Компания Trusteer, специализирующаяся в области корпоративной защиты, обнаружила новую модификацию банковского троянца Gozi, включающую функционал руткита.

Руткиты считаются эффективным средством сокрытия вредоносного кода в системе, однако они редко используются зловредами, ориентированными на кражу финансовой информации. Исключения составляют печально известный Torpig/Sinowal и, пожалуй, Carberp, буткит-компонент которого был обнаружен ESET два года назад и с тех пор иногда всплывает на теневых форумах.

По свидетельству Trusteer, руткит-вариант Gozi заражает MBRи дожидается запуска Internet Explorer для реализации своего основного функционала. Как и прочие банкеры, Gozi осуществляет перехват трафика и способен на лету подменять веб-страницы банковских ресурсов. Эксперты отмечают, что сама программа-шпион видимых изменений не претерпела. Возможно, на черном рынке появился новый руткит, которым и воспользовались разработчики Gozi.

Модульный троянец Gozi, он же Papras, досаждает клиентам банков с 2006 года. По оценкам экспертов, его глобальная популяция превышает 1 миллион, включая 40 тыс. зараженных компьютеров в США, а также инфекции в Германии, Польше, Великобритании, Франции, Италии, Финляндии и Турции. Убытки от шпионской деятельности Goziизмеряются десятками млн. долларов.

В настоящее время в США запущен судебный процесс в отношении трех иностранцев, подозреваемых в создании и распространении этого троянца. Согласно исковому заявлению, идеологом Goziявляется россиянин Никита Кузьмин, который в свое время составил подобие ТЗ и нанял опытного программиста для написания исходного кода. Вначале Кузьмин предоставлял Gozi как SaaS через свой веб-сайт 76 Service, а в 2008 году запустил его в продажу, время от времени нанимая вирусописателей для совершенствования своего детища. Кузьмин был арестован в конце 2010 года и уже сознался в неправомерном вмешательстве в работу компьютерных систем.

Одним из наемников, помогавших Кузьмину дорабатывать Gozi, предположительно является латыш Денис Чаловский, бывший студент Рижского технического университета, а ныне мелкий бизнесмен. По запросу властей США он был задержан латышской полицией и недавно обжаловал решение местных властей об экстрадиции. Предполагаемый хостер C&C серверов Gozi Михай Паунеску (MihaiIonutPaunescu) был арестован в Румынии в конце 2012 года и ожидает решения о выдаче американским властям. По данным ФБР, он предоставлял bulletproof хостинг не только операторам Gozi, но также ботоводам ZeuS, SpyEye и прочих известных зловредов.

В ходе расследования деятельности группы Winnti нам удалось обнаружить достаточно много самплов Winnti, нацеленных на различные игровые компании. Используя эту сложную вредоносную программу, злоумышленники получали удаленный доступ к зараженным машинам, после чего действовали уже вручную.

Нам, конечно же, было важно узнать, каким образом вредоносная библиотека распространялась по локальной сети. Для этого мы последили за тем, что делают злоумышленники на зараженном компьютере.

Первая попытка: виртуальная машина 1

На раннем этапе исследования мы запускали вредоносные программы на виртуальной машине, и они нормально работали. Мы даже зафиксировали кое-какую активность со стороны злоумышленников. Но они быстро поняли, что это не тот компьютер, который они хотели бы поймать в свои сети, поэтому серверы злоумышленников перестали отвечать на запросы ботов с виртуальной машины.

Вот, что нам удалось узнать на этом этапе мониторинга.

Сначала, злоумышленники посмотрели, что происходит на рабочем столе жертвы. Потом, используя командную строку, атакующие вышли в корневой каталог текущего диска, просмотрели содержимое, поискали файл winmm.dll, уточнили версию операционной системы. После этого включился в работу плагин ListFileManager.dll, с помощью которого удобно просматривать содержимое каталогов, и анализу подверглись папки C:\Windows и C:\Work. Далее злоумышленники хотели перезагрузить компьютер (он должен был бы перезагрузиться через 1 секунду), но ошиблись в параметрах команды shutdown, введя 'shutdown /t /r 1'. Через некоторое время они уже в правильном формате вообще выключили компьютер командой 'shutdown /s /t 1'.

Несколько дней назад в списке рассылки Full Disclosure появилось сообщение об интересной вредоносной программе для Linux. Это очень любопытный образец – не только потому, что он предназначен для 64-разрядных платформ Linux и скрывает свое присутствие в системе с помощью хитроумных методов, но прежде всего из-за необычного функционала, связанного с заражением сайтов, размещенных на подвергшемся атаке HTTP-сервере. Таким образом, мы имеем дело с вредоносной программой, используемой для организации drive-by загрузок вредоносного ПО.

Вредоносный модуль создан специально для версии ядра 2.6.32-5-amd64. Это новейший вариант ядра, используемый в 64-разрядной системе Debian версии Squeeze. Исполняемый файл имеет размер более 500 кБ, но это связано с тем, что он был скомпилирован с отладочной информацией. Возможно, модуль находится на стадии разработки: создается впечатление, что некоторые функции не до конца отлажены или, может быть, еще не полностью реализованы.

Sophos подытожила последние нововведения авторов ZeroAccess. По оценке компании, популяция этого зловреда в настоящее время составляет порядка 1 млн. Более половины активных ботов функционируют на территории США.

Руткит ZeroAccess появился в Сети несколько лет назад и в настоящее время, по оценке экспертов, является одной из самых распространенных Windows-угроз. Главная цель зловреда, поддерживающего как 32-, так и 64-битные версии ОС Windows, ― приобщить зараженную машину к р2р-ботнету и создать площадку для загрузки дополнительных модулей. Авторы ZeroAccess постоянно совершенствуют свое детище, расширяя его функционал и набор средств самозащиты.

По свидетельству Damballa, ботнет, построенный на базе руткита TDL-4, обрел еще одно средство самозащиты ― DGA, генератор доменов.

Использование DGA (Domain Generation Algorithm) для маскировки истинного местонахождения C&C ― трюк отнюдь не новый и достаточно эффективный. Его с успехом применяли ботоводы Kraken, Sinowal, Waledac, Kido и ZeuS, чтобы повысить жизнестойкость командной инфраструктуры. DGA-алгоритм с заданной частотой воспроизводит длинные списки доменных имен, сгенерированных на основе случайной выборки. Пытаясь связаться с центром управления, бот последовательно перебирает позиции списка и направляет запросы DNS-серверу до тех пор, пока не обнаружит работающий домен.

Эксперты обнаружили повышенную NS-активность, наблюдая очередную мошенническую кампанию по накрутке кликов (click fraud) с участием TDL-4. Характерные особенности DNS-трафика вызвали срабатывание сетевых анализаторов Damballa, настроенных на поиск в Сети угроз на базе DGA. Оказалось, что источником подозрительного поведения являются боты TDL-4, которые пытаются отыскать C&C в Сети, чтобы доложить о результатах click fraud махинаций. Подтвердить свою находку живым примером экспертам пока не удалось: никто из коллег, похоже, не располагает нужным сэмплом. Чтобы удостовериться в правильности своих предположений, Damballa пришлось использовать sinkhole-маршрутизатор, перехватывающий командный трафик, и снимки памяти с зараженных устройств.

DGA-модификация TDL-4 предположительно живет в интернете с мая текущего года. На ее счету уже свыше 250 тыс. жертв, в том числе правительственные ведомства, интернет-провайдеры и 46 компаний из списка Fortune 500. Исследователи насчитали 85 серверов и 418 уникальных доменов, ассоциированных с новым TDL-4. Наибольшее количество C&C обнаружено в России (26 хостов), Румынии (15) и Голландии (12). Упомянутая выше click fraud кампания нацелена на угон кликов с Facebook, DoubleClick, YouTube, Yahoo.com, MSN и Google.com.

TDL-4 появился на интернет-арене два года назад как очередной результат эволюции руткита TDSS. По данным ЛК в начале прошлого года в состав ботнета, построенного на его основе, входило, свыше 4,5 млн. зараженных компьютеров. Это мощное орудие используется злоумышленниками для махинаций с рекламными и поисковыми системами, обеспечения анонимного доступа в Сеть и установки других вредоносных программ на машины в зомби-сети. В арсенале TDL-4 имеются такие средства самозащиты, как шифрование командного трафика, управление по р2р-каналам, прокси-серверы и даже собственный «антивирус» ― для устранения конкурентов на местах. Находка Damballa вновь доказывает, что процесс совершенствования TDSS идет полным ходом.

Южнокорейские интернет-власти не торопятся закрывать ресурс с открыто распространяемым вредоносным кодом, эксплуатирующим уязвимость CVE-2012-0003, закрытую патчем Microsoft MS12-004, выпущенным в январе 2012 года. Как мы уже обсуждали, вредоносный код доступен с 21-го января, и похоже, что в последние дни атакам через этот сайт подверглось достаточно небольшое количество корейских пользователей. В данное время сайт по-прежнему действует.

Похоже, что сам эксплойт надежен и его легко воспроизвести, и мы ожидаем, что он будет включен в состав популярных наборов эксплойтов, распространяемых через интернет. Судя по обсуждениям создателей эксплойтов, очень скоро в Сети появится исходный код «концептуального» эксплойта, что приведет к дальнейшему распространению эксплойта в течение нескольких дней. До сих пор наши продукты распознавали исходный вариант кода с помощью generic-детекта, созданного несколько лет назад, однако сейчас ведется работа над созданием детекта, который позволит обнаруживать javascript и эксплойт как Exploit.x.CVE-2012-0003. Немногочисленные посетители вредоносного сайта получали код, предназначенный для установки руткита и набора шпионских программ. Похоже, что руткит-компоненты нацелены на аккаунты к онлайн-играм, созданным южнокорейскими производителями игр в последние полгода.

Эксплойт использует уязвимость в библиотеке winmm.dll Windows Media Player с помощью механизма heap spray, который, как это ни странно, работает на большинстве версий Windows вплоть до 64-битной Windows Server 2008 SP 2.

Пожалуйста, не забывайте устанавливать обновления системы.

Наше исследование троянской программы Duqu продолжается. В первой части отчета, опубликованной несколько дней назад мы указали на существование гораздо большего количества драйверов, чем считалось раньше, а также сделали выводы о возможном наличии других модулей. Кроме того, мы пришли к выводу, что в отличие от массового распространения, как это было со Stuxnet, Duqu атакует только крайне малое число целей.

Однако прежде чем сообщить о наших очередных находках, я должен выразить глубокое уважение к работе, проделанной венгерской исследовательской лабораторией Crysys. Именно они были первыми, кто исследовал компоненты Duqu и подготовил великолепный отчет, который затем был предоставлен ими другим антивирусным компаниям и стал основой для дальнейших исследований. К сожалению, наша компания не была в числе первых получателей этого отчета, но тем интересней эта задача для нас сейчас – выяснить про Duqu всё.

Наши эксперты продолжают проводить глубокий анализ всех файловых компонентов Duqu и находят все больше и больше подтверждений его сходства со Stuxnet. Детальный отчет с анализом работы файлов и их структуры находится в процессе подготовки и будет опубликован позже. Эта часть исследования – сейчас не самое главное и срочное, гораздо важней понять причины происходящего и ход развития событий.

Прежде всего мы считаем необходимым внести ясность в некоторую путаницу с именами файлов и с самими файлами, относящимися к данному инциденту. Для полного понимания ситуации необходимо знать, что на самом деле речь идет о двух (как минимум) разных вредоносных программах. Все, что было сказано в прошедшие сутки о связи Duqu со Stuxnet, в большинстве случаев относится только к первой из этих программ.

Ее основной модуль по сути состоит из трех компонентов:

• драйвер, который осуществляет внедрение dll в системные процессы;
• dll, которая содержит дополнительный модуль и взаимодействует с центром управления;
• файл конфигурации.

Именно этот комплекс и имеет максимальное сходство со Stuxnet, как по внутренней структуре, так и поведению в системе. Однако название Duqu не имеет к основному модулю практически никакого отношения — оно исходит из имен файлов, которые создает в системе совершенно другая вредоносная программа–шпион!

Эта вторая программа в основном является кейлоггером, но также может собирать разнообразную дополнительную информацию. Она была обнаружена у одной из пострадавших компаний вместе с описанным выше основным модулем. С учетом возможностей основного модуля по загрузке дополнительных компонент, на основании этого было сделано предположение о связи этих двух вредоносных программ. В ходе своей работы троянец-шпион сохраняет собранные данные в файлы с именами вида ~DQx.tmp. По этим названиям и было дано имя, под которым теперь подразумевается и основной модуль.

На самом деле код троянца-шпиона свидетельствует о том, что кейлоггер в какой-то степени связан с основным модулем, и вероятней всего он действительно был когда-то им загружен. Что же касается функционала, то это совершенно самостоятельная вредоносная программа, которая может работать и без основного модуля. Точно так же, как и основной модуль может работать без наличия в системе троянца-шпиона. Однако связи между кейлоггером и Stuxnet не столь очевидны, так что его с очень большой натяжкой можно назвать в лучшем случае «внуком», но уж точно никак не «сыном» Stuxnet :)

- Что представляет собой Duqu и какое отношение он имеет к Stuxnet?

Duqu - сложная троянская программа, которая, похоже, была написана создателями скандально известного червя Stuxnet. Её основная цель - действовать в качестве бэкдора в системе, упрощая кражу частной информации. Это его основное отличие от Stuxnet, главной целью которого были диверсии на промышленных объектах. Также важно отметить, что если Stuxnet способен распространтсья с одного компьютера на другой при помощи различных механизмов, Duqu - это троянская программа, которая, судя по всему, не размножается самостоятельно.

- Направлена ли эта программа на оборудование PLC/SCADA? Известно ли, кто или что именно является мишенью программы?

В отличие от Stuxnet, Duqu не нацелен на оборудование PLC/SCADA напрямую, хотя некоторые из его подпрограмм могли бы использоваться для кражи информации, имеющей отношение к промышленным объектам. Duqu, похоже, предназначен для сбора конфиденциальной информации о его мишенях, что может включать практически любые данные, хранящиеся в цифровом формате на ПК жертвы.

- Каким образом Duqu заражает компьютеры? Может ли он распространяться через USB-устройства?

На данный момент мы наблюдаем только его следы в зараженных системах, а не его основной компонент. По-видимому, существует «материнский» дроппер для Duqu, который заражает компьютеры, однако мы пока не располагаем его самплом.

- Есть ли в составе Duqu эксплойт, особенно эксплойт нулевого дня?

Пока мы не обнаружили такового, однако продолжаем анализ. Вредоносный код достаточно сложен, и его анализ требует значительного количества времени.

- Каким образом производители антивирусных решений узнали об этой угрозе? Кто сообщил о ней?

Первое публичное упоминание, о котором нам известно, содержалось в блогпосте некоего венгерского блоггера, который, по-видимому, стал жертвой этой атаки. Позднее он опубликовал больше информации о сертификате, используемом для подписи драйвера Duqu, однако, в конечном счете, удалил все посты, имеющие отношения к этой атаке.

- Когда эта угроза была впервые обнаружена?

Нашими продуктами шпионский компонент (infostealer) детектируется с 14 сентября как Trojan.Win32.Inject.bjyg.

- Сколько существует вариантов Duqu? Есть ли между ними принципиальные отличия?

По-видимому, существует по крайней мере три варианта драйверов Duqu, а также несколько других компонентов. Все они детектируются разными антивирусными компаниями под разными названиями, что создает впечатление существования множества различных вариантов. На момент написания нам было известно об одном компоненте, крадущем конфиденциальную информацию, и трех различных драйверах.

- Говорят, что эта программа направлена именно на центры сертификации. Соответствует ли это действительности? Откуда это известно?

Действительно, существует информация, которая указывает на то, что основной целью Duqu является кража данных с CA, однако на данный момент мы не располагаем информацией, которая однозначно это бы подтверждала.

- По заявлениям Symantec, троянская программа нацелена на определенные организации, возможно, с целью сбора особой информации, которая может использоваться при проведении атак в будущем. Какая информация нужна злоумышленникам, и какие атаки возможны в будущем?

Одно из предположений - Duqu использовался для кражи у центров сертификации сертификатов, которые могут применяться для подписи вредоносного кода, чтобы затруднить его детектирование. На самом деле, backdoor-функционал в Duqu достаточно сложен и может использоваться для гораздо более разнообразных целей. По сути, он может красть все, что угодно.

- C&C-сервер, используемый Duqu, до сих пор активен? Что происходит при обращении зараженной машины к C&C?

C&C-сервер Duqu, раположенный в Индии, более неактивен. Как и в случае с Stuxnet, он был отключен достаточно быстро после распространения новостей о Duqu.

- Почему Duqu работает в течение 36 дней?

Может быть, его автору нравились круглые значения, как, например, 6x6?

- Кто стоит за этой атакой?

Та же группировка, которая создала Stuxnet. Любопытно то, что они, похоже, заинтересовались астрономией; в составе исполняемого файла-шпиона, есть часть JPEG-файла — изображение, полученное с телескопа Hubble (“Interacting Galaxy System NGC 6745”):

На картинке запечатлены последствия прямого столкновения двух галактик (!), которое произошло несколько миллионов лет назад. Об этом можно прочитать здесь.

Продолжение следует...

Эксперты Microsoft обнаружили новый механизм в системе обороны Alureon, позволяющий повысить жизнестойкость бот-сети. Запароленный конфигурационный файл со списком запасных C&C, который в случае ЧП использует один из его вариантов, внедрен в jpg-объект и доступен зловреду через LiveJournal и WordPress.

В случае нарушения связи с центрами управления Alureon, a.k.a TDSS, запрашивает определенные страницы названных блогов и ищет конкретные фото в формате jpg, размещенные на бесплатном веб-хостинге imageshack.us. URL этих страниц прописаны в штатном конфигурационном файле троянца, а поиск изображений ведется по специфическим img-тэгам. За расшифровку и обработку содержимого jpg-файла отвечает компонент com32, дополнительно загружаемый инсталлятором.

Исследователи отмечают, что сокрытие обфусцированной информации в jpg-файлах ― трюк не новый, но столь необычный способ его применения они встречают впервые.