Стилеры играют важную роль в современном ландшафте угроз и являются одним из популярнейших способов получения легитимных аутентификационных данных для первоначального доступа к корпоративным сетям. В феврале 2023 года в теневом сегменте интернета впервые засветился стилер White Snake. Он активно рекламируется как средство для реализации целевых атак и позволяет злоумышленникам получить сохраненные пароли, а также копировать файлы, записывать нажатия клавиш и получать удаленный доступ к скомпрометированному устройству.
Специалисты управления киберразведки BI.ZONE обнаружили кампанию по распространению White Snake, нацеленную на российские организации. Стилер распространяется через фишинговые письма под видом требований Роскомнадзора.
Ключевые выводы
Успешная реализация атаки с использованием стилера может позволить злоумышленникам получить доступ сразу к нескольким корпоративным ресурсам, например электронной почте и CRM.
Возможность аренды или покупки такого класса ВПО позволяет значительно снизить уровень квалификации, необходимый злоумышленникам для реализации целевых атак.
Ущерб от успешной реализации подобной атаки может наступить не сразу: часто злоумышленники перепродают данные, собранные стилерами.
Описание кампании
В рамках кампании жертва получала фишинговое письмо, к которому был прикреплен архив с несколькими файлами:
Требование РОСКОМНАДЗОР № 02-12143.odt,Приложение к требованию РОСКОМНАДЗОРА о предоставлении пояснений, по факту выявления данных в ходе мониторинга и нанализа списки запрещенн интернет ресурсов, айпи адресов.exe,РОСКОМНАДЗОР.png.
Первый файл (рис. 1) представляет собой фишинговый документ, цель которого — отвлечь внимание жертвы и убедить в безопасности второго файла, который представляет собой стилер White Snake.
Стилер White Snake появился на популярных теневых форумах в феврале 2023 года и позиционировался как инструмент, предназначенный для реализации целевых атак (рис. 2).
Помимо теневых форумов, стилер также имеет свой канал в мессенджере Telegram (рис. 3), который позволяет следить за его обновлениями.
Арендовать стилер можно всего за 140 $ в месяц или купить неограниченный доступ за 1950 $. Заплатить за аренду можно в одной из криптовалют (рис. 4).
После оплаты клиент получает билдер для создания экземпляров ВПО и доступ к панели управления скомпрометированными устройствами.
Билдер (рис. 5) позволяет сконфигурировать генерируемый образец стилера — например, добавить токен Telegram для сохранения полученных данных, выбрать метод шифрования данных, набор извлекаемых данных, иконку исполняемого файла и т. п.
Панель управления (рис. 6) позволяет отслеживать скомпрометированные устройства, а также взаимодействовать с ними и выполнять команды. Кроме того, панель управления позволяет получить доступ ко всем данным, собранным с помощью стилера.
Запуск исполняемого файла из архива приводит к реализации следующих действий:
Создает мьютекс (согласно конфигурации).
При наличии соответствующего флага проверяет, что запуск происходит не в виртуальном пространстве.
При наличии соответствующего флага копирует все файлы в папку
C:\Users\[user]\AppData\Roaming\[config_folder_name], а затем выполняет приведенную ниже команду в зависимости от привилегий пользователя. Если пользователь является администратором, то команда будет выполняться с правамиHIGHEST, иначе — с правамиLIMITED.
/C chcp 65001 && ping 127.0.0.1 && schtasks /create /tn "[имя задания]" /sc MINUTE /tr "[путь к файлу в созданной папке]" /rl [права для запуска] /f && DEL /F /S /Q /A "[путь к файлу по предыдущему пути]" && START "" "[путь к файлу в созданной папке]"Инициализирует узел сети Tor на случайном порте от 2000 до 7000.
Инициализирует модуль для получения данных пользователя и отправки их на сервер.
При наличии соответствующего флага создает свои копии на внешних носителях и в автозагрузке (
C:\Users\[user]\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup) для других пользователей системы.При наличии соответствующего флага инициализирует модуль кейлогера.
При отправке данных на управляющий сервер собирает следующую информацию о системе:
страна и IP (с помощью запроса на
http://ip-api.com/line?fields=query,country);версия операционной системы;
имя пользователя;
имя устройства;
размер экрана;
название процессора;
название видеокарты;
размеры жестких дисков;
суммарный размер физической памяти;
производитель устройства;
модель устройства;
снимок экрана, закодированный в Base64;
список запущенных процессов;
установленные приложения.
Конфигурация для получения пользовательских данных содержится в файле в формате XML и содержит следующие типы данных:
относительные пути к Chromium-подобным браузерам;
относительные пути к Firefox-подобным браузерам;
маски собираемых файлов;
разделы реестра, из которых необходимо извлечь данные.
Так как стилер может закрепляться в скомпрометированной системе, атакующие могут получить персистентный доступ к ней, записывать видео с экрана, выполнять команды и загружать дополнительное ВПО.
Выводы
Теневой сегмент интернета предлагает все более качественные инструменты для реализации целевых атак, которые не только позволяют обойти традиционные средства защиты, но и предоставляют злоумышленникам все необходимые инструменты для достижения цели. Низкая цена и легкость в эксплуатации подобного ВПО влекут за собой неизбежное увеличение числа целевых атак. Для эффективной защиты от таких угроз просто внедренных средств защиты информации недостаточно, необходимо также своевременно реагировать на инциденты и расследовать их.
Как обнаружить следы White Snake
Отслеживайте сетевые коммуникации с
ip-api.comот нетипичных процессов.Обращайте внимание на создание подозрительных заданий в планировщике и добавление исполняемых файлов в автозагрузку.
Осуществляйте мониторинг создания исполняемых файлов в подпапках
C:\Users\[user]\AppData\Roaming.
YARA-правило
rule WhiteSnake {
meta:
author = "BI.ZONE CTI"
date = "13/07/2023"
strings:
$xml_struct1 = "filename"
$xml_struct2 = "filedata"
$xml_struct3 = "filesize"
$xml_struct4 = "createdDate"
$xml_struct5 = "modifiedDate"
$xml_struct6 = "commands"
$xml_struct7 = "name"
$xml_struct8 = "args"
$xml_struct9 = "Commands"
$xml_struct10 = "report"
$xml_struct11 = "files"
$xml_struct12 = "information"
$xml_struct13 = "key"
$xml_struct14 = "value"
condition:
all of ($xml_struct*)
}MITRE ATT&CK
Тактика |
Техника |
Процедура |
Initial Access |
Phishing: Spearphishing Attachment |
White Snake использует вредоносные вложения для получения первоначального доступа |
Execution |
User Execution: Malicious File |
Жертве необходимо открыть вредоносный файл, чтобы инициировать процесс компрометации |
Command and Scripting Interpreter: Windows Command Shell |
White Snake использует командную строку Windows для выполнения скриптов |
|
Native API |
White Snake использует Windows API для перехвата нажатий клавиш, создания снимков экрана и расшифровывания пользовательских данных |
|
Persistence |
Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder |
White Snake может создавать свои копии в |
Scheduled Task/Job: Scheduled Task |
White Snake создает задания в планировщике для закрепления в скомпрометированной системе |
|
Defense Evasion |
Obfuscated Files or Information |
White Snake использует шифрование строк и обфускацию имен методов |
File and Directory Permissions Modification: Windows File and Directory Permissions Modification |
Устанавливает для исполняемого файла внутри папки |
|
Obfuscated Files or Information: Binary Padding |
Размер исполняемого файла White Snake — около 1 ГБ |
|
Indicator Removal: File Deletion |
White Snake удаляет себя после запуска и копирования тела в новое расположение |
|
Virtualization/Sandbox Evasion: System Checks |
White Snake осуществляет проверки скомпрометированной системы с целью идентификации виртуальной среды |
|
Credential Access |
Credentials from Password Stores: Credentials from Web Browsers |
White Snake получает учетные данные из Chromium- и Firefox-подобных браузеров |
Credentials from Password Stores: Windows Credential Manager |
White Snake может получать данные из внутреннего хранилища паролей Windows |
|
Input Capture: Keylogging |
White Snake может перехватывать нажатия клавиш пользователем |
|
Unsecured Credentials: Credentials In Files |
White Snake может получать доступ к любым файлам, в том числе содержащим аутентификационный материал |
|
Unsecured Credentials: Credentials in Registry |
White Snake может получать доступ к любым ключам реестра, указанным в конфигурации |
|
Discovery |
System Information Discovery |
White Snake собирает информацию о скомпрометированной системе, в том числе об имени пользователя и компьютере |
Software Discovery |
White Snake собирает информацию об установленных в системе приложениях |
|
System Time Discovery |
White Snake получает информацию о текущем времени на устройстве |
|
Collection |
Archive Collected Data |
White Snake шифрует данные с помощью RSA перед отправкой на сервер |
Audio Capture |
White Snake может использовать микрофон для захвата звука |
|
Data from Local System |
White Snake может копировать файлы из скомпрометированной системы |
|
Screen Capture |
White Snake может делать снимки экрана |
|
Video Capture |
White Snake может записывать видео с помощью камеры |
|
Command and Control |
Application Layer Protocol: Web Protocols |
White Snake использует HTTP/HTTPS для передачи данных |
Encrypted Channel: Asymmetric Cryptography |
White Snake использует RSA для шифрования передаваемых данных |
|
Proxy: Multi-hop Proxy |
White Snake использует Tor для передачи данных |
|
Exfiltration |
Exfiltration Over C2 Channel |
White Snake передает собранные данные на командный сервер |
Индикаторы компрометации
5f1136c386c7fc99395b608d8db8f8cab0c0f23356f6d33730d352b12b43c234e786b4bb8a7eed06d42e37f62434d911c34c572a58a92aaf1171cbb84f864cddhxxp://167.86.115[.]218:9090hxxp://185.189.159[.]121:8001
Больше индикаторов доступно клиентам BI.ZONE ThreatVision.
Фишинговая рассылка — один из главных способов получить первоначальный доступ во время целевых атак. Чтобы защититься от нее, мы рекомендуем пользоваться специализированными решениями, которые блокируют спам и вредоносные письма. Одно из таких — BI.ZONE CESP. Если вы обнаружили признаки компрометации, сразу обратитесь к нашим экспертам, чтобы провести расследование и закрыть злоумышленникам доступ к IT-инфраструктуре до того, как они успеют причинить ущерб.
Комментарии (5)
NutsUnderline
01.08.2023 11:58White Snake использует Tor для передачи данных
А оно разве не пытаются блокировать в целевом регионе?
Заплатить за аренду можно в одной из криптовалют
Блокчены на предмет кошельков злоумышленников копали? Вроде как можно оценить прибыль от подобной деятельности.
dartraiden
01.08.2023 11:58А оно разве не пытаются блокировать в целевом регионе?
Публичные входные узлы, но нетрудно запросить мосты.
mamontovss
01.08.2023 11:58В разделе "Defense Evasion" вы написали какие методы использует вирус чтобы обходить защиту, не сильно в этом разбираюсь, но в чем заключается сложность для антивируса выявлять такую тактику защиты вредоносна на основе поведенческого анализа? ведь если такое поведение для сокрытия определено как вредоносное то вроде как новые угрозы с такой же тактикой должны легко обнаруживаться или не всё так просто? Что можно почитать на эту тему?
saboteur_kiev
Больше похоже не на новость или обзор или как уберечься, а на прямую рекламу "смотрите что мы можем, сколько это стоит и где заказать"
Shaman_RSHU
А казалось бы всего лишь надо не открывать вложения и не переходить по ссылкам из подозрительных писем