Следующий текст, который Proofpoint также извлек из подпольной торговой площадки и предположительно написан автором вредоносной программы, представляет собой краткое изложение функциональности загрузчика, описанное на русском языке:

Рисунок 5. Текст сообщения на андеграундном форуме, описывающего функциональность бота Buer Loader

Точно так же в рекламе перечислены функции панели управления. Автор отмечает, что модульный бот полностью написан на C, с использованием панели управления, написанной на .NET Core, с упором на более высокую производительность как на клиенте, так и на сервере за счет выбора языка программирования.

• Согласно описанию, бот имеет общую полезную нагрузку от 55 до 60 килобайт, работает как собственный исполняемый файл Windows и динамически подключаемая библиотека, полностью работает в резидентной памяти и совместим с 32-разрядными и 64-разрядными версиями Microsoft Windows. операционные системы.
• Бот обменивается данными через соединение HTTPS и может обновляться удаленно с панели управления после расшифровки, а также восстановления.
• Автор также отмечает, что загрузчик работает как суррогатный процесс доверенного приложения и функционирует с использованием привилегий уровня пользователя.
• В частности, программное обеспечение не будет работать в странах СНГ (бывших советских республиках, таких как Россия).

В объявлении описываются следующие характеристики сервера и панели управления:

• Рекламируется, что панель управления также написана на .NET Core, при этом отмечается простота установки в серверных системах Ubuntu / Debian Linux.
• Сервер предоставляет широкий спектр статистических данных, включая счетчики онлайн, живых, мертвых и общих ботов; обновление списка ботов в режиме реального времени; счетчик загрузки файлов; и возможность фильтровать системы по типу операционной системы, правам доступа установленных ботов и количеству логических процессорных ядер.
• Загруженные файлы с зараженных систем хранятся на сервере в зашифрованном виде, доступ к ним предоставляется по токену.
• Самое главное, как и сами боты, автор отмечает, что сервер не обрабатывает API-запросы, отправленные из стран-участниц СНГ.

Сообщение на форуме также содержало технические примечания к выпуску загрузчика Buer и панели управления (версия 1.1.2). Во вступлении автор отметил, что запуск загрузчика теперь состоит из трех шагов — если первые два шага не удались на зараженной системе, а инъекция в суррогатный процесс не удалась (например, из-за несовместимости с самой криптой) , вместо этого загрузчик будет выполняться в своем собственном процессе.

В примечаниях к выпуску для загрузчика указано следующее:

• Загрузчик использует архитектуру FastFlux.
• Загрузчик работает из доверенного процесса в Microsoft Windows. Процесс MemLoadEx теперь поддерживает x64 [.]exe в качестве доверенного приложения.
• MemLoad был обновлен и теперь поддерживает собственный x32 [. ]exe.

В примечаниях к выпуску указаны следующие функции панели управления:

• Доступ к API осуществляется по протоколу HTTPS с поддержкой самозаверяющих сертификатов.
• Поддержка редактирования задач в панели. Пользователь может остановить задачу во время выполнения и изменить полезную нагрузку и количество выполнений.
• Добавлена ​​возможность создания задачи по ID бота. Очень подходит для точечных нагрузок.
• Пошаговое окно создания задач.
• Уведомление, позволяющее узнать о необходимых ботах онлайн.
• Увеличена уникальность идентификатора бота.
На панель добавлено
• Метки, позволяющие сортировать ботов для последующих действий с ними.
• Отображает имя компьютера в таблице.
• Улучшена криптосовместимость.
• Добавлена ​​история ботов.
• «Панель теперь расширяется до Docker» (поддержка контейнера Docker).
  • Примечание исследователя Proofpoint: Мы предполагаем, что эта функция предназначена для упрощения интеграции с арендованными хостами Docker, упрощая установку, хотя потенциально панель/C&C может быть установлена ​​на скомпрометированном хосте Docker.
• Проверка файла на панели. Теперь панель не пропустит файл, который загрузчик не сможет скачать и уведомит об этом клиента.
• Задачи теперь можно повторять.

Наконец, автор описал следующие технические изменения для версии 1.1.9. Они заслуживают внимания, поскольку демонстрируют, что вредоносное ПО находится в активной профессиональной разработке.

• Загрузчик получил новый метод запуска External для локальных файлов. Плюсы метода – уникальность и отсутствие CreateProcess/ShellExecute через загрузчик. Запуск выдает доверенный процесс без каких-либо команд к нему.
• В панели есть возможность пометить всех ботов, выполнивших определенную задачу. Это позволит пользователю распределять полезную нагрузку на определенные группы ботов.
• Реализован API интеграции. Доступная документация на него.
• Добавлена ​​возможность отправки файла по ссылке в режиме прокси. Файл передается боту в зашифрованном виде.
• Исправлена ​​ошибка подсчета ботов по странам и добавлены другие улучшения.

Скриншоты панели управления

В подпольную рекламу были включены следующие скриншоты панели управления, на которых показаны некоторые серверные возможности, доступные клиентам, включая мониторинг телеметрии, фильтрацию хостов и многое другое.

Рисунок 6: Пользовательский интерфейс входа в панель управления для Buer Loader C&C

Рисунок 7: Экран мониторинга телеметрии бота для панели управления Buer.

Рис. 8: Экран мониторинга телеметрии ботов в темном режиме для панели управления Buer.

Рис. 9. Представление фильтра панели управления, показывающее удаленных ботов, отфильтрованных по архитектуре Microsoft Windows.

Рисунок 10. Вид панели управления с изображением управления файлами для задач загрузчика

Рисунок 11. Вид панели управления удаленных ботов, отсортированных по правам пользователя.

Рисунок 12: Вид панели управления, статус задачи

Рисунок 13: Вид панели управления, создание задачи

Анализ вредоносных программ

Buer Loader — это новая вредоносная программа-загрузчик, которая загружает и выполняет дополнительные полезные нагрузки.

Функции антианализа

Загрузчик содержит некоторые базовые функции антианализа:

• Проверяет наличие отладчиков, проверяя NtGlobalFlag в блоке среды процесса (PEB) и блоке среды потока (TEB)
• Проверяет наличие виртуальных машин с помощью Red Pill [4], No Pill [5] и связанных механизмов
• Проверяет язык, чтобы убедиться, что вредоносное ПО не работает в определенных странах (рис. 14)

Рисунок 14. Проверка вредоносного ПО, чтобы убедиться, что оно не работает в определенных странах В зависимости от версии запись реестра будет запускать вредоносное ПО напрямую или запланировать задачу для его выполнения.

Зашифрованные строки

Этот пример содержит функцию для шифрования строк.

Рисунок 15: Последовательность расшифровки строк

Следующая функция является примером того, как расшифровать зашифрованные строки в Ghidra с помощью Jython:

Рисунок 16: Последовательность расшифровки строк 909 (версия P909)

Рис. 17. Пример расшифровки строк

Вызовы Windows API

В этом примере для разрешения большинства вызовов Windows API используется алгоритм хеширования. Алгоритм хеширования гарантирует, что каждый символ имени API является заглавной буквой. Затем он поворачивает вправо (ROR) каждый символ на 13 и складывает их вместе.

Рисунок 18. Алгоритм хеширования для разрешения вызовов API Windows

Следующая функция является примером того, как Python может использоваться для разрешения вызовов API.

Рис. 19. Пример сценария Python, используемого для помощи в разрешении хэшированных вызовов Windows API

В следующей таблице содержится список некоторых выбранных хэшей и соответствующие им имена Windows API:

Таблица 1. Вызовы Windows API с выбранными хэшами

Командование и управление

Функции командования и управления (C&C) обрабатываются через запросы HTTP(S) GET. Пример командного маяка выглядит так, как показано на рисунке 20: 9.0004

Рисунок 20: Пример командного маяка

Эти запросы идут в «обновление API» и содержат зашифрованный параметр. Этот параметр можно расшифровать:

1. Декодирование Base64
2. Шестнадцатеричный код
3. Расшифровка RC4 (в проанализированных образцах использовался ключ «CRYPTO_KEY»)

Пример параметра открытого текста:

88a5e68a2047fa5ebdc095a8500d8fae565a6b225ce94956e194b4a0e8a515ae|ab21d61b35a8d1dc45ffb09cc4cc4c31b8c00de3ffaaa17ce1ad15e876dbd1f|Windows 7|x64|4|Admin|RFEZOWGZPBYYOI

Содержит данные, разделенные вертикальной чертой, состоящие из: , серийный номер тома и CPUID)

Пример ответа маяка команды показан на рисунке 21:

Рисунок 21: Пример ответа маяка команды

Его можно расшифровать аналогично параметру запроса выше, за исключением того, что байты в шестнадцатеричном коде разделены тире персонажи. Пример открытого текста ответа показан на Рисунке 22:

Рисунок 22. Незашифрованный ответ команды маяка

Расшифрованный текст представляет собой объект JSON, содержащий различные параметры загрузки и выполнения полезной нагрузки: 9Тип 0004

• – бывает двух типов:
  • обновление – самообновление
  • download_and_exec — загрузить и выполнить
• options — указывает параметры полезной нагрузки для загрузки:
  • Хэш — применим только к типу «обновление», чтобы определить, доступно ли новое обновление
  • x64 — является ли полезная нагрузка 64-битной
  • FileType – не используется в анализируемых образцах
  • AssemblyType – не используется в анализируемых образцах
  • AccessToken — используется для загрузки полезной нагрузки (см. ниже)
  • Внешний — указывает, загружается ли полезная нагрузка с C&C или внешнего URL-адреса
Метод
• – способ исполнения:
  • exlocal — создать процесс
  • memload — внедрить и вручную загрузить полезную нагрузку
  • memloadex – вводить и вручную загружать полезную нагрузку
  • loaddllmem — внедрить и вручную загрузить полезную нагрузку
• параметров – параметры для передачи в командной строке
• pathToDrop – не используется в анализируемых образцах
• автозапуск — указывает, следует ли настраивать постоянство Registry RunOnce для полезной нагрузки
. Модули
• — см. раздел «Модули» ниже
• тайм-аут – не используется в анализируемых образцах

Полезные данные, загружаемые с C&C-сервера, выполняются через запросы к «API загрузки» , как показано на рисунке 23:

ниже:

88A5E68A2047FA5EBDC095A8500D8FAE565A6B225CE94956E194B4A0E8A515AE | 58007044-67D4-4963-9F5F-400DFBC69E74 9013.9013. 9013. 9013. 9013. 9013. 9013. 9013. 9013. 9013. 9013. 9013. 9013. Если полезная нагрузка загружается с C&C, она шифруется с помощью RC4. В проанализированных образцах ключ был «CRYPTO_KEY».

Модули

Ответ командного маяка содержит список «модулей». Исследователи Proofpoint еще не наблюдали, чтобы модули Buer использовались в дикой природе, но, судя по коду, этот список будет содержать токены доступа к модулям. Имя файла модуля запрашивается путем отправки AccessToken на «API модуля» C&C. Затем модуль будет загружен с использованием «downloadmodule API». После загрузки и расшифровки он загружается с использованием метода «loaddllmem» .

Заключение

Новый загрузчик, Buer, недавно появился в различных кампаниях через вредоносную рекламу, ведущую к наборам эксплойтов; в качестве вторичной полезной нагрузки через Остап; и в качестве основной полезной нагрузки для загрузки вредоносных программ, таких как банковский троян The Trick.

Новый загрузчик имеет надежные функции геотаргетинга, системного профилирования и антианализа и в настоящее время продается на подпольных форумах с дополнительными услугами по настройке. Русскоязычный автор(ы) активно развивает загрузчик со сложными панелями управления и богатым набором функций, что делает вредоносное ПО конкурентоспособным на подпольных рынках.

Загрузчик написан на C, а панель управления написана на ядре .NET, что указывает на оптимизацию производительности и небольшой объем загрузки, а также на возможность простой установки панели управления на серверах Linux — встроенная поддержка Docker контейнеры будут способствовать его распространению на арендованных хостах, используемых для злонамеренных целей, а также, возможно, на скомпрометированных хостах. Последняя возможность включена в рекламируемые функции и примечания к выпуску.

Ссылки

[1] https://twitter.com/malware_traffic/status/11824568

259652

[2] https://www.cert.pl/en/news/single/ostap-malware-analysis-backswap-dropper/

[3] https://www.proofpoint.com/us/threat-insight/post/ostap-bender-400-ways-make-population-part-with-their-money

[4] https:// www.aldeid.com/wiki/X86-assembly/Instructions/sidt

[5] https://www.aldeid.com/wiki/X86-assembly/Instructions/sldt

Индикаторы компрометации (IOC)