Главная » Блоги Экспертов И ИТ-Компаний » RDPPatcher продает доступ к Вашему компьютеру по низкой цене

RDPPatcher продает доступ к Вашему компьютеру по низкой цене

В последние месяцы антивирусная лаборатория PandaLabsкомпании PandaSecurityнаблюдает значительный рост вредоносных программ, которые устанавливаются с использованием RemoteDesktopProtocol (RDP). Каждый день мы видим тысячи попыток заражения с использованием вымогателей (ransomware), взламывающих системы для майнинга биткоинов и других целей. В целом все такие угрозы имеют общий подход: доступ к компьютеру через удаленный рабочий стол (RDP) после подбора регистрационных данных с помощью метода bruteforce.

Удаленный рабочий стол полезен во многих смыслах, но, к сожалению, при попадании регистрационных данных в руки злоумышленников доступ через RDPстановится для кибер-преступников грозным оружием. Мы уже говорили об RDPи шифровальщиках, особенно в корпоративных средах.

Новая обнаруженная атака использует такую же технику входа, но ее цель полностью отличается от тех атак, что мы анализировали ранее. В этот раз, после проникновения в систему, угроза фокусируется на поиске POS-терминалов и ATM. Причина для этого кроется в том, что эти терминалы достаточно просты для анонимной атаки из Интернета, а финансовая выгода от продажи украденной информации очень высока.

RDPPatcher: Продажа доступа к системе на черном рынке 

В данном случае атака типа bruteforceдлилась более двух месяцев до тех пор, пока в январе 2017 года хакеры не подобрали корректные регистрационные данные и не получили доступ к системе. После того как система была скомпрометирована, кибер-преступники попытались заразить ее вредоносной программой. Они обнаружили, что их попытки были заблокированы продуктом AdaptiveDefense. После этого они модифицировали вредоносную программу и попробовали снова, но также безуспешно. Поскольку решение расширенной информационной безопасности Pandaне основано на сигнатурах и не опирается на имеющиеся знания о вредоносной программе для ее блокировки, модификация вредоносной программы не меняет результат.

Из анализа вредоносной программы становится понятна цель атаки. Хэши двух файлов следующие:

MD5  d78be752e991ccbec16f11e4fc6b2115
SHA1  4cc9d2c98f22aefab50ee217c1a0d872e93ce541

MD5  950e8614db5c567f66d0900ad09e45ac
SHA1  9355a60dd51cfd02a921444e92e012e25d0a6be 

Оба файла были созданы в Delphiи упакованы с помощью Aspack. После их распаковки мы обнаружили, что они очень похожи между собой. Мы проанализировали самые последние из них: (950e8614db5c567f66d0900ad09e45ac).

Этот троян, обнаруживаемый как Trj/RDPPatcher. Aизменяет записи в реестре Windowsдля того, чтобы изменить тип RDP-валидации. Вотзаписи, которыеменяетсистема:

HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp /v UserAuthentication /t REG_DWORD /d 1

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp” /v UserAuthentication /t REG_DWORD /d 1

Кроме того, он удаляет следующие записи, если они присутствуют в системе:

“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System” /v legalnoticecaption /f

“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System” /v legalnoticetext /f

Впоследствии, он оставляет другой файл (MD5: 78D4E9BA8F641970162260273722C887) в папке %TEMP%. Этот файл представляет собой вариант приложения rdpwrap и он запускается через команду runas с параметрами “-is”, чтобы активировать одновременные RDP-сессии в системе.

Затем он переходит к профилю машины и получает следующую информацию о ней:

  • Имя пользователя
  • Название устройства
  • Период времени, когда устройство было включено
  • Версия операционной системы
  • Язык
  • Виртуальная машина
  • Память
  • Название процессора
  • Количество ядер процессора
  • Скорость процессора
  • Антивирус

Затем он соединяется с сервером управления (C&Cserver) для доступа к списку служб, которые измеряют скорость подключения к Интернету, а затем сохраняет  данные, связанные со скоростью входящего и исходящего соединения. Далее он проверяет, какой антивирус установлен на компьютере. Вопреки тому, что мы привыкли видеть в большинстве вредоносных атак, он не удаляет установленный антивирус и не меняет его работу. Он просто собирает данные.

Мы смогли извлечь из кода список тех процессов, поиск которых он осуществляет:
См. таблицу 1  

После этого он начинает искать различные типы программ, чтобы продолжить профилирование компьютера. В основном он ищет программы, связанные с POS, ATM и азартными онлайн-играми. Ниже приводим небольшую часть программ, которые он ищет (всего их несколько сотен):
См. таблицу 2

Он также «проходит» по истории посещений, проверяя соответствия с другим списком, представленным по категориям в зависимости от сферы интересов:
См. таблицу 3

Все эти действия необходимы для того, чтобы «пометить» компьютер в соответствии с используемым на нем ПО и посещенными веб-страницами.

После завершения процедуры сбора данных с системы, он делает запрос на сервер управления C&C. Чтобы скрыть отправку информации через веб-трафик от систем безопасности, он сперва шифрует данные с помощью AES128 с паролем “8c@mj}||v*{hGqvYUG”, который был встроен в анализируемый образец. Затемонкодируетегов base64.

Пример зашифрованного запроса.


Сервер управления C&C, используемый для данного образца вредоносной программы, расположен в Гибралтаре:

Заключение

Как мы видели, первое, что стремится сделать злоумышленник, - это провести инвентаризацию компьютера, собрав широкий спектр информации (аппаратное обеспечение, программное обеспечение, посещенные веб-страницы, скорость Интернет-соединения), и установить приложение, которое позволяет запустить несколько RDP-сессий одновременно. Здесь нет кражи данных, паролей или чего-то еще, как в других случаях.

Объяснение всему этому вполне простое: кибер-преступники, стоящие за этими атаками, продают доступ к этим взломанным компьютерам по очень низкой цене.  Имея на руках столько данных с каждой системы, они могут продавать доступ к ним другим группам злоумышленников, которые специализируются в различных сферах. Например, группам, которые специализируются на краже данных банковских карт, они могут продавать доступ к компьютерам, на которых установлено ПО для POS-терминалов, и т.д. Кибер-преступность действительно стала профессиональной деятельностью и очень выгодным рэкетом.

 

Оригиналстатьи: RDPPatcher, the Attack that Sells Access to your Computer at a Low Price

 

Panda Security вРоссии

 +7(495)105 94 51, marketing@rus.pandasecurity.com

 http://www.pandasecurity.com

 

 

 


Данный материал является частной записью члена сообщества Club.CNews.
Редакция CNews не несет ответственности за его содержание.
Комментарии
Другие публикации
RU, Екатеринбург
+7(495)1059451
Информационные технологии

С момента своего создания в 1990 году, компания Panda Security стала одним из ведущих европейским транснациональным производителем передовых решений и сервисов информационной безопасности с опциями расширенной защиты, а также инструментов управления и контроля над компьютерами и ИТ-системами. Компания последовательно придерживается духа инноваций и отмечена рядом наиболее важных достижений в своей сфере.

Компания Panda Security – это лидирующий европейский EDR-производитель со 100% европейским составом акционеров, штаб-квартирой, технологиями и облачной платформой. Ее современная и эффективная модель информационной безопасности стала визитной карточкой, которая позволила компании получить многочисленные официальные сертификаты, такие как сертификация по общим критериям Common Criteria или сертификаты Национального криптологического центра (National Cryptology Center).

Компания имеет представительства в более чем 80 странах мира, а ее продуктами, переведенными на 23 языка, пользуются миллионы клиентов во всем мире.

https://www.cloudav.ru

 

 




Забыл пароль?
Авторизоваться через
Зарегистрируйся сейчас!
Присоединяйся к нашему обществу для того чтобы познакомиться с новыми людьми, создать собственный блог, публиковать анонсы событий и объявления, а также участвовать в обсуждении публикаций CNews. Мы создали единое пространство для общения специалистов рынка информационных технологий и всех, кто интересуется современными технологиями. Регистрация =>