Целенаправленные атаки на гостиничные сети: практический пример
Недавно был опубликован отчет, в котором сообщалось о многочисленных кибер-атаках на крупные гостиничные сети. Атаки, главным образом, были направлены на кражу данных банковских карт клиентов. Для этого хакеры заражали POS-терминалы в отелях. Несколько дней назад один из клиентов Panda Security, пользователь Adaptive Defense 360, сеть гостиниц класса люкс, подвергся атаке. Мы воспользовались данной возможностью, чтобы показать, как кибер-преступники пытаются проникнуть в корпоративные сети.
В большинстве случаев подобные типы атак запускаются через электронную почту с помощью вложенного файла, который компрометирует компьютер жертвы, или ссылки на страницу, которая использует уязвимости для достижения цели преступника. В случае с нашим клиентом атака началась с почтового сообщения, адресованного сотруднику отеля, с информацией о том, что во вложенном файле представлена вся информация, необходимая для оплаты проживания в отеле в конце мая 2016 года.
Сообщение содержало вложение в виде заархивированного файла, которое при открытии содержало файл с иконкой Microsoft Word. Когда файл был запущен, он показал следующее:
Это форма бронирования номера в отеле, заполненная потенциальным клиентом отеля. Здесь представлена информация об оплате проживания в конце мая 2016 года. Как Вы можете видеть, здесь нет ничего необычного. На самом деле, этот документ является идентичным тому, что данный сотрудник отеля отправляет своим клиентам (даже название аналогичное), но если мы внимательно посмотрим, то сможем увидеть, что файл пришел в архиве zip. Несмотря на то, что показывается иконка Word, мы имеем дело с исполняемым файлом.
Когда Вы запускаете данный файл, то на диске создается три файла, первый из которых запускается:
If “%PROCESSOR_ARCHITECTURE%”==”x86” If Not Defined PROCESSOR_ARCHITEW6432 Set xOS=x86
IF “%xOS%” == “x64” (start “” C:WindowsSysWOW64rundll32.exe adobeUpd.dll,Wenk)
IF “%xOS%” == “x86” (start “” C:WindowsSystem32rundll32.exe adobeUpd.dll,Wenk)
ping -n 12 localhost
Как Вы можете увидеть, первое, что происходит, - открывается документ Word, который и позволяет обмануть жертву. Затем запускается adobeUpd . dll с параметром “Wenk”. Во время выполнения, этот файл изменяется и помечается как скрытый и только для чтения, а также создается запись в реестре Windows, которая запускается каждый раз, когда включается компьютер.
В результате этого скачивается файл, который содержит данные пользователя этого параметра URL (iPmbzfAIRMFw). В случае совпадения осуществляется попытка загрузки файла
Когда мы пытались скачать этот файл, то он был недоступен: он не попал в систему нашего клиента, т.к. была заблокирована попытка заражения, и вредоносная программа не сумела там запуститься. Домен URL точно такой же, как и домен нашего клиента, но вот только клиент имеет домен в зоне “.com”, а хакеры зарегистрировали домен с точно таким же названием, но только в Габоне (“.ga”). Таким образом, сходство доменного имени не привлекает внимания, если служба безопасности отеля осуществляет анализ сетевого трафика.
Несмотря на то, что файл iPmbzfAIRMFw.jpg оказался недоступен, если мы посмотрим на код adobeUpd.dll, то мы можем увидеть, что на самом деле в этом файле осуществляется поиск определенного кода, а затем он шифрует данные из него и запускает его в виде PE (созданный как “Tempsystm”).
Позже adobeUpd.dll остается в цикле, произвольно соединяясь со следующим URL каждые несколько минут:
Как мы видим, эта атака была специально ориентирована на данную гостиничную сеть. Преступники уже удалили все следы сервера, где клиент мог бы подключиться к вредоносной программе, и т.к. мы прервали атаку, то теперь мы можем только предполагать, что же они собирались делать далее. Исходя из нашего опыта, такой тип атак направлен на заражение остальных пользователей сети предприятия-жертвы, чтобы впоследствии добраться до поставленной цели: POS-терминалов, которые обрабатывают платежи, осуществленные с помощью банковских карт, что мы могли наблюдать во многих других случаях.
Традиционный антивирус не работает против такого типа атак, т.к. они создаются специально под конкретную жертву, при этом хакеры уверены в том, что их вредоносная программа не обнаруживается сигнатурами, проактивными технологиями и другими модулями защиты у тех решений безопасности, которые используются жертвой. Вот почему крайне важно иметь EDR-тип сервисов (Endpoint Detection & Response) в сочетании с расширенными технологиями защиты для обеспечения эффективной защиты от подобных целенаправленных атак.
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.