Valak zlonamjerni softver: Evolucija

AUTOR · Published · Updated

Sigurnosni istraživači kompanije Cybereason su došli do saznanja da je Valak zlonamjerni softver, koji je počeo kao jednostavni program za učitavanje zlonamjernog softvera, doživio ogromnu transformaciju, evoluirajući u napredni kradljivac podataka koji cilja osjetljive podatke na Microsoft Exchange serverima poslovnih organizacija.

Valak

Valak zlonamjerni softver: Evolucija; Source: Bing Image Creator

VALAK ZLONAMJERNI SOFTVER

Valak zlonamjerni softver je prvi put otkriven krajem 2019. godine, kada je klasifikovan kao program za učitavanje zlonamjernih softvera. Analiza kampanja u kojima je učestvovao ovaj zlonamjerni softver je pokazivala da njegovi autori rade brzo na novoj i poboljšanoj verziji zlonamjernog softvera, tako da je u tridesetak različitih verzija otkriveno mnogo zlonamjernih poboljšanja u veoma kratkom periodu, dobijajući neke od sljedećih karakteristika:

  • Zlonamjerni softver ima fazu bez datoteka u kojoj koristi sistemske registre za skladištenje različitih komponenti,
  • Vrši prikupljanje informacije o korisnicima, uređaju i mreži sa zaraženih uređaja,
  • Vrši provjeru geolokacije inficiranog uređaja,
  • Pravi snimke ekrana inficiranog uređaja,
  • Može preuzimati dodatni koristan teret i drugi zlonamjerni softver,
  • Cilja administratore i mreže preduzeća,
  • Prikuplja i krade osjetljive informacije iz Microsoft Exchange sistema pošte, uključujući akreditive i certifikat domena.

 

Pored višestrukog pristupa u koji Valak zlonamjernom softveru omogućava da ostane neotkriven kombinujući iznad navedene karakteristike, ovaj zlonamjerni softver koristi modularne dodatke, omogućavajući mu da prilagodi svoje napade na osnovu specifičnog okruženja i ciljanih podataka.

 

ANALIZA

U ciljanim kampanjama koje sprovode zlonamjerni akteri koji koriste ovaj zlonamjerni softver, najčešći vektor infekcije je bio preko Microsoft Word dokumenata sa ugrađenim zlonamjernim macro kôdom. Sadržaj dokumenata je na engleskom i njemačkom jeziku u zavisnosti od cilja.

Nakon pokretanja zlonamjernog macro kôda dolazi do preuzimanja DLL datoteke čije izvršavanje ima za cilj uspostavljanje uporišta na uređaju i povezivanje sa C2 serverom napadača. Nakon što je u prvoj fazi Valak zlonamjernom softver postavio temelje za napad, u drugoj fazi dolazi do preuzimanja dodatnih modula za izviđačke aktivnosti i krađu osjetljivih informacija.

 

Moduli

Tokom analize, sigurnosni istraživači su otkrili nekoliko različitih modula sa istim internim imenom ManagedPlugin.dll. Među ovim komponentama, neke se fokusiraju na jednu jedinu, specifičnu aktivnost kako bi postigli svoj cilj i relativno su manje robusne od drugih kada su u pitanju sposobnosti i potencijalni uticaj. Ovo uključuje:

 

IPGeo: Provjerava geolokaciju cilja koristeći uslugu IP otkrivanja,

Procinfo: Prikuplja informacije o pokrenutim procesima zaražene mašine,

Netrecon: Vrši izviđanje mreže,

Screencap: Pravi snimke ekrana inficiranog uređaja,

dok su Systeminfo i Exchgrabber mnogo napredniji moduli.

 

Systeminfo

Ovaj modul je odgovoran za opsežna izviđanja, cilja lokalne administratore i administratore domena i sadrži nekoliko funkcija za izviđanje koje se fokusiraju na prikupljanje informacija o korisniku, uređaju i postojećim antivirusnim proizvodima. Modul prikuplja informacije o korisniku i pokušava da provjeri da li je on lokalni administrator ili administrator domena. Ovo pokazuje da nakon inficiranja mašine, Valak zlonamjerni softver bira da cilja uglavnom na administratore i administratore domena što ukazuje na sklonost ciljanju naloga višeg profila.

Modul pokušava da pronađe da li zaraženi uređaj ima instalirane bezbjednosne proizvode i prikuplja prikuplja fizičku adresu (MAC) i IP adresu inficiranog uređaja. Dodatna izviđačka aktivnost se odvija uz nekoliko drugih funkcija koje omogućavaju dobijanje dodatnih informacija o korisniku, vremenu koliko uređaj radi i određivanje verzije Windows operativnog sistema. Dobijene informacije zlonamjerni softver eksfiltrira na udaljeni C2 server čiji je domen uskladišten u registru.

 

Exchgrabber

Exchgrabber modul je sličan prethodnom modulu, međutim ima svoje jedinstvene karakteristike vezane za svoju funkcionalnost. Na prvi pogled izgleda da se modul koristi isključivo za krađu akreditiva, što se može vidjeti u nekoliko klasa i argumenata podataka sa jasnim imenima kao što su Credential i CredentialType.

 

Credential i CredentialType

Modul upravlja svojim akreditivima u klasi Credential, koja uključuje nekoliko funkcija koje rukuju aktivnošću upravljanja akreditivima i tipovima podataka koji će držati ove akreditive, a najzanimljivije je da ova funkcija prima četiri argumenta: korisničko ime, lozinku, cilj i tip akreditiva, ubacujući akreditive u odgovarajuću promjenljivu modula. Još jedan zanimljiva funkcija je CredentialType gdje je tip akreditiva je određen ovom promjenjivom koji sadrži svaki od akreditiva koje će modul pokušati da izdvoji.

 

Tipovi akreditiva

Tipovi akreditiva su osjetljive informacije koje se mogu izdvojiti iz podataka Microsoft Exchange servera preduzeća, uključujući lozinku za domen i certifikat domena. Preuzimanje ovih osjetljivih podataka omogućava napadaču pristup unutrašnjem korisniku domena za interne usluge pošte organizacije zajedno sa pristupom certifikatu domena organizacije. Pomoću funkcije Systeminfo, napadač može da identifikuje koji je korisnik administrator domena, što stvara veoma opasnu kombinaciju curenja osjetljivih podataka i potencijalnog sajber špijuniranja ili krađe informacija velikih razmjera. Ovo takođe pokazuje da su glavna meta ovog zlonamjernog softvera prije svega poslovne organizacije.

 

VALAK EVOLUCIJA

 Valak zlonamjerni softver za sada ima najmanje 24 verzije i skoro svaka nova verzija je donosila izuzetne promjene. Neko od razlika između ranijih verzija i trenutne su:

  • Poboljšano prikrivanje zlonamjernog kôda: Ovaj zlonamjerni softver je u ranijim verzijama koristio samo jednu tehniku zamagljivanja kôda prilikom preuzimanja druge faze JavaScript kôda – Base64. Sada ovaj zlonamjerni softver koristi XOR kao dodatak za Base64 dekripciju.
  • Upravljanje dodacima: Novije verzije Valak zlonamjernog softvera preuzimaju dva korisna tereta u prvoj fazi. Prvi korisni teretje komponenta za upravljanje dodatkom (pluginhost.exe), a drugi je drugostepeno JavaScript korisno opterećenje. U ranijim verzijama, zlonamjerni softver nije uključivao “pluginhost” korisni teret.
  • PowerShell aktivnost: Kada je riječ o dodacima, ovaj zlonamjerni softver je ranije koristio PowerShell za preuzimanje JavaScript druge faze. Novije verzije su napustile popularan i lako uočljiv pristup PowerShell preuzimanja i prešle na PluginHost kao sredstvo za upravljanje i preuzimanje dodatnih korisnih podataka.

Ova tranzicija samo ukazuje da zlonamjerni akteri koji stoje iza ovog zlonamjernog softvera traže skrivenije pristupe i načine da poboljšaju svoje tehnike izbjegavanja.

 

VALAK INFRASTRUKTURA

Analizom ovog zlonamjernog softvera, sigurnosni istraživači su uočili ponavljanje adresa za povezivanje na niz domena koje su ugrađene u sam kôd. Pored toga, ovaj zlonamjerni softver ima zajedničku infrastrukturu sa gotovo svim svojim verzijama.

Pored infrastrukture koja se koristi za početnu distribuciju korisnog tereta povezanog sa Valak zlonamjernim softverom, zaraženi sistemi takođe komuniciraju sa C2 serverima kako bi prijeneli informacije i pokušali da dobiju dodatne module i uputstva za izvođenje zlonamjernih aktivnost. Analiza C2 infrastrukturu povezanu sa različitim Valak verzijama, pokazuje da je ista infrastruktura povezanu i sa mnogo drugih zlonamjernih aktivnosti.

 

POVEZANI ZLONAMJERNI SOFTVERI

Prvobitno je Valak zlonamjerni softver bio okarakterisan kao prilično jednostran zlonamjerni softver koji je uglavnom preuzimao drugi zlonamjerni softver, bilo da je to Ursnif ili IcedID. Posljednja analiza je pokazala da ovaj zlonamjerni softver ipak ima obostrani odnos sa drugim zlonamjernim softverom, pošto je, na primjer, uočeno da Ursnif zlonamjerni softver koji je pokrenuo lanac infekcije, preuzima IcedID i Valak zlonamjerne softvere sa istog servera.

Iako priroda odnosa između navedenih zlonamjernih softvera nije potpuno jasna, pretpostavlja se da je zasnovana na ličnim vezama i međusobnom povjerenju podzemnih zajednica. S obzirom na činjenicu da se Ursnif ili IcedID zlonamjerni softveri smatraju dijelom elektronskog kriminalnog ekosistema ruskog govornog područja, moguće je da su i autori Valak zlonamjernog softvera dio te podzemne zajednice, pošto je poznato je da ova zajednica održava prilično bliske veze zasnovane na povjerenju i reputaciji.

 

DISTRIBUCIJA

Vektori distribucije Valak zlonamjernog softvera se još analiziraju u potrazi za specifičnostima, ali je očigledno da koristi tehnike kao što su phishing napadi, posebno pripremljeni prilozi u elektronskoj pošti i softverske ranjivosti za dobijanje početnog pristupa. Kada dobije pristup, ovaj zlonamjerni softver koristi izvršavanje bez datoteka, skrivajući se unutar legitimnih procesa i omogućava postojanost u sistemskim registrima da bi održao svoje prisustvo. Takođe koristi modularne dodatke za prilagođavanje napada na osnovu ciljnog okruženja.

 

ZAKLJUČAK

Valak zlonamjerni softver se prvobitno bio klasifikovan kao program za učitavanje zlonamjernog softvera od strane mnogih sigurnosnih istraživača, da bi posljednja analiza pokazala da je on trenutno modularni zlonamjerni softver prepun mnoštva funkcija za izviđanje i krađu informacija.

Kroz veliki broj verzija ovog zlonamjernog softvera u veoma kratkom vremenskom periodu vidljiv je ubrzan razvoj koji je u svakoj novoj verziji donio proširenje mogućnosti zlonamjernog softvera uz dodatne mehanizme izbjegavanja detekcije. Uočeno je najmanje šest dodatka koji omogućavaju napadačima da dobiju osjetljive informacije od svojih žrtava. Sve ovo ukazuje da se Valak zlonamjerni softver može koristiti nezavisno bez udruživanja sa drugim zlonamjernim softverom. Međutim, ipak je primijećeno da zlonamjerni akteri koji iza ovog zlonamjernog softvera sarađuju sa drugim zlonamjernim akterima kako bi stvorili još opasniji zlonamjerni softver.

Generalno gledano, svako može biti potencijalna meta ovog zlonamjernog softvera, a zlonamjerni akteri koji stoje iza njega trenutno imaju fokus na američke i njemačke poslovne organizacije svih veličina. Posebna meta Valak zlonamjernog softvera su organizacije koje koriste Microsoft Exchange servere, što ima potencijal da im omogući pristup kritičnim nalozima poslovne organizacije, uzrokujući štetu organizacijama, degradaciju brenda i na kraju gubitak povjerenja potrošača.

 

ZAŠTITA

Kako bi se zaštitile, poslovne organizacije mogu preduzeti nekoliko koraka ublažavanja rizika:

  • Ažuriranje svih uređaja i softvera, sa posebnim naglaskom na Microsoft Exchange servere je ključno za smanjenje rizika od infekcije zlonamjernim softverom. Proizvođači često objavljuju bezbjednosna ažuriranja i ispravke kako bi riješili probleme poznatih ranjivosti. Blagovremenom primjenom ovih ažuriranja, mogu se zatvoriti potencijalne ulazne tačke,
  • Koristiti provjerena sigurnosna riješenja opremljena naprednim mehanizmima za otkrivanje prijetnji i prevenciju da bi se efikasno identifikovale i spriječile zlonamjerne aktivnosti,
  • Potrebno je biti oprezna sa dolaznom elektronskom poštom i drugim porukama, jer prilozi i linkovi u sumnjivim porukama se ne smiju otvarati zbog zbog velike vjerovatnoće da će pokrenuti proces infekcije uređaja,
  • Dodatni sloj bezbjednosti kao što je autentifikacija u više koraka (eng. Multi-Factor Authentication – MFA) otežava napadačima da dobiju pristup korisničkim nalozima,
  • Edukacija korisnika o phishing prijetnjama, naglašavajući rizike povezane sa otvaranjem priloga ili klikom na linkove u neželjenim elektronskoj pošti, kao i obuka za prepoznavanje taktika socijalnog inženjeringa koje koriste zlonamjerni akteri, omogućava korisnicima da izbjegnu da postanu žrtve obmanjujućih trikova koji vode ka izvršavanju zlonamjernih datoteka,
  • Implementirati sveobuhvatna rješenja za praćenje i otkrivanje anomalne mrežne aktivnosti i potencijalne indikatore kompromisa. Praćenje u realnom vremenu omogućava brzu reakciju na incidente i ublažavanje sigurnosnih incidenata prije nego što oni eskaliraju.

Tags:

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.