Давайте друзья сегодня мы сосредоточимся на том, как хакеры используют скомпрометированные веб-сайты для распространения опасных вредоносных программ, таких как «Emotet», для нанесения наибольшего вреда пользователям.
Угроза «emotet»
Во-первых, что такое «emotet» и какую выгоду получает хакер от использования скомпрометированного веб-сайта для его распространения?
Emotet является популярным трояном, который первоначально создавался для целевых атак на устройства содержащие финансовые данные , которые он инфицировал. В последние годы, он перешел на модульный способ похищения информации, который позволяет ему выступать в качестве «капельницы вредоносных программ».
Являясь частью комплекса вредоносных программ, Emotet может дополнительно загружать вредоносные сегменты, такие как вымогатели или программы-шпионы для зараженных устройств. Это делает его очень ценным для хакеров, которые могут монетизировать его различными способами, получая доступ к конфиденциальной информации содержащей реквизиты банковских карт или учетной записи электронной почты. Прежде чем кража будет возможна, злоумышленники должны сначала найти способ заразить устройства жертвы вредоносным ПО.
Распределение «emotet» через Malspam
В обоих приложениях и вредоносных цепях инфекции URL, вложение или загруженный файл через вредоносный URL может использовать различные расширения файлов (например, .doc, .exe, .pdf, .xml).
Мы знаем, что наиболее распространенным методом распространения для Emotet является через malspam - электронные письма, которые разосланы в массовом порядке и используются для заражения устройств вредоносными программами. Продвижение спам-фильтров сделало получение папки "Входящие" препятствием само по себе.
Если бы вы зарегистрировали новое доменное имя, а затем начали рассылать malspam с вложениями .exe, у вас были бы очень низкие шансы на успех у поставщиков электронной почты, таких как Gmail или Outlook. Это потому, что спам-фильтры изучают входящие письма, проводят проверку на действительный SPF, DMARC, и DKIM записей в заголовках электронной почты. Злоумышленники должны быть творческими людьми, чтобы избежать использования обычных методов, которые используют спам-фильтры.
Поскольку вся цель malspam заключается в успешной отправке писем, которые содержат вредоносные программы, важно рассмотреть, как именно вредоносные программы включены в саму электронную почту, чтобы избежать обнаружения фильтров электронной почты получателя.
На протяжении многих лет, наиболее распространенной практикой было сокрытие вредоносной программы, запутывая его во вложении, а затем с помощью созданный электронной почты, чтобы открыть прилагается файл, вызывая вредоносную программу. Один такой старый пример разослал буквально десятки миллионов поддельных писем DHL malspam, которые включали вложение, содержащее вредоносные программы, изложенные в этой статье 2013 года Sophos.
Прощай присоединения, Привет URL-адреса
Конечно, это было в прошлом 2019 году подавляющее большинство вредоносных программ и вложений на самом деле доставлены через вредоносные URL-адреса в malspam.
В самом деле, ProofPoint сообщал в течение 2019 года об этом изменении. В своем последнем отчете за 3 квартал 2019 года процент malspam, доставляющего вредоносные программы через вредоносные URL-адреса, достиг 88%.
Эти данные охватывают миллиарды писем, и Есть еще много миллионов malspam писем, которые используют целевые вложения, такие как "Сноуден" malspam кампании, которая включала вредоносные макросы во вложение электронной почты.
Тем не менее, есть, безусловно, общая тенденция к использованию вредоносного распределения URL над вложениями в течение 2019 года.
3кв 2019 Источник: ProofPoint
Именно это изменение в тактике, привело нашу команду по исправлению «кракозябров» наблюдать все большее число скомпрометированных веб-сайтов, используемых для размещения вредоносных программ с целью отправки вредоносных URL-адресов в malspam писемах.
PHP капельница и Malspam URL-адреса
Как упоминалось ранее, поставщики электронной почты используют многие методы для идентификации вредоносного контента, и они распространяются на URL-адреса, включенные в само послание электронной почты.
Некоторые из этих идентификаторов следует ожидать - например, использует ли URL-адрес домена в черном списке или подозрительный укороченный URL. Другой распространенный идентификатор включает в себя размещение URL-адресов в malspam, которые непосредственно связаны с вредоносной полезной нагрузкой (например, домен). com/emotet.exe) Бонусом для злоумышленников является то, что большинство конфигураций хостинга веб-сайта переписывают URL при использовании определенного файла индекса по умолчанию. Это делает вредоносные URL-адреса «чище» тем, что они не будут включать в него определенное имя файла.
Вот пример:
Без капельница PHP:: домен. com/360bqp/XTK1-9yP1H8o5HCDIv.exe
С капельницаphPH: домен. com/360bqp/
Как вы думаете, один из этих URL-адресов выглядит более опасным, чем другие?
Получатель Gmail malspam увидит что-то подобное к изображению ниже, которое создали используя электронную почту и dropper PHP обыкновенно используемый для распространения Malware Emotet
Примечание: Это было протестировано на Kali Linux в режиме Windows 10 под прикрытием, так что есть некоторые незначительные различия в быстрой загрузке
PHP Droppers Быстрая загрузка файлов
PHP — это язык сценариев на стороне сервера, и это не позволяет посетителям просматривать исходный код PHP, как это возможно с помощью HTML и JavaScript.
Это также не позволяет поставщикам электронной почты сканировать исходный код донора и использовать его в качестве основы для определения того, что это вредоносное ПО.
Итак, как выглядит исходный код?
Dropper код был украшен, чтобы сделать его легче читать
· Линия 8 — переменная $contentData — это место, где двоичный код капли Emotet хранится в сжатом, закодированном формате.
· Строка 9 - переменная $contentName используется для определения окончательного имени файла, которое будет отображаться жертве в запросе загрузки браузера.
· Строка 10 - переменная $contentType используется для определения типа файла для файла для капельницы Emotet, в этом примере он установлен на применение/x-dosexec для .exe, но мы также видели приложение/мслов для файлов .doc.
· Линия 11-20 «отредактированная» — это функция, которая выполняет проверки агента пользователя, чтобы попытаться определить операционную систему.
· Линия 21-52 - это функция, которая принимает данные вредоносных программ, хранящихся в $contentData,распаковывает и расшифровывает его, и генерирует файл XTK1'9yP1H8o5HCDIv.exe в буфере памяти на сервере. Это означает, что файл .exe не сохраняется в файловой системе и доступен только во время загрузки капельница PHP
Обнаружение и поведение
Я был удивлен, увидев, что XTK1'9yP1H8o5HCDIv.exe Emotet файл только около восьми обнаружений от поставщиков AV при первом запуске через VirusTotal на 3 декабря 2019 года.
К сожалению, я не смог захватить скриншот этих результатов, но когда я проверил два дня спустя 5 декабря 2019 года то он показал гораздо лучшее соотношение обнаружения 40/60:
Вы можете найти полный отчет об обнаружении здесь.
Поведение этого файла XTK1'9yP1H8o5HCDIv.exe Emotet в среде Windows, как и ожидалось: он действует как капельница вредоносных программ и порождает вредоносный процесс serialfunc.exe:
Вредоносный процесс serialfunc.exe затем начинает сбор учетных данных для эксфильтрации обратно к злоумышленнику. В этом тесте any.run мы можем видеть его поиск для логинов Facebook.
Заключение
Одим из худших аспектов этой вредоносной программы является то, что часто владельцы веб-сайтов даже не будут знать, что их веб-сайт скомпрометирован и используется для распространения вредоносных программ с помощью malspam. Это приводит к неприятным сюрпризом, когда они получают черный список от поисковых органов, как Яндекс , Google, McAfee и Нортон.
Другая проблема возникающая с этой вредоносной программой то, что PHP капельница показыказывает в этой должности не только файл, добавленный в среде веб-сайта. Эта инфекция также включает в себя несколько бэкдоров, которые могут быть использованы хакером для изменения закодированной двоичной полезной нагрузки в dropper PHP, наряду с именем файла и его расширением.
Вот список общих бэкдор файлов, что наша исследовательская группа определила на данный момент:
· link.php
· common.php
· config.php
· menu.php
· common.php
· edit.php
· core.php
· import.php
· functions.php
· tools.php
Эти бэкдоры будут прятаться в каталогах за пределами одного хостинга PHP с использованием аналогичных имен файлов
Это подчеркивает, почему система мониторинга целостности файлов имеет решающее значение для безопасности вашего веб-сайта. Без него вы, скорее всего, не поймете, что вредоносное ПО было загружено на ваш сайт, так как это не изменяет функциональность веб-сайта каким-либо очевидным образом.
Инструменты мониторинга файлов будут предупреждать вас о любых изменениях, внесенных в файловую систему. Вот недавний образец мониторинга файлов веб-сайта
Два файла, которые были помечены как вредоносный контент содержащий законный код, используемый веб-сайтом, наряду с вредоносными программами, которые были скрыты внутри него. Если бы не было таких предупреждений, как определения подписи, вы просто увидите файлы, которые были изменены и должны индивидуально проверить их. Важно также отметить, что бэкдоры и капельницы часто избегают загрузки на самом сайте, поэтому важно сканировать на уровне сервера, так как бесплатные сканеры веб-сайтов, такие как SiteCheck, могут быть не в состоянии их обнаружить.
Вся информация представлена исключительно в образовательных целях.
Больше статей и дополнительной информации
