FinCERT, структурное подразделение ЦБ по информбезопасности, в своем свежем отчете назвал группу Cobalt главной угрозой для банков, а ее атаки — основным трендом. Cobalt, действительно, сейчас одна из самых активных и агрессивных преступных групп. За год — подсчитали эксперты — она совершила не менее 50 успешных атак по всему миру, постоянно тестируя новые инструменты, изменяя векторы атак и цели. Помимо бесконтактных атак на банкоматы, Cobalt старается получить доступ к системам межбанковских переводов (SWIFT), платежным шлюзам и карточному процессингу. В этой статье мы покажем, почему традиционные средства защиты не могут спасти от хакерских атак подобных групп. И что делать, чтобы защитить свой бизнес от финансовых и репутационных потерь.
Текст: Андрей Зосимов, вирусный аналитик.
14 ноября 2017 года специалисты из компании Embedi опубликовали технический отчет об уязвимости CVE-2017-11882, а также продемонстрировали ее в различных версиях продуктов Microsoft Office. Эта уязвимость позволяет выполнять произвольный код, а также загружать исполняемые файлы и запускать их на исполнение. Она существует еще с 2000 года – как раз тогда был создан уязвимый элемент Microsoft Equation, а точнее – «EQNEDT32.EXE». Данный элемент позволяет внедрять математические формулы в документы Office при помощи технологии OLE. С выходом Office 2007 этот компонент обновился, но поддержка старой версии осталась для совместимости со старыми документами. А значит уязвимость существовала целых 17 лет.
Сама CVE была зарегистрирована еще 31 июля 2017 года, а через несколько дней специалисты из Embedi сообщили о ней в Microsoft. Финальный патч от Microsoft выпустили только 14 ноября 2017 года.
Три дня назад, 21 ноября, в публичном GitHub репозитории Embedi был опубликован Proof of Concept этой уязвимости (https://github.com/embedi/CVE-2017-11882), а также python-скрипт, который позволяет создать собственный уязвимый «.rtf» документ.
Уже спустя несколько часов хакерская группировка Cobalt начала массированную рассылку фишинговых писем по финансовым учреждениям, содержащих во вложении уязвимый документ, который не детектируется антивирусными решениями:
В рассылке распространялся вредоносный документ с названием «Изменения правил осуществления переводов.rtf» (MD5 F360D41A0B42B129F7F0C29F98381416, 31811 байт)
Домен «cards-cbr.ru», с которого было отправлено это письмо, был зарегистрирован в день рассылки — 2017-11-21. Он имеет IP-адрес «104.254.99.77».
Так же распространялось следующее письмо с пустым содержанием.
Технические заголовки письма:
Как мы видим, антивирусное решение пропустило вредоносное письмо. В результате вредоносное вложение попало к сотруднику банка.
Наша система TDS Polygon успешно обнаружила атаку, выдав вердикт в 92%, и сотрудник CERT Group-IB оповестил клиента о ситуации:
Обнаруженный вредоносный документ (MD5 F360D41A0B42B129F7F0C29F98381416) был загружен на Virustotal 2017-11-21 13:27:59 (UTC) и на тот момент детектировался лишь антивирусом «Rising» как «Exploit.CVE-2017-11882.Gen!1.AED3 (CLASSIC)». Он содержал следующую команду, которую исполнял:
Судя по структуре файла, он явно был построен при помощи опубликованного Python-скрипта. Спустя несколько часов и другие антивирусные решения начали определять файл как вредоносный, но злоумышленники отреагировали незамедлительно. Они тут же переделали эксплоит так, что он снова перестал детектироваться многими популярными антивирусами (MD5 8993F927BEAF8DAA02BB792C86C2B5E0):
Доменное имя swift-alliance.com было создано и зарегистрировано другими лицами 2016-08-24, но 2017-08-24 у него истек срок регистрации, преступники группы Cobalt отследили этот факт и зарегистрировали это доменное имя 21.11.2017. Сейчас доменное имя «swift-alliance.com» имеет связь по IP-адресу с доменом «cards-cbr.ru», участвавшим в предыдущей рассылке. На данный момент (22.11.2017) все эти домены имеют IP-адрес 139.59.89.20, а ранее 21.11.2017 имели IP-адрес 104.254.99.67:
В обоих действовала одна и та же группировка — нагрузка загружалась с IP-адреса «138.68.234.128», которая распространяет Cobalt-Strike. Во втором случае загружался исполняемый файл HTA, который исполнялся через программу mshta.exe:
Загружаемый файл содержит обфусцированный JS, который в результате выполняет закодированный Powershell-скрипт:
В результате выполнения этого кода загружается PS скрипт с удаленного хостинга «http://104.254.99.77/out.ps1», который потом исполняется. Загруженный Powershell содержит два закодированных Cobalt Beacon'a, которые запускаются в соответствии с разрядностью ОС.
Измененный документ не так сильно отличается от первоначального, однако различия все же есть. Во-первых, были изменены заголовки RTF-документа:
Как видно, из заголовка объекта было вырезано ключевое слово «objclass», которое является опциональным:
В название объекта было заменено с «Equation.3» на «1NYMiqIGRD». Так же, в первоначальном варианте шеллкод в конце заполнялся буквами «A», тогда как в переделанном эксплоите оставшееся место заполняется пробелами:
Сигнатуры (помечены красным) до и после шеллкода не изменены. По сути основные изменения претерпели заголовки RTF-документа и встроенного объекта, в том числе и в конце:
Здесь злоумышленники просто изменили параметры изображения и добавили некоторые свои, которые по сути ни на что не влияют:
«picwgoal» и «pichgoal» — отвечают за ширину и высоту рисунка в twips
«picw» и «pich» — отвечают за ширину и и высоту рисунка в пикселях
«picscale» — масштабирование изображения.
Каким мог быть выход из этой ситуации? Threat Intelligence дает возможность быть в курсе атак, проводимых хакерскими группами, а также иметь в своем распоряжении системы анализа трафика и песочницы, которые будут выносить вердикт вредоносным файлам не на основе сигнатур, а с помощью поведенческого анализа и наработанной базы знаний по характерному поведению той или иной хакерской группировки.
Полную версию читайте на блоге Group-IB
Текст: Андрей Зосимов, вирусный аналитик.
14 ноября 2017 года специалисты из компании Embedi опубликовали технический отчет об уязвимости CVE-2017-11882, а также продемонстрировали ее в различных версиях продуктов Microsoft Office. Эта уязвимость позволяет выполнять произвольный код, а также загружать исполняемые файлы и запускать их на исполнение. Она существует еще с 2000 года – как раз тогда был создан уязвимый элемент Microsoft Equation, а точнее – «EQNEDT32.EXE». Данный элемент позволяет внедрять математические формулы в документы Office при помощи технологии OLE. С выходом Office 2007 этот компонент обновился, но поддержка старой версии осталась для совместимости со старыми документами. А значит уязвимость существовала целых 17 лет.
Сама CVE была зарегистрирована еще 31 июля 2017 года, а через несколько дней специалисты из Embedi сообщили о ней в Microsoft. Финальный патч от Microsoft выпустили только 14 ноября 2017 года.
Три дня назад, 21 ноября, в публичном GitHub репозитории Embedi был опубликован Proof of Concept этой уязвимости (https://github.com/embedi/CVE-2017-11882), а также python-скрипт, который позволяет создать собственный уязвимый «.rtf» документ.
Первая активность
Уже спустя несколько часов хакерская группировка Cobalt начала массированную рассылку фишинговых писем по финансовым учреждениям, содержащих во вложении уязвимый документ, который не детектируется антивирусными решениями:
В рассылке распространялся вредоносный документ с названием «Изменения правил осуществления переводов.rtf» (MD5 F360D41A0B42B129F7F0C29F98381416, 31811 байт)
Домен «cards-cbr.ru», с которого было отправлено это письмо, был зарегистрирован в день рассылки — 2017-11-21. Он имеет IP-адрес «104.254.99.77».
Так же распространялось следующее письмо с пустым содержанием.
Технические заголовки письма:
Как мы видим, антивирусное решение пропустило вредоносное письмо. В результате вредоносное вложение попало к сотруднику банка.
Наша система TDS Polygon успешно обнаружила атаку, выдав вердикт в 92%, и сотрудник CERT Group-IB оповестил клиента о ситуации:
Обнаруженный вредоносный документ (MD5 F360D41A0B42B129F7F0C29F98381416) был загружен на Virustotal 2017-11-21 13:27:59 (UTC) и на тот момент детектировался лишь антивирусом «Rising» как «Exploit.CVE-2017-11882.Gen!1.AED3 (CLASSIC)». Он содержал следующую команду, которую исполнял:
Судя по структуре файла, он явно был построен при помощи опубликованного Python-скрипта. Спустя несколько часов и другие антивирусные решения начали определять файл как вредоносный, но злоумышленники отреагировали незамедлительно. Они тут же переделали эксплоит так, что он снова перестал детектироваться многими популярными антивирусами (MD5 8993F927BEAF8DAA02BB792C86C2B5E0):
Доменное имя swift-alliance.com было создано и зарегистрировано другими лицами 2016-08-24, но 2017-08-24 у него истек срок регистрации, преступники группы Cobalt отследили этот факт и зарегистрировали это доменное имя 21.11.2017. Сейчас доменное имя «swift-alliance.com» имеет связь по IP-адресу с доменом «cards-cbr.ru», участвавшим в предыдущей рассылке. На данный момент (22.11.2017) все эти домены имеют IP-адрес 139.59.89.20, а ранее 21.11.2017 имели IP-адрес 104.254.99.67:
В обоих действовала одна и та же группировка — нагрузка загружалась с IP-адреса «138.68.234.128», которая распространяет Cobalt-Strike. Во втором случае загружался исполняемый файл HTA, который исполнялся через программу mshta.exe:
Загружаемый файл содержит обфусцированный JS, который в результате выполняет закодированный Powershell-скрипт:
В результате выполнения этого кода загружается PS скрипт с удаленного хостинга «http://104.254.99.77/out.ps1», который потом исполняется. Загруженный Powershell содержит два закодированных Cobalt Beacon'a, которые запускаются в соответствии с разрядностью ОС.
Изменения
Измененный документ не так сильно отличается от первоначального, однако различия все же есть. Во-первых, были изменены заголовки RTF-документа:
Как видно, из заголовка объекта было вырезано ключевое слово «objclass», которое является опциональным:
В название объекта было заменено с «Equation.3» на «1NYMiqIGRD». Так же, в первоначальном варианте шеллкод в конце заполнялся буквами «A», тогда как в переделанном эксплоите оставшееся место заполняется пробелами:
Сигнатуры (помечены красным) до и после шеллкода не изменены. По сути основные изменения претерпели заголовки RTF-документа и встроенного объекта, в том числе и в конце:
Здесь злоумышленники просто изменили параметры изображения и добавили некоторые свои, которые по сути ни на что не влияют:
«picwgoal» и «pichgoal» — отвечают за ширину и высоту рисунка в twips
«picw» и «pich» — отвечают за ширину и и высоту рисунка в пикселях
«picscale» — масштабирование изображения.
И вот вывод: достаточно было незначительно поменять документ и антивирусные решения оказываются бессильными перед такой атакой.
Каким мог быть выход из этой ситуации? Threat Intelligence дает возможность быть в курсе атак, проводимых хакерскими группами, а также иметь в своем распоряжении системы анализа трафика и песочницы, которые будут выносить вердикт вредоносным файлам не на основе сигнатур, а с помощью поведенческого анализа и наработанной базы знаний по характерному поведению той или иной хакерской группировки.
Полную версию читайте на блоге Group-IB
gonchik
Подскажите, пожалуйста, то есть антивирусные компании не обладают подобными арсеналом обнаружения получается? Я не совсем понял превосходство
EditorGIB Автор
Андрей Зосимов: «Антивирусы используют сигнатурный и эвристические методы обнаружения вредоносных файлов. С сигнатурным вроде как всё понятно — злоумышленники изменили документ, пусть и незначительно, и этого хватило. В этом, как мне кажется, их главная ошибка здесь, необходимо было изучить уязвимость и правильно написать сигнатуру. Другой, эвристический, разделяется на два — статический и динамический. Статический анализ тут осуществить довольно проблематично, так как сам по себе документ не является исполняемым, поэтому сложно определить к чему в конечном итоге приведет запуск файла. Остается динамический — но тут, как я полагаю, антивирусы не умеют исполнять документы ввиду некоторых особенностей своей песочницы.
Получается, что их единственной возможностью (в данном случае) является сигнатуный анализ, который не справился со своей задачей. Я думаю, что Ваш вопрос не совсем корректен — нельзя сравнивать нашу собственную железку с обычным антивирусным решением, которое разрабатывается под среднестатистические компьютеры с большими ограничениями в ресурсах.С другой стороны, возможно, антивирусное решение могло бы обнаружить подозрительное поведение при запуске документа, я не проверял.
Кстати, существует эксплоит, который перед запуском нагрузки предварительно эскалирует привилегии до system. Вряд ли антивирус сумеет такой файл блокировать уже в момент работы».