В ходе расследования деятельности группы Winnti нам удалось обнаружить достаточно много самплов Winnti, нацеленных на различные игровые компании. Используя эту сложную вредоносную программу, злоумышленники получали удаленный доступ к зараженным машинам, после чего действовали уже вручную.

Нам, конечно же, было важно узнать, каким образом вредоносная библиотека распространялась по локальной сети. Для этого мы последили за тем, что делают злоумышленники на зараженном компьютере.

Первая попытка: виртуальная машина 1

На раннем этапе исследования мы запускали вредоносные программы на виртуальной машине, и они нормально работали. Мы даже зафиксировали кое-какую активность со стороны злоумышленников. Но они быстро поняли, что это не тот компьютер, который они хотели бы поймать в свои сети, поэтому серверы злоумышленников перестали отвечать на запросы ботов с виртуальной машины.

Вот, что нам удалось узнать на этом этапе мониторинга.

Сначала, злоумышленники посмотрели, что происходит на рабочем столе жертвы. Потом, используя командную строку, атакующие вышли в корневой каталог текущего диска, просмотрели содержимое, поискали файл winmm.dll, уточнили версию операционной системы. После этого включился в работу плагин ListFileManager.dll, с помощью которого удобно просматривать содержимое каталогов, и анализу подверглись папки C:\Windows и C:\Work. Далее злоумышленники хотели перезагрузить компьютер (он должен был бы перезагрузиться через 1 секунду), но ошиблись в параметрах команды shutdown, введя 'shutdown /t /r 1'. Через некоторое время они уже в правильном формате вообще выключили компьютер командой 'shutdown /s /t 1'.

После публикации технического описания вредоносной программы Shamoon, в прессе появились сообщения о том, что эта программа связана с атакой на компанию Saudi Aramco.

Присутствующая в теле программы дата и время соответствуют тем, которые были заявлены группой хакеров перед нанесением удара по компании Saudi Aramco как время начала атаки. Однако мы до сих пор не можем с уверенностью сказать, что Shamoon ответствен за ущерб, причиненный компьютерным системам Saudi Aramco.

А на прошлой неделе другая ближневосточная энергетическая компания, RasGas, стала жертвой вирусной атаки, и в прессе логично поставили вопрос о причастности Shamoon и к этому инциденту.

Оставляя догадки другим, мы концентрируемся на технической стороне вопроса. Этот пост является продолжением нашего исследования вредоносной программы Shamoon.

NETINIT.EXE

В основной программе Shamoon имеется ресурс PKCS7:113, содержащий исполняемый файл, который сохраняется на диск как %WINDIR%\System32\NETINIT.EXE. Эта программа является модулем общения с командным центром и запрограммирована на запуск с параметрами. Автор не был чересчур изобретателен и заложил обработку всего двух значений аргумента: '0' и '1'.

Если значение аргумента '0', то программа принимает второй аргумент как данные, которые необходимо отправить в URL с http get-запросом на командный центр. Вредоносная программа единожды соединяется с командным центром и завершает работу. Мы не обнаружили в коде Shamoon функционала по запуску программы netinit.exe с аргументом '0'.

Зато мы обнаружили, что netinit.exe запускается как 'netinit.exe 1'. После запуска программа регулярно соединяется с командным центром, чтобы сообщить о себе и получить команды. Этот цикл завершается, как только другой деструктивный модуль создает файл %WINDIR%\inf\netfb318.pnf, сообщая тем самым, что пришло время зачищать данные и разрушать операционную систему.

Мы продолжаем анализировать вредоносную программу Shamoon. Этот пост посвящен техническим деталям самплов, использованных в этой атаке.

Содержимое самплов

Основная программа (дроппер) содержит 3 ресурса, каждый из которых представляет собой зашифрованную программу. Как мы уже писали, шифрование довольно простое - xor двойным словом (dword).

Ресурс PKCS12:112 содержит исполняемый файл, зашифрованный значением 0xFB5D7F25. Во время исполнения дроппера этот исполняемый файл записывается на диск в каталог %WINDIR%\System32 под именем, которое берется из запрограммированного списка. В свою очередь, этот модуль содержит ресурс READONE:101 (ключ xor: 0xF052AF15) - это закодированный драйвер, который сохраняется как %WINDIR%\System32\Drivers\DRDISK.SYS.

Ресурс PKCS7:113 содержит исполняемый файл, зашифрованный значением 0x00BAD417 и сохраняемый во время исполнения дроппера на диск как %WINDIR%\System32\NETINIT.EXE.

Ресурс X509:116 содержит 64-битную версию основной программы Shamoon (дроппера), зашифрованную xor с ключом 0xBB1AC25C. Он включает в себя практически тот же набор ресурсов, что и 32-битная версия: PKCS12:112 - это 64-битная версия первого исполняемого файла, записываемого на диск, с 64-битной версией драйвера и PKCS7:113 - 64-битная версия программы NETINIT.EXE. Таким образом, ресурсы 112 и 113 закодированы идентичными ключами xor в x86 и AMD64 версиях, но ключи для драйверов отличаются: 64-битная версия зашифрована значением 0x10CAFFA0, тогда как x86 версия - значением 0xF052AF15. Ниже приведена схема, иллюстрирующая сказанное выше:

Содержимое самплов Shamoon

Основная программа Shamoon работает в 3-х режимах:

1. если она запущена как обычная программа в 32-битной ОС (зависит от аргументов);
2. если она запущена в 64-битной ОС;
3. если она запущена как служба в 32-битной ОС

64-битное окружение

В первую очередь программа проверяет, не запущена ли она в 64-битной операционной системе. Если это так, то она извлекает из ресурса X509:116 AMD64 версию основного исполняемого файла и сохраняет его по следующему пути %WINDIR%\System32\trksrv.exe. После этого создается и запускается служба 'TrkSvr' с помощью следующей командной строки:

%WINDIR%\System32\cmd.exe /c "ping -n 30 127.0.0.1 >nul && sc config TrkSvr binpath= system32\trksrv.exe && ping -n 10 127.0.0.1 >nul && sc start TrkSvr "

Эта ветка исполнения приходит к концу, и программа завершает работу.

Давайте посмотрим, что же программа делает, если она запущена обычным образом в 32-битной операционной системе.

Уже c осени прошлого года разработка головного модуля SpyEye остановилась на версии 1.3.48. Эта версия и доминирует в настоящее время в потоке самплов этого семейства.

Распределение SpyEye по версиям за период с 1 января 2012 г.*
* К другим версиям (7%) относятся 1.2.50, 1.2.58, 1.2.71, 1.2.80, 1.2.82, 1.2.93, 1.3.5, 1.3.9, 1.3.25, 1.3.26, 1.3.30, 1.3.32, 1.3.37, 1.3.41, 1.3.44

То, что автор не развивает платформу, не мешает SpyEye обзаводиться новыми функциями. Все дело в возможности разрабатывать и подключать плагины (библиотеки dll), которые может создать кто угодно. Проанализировав самплы SpyEye с начала года, я насчитал 35 плагинов. Ниже в таблице приведены эти дополнительные модули с указанием количества самплов, в которых они встретились:

Спам

20-го марта мы зафиксировали спам-рассылку, нацеленную на пассажиров авиакомпании US Airways. В течение практически всей прошлой недели многочисленным пользователям якобы от компании US Airways рассылалось письмо следующего содержания:

В письме-подделке описывается процесс регистрации полета и приводится код подтверждения для онлайн-бронирования.

По замыслу злоумышленников, если такое письмо получит пассажир, который собирается лететь указанным в письме рейсом, то он, скорее всего, пройдет по ссылке «Online reservation details» («Детали онлайн-бронирования»).

Ссылки в рассылаемых письмах отличались — например, мы видели ссылки на следующие домены: sulichat.hu, prakash.clanteam.com, panvelkarrealtors.com. Пройдя по ссылке, в результате серии редиректов пользователь попадал на страницу с эксплойт-паком BlackHole.

Как известно, разработчик банковского троянца-шпиона SpyEye реализовал поддержку плагинов в своем детище. По задумке автора с помощью этих плагинов сторонние разработчики могут вносить в базовый бот произвольный функционал.

Плагины представляют собой библиотеки DLL, которые хранятся в файле конфигурации бота. Среди базовых плагинов, созданных самим раработчиком SpyEye, имеется плагин под названием customconnector. Как можно догадаться из названия, этот плагин отвечает за коммуникацию бота с центром управления ботнета или же с коллектором (сервер злоумышленников, на который бот отправляет украденные с зараженного компьютера данные пользователя; может отличаться от сервера – центра управления).

Поскольку автор SpyEye вынес коммуникацию бота с центром управления на стороннюю разработку, у различных операторов ботнетов SpyEye появилась возможность создания уникальных протоколов общения бота и сервера управления. Использование таких протоколов, безусловно, могло бы усложнить слежение за активностью ботнетов, построенных на базе SpyEye. Но воспользоваться этой возможностью злоумышленники не спешат: старый протокол общения SpyEye, реализованный в базовой поставке customconnector.dll, используется по сей день. Недавно мы все-таки обнаружили кое-какие изменения, связанные с этим плагином.

На прошлой неделе мой коллега Хорхе Мьерес обнаружил сервер управления ботнетом, построенном на базе вредоносной программы Ice IX. Как анонсировалось на нескольких форумах, Ice IX — это бот, созданный на основе появившихся в мае этого года в публичном доступе исходников ZeuS 2.0.8.9. Как утверждает автор нового бота, в программу внесены значительные изменения, которые должны заинтересовать киберпреступников, занимающихся хищением денежных средств пользователей с помощью банковских троянцев.

рис. 1. Описание бота

рис. 1a. Описание бота

Некоторое время назад стало известно о том, что разработка ZeuS перешла к создателю другой троянской программы-конкурента SpyEye. Теперь все ждут, когда же в результате слияния двух этих программ-шпионов появится новый «монстр». Скорее всего, разработчик SpyEye выжмет из ZeuS самое ценное и реализует в SpyEye. Некоторые исследователи уже нашли куски кода, изначально принадлежащего ZeuS, в самплах SpyEye.

 
Часть кода SpyEye, идентичная коду ZeuS

Мы не ждали, что после передачи разработки ZeuS будут появляться новые модификации этого троянца. Конечно, мы все еще получаем стабильный поток самплов ZeuS, но практически все они давно известные версии вредоносной программы. Новые варианты чаще всего получаются просто путем пересборки с помощью конструкторов ZeuS, так называемых ZeuS-builder-ов, одним нажатием кнопки в таких программах. Но время от времени я натыкаюсь на необычные образцы троянца, и сейчас у меня имеются серьезные основания полагать, что ZeuS в той или иной степени все еще поддерживается и развивается.

Все началось с того, что пару месяцев назад мы обнаружили ZeuS, который имел новый функционал: он проверял, не выполняют ли его на тестовой платформе, например, внутри сэндбокса исследовательской компании. Троянец прекращал свое выполнение, если по некоторым признакам определял, что запущен в определенном окружении для анализа.

Ниже приведен пример одной из проверок — ZeuS проверяет, не запущен ли он на виртуальной машине VMware путем открытия специфических для этой виртуальной машины устройств:

1-я проверка, не запущен ли ZeuS на виртуальной машине VMware

2-я проверка, не запущен ли ZeuS на виртуальной машине VMware

Несколько недель назад появился другой ZeuS со странной для этого семейства активностью. Все последние варианты ZeuS имели один и тот же алгоритм расшифровки секции внутри своего кода, которая содержала начальные внутренние настройки троянца (ссылка, по которой должен загружаться файл конфигурации, ключ шифрования трафика и т.п.). Так вот, в новом необычном сампле обнаружилось двойное шифрование. Сначала данные расшифровываются по стандартному алгоритму, но адрес к файлу конфигурации при этом получается фальшивый. И только вторая расшифровка дает реальную ссылку на файл конфигурации, в котором, собственно, указывается адрес центра управления ботнетом.

Ниже показано, как это выглядит в действительности. После первой расшифровки в секции видны начальные настройки (подсвечены зеленым), но ссылка внизу фальшивая. Настоящая ссылка скрыта в области, выделенной красным, она проявится только после второй расшифровки.

Расшифровка секции начальных данных

А несколько дней назад я нашел ZeuS, который тоже проверяет, не запущен ли он для анализа, например, в антивирусной компании. Функционал тот же, но уже с небольшими изменениями: добавился еще один критерий для обнаружения новой тестовой площадки.

Этот вариант ZeuS к тому же имеет измененные по структуре части кода, которые оставались неизменными более полугода — а это тысячи и тысячи модификаций троянца.

Изменение одной из раннее неизменных частей кода ZeuS

Изменение части кода указывает на то, что сампл был создан с помощью новой перекомпилированной версии ZeuS-конструктора.

Отмечу, что такой функционал определения тестовых платформ уникален. Я бы сказал, скорее всего, он был добавлен к основному функционалу ZeuS по заказу как специальная функция, опция, если хотите. Таким образом, очень похоже на то, что эта модификация ZeuS является свидетельством продолжения технической поддержки последних важных клиентов, пользующихся троянцем.

В итоге, что же это такое? Предсмертные агонии умирающего «бога», или наоборот – перевоплощение в новую ипостась? Может быть, ZeuS станет менее распространенным, не для масс, но более эксклюзивным, так сказать, для избранных? Что ж, время покажет…

Злоумышленники, использующие троянскую программу ZeuS, в первую очередь жаждут заполучить учетные данные пользователей всевозможных онлайн-сервисов так или иначе связанных с деньгами. Этим и обусловлена статистика: в топе сайтов, на которые нацелен ZeuS, — адреса банков, платежных интернет-систем, интернет-аукционов, интернет-казино, интернет-бирж и т.п.

Но ZeuS все равно, что перехватывать, лишь бы пользователь вводил данные в браузере. Потому этого троянца стали использовать и для кражи логинов и паролей к онлайн-играм.

Кражей игровых персонажей злоумышленники промышляют давно. Тут выгода очевидна. Можно вымогать деньги у владельца украденного персонажа за возврат любимого компьютерного героя, а можно этого героя продать на рынках в интернете: хорошо «прокачанный» персонаж, да если еще и с редкими артефактами, может стоить очень дорого. Только представьте, сколько готов отдать обворованный пользователь за возврат ему персонажа, на которого потрачено, может быть, несколько лет игры? Для многих такие игры занимают очень важное место в жизни.

Чтобы перехватывать учетные данные от онлайн-игр, существуют специализированные, вредоносные программы. Но злоумышленники не гнушаются использовать и ZeuS для получения доступа к аккаунтам игроков. Среди онлайн-игр большой популярностью у злоумышленников (равно как и у пользователей) пользуется RPG Lineage II. Множество адресов сайтов, где игроки вводят учетные данные от этой игры, промелькнули в файлах конфигурации ZeuS: lineage-game.ru, la2.ru, arteas.ru, evermore.ru, l2server.ru, l2r.ru, la2world.ru.

Интересные ZeuS поля для ввода логина и пароля на одном из сайтов по тематике Lineage

Угроза потерять немалые деньги из-за того, что злоумышленник украл пароль и логин от учетной записи онлайн-банкинга, в настоящее время очень актуальна. Чтобы бороться с воровством денег через онлайн-системы управления банковским счетом многие банки взяли на вооружение usb-устройства. Чаще всего используют usb-токены (или usb-брелоки) и кард-ридеры. Когда пользователь проводит через интернет какую-либо транзакцию, сайт банка требует подтвердить, что эту транзакцию проводит именно хозяин счета. USB-токен или кард-ридер (после проверки уникальной карточки клиента) отправляет интернет-системе банка специальный код, который и является подтверждением.

Казалось бы, все безопасно: даже если преступник украдет логин и пароль у пользователя онлайн-банкинга, без кард-ридера или брелока он не сможет провести операцию по переводу денег. Но, как говорится, не мытьем, так катаньем — злоумышленники придумали, как обойти и такую систему защиты. Некоторые вредоносные программы вынуждают самого пользователя подтверждать операции по переводу денег со своего счета на счет злоумышленника. Как это делается, покажем на примере известного троянца ZeuS.

Этот троянец, заразив систему пользователя, проверяет все данные, которые проходят через веб-браузер. Он может изменять эти данные, например, добавляя вредоносный код в код скачанной пользователем странички. В результате пользователь увидит в окне браузера уже измененную троянцем версию сайта.

Для начала опишу, как работает система управления счетом без вмешательства троянца. Пользователь вводит свой логин и пароль в полях странички онлайн-банкинга. Если логин и пароль верны, система онлайн-банкинга допускает пользователя к разделу управления его банковскими счетами. После того, как пользователь попросит отправить средства, система банка потребует подтвердить это действие личной карточкой клиента через кард-ридер, который должен быть подключен к компьютеру пользователя. Так задумано разработчиками системы.

Вот какой ответ на это есть у злоумышленников.