Office i wirusy: polowanie na botnet (Część II)

Office i wirusy: polowanie na botnet (Część II)13.05.2022 17:23
Polowanie na botnet
Kamil Dudek

Wirusy propagowane przez dokumenty Office wciąż korzystają z bardzo starych dziur w pakiecie. Stoi to w opozycji do rosnącej złożoności przestępczej infrastruktury, z którą łączą się gdy zostaną skutecznie uruchomione. Staje się ona bowiem niemal profesjonalna.

Pobrana z Pastebina druga część wirusa łączy się z dedykowanym serwerem, produkującym wirusy na zamówienie! I tym razem nie jest to byle statyczny link, oddzielny dla kampanii: skrypt wykonuje zapytanie POST za pomocą obecnego na serwerze przestępców REST API, wysyłając do niego dane telemetryczne z zainfekowanego komputera. Są one następujące:

  • UUID komputera (każdy komputer z Windows generuje swój unikatowy identyfikator na podstawie sprzętu, do celów wszelakich)
  • Nazwa komputera
  • Nazwa systemu operacyjnego
  • Język
  • Domena lub grupa robocza
  • Oprogramowanie antywirusowe
  • Procesor
  • Karta graficzna

To niezwykle zaawansowana infrastruktura jak na zwykły malware. Przesyłanie tak rozbudowanych informacji może mieć kilka powodów:

  • Wykrywanie maszyny wirtualnej: jeżeli wirus jest badany przez automatyczny analizator lub eksperta w VM, UUID i model karty graficznej zdradzą, że wirus nie pracuje na prawdziwym komputerze i API nie zaserwuje prawdziwego ciągu dalszego wirusa
  • Wykrywanie zgodności: skrypt PowerShell 5.1 lub aplikacja .NET 4.8 wywalą się brzydko, zdradzając swoją obecność, na systemach starszych niż Windows 10. Przestępcy chcą uniknąć dowodów wizualnych na trwającą infekcję
  • Wykrywanie obecności w firmie: jeżeli grupą roboczą nie jest WORKGROUP, komputer znajduje się w sieci i firmowej i przestępcy mogą zaserwować wirusa "w wersji dla firm". Zamiast kraść hasła do banku, zaszyfruje pliki w sieci lokalnej i zażąda okupu
  • Wykrywanie skutecznego antywirusa: gdy przestępcy wiedzą już, że ich wirus jest wykrywany przez AV zainstalowany u ofiary, nie podrzucą mu szkodnika i skupią się na atakowaniu tych, których antywirusy są jeszcze ślepe na zagrożenie

Wreszcie, atak może być o wiele bardziej ukierunkowany. Być można bardzo szeroka kampania tak naprawdę wycelowana jest tylko w kilka/kilkanaście konkretnych komputerów, o znanych UUID i gdzie indziej nie zrobi nic?

Malware jako usługa

Trudno orzec, czy wspomniany serwer steruje aż tak kierowaną kampanią, faktem jest jednak, że jest bardziej rozbudowany niż te, które zazwyczaj spotykamy w kampaniach mailowych "na załącznik". Poza REST API, serwer wyprowadza także interaktywne strony WWW z panelem logowania. Wygląda to tak, jakby nabywca złośliwej kampanii mógł się zalogować aby zobaczyć jej skuteczność i wprowadzić nowe polecenia dla utworzonego botnetu. Malware-jako-usługa. Serwer nie miał nazwy domenowej, łączność z nim następuje po IP, choć ten pierwszy już miał wpis DNS.

WHOIS
WHOIS

Rekord wskazywał na domenę w mało renomowanym, za to tanim, TLD o końcówce ".xyz". Rekord ten nie uległ w Polsce pełnej propagacji na lokalne DNS-y dostawców. Całkiem możliwe, że wynika to bardzo niskiej reputacji, jaką ma registrar, u którego dokonano zakupu domeny. W dodatku jego kraj pochodzenia (łatwo zgadnąć, który) każe podejrzewać, że zgłaszanie nadużyć na adres Abuse może nie spotkać się ze szczególnie solidarną reakcją.

Defender: antywirus Windowsa. Jak skonfigurować reguły zmniejszania obszaru ataków

API REST-owe niniejszego złośliwego serwera odpowie tylko wtedy, gdy UUID jest poprawne składniowo. W przeciwnym wypadku odpowie pustym JSON-em ({}). Opowiedź, wykonywana od razu jako skrypt PowerShell, pobiera kolejny srogo zaciemniony skrypt PowerShell z Pastebina, stosujący dokładnie taką samą sztuczkę z chorymi nazwami zmiennych, co poprzedni.

Kolejny skrypt

Odkręcony, okazuje się komunikować z systemowym Harmonogramem Zadań i pobierać kolejny plik HTA, w postaci pliku 1.txt, z jeszcze innego adresu.

Jeżeli skrypt wykryje pracę jako administrator, zarejestruje zadanie dla wszystkich użytkowników i nada mu najwyższe uprawnienia. W przeciwnym razie zarejestruje uruchamiane co godzinę zadanie wykonujące plik HTA. Co w nim siedzi?

Słabo z detekcją, Źródło zdjęć: © VirusTotal
Słabo z detekcją
Źródło zdjęć: © VirusTotal

Otóż, jest to z powrotem ten sam skrypt pobierający pierwszego Pastebina. Ścieżka jest ustawiona na sztywno, a zadanie uruchamiane co godzinę, co może oznaczać, że w pewnym momencie plik 1.txt zostałby podmieniony na właściwy ciąg dalszy kampanii. Dziś już się tego nie dowiemy, ponieważ serwer ten, poza plikiem 1.txt serwujący także tysiące(!) innych złośliwych plików DOC dziś już nie odpowiada.

Tymczasem oprogramowanie antywirusowe w międzyczasie nie zdążyło nauczyć się wykrywać owego zagrożenia. Znowu. Stanowi to kolejny element bardzo długiego ciągu rozczarowań tą kategorią ochrony. Jak więc się zabezpieczyć? Tym razem wyłączenie makr nic nie da, bo wirusa nie uruchomiło makro. Zablokowanie MSHTA na zaporze także nie pomoże, ponieważ za łączność odpowiada WSH/IEFrame/PowerShell.

Co robić?

Najprostsze rozwiązanie to po prostu… zaktualizować pakiet Office. I tyle. Uchroni nas to przed dawno załatanymi dziurami. Aby otrzymać ochronę przed tymi przyszłymi, wskazane jest włączenie reguły redukcyjnej 26190899-1602-49e8-8b27-eb1d0a1ce869. Zapobiega ona tworzeniu procesów potomnych przez Office. O regułach redukcyjnych pisaliśmy przy okazji serii o Defenderze. Microsoft jednak często zmienia zdanie w kwestii tego, czy reguły redukcyjne ASR są w ogóle obsługiwane w wersjach konsumenckich.

Kamil J. Dudek, współpracownik redakcji dobreprogramy.pl

© dobreprogramy·Redakcja·Regulamin·Polityka prywatności·Reklama·Kontakt
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.

Przejdź na