Buhtrap惡意軟體源代碼遭泄露

隨著Buhtrap惡意軟體源代碼的泄露，Minerva的研究團隊公布了其中的一些亮點，並分享了他們對這一威脅和泄露後果的見解。

隨著Buhtrap惡意軟體源代碼的泄露，Minerva的研究團隊公布了其中的一些亮點，並分享了他們對這一威脅和泄露後果的見解。

在7月7日，一位用戶名為「FR3D」的用戶（他也經營著一個活躍的Twitter帳戶）在mal4all論壇上發布了一個鏈接，並聲稱它所連接到內容是Carbanak惡意軟體的源代碼。

mal4all [.] com中的原始帖子

如果說Carbanak這個名字讓人印象深刻的話，那是因為它是最多產的網路犯罪組織之一。據Group-IB的一份報告稱，該組織非法獲利超過10億美元。

真的是Carbanak嗎？

首先也是最重要的是，當安全研究人員接觸到數據泄露時，通常會希望驗證自己獲得的數據到底是什麼。在本案例中，原始的論壇帖子聲稱它是Carbanak組織使用的工具。然而，有些事實根本就不成立。

能夠證明它並不是Carbanak惡意軟體的第一個證據是出現在遭泄露源代碼中的代碼簽名證書。在幾年前，在針對俄羅斯銀行員工的攻擊中，相同的證書遭到了使用。但是，在這次攻擊中使用的惡意軟體是Buhtrap（又名Ratopak），而不是Carbanak。

泄露中的一個二進位文件的證書（現已撤銷），與Buhtrap使用的證書相同

在與其他研究人員提供的數據及情報進行了交叉比對之後，我們證實了這個事實。它並不是Carbanak 的源代碼，而是一種具有類似用途的惡意軟體，Ratopak/Buhtrap的一個變種。

通過將源代碼與之前的情報進行比較，Vitali Kremez找到了一個更確鑿的證據。

遭泄露的源代碼

最初遭泄露的是一個名為group_ib_smart_boys的受密碼保護的存檔，之所以被這樣命名可能來源於Carbanak 組織在過去十多年針對俄羅斯銀行的攻擊中曾多次被Group-IB所發現。

這個存檔包含了各種類型的文件，從原始的程序集和C/C++源代碼到與工具和指令相關的內部文檔和說明。

存檔中的文件的數量統計（按文件類型）

這些文件被很好地分類，分為四個不同的文件夾。

第一個文件夾是bck_check，顯然它只包含一個用於解析日誌的文件，但在遭泄露的文件夾中並不存在。

接下來，是一個名為cvs_check的文件夾，其中包含了支持攻擊銀行的各種情報：

有關銀行員工的詳細信息，包括電子郵件地址、電話號碼及其職位。

活動目錄（Active Directory）轉儲，可能意味著攻擊者意圖通過以前的攻擊事件來了解銀行的內部系統。

用於規避反欺詐安全產品的指南。

ANTIFRAUD.txt，包含用於規避檢測的提示

第三個文件夾，名為gen_payments_script，也缺少了一些文件，只包含一個PHP腳本，用於生成虛假付款元數據。例如，它會生成一個偽造的18%銷售稅，並將其添加到總金額中。

最後，但並非最不重要的第四個文件夾，名為Pegasus，這是由NSO Group開發的一款間諜軟體的名稱（在其內部被稱為Pegas，俄語：Пегас）。這個文件夾是整個遭泄露存檔的核心，包含木馬源代碼和執行惡意功能的關鍵二進位文件。我們在這個文件夾中找到了一些亮點：

木馬的安裝常式濫用了MapViewOfSection API，使用進程挖空技術來注入到svchost.exe進程中。有趣的是，攻擊者將用於組成svchost路徑的字元串進行了拆分，以規避特定的反病毒產品，只有當整個字元串保存在單個變數中時才能觸發其模擬器。

拆分svchost.exe的路徑以避免被防病毒軟體檢測到

瞄準了俄羅斯會計軟體（類似於2014年的Buhtrap活動），尋找正在運行的ifexe，並向其中注入shellcode：

請注意，在這個樣本中，攻擊者使用了不同的代碼注入技術，依賴於WriteProcessMemory：

使用了@gentilkiwi的mimikatz的一個改編版本，用於收集憑證。

Mimikatz的改編版本

使用了一個兼具多種技術的模塊在受害者網路中進行傳播。

很明顯，Pegasus背後的罪犯是有組織的，他們很清楚如何在目標的網路中進行傳播。

使用了2015年的舊漏洞（CVE-2015-0057和CVE-2015-1701）進行許可權提升。請注意他們的「to dos」列表，用於避開已經修補過這兩個漏洞的設備：

有關Pegasus項目中模塊的詳細列表，請參閱@Malwageddon的博客，該博客翻譯了俄語文件夾的索引：

http://malwageddon.blogspot.com/2018/07/you-only-had-one-job.html

泄露會導致發生什麼呢？

這並非首次惡意軟體源代碼遭到泄露，類似的情況我們已經在Carberp、Zeus、Hacking Team，甚至是NSA漏洞身上看到過。我們認為，就像以前的情況一樣，代碼將會被技能較低的攻擊者重用。

此外，被收集的有關銀行員工和繞過反欺詐產品的情報現在也已經隨著源代碼泄露而遭到公開。雖然這些數據顯然無法被直接合併到其他惡意軟體中，但還是可以被其他人重用，從而部署有針對性的規避攻擊。

從好的方面來看，遭泄露的源代碼和文本文件同時也暴露了其背後組織的攻擊手法，這將使安全產品得到改進。因為，這使得安全產品廠商能夠了解到該組織的犯罪作案手法和犯罪心態。

此外，與以前的案例不同，在此次泄露中並沒有新的漏洞被發布，而這在過去是一個很大的問題。

你受到保護了嗎？

Pegasus、Buhtrap和Carbanak等惡意軟體背後的攻擊者以銀行和金融機構為目標。 由於Buhtrap的源代碼現在能夠被使用，因此其他組織可能會使用它來創建自己的惡意軟體變種，而這些變種可能會被用於追蹤其他行業的受害者。 如果你覺得自己正處於危險之中，或者認為自己已經成為了上述任何威脅的受害者，請隨時與我們取得聯繫。

信息來源：360安全客

安全圈綜合整理 如有侵權請聯繫刪除

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！