Русскоязычный след: новый тулкит CTRL похищает данные, обходя классические средства защиты

Аналитики Censys обнаружили новый набор инструментов (тулкит), предназначенный для хищения данных. Тулкит CTRL позволяет злоумышленнику похищать учетные данные, перехватывать нажатия клавиш и получать удаленный доступ к устройству. Ряд маркеров в CTRL указывает на то, что это разработка русскоязычного специалиста, следует из отчета Censys.

CTRL разработан на базе .NET, он распространяется с помощью вредоносных LNK-файлов. Схема атаки включает шесть этапов — каждый последующий этап декодирует, расшифровывает или декомпрессирует следующий.

По словам специалиста отдела анализа защищенности Infosecurity (входит в «Софтлайн Решения», ГК Softline) Евгения Лебедева, CTRL не эксплуатирует уязвимости, а злоупотребляет штатным функционалом операционной системы. «Вся цепочка заражения построена на социальной инженерии и злоупотреблении штатным функционалом ОС — PowerShell, реестр, планировщик задач, RDP, именованные каналы», — говорит Лебедев, отмечая, что «непропатченность операционной системы» в данном случае не играет ключевой роли.

Кроме того, архитектура тулкита выстроена таким образом, чтобы оставлять минимум следов в сети — это принципиально отличает его от типичных RAT.

Продолжение ниже

В классическом RAT вредонос периодически отправляет beacon-запросы или логи по HTTP, HTTPS, DNS, отмечает Лебедев. Каждая команда и каждый ответ порождают сетевой трафик с характерными паттернами. Системы NDR/IDS видят эти паттерны и могут их детектировать, но CTRL работает иначе. На сетевом уровне FRP-клиент на машине жертвы создает обратный туннель к серверу оператора, через него пробрасывается RDP-порт жертвы. Оператор подключается к рабочему столу жертвы как обычный RDP-пользователь — по сети идет только зашифрованный RDP-поток.

«На локальном уровне вся командная коммуникация проходит через named pipe с именем ctrlPipe. Оператор, уже подключившись по RDP к рабочему столу жертвы, запускает ctrl.exe client, который через pipe управляет сервером. Это межпроцессное взаимодействие (IPC) внутри одной машины — оно не генерирует никакого сетевого трафика», — отмечает Лебедев.

«Облака — фундамент ИТ-инфраструктуры для стартапов и компаний нового формата. Это мировая тенденция повторяется и в России», — директор центра кибербезопасности Cloud.ru

Лица

Как отмечают в Censys, ни один из исполняемых файлов или элементов инфраструктуры не фигурировал в общедоступных источниках информации об угрозах. В компании полагают, что из этого следует, что тулкит был разработан специально для постоянного удаленного доступа и кражи данных против отдельных целей.

«Для российского пользователя «CTRL» представляет серьезную угрозу, потому что это не «один эксплойт», а полноценный пакет для постэксплуатации с фишингом, перехватом RDP и FRP-туннелированием, доставка идет через один вредоносный LNK-файл. Фактически ставка делается на обычное пользовательское открытие файла, а не только на уязвимость», — считает архитектор департамента «Информационная безопасность» «Рексофта» Даниил Левченко.

По словам Левченко, риск высок потому, что CTRL рассчитан на кражу учетных данных, перехват ввода и захват удаленного доступа. Если включен RDP, сохранены пароли, используются админские учетные записи или пользователь работает в корпоративной среде, последствия могут быть особенно тяжелыми: нарушитель получает не только доступ к системе, но и возможности для дальнейшего движения по сети.

Касательно происхождения тулкита Censys пишет, что были выявлены строки ошибок на русском языке, домен в зоне .ru и PDB-пути разработчика, отмечает Лебедев из Infosecurity. Однако это говорит лишь об авторстве, а не о географии атак.

Для защиты от CTRL Левченко рекомендует блокировать или хотя бы отслеживать подключения к инфраструктуре тулкита, включая «194.33.61.36» и «109.107.168.18» на порту 7000, а также нетипичный FRP-трафик с рабочих станций. Из пользовательских мер — не открывать LNK-файлы из ZIP/архивов и из переписок, ограничить RDP там, где он не нужен, убрать локальные админ-права у пользователей и включить поведенческое обнаружение на запуск PowerShell.