Pull to refresh
85.86

Когда хакеры быстрее антивирусов

Reading time 4 min
Views 6K
FinCERT, структурное подразделение ЦБ по информбезопасности, в своем свежем отчете назвал группу Cobalt главной угрозой для банков, а ее атаки — основным трендом. Cobalt, действительно, сейчас одна из самых активных и агрессивных преступных групп. За год — подсчитали эксперты — она совершила не менее 50 успешных атак по всему миру, постоянно тестируя новые инструменты, изменяя векторы атак и цели. Помимо бесконтактных атак на банкоматы, Cobalt старается получить доступ к системам межбанковских переводов (SWIFT), платежным шлюзам и карточному процессингу. В этой статье мы покажем, почему традиционные средства защиты не могут спасти от хакерских атак подобных групп. И что делать, чтобы защитить свой бизнес от финансовых и репутационных потерь.

Текст: Андрей Зосимов, вирусный аналитик.

14 ноября 2017 года специалисты из компании Embedi опубликовали технический отчет об уязвимости CVE-2017-11882, а также продемонстрировали ее в различных версиях продуктов Microsoft Office. Эта уязвимость позволяет выполнять произвольный код, а также загружать исполняемые файлы и запускать их на исполнение. Она существует еще с 2000 года – как раз тогда был создан уязвимый элемент Microsoft Equation, а точнее – «EQNEDT32.EXE». Данный элемент позволяет внедрять математические формулы в документы Office при помощи технологии OLE. С выходом Office 2007 этот компонент обновился, но поддержка старой версии осталась для совместимости со старыми документами. А значит уязвимость существовала целых 17 лет.

Сама CVE была зарегистрирована еще 31 июля 2017 года, а через несколько дней специалисты из Embedi сообщили о ней в Microsoft. Финальный патч от Microsoft выпустили только 14 ноября 2017 года.

Три дня назад, 21 ноября, в публичном GitHub репозитории Embedi был опубликован Proof of Concept этой уязвимости (https://github.com/embedi/CVE-2017-11882), а также python-скрипт, который позволяет создать собственный уязвимый «.rtf» документ.

Первая активность


Уже спустя несколько часов хакерская группировка Cobalt начала массированную рассылку фишинговых писем по финансовым учреждениям, содержащих во вложении уязвимый документ, который не детектируется антивирусными решениями:

image

В рассылке распространялся вредоносный документ с названием «Изменения правил осуществления переводов.rtf» (MD5 F360D41A0B42B129F7F0C29F98381416, 31811 байт)

image

Домен «cards-cbr.ru», с которого было отправлено это письмо, был зарегистрирован в день рассылки — 2017-11-21. Он имеет IP-адрес «104.254.99.77».

Так же распространялось следующее письмо с пустым содержанием.

Технические заголовки письма:

image

Как мы видим, антивирусное решение пропустило вредоносное письмо. В результате вредоносное вложение попало к сотруднику банка.
Наша система TDS Polygon успешно обнаружила атаку, выдав вердикт в 92%, и сотрудник CERT Group-IB оповестил клиента о ситуации:

image

Обнаруженный вредоносный документ (MD5 F360D41A0B42B129F7F0C29F98381416) был загружен на Virustotal 2017-11-21 13:27:59 (UTC) и на тот момент детектировался лишь антивирусом «Rising» как «Exploit.CVE-2017-11882.Gen!1.AED3 (CLASSIC)». Он содержал следующую команду, которую исполнял:

image

Судя по структуре файла, он явно был построен при помощи опубликованного Python-скрипта. Спустя несколько часов и другие антивирусные решения начали определять файл как вредоносный, но злоумышленники отреагировали незамедлительно. Они тут же переделали эксплоит так, что он снова перестал детектироваться многими популярными антивирусами (MD5 8993F927BEAF8DAA02BB792C86C2B5E0):

image

image

Доменное имя swift-alliance.com было создано и зарегистрировано другими лицами 2016-08-24, но 2017-08-24 у него истек срок регистрации, преступники группы Cobalt отследили этот факт и зарегистрировали это доменное имя 21.11.2017. Сейчас доменное имя «swift-alliance.com» имеет связь по IP-адресу с доменом «cards-cbr.ru», участвавшим в предыдущей рассылке. На данный момент (22.11.2017) все эти домены имеют IP-адрес 139.59.89.20, а ранее 21.11.2017 имели IP-адрес 104.254.99.67:

image

В обоих действовала одна и та же группировка — нагрузка загружалась с IP-адреса «138.68.234.128», которая распространяет Cobalt-Strike. Во втором случае загружался исполняемый файл HTA, который исполнялся через программу mshta.exe:

image

Загружаемый файл содержит обфусцированный JS, который в результате выполняет закодированный Powershell-скрипт:

image

В результате выполнения этого кода загружается PS скрипт с удаленного хостинга «http://104.254.99.77/out.ps1», который потом исполняется. Загруженный Powershell содержит два закодированных Cobalt Beacon'a, которые запускаются в соответствии с разрядностью ОС.

Изменения


Измененный документ не так сильно отличается от первоначального, однако различия все же есть. Во-первых, были изменены заголовки RTF-документа:

image

Как видно, из заголовка объекта было вырезано ключевое слово «objclass», которое является опциональным:

image

В название объекта было заменено с «Equation.3» на «1NYMiqIGRD». Так же, в первоначальном варианте шеллкод в конце заполнялся буквами «A», тогда как в переделанном эксплоите оставшееся место заполняется пробелами:

image

Сигнатуры (помечены красным) до и после шеллкода не изменены. По сути основные изменения претерпели заголовки RTF-документа и встроенного объекта, в том числе и в конце:

image

Здесь злоумышленники просто изменили параметры изображения и добавили некоторые свои, которые по сути ни на что не влияют:

«picwgoal» и «pichgoal» — отвечают за ширину и высоту рисунка в twips

«picw» и «pich» — отвечают за ширину и и высоту рисунка в пикселях

«picscale» — масштабирование изображения.

И вот вывод: достаточно было незначительно поменять документ и антивирусные решения оказываются бессильными перед такой атакой.

Каким мог быть выход из этой ситуации? Threat Intelligence дает возможность быть в курсе атак, проводимых хакерскими группами, а также иметь в своем распоряжении системы анализа трафика и песочницы, которые будут выносить вердикт вредоносным файлам не на основе сигнатур, а с помощью поведенческого анализа и наработанной базы знаний по характерному поведению той или иной хакерской группировки.

Полную версию читайте на блоге Group-IB
Tags:
Hubs:
+3
Comments 3
Comments Comments 3

Articles

Information

Website
www.facct.ru
Registered
Founded
Employees
501–1,000 employees
Location
Россия