APT-атака Darkhotel
[embedded content]
PDF-версия отчета Приложение
Краткий обзор Darkhotel APT — это кампания операций кибершпионажа с противоречивым набором используемых инструментов: некоторые из них весьма продвинуты, а некоторые довольно примитивны. Группа злоумышленников, стоящая за Darkhotel, активна уже в течение 7 лет. Эта активность во многом связана с беспроводными компьютерными сетями в гостиницах и бизнес-центрах, частично она проявлялась в P2P файло-обменных сетях, также известны факты проведения целевых рассылок по электронной почте отдельным целям. Инструменты Darkhotel детектируются под именами Tapaoux, Pioneer, Karba, Nemim и пр. Вот список особых характеристик данной группы:
Компрометация доверенных сетевых ресурсов, расположенных по всему миру, с целью долгосрочного их использования. Продвинутые математические и крипто-аналитические возможности, а также компрометация сертифицирующих органов с целью кражи сертификатов. Заражение случайных компьютеров в определенных странах для построения ботнета. Продвинутый клавиатурный шпион, работающий на уровне ядра ОС. Избирательность в категориях жертв, отслеживание перемещения наиболее интересных жертв. Широкая динамичная инфраструктура, состоящая из веб-серверов, динамических DNS-записей, крипто-библиотек и веб-приложений. Доступ к 0-day уязвимостям. В одной из целевых атак использовался эксплойт к 0-day уязвимости в Adobe Flash. В некоторых случаях использовались другие 0-day эксплойты.
Введение Когда ничего не подозревающие путешественники, включая руководителей компаний и вице-президентов, приезжают в командировки, заселяются в дорогостоящие гостиницы и подключают свои компьютеры к местной беспроводной сети, их заражают редким троянцем, который маскируется под обновления популярного ПО — Google Toolbar, Adobe Flash, Windows Messenger и т.д. Если это не целевая атака на конкретного человека, то на этом этапе атакующие с помощью несложного троянца определяют, насколько интересна попавшая в их сети жертва. После этого атака на нее может продолжиться уже при помощи более серьезных инструментов.
Вредоносный код, судя по всему, может атаковать и заранее определенных пользователей. Предположительно группа злоумышленников знает, когда интересующие их люди въедут и выедут из гостиниц; им также известны номера комнат и полные имена постояльцев. Таким образом, злоумышленники просто ждут, когда намеченные жертвы приедут и выйдут в интернет из своих гостиничных номеров.
В прошлом ФБР выпускало предупреждение о подобной угрозе, исходящей от беспроводных сетей в гостиницах. Австралийские госслужащие также заявляли о похожих случаях заражения. Предупреждение ФБР об атаках на постояльцев гостиниц было выпущено в мае 2012 г., однако экземпляры Darkhotel циркулировали уже в 2007 г. Журнал на проанализированном сервере Darkhotel содержал записи о соединениях с зараженными компьютерами, относящиеся к 1 января 2009 г. Кроме того, Darkhotel активно заражает пользователей в P2P-сетях и рассылает электронные письма с эксплойтами, использующими 0-day уязвимости. Это говорит о том, что группа Darkhotel имеет достаточно эффективный набор инструментов и давно действует в сфере атак на постояльцев гостиниц.
Анализ Распространение через гостиницы и бизнес центры. Неизбирательное заражение Факты распространения Darkhotel были отмечен в определенных гостиничных сетях. Постояльцы, пытающиеся подсоединиться к гостиничной Wi-Fi сети, получали приглашение к установке обновлений популярных программных продуктов.
На деле эти программы оказались инсталляторами бэкдоров Darkhotel, которые были «приклеены» к легитимным инсталляторам продуктов от компаний Adobe и Google. Бэкдоры Darkhotel, имеющие цифровые подписи, устанавливаются одновременно с легальными продуктами.
В этом методе распространения самое интересное то, что постояльцы гостиниц, как правило, должны ввести свою фамилию и номер комнаты для регистрации в сети, при этом Darkhotel оказались заражены компьютеры только некоторых постояльцев. Мы отправились в те же гостиницы и попытались подключиться к сети Интернет с необновленной системы, но так и не дождались атаки Darkhotel. Мы полагаем, что атакующие очень аккуратно используют возможность доставлять вредоносный код через сети гостиниц и атакуют строго определенных людей и в определенное время.
Злонамеренное использование сетевой инфраструктуры Киберпреступники, стоящие за атаками Darkhotel, в течение нескольких лет сохраняли незаметным метод проникновения в гостиничные сети. Этим они обеспечивали себе широкие возможности для атак на устройства постояльцев гостиниц. Предположительно они получали информацию о постояльцах, времени их заезда и выезда, при этом они выбирали лишь наиболее дорогие из гостиниц.
В ходе нашего расследования мы определили, что веб-браузеры пользователей в гостиничных сетях перенаправлялись прямо на исполняемые файлы троянца через внедренный HTML-код.
Злоумышленники аккуратно размещали как внедренный код, так и исполняемые файлы на доверенных ресурсах, а именно прямо на порталах регистрации, принадлежащих гостиничной сети. Стоит отметить, что в настоящее время все вредоносные файлы уже удалены.
В конце 2013 г. и начале 2014 г. мы отследили признаки нескольких таких инцидентов в гостиничной сети. Злоумышленники тщательно готовятся к появлению своих жертв. Как только постоялец выезжает из гостиницы, время атаки заканчивается, и злоумышленники удаляют внедренный код и бэкдоры из гостиничной сети.
Этот метод атаки размывает границу между двумя активно используемыми тактиками APT-атак: довольно широкими атаками типа wateringhole и spear-phishing. В случае Darkhotel, злоумышленники ждут, когда жертва подключится к интернету по гостиничной Wi-Fi сети или через проводное подключение в номере. По сути, злоумышленники полагаются на вероятность, и она очень велика, что жертвы войдут в сеть через эти каналы. Но в то же время злоумышленники располагают действительно точной информацией о пребывании жертвы в гостинице — это можно сравнить с точечной направленной атакой, когда злоумышленники знают адрес электронной почты жертвы и отправляют специально созданное для жертвы письмо.
Неизбирательное распространение В качестве примера неизбирательного распространения Darkhotel рассмотрим, как он распространяется на японских ресурсах P2P-обмена файлами. В данном случае вредоносное ПО доставляется жертве в составе большого (около 900Мб) RAR-архива. Точно такой же архив распространялся и через торрент-сети (подробности описаны ниже). В случае Darkhotel, данным методом рассылался троянец Karba. Сами архивы содержали японские комиксы военного или сексуального характера, переведенные на китайский язык и направленные на потенциальных китаеязычных жертв, у которых есть интерес к соответствующим темам.
Менее чем за полгода пакет-дистрибутив Darkhotel был скачан более чем 30000 раз. P2P-торрент Darkhotel, указанный ниже, был опубликован 22 ноября 2013 и распространялся в течение 2014 года.
Название файла: (一般コミック)[古味直志]ニセコイ第0109巻.rar
Этот торрент связан с файлом размером почти в 900 Мб. Это RAR-архив, который содержит каталог, внутри которого находятся зашифрованные ZIP-файлы, дешифровщик и файл с паролем. На практике оказывается, что файл AxDecrypt.exe наряду с расшифровщиком содержит ещё и установщик троянца Karba (файл Catch.exe), связанный с Darkhotel. Когда пользователь скачивает торрент и разархивирует ZIP-файлы, троянец незаметно устанавливается и запускается на компьютере-жертве.
Catch.exe (детектируется как Backdoor.Win32.Agent.dgrn) связывается со следующими командными серверами Darkhotel:
microdelta.crabdance.commicroyours.ignorelist.commicronames.jumpingcrab.commicrochisk.mooo.commicroalba.serveftp.com В других случаях в составе пакета, который раздается через торрент, кроме прочего, содержится японское аниме «для взрослых». Каждая торрент-раздача была скачана десятки тысяч раз.
Примеры имени такого файла:» [hgd资源组][漫画]comic1☆7漫画合集③+④+⑤+特典[5.08g][绅士向][总第四十三弹](七 夕节快乐!)»
Кампании целевых атак по электронной почте В последние пять лет несколько раз в широком доступе появлялись разрозненные данные о кампаниях Darkhotel, в которых были использованы другие программы для целевых атак, известные под именем Tapaoux. Целевые фишинговые кампании (spear-phishing) были направлены против предприятий военно-промышленного комплекса, государственных учреждений и неправительственных организаций. В качестве приманки использовались сообщения на такие темы, как ядерная энергетика и ядерное вооружение. Ранее на сайте contagio уже публиковались сообщения о схожих атаках на неправительственные организации и госучреждения. Эти целевые атаки по электронной почте продолжаются и в 2014 г. Атаки происходят по типовой для этого схеме. В последние месяцы зараженные системы скачивали вредоносные EXE-файлы со следующих адресов:
hxxp://officerevision[.]com/update/files22/update.exe hxxp://tradeinf[.]com/mt/duspr.exe. Сценарий прост: жертва получает письмо по электронной почте, содержащее ссылку, которая направляет браузер на страницу с эксплойтом, использующим уязвимость в установленном ПО. Иногда и в приложении к письму может содержаться эксплойт к одному из продуктов Adobe.
Недавний случай использования 0-day эксплойта Данная группа злоумышленников время от времени использует 0-day эксплойты. В течение последних нескольких лет, как правило, использовались эксплойты для программных продуктов от Adobe и Microsoft, например к уязвимости CVE20100188. В начале 2014 г. наши исследователи обнаружили, что группа также использовала уязвимость CVE20140497, которая на тот момент являлась 0-day уязвимостью в Adobe Flash. Мы уже писали про это в одном из наших блогпостов на Securelist в начале февраля.
Группа провела серию целевых атак на системы, подсоединенные к интернету через китайских провайдеров. Атакующие предусмотрели возможность работы эксплойта на последней на тот момент версии Windows 8.1. Интересно то, что Flash-объекты были встроены в документы на корейском языке с заголовком «Список новейших японских антивирусов и как использовать торренты» (приблизительный перевод). Загрузчик (md5: d8137ded710d83e2339a97ee78494c34) использовал вредоносный код, похожий по функционалу на компонент «Information Stealer», описанный в Приложении D.
Цифровые сертификаты и отзыв доверия к сертифицирующим органам Группа злоумышленников, стоящая за Darkhotel, обычно подписывала свои бэкдоры цифровыми сертификатами. Интересно, что у части сертификатов оказалась одна особенность — короткая длина ключа. Судя по всему, группа имела возможность получать секретные ключи, необходимые для создания поддельных сертификатов, двумя способами: либо красть их непосредственно у подписывающей компании, либо взламывать слабые RSA-ключи, использованные в некоторых сертификатах. Стоит отметить, что взлом ключей требовал достаточно больших вычислительных ресурсов и хороших знаний в области криптографии. Ниже приведен список сертификатов, которыми часто подписывали вредоносный код Darkhotel.
Корневой центр сертификации Подчиненныйцентрсертификации/Издательсертификата Владелец Статус Действителен от Действителен до GTECyberTrust DigisignServerID (Enrich) flexicorp.jaring.mySHA1/RSA (512bits) Истёк 12/17/2008 12/17/2010 GTECyberTrust CybertrustSureServerCA inpack.syniverse.mySHA1/RSA (512bits) Отозван 2/13/2009 2/13/2011 GTECyberTrust CybertrustSureServerCA inpack.syniverse.comSHA1/RSA (512bits) Отозван 2/13/2009 2/13/2011 GTECyberTrust AnthemIncCertificateAuth ahi.anthem.comSHA1/RSA (512bits) Недействителен 1/13/2010 1/13/2011 GlobalSign DeutscheTelekomCA5 www.kuechentraum24.deSHA1/RSA (512bits) Отозван 10/20/2008 10/25/2009 GTECyberTrust DigisignServerID (Enrich) payments.bnm.gov.mySHA1/RSA (512bits) Недействителен 12/7/2009 12/7/2010 GTECyberTrust TaiCASecureCA esupplychain.com.twSHA1/RSA (512bits) Истёк 7/2/2010 7/17/2011 GTECyberTrust DigisignServerID (Enrich) mcrs2.digicert.com.mySHA1/RSA (512bits) Недействителен 3/28/2010 3/28/2012 GTECyberTrust CybertrustSureServerCA agreement.syniverse.comSHA1/RSA (512bits) Недействителен 2/13/2009 2/13/2011 GTECyberTrust CybertrustSureServerCA ambermms.syniverse.comSHA1/RSA (512bits) Недействителен 2/16/2009 2/16/2011 EquifaxSecureeBusinessCA1 EquifaxSecureeBusinessCA1 secure.hotelreykjavik.ismd5/RSA (512bits) Недействителен 2/27/2005 3/30/2007 GTECyberTrust CybertrustEducationalCA stfmail.ccn.ac.ukSHA1/RSA (512bits) Недействителен 11/12/2008 11/12/2011 GTECyberTrust DigisignServerID (Enrich) webmail.jaring.mySHA1/RSA (512bits) Недействителен 6/1/2009 6/1/2011 GTECyberTrust CybertrustEducationalCA skillsforge.londonmet.ac.ukSHA1/RSA (512bits) Недействителен 1/16/2009 1/16/2012 GTECyberTrust DigisignServerID (Enrich) anjungnet.mardi.gov.mySHA1/RSA (512bits) Недействителен 9/29/2009 9/29/2011 GTECyberTrust AnthemIncCertificateAuthority dlaitmiddleware@anthem.comSHA1/RSA (512bits) Недействителен 4/22/2009 4/22/2010 GTECyberTrust CybertrustEducationalCA adidmapp.cityofbristol.ac.ukSHA1/RSA (512bits) Недействителен 9/11/2008 9/11/2011 Verisign VerisignClass3SecureOFXCAG3 secure2.eecu.comSHA1/RSA (512bits) Недействителен 10/25/2009 10/26/2010 RootAgency RootAgency Microsoftmd5/RSA (1024bits) Недействителен 6/9/2009 12/31/2039 GTE Cybertrust CyberTrustSureServer CA trainingforms.syniverse.comSHA1/RSA (512 bits) Недействителен 2/17/2009 2/17/2011 Во всех указанных выше случаях вредоносный код Darkhotel оказался подписан сертификатами, выпущенными одним и тем же корневым и нижестоящим центром сертификации и имеющими слабые MD5-ключи (RSA 512 бит). Эти свойства наводят на мысль о том, что злоумышленники, скорее всего, воссоздали секретные ключи, необходимые для создания собственной цифровой подписи. Многие из этих сертификатов упомянуты в блогпосте компании Fox-IT в 2011 г. RSA512 Certificates Abused in the Wild.
В дополнение мы рекомендуем ознакомиться со следующими документами: бюллетень по безопасности Microsoft, бюллетень от Mozilla и ответы на портале Entrust.net.
Из Бюллетня по безопасности Microsoft от 10 ноября 2011 г.:
«Корпорация Майкрософт получила информацию, что DigiCert Sdn. Bhd, малазийский подчиненный центр сертификации Entrust и GTECyberTrust, выпустил 22 сертификата со слабыми 512-битными ключами. В случае взлома таких слабых ключей шифрования злоумышленник может использовать сертификаты в мошеннических целях для подделки содержимого, фишинга или совершения атак типа «человек посередине» против пользователей веб-браузеров (включая Internet Explorer). Хотя это не является уязвимостью в продуктах Майкрософт, данная проблема затрагивает все поддерживаемые версии Microsoft Windows.
Хотя достоверно неизвестно, что сертификаты были выпущены мошеннически, однако известны случаи, когда слабые ключи шифрования делали возможным воссоздание некоторых сертификатов и использование их в мошеннических целях.
Майкрософт выпустила обновление для всех поддерживаемых версий Microsoft Windows, которое отзывает доверие к DigiCertSdn. Bhd. Обновление отзывает доверие для следующих двух сертификатов, выпущенных промежуточными центрами сертификации:
DigisignServer ID — (Enrich), выпущенный центром сертификации Entrust.net Digisign Server ID (Enrich), выпущенный GTE CyberTrust Global Root.» Из бюллетеня Mozilla, 2011 г.:
«Хотя мы не располагаем данными о том, что эти сертификаты были изданы мошенническим образом, они могут быть скомпрометированы в силу того, что были выбраны слабые параметры ключа. Более того, сертификаты, изданные этим сертифицирующим органом, имеют несколько технических проблем. У них нет расширения EKU, не указано целевое предназначение ключа, и, наконец, они изданы без информации о том, как они могут быть отозваны.»
Из ответа производителя защитных решений Entrust:
«Мы не располагаем сведениями о том, чтобы сертифицирующий орган Digicert Malaysia был скомпрометирован».
Взлом ключей Вот несколько заметок о том, сколько могла стоить криптографическая атака на данные сертификаты, и какие потребовались для этого технические ресурсы.
Чтобы взломать и разложить на множители 512-битный ключ, нужен компьютер стоимостью $5000 и время около 2 недель (подробнее тут).
Ранее уже обсуждалась методика технического взлома подобных ключей. В 2001 году вышла статья Дэниэла Бернстайна (Daniel J. Bernstein) о построении вычислительной машины для сокращения стоимости выполнения задачи целочисленного разложения на множители с использованием метода решета числового поля (Number Field Sieve) применительно к задаче взлома 1024-битных RSA ключей.
В 2002 г. последовала ответная публикация RSA Laboratories касательно того, были ли взломаны RSA-ключи в результате публикации статьи Бернстайна: «В ноябре 2001 г. на семинаре, посвященном управлению ключами шифрования, Национальный институт стандартов и технологий (NIST) США предложил обсудить необходимый размер ключей шифрования и продемонстрировал предлагаемую таблицу с различными размерами ключей. Для защиты данных по 2015 г. в таблице предлагается размер RSA-ключа не менее 1024 бит. Для данных, нуждающихся в защите после 2015 г., рекомендуется использовать RSA-ключи размером не менее 2048 бит».
Другие сертификаты Tapaoux В ходе последних атак с участием бэкдоров Tapaoux встречались и вредоносные программы, подписанные стойкими 2048-битными SHA1/RSA сертификатами. В этом случае сертификаты предположительно были украдены.
Корневой центр сертификации Подчиненный центр сертификации / Издатель сертификата Владелец Статус Действителен от Действителен до thawte Thawte Primary Root CA Xuchang Hongguang Technology Co., Ltd. SHA1/RSA (2048bits) Отозван 7/18/2013 7/16/2014 thawte Thawte Primary Root CA Ningbo Gaoxinquzhidian Electric Power Technology Co., Ltd. SHA1/RSA (2048bits) Отозван 11/5/2013 11/5/2014 Продвинутые клавиатурные шпионы В ходе исследования мы обнаружили и другие любопытные факты, в том числе использование продвинутого клавиатурного шпиона с цифровой подписью. Это хорошо написанный вредоносный код, работающий на уровне ядра операционной системы. В коде содержатся строки на английском и корейском языках. Подписан зловред всё тем же цифровым сертификатом, выписанным на имя пользователя с адресом «belinda.jablonski@syniverse.com».
Клавиатурный шпион загружается исполняемым кодом, работающим в svchost.exe. Код содержит интересую отладочную строку:
d:\KerKey\KerKey (일반)\KerKey\release\KerKey.pdb 일반 в переводе с корейского означает «общий» или «общего назначения».
Код, вероятно, был разработан в рамках проекта, действовавшего в 2009 году:
e:\project\2009\x\total_source\32bit\ndiskpro\src\ioman.c Код клавиатурного шпиона Пакет драйвера сделан так, что напоминает низкоуровневое системное устройство от Microsoft. Драйвер устанавливается под именем Ndiskpro; в описании говорится, что это «устройство обновления микрокода» (Microcode Update Device). Несколько удивляет то, что этот сервис не скрывает своё присутствие при помощи руткита:
После загрузки драйвер NDISKPRO.SYS перехватывает прерывания INT0×01 и INT0xff и получает данные о нажатиях клавиш прямо из порта 0×60 — это собственно контроллер клавиатуры на материнской плате. Драйвер накапливает эти данные в буфере, а затем посылает записанные пользовательские данные на компонент, работающий в режиме пользователя. Этот компонент затем шифрует и записывает полученные данные на диск в файл со случайным именем и расширением .tmp (например ffffz07131101.tmp). Этот файл находится в той же папке, что и сам установщик драйвера. Последний обеспечивает запуск этих вредоносных компонентов при каждой загрузке системы — просто дописывая ключ загрузки в системном разделе HKCU.
Как уже описывалось, модуль клавиатурного шпиона шифрует и хранит собранные данные в особом файле журнала. Алгоритм шифрования похож на алгоритм RC4. Интересно то, что модуль генерирует ключ случайным образом и хранит его прямо в середине имени файла журнала. Таким образом, численная часть имени файла используется для инициализации генератора псевдослучайных чисел. Функция rand реализована в коде программы, а не вызывается из библиотеки, что обеспечивает получение одних и тех же результатов на разных компьютерах и может быть использовано для шифрования.
Интересные вредоносные компоненты Инструментарий Darkhotel состоит из различных компонентов, которые с течением времени претерпевали определенные изменения. Эти инструменты устанавливаются на компьютерах жертв инсталляторами Darkhotel, замаскированными под установщики легитимного ПО, распространялись они в составе торрентов либо загружались на компьютеры с помощью эксплойтов.
Первичные инструменты использовались для загрузки на систему жертвы более сложного вредоносного ПО, такого как описанный выше клавиатурный шпион. В ходе недавней атаки документы Microsoft Word содержали внедренный в них вредоносный Flash-объект, содержащий 0-day эксплойт. В этом случае вредоносный код использовался для непосредственной установки бэкдора в систему или для загрузки бэкдора с удаленных веб-серверов с целью последующего запуска. Далее этот инструментарий применялся для загрузки клавиатурного шпиона, кражи информации из зараженной системы или загрузки других вредоносных инструментов.
Мы выделили следующие компоненты, используемые злоумышленниками:
компактный загрузчик модуль кражи данных полнофункциональный бэкдор установщик и самовнедряющаяся динамическая библиотека избирательный файловый инфектор Среди наиболее интересных особенностей поведения этих компонентов:
режим 180-дневной «спячки» при определенных условиях процедуры самоуничтожения в случае, если в системе по умолчанию установлена корейская кодовая страница усовершенствованный механизм кражи учетных данных в хранилище Microsoft IntelliForm поиск сохраненных секретов в хранилищах Internet Explorer, Firefox и Chrome использование идентификаторов кампаний и этапов атаки детектирование виртуальной машины избирательные механизмы вирусного заражения, позволяющие контролировать распространение вредоносного ПО внутри организации подписанный вредоносный код (как уже отмечено выше) Компактный загрузчик Этот модуль имеет совсем небольшой размер (27 КБ) и распространяется в составе SFX-архива WinRar, который распаковывает модуль из файла %APPDATA%\Microsoft\Crypto\DES64v7\msieckc.exe и запускает его. Этот модуль предназначен для обновления вредоносных компонентов. Связываясь с командным сервером, он регулярно получает информацию о наличии собственных обновлений. Он также способен удалять некоторые старые компоненты, имена которых прописаны в теле вредоносной программы. Модуль самостоятельно добавляет в системный реестр ключи автозапуска, позволяющие ему автоматически запускаться при загрузке системы.
Одна из наиболее интересных особенностей этого исполняемого файла — необычная задержка в работе с целью сохранения своего присутствия в системе. Если в системе найден файл с определенным именем, модуль перестаёт устанавливать связь с командным сервером, пока со дня создания такого сигнального файла не пройдет 180 дней.
Данный компонент собирает информацию о системе и отправляет ее на командные серверы Darkhotel (более подробную информацию можно найти в Приложении D).
Модуль кражи данных Этот модуль имеет относительно большой размер (455 КБ) распространяется в составе SFX-архива WinRar, который распаковывает модуль из файла %APPDATA%\Microsoft\Display\DmaUp3.exe и запускает его. Главная задача модуля — сбор различных конфиденциальных данных, сохраненных в локальной системе, и их загрузка на командные серверы Darkhotel:
пароли из защищенного хранилища Internet Explorer 6/7/8/9 конфиденциальные данные, сохраняемые Mozilla Firefox (версия конфиденциальные данные, сохраняемые Google Chrome учетные данные из Gmail Notifier данные, в т.ч. учетные, сохраненные в Intelliform для следующих ресурсов: Twitter Facebook Яндекс QIP Nifty Mail.ru 126.com Zapak Lavabit (ныне закрытый почтовый сервис с шифрованием сообщений) Bigstring Gmx Sohu Zoho Sina Care2 Mail.com Fastmail Inbox Gawab (ближневосточный почтовый сервис) 163.com Lycos AOL Yahoo! Yahoo! Japan Microsoft Live учетные данные сервисов Google Стоит отметить, что данный модуль завершает свой процесс при обнаружении установленной в системе Windows корейской кодовой страницы.
Trojan.Win32.Karba.e Эта вредоносная программа имеет размер 220 КБ. Она была создана как приложение на основе MFC с большим количеством избыточных функций, призванных усложнить анализ вредоносного образца. Программа замаскирована под приложение с графическим интерфейсом, но при этом не создает никаких видимых окон или диалогов для взаимодействия с локальными пользователями. Троянская программа собирает данные о системе и установленном в ней антивирусном ПО и загружает собранные данные на командные серверы Darkhotel. Более подробная техническая информация представлена в Приложении D.
Троянец-дроппер и внедряемый модуль Эта вредоносная программа имеет размер 63 КБ. Она распространяется в составе различных программных пакетов с разными названиями, однако содержащие ее пакеты последовательно детектируются как «Virus.Win32.Pioneer.dx». Программа распаковывает на диск файл igfxext.exe, представляющий собой компонент «избирательный инфектор», и запускает его.
Избирательный инфектор Этот компонент представляет собой файловый вирус и используется для избирательного проникновения на другие компьютеры через USB или общие сетевые ресурсы.
Прежде всего, вирус получает список всех доступных дисков. Далее вредоносная программа находит исполняемые файлы на всех дисках от диска D: до диска Z: и заражает их. По сути, вредоносный код делает грубый перебор всех подключенных к компьютеру съемных или сетевых дисков.
В процессе заражения инфектор изменяет точку входа исполняемых файлов, создает секцию .rdat и вставляет в нее небольшой загрузчик, а затем переносит свою основную полезную нагрузку в конец файла. Далее в дело вступает троянец-дроппер, что позволяет зловреду собирать информацию о компьютере, отправлять ее на командный сервер и загружать другие компоненты Darkhotel в соответствии с получаемыми с сервера командами. Известные нам загружаемые компоненты подписаны цифровым сертификатом с истекшим сроком действия, выданным ресурсу www.esupplychain.com.tw центром сертификации Cybertrust Sure Server.
Как и для других компонентов, более подробная техническая информация представлена в Приложении D.
Коды кампаний Почти у каждого бэкдора в этом наборе имеется внутренний код кампании или идентификатор, используемый при установлении первичного соединения с командным сервером, как описано выше. Некоторые идентификаторы имеют четкую географическую привязку, с другими дело обстоит не столь очевидно. Ниже представлен список известных идентификаторов кампаний Darkhotel. Зачастую одни и те же имена используются как внутренние идентификаторы и названия ресурсов командных серверов, однако анализ запросов, посылаемых вредоносной программой на командный сервер, не выявил никакой закономерности в распределении имен. Наиболее часто встречающийся идентификатор — «DEXT87»:
DEXT87step2autodome1autostep2downJava5.22 C@RNULautodomedownM1Q84K3HNKEX#V1.QautoNKstep2autoPANA (AMB)autoPANA#MERASOYA#2autostep2downu (ULT)Q5SS@E.SdownVER1.5.1VICTORY WINM#V1.Q
Инфраструктура и жертвы атак Судя по всему, киберпреступники, отвечающие за инфраструктурную составляющую, не обладают столь же высокой квалификацией, как организаторы наиболее сложных кампаний. В частности, они используют слабые серверные конфигурации с ограниченными возможностями защиты и реагирования на попытки мониторинга, а также допускают достаточно очевидные ошибки в настройке серверов. Но при этом они эффективно поддерживают полностью работоспособную инфраструктуру, способную обслужить как существующие, так и новые заражения.
В целом, жертвы Darkhotel, о которых нам известно из журналов наших sinkhole-серверов и по данным из KSN, распределены по всему миру, но большая их часть находится в Японии, на Тайване, в Китае, России, Корее и Гонконге.
Домены, перенаправленные на sinkhole-серверы Следующие домены, используемые командными серверами, перенаправлены на sinkhole-серверы «Лаборатории Касперского»:
42world.netacademyhouse.usadobeplugs.netamanity50.bizautocashhh.hostmefree.orgautochecker.myftp.bizautoshop.hostmefree.orgautoupdatfreeee.coolwwweb.comcheckingvirusscan.comdailyissue.netdailypatchrnr2008.netfenraw.northgeremy.infogeneralemountina.comgoathoney.bizjpnspts.bizjpqueen.bizmechanicalcomfort.netmicromacs.orgncnbroadcasting.reportinside.netneao.bizprivate.neao.bizreportinside.netselfmakeups.comselfmakingups.comsourcecodecenter.orgsupportforum.orgupdatewifis.dyndnswiki.com
Местонахождение жертв по данным KSN и Sinkhole-серверам Данные KSN Наша сеть Kaspersky Security Network зарегистрировала заражение Darkhotel на тысячах машин, причем большая часть компьютеров была заражена в рамках P2P-кампаний Darkhotel. Эти данные геолокации, по-видимому, дают достаточно точное представление о географическом распределении активности Darkhotel.
Ниже приведена круговая диаграмма, позволяющая лучше представить распределение активности, связанной с проведением атак, по странам мира. Легко заметить, что более 90% этой активности приходится на пять стран с наибольшим числом заражений. На первом месте в пятерке Япония, за которой следуют Тайвань, Китай, Россия и Корея.
Данные sinkhole-сервера Поскольку злоумышленники очень активно начинают использовать новые доменные имена, сложно перенаправить на sinkhole-серверы достаточное количество доменов, чтобы получить точное общее представление о географическом распределении жертв. Кроме того, к этим доменам подключается большое количество систем, принадлежащих исследователям в области информационной безопасности. Можно сказать, что приведенная ниже диаграмма, отражающая текущее количество запросов с зараженных машин на sinkhole-сервер, показывает примерное географическое распределение жертв атак, в котором ведущие позиции занимают Индия, Япония, Ирландия, Корея, Китай и Тайвань. Если не учитывать Индию и Ирландию, то этот набор стран достаточно хорошо коррелирует с нашими данными, полученными из KSN.
Данные по жертвам из ddrlog На многих командных серверах используется единый путь к папке, в которой находится особый файл журнала ddrlog. По всей видимости, в журнал ddrlog записываются данные с зараженных машин, которые злоумышленники хотят выделить особым образом. В некоторых запросах, получаемых от вредоносной программы с зараженных машин, содержатся ошибки, многие из этих машин принадлежат к нежелательным диапазонам IP-адресов, а некоторые запросы явно поступают с компьютеров исследователей и являются нежелательными. Все такие запросы попадают в журнал ddrlog.
Подробное описание значений URL-адресов, получаемых с зараженных машин, и информацию о схеме их кодирования с использованием xor и base64 можно найти в части «Interesting Malware Trojan.Win32.Karba.e» в Приложении D.
Командные серверы Darkhotel используют следующую структуру папок для хранения содержимого ddrlog:
/bin/error/ddrlog/patch/error/ddrlog
Следующие директории используются, по-видимому, на всех командных серверах, но не содержат ddrlog и папки /error/:
/u2/ /u3/ /patch2/ /major/ /minor/ /asp/ /update3/ На следующих доменах первые записи в ddrlog датируются 1 января 2009 года, 9:16 утра.
autozone.000space.com genuinsman.phpnet.us Все журналы содержат большое количество записей — почти 50 000 — с простой меткой «B» или «L». Эти записи отформатированы следующим образом:
2009.01.01 09:16:00 150.70.xxx.xx > B2009.01.01 09:16:33 150.70.xxx.xx > B 2009.01.01 09:14:52 220.108.x.xxx > L2009.01.01 09:16:04 112.70.xx.xx > L Только со 120 IP-адресов приходят запросы с пометкой «B», из них 90% находятся в диапазоне 150.70.97.x. Весь этот диапазон принадлежит отделению компании TrendMicro в Токио.
Немногочисленные остающиеся адреса, такие как 222.150.70.228, по-видимому, входят в другие принадлежащие японскому отделению TrendMicro диапазоны. Один сторонний IP-адрес принадлежит интернет-провайдеру из Сальвадора, еще один — японскому интернет-провайдеру. Запросы с пометкой «L» приходили примерно с 20 000 IP-адресов.
В некоторых ddrlog также встречается метка «A».
Меткой «А» помечаются нежелательные запросы из не интересующих злоумышленников мест, таких как Венгрия или Италия. Тегом «B» помечаются нежелательные запросы из IP-диапазонов, принадлежащих TrendMicro.
Меткой «L» помечаются нежелательные запросы с различных диапазонов IP-адресов, в том числе с loopback-адреса 127.0.0.1.
Записи в этих журналах содержат URL-адреса для обратной связи, в состав которых входят пробелы и символы, не входящие в набор, используемый при кодировании base64.
Структура командных серверов и устанавливаемые ими соединения Пример типичной главной страницы:
Для begatrendstone.com мы видим следующую структуру папок:
/bin read_i.php (главный скрипт командного сервера) login.php (неизвестный скрипт, выдает ответ «WrongID ()»)/bin/error (здесь хранятся журналы ошибок) -ddrlog/bin/tmp/bin/SElhxxwiN3 pxxiAPxxc9 -all.gif /i — зашифрованные данные с зараженных систем /L/f
Для auto2116.phpnet.us мы видим следующую структуру папок:
/patch chkupdate.php (главный скрипт командного сервера)/patch/error ddrlog
Группа шифрует пользовательские данные на своих серверах, используя одну и ту же комбинацию пользователь/ключ на несколько жертв. В случае попытки со стороны неавторизованного пользователя получить доступ к веб-интерфейсу Darkhotel без ввода правильного ключа с целью работы с данными жертв, html-страница и таблица отображаются верно, но все данные на странице отображаются как бессмысленный набор символов.
Управление данными жертв По всей видимости, вновь заражаемые системы подвергаются систематической проверке. Для этого киберпреступники используют специальный веб-интерфейс. Прежде всего злоумышленники регистрируют и сортируют системы жертв в соответствии с их последним заходом на командный сервер. Собранные данные, вероятно, представляются в порядке, соответствующем их важности:
имя пользователя в системе процессор и операционная система «Ping sec», или удаленность системы жертвы от командного сервера «In», или процесс, в памяти которого выполняется код dll-библиотеки атакующих Vac: неизвестно IP-адрес локальной сети системы внешний IP-адрес жертвы в сети Интернет Ниже в качестве примера приведена одна из таких веб-страниц:
Активность исследователей Очевидно, в этих логах регистрируется активность, связанная с автоматическим анализом с использованием «песочниц», применяемых исследователями. С июня 2013 года по апрель 2014 года (период продолжительностью около 11 месяцев) во всего лишь 15 файлах ddrlog мы обнаружили почти 7 000 попыток соединения со стороны «песочниц» исследователей. Значения параметров HTTP-запросов соответствовали песочницам на базе QEMU, причем источниками запросов являются всего 485 IP-адресов. В данных журналах зарегистрировано меньше 30 IP-адресов локальных сетей, все в одном и том же диапазоне 172.16.2.14126. Эти системы (или система) используют учетную запись пользователя «Dave«и имя компьютера в Windows «HOMEOFFD5F0AC».
Эти параметры соответствуют сетевой активности, генерируемой инструментами «CWsandbox» компании GFISoftware, ныне принадлежащей «
Полный текст статьи читайте на Лаборатория Касперского