Введение

Это описание атаки, которая разворачивается в Бразилии с 2011 года и эксплуатирует 1 уязвимость во встроенном ПО, использует 2 вредоносных скрипта и 40 вредоносных DNS-серверов; которая затронула 6 производителей вычислительной техники и из-за которой миллионы интернет-пользователей в Бразилии стали жертвами длительной, внешне ничем не проявляющей себя массовой атаки на DSL-модемы.

Мы покажем, как киберпреступники эксплуатировали невыявленную уязвимость, воздействуя на тысячи устаревших DSL-модемов по всей стране. В результате под атакой оказались сетевые устройства, принадлежащие миллионам частных и бизнес-пользователей; в течении нескольких месяцев распространялось вредоносное ПО, организовывались вредоносные перенаправления. На руку киберпреступникам играли повальное игнорирование проблемы интернет-провайдерами, ошибки, допущенные производителями «железа», безграмотность пользователей и безразличие к проблеме на официальном уровне.

Если вы полагаете, что вылечить все жертвы зловреда DNS Changer было «задачей не из легких», то оцените масштабы данной проблемы: всего атакой было затронуто 4,5 млн. модемов, и все в прекрасной солнечной Бразилии.

В настоящее время самыми популярными уязвимостями, которые злоумышленники эксплуатируют при заражении компьютеров пользователей, являются уязвимости в Adobe Reader, Flash и Java. Популярность эта обусловлена тем, что эксплойты к уязвимостям в этих продуктах заражают компьютеры вне зависимости от того, какие операционные системы и браузеры используют владельцы атакуемых машин. Можно предположить, что угрозы, которым подвергаются пользователи, не зависят от того, каким именно браузером они пользуются. Мы решили провести небольшое исследование и проверить это предположение.

Иллюстрация с сайта PCMAG

На днях мы получили интересную коллекцию образцов от коллег из другой антивирусной компании.

Образцы представляют интерес прежде всего потому, что они содержат модуль со следующей строкой:

C:\Shamoon\ArabianGulf\wiper\release\wiper.pdb

Конечно же, при упоминании 'wiper' нам в голову сразу же приходят инциденты с удалением данных с иранских компьютеров в апреле 2012 года, при расследовании которых был обнаружен Flame.

Вредоносная программа представляет собой исполняемый PE-файл размером 900 Кб, содержащий несколько зашифрованных ресурсов:

В истории Gauss и Flame остается много загадок. Например, каким образом происходит заражение вредоносной программой? И каково назначение шрифта с уникальным названием Palida Narrow, устанавливаемого Gauss?

Вероятно, наиболее интригующая тайна – это зашифрованный блок кода Gauss. В состав программы входит модуль под названием Godel, содержащий зашифрованный функционал. Вредоносная программа пытается расшифровать этот функционал, используя несколько строк, взятых из системы, и в случае успеха выполняет расшифрованный код. Как мы ни старались, нам не удалось расшифровать код. Поэтому сегодня мы представляем всю известную нам информацию о зашифрованных данных в надежде, что кто-то найдет решение и сможет раскрыть секрет. Мы просим всех, кто интересуется криптологией и математикой, принять участие в наших усилиях по разгадке этой тайны и расшифровке скрытого вредоносного функционала.

Контейнеры

На зараженных USB-носителях присутствуют два файла, содержащие несколько зашифрованных секций. Файлы, носящие имена System32.dat и System32.bin, являются 32-битной и 64-битной версиями одного и того же кода. Эти файлы загружаются с зараженных носителей с использованием хорошо известного LNK-эксплойта, впервые появившегося в Stuxnet. Их главная задача – добыть как можно больше информации о системе жертвы и сохранить ее на том же носителе в файле под названием .thumbs.db. Несколько известных на сегодняшний день версий этих файлов содержат по три зашифрованных секции (одна секция кода и две секции данных).

Ключ для расшифровки этих секций генерируется динамически в зависимости от определенных свойств зараженной системы, что не позволяет извлечь содержимое секций на иных компьютерах, чем выбранные злоумышленниками для атаки.

К слову, в 64-битной версии модуля оставлена часть отладочной информации. Модуль содержит строки, используемые в отладочных сообщениях, и названия модулей:

.\loader.cpp
NULL != encSection
Path
NULL != pathVar && curPos < pathVarSize
NULL != progFilesDirs && curPos < progFilesDirsSize
NULL != isExpected
NULL != key
(NULL != result) && (NULL !=str1) && (NULL != str2)
.\encryption_funcs.cpp

Данные

Таинственные зашифрованные данные хранятся в трех секциях:

Файлы также содержат зашифрованный ресурс «100», который, скорее всего, и является собственно вредоносным функционалом, учитывая относительно небольшой размер зашифрованных секций. Вероятнее всего, секция .exsdat содержит код, необходимый для расшифровки ресурса и выполнения его содержимого.

Алгоритм

Код, выполняющий расшифровку секций, намного сложнее алгоритмов, которые используются в обычных вредоносных программах. Ниже представлено краткое описание алгоритма:

Валидация

1. Создать список всех записей из GetEnvironmentPathW(“Path”), используя в качестве разделителя символ «;»
2. Дополнить список всеми записями, возвращаемыми FindFirstFileW / FindNextFileW по маске “%PROGRAMFILES%\*”, где cFileName[0] > 0x007A (UNICODE ‘z’)
   Замечание: по сути, это означает конкретную программу, установленную в “%PROGRAMFILES%”, имеющую имя, начинающееся со спецсимвола, такого как “~”, как в нашем примере, или использующее кодовую страницу UNICODE для других языков, скажем, арабского или иврита, где все коды символов больше, чем 0x007A.
3. Составить все возможные пары из элементов полученного списка.
4. Для каждой пары добавить первую заданную соль длиной 16 байтов и вычислить MD5-хеш.
   
   

   
   Пример пары строк, вторая из которых начинается с “~dir”, и первой соли

5. Вычислить MD5-хеш от хеша (т.е. hash = md5(hash) ) 10000 раз.
6. Проверить, соответствует ли полученный MD5-хеш заданному значению. Если нет, прекратить выполнение.

Расшифровка

Секции расшифровываются в следующем порядке: .exsdat, .exrdat, .exdat

1. Использовать пару PATH/PROGRAMFILES, использованную для вычисления «правильного» MD5-хеша валидационным кодом выше.
2. Добавить к паре вторую заданную соль длиной 16 байтов и байты 0x15, 0x00
   
   

   
   Пример пары строк, вторая из которых начинается с “~dir”, и второй соли

3. Вычислить MD5-хеш полученного буфера.
4. Вычислить MD5-хеш хеша (т.е. hash = md5(hash) ) 10000 раз.
5. Вычислить RC4-ключ на основе полученного хеша, используя функцию WinAPI CryptDeriveKey(hProv, CALG_RC4, hBaseData, 0, &hKey).
6. Расшифровать секцию (RC4), используя первый DWORD секции как длину расшифровываемого буфера, при этом зашифрованный буфер начинается со смещения 4 от начала секции.
7. Сравнить DWORD в расшифрованном буфере на позиции 0 или 7 с магическим значением “0x20332137”. Продолжить только в случае, если хотя бы один из DWORD совпадает.
8. Увеличить последний WORD в буфере пара+соль (первоначальное значение 0x0015) на 1.
9. Расшифровать следующую секцию, goto 3.

После расшифровки всех секций: вызвать функцию в начале секции .exsdat.

Пример данных для проверки алгоритма:

Пара строк получается путем их склеивания. Строки и соль в буфере не разделяются какими-либо символами.

• “C:\Documents and Settings\john\Local Settings\Application Data\Google\Chrome\Application”
• “~dir1”

Первая соль, hex-дамп: 97 48 6C AA 22 5F E8 77 C0 35 CC 03 73 23 6D 51
MD5 на шаге 6 валидации: 76405ce7f4e75e352c1cd4d9aeb6be41
Вторая соль, hex-дамп: BB 49 4E 77 F9 25 EE C0 3B 89 FC ED C2 22 4A 21
MD5 на шаге 5 расшифровки: 00916031b3e9513044436ee42b6aa273

Примите участие в поиске ответа

Мы безуспешно перепробовали миллионы комбинаций известных имен в %PROGRAMFILES% и Path. Наличие проверки первого символа имен файлов в папке %PROGRAMFILES% показывает, что злоумышленники ищут совершенно конкретную программу, имя которой записано в расширенном наборе символов, например, используемом в арабском языке или иврите, или начинается со спецсимвола, например, “~”.

Конечно, очевидно, что этот шифр невозможно сломать с помощью простого перебора. Мы приглашаем всех, кого интересует задача взлома шифра и расшифровки загадочного вредоносного функционала, присоединиться к нам.

Секция ресурсов достаточно велика, чтобы содержать код целевой атаки, подобный примененной в Stuxnet атаке на SCADA-систему, а использованные авторами меры предосторожности свидетельствуют о том, что цель у этой атаки действительно чрезвычайно значимая.

Ниже мы приводим первые 32 байта зашифрованных данных и хеши для известных вариантов модулей. Если вы специалист по криптографии мирового класса или можете помочь нам в расшифровке, пожалуйста, напишите нам на электронный адрес: theflame@kaspersky.com.

Исходные данные

Ниже представлены hex-дампы до 32 первых байтов из начала каждой зашифрованной секции, не считая DWORD, в котором записана длина зашифрованного буфера. Пожалуйста, напишите нам на электронный адрес theflame@kaspersky.com, если вам требуются дополнительные фрагменты зашифрованных данных..

Нет, он ещё жив, особенно в Латинской Америке. Каждый день мы фиксируем множество подобных атак, которые проводятся с использованием локальных DNS-настроек. На самом деле эти атаки немного другие: они вносят изменения в локальный HOST-файл, но принцип тот же — перенаправление жертвы на вредоносный хост через вредоносные DNS-записи.

Латиноамериканские киберпреступники обычно используют повторно старые технологии, которые в прошлом уже использовались в других регионах, и сейчас идет рост количества атак, которые проводятся с использованием локальных DNS-настроек. Примером является последняя вредоносная атака, в которой были задействованы приёмы социальной инженерии, когда злоумышленники выдавали себя за сотрудников налоговой службы Мексики.

Всего несколько дней осталось до начала церемонии открытия Летних олимпийских игр в Лондоне, и в этой связи самое время мягко напомнить о безопасности.

В данном случае речь идет не о безопасности самих Игр. Конечно, возможно, что кто-то может попытаться нарушить системы, используемые для поддержки Олимпиады – к примеру, повредить веб-сайты, исказить показания информационных табло или «посеять» вредоносные программы на официальных веб-сайтах Игр. Однако правительством Великобритании создана команда для сведения к минимуму риска прямых атак на олимпийские системы 2012 года в Лондоне.

Я хотел обратить внимание на две возможные опасности, с которыми могут столкнуться посетители игр.

Во-первых, есть риск того, что мошенники могут заманить болельщиков на поддельные веб-сайты, которые на первый взгляд выглядят как легитимные, например, 'www.london2o12.com'. Возможно, злоумышленники попытаются обогатиться за счет ажиотажа в связи с покупкой билетов в самый последний момент. На поддельном сайте мошенники могут продавать фальшивые билеты или просто выманивать личную информацию. При этом для привлечения пользователей на такие сайты фишеры могут использовать не только электронную почту, но и мгновенные сообщения или сообщения в социальных сетях.

Во-вторых, риск возникает при использовании незащищенных точек доступа wi-fi. В мире, где практически все устройства обладают возможностью постоянного подключения к сети, wi-fi – это способ оставаться на связи. Точку доступа wi-fi можно найти почти везде, где бы вы ни находились. Однако если вы передаете данные по неизвестной и непроверенной сети, они могут быть кем-нибудь перехвачены. Так что если вы – владелец ноутбука или планшета, убедитесь, что используемое соединение защищено с применением https, и используйте уникальные сложные пароли для каждой учетной записи (то есть такие пароли, в которых буквы чередуются с цифрами и символами, и длина которых больше 8 знаков). Если вы выходите в интернет со смартфона, не используйте непроверенную сеть wi-fi для операций, требующих ввода конфиденциальной информации, таких как банковские операции, онлайн-шоппинг и доступ к социальным сетям. Если вам необходимо использовать публичную сеть wi-fi (например, по работе), лучше всего пользоваться VPN-соединением вне зависимости от того, на какой платформе работает ваше устройство – Windows, Mac, Android или iOS.

В общем, если вы собираетесь купить билеты на игры или просто планируете быть в Лондоне этим летом, будьте бдительны и оставайтесь в безопасности.

*Уэнлок и Мандевиль – официальные талисманы Олимпийских игр 2012 в Лондоне.

Как я говорил в своем прошлом посте, количество вредоносного ПО для платформы Android неуклонно растёт. Причин роста много, в том числе та, что стать участником партнёрской программы и приступить к распространению вредоносного ПО может каждый и таких людей становится все больше. А те, кто в черном бизнесе уже давно, наращивают свои мощности и выдают всё больше вредоносного ПО. Пока речь идёт о количественной характеристике, будем называть это "ростом вширь". Рост интенсивный мы считаем качественным – в данном случае речь идёт о совершенствовании создаваемого вирусописателями ПО. Как правило, это уникальные образцы зловредов, написанные одним человеком или группой лиц. Такие зловреды совершенно не похожи на общие тренды.

Уже c осени прошлого года разработка головного модуля SpyEye остановилась на версии 1.3.48. Эта версия и доминирует в настоящее время в потоке самплов этого семейства.

Распределение SpyEye по версиям за период с 1 января 2012 г.*
* К другим версиям (7%) относятся 1.2.50, 1.2.58, 1.2.71, 1.2.80, 1.2.82, 1.2.93, 1.3.5, 1.3.9, 1.3.25, 1.3.26, 1.3.30, 1.3.32, 1.3.37, 1.3.41, 1.3.44

То, что автор не развивает платформу, не мешает SpyEye обзаводиться новыми функциями. Все дело в возможности разрабатывать и подключать плагины (библиотеки dll), которые может создать кто угодно. Проанализировав самплы SpyEye с начала года, я насчитал 35 плагинов. Ниже в таблице приведены эти дополнительные модули с указанием количества самплов, в которых они встретились:

30 мая в столице Нигерии Лагосе будет приниматься решение об экстрадиции участника фишинговой группировки, против которой выдвинуты обвинения в американском штате Нью-Джерси.

По свидетельству ФБР, 7 нигерийцев, шестеро из которых давно обосновались в США, на протяжении года грабили банковские и зарплатные счета американцев, выуживая персональные идентификаторы с помощью фишинговых рассылок и поддельных сайтов. Получив доступ к чужим счетам, они связывались с банками по телефону и выводили краденые деньги переводами Western Union и Moneygram в другие штаты, Мексику, Великобританию, Латвию, Францию, Болгарию, Россию и Нигерию. Общая сумма мошеннических переводов составила 3,5 млн. долларов, из них 1,3 млн. фишеры успешно изъяли.

Подставной счет на территории Нигерии держал 26-летний выпускник местного университета Оланийи Виктор Макинде (Olaniyi Victor Makinde), который также подрабатывал в Сети, играя роль перспективной «невесты». Его альтер эго Бренда Стюарт умудрилась своими «капризами» выставить двоих американцев на 620 тыс. долл. В сентябре прошлого года нигерийским властям удалось арестовать фальшивую «невесту», которую они вычислили с помощью ФБР. В связи с новыми обвинениями ― в фишинге ― дело о брачном мошенничестве было приостановлено, и Макинде предстоит воссоединиться с другими «коллегами по цеху» на территории США.

Выявить остальных сообщников ФБР не составило труда. Двое из них задержаны в Джорджии, где они незадолго до этого отбывали срок за подделку банковских чеков. Обвинения по делу о групповом фишинге были официально оглашены в конце января текущего года.

Эксперты GFI Software обнаружили массовую рассылку вредоносных URL с поддельных Twitter-аккаунтов.

Зловредные твиты приглашают русскоязычных пользователей принять участие в свинг-вечеринке, англоязычных ― посмотреть на сексапильных дамочек. Все они доступны как с компьютера, так и со смартфона и снабжены ссылкой на внешний ресурс, размещенный в доменной зоне .tk. Последний по сути является редиректором и перенаправляет пользователя на страницу в зоне .ru, рекламирующую антивирусный сканер для Android-устройств.

При заходе на нее со смартфона потенциальной жертве воспроизводится русскоязычный текст, извещающий владельца устройства о заражении системных файлов с предложением активировать защиту. При нажатии соответствующей кнопки происходит загрузка и установка некоего файла, именуемого VirusScanner; на ПК он загружается с расширением .jar, на смартфон ― с .apk. Первый при выполнении выдает ошибку, второй содержит лжеантивирус, который с успехом инсталлируется на мобильном устройстве под логотипом Лаборатории Касперского.