В последние месяцы антивирусная лаборатория PandaLabs компании Panda Security наблюдает значительный рост вредоносных программ, которые устанавливаются с использованием Remote Desktop Protocol (RDP). Каждый день мы видим тысячи попыток заражения с использованием вымогателей (ransomware), взламывающих системы для майнинга биткоинов и других целей. В целом все такие угрозы имеют общий подход: доступ к компьютеру через удаленный рабочий стол (RDP) после подбора регистрационных данных с помощью метода brute force.

Новая обнаруженная атака использует такую же технику входа, но ее цель полностью отличается от тех атак, что мы анализировали ранее. В этот раз, после проникновения в систему, угроза фокусируется на поиске POS-терминалов и ATM. Причина для этого кроется в том, что эти терминалы достаточно просты для анонимной атаки из Интернета, а финансовая выгода от продажи украденной информации очень высока.

RDPPatcher: продажа доступа к системе на черном рынке


В данном случае атака типа brute force длилась более двух месяцев до тех пор, пока в январе 2017 года хакеры не подобрали корректные регистрационные данные и не получили доступ к системе. После того как система была скомпрометирована, кибер-преступники попытались заразить ее вредоносной программой. Они обнаружили, что их попытки были заблокированы продуктом Adaptive Defense. После этого они модифицировали вредоносную программу и попробовали снова, но также безуспешно. Поскольку решение расширенной информационной безопасности Panda не основано на сигнатурах и не опирается на имеющиеся знания о вредоносной программе для ее блокировки, модификация вредоносной программы не меняет результат.

Из анализа вредоносной программы становится понятна цель атаки. Хэши двух файлов следующие:

MD5 d78be752e991ccbec16f11e4fc6b2115
SHA1 4cc9d2c98f22aefab50ee217c1a0d872e93ce541

MD5 950e8614db5c567f66d0900ad09e45ac
SHA1 9355a60dd51cfd02a921444e92e012e25d0a6be

Оба файла были созданы в Delphi и упакованы с помощью Aspack. После их распаковки мы обнаружили, что они очень похожи между собой. Мы проанализировали самые последние из них: (950e8614db5c567f66d0900ad09e45ac).

Этот троян, обнаруживаемый как Trj/RDPPatcher. A изменяет записи в реестре Windows для того, чтобы изменить тип RDP-валидации. Вот записи, которые меняет система:

HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp /v UserAuthentication /t REG_DWORD /d 1

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp” /v UserAuthentication /t REG_DWORD /d 1

Кроме того, он удаляет следующие записи, если они присутствуют в системе:

“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System” /v legalnoticecaption /f

“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System” /v legalnoticetext /f

Впоследствии, он оставляет другой файл (MD5: 78D4E9BA8F641970162260273722C887) в папке %TEMP%. Этот файл представляет собой вариант приложения rdpwrap и он запускается через команду runas с параметрами “-i –s”, чтобы активировать одновременные RDP-сессии в системе.

Затем он переходит к профилю машины и получает следующую информацию о ней:

• Имя пользователя
• Название устройства
• Период времени, когда устройство было включено
• Версия операционной системы
• Язык
• Виртуальная машина
• Память
• Название процессора
• Количество ядер процессора
• Скорость процессора

Затем он соединяется с сервером управления (C&C server) для доступа к списку служб, которые измеряют скорость подключения к Интернету, а затем сохраняет данные, связанные со скоростью входящего и исходящего соединения. Далее он проверяет, какой антивирус установлен на компьютере. Вопреки тому, что мы привыкли видеть в большинстве вредоносных атак, он не удаляет установленный антивирус и не меняет его работу. Он просто собирает данные.

Мы смогли извлечь из кода список тех процессов, поиск которых он осуществляет:

См. таблицу 1

После этого он начинает искать различные типы программ, чтобы продолжить профилирование компьютера. В основном он ищет программы, связанные с POS, ATM и азартными онлайн-играми. Ниже приводим небольшую часть программ, которые он ищет (всего их несколько сотен):

См. таблицу 2

Он также «проходит» по истории посещений, проверяя соответствия с другим списком, представленным по категориям в зависимости от сферы интересов:

См. таблицу 3

Все эти действия необходимы для того, чтобы «пометить» компьютер в соответствии с используемым на нем ПО и посещенными веб-страницами.

После завершения процедуры сбора данных с системы, он делает запрос на сервер управления C&C. Чтобы скрыть отправку информации через веб-трафик от систем безопасности, он сперва шифрует данные с помощью AES128 с паролем “8c@mj}||v*{hGqvYUG”, который был встроен в анализируемый образец. Затем он кодирует его в base64


Пример зашифрованного запроса.

Сервер управления C&C, используемый для данного образца вредоносной программы, расположен в Гибралтаре:



Заключение


Как мы видели, первое, что стремится сделать злоумышленник, — это провести инвентаризацию компьютера, собрав широкий спектр информации (аппаратное обеспечение, программное обеспечение, посещенные веб-страницы, скорость Интернет-соединения), и установить приложение, которое позволяет запустить несколько RDP-сессий одновременно. Здесь нет кражи данных, паролей или чего-то еще, как в других случаях.

Объяснение всему этому вполне простое: кибер-преступники, стоящие за этими атаками, продают доступ к этим взломанным компьютерам по очень низкой цене. Имея на руках столько данных с каждой системы, они могут продавать доступ к ним другим группам злоумышленников, которые специализируются в различных сферах. Например, группам, которые специализируются на краже данных банковских карт, они могут продавать доступ к компьютерам, на которых установлено ПО для POS-терминалов, и т.д. Кибер-преступность действительно стала профессиональной деятельностью и очень выгодным рэкетом.
Поделиться с друзьями
-->

Комментарии (25)


  1. rockin
    16.02.2017 21:02

    Если рдп торчит наружу, старайтесь всегда ставить нестандартный порт, причём, выше 60000

    Просто по опыту могу сказать, стандартный порт будут долбить постоянно
    Если он в пределах 20000, иногда будут заходить
    Если выше — вероятность крайне низкая


    1. JerleShannara
      16.02.2017 21:20
      +1

      Это как с ssh. Достаточно вывесить сервер в интернет, как через 1-2 минуты в логах уже посыпет всякое «login failed»


      1. capt_Rimmer
        17.02.2017 00:18

        Я даже ради спортивного интереса на неделю оставил с логированием пустышку ssh — из 300+ хостов большинство было из Китая и США :) потом, конечно, добавил всех дружно в блэклист и закрыл порт… и если необходимо, то fail2ban хорошо настроенный таких товарищей может на месяца банить за 3 неправильно введёных пароля.


        1. JerleShannara
          17.02.2017 03:55

          Попробуйте вставить в ответке nmap на список прокси и vpn портов, получится забавная штучка.


      1. mayorovp
        17.02.2017 08:48

        Ничего подобного. Мой сервер висит уже третий год, зайти на него по ssh хакеры пытались лишь 1 раз. Кто-то неизвестный по-брутил несуществующий пароль три дня и свалил.


        1. rockin
          17.02.2017 09:37

          Всё зависит от того, где «мой сервер» находится, в каком диапазоне.

          Если он будет у OVH, допустим, то доберутся и до «верхних» портов
          Если он будет у маленьких датацентров, то затронут только стандартные (вот так у меня и происходит, дц отечественный)
          Если же он всего ли на статическом домашнем айпи, то… кому вы нужны.

          Конечно, это всё лирика. И для более-менее серьёзных проектов нужен просто белый список в файере. Если даже кому-то захочется поадминить мобильно, не беда — впн на работу и с того айпи уже можно.


          1. mayorovp
            17.02.2017 09:48

            Белый список в файерволе — это лучший способ случайно потерять свой сервер из-за внезапной смены провайдера.


            Если речь идет о ssh — достаточно отключить авторизацию по паролю.


            1. capt_Rimmer
              17.02.2017 10:51

              И дождаться, когда вы прозеваете 0day для вашего ssh сервера…


              1. mayorovp
                17.02.2017 11:36

                С тем же успехом можно прозевать 0day в файерволе!


                1. capt_Rimmer
                  17.02.2017 12:37

                  Да ладно. Ничего, что сетевые уровни разные?


                  1. mayorovp
                    17.02.2017 14:33

                    А как это помешает прозевать 0day?


                    1. capt_Rimmer
                      17.02.2017 17:25

                      Наверно то, что пакетные фильтры работают не с прикладным уровнем. Ок. Скажу иначе: за 17 лет уязвимых фаерволов я видел единицы, чего не скажу про ssh сервера.


                      1. mayorovp
                        19.02.2017 12:17

                        Можете вспомнить уязвимость ssh сервера, которая бы позволяла обходить вход только по ключам?


                        1. capt_Rimmer
                          19.02.2017 15:05

                          http://resources.infosecinstitute.com/practical-shellshock-exploitation-part-2/


                          1. mayorovp
                            19.02.2017 15:18

                            Это — уязвимость bash, а не ssh сервера. И она позволяла обходить предопределенный список команд, а не вход по ключам.


                            1. capt_Rimmer
                              19.02.2017 15:42
                              +1

                              Я бы себе даже минус за такую ссылку влепил. Тут вы правы — нет пока публичных уязвимостей при авторизации по ключам.


          1. the_vitas
            17.02.2017 10:12

            Если же он всего ли на статическом домашнем айпи, то… кому вы нужны.

            Пять лет дома белый IP, и все эти годы не прекращают долбиться на SSH. Действительно кому я нужен…


            1. Barafu
              19.02.2017 01:35

              У нашего провайдера скрипт долбит всех клиентов на тему стандартных паролей на роутеры. Может быть, и по SSH тоже. Если найдёт, то позвонят клиенту и посоветуют перенастроить. Может, у вашего то же самое есть.


          1. STingerOid
            17.02.2017 10:43

            Ну вот у меня дома сервачок «на статическом домашнем айпи» со стандартным портом, но почему-то ломятся постоянно с момента его установки (2012), хотя на нем нет ресурсов, известных широкому кругу лиц.
            Я на нем тупо авторизацию по паролю отключил, а то вдруг подберут)


          1. grumbler66rus
            21.02.2017 10:32

            Если же он всего ли на статическом домашнем айпи, то… кому вы нужны.


            FYI: 22 порт боты брутфорсят на любом IP, все хосты в моём подчинении свидетельствуют об этом.
            Гораздо реже, но тоже встречаются попытки брутфорса на портах 122 и 222.
            Порты 322, 422 и далее не брутфорсят. Редко-редко по ним проходит чей-нибудь nmap.


    1. avelor
      17.02.2017 08:08

      Если рдп торчит наружу

      то даже с высокими портами ломятся, хоть и реже. без fail2ban никуда (ts_block, evlwatcher, или свои скрипты).


  1. XogN
    16.02.2017 21:30
    +1

    По возможности, лучше ограничить доступ в файрволе к этому порту, разрешив подключение только конкретным подсетям или ip адресам.


  1. delphersf
    16.02.2017 22:32
    +1

    А кто-нибудь знает, сам rdpwrap безопасен?


  1. SchmeL
    17.02.2017 12:39
    +1

    Сервер управления C&C, используемый для данного образца вредоносной программы, расположен в Гибралтаре:

    Сергей Дружко
    image


    1. PandaSecurityRus
      20.02.2017 11:55

      Сервер управления C&C, используемый для данного образца вредоносной программы, расположен в Гибралтаре: Сильное заявление, проверять я его конечно не буду

      Что смутило в данном высказывании?
      Гибралтар — это заморская территория Великобритании.