Carbanak APT Spa
Páginas: 14 (3276 palabras)
Publicado: 2 de mayo de 2015
Table of contents
1. Executive Summary............................................................................................3
2. Analysis................................................................................................................5
2.1 Infection and Transmission.........................................................................5
2.2 Malware Analysis –Backdoor.Win32.Carbanak.......................................7
2.3 Lateral movement tools........................................................................... 18
2.4 Command and Control (C2) Servers........................................................ 19
3. Conclusions...................................................................................................... 23
APPENDIX 1: C2 protocoldecoders..................................................................... 24
APPENDIX 2: BAT file to detect infection............................................................. 27
APPENDIX 3: IOC hosts........................................................................................ 28
APPENDIX 4: Spear phishing...............................................................................34
APPENDIX 5: MD5 hashes of Carbanak samples.............................................. 36
1. ejecutivo Summary
From fines de 2013 en adelante, varios bancos e instituciones financieras tienen beenattacked por un grupo desconocido de los ciberdelincuentes. En todos estos ataques, se utilizó un similarmodus operandi. Según las víctimas y la ley enforcementagencies (LEAs) implicados en lainvestigación, esto puede resultar en cumulativelosses de hasta US $ 1 billón. Los ataques están todavía activos. Este informe proporciona un análisis técnico de estos ataques. La motivación para los atacantes, que están haciendo uso de técnicas commonlyseen en amenazas persistentes avanzadas (APTs), parece estar asopposed ganancia financiera al espionaje. Un análisis de la campaña ha revelado que lawereachieved las infecciones iniciales usando correos phishing lanza que parecían ser legítimas bankingcommunications con Microsoft Word 97-2003 (.doc) y Control Panel Applet (. Archivos CPL) adjuntos. Creemos que los atacantes también redirigirán a explotar el tráfico kitswebsite que relacionados con la actividad financiera. Los archivos adjuntos de correo electrónico aprovechan lasvulnerabilidades de Microsoft Office 2003, 2007 and2010 (CVE-2012-0158 y CVE-2013-3906) y Microsoft Word (CVE-2014-1761). Una vez que se aprovechara la vulnerabilidad, la shellcode decryptsand ejecuta el backdoor conocido como Carbanak.Carbanak es un remoto backdoor (inicialmente en base a Carberp), diseño forespionage, extracción de datos y para proporcionar acceso remoto a los equipos infectados. Una vez quese logra el acceso, los atacantes realizan un reconocimiento manual de las redes de la víctima. Basándose en los resultados de esta operación, los atacantes usedifferent lateral herramientas de movimiento con el fin de obtener acceso a la systemsin crítica la infraestructura victim.s. Ellos entonces instalación software adicional como theAmmyy la herramienta de administración remota, o inclusocomprometen servidores SSH. En particular, algunas de las últimas versiones del malware Carbanak analizado no parecen useany código fuente Carberp. Una vez que los atacantes comprometen con éxito la red de victim.s, los primaryinternal destinos son dinero procesamiento de servicios, cajeros automáticos Machines(ATM) y cuentas financieras. En algunos casos, los atacantes utilizan la red detelecomunicaciones financieras interbancarias (SWIFT) forWorldwide sociedad transfermoney a sus cuentas. En otros, bases de datos Oracle fueron manipulados para cuentas de tarjetas de débito o openpayment en el mismo banco o para transferir dinero betweenaccounts utilizando el sistema de banca en línea. También se utilizó la red de cajeros automáticos todispense efectivo de ciertos cajeros automáticos en...
1. Executive Summary............................................................................................3
2. Analysis................................................................................................................5
2.1 Infection and Transmission.........................................................................5
2.2 Malware Analysis –Backdoor.Win32.Carbanak.......................................7
2.3 Lateral movement tools........................................................................... 18
2.4 Command and Control (C2) Servers........................................................ 19
3. Conclusions...................................................................................................... 23
APPENDIX 1: C2 protocoldecoders..................................................................... 24
APPENDIX 2: BAT file to detect infection............................................................. 27
APPENDIX 3: IOC hosts........................................................................................ 28
APPENDIX 4: Spear phishing...............................................................................34
APPENDIX 5: MD5 hashes of Carbanak samples.............................................. 36
1. ejecutivo Summary
From fines de 2013 en adelante, varios bancos e instituciones financieras tienen beenattacked por un grupo desconocido de los ciberdelincuentes. En todos estos ataques, se utilizó un similarmodus operandi. Según las víctimas y la ley enforcementagencies (LEAs) implicados en lainvestigación, esto puede resultar en cumulativelosses de hasta US $ 1 billón. Los ataques están todavía activos. Este informe proporciona un análisis técnico de estos ataques. La motivación para los atacantes, que están haciendo uso de técnicas commonlyseen en amenazas persistentes avanzadas (APTs), parece estar asopposed ganancia financiera al espionaje. Un análisis de la campaña ha revelado que lawereachieved las infecciones iniciales usando correos phishing lanza que parecían ser legítimas bankingcommunications con Microsoft Word 97-2003 (.doc) y Control Panel Applet (. Archivos CPL) adjuntos. Creemos que los atacantes también redirigirán a explotar el tráfico kitswebsite que relacionados con la actividad financiera. Los archivos adjuntos de correo electrónico aprovechan lasvulnerabilidades de Microsoft Office 2003, 2007 and2010 (CVE-2012-0158 y CVE-2013-3906) y Microsoft Word (CVE-2014-1761). Una vez que se aprovechara la vulnerabilidad, la shellcode decryptsand ejecuta el backdoor conocido como Carbanak.Carbanak es un remoto backdoor (inicialmente en base a Carberp), diseño forespionage, extracción de datos y para proporcionar acceso remoto a los equipos infectados. Una vez quese logra el acceso, los atacantes realizan un reconocimiento manual de las redes de la víctima. Basándose en los resultados de esta operación, los atacantes usedifferent lateral herramientas de movimiento con el fin de obtener acceso a la systemsin crítica la infraestructura victim.s. Ellos entonces instalación software adicional como theAmmyy la herramienta de administración remota, o inclusocomprometen servidores SSH. En particular, algunas de las últimas versiones del malware Carbanak analizado no parecen useany código fuente Carberp. Una vez que los atacantes comprometen con éxito la red de victim.s, los primaryinternal destinos son dinero procesamiento de servicios, cajeros automáticos Machines(ATM) y cuentas financieras. En algunos casos, los atacantes utilizan la red detelecomunicaciones financieras interbancarias (SWIFT) forWorldwide sociedad transfermoney a sus cuentas. En otros, bases de datos Oracle fueron manipulados para cuentas de tarjetas de débito o openpayment en el mismo banco o para transferir dinero betweenaccounts utilizando el sistema de banca en línea. También se utilizó la red de cajeros automáticos todispense efectivo de ciertos cajeros automáticos en...
Leer documento completo
Regístrate para leer el documento completo.