Стилеры играют важную роль в современном ландшафте угроз и являются одним из популярнейших способов получения легитимных аутентификационных данных для первоначального доступа к корпоративным сетям. В феврале 2023 года в теневом сегменте интернета впервые засветился стилер White Snake. Он активно рекламируется как средство для реализации целевых атак и позволяет злоумышленникам получить сохраненные пароли, а также копировать файлы, записывать нажатия клавиш и получать удаленный доступ к скомпрометированному устройству.
Специалисты управления киберразведки BI.ZONE обнаружили кампанию по распространению White Snake, нацеленную на российские организации. Стилер распространяется через фишинговые письма под видом требований Роскомнадзора.
Ключевые выводы
Успешная реализация атаки с использованием стилера может позволить злоумышленникам получить доступ сразу к нескольким корпоративным ресурсам, например электронной почте и CRM.
Возможность аренды или покупки такого класса ВПО позволяет значительно снизить уровень квалификации, необходимый злоумышленникам для реализации целевых атак.
Ущерб от успешной реализации подобной атаки может наступить не сразу: часто злоумышленники перепродают данные, собранные стилерами.
Описание кампании
В рамках кампании жертва получала фишинговое письмо, к которому был прикреплен архив с несколькими файлами:
Требование РОСКОМНАДЗОР № 02-12143.odt,Приложение к требованию РОСКОМНАДЗОРА о предоставлении пояснений, по факту выявления данных в ходе мониторинга и нанализа списки запрещенн интернет ресурсов, айпи адресов.exe,РОСКОМНАДЗОР.png.
Первый файл (рис. 1) представляет собой фишинговый документ, цель которого — отвлечь внимание жертвы и убедить в безопасности второго файла, который представляет собой стилер White Snake.
Стилер White Snake появился на популярных теневых форумах в феврале 2023 года и позиционировался как инструмент, предназначенный для реализации целевых атак (рис. 2).
Помимо теневых форумов, стилер также имеет свой канал в мессенджере Telegram (рис. 3), который позволяет следить за его обновлениями.
Арендовать стилер можно всего за 140 $ в месяц или купить неограниченный доступ за 1950 $. Заплатить за аренду можно в одной из криптовалют (рис. 4).
После оплаты клиент получает билдер для создания экземпляров ВПО и доступ к панели управления скомпрометированными устройствами.
Билдер (рис. 5) позволяет сконфигурировать генерируемый образец стилера — например, добавить токен Telegram для сохранения полученных данных, выбрать метод шифрования данных, набор извлекаемых данных, иконку исполняемого файла и т. п.
Панель управления (рис. 6) позволяет отслеживать скомпрометированные устройства, а также взаимодействовать с ними и выполнять команды. Кроме того, панель управления позволяет получить доступ ко всем данным, собранным с помощью стилера.
Запуск исполняемого файла из архива приводит к реализации следующих действий:
Создает мьютекс (согласно конфигурации).
При наличии соответствующего флага проверяет, что запуск происходит не в виртуальном пространстве.
При наличии соответствующего флага копирует все файлы в папку
C:\Users\[user]\AppData\Roaming\[config_folder_name], а затем выполняет приведенную ниже команду в зависимости от привилегий пользователя. Если пользователь является администратором, то команда будет выполняться с правамиHIGHEST, иначе — с правамиLIMITED.
/C chcp 65001 && ping 127.0.0.1 && schtasks /create /tn "[имя задания]" /sc MINUTE /tr "[путь к файлу в созданной папке]" /rl [права для запуска] /f && DEL /F /S /Q /A "[путь к файлу по предыдущему пути]" && START "" "[путь к файлу в созданной папке]"Инициализирует узел сети Tor на случайном порте от 2000 до 7000.
Инициализирует модуль для получения данных пользователя и отправки их на сервер.
При наличии соответствующего флага создает свои копии на внешних носителях и в автозагрузке (
C:\Users\[user]\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup) для других пользователей системы.При наличии соответствующего флага инициализирует модуль кейлогера.
При отправке данных на управляющий сервер собирает следующую информацию о системе:
страна и IP (с помощью запроса на
http://ip-api.com/line?fields=query,country);версия операционной системы;
имя пользователя;
имя устройства;
размер экрана;
название процессора;
название видеокарты;
размеры жестких дисков;
суммарный размер физической памяти;
производитель устройства;
модель устройства;
снимок экрана, закодированный в Base64;
список запущенных процессов;
установленные приложения.
Конфигурация для получения пользовательских данных содержится в файле в формате XML и содержит следующие типы данных:
относительные пути к Chromium-подобным браузерам;
относительные пути к Firefox-подобным браузерам;
маски собираемых файлов;
разделы реестра, из которых необходимо извлечь данные.
Так как стилер может закрепляться в скомпрометированной системе, атакующие могут получить персистентный доступ к ней, записывать видео с экрана, выполнять команды и загружать дополнительное ВПО.
Выводы
Теневой сегмент интернета предлагает все более качественные инструменты для реализации целевых атак, которые не только позволяют обойти традиционные средства защиты, но и предоставляют злоумышленникам все необходимые инструменты для достижения цели. Низкая цена и легкость в эксплуатации подобного ВПО влекут за собой неизбежное увеличение числа целевых атак. Для эффективной защиты от таких угроз просто внедренных средств защиты информации недостаточно, необходимо также своевременно реагировать на инциденты и расследовать их.
Как обнаружить следы White Snake
Отслеживайте сетевые коммуникации с
ip-api.comот нетипичных процессов.Обращайте внимание на создание подозрительных заданий в планировщике и добавление исполняемых файлов в автозагрузку.
Осуществляйте мониторинг создания исполняемых файлов в подпапках
C:\Users\[user]\AppData\Roaming.
YARA-правило
rule WhiteSnake {
meta:
author = "BI.ZONE CTI"
date = "13/07/2023"
strings:
$xml_struct1 = "filename"
$xml_struct2 = "filedata"
$xml_struct3 = "filesize"
$xml_struct4 = "createdDate"
$xml_struct5 = "modifiedDate"
$xml_struct6 = "commands"
$xml_struct7 = "name"
$xml_struct8 = "args"
$xml_struct9 = "Commands"
$xml_struct10 = "report"
$xml_struct11 = "files"
$xml_struct12 = "information"
$xml_struct13 = "key"
$xml_struct14 = "value"
condition:
all of ($xml_struct*)
}MITRE ATT&CK
Тактика | Техника | Процедура |
Initial Access | Phishing: Spearphishing Attachment | White Snake использует вредоносные вложения для получения первоначального доступа |
Execution | User Execution: Malicious File | Жертве необходимо открыть вредоносный файл, чтобы инициировать процесс компрометации |
Command and Scripting Interpreter: Windows Command Shell | White Snake использует командную строку Windows для выполнения скриптов | |
Native API | White Snake использует Windows API для перехвата нажатий клавиш, создания снимков экрана и расшифровывания пользовательских данных | |
Persistence | Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder | White Snake может создавать свои копии в |
Scheduled Task/Job: Scheduled Task | White Snake создает задания в планировщике для закрепления в скомпрометированной системе | |
Defense Evasion | Obfuscated Files or Information | White Snake использует шифрование строк и обфускацию имен методов |
File and Directory Permissions Modification: Windows File and Directory Permissions Modification | Устанавливает для исполняемого файла внутри папки | |
Obfuscated Files or Information: Binary Padding | Размер исполняемого файла White Snake — около 1 ГБ | |
Indicator Removal: File Deletion | White Snake удаляет себя после запуска и копирования тела в новое расположение | |
Virtualization/Sandbox Evasion: System Checks | White Snake осуществляет проверки скомпрометированной системы с целью идентификации виртуальной среды | |
Credential Access | Credentials from Password Stores: Credentials from Web Browsers | White Snake получает учетные данные из Chromium- и Firefox-подобных браузеров |
Credentials from Password Stores: Windows Credential Manager | White Snake может получать данные из внутреннего хранилища паролей Windows | |
Input Capture: Keylogging | White Snake может перехватывать нажатия клавиш пользователем | |
Unsecured Credentials: Credentials In Files | White Snake может получать доступ к любым файлам, в том числе содержащим аутентификационный материал | |
Unsecured Credentials: Credentials in Registry | White Snake может получать доступ к любым ключам реестра, указанным в конфигурации | |
Discovery | System Information Discovery | White Snake собирает информацию о скомпрометированной системе, в том числе об имени пользователя и компьютере |
Software Discovery | White Snake собирает информацию об установленных в системе приложениях | |
System Time Discovery | White Snake получает информацию о текущем времени на устройстве | |
Collection | Archive Collected Data | White Snake шифрует данные с помощью RSA перед отправкой на сервер |
Audio Capture | White Snake может использовать микрофон для захвата звука | |
Data from Local System | White Snake может копировать файлы из скомпрометированной системы | |
Screen Capture | White Snake может делать снимки экрана | |
Video Capture | White Snake может записывать видео с помощью камеры | |
Command and Control | Application Layer Protocol: Web Protocols | White Snake использует HTTP/HTTPS для передачи данных |
Encrypted Channel: Asymmetric Cryptography | White Snake использует RSA для шифрования передаваемых данных | |
Proxy: Multi-hop Proxy | White Snake использует Tor для передачи данных | |
Exfiltration | Exfiltration Over C2 Channel | White Snake передает собранные данные на командный сервер |
Индикаторы компрометации
5f1136c386c7fc99395b608d8db8f8cab0c0f23356f6d33730d352b12b43c234e786b4bb8a7eed06d42e37f62434d911c34c572a58a92aaf1171cbb84f864cddhxxp://167.86.115[.]218:9090hxxp://185.189.159[.]121:8001
Больше индикаторов доступно клиентам BI.ZONE ThreatVision.
Фишинговая рассылка — один из главных способов получить первоначальный доступ во время целевых атак. Чтобы защититься от нее, мы рекомендуем пользоваться специализированными решениями, которые блокируют спам и вредоносные письма. Одно из таких — BI.ZONE CESP. Если вы обнаружили признаки компрометации, сразу обратитесь к нашим экспертам, чтобы провести расследование и закрыть злоумышленникам доступ к IT-инфраструктуре до того, как они успеют причинить ущерб.
