simple mais efficace: il a lancé plusieurs dizaines de copies du ransomware dans différents shells. La plupart des fichiers ont été détectés et supprimés par l'antivirus, mais un échantillon non détecté était suffisant pour un chiffrement réussi. Les tentatives d'un intrus pour contourner la protection sont visibles dans les journaux antivirus:







Ce fait suggère que quelqu'un a acheté le code source de Dharma et l'utilise habilement, couvrant le crypteur avec divers wrappers.



Utiliser des services légitimes



La tendance a continué à utiliser les exploits du domaine public pour compromettre les services Web non mis à jour. Le même ShellShock, par exemple, est encore souvent utilisé dans les attaques contre le secteur public. Des vecteurs similaires se retrouvent dans les attaques contre les secteurs de l'énergie et du carburant et de l'énergie. Le commerce électronique et les banques, en revanche, sont assez bons pour créer une protection pour leurs propres applications Web, de sorte qu'ils rencontrent rarement de tels problèmes.



Dans l'une de nos enquêtes, nous avons découvert l'utilisation d'une combinaison de vulnérabilités sur le serveur d'applications Web JBoss. Du fait de leur exploitation, l'attaquant a placé un shell (jcmd.war) sur le serveur, et a utilisé une vulnérabilité SSRF dans le serveur WebLogic pour envoyer des commandes à ce shell:







Les commandes étaient des scripts PowerShell qui effectuaient diverses actions sur le système et envoyaient des commandes via un tunnel DNS vers le site légitime ceye.io, créé par des spécialistes de la sécurité de l'information pour tester les systèmes d'entreprise:







sur le site, quelque chose de similaire est apparu dans le compte de l'attaquant: en







conséquence, il a pu obtenir le résultat de l'exécution de la commande en collectant manuellement les fragments de réponse ou en utilisant un script.



Attaques de base et attaquants typiques



Vous trouverez ci-dessous les vecteurs d'attaque utilisés par les attaquants ayant de faibles compétences en responsabilité sociale . En règle générale, ils sont engagés dans le cryptage des serveurs et des postes de travail, l'extraction de la crypto-monnaie, la création de botnets à partir des ressources obtenues pour organiser des attaques DDoS ou des mailings de phishing, ainsi que la revente de l'accès obtenu à des pirates plus professionnels.



Vulnérabilité dans Citrix CVE-2019-19781



La vulnérabilité de classe RCE trouvée dans Citrix NetScaler à la fin de 2019 est l'une des plus bruyantes et des plus faciles à exploiter de ces dernières années. Après que les nouvelles et les PoC aient été rendus publics, l'ampleur du problème est immédiatement devenue évidente: des dizaines de milliers de systèmes ont été trouvés vulnérables dans le monde.



De notre côté, nous enregistrons également des attaques massives contre des organisations du secteur du crédit et de la finance, du complexe énergétique et énergétique, de l'énergie et de l'industrie. En particulier, dans l'une de nos propres enquêtes, nous sommes tombés sur le fait que cette vulnérabilité est devenue un point d'entrée pour un attaquant dans l'infrastructure. En installant un shell Web sur le système Citrix NetScaler, il a pu maintenir l'accès pendant sept mois.



Les traces d'exploitation de la vulnérabilité CVE-2019-19781 ressemblent à ceci:







Nouveau skin RTM



Les cybercriminels ont commencé à envoyer le cheval de Troie bancaire bien connu RTM dans un nouveau shell, qui a une structure assez simple et fonctionne en trois étapes. Vous trouverez ci-dessous la première couche wrapper qui déchiffre le shellcode et lui passe le contrôle.







Ensuite, le shellcode, qui a à peu près la même structure simple, décrypte et lance un fichier exécutable, qui décompresse ensuite RTM à l'aide de la fonction RtlDecompressBuffer et le lance:







Comme vous le savez, RTM a été le leader dans l'espace russe en nombre d' e-mails de phishing ces dernières années. Les attaques visent à capturer au maximum l'infrastructure et à s'y ancrer, suivies d'une tentative de monétiser par le retrait de fonds.



Reprendre l'activité Emotet



Le téléchargeur Emotet, qui n'a pratiquement pas été utilisé en Russie pendant toute l'année dernière, a été de nouveau activé en juillet 2020 et distribuait cette fois le cheval de Troie bancaire QBot. Nous l'enregistrons auprès de nos clients issus de différents secteurs: énergie, secteur public, crédit et finance. Dans le même temps, l'un des modules Qbot vous permet de voler des e-mails, que les opérateurs distribuant Emotet utilisent pour les mailings de phishing. Cela augmente considérablement le niveau de confiance des destinataires et augmente le risque d'infection.



Le malware s'est propagé dans un shell déguisé en application MFC.







L'une des couches protectrices utilise l'obfuscation à flux de contrôle.







Mailings voleurs MassLogger



Nous avons récemment enregistré un nouveau voleur MassLogger chez l'un de nos clients étrangers. Et même s'il n'est pas diffusé souvent, il a déjà frappé les radars des spécialistes de la sécurité de l'information. D'ailleurs, il n'a pas encore été remarqué dans les mailings aux entreprises russes.



Le virus est un fichier exécutable .NET, protégé par un shell avec plusieurs vérifications d'environnement virtuel et obscurci. Il existe trois principales méthodes d'obfuscation utilisées: l'obscurcissement du flux de contrôle, le chiffrement de chaîne et l'initialisation dynamique des délégués.



Un exemple d'obfuscation du flux de contrôle est illustré ci-dessous:







Au début de l'exécution, l'une des ressources est déchiffrée, qui contient un dictionnaire spécial. La clé est le jeton du champ de l'une des classes, et la valeur est le jeton de la fonction, dont le délégué doit initialiser ce champ. De plus, de nombreuses fonctions sont appelées via ces champs initialisés dynamiquement.



Vous trouverez ci-dessous un extrait de code dans lequel le dictionnaire est rempli et les champs sont initialisés par les délégués:







La famille MassLogger est capable d'envoyer des données collectées sur l'ordinateur de la victime de trois manières: vers le panneau de contrôle (http), vers un serveur FTP ou vers une boîte aux lettres. La configuration du virus contient les informations d'identification nécessaires pour le serveur FTP et de messagerie (selon la méthode d'envoi utilisée). Dans cet aspect, MassLogger présente des similitudes avec certains autres voleurs .net: Hawkeye, l'agent Tesla. Voici un extrait de code avec le remplissage de la configuration:







Liste de diffusion NetWire dans Visual Basic Shell



Dans une grande variété d'industries, les envois en masse RAT NetWire ont été enregistrés dans un wrapper écrit en Visual Basic. Nous avons rencontré les deux variantes avec du code natif et avec du p-code. La tâche du shell est de rechercher un environnement virtuel, de déboguer et de charger NetWire à partir de certaines adresses câblées. Au cours de l'année écoulée, nous avons vu de nombreuses familles différentes de voleurs dans un shell similaire, mais cet échantillon comprend davantage de techniques d'obscurcissement et de détection d'environnement virtuel.



Un extrait de code typique de ce packer VB est illustré ci-dessous:







Un exemple de détection de services indésirables à l'aide d'un hachage calculé du nom de service (par exemple, «VMware Tools» ou «VMware Snapshot Provider»):







Listes de diffusion Zloader utilisant des macros Excel 4.0



Certains de nos clients du secteur du crédit et de la finance ont enregistré des mailings de malware Zloader. Les utilisateurs ont reçu un document Excel, à l'ouverture duquel certaines formules ont été lancées dans des cellules qui effectuent les actions nécessaires, y compris l'anti-analyse et le téléchargement de logiciels malveillants. Les formules elles-mêmes ont été dispersées sur une énorme feuille de papier pour les rendre plus difficiles à repérer et à analyser. Il est à noter que la technologie Macro 4.0 est considérée comme obsolète et n'est désormais presque jamais utilisée.







Factions avancées et outils sophistiqués



Pour les cybergroupes avancés, la tâche principale n'est pas seulement de pénétrer l'infrastructure, mais de rester à l'intérieur aussi longtemps et discrètement que possible, de contrôler à long terme et d'accéder aux données confidentielles (cyberespionnage). Au cours de la période considérée, ils ont fonctionné comme suit.



Une autre méthode pour cacher Mimikatz



Dans l'une de nos enquêtes, des cybercriminels d'un niveau technique suffisamment élevé ont utilisé une technique intéressante pour contourner l'antivirus et lancer Mimikatz. Le Mimikatz chiffré a été placé dans un shell qui a pris deux paramètres de la ligne de commande: une clé et un vecteur d'initialisation. Ensuite, à l'aide de la bibliothèque CryptoPP, Mimikatz a été déchiffré et le contrôle lui a été transféré. Vous trouverez ci-dessous un fragment du code avec l'installation de la clé et du vecteur, ainsi qu'avec la préparation du tampon pour déchiffrer les données:







En conséquence, la protection antivirus était silencieuse lorsque l'utilitaire Mimikatz a été lancé et que l'attaquant a réussi à obtenir les informations d'identification.



Nouveau groupe de hackers TinyScouts



À l'été 2020, nous avons identifié un nouveau groupe cybercriminel qui a attaqué des banques et des entreprises énergétiques. TinyScouts se distingue par un haut niveau de compétences techniques et la variabilité du scénario d'attaque. Nous avons écrit plus sur TinyScouts ici .



C'est tout. De nouvelles enquêtes sont allées au front .



Igor Zalevsky,

chef du département des enquêtes sur les incidents cybernétiques du JSOC CERT Asker Jamirze, expert en enquêtes techniques du JSOC CERT



All Articles