Несмотря на то, что решения для удаленного доступа уже много лет успешно работают на рынке и имеют многомиллионную аудиторию, они всегда вызывали у пользователей некоторые опасения в плане безопасности. Некоторые люди и компании принципиально отказывались ими пользоваться. Что ж, в чем-то их страхи оправдались: количество атак через протокол удаленного доступа не просто растет - во время пандемии оно вообще удвоилось. В этой статье расскажем о том, как обнаружить RDP-атаку, как защититься от нее на постоянной основе, а какие методы не настолько эффективны.
До недавнего времени корпоративный поток данных в подавляющем большинстве случаев циркулировал в контролируемой инфраструктуре. Но пандемия вынудила людей в спешке организовывать весь доступ к корпоративной среде в домашних условиях и незащищенных сетях Wi-Fi. Ну а уж любовь пользователей к простым паролям и нелюбовь к двухфакторной авторизации всегда были головной болью безопасников.
Этим немедленно воспользовались киберпреступники. И без того популярные атаки через протоколы удаленного доступа с начала строгого карантина пошли лавиной: ежедневно стало регистрироваться почти миллион таких попыток. Самый популярный из протоколов удаленного доступа - проприетарный протокол Microsoft RDP, поэтому такие атаки называют RDP-атаками. Хотя в той или иной степени уязвимо любое решение удаленного доступа.
По данным Лаборатории Касперского, с начала марта 2020 года количество атак на RDP скачкообразно увеличилось. ESET в своем отчете говорит о более чем 100 тысячах новых RDP-атак в день - рост более чем в два раза по сравнению с первым кварталом.
Причина, в том числе, не только в переходе на удаленку, но и в спешке - для компаний при переезде в карантин главным было добиться работоспособности инфраструктуры, а ее безопасность стояла только второй задачей. Например, опрос специалистов по информационной безопасности, который провели в Positive Technologies, показал, что в связи с пандемией удаленный доступ им пришлось либо экстренно организовывать с нуля (11%), либо срочно масштабировать (41%).
Протокол RDP (Remote Desktop Protocol) - это один из наиболее популярных протоколов для подключения к удаленным рабочим столам, доступный во всех версиях Windows, начиная с XP. Помимо взаимодействия с удаленным компьютером он позволяет подключить к удаленной машине локальные диски, порты и другие устройства. Используется большинством админов Windows-сред для администрирования рабочих мест пользователей и серверов, экономя им много времени.
В протоколе постоянно находили уязвимости, причем так часто, что в 2018 году даже ФБР выпустило специальное предупреждение. В мае 2019 года в старых версиях протокола была обнаружена критическая уязвимость под названием BlueKeep. Всего через месяц после ее появления началась активная волна атак, использующих BlueKeep. Затем в августе того же года в протоколе нашли еще четыре новые уязвимости. Они были связаны не с протоколом RDP, а с сервисом удаленных рабочих столов RDS и позволяли с помощью специального запроса, отправленного через RDP, получить доступ к уязвимой системе, не проходя при этом процедуру проверки подлинности.
RDP-атака - это, по сути, атака brute force, в ходе которой подбирается логин и пароль или ключ шифрования для доступа к RDP путем систематического перебора всех возможных комбинаций символов, пока не будет найден верный вариант. Для длинных паролей может использоваться перебор по словарю, где вместо генерирования комбинации букв и цифр используется длинный список популярных или скомпрометированных паролей.
Цель - получить полный удаленный доступ к нужному компьютеру или серверу и проникнуть через него в корпоративную сеть, обладая всеми соответствующими правами и доступами. Атакующий внедряется в диалог двух систем в момент установления RDP-сессии и, расшифровав пакет, получает полный доступ к удаленной системе, причем без каких-либо нотификаций на стороне клиента или сервера, поскольку у него есть правильный сертификат.
А затем начинается собственно атака изнутри системы. Решения безопасности отключаются или удаляются, а затем либо начинается DDoS-атака, либо запускается программа-вымогатель, которая устанавливает пароль на доступ к базам данных с важной для компании информацией. Либо уводятся реальные персональные данные для credential stuffing и фишинга. Также можно использовать плохо защищенный RDP для установки программ для майнинга криптовалют или создания бэкдора (на случай, если несанкционированный доступ к RDP будет обнаружен и закрыт), для установки рекламного или шпионского ПО, SMS-троянов, и так далее. Этим можно полностью заразить все доступные в сети машины.
Существуют скрипты, которые способны по-максимуму использовать права пользователя, который подключается по RDP и всех последующих пользователей в цепочке RDP-подключений. Этот метод получил название RDPInception. Если атакованная машина подключается по цепочке через несколько серверов и везде монтируются локальные диски, то скрипт самокопируется в нужные директории и становится возможным атаковать все машины, поскольку при входе в систему выполняются скрипты, расположенные в Startup директории. Все, что подключается в этой цепочке, также может быть заражено.
Плохо защищенное RDP-соединение может обеспечить преступникам доступ ко всей корпоративной системе. Например, зашифровка серверов компании программами-вымогателями, которые потом требуют выкуп, может быть крайне разрушительной для бизнеса. Тут показательна недавняя история очень крупного GPS-вендора Garmin, который был вынужден заплатить вымогателям $10 миллионов - по-другому их специалистам по безопасности решить проблему не удалось.
Технически такие атаки тоже становятся все более опасными. Во-первых, злоумышленники больше не работают точечно, а охватывают большие сегменты сетей.
Во-вторых, время простых атак уже прошло. Преступники используют сложные схемы и комбинируют методы. Так, в трояне TrickBot появился новый модуль rdpScanDll, который используется для проведения атак brute force на RDP-соединения. Этот модуль уже отметился в ряде атак на крупные компании, в том числе связанными с образованием и финансами.
В-третьих, персональные данные и инструменты для взлома, к сожалению, становятся все более доступными. Например, недавно исходный код Dharma, ransomware-as-a-service ПО, также нацеленного на RDP, выложили для продажи онлайн (извините, ссылку давать не будем). Растет количество утечек баз с паролями и словарей для перебора паролей, упоминавшиеся выше скрипты для взлома можно найти в открытом доступе, и там же есть готовые списки серверов, у которых открыт RDP порт. На рынке есть огромное количество ботов, которые постоянно сканируют все доступные точки подключения и пытаются подобрать пароль.
Наконец, средств для защиты либо недостаточно для переборщиков паролей, либо они не применяются. Часто компании даже не видят, что такая атака уже идет. Они могут заметить низкую производительность и долгое выполнение запросов, но лечат это оптимизацией памяти и другими нерелевантными методами.
Снижается общая производительность, ответы на запросы становятся дольше (причем иногда вы не видите это в трафике - в нем нет ни очевидных всплесков, ни провалов, и нет аномалий в статистике нагрузки на вычислительные ресурсы).
Серверы не принимают соединения со службой удалённого доступа, пользователи не могут зайти на свои рабочие столы. При этом ситуация может то временно улучшаться, то ухудшаться. В целом серверы могут быть доступны и даже отвечать на ping.
В журналах регистрации событий вы видите множество сообщений о попытке подобрать пароль (к сожалению, далеко не всегда - там часто не отображаются попытки неверного ввода логина и пароля, потому что отслеживание этих событий дает большую нагрузку на сервер).
Способов, на самом деле, множество, но в данной статье мы решили разделить их на полностью надежные и те, у которых или есть определенные недостатки, или их сложно реализовать, или они могут служить только временной мерой. Начнем с надежных.
Правильная система паролей
Недавнее исследование Verizon показало, что более 80% взломов связано не с уязвимостями протокола RDP, а именно с ненадежными паролями. Поэтому в компаниях должна быть принята и закреплена в инфраструктуре политика использования сложных для подбора паролей и обязательной двухфакторной аутентификации. Пароли пользователям желательно хранить в специальных защищенных менеджерах паролей. Решения по безопасности также должны быть дополнительно защищены паролем, чтобы нельзя было их отключить изнутри при успешной атаке.
Система мониторинга всех запросов
Эффективный способ - мониторить весь входящий трафик и отслеживать все несанкционированные подключения и запросы. К системам мониторинга удаленных подключений можно добавить какие-то дополнительные системы отслеживания, которые помогут увидеть более полную картину происходящего. Например, можно включить решение Variti - Active Bot Protection, которое не только позволяет размечать все входящие запросы на предмет бот - не бот, начиная с самого первого, в режиме реального времени, но и вычислять и блокировать источники атаки. Подобное отслеживание может вестись на всех системных уровнях, включая транспортный уровень и уровень приложений. Это позволит, например, увидеть подозрительную ботовую активность, которая может быть признаком начала атаки.
Другой вариант: если нет централизованной системы контроля доступа, то можно создать скрипт на powershell, который сообщает о всех фактах и попытках авторизации. Наконец, можно настроить События на отображение всей доступной информации.
Network Level Authentication
NLA обеспечивает более надежную защиту от подмены ключей, требуя аутентификацию до установления сессии и во время сессии. В прошлом году именно NLA затрудняла эксплуатацию серьезных уязвимостей в протоколе.
Ряд других полезных практик:
Используйте нестандартные ключи, например, PKI (Public Key Infrastructure), а соединения RDP стройте с помощью TLS (Transport Layer Security).
Если RDP не используется, то выключите его и отключите на брандмауэре сети внешние соединения с локальными машинами на порту 3389 (TCP/UDP) или любом другом порту RDP.
Постоянно обновляйте все ПО на устройствах сотрудников до актуальных версий. Помните, что 80-90% эксплойтов создано после выхода патча на уязвимость. Узнав, что была уязвимость, атакующие ищут ее именно в старых версиях софта. Конечно, это непростая задача в условиях удаленки, но это должно быть частью корпоративной ИТ-политики. Кроме того, любые незащищенные или устаревшие компьютеры нужно изолировать.
По возможности используйте шифрование на устройствах, которые используются для решения рабочих задач (например, шифрование диска).
Сделайте резервные копии ключевых данных. Резервные копии должны быть доступны только администратору или пользователю резервного копирования. Права на папки к файлам резервного копирования также должны быть максимально ограничены.
Установите на все устройства сотрудников защитные решения и решения, позволяющие отследить технику в случае ее утери.
А теперь перейдем к вариантам, которые сложно назвать однозначными, потому что у них есть и плюсы, и минусы.
Организовать доступ через VPN
Помимо очевидных преимуществ, у этого варианта есть несколько сложностей.
Даже у тех, кто использует Virtual Private Network, иногда разрешена авторизация пользователя без пароля.
Практически во всех популярных VPN-решениях также есть уязвимости для несанкционированного доступа.
Если вы раньше не пользовались VPN, что поднимать в спешке IPSec-соединения - не самая простая задача.
В условиях полного домашнего зоопарка устройств и подключений к сети (как насчет выхода в интернет через сотовый модем?) на удаленке довольно тяжело объяснять и настраивать каждому из нескольких сотен пользователей, чтобы у пользователя все стабильно работало и не пропадало подключение к сети.
VPN-серверы тоже могут падать, причем в отличие от временного падения какого-то из сервисов, это может грозить серьезными последствиями. Получается, что VPN серверы становятся единой точкой отказа со всеми вытекающими последствиями.
VPN это двойное шифрование (помимо стандартного RDP шифрования дополнительно выполняется ещё и VPN шифрование), что означает дополнительную нагрузку и более медленное подключение, что не очень хорошо в условиях нестабильного или не особо быстрого канала связи.
При взломе VPN (а это может быть при взломе роутера), если он настроен по умолчанию (или недостаточно компетентно), хакер получает сразу доступ ко всей внутренней сети, в отличии от доступа к одиночному ПК в случае взлома RDP (хотя и через него тоже потом можно получить доступ ко внутренней сети).
Использовать другие средства удаленного доступа
К сожалению, в них также есть уязвимости. Например, в конце прошлого года найдено 37 уязвимостей в разных клиентах, работающих с протоколом VNC.
Изменить настройки всех пользователей на другой порт
Наверное, наименее надежный способ из всех, хотя наверняка найдутся люди, у которых это прекрасно работает. Почему же он не очень?
Требует много времени на то, чтобы изменить настройки, если у вас много конечных пользователей, среди которых могут оказаться и клиенты. А ведь счет часто идет на минуты во время активной фазы атак. В этой ситуации нужно как можно быстрее устранить проблему с минимальным отрывом пользователей от дел.
Кроме того, это временное решение, потому что современные боты с интеллектуальной программой сканирования портов быстро найдут новый нестандартный порт. Из нашей анти-бот практики: боты ловят нестандартный порт от пары часов до пары дней. В общем, к вам все равно придут, хоть и позже. Возможно, переименование учетных записей типа Администратор, admin, user, user1 на более несловарные будет здесь даже более эффективно.
Ввести различные ограничения на подключения
Например, можно ограничить количество разрешенных одновременно открытых сеансов, минимизировать количество пользователей, которые могут подключаться к серверам организации через интернет, запретить доступ к серверу с более чем N IP адресов, ограничить количество разрешенных ошибочных попыток входа и время для этих попыток, установить время блокировки для входа в случае неправильного ввода пароля и так далее. Да, это помогает, но это нельзя назвать полноценным решением. К сожалению, как показывает практика, эти меры могут не дать заметного снижения количества атак, ведь боты работают круглосуточно и без остановки, а ограничения - это куча тонких настроек, где одно зависит от другого, а у самого администратора часто есть определенные ограничения на настройки.
Блокировка IP
Эффективный для поколения кулхацкеров метод - блокирование IP - в случае серьезных противников может быть бесполезным, а то и опасным. Во всяком случае, адреса, с которых идут атаки, меняются в очень широком диапазоне (атака на перебор часто идет с группы адресов и даже с разных подсетей), так что сама идея блокировки по адресам это лечение последствий, а не болезни. IP адрес слишком легко подделать, атакующие могут применять сотни и с легкостью менять их. И есть большая вероятность, что они подставят его так, что будет заблокирован ваш собственный адрес или IP ваших клиентов.
К тому же блокировка отдельных IP на сервере Windows - не такая уж простая задача. Во-первых, в логах безопасности часто не видно IP того, кто пытается подключится - в некоторых случаях его можно увидеть только при успешной авторизации. В противном случае видно только логин, под которым пытались залогиниться, хотя события в журнале отмечаются. И тем более это сложно, если IP специально скрывается.
Кстати, если вы делаете это с помощью Windows Firewall, то через какое-то времяWindows начинает сильно тормозить из-за переполненного правила Windows Firewall.
Давать доступ к данным только белому списку IP-адресов - тоже достаточно сложная вещь в условиях удаленки и домашних офисов - IP может плавать, так как пользователь задействует очень разные гаджеты, которые есть в хозяйстве, и все норовит поработать из кафе или парка с публичным вайфаем.
Для многих компаний удаленная работа, вероятно, останется постоянной частью их корпоративной культуры, и с этим придется что-то делать. При этом уязвимости в RDP всплывают постоянно, и приходится регулярно гуглить, что же появилось нового.
Основная головная боль в том, чтобы защититься от RDP-атак в такой ситуации - это зоопарк устройств, на которых удаленно работают сотрудники, и сроки, так как проблему нужно решать быстро. И не нужно объяснять, что в каждой конкретной организации у администратора могут быть отдельные ограничения - кому-то выделяют только один порт под сервис, у кого-то нет подходящего железа и достаточного бюджета.
Единого ответа в том, как полностью обезопасить себя от таких нападений за счет одного-единственного инструмента, наверное, пока не существует (но, думаем, рынок усиленно над этим работает). К тому же и боты стали намного хитрее и сложнее, и хакеры стали более умными, и атаки более многоплановыми. Понадобится комплекс мер, ведь существует еще достаточно много вариантов защиты, кроме тех, о которых мы написали, в том числе аппаратных - межсетевые экраны, маршрутизаторы, виртуализация, разделение основной базы данных и многое другое.
Но, мы уверены, что самый важный и первый шаг - это четко увидеть, существует ли у вас такая проблема и насколько она серьезна. Так что включайте свои мониторинги. Второй шаг - это сделать все возможное, чтобы максимально усложнить жизнь хакеру. Есть огромная вероятность того, что столкнувшись хотя бы с несколькими приемами, хакер не будет тратить время на вас, а найдет жертву попроще.
Впервые замечен в декабре 2019
Средняя сумма выкупа для этой программы вымогателя менее $100 000.
Использует Windows Restart Manager для того, чтобы закрыть открытые и несохраненные файлы перед шифрованием
Содержит более 250 строк кода для дешифрации и останавливает около 150 служб
Работает с быстрым шифрованием файлов, запуская его в 32 параллельных потока через порты Windows I/O Completion
Эта версия Ransomware соответствует общему тренду: недавно злоумышленники запустили сайт с данными об утечках 'Conti.News'
Судя по большому количеству признаков, Conti позаимствовала код у семейства Ryuk. Эта программа используется для целевых атак на корпорации с декабря 2019 года, но недавно операторы Conti также запустили сайт с утечками под названием Conti.News, на котором они публикуют украденные данные, если жертва не заплатит выкуп. Как потомка Ryuk, программу-вымогателя Conti могут доставлять на компьютер жертвы трояны Trickbot.Conti является современным вредоносным ПО и может использоваться как Ransomware-as-a-Service для спланированных атак, например, на конкурентов.
Сайт fylszpcqfel7joif.onion был создан специально для публикации украденных у компании данных.
Для программы-вымогателя Conti существует два параметра:-h и --encrypt-mode.
--encrypt-mode отмечает, какие файлы подвергаются шифрованию. Возможны три варианта его значения: all, local и network. all подразумевает применение обоих типов шифрования локального и сетевого. Network означает, что шифрованию будут подвергаться общие сетевые ресурсы в локальной сети. По умолчанию программа-вымогатель запускается с параметром all.
Параметр -h должен содержать имя файла, в котором перечислены DNS и NetBIOS адреса удаленных серверов, для которых требуется запуск функции NetShareNum(). По умолчанию значение -h равняется null, а значит информация будет собрана обо всех общих ресурсах, доступных на конкретном компьютере..
Поиск ресурсов
Эта версия Ransomware ищет общие ресурсы в локальной сети по следующим шаблонам IP-адресов:
172.
192.168
10.
Ransomware удаляет shadow-копии файлов и уменьшает размеры теневых копий для всех дисков с C: до H: Это действие может привести к исчезновению shadowing.
cmd.exe /c vssadmin Delete Shadows /all /quiet
cmd.exe /c vssadmin resize shadowstorage /for=c: /on=c: /maxsize=401MB
cmd.exe /c vssadmin resize shadowstorage /for=c: /on=c: /maxsize=unbounded
cmd.exe /c vssadmin resize shadowstorage /for=d: /on=d: /maxsize=401MB
cmd.exe /c vssadmin resize shadowstorage /for=d: /on=d: /maxsize=unbounded
cmd.exe /c vssadmin resize shadowstorage /for=e: /on=e: /maxsize=401MB
cmd.exe /c vssadmin resize shadowstorage /for=e: /on=e: /maxsize=unbounded
cmd.exe /c vssadmin resize shadowstorage /for=f: /on=f: /maxsize=401MB
cmd.exe /c vssadmin resize shadowstorage /for=f: /on=f: /maxsize=unbounded
cmd.exe /c vssadmin resize shadowstorage /for=g: /on=g: /maxsize=401MB
cmd.exe /c vssadmin resize shadowstorage /for=g: /on=g: /maxsize=unbounded
cmd.exe /c vssadmin resize shadowstorage /for=h: /on=h: /maxsize=401MB
cmd.exe /c vssadmin resize shadowstorage /for=h: /on=h: /maxsize=unbounded
cmd.exe /c vssadmin Delete Shadows /all /quiet
Следующим шагом происходит остановка сервисов, относящихся к SQL, а также антивирусов, средства резервного копирования и систем кибербезопасности, таких как BackupExec и Veeam. Вредоносное ПО совершает попытки остановить и Acronis Cyber Protection. В списке кандидатов на остановку около 150 сервисов, и большая часть из них относятся к СУБД SQL. contains about 146 services, most of them are SQL databases. В решения Acronis уже встроена технология защиты, предотвращающая попытки Ransomware отключить киберзащиту и резервное копирование. Поэтому, несмотря на наличие нашего решения в списке сервисов to be terminated, мы продолжаем работать.
Последний шаг перед запуском шифрования всего и вся остановка всех процессов, связанных с SQL. Для этого из перечня всех процессов выбираются те, в название которых имеется подстрока sql.
Для того, чтобы разблокировать используемые файлы для шифрования, Conti вызывает Windows Restart Manager и принудительно закрывает доступ к файлам. Для этого Conti использует нетипичную для вредоносного ПО динамическую библиотеку rstrtmgr.dll, которая позволяет ему работать с сервисов Restart Manager. Если говорить вкратце, Restart Manager отвечает за сохранение открытых и используемых файлов во время перезагрузки операционной системы. Сервис помогает избежать потери данных и/или повреждения файлов, предупреждая пользователя и предлагая ему сохранить файлы до перезагрузки. Важнейшие функции этого процесса используются Conti для разблокировки файлов. Перед началом шифрования вредоносное ПО проверяет, разблокирован ли файл и может ли он быть закрыт немедленно без повреждений. Для этого используется следующий фрагмент кода.
Программа-вымогатель Conti использует алгоритмы шифрования RSA-4096 и AES-256-CBC. Встроенный публичный мастер-ключ RSA-4096 используется для шифрования сгенерированных ключей AES для каждого объекта. Эти данные добавляются к футеру соответствующих файлов.
В Conti шифрование реализуется при помощи Windows I/O Completion Ports. За счет этого достигается ускорение процесса, ведь шифрование идет в 32 потока.
Наконец, Conti получает результаты шифрования через GetQueuedCompletionStatus() и добавляет ключ AES-256-CBC к футеру файла.
Мастер-ключ RSA-4096 импортируется из раздела .data Microsoft Cryptographic Provider.
Ключ AES-256-CBC генерируется при помощи CryptGenKey() и является уникальным для каждого файла.
Во время шифрования игнорируются следующие папки:
tmp
winnt
Application Data
AppData
temp
thumb
$Recycle.Bin
$RECYCLE.BIN
System Volume Information
Program Files
Program Files (x86)
Windows
Boot
Кроме этого Ransomware пропускает файлы со следующими разрешениями:
.exe
.dll
.lnk
.sys
.CONTI
К зашифрованным файлам добавляется расширение .CONTI. После завершения процесса они выглядят следующим образом.
CONTI оставляет требование об уплате выкупа в каждой папке, сообщая пользователю о том, что его файлы зашифрованы. При этом вредоносное ПО не создает никакого ID пользователя. Вместо этого жертве просто предлагают написать на один из адресов, указанных в требовании.
Acronis Cyber Protection успешно блокирует программу-вымогателя Conti за счет наличия защиты от ransomware и автоматически восстанавливает поврежденные файлы.
А вот характерные признаки угрозы, по которым CONTI могут обнаружить любые системы безопасности:
MD5: c3c8007af12c9bd0c3c53d67b51155b7
SHA256: 8c243545a991a9fae37757f987d7c9d45b34d8a0e7183782742131394fc8922d
Mutex =CONTI
Расширение файлов .CONTI extension
Наличие CONTIREADME.txt
email-адреса
flapalinta1950@protonmail.com
xersami@protonmail.com
Всеобщая самоизоляция и удаленная работа повлияли на активность киберпреступников. Но хотя частота и методы атак изменились, сегодня угрозой 1 для бизнеса по-прежнему остается Ransomware. Этот тезис подтвердил отчет, подготовленный на базе информации из сети операционных центров киберзащиты Acronis (CPOC). Под катом прогнозы на 2021, данные исследований, а также статистика и выводы.
Итоги 2020 года показывают, что злоумышленники тоже начали адаптироваться к новой реальности и часто у них это получается лучше, чем у реального бизнеса. По мере того, как персонал по всему миру хотя бы частично остается в режиме удаленной работы, киберпреступники начали таргетировать свои атаки на самих работников, а также на провайдеров, обеспечивающих им доступ (MSP).
По итогам исследования наши аналитики сделали несколько выводов. Здесь мы решили привести самые интересные из них.
Удаленные сотрудники станут более частой мишенью атак, потому что защита систем вне корпоративной сети легче взломать, и злоумышленники уже убедились в этом;
Атаки с применением программ-вымогателей будут автоматизированы еще сильнее, и благодаря этому хакеры смогут атаковать конкретные компании и пользователей. При этом стоит ждать одновременного шифрования и кражи данных;
Опасность для малого бизнеса возрастает, так как дополнительным каналом угроз становятся атаки на MSP и ПО для удаленной работы.
Старая защита уже не работает, потому что для создания вредоносных программ используется ИИ и количество штаммов вредоносного ПО будет только увеличиваться. Учитывая, что новые версии только Ransomware появляются каждые 3-4 дня, а злоумышленники становятся все более изобретательными, для борьбы с ними нужны более гибкие подходы.
Ransomware
По данным Coalition (однин из крупнейших поставщиков услуг в сфере киберстрахования), 41% исков в уходящем году пришелся на долю атак с использованием программ-вымогателей.
Цитата:
Программы-вымогатели не делают различий между отраслями. Увеличение количество атак с их использованием фиксируется практически во всех отраслях, которые мы обслуживаем, говорится в докладе Coalition.
Мы в Acronis за последние девять месяцев обнаружили около 50 новых семейств программ-вымогателей. И что характерно для новой реальности, некоторые из них ориентируются на обычного пользователя, работающего из дома. Но такие группы, как Avaddon, Mount Locker и Suncrypt, нацелены на заражение более прибыльных корпоративных клиентов. При этом все чаще вредоносное ПО предоставляется как услуга. Из-за этого количество атак становится намного больше. А жизненный цикл экземпляра вредоносного ПО составляет всего 3-4 дня.
В марте, когда в большинстве стран был впервые объявлен карантин, центры Acronis CPOC наблюдали пиковое значение количества новых программ-вымогателей в глобальном масштабе. Активность Ransomware с того момента остается повышенной. При этом нет никакого распределения по вертикалям или географическим регионам атаки охватывают все отрасли и регионы. то здесь выраженных предпочтений у злоумышленников нет.
Интересно, что почти половина атак с применением Ransomware в 2020 году была осуществлена за счет вредоносного ПО Maze. При этом киберпреступники не останавливаются на достигнутом и ищут способы увеличить прибыль. Вместе с шифрованием происходит кража конфиденциальной, а иногда и компрометирующей информации для шантажа и публикации украденных данных.
Предположительно, именно с помощью Maze 30 июля 2020 года была проведена атака на Canon, в результате которой был выведен из строя сервис облачного хранения image.canon. При этом злоумышленник, взявший на себя ответственность за атаку,заявил о краже 10 ТБ личных данных. Кстати, это вполне вероятно, потому что операторы Maze уже опубликовали данные Xerox и LG, отказавшихся платить выкуп. Эта информация была украдена во время успешной атаки в июне 2020 года.
Факты о Maze
Не только шифрует, но и крадет данные, чтобы опубликовать их, если выкуп не будет выплачен
Крупнейшими жертвами Maze стали Canon, Xerox и LG
Использует методы противодействия разборке и отладке
Не шифрует системы, в которых по умолчанию установлен регион Россия
блокируется вызов wmic.exe для удаления теневых копий
Отправляет запрос HTTP на сервер C&C в сети 91.218.114.0 которая зарегистрирована в Москве, Россия
Для распространения использует инструменты Mimikatz, Procdump и Cobalt Strike
Конечно, Maze обходит стороной российские компании, но не стоит расслабляться другие шифровальщики перенимают эту модель и тоже начинают красть данные пользователей. По нашим данным в 2020 году более 1 000 компаний стали жертвами утечки информации после атак с применением программ-вымогателей, и в следующем году эта тенденция только усилится, потеснив шифрование данных.
Удаленные сотрудники под прицелом
Но вернемся к проблеме удаленных рабочих мест. Чуть ранее мы публиковали отчет Acronis Cyber Readiness Report (ссылка), который показал, что ИТ-менеджеры столкнулись с очень неприятной ковид-проблемой при массовом переходе сотрудников на удаленку. Лидером списка сложностей стала проблема инструктажа пользователей, а уже на втором месте идут технические меры их поддержки. Таким образом, сами сотрудники оказались под ударом.
При этом атаки на пользователей происходят через различное ПО, необходимое при удаленной работе. Мы уже сообщали о взломах Zoom, но аналогичным атакам подверглись также Microsoft Teams и Webex. Например, 50 000 пользователей Microsoft 365 были атакованы в течение недели фишинговыми письмами, из которых работники попадали на фиктивную страницу входа в систему Microsoft 365.
Атакам подверглись файлообменники Microsoft, такие как Sway, SharePoint и OneNote. Например, атака PerSwaysion (как можно догадаться, нацеленная на сервисы Sway), начинается с рассылки фишинговых писем с вредоносным вложением PDF. Пользователи думают, что получают уведомление от файлообменника Microsoft 365 с гиперссылкой Read Now. При переходе по ссылке открывается еще один обманный документ файлообменника Microsoft Sway. И если снова пройти по ссылке, вы попадаете на фальшивую страницу входа в систему Microsoft, чтобы поделиться своими учетными данными с мошенниками.
Разумеется, уязвимости существуют не только у продуктов Microsoft. В 2020 году мы регистрировали критические уязвимости для целого спектра различных продуктов, включая те самые VPN, которые должны обеспечить безопасный доступ для удаленных сотрудников. Например, в Citrix VPN уязвимость позволяла запускать произвольный код (CVE-2019-19781), а на серверах Pulse Secure VPN уязвимость CVE-2019-11510 позволяет читать произвольные файлы.
Атаки на MSP
К тому же злоумышленники прекрасно понимают, что компании СМБ в своем большинстве пользуются сервисами провайдеров управляемых услуг (MSP). И вместо того, чтобы взламывать 100 разных компаний, хакеры стали чаще обращать внимание именно на сети MSP. 2020 год показал, что взломать MSP можно разными способами. Например, для этого все чаще используются уязвимости и недостаточная защита ПО удаленного доступа. Компании, которые не устанавливали патчи, не использовали двухфакторную аутентификацию, а также не боролись с фишингом получили максимум ущерба.
Например, транснациональный поставщик IT-сервисов DXC Technology сообщила об атаке на ИТ-системы своей дочерней компании Xchanging. Сервисами этой компании пользуются организации из сферы страхования, финансовых услуг, аэрокосмическая промышленность, оборонные компании, автомобильная промышленность, организации из сферы образования, производители потребительских товаров, организации здравоохранения и обрабатывающая промышленность. Еще один пример канадская Pivot Technology Solutions, которая также сообщила о кибератаке на свою IT-инфраструктуру. В сообщении компании говорится, что атака могла затронуть и персональные данные пользователей клиентов компании и их сотрудников. Так что в 2021 году стоит ждать продолжения подобных атак, ведь с точки зрения злоумышленников они полностью оправдали себя.
Уязвимости, затраты и примеры атак
Наши аналитики провели более детальный анализ киберугроз и атак, совершенных в 2020 году. Поэтому в следующем посте мы расскажем о том, как изменились затраты компаний на безопасность, насколько выросло количество уязвимостей в различном ПО, а также о популярности различных типов кибератак.
Если вам хочется почитать отчет целиком, полную версию Acronis Cyber Threats Report можно прочитать здесь (ссылка).
За время пандемии хакеры стали находить больше эксплойтов во всех видах программного обеспечения? Сегодня мы снова хотим поделиться интересными фактами и данными из нашего исследования Acronis Cyber Threats Report 2020 и рассказать о тех направлениях активности, в которых киберпреступники особенно преуспели. Речь пойдет об уязвимостях в различных приложениях, которые были обнаружены на протяжении коронавирусного локдауна. Также мы расскажем популярности разных типов вредоносного ПО, тенденциях в области кражи данных и затратах на содержание инфраструктуры для обеспечения работы сотрудников в удаленном режиме.
Содержание:
Атак на компании становится больше
Уязвимости в прикладных приложениях
Согласно статистике, собранной Cyber Protection Operation Center (CPOC) центром безопасности Acronis в Сингапуре, за последние месяцы компании по всему миру испытывали самые разные атаки. И если к высокому уровню DDoS-агрессии привыкли уже многие, 2020 год запомнится большим уровнем фишинга, а также атак на системы видеоконференции.
Кстати, опасность фишинга остается особенно актуальной, потому что по данным нашего предыдущего исследования Acronis Cyber Readiness Report, только 2% предпринимателей уделяет внимание такому методу защиты, как фильтрация URL. Благодаря этому злоумышленники успешно проводят как атаки широкого спектра, так и целенаправленные атаки на конкретные корпорации.
Что касается атак на системы видеосвязи и коллективной работы, их рост стал результатом обнаружения большого количества уязвимостей в 2020 году. И это не удивительно, ведь облачные платформы и программы, которыми стали пользоваться в десятки или даже сотни раз больше людей, вызывали пристальное внимание хакеров.
Однако результаты нашего исследования показали, что в уходящем году также было обнаружено множество уязвимостей для операционных систем и другого прикладного. ПО. Например, компания VulnDB (специалист по управлению ИТ-рисками) сообщила о том, что в только в первом полугодии 2020 была раскрыта 11 121 уязвимость.
Данные Microsoft подтверждают эту информацию сентябрьский патч вендора закрывается 129 уязвимостей безопасности, 23 из которых могли быть использованы вредоносным ПО для получения полного контроля над компьютерами с ОС Windows при минимальном вмешательстве пользователей или вообще без такового. Это неприятный показатель, учитывая, что в 2020 году Microsoft семь месяцев подряд выпускала патчи, содержащие исправления более чем для 100 уязвимостей.
Впрочем, даже своевременный выпуск патчей не гарантирует безопасности, потому что многие пользователи так и не устанавливают их. Например, уязвимость CVE-2020-0796 (SMBGhost), считалась настолько опасной, что получила самый высокий рейтинг системы оценки уязвимости (CVSS): 10 из 10. И хотя компания Microsoft выпустила срочный внеочередной патч буквально через несколько дней, наши центры Acronis CPOC до сих пор регистрируют использование этой уязвимости.
Из числа интересных уязвимостей 2020 года CVE-2020-1425 и CVE-2020-1457, позволяют выполнить удаленный код (RCE) на машине пользователя. Они получили рейтинг критическая и важная соответственно и обе связаны с библиотекой Microsoft Windows Codecs Library, которая обрабатывает объекты в памяти. И хотя обеим уязвимостям в рейтинге Microsoft Exploitability Index присвоена категория использование маловероятно, наличие подобных брешей создает дополнительные возможности для злоумышленников.
Уязвимости CVE-2020-1020 и CVE-2020-0938, наоборот, используются активно. 23 марта, когда информация по этим брешам была опубликована, компания Microsoft подтвердила отсутствие исправлений Windows, а также факт активной эксплуатации уязвимостей злоумышленниками. Пользователи Windows 10, так и не установившие патчи Microsoft фактически позволяют злоумышленникам устанавливать программы, просматривать или изменять данные, а также создать новые учетные записи на своей машине.
CVE-2020-1464 представитель еще одного интересного вида уязвимостей. Она позволяет нарушить процесс валидации сигнатуры файлов Windows. При эксплуатации этой уязвимости можно провести запуск файла с поддельной сигнатурой, а операционная система не сможет распознать его вредоносную природу. Кстати, эта уязвимость затрагивает все поддерживаемые версии Windows и представляет собой серьезную проблему.
В 2020 году высокий уровень уязвимостей показали также прикладные приложения. Одним из рекордсменов по количеству опубликованных патчей стала компания Adobe, которая выпустила в июле экстренное обновление безопасности для Photoshop, Prelude и Bridge. Всего через неделю после выхода стандартного ежемесячного обновления безопасности Adobe опубликовала рекомендации по безопасности, выявив в общей сложности 13 уязвимостей, 12 из которых оказались критическими, так как позволяют выполнить произвольный код на машине жертвы.
В августе Adobe выпустила патчи для устранения 26 уязвимостей в Adobe Acrobat и Adobe Reader, включая 11 критических уязвимостей, позволяющих обойти системы контроля безопасности. Девять из них также позволяли удаленно выполнить произвольный код.
Кроме этого, учитывая тенденции удаленной работы, киберпреступники все чаще стали обращать внимание на уязвимости виртуальных частных сетей (VPN). Например, в устройствах Citrix VPN была обнаружена уязвимость выполнения произвольного кода, известная как CVE-2019-19781. А на серверах Pulse Secure VPN по прежнему встречается уязвимость CVE-2019-11510, открывающая возможность чтения произвольного файла.
В III квартале 2020 года независимая лаборатория анализа вредоносного ПО AV-Test регистрировала 400 000 новых образцов вредоносного ПО каждый день. Это подтверждает автоматизацию создания вредоносного кода под конкретные задачи. В этом же периоде наши CPOC обнаружили, что 19% образцов были замечены в реальных условиях только один раз. При этом средний срок жизни современной версии вредоносного ПО в среднем составляет 3,4 дня. Вместо того, чтобы использовать свежие вирусы, трояны, программы-вымогатели повторно, авторы предпочитают сгенерировать новый код.
Если говорит о популярности разных типов ПО, перед вами диаграмма с 10 крупнейшими семейств вредоносных программ, которые мы наблюдали и отслеживали в 2020 году:
При этом список возглавляют разновидности ПО, направленные на кражу данных. Вообще компрометация информации стала трендом уходящего года даже программы-вымогатели теперь все чаще не только шифруют, но и воруют данные. Например, авторы новой программы-вымогателя-как-услуги (RaaS) Conti, ставшей преемницей Ryuk, открыли сайт для публикации украденных данных. Conti используется уже несколько месяцев, но, видимо, шантаж шифрованием оказался не слишком эффективен. Осенью 2020 был открыт новый сайт Conti.News, на котором приведен список из 112 жертв, включая весьма крупные и известные компании.
Судя по всему, этот тренд становится нормой для киберпреступных группировок. Свои страницы для публикации украденных данных в сети Tor создали около 20 различных групп. В сети уже были опубликованы данные более 700 компаний 37% из них были украдены в результате заражения программой-вымогателем Maze (о ней подробнее читайте в предыдущем посте), 15% Conti, а 12% Sodinokibi.
Ситуация сложная, потому что утечки могут привести к потере деловой репутации, к дальнейшим атакам с использованием новых учетных данных, а также к различным штрафам. Если в ходе утечки будут скомпрометированы данные о клиентах, наказание согласно нормативным актам, такими как GDPR или CCPA, может оказаться очень ощутимым. Но уплата выкупа для многих компаний тоже не вариант, потому что является правонарушением в соответствии с правилами американского Управления по контролю за иностранными активами (OFAC).
В завершение этого поста отметим, что большинство компаний в текущих условиях вынуждены были увеличить затраты на ИТ в том числе на безопасность. И только 1 из 5 компаний удалось сохранить затраты на прежнем уровне или немного сократить их.
Шифровальщики фактически стали киберугрозой 1 как для бизнеса, так и для государственных органов: число успешных атак в прошлом году выросло более чем на 150% к 2019 году, а средний размер суммы выкупа увеличился более чем в два раза и составил в 2020 году $170 000, говорится в свежем отчете Group-IB Программы-вымогатели 2020-2021 гг.
В первую очередь в зоне риска оказались крупные корпоративные сети целенаправленные атаки вымогателей ( The Big Game Hunting) парализовали в 2020 году работу таких гигантов как Garmin, Canon, Campari, Capcom и Foxconn. Простой от одной атаки составлял в среднем 18 дней. Большинство атак, проанализированных Group-IB, произошли в Северной Америке и Европе, где расположено большинство компаний из списка Fortune 500, а также в Латинской Америке и Азиатско-Тихоокеанском регионе.
Самыми жадными вымогателями оказались группы Maze, DoppelPaymer и RagnarLocker сумму выкупа, которые они требовали от жертвы, составляла в среднем от $1 000 000 до $2 000 000. Преступные группы Conti, Egregor и DarkSide присоединились к золотой лихорадке только в прошлом году, но были настолько активны, что заняли верхние строчки неофициального рейтинга вымогателей. В топ-5 самых активных семейств шифровальщиков, по данным Group-IB, вошли Maze, Egregor, Conti, REvil и DoppelPaymer. Некоторые из них к концу года сошли с дистанции: Egregor и Netwalker пострадали от действий полиции, а операторы Maze в конце 2020 года объявили о своем уходе. Несмотря на эти события, криминальный бизнес вымогателей в 2021 году, по прогнозам экспертов Group-IB, будет по-прежнему процветать.
В России, несмотря на негласное правило у киберпреступников не работать по РУ, действовала русскоязычная преступная группа OldGremlin впервые Group-IB рассказала о ней в отчете в сентябре прошлого года. Начиная с весны 2020 года OldGremlin провела не менее 9 кампаний и атаковала исключительно российские цели банки, промышленные предприятия, медицинские организации и разработчиков софта. В августе 2020 года жертвой OldGremlin стала крупная компания с сетью региональных филиалов за расшифровку с нее потребовали выкуп в $50 000.
За пандемию программы-вымогатели стали главной киберугрозой для всего мира, в том числе для России, говорит Олег Скулкин, ведущий специалист Лаборатории компьютерной криминалистики Group-IB. В прошлом году мы видели многочисленные атаки OldGremline на российские предприятия, IT-компании и финансовые учреждения. В этом году эксперты уже наблюдают активность с традиционными группами типа RTM, также переключившихся на на использование шифровальщиков.
Одной из основных движущих сил феноменального роста программ-вымогателей стала модель Ransomware-as-a-Service (Вымогательство как услуга). Ее смысл заключается в том, что разработчики продают или сдают в аренду свои вредоносные программы партнерам для дальнейшей компрометации сети, заражения и развертывания вымогателей. Вся полученная в виде выкупа прибыль затем распределялась между операторами и партнерами программы. Команда Group-IB DFIR отмечает, что 64% всех атак вымогателей, проанализированных в 2020 году, были связаны с операторами, использующих модель RaaS.
Еще одна тенденция 2020 года коллаборации между разными преступными группами. Group-IB Threat Intelligence & Attribution system зафиксировала в прошлом году появление в андеграунде 15 новых публичных партнерских программ-вымогателей. Действующие преступные группы, использующие вредоносные программы Trickbot, Qakbot и Dridex, все чаще помогали операторам программ-вымогателей получать первоначальный доступ к корпоративным сетям.
Главным вектором атак для большинства банд вымогателей оказались публичные RDP-серверы. В 52% всех атак, проанализированных командой Group-IB DFIR, для получения первоначального доступа к сети использовались именно RDP-серверы, за ними следовали фишинг (29%) и эксплуатация общедоступных приложений (17%).
Прежде чем зашифровать данные, операторы вымогателей проводили в среднем 13 дней в скомпрометированной сети, стараясь предварительно найти и удалить все доступные резервные копии, чтобы жертва не могла восстановить зашифрованные файлы. Еще одним фактором успеха, позволившим бандам получать выкуп, стало предварительное хищение критически важных данных документов, отчетов, чтобы использовать их в качестве рычага для давления на жертву моду на подобный двойной удар задала печально известная группа Maze.
Учитывая, что большинство атак шифровальщиков управляются человеком вручную, специалистам по информационной безопасности критически важно понимать, какие тактики, техники и процедуры (TTP) используют злоумышленники. Полный технический анализ TTPs атакующих, сопоставленных в соответствии с MITRE ATT&CK, публичной базой знаний, в которой собраны тактики и техники целевых атак, а также рекомендации по поиску и обнаружению угроз, собранные командой Group-IB Digital Forensics and Incident Response (DFIR), уже сейчас доступны в новом отчете Программы-вымогатели 2020-2021 гг.
Создание уникального вредоносного ПО требует больших ресурсов, поэтому многие хакерские группировки используют в своих атаках массовое, часто публично доступное ВПО. Широкое использование неизбежно приводит к тому, что такой инструмент попадает на радары антивирусных компаний, а его эффективность снижается.
Для решения этой проблемы хакеры используют техники упаковки, шифрования и мутации кода. Такие техники часто реализуют отдельные инструменты крипторы (crypters) или просто пакеры. В этой статье на примере банковского трояна RTM мы рассмотрим, какие пакеры могут использовать злоумышленники и как эти пакеры осложняют обнаружение ВПО.
Полная версия данного исследования доступна по ссылке.
Хакерская группа, стоящая за распространением RTM, до конца 2020 года регулярно проводила массовые фишинговые рассылки с вредоносными вложениями. Этот процесс, по всей видимости, происходил автоматически.
Каждое такое вложение содержало существенно отличающиеся друг от друга файлы, при этом итоговая полезная нагрузка практически не менялась.
Пример архива RTMПодобная особенность естественное следствие применения крипторов. Первоначально группа, стоящая за RTM, использовала свой собственный уникальный криптор, однако в течение 2020 года дважды его сменила.
При исследовании по-новому упакованных образцов нам удалось обнаружить множество другого ВПО, которое было защищено аналогичным образом. Пересечения с другими вредоносами с учетом автоматизации процесса упаковки, на наш взгляд, позволяют говорить об использовании злоумышленниками модели packer-as-a-service. В этой модели упаковка вредоносных файлов делегируется специальному сервису, которым управляет третья сторона. Доступ к таким сервисам часто продается на хакерских форумах.
Первое использование этого пакера группой RTM, которое нам удалось обнаружить, относится к ноябрю 2019 года. Активное же его применение, по нашим данным, приходится на период апрельмай 2020 года.
Фишинговое письмо RTM, январь 2021Нам не удалось связать этот упаковщик с каким-либо из ранее описанных публично, поэтому мы дали ему свое название по трем особенностям его устройства: наличию рекурсии (recursion), реверса битов (reverse) и рефлективной загрузки PE-файлов (reflection) Rex3Packer.
Общий алгоритм извлечения полезной нагрузки выглядит так:
С помощью VirtualAlloc выделяется заранее определенное количество памяти с правами на чтение, запись и исполнение.
В выделенный буфер копируется содержимое образа текущего процесса в памяти (в частности, секция .text).
Управление передается на функцию внутри буфера.
Вычисляется разница между положением одних и тех же данных в буфере и в образе PE-файла (разность между адресами в буфере и виртуальными адресами в образе). Эта разность заносится в регистр ebx. Все обращения к виртуальным адресам в коде проиндексированы содержимым этого регистра. За счет этого везде, где это необходимо, к адресам из PE-образа добавляется поправка, которая позволяет получить соответствующий адрес в буфере.
Выделяется еще один буфер под упакованные данные.
Через вызов VirtualProtect устанавливаются права RWX на весь регион памяти с образом PE-файла.
Упакованные данные копируются в свой буфер.
Происходит декодирование упакованных данных.
Регион памяти с образом PE заполняется нулевыми байтами.
Декодированные данные представляют собой исполняемый файл PE-нагрузку. Эта полезная нагрузка рефлективно загружается на место исходного PE-образа, а управление передается на ее точку входа.
Отдельный интерес представляет специфический алгоритм декодирования упакованных данных. В данном случае некорректно говорить об упаковке как о сжатии: алгоритм устроен так, что размер упакованных данных всегда больше размера исходных.
Непосредственно упакованным данным предшествует заголовок размером 16 байт, который содержит 4 поля по 4 байта:
размер самого заголовка,
размер исходных данных (PE-нагрузки),
позиция в исходных данных (*), по которой происходит их разделение,
режим кодирования (1, 2, либо 4).
Декодирование выполняется следующим образом:
Внутри каждого байта выполняется реверс порядка битов (к примеру, 10011000 становится 00011001).
В зависимости от режима кодирования (1, 2, 4), данные разбиваются на блоки размером N = 9, 5, либо 3 байта соответственно. Результат декодирования блока это (N 1) байт (то есть 8, 4, или 2).
В первых N-1 байтах блока отсутствует часть битов: их значения всегда равны нулю. Чтобы восстановить оригинальные байты, с помощью масок вида 00000001, 00010001 или 01010101 из последнего байта блока извлекаются недостающие биты. При этом для каждого следующего байта маска сдвигается. То есть последний байт блока фактически составлен из объединенных логической операцией OR битов, которые извлечены из предыдущих байтов.
Например, в режиме 4 последний байт состоит из четных битов первого байта блока и нечетных битов второго байта блока. В результате возврата этих битов в первый и второй байты получается оригинальная последовательность из двух байт.
Схема получения исходных байтов в режиме 44.После операции по восстановлению битов во всех блоках полученные данные представляют собой исходный PE-файл, который был разделен по позиции (*) на две части. Эти части, в свою очередь, были переставлены между собой. Обратная перестановка с учетом значения (*) позволяет получить оригинальный файл.
Чтобы усложнить анализ кода, в пакере применяется различного рода запутывание:
В промежутках между исполнением полезных команд делаются вызовы различных функций WinAPI. Их результаты сохраняются, но не используются, а сами функции выбираются так, чтобы не влиять на работу программы.
Характерная особенность данного пакера наличие циклов (не выполняющих полезных операций), которые реализуются через рекурсивную функцию.
Для дополнительного запутывания в исполняемый файл добавляется несколько десятков случайно сгенерированных функций. Они могут ссылаться друг на друга, но в процессе работы ни одна из них не получает управления.
Кроме экземпляров RTM, мы обнаружили использование Rex3Packer для упаковки различного ВПО, в основном из стран СНГ.
Семейство ВПО |
SHA256 |
6e9c9b72d1bdb993184c7aa05d961e706a57b3becf151ca4f883a80a07fdd955 |
|
8d44fdbedd0ec9ae59fad78bdb12d15d6903470eb1046b45c227193b233adda6 |
|
3be91458baa365febafb6b33283b9e1d7e53291de9fec9d3050cd32d98b7a039 |
|
9b6af2502547bbf9a64ccfb8889ee25566322da38e9e0ccb86b0e6131a67df1e |
|
d1060835793f01d1e137ad92e4e38ef2596f20b26da3d12abcc8372158764a8f |
|
18cc92453936d1267e790c489c419802403bb9544275b4a18f3472d2fe6f5dea |
Также мы отметили использование пакера для упаковки экземпляров ВПО из семейств Nemty, Pony, Amadey.
В мае 2020 группа RTM переключилась на использование нового упаковщика HellowinPacker, который продолжала активно использовать до начала 2021 года. Ключевой особенностью этого пакера является два уровня мутации кода. Первый из них существенно меняет структуру кода распаковки, делая различные образцы не похожими друг на друга.
Сравнение кода в двух экземплярах разной структурыВторой уровень меняет лишь отдельные детали при неизменной в целом структуре кода. При этом изменения главным образом затрагивают ассемблерные инструкции и не влияющие на работу программы константы. В результате в декомпилированном виде код выглядит практически идентичным.
Сравнение кода в двух экземплярах одной структурыТак же, как и в случае с Rex3Packer, мы имеем дело с массовым использованием HellowinPacker для упаковки различного ВПО. При этом вредоносное ПО из одного семейства, как правило, имеет в упакованном виде одну и ту же структуру. Это можно пронаблюдать, по крайней мере, на протяжении некоторого времени затем структура может измениться.
Одни из первых действий, которые встречаются во всех упакованных файлах это попытки открыть ключ реестра HKEY_CLASSES_ROOT\Interface\{b196b287-bab4-101a-b69c-00aa00341d07} (регистр символов в конкретном случае может отличаться) и запросить в нем значение по умолчанию (Default). От успешности этих операций в некоторых модификациях генерируемого кода зависит корректное продолжение работы программы.
GUID интерфейса в разных случаях также может отличаться.
Дальнейший код некоторым образом получает адрес, по которому располагается блок зашифрованных данных.
Этот блок начинается с четырехбайтного числа, которое хранит размер исходных данных (тех, которые будут получены после декодирования). Вызовом VirtualAlloc под расшифрованные данные выделяется блок памяти нужного размера с правами RWX. В выделенную память блоками по X байт копируются зашифрованные данные. При этом в оригинальном файле между этими блоками располагаются пропуски длиной Y байт.
Схема копирования данных в HellowinPackerЗатем происходит процесс дешифровки блоками по 4 байта:
очередной блок интерпретируется как целое число (DWORD),
к его значению прибавляется индекс первого байта в блоке,
выполняется операция xor между полученным значением и суммой индекса и фиксированного ключа, числа Z.
Как и в случае с Rex3Packer, в экземплярах с HellowinPacker встречаются вызовы функций WinAPI, не относящихся к основной логике программы. Однако в данном случае они используются скорее как способ затруднить поведенческий анализ и детектирование в песочницах. В пользу этого предположения говорит то, что в большинстве случаев разнообразные функции вызываются подряд в самом начале программы.
Точка входа в одной из упакованных библиотекДополнительным эффектом от такого использования WinAPI становится невозможность детектирования по списку импортируемых функций и imphash.
При работе с различными числовыми значениями часто встречается некоторая арифметическая обфускация: необходимые константы представляются в виде суммы или разности других констант (в определенных случаях равной нулю). При этом для получения констант могут быть использованы и вызовы функций WinAPI, дающие предсказуемый результат (например, 0 в случае неудачи).
HellowinPacker существует по крайней мере с 2014 года. За это время он был использован в различном массовом вредоносном ПО. Вот лишь несколько примеров:
Семейство ВПО |
SHA256 |
1e8b814a4bd850fc21690a66159a742bfcec212ccab3c3153a2c54c88c83ed9d |
|
44ede6e1b9be1c013f13d82645f7a9cff7d92b267778f19b46aa5c1f7fa3c10b |
|
f5dfbb67b582a58e86db314cc99924502d52ccc306a646da25f5f2529b7bff16 |
|
54ff90a4b9d4f6bb2808476983c1a902d7d20fc0348a61c79ee2a9e123054cce |
|
c2482679c665dbec35164aba7554000817139035dc12efc9e936790ca49e7854 |
Пример с использованием крипторов позволяет проиллюстрировать разделение обязанностей в хакерской среде, особенно в сфере массового ВПО. Совершенно не связанные друг с другом хакеры могут заниматься разработкой вредоносной нагрузки, ее защитой от антивирусов (криптом) и доставкой конечному пользователю. При этом каждый элемент в этой цепочке может быть предоставлен как сервис. Такой подход снижает порог входа для технически неподготовленных киберпреступников: для проведения массовой атаки достаточно обладать лишь необходимой суммой денег на оплату всех сервисов.
Описанные нами упаковщики, конечно же, далеко не единственные на рынке. При этом они хорошо демонстрируют общие свойства подобных инструментов: в результате их работы получается исполняемый файл с обфусцированным полиморфным кодом распаковщика и шифрованной полезной нагрузкой. Мутации в коде и использование одних и тех же крипторов делают практически невозможным статическое детектирование полезной нагрузки. Однако, поскольку эта нагрузка так или иначе расшифровывается в память и начинает свою вредоносную деятельность, поведенческий анализ с использованием песочниц (таких, как PT Sandbox) позволяет обнаруживать ВПО и выносить точные вердикты даже для упакованных файлов. Следует также отметить, что упаковщики никак не влияют на взаимодействие вредоносов с управляющими серверами. Это дает возможность определять присутствие ВПО в сети, используя инструменты анализа трафика такие, как PT Network Attack Discovery.
Автор: Алексей Захаров