ここ数か月、Panda SecurityのPandaLabsウイルス対策ラボでは、リモートデスクトッププロトコル(RDP)を使用してインストールされるマルウェアが大幅に増加しています。 毎日、ランサムウェア、マイニングビットコインのハッキングシステム、その他の目的で何千件もの感染が試みられています。 一般に、このような脅威にはすべて、ブルートフォース方式を使用して登録データを選択した後、リモートデスクトップ(RDP)を介してコンピューターにアクセスするという共通のアプローチがあります。
新しく発見された攻撃は同じエントリ手法を使用していますが、その目的は以前に分析した攻撃とはまったく異なります。 今回は、システムに侵入した後、 脅威はPOS端末とATMの検索に焦点を当てています 。 この理由は、これらの端末がインターネットからの匿名の攻撃に対して十分に単純であり、盗まれた情報の販売からの金銭的利益が非常に高いという事実にあります。
RDPPatcher:システムへのアクセスを闇市場で販売する
この場合、ブルートフォース攻撃は2017年1月にハッカーが正しい登録データを取得してシステムにアクセスするまで2か月以上続きました。 システムが侵害された後、サイバー犯罪者はマルウェアに感染させようとしました。 彼らは彼らの試みが適応防衛によってブロックされていることを発見した。 その後、マルウェアを修正して再試行しましたが、失敗しました。 Pandaの高度な情報セキュリティソリューションは署名に基づいておらず、マルウェアに関する既存の知識に依存しないため、マルウェアを変更しても結果は変わりません。
マルウェアの分析から、攻撃の目的が明らかになります。 2つのファイルのハッシュは次のとおりです。
MD5 d78be752e991ccbec16f11e4fc6b2115
SHA1 4cc9d2c98f22aefab50ee217c1a0d872e93ce541
MD5 950e8614db5c567f66d0900ad09e45ac
SHA1 9355a60dd51cfd02a921444e92e012e25d0a6be
両方のファイルはDelphiで作成され、Aspackを使用してパッケージ化されました。 それらを解凍した後、それらは互いに非常に類似していることがわかりました。 それらの最新のものを分析しました:(950e8614db5c567f66d0900ad09e45ac)。
このトロイの木馬は、Trj / RDPPatcherとして検出されます。 Aは、RDP検証のタイプを変更するために、Windowsレジストリのエントリを変更します。 システムが変更するエントリは次のとおりです。
HKLM \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ WinStations \ RDP-Tcp / v UserAuthentication / t REG_DWORD / d 1
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ WinStations \ RDP-Tcp” / v UserAuthentication / t REG_DWORD / d 1
さらに、システムに次のエントリが存在する場合、それらを削除します。
「HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System」/ v legalnoticecaption / f
「HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System」/ v legalnoticetext / f
その後、%TEMP%フォルダーに別のファイル(MD5:78D4E9BA8F641970162260273722C887)を残します。 このファイルはrdpwrapアプリケーションのバリアントであり、 runasコマンドと「-i -s」パラメーターを使用して起動され、システムで同時RDPセッションをアクティブにします。
次に、彼はマシンのプロファイルに移動し、それに関する次の情報を受け取ります。
•ユーザー名
•デバイス名
•デバイスの電源がオンになった期間
•オペレーティングシステムのバージョン
•言語
•仮想マシン
•メモリ
•プロセッサ名
•プロセッサコアの数
•CPU速度
次に、管理サーバー(C&Cサーバー)に接続して、インターネット接続の速度を測定するサービスのリストにアクセスし、着信接続と発信接続の速度に関連するデータを保存します。 次に、コンピューターにインストールされているウイルス対策ソフトウェアを確認します。 ほとんどの悪意のある攻撃で見られるものとは異なり、インストールされているウイルス対策プログラムは削除されず、動作も変更されません。 データを収集するだけです。
コードから、検索するプロセスのリストを抽出することができました。
表1を参照
その後、彼はさまざまな種類のプログラムの検索を開始して、コンピューターのプロファイルを続行します。 主にPOS、ATM、オンラインギャンブルに関連するプログラムを検索します。 以下は、彼が探しているプログラムの一部です(合計数百)。
表2を参照
また、訪問の履歴を「調べ」、関心分野に応じてカテゴリ別に表示される別のリストへのコンプライアンスを確認します。
表3を参照
これらのすべてのアクションは、コンピューターで使用されているソフトウェアと訪問したWebページに従ってコンピューターを「マーク」するために必要です。
システムからデータを収集する手順を完了した後、彼はC&C管理サーバーに要求を出します。 セキュリティシステムからのWebトラフィックを介した情報の送信を隠すために、AES128を使用して、分析サンプルに組み込まれたパスワード「8c @ mj} || v * {hGqvYUG」でデータを暗号化します。 次に、base64でエンコードします
暗号化されたリクエストの例。
このサンプルマルウェアに使用されるC&C管理サーバーは、ジブラルタルにあります。
おわりに
見てきたように、攻撃者が最初にしたいことは、コンピューターのインベントリを取得し、さまざまな情報(ハードウェア、ソフトウェア、訪問したWebページ、インターネット接続速度)を収集し、複数のRDPセッションを実行できるアプリケーションをインストールすることです同時に。 他の場合のように、データ、パスワードなどの盗難はありません。
このすべての説明は非常に簡単です。これらの攻撃の背後にあるサイバー犯罪者は、これらのハッキングされたコンピューターへのアクセスを非常に低価格で販売しています。 各システムから大量のデータが手元にあるため、さまざまな分野を専門とする他の攻撃者グループにアクセスを販売できます。 たとえば、銀行カードのデータを盗むことを専門とするグループには、POS端末ソフトウェアがインストールされているコンピューターへのアクセスを販売できます。 サイバー犯罪は本当に専門的な活動になり、非常に収益性の高いラケットになりました。