SHA1
- da06b4f308f54a654b0b30b9f04801597c208914 (dropper)
- f3a6b7d78d0e1b86aaf355d3bda5d82892e58650 (xservice.exe)
- a6964dcb26580cd70f2db82c48e485f573675ef9 (xps.exe)
- d8d38cd908d5ba645db0fb3ca13add02774bdccb (mimikatz 32-bit)
- 60d4529dc6296a854766661760a20a0b8a0edb4e (mimikatz 64-bit)
Многокомпонентный троянец для ОС Windows. Распространяется в виде файла с именем Платежка от ООО Глобальные Системы 6 апреля 2017 года.JPG.zip в сообщениях электронной почты с темой «Оплату произвели» и следующим содержанием:
Добрый день!
Мы произвели оплату 6 апреля, но по какой то причине ответа от вас не получили.
Просим в кратчайшие сроки обработать платеж и предоставить услуги, так как у нас сроки сильно поджимают.
Копию платежки и других документов высылаем в прикрепленном архиве.
Просьба проверить правильность указанных реквизитов в платежке. Может где то была допущена ошибка и деньги не поступили к вам на счет. В связи с этим такая задержка.
С уважением,
ООО «Глобальные Системы»
Внутри архива содержится приложение с расширением:
Платежка от ООО Глобальные Системы 6 апреля 2017 года.JPG .exе
Исполняемый файл представляет собой зашифрованный контейнер, созданный с использованием возможностей языка Autoit и упакованный PECOMPACT. При запуске сохраняются следующие модули:
- 32.cab и 64.cab – CAB-архивы, содержащие библиотеку cryptbase.dll для 32- и 64-разрядных версий Windows соответственно. Используется для обхода UAC (User Account Control);
- xps.bin — зашифрованный с использованием алгоритма RC4 бинарный файл утилиты удаленного администрирования Program.RemoteAdmin.753, упакован PECOMPACT;
- xservice.bin - зашифрованный с использованием алгоритма RC4 компонент вредоносной программы;
- settings.dat — конфигурационный файл, содержащий настройки для Program.RemoteAdmin.753.
В момент старта сценарий проверяет, что он запущен в единственном экземпляре, в противном случае завершает свою работу. В операционной системе Microsoft Windows 8.1 при отсутствии у текущей учетной записи пользователя привилегий администратора троянец с помощью утилиты wusa.exe распаковывает из архива 32.cab или 64.cab (в зависимости от разрядности ОС) библиотеку cryptbase.dll в папку %windir%\system32\migwiz\ и запускает migwiz.exe, передав в качестве входного параметра путь до исполняемого файла троянца.
В других версиях Windows выполняет обход UAC с использованием eventvwr.exe.
Исполняемые файлы устанавливаются в папку %PROGRAMFILES%\XPS Rasterization Service Component. Троянец обеспечивает собственный автоматический запуск — в ОС Windows XP путем добавления в ключе системного реестра
[HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
параметра “XPS Rasterization Service Component". В более поздних версиях Windows автозапуск реализуется с использованием Планировщика задач:
schtasks /Create /SC ONLOGON /TN "XPS Rasterization Service Component" /TR "" "%PROGRAMFILES%\XPS Rasterization Service Component\xservice.exe" /RL HIGHEST
Троянец запускает приложения xps.exe и xservice.exe, после чего пытается извлечь и сохранить в текстовом файле пароли из браузеров Google Chrome и Mozilla Firefox.
xps.exe
Утилита удаленного администрирования, детектируемая Dr.Web как Program.RemoteAdmin.753.
xservice.exe
Зашифрованный контейнер, созданный с использованием возможностей языка Autoit и упакованный PECOMPACT. При запуске извлекает и сохраняет файл 32_en.exe или 64_en.exe (в зависимости от разрядности системы). Эти программы являются 32- и 64-разрядными версиями утилиты Mimikatz, которая предназначена для перехвата паролей открытых сессий в Windows. Файл xservice.bin может быть запущен с различными ключами, в зависимости от которых он выполняет на инфицированном компьютере те или иные действия:
| ключ | Описание |
|---|---|
| -help | показать возможные ключи (справочная информация выводится в неопознанной кодировке) |
| -screen | делает снимок экрана, сохраняет в файл с именем Screen(<HOURS>_<MINUTES>).jpg (где <HOURS>_<MINUTES> - текущее значение времени), выставляет файлу атрибуты «скрытый» и «системный» |
| -wallpaper <path> | меняет обои на указанные в параметре <path> |
| -opencd | открывает CD-привод |
| -closecd | закрывает CD-привод |
| -offdesktop | выводит в консоль текст "Not working =(" |
| -ondesktop | выводит в консоль текст "Not working =(" |
| -rdp | запуск RDP (см. ниже) |
| -getip | получает IP-адрес инфицированной машины с использованием сайта http://ident.me/ |
| -msg <type> <title> <msg> | создает диалоговое окно заданного типа (err, notice, qst, inf) с указанным заголовком и текстом |
| -banurl <url> | добавляет в файл %windir%\System32\drivers\etc\hosts строку вида "127.0.0.1 <url>", где <url> - аргумент команды |
После собственного запуска пытается также запустить Program.RemoteAdmin.753 из файла %PROGRAMFILES%\XPS Rasterization Service Component\xps.exe. Активирует кейлоггер, записывающий в файл информацию о нажатых пользователем клавишах, и создает в момент запуска снимок экрана.
Троянец открывает злоумышленникам удаленный доступ к зараженной машине по протоколу RDP (Remote Desktop Protocol). Удостоверяется в наличии утилиты для организации соединения, проверяя значение ключа реестра [HKEY_CURRENT_USER\Software\AcronisDisk] "Status". Если оно равно 1, повторная установка утилиты не выполняется.
Не пытается установить утилиту для организации соединения по протоколу RDP, если ключ [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest] "UseLogonCredentials" установлен в 0.
Скачивает с сервера Github и устанавливает на инфицированном компьютере программу Rdpwrap (детектируется Антивирусом Dr.Web как Program.Rdpwrap). Устанавливает программу запуском файла "RDPWInst.exe -i -o", используя флаг SW_HIDE для скрытия окна приложения. По завершении установки запускает утилиту RDPWInst.exe с ключом –w и выполняет следующие команды:
REGWRITE("HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server", "AllowRemoteRPC", "REG_DWORD", 1 )
REGWRITE("HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server", "AllowTSConnections", "REG_DWORD", 1 )
REGWRITE("HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server", "TSUserEnabled", "REG_DWORD", 1 )
REGWRITE("HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server", "fDenyTSConnections", "REG_DWORD", )
REGWRITE("HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server", "fSingleSessionPerUser", "REG_DWORD", )
REGWRITE("HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services", "Shadow", "REG_DWORD", 2 )
REGWRITE("HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa", "LimitBlankPasswordUse", "REG_DWORD", )С использованием ранее сохраненной на диске утилиты Mimikatz соответствующей разрядности пытается получить пароль от учетной записи текущего пользователя. Полученный пароль кодируется с использованием алгоритма base64 и сохраняется в параметре "Pwd" ключа системного реестра [HKEY_CURRENT_USER\Software\AcronisDisk]. В качестве индикатора успешной установки сохраняет значение "1" в параметре "Status" ключа реестра [HKEY_CURRENT_USER\Software\AcronisDisk]. В операционных системах Microsoft Windows 8.1 и Windows 10 считает, что получить пароль учетной записи пользователя не удалось, после чего запускает новый экземпляр интерпретатора команд CMD и выполняет команду net users <current_user> *.
