книги хакеры / журнал хакер / 206_Optimized

Как выяснилось, злоумышленники использовали ставшую уже классической атаку типа «спирфишинг»: преступники рассылали на почтовые адреса сотрудников банка специально подготовленные электронные письма с прикрепленным файлом, содержащим вредоносный код. Анализ файла позволил опознать бэкдор, также известный как Adwind RAT.

MALWARE-AS-A-SERVICE КАК ЧАСТЬ CRIME-AS-A-SERVICE

Злоумышленники, преуспевшие в той или иной нише киберпреступности, нередко предлагают свои услуги другим злоумышленникам. Так рождаются CaaS в целом и MaaS в частности. Этим путем пошли и разработчики Adwind, которые реализовали модель подписки на пользование этим бэкдором. Злоумышленникам, не обладающим квалификацией в построении бот-сетей, рассылке вредоносного кода, организации хостинга для административной части и администрировании зараженных станций, теперь доступны комплекты для билда троянов, позволяющие заточить вредоносный код под нужды преступника и особенности планируемой атаки. Это своеобразные WYSIWYG-редакторы в киберпреступном мире: злодею не обязательно вникать в технические подробности функционирования вредоносного кода — ему достаточно выбрать нужную функциональность из имеющегося арсенала и приступить к распространению полученного вредоносного кода (которое, кстати, тоже может быть MaaS-услугой).

Разумеется, эта бизнес-модель снижает порог входа для преступников. Им теперь не нужно обладать техническими навыками или быть частью какого-ли- бо андерграудного комьюнити для того, чтобы оперативно начать монетизировать свои идеи. А конкуренция на данном рынке заставляет MaaS-разра- ботчиков снижать цены на свои услуги.

Гибкая система подписок, которые разработчики Adwind предлагают другим киберпреступникам

JSocket.org — веб-сайт, при помощи которого злоумышленники довольно успешно (их годовой оборот, согласно приблизительным оценкам, составляет около 200 тысяч долларов) воплощают в жизнь концепцию MaaS. Кроме того,

JSocket — название одной из реинкарнаций Adwind, который неоднократно светил свой исходный код в преступном сообществе и, как следствие, образовывал новые разновидности.

«Все для любимого пользователя!»

На своем веб-ресурсе злодеи предлагают не только саму малварь по подписке, но и техническую поддержку ее пользователя, дополнительные компоненты и модули, бесплатный VPN-сервис и проверку семпла различными антивирусными движками. Однако среди пользователей Adwind нашлись и куда более предприимчивые ребята, которые не стали ограничиваться заражениями обычных пользователей домашних компьютеров и выбрали цель покрупнее.

Устройства под управлением Windows, OS Х, Linux и Android — потенциальные мишени для злодеев, использующих данный бэкдор.

Пример фишинг-письма, содержащего вредоносное вложение, которое преступники отправляли финансовым организациям

КАК ЭТО РАБОТАЕТ

Обфусцированный JAR-контейнер, который жертва запускает из вложения к письму, содержит в себе бэкдор, подгружающий дополнительные модули на рабочую станцию жертвы — это позволяет обеспечить его относительно малый размер (порядка 130 Кбайт). После установки бэкдора злоумышленники могут, например, установить дополнительный модуль для получения изображений с веб-камеры или записи звука через встроенный микрофон.

Бдительность и внимательность: «технологии» защиты от атак Adwind!

Чтобы закрепиться на рабочей станции, злоумышленник должен спровоцировать жертву открыть вредоносное вложение в фишинговом письме. На данной стадии с угрозой фишинговой корреспонденции успешно справляются существующие антиспам-технологии, задача которых — отправить за борт письмо с JAR-вложением. В данном случае, как обычно это бывает на начальных стадиях атаки, ключевую роль играет человеческий фактор.

После закрепления на рабочих станциях и сбора нужной информации злоумышленникам необходимо вывести ценные данные на свои серверы — последний этап довольно тривиального жизненного цикла атаки. Adwind пытается подключиться к серверам злоумышленников. А это означает, что корректно настроенные средства межсетевого экранирования, запрещающие внешние подключения к IP-адресам, не присутствующим в белом списке, заблокируют попытку вредоносного кода отправить важную информацию злоумышленникам.

Детальный анализ зловреда можно найти в соответствующем отчете исследователей «Adwind — a crossplatform RAT»; в двух словах, он обладал следующей функциональностью:

•захват видео с установленной на рабочей станции веб-камеры;

•перехват нажатий клавиш;

•кража паролей из популярных браузеров, баз данных и Outlook;

•запись звука при помощи встроенного микрофона;

•удаленный рабочий стол;

•кража ключей для кошельков криптовалют.

ЗАКЛЮЧЕНИЕ

С одной стороны, квалифицированные преступники делают проще жизнь своих «младших братьев», предоставляя свои услуги в качестве сервиса и, тем самым, уменьшая порог входа в темный бизнес. С другой стороны, сами пользователи и организации упрощают жизнь киберпреступности в целом, когда забывают о «правилах личной гигиены» при работе в Сети (не открывай вложения в сообщениях от третьих лиц!) и о политиках безопасности. Знание — лучшая форма защиты.

ПРАКТИКУМ Антон Дмитриевич Нестеров

nevvostok@mail.ru

КОДЕРА-ИССЛЕДОВАТЕЛЯ:

КОВЫРЯЕМANDROID-МАЛВАРЬ

ДЕКОМПИЛИРУЕМ И ИЗУЧАЕМ ВРЕДОНОСНОЕ ПРИЛОЖЕНИЕ НА ANDROID НА ПРИМЕРЕ WHATSAPP MESSENGER

ДЕКОМПИЛЯЦИЯ APK-ПРИЛОЖЕНИЙ

Для исследования кода в APK-приложениях необходимо декомпилировать его, то есть извлечь все данные, которые в нем содержатся.

Выполнить декомпиляцию APK-приложения можно с помощью программы Apktool. Для того чтобы она нормально заработала на винде, необходимо установить утилиту apktool-install-windows-r04-brut.

Рис. 1. Содержимое папки apktool

Рис. 2. Декомпиляция приложения