Записи с меткой «адрес»

В феврале 2014 года на популярном российском ИТ-ресурсе появилась статья с очень интересным заголовком – «Исследуем Linux Botnet «BillGates». В ней описывался троянец с довольно богатым функционалом для осуществления DDoS-атак. Особенно нас заинтересовала его способность проведения атаки типа DNS Amplification. Да и вообще, исходя из статьи, троянец имел сложную многомодульную архитектуру, чего до сих пор мы не наблюдали в мире Linux-зловредов.

Кроме того, в статье имелась ссылка, откуда все файлы троянца (полученные прямиком с зараженной машины) можно было скачать. Что мы и сделали.

Скачанный архив содержал следующие файлы, которые, по словам автора статьи, являлись модулями одного троянца:

  • atddd;
  • cupsdd;
  • cupsddh;
  • ksapdd;
  • kysapdd;
  • skysapdd;
  • xfsdxd.

В данный момент файлы cupsdd и cupsddh детектируются продуктами «Лаборатории Касперского» как Backdoor.Linux.Ganiw.a; atddd и остальные – как Backdoor.Linux.Mayday.f.

В архиве с файлами присутствовал также файл конфигурации cron – планировщика задач в Linux. В данном случае утилита используется как средство закрепления троянца в системе. С помощью cron троянец выполняет следующие задачи:

  1. Раз в минуту завершает процессы всех приложений, которые могут помещать его (троянца) работе: .IptabLes, nfsd4, profild.key, nfsd, DDosl, lengchao32, b26, codelove, node24;
  2. Примерно раз в полтора часа завершает работу всех своих процессов: kysapd, atdd, skysapd, xfsdx, ksapd;
  3. Примерно раз в два часа скачивает в папку /etc с адреса http://www.dgnfd564sdf.com:8080/%5Bmodule_name%5D все свои компоненты (module_name = имя модуля, например, cupsdd), предварительно удалив эти файлы из /etc
  4. Раз в полтора часа заново запускает все свои модули
  5. Каждую минуту затирает системные логи, историю команд bash и выполняет chmod 7777 [module_name]

При последующем анализе файлов мы не обнаружили кода, отвечающего за запись конфига cron. Скорее всего, конфиг был вручную загружен злоумышленником после получения удаленного доступа к системе.

Backdoor.Linux.Mayday.f (atddd)

Файл atddd представляет собой бэкдор, содержащий функционал для осуществления различных типов DDoS-атак на указанные сервера, и, напомним, детектируется нами как Backdoor.Linux.Mayday.f. Файлы kysapdd, skysapdd, xfsdxd, ksapdd являются практически полными копиями atddd за одним исключением, о котором ниже.

Вначале своей работы бэкдор вызывает функцию daemon(1, 0), таким образом продолжая свое выполнение в фоновом режиме и перенаправляя стандартный ввод, вывод и ошибки в /dev/null

Затем atddd собирает необходимую информацию о системе, а именно:

версию системы (вызов uname())
количество ядер процессора и их частоту (из /proc/cpuinfo)
загруженность процессора (из /proc/stat)
загруженность сети (из /proc/net/dev для интерфейсов с префиксом «eth»)
Эта информация помещается в структуру g_statBase.

bill_gates_botnet1

После этого бэкдор расшифровывает строки, содержащие IP-адрес и порт C&C сервера. Алгоритм шифрования очень простой: зашифрованная строка посимвольно перебирается и если номер символа нечетный, то к его ASCII коду добавляется 1, если четный — вычитается 1. Таким образом из строки «3/3-2/4-269-85» получается IP-адрес «202.103.178.76», а из «2/:82» порт «10991».

Далее atddd читает файл конфигурации fwke.cfg, находящийся в той же директории, что и сам зловред. Полученная информация помещается в структуру g_fakeCfg. Если файл не существует, то бэкдор пытается создать его и записать внутрь следующую информацию:

1-ая строка: 0 //флаг, если 1 — то начать атаку, если 0 — остановить атаку

2-ая строка: 127.0.0.1:127.0.0.1 //диапазон исходящих IP-адресов

3-я строка: 10000:60000 //диапазон исходящих портов для атаки

4-ая строка: пустая строка //доменное имя в случае с DNS-флудом (см. ниже)

Эта информация в дальнейшем передается C&C серверу и может обновляться при помощи команды от C&C.

Далее бэкдор запускает новый поток CThreadTaskManager::ProcessMain(), в котором команды на начало атаки и остановку атаки ставятся в очередь на выполнение. Следом запускается новый поток CThreadHostStatus::ProcessMain(). В нем каждую секунду обновляются данные о загруженности процессора и сети, которые впоследствии могут отправляться C&C серверу при запросе.

После этого запускаются 20 потоков, которые читают информацию из очереди заданий и, соответственно, начинают атаку или останавливают ее. Однако в атаке могут быть задействованы не все потоки, если команда от C&C приходит с соответствующим параметром (количеством используемых потоков).

bill_gates_botnet2_sm

Далее зловред входит в бесконечный цикл обработки сообщений от C&C. Сначала устанавливается соединение с C&C и каждые 30 секунд отправляется информация о версии системы и тактовой частоте процессора, а также данные из структуры g_fakeCfg.

В ответ сервер должен отправить 4 байта, первый из которых является порядковым номером команды — от 1 до 4.

bill_gates_botnet3_sm

Далее, если команда имеет параметры, то C&C отправляет еще 4 байта, содержащие размер данных (параметров). После этого отправляются сами параметры, размер которых должен совпадать с числом из предыдущего ответа С&С.

Подробнее о каждой из команд:

0x01. Команда запуска атаки, в параметрах передаются тип атаки, а также количество используемых потоков. Тип атаки представляет из себя байт со значением от 0x80 до 0x84. Таким образом возможны 5 видов атак:
0x80 — TCP флуд. Порт назначения передается в ответе C&C в качестве параметра. Дипазон портов отправления задан в fwke.cfg. Каждый новый запрос отправляется с нового порта в заданном диапазоне, по порядку. IP-адрес назначения так же задается в параметрах.
0x81 — UDP флуд. Тоже самое, что и 0x80, только в качестве протокола транспортного уровня используется UDP.
0x82 — ICMP флуд. Аналогично предыдущим, только через ICMP.
0x83, 0x84 – две атаки с использованием DNS флуда. Отличаются только доменным именем в DNS-запросе. В первом случае оно генерируется случайным образом, во втором — задается в параметре (4-ая строка в fwke.cfg). По сути обе похожи на 0x81, только в качестве порта назначения используется порт 53 (порт DNS службы по умолчанию).
0x02. Команда остановки атаки. Значение в первой строке fwke.cfg изменяется на 0 и атака прекращается.
0x03. Команда на обновление файла fwke.cfg. В ответе также приходит структура, аналогичная g_fakeCfg, из которой записывается файл fwke.cfg.
0x04. Команда для отправки статуса выполнения текущей команды С&C серверу.
Помимо этого бэкдор содержит несколько пустых (без кода внутри) методов с интересными названиями: CThreadAttack::EmptyConnectionAtk, CThreadAttack::FakeUserAtk, CThreadAttack::HttpAtk. Видимо, автор планировал расширить функционал зловреда и эта версия является не окончательной, а скорее тестовой. И файл cupsdd, о котором мы расскажем ниже, является этому подтверждением.

Файлы kysapdd, skysapdd, xfsdxd, ksapdd являются практически полными копиями atddd, но содержат другие адреса C&C серверов: 112.90.252.76:10991, 112.90.22.197:10991, 116.10.189.246:10991 и 121.12.110.96:10991 соответственно. Также отличаются имена файла конфигурации: fsfe.cfg, btgw.cfg, fake.cfg, xcke.cfg соответственно.

Таким образом, вопреки нашим ожиданиям, файлы atddd, kysapdd, skysapdd, xfsdxd, ksapdd являются не модулями чего-то целого, а отдельными экземплярами троянца, каждый из которых работает со своим C&C сервером. Но самое интересное еще впереди.

Backdoor.Linux.Ganiw.a (cupsdd)

Так же, как и описанные выше файлы, этот является бэкдором с функционалом для осуществления различных DDoS-атак. Но функционал cupsdd значительно богаче и сложнее, чем у его «коллег», хотя его код в некоторых местах очень похож на код файла atddd.

В начале работы бэкдор инициализирует необходимые ему переменные из строки «116.10.189.246:30000:1:1:h:578856:579372:579888» (разделитель — «:»), которую предварительно расшифровывает при помощи алгоритма RSA. Строка распределяется по переменным следующим образом:

g_strConnTgt=116.10.189.246 — IP-адрес С&C сервера

g_iGatsPort=30000 — порт С&C сервера

g_iGatsIsFx=1 и g_iIsService=1 — флаги, используемые в дальнейшем

g_strBillTail=h — постфикс для имени файла, который будет дропнут (см. ниже)

g_strCryptStart=578856, g_strDStart=579372, g_strNStart=579888 — указатели на RSA-данные (зашифрованная строка и ключ)

Далее зловред дропает и запускает файл, находящийся изначально по смещению 0xb1728 от начала файла и имеющий размер 335872 байта, если он еще не запущен. Проверка запущен ли этот файл происходит при помощи попытки забиндить сокет 127.0.0.1:10808. Если это сделать удалось, значит файл не запущен и нужно его дропнуть и запустить.

bill_gates_botnet4

Если же файл уже запущен, то его процесс, PID которого находится в файле /tmp/bill.lock, принудительно завершается (kill(pid, 9)). И потом файл все равно дропается, заменяя собой уже существующий.

Имя дропнутого файла формируется из имени текущего запущенного файла + постфикс из переменной g_strBillTail. В нашем случае файл назывался cupsddh и находился в той же директории, что и дроппер.

Далее текущий процесс форкается и в дочернем процессе происходит вызов функции system(«/path/to/cupsddh»), которая запускает дропнутый файл.

После этого вызывается функция daemon(1, 0), имеющая тот же смысл что и в предыдущем сэмпле (atddd).

Потом обрабатывается ситуация, если cupsdd был запущен ранее и активен в данный момент. Для этого проверяется, существует ли файл /tmp/gates.lock. Если он существует, то текущий процесс завершается (exit(0)). Если же нет, то он (/tmp/gates.lock) создается и в него помещается pid текущего процесса.

Далее, если флаг g_iIsService == 1, то бэкдор прописывает себя в автозагрузку при помощи создания скрипта в /etc/init.d/ с именем DbSecuritySpt следующего содержания:

#!/bin/bash

/path/to/cupsdd

И создает символьные ссылки на него в /etc/rc[1-5].1/S97DbSecuritySpt

bill_gates_botnet6_sm-2

Читает файл конфигурации conf.n (если он существует) из той же директории, что и cupsdd. Первые 4 байта файла — это размер данных идущих далее. Все данные помещаются в структуру g_cnfgDoing.

Читает файл с командами — cmd.n. Формат такой же как и в conf.n. Данные попадают в структуру g_cmdDoing.

Далее получает необходимую информацию о системе, а именно:

  • Имя системы и версию ядра (напр., Linux 3.11.0-15-generic), при помощи вызова uname()
  • Тактовую частоту процессора, из /proc/cpuinfo
  • Количество ядер процессора из /proc/cpuinfo и загруженность процессора из /proc/stat
  • Загруженность сети из /proc/net/dev
  • Размер жесткого диска в мегабайтах из /proc/meminfo
  • Информацию о сетевых интерфейсах из /proc/net/dev
  • Все данные помещаются в структуру g_statBase.

Далее создается новый поток CThreadTaskGates::ProcessMain, в котором обрабатываются следующие команды:

0x03. DoConfigCommand(). Обновить файл конфигурации conf.n.
0x05. DoUpdateCommand(). Запускает новый поток CThreadUpdate::ProcessMain, в котором обновляет один из своих компонентов. В качестве параметра команда принимает число от 1 до 3, которое ассоциируется с одной из следующей строк:
1 — «Alib» — файл /usr/lib/libamplify.so
2 — «Bill» — дропнутый модуль cupsddh
3 — «Gates» — дроппер cupsdd

bill_gates_botnet7_sm

В зависимости от параметра обновляется один из компонетов зловреда. Обновление происходит при помощи отправки C&C серверу 6 байт, содержащих строку «EF76#^». Вслед за этим отправляется одна из строк, описанных выше (в зависимости от параметра).

В ответ приходят 4 байта, содержащие длину файла (в байтах), который будет передан далее. Затем С&C передает сам файл пакетами по 1024 байта.

Сначала файл сохраняется в директории /tmp со случайным именем, состоящим из цифр. Затем, в зависимости от того что за файл был получен, заменяет уже существующий файл cupsdd (или cupsddh) или копируется в /usr/lib/libamplify.so

Далее временный файл из /tmp удаляется, а на итоговый устанавливаются права 755 с помощью команды chmod. После чего, в случае обновления cupsddh, уже запущенный процесс завершается, а новый файл запускается. В случае обновления cupsdd, завершающий этап (начиная с копирования их /tmp) осуществляет cupsddh, которому отдается соответствующая команда.

  • 0x07. DoCommandCommand(). Записывает новую команду в cmd.n.
  • 0x02. StopUpdate(). Закрывает текущее соединение, установленное для обновления модулей.

После этого бэкдор cupsdd запускает несколько потоков, в которых одновременно выполняет несколько вспомогательных действий:

  • CThreadClientStatus каждую секунду обновляет данные о загруженности процессора и сети в структуре g_statBase.
  • CThreadRecycle удаляет из очереди заданий уже завершенные.
  • — CThreadConnSender читает команды из очереди и передает их модулю cupsddh через TCP-соединение с 127.0.0.1 на порт 10808. В ответ принимает статус их выполнения.
  • CThreadMonBill каждую минуту проверяет запущен ли модуль cupsddh и если нет, то заново дропает и запускает его.
  • CThreadLoopCmd читает команды из g_cmdDoing (файл cmd.n) и выполняет их через вызов system(cmd).

Далее основной поток входит в цикл приема и обработки команд от C&C сервера. Тут в зависимости от флага g_iGatsIsFx возможны два варианта:

  1. Если флаг установлен (==1), то зловред, как и в предыдущем сэмпле (atddd), в новом потоке просто отправляет информацию о системе и текущую конфигурацию из g_cnfgDoing и ожидает поступления в ответ команд;
  2. Если флаг не установлен, то инициатором сеанса связи выступает C&C. То есть зловред ожидает подключения от C&C и только когда соединение будет установлено начинает передавать указанные выше данные.

bill_gates_botnet8_sm

Команды, поступающие от C&C распределяются в одну из двух очередей: либо на исполнение в текущем модуле (в потоке CThreadTaskGates, описанном выше), либо на передачу модулю cupsddh (поток CThreadConnSender).

Backdoor.Linux.Ganiw.a (cupsddh)

Файл упакован UPX’ом, после распаковки вызывает daemon(1,0). Создает файл /tmp/bill.lock, в который помещает PID текущего процесса. cupsddh заполняет данными о системе структуру g_statBase, точно такую же как в cupsdd.

Далее заполняет структуру g_provinceDns IP-адресами DNS-серверов приведенными к двоичному коду в сетевом порядке расположения байт функцией inet_addr(), из массива строк g_sProvinceDns (смещение в распакованном файле: 0x8f44с, размер 4608 байт).

cupsddh выполняет команду «insmod /usr/lib/xpacket.ko», пытаясь таким образом загрузить модуль ядра в ядро. Однако такой файл отсутствует на «чистой» системе, и зловред не предпринимает никаких попыток скачать его или получить каким либо еще способом.

bill_gates_botnet9_sm

Далее данные из файла /usr/libamplify.so (оказывается, это не библиотека, а очередной конфиг) загружаются в структуру g_AmpResource. Формат файла: 1-ый dword — это количество dword’ов, идущих следом. Судя по всему, содержит список IP-адресов актуальных на данный момент DNS-серверов, подходящих для DDoS-атаки типа DNS Amplification.

После этого запускает два потока: CThreadTask и CThreadRecycle. Первый выполняет команды из очереди, сформированной из пришедших от модуля cupsdd команд. Второй удаляет выполненные команды. Затем основной поток биндит сокет на 127.0.0.1:10808 и в бесконечном цикле начинает принимать команды от модуля cupsdd, которые заносятся в вышеуказанную очередь.

Возможны следующие команды:

  • 0x01. Начинает атаку в соответствии с полученными параметрами. Подробнее ниже.
  • 0x02. Останавливает текущую атаку, устанавляивая соответствующий флаг.
  • 0x03. Обновляет текущую конфигурацию в структуре g_cnfgDoing, которую использует при атаке. Так же обновляет текущий локальный мак-адрес и мак и ip адреса текущего используемого гейта (шлюза) в структуре g_statBase.
  • 0x05. Завершающий этап обновления модуля cupsdd (описан выше).

bill_gates_botnet10-2

Возможны два основных режима атаки: в нормальном режиме и режиме ядра.

Режим ядра
Для этого режима используется встроенный в Linux генератор пакетов уровня ядра pktgen. Его преимущество для злоумышленника состоит в том, что трафик генерируется с максимальной возможной для данного сетевого интерфейса скоростью. И сгенерированные таким образом пакеты нельзя увидеть с помощью обычных снифферов, например, стандартного tcpdump, т. к. пакеты генерируются на уровне ядра.

bill_gates_botnet11_sm

Управляется генератор пакетов при помощи набора скриптов/конфигов в директории /proc/net/pktgen. Но перед этим необходимо загрузить модуль pktgen в ядро при помощи вызова команды «modprobe pktgen». Однако подобные вызовы мною обнаружены не были. Судя по всему, вместо них используется вызов «insmod /usr/lib/xpacket.ko», но, как и было сказано ранее, такой файл по умолчанию отсутствует в системе. Соответственно, в данной версии зловреда режим ядра не функционирует.

Тем не менее, зловред пытается записать несколько файлов в директорию /proc/net/pktgen, а именно:

  1. файл — /proc/net/pktgen/kpktgend_%d — для каждого ядра процессора, где %d — номер ядра, начиная с 0. Содержание файла:

rem_device_all
add_device eth%d
max_before_softirq 10000

bill_gates_botnet12_sm

2. файл — /proc/net/pktgen/eth%d — для каждого ядра процессора, где %d — номер ядра, начиная с 0. Содержание файла:
count 0
clone_skb 0
delay 0
TXSIZE_RND
min_pkt_size %d
max_pkt_size %d
IPSRC_RND
src_min %s
src_max %s
UDPSRC_RND
udp_src_min %d
udp_src_max %d
dst %s
udp_dst_min %d
udp_dst_max %d
dst_mac %02x:%02x:%02x:%02x:%02x:%02x //MAC-адрес шлюза из g_statBase
is_multi %d
multi_dst %s //если адресов для атаки несколько (т. е. значение в предыдущей строке не равно 0), то они задаются в этих строках, количество которых соответствует предыдущему параметру
pkt_type %d
dns_domain %s
syn_flag %d
is_dns_random %d
dns_type %d
is_edns %d
edns_len %d
is_edns_sec %d
Значения большинства параметров pktgen передаются через параметры команды от cupsdd.

3.файл — /proc/net/pktgen/pgctrl, содержащий строку «start».

Нормальный режим атаки

Как и в atddd нормальный режим атаки работает через сокеты (raw sockets).
Здесь возможны следующие типы атак:

CAttackSyn — TCP-SYN флуд.
CAttackUdp — UDP флуд. (как и в atddd)
CAttackDns — DNS флуд. (как и в atddd)
CAttackIcmp — ICMP флуд. (как и в atddd)
CAttackCc — HTTP-флуд.
CAttackAmp — DNS Amplification.
Особенность последней заключается в том, что пакеты отправляются к уязвимым DNS-серверам с указанием адреса цели атаки в качестве IP-адреса отправителя. Таким образом, злоумышленник отправляет небольшой пакет с DNS-запросом, а DNS-сервер отвечает цели атаки значительно большим по объему пакетом. Список уязвимых DNS-серверов хранится в файле libamplify.so, который записывается после получения соответствующей команды от C&C.

bill_gates_botnet13-2

Post Scriptum. BillGates v1.5

Данная версия троянца появилась несколько позднее и на данный момент, вероятно, является последней. По сути, это все тот же cupsdd, только «доведенный до ума». Код в целом стал более логичен, плюс появилась пара новых функций.

Наиболее существенные изменения произошли в модуле «Gates», т.е. в файле cupsdd. Теперь у него есть три режима работы. Выбор режима работы осуществляется на основании того откуда был запущен файл. Конкретнее, если файл запущен из /usr/bin/pojie, то выбирается режим мониторинга, иначе – режим установки и обновления, который в дальнейшем переходит в режим управления модулем «Bill».

bill_gates_botnet14

1. Режим установки и обновлений.
Сначала завершает свой процесс, работающий в режиме мониторинга, если таковой имеется. Его PID храниться в файле /tmp/moni.lock

Далее переустанавливает и перезапускает модуль «Bill».

Затем, если существует процесс работающий в режиме управления модулем «Bill», то он завершается. Его PID хранится в файле /tmp/gates.lock

Если установлен флаг g_iIsService (получается тем же образом, что и предыдущей версии) то прописывает себя в автозагрузку тем же способом, что и ранее (в предыдущей версии).

Далее записывает путь до себя в файл /tmp/notify.file и самокопируется в файл /usr/bin/pojie. После чего запускает свою копию, которая, очевидно, будет работать уже в режиме мониторинга, а сам переходит в режим управления модулем «Bill».

2. Режим мониторинга.
Записывает PID текущего процесса в файл /tmp/moni.lock. Далее запускает два потока для мониторинга модуля «Bill» и мониторинга модуля «Gates», работающего в режиме управления. И если один из этих процессов на данный момент не запущен, то нужный файл заново создается и запускается.

3. Режим управления модулем «Bill».
Действия, совершаемые модулем Gates в этом режиме, полностью соответствуют действиям, которые совершал этот же модуль в предыдущей версии троянца (после установки модуля Bill и инициализации необходимых ему переменных и структур).

Таким образом, в новой версии троянца авторы добавили ему немного «живучести», но основной функционал остался без существенных изменений.

Стоит также отметить, что прописанный в коде IP-адрес C&C сервера остался прежним (116.10.189.246), однако изменился номер порта – 36008 вместо прежнего 30000.

ИСТОЧНИК

новости от «Лаборатории Касперского»

Спамеры все чаще начинают использовать в качестве приманки в своих рассылках криптовалюту биткоин. «Лаборатория Касперского» зафиксировала ряд спам-сообщений, в которых злоумышленники предлагали пользователям разбогатеть именно за счет этих растущих в цене электронных монет.

Так, в одной из массовых рассылок спамеры хотели поделиться с пользователями секретом некоего миллионера, который сделал свое состояние на биткоинах. По их уверениям, этот волшебный секрет позволил бы только за первый день заработать полторы тысячи долларов, даже не покупая криптовалюту. От пользователя требовалось всего лишь оставить адрес своей электронной почты на специальном портале, после чего мошенники обещали открыть доступ к желаемому заработку.

В другом случае спамеры предлагали получателю письма выиграть драгоценные биткоины в лотерею и просили для этого пройти по указанной в сообщении ссылке, скачать находящийся там файл и установить его на своем компьютере.

Еще одной мошеннической уловкой, обнаруженной «Лабораторией Касперского» в спам-рассылках, стало предложение купить специальную программу для зарабатывания биткоинов – всего за 7 долларов, необходимых для приобретения этого ПО, спамеры обещали пользователям большой и стабильный доход.


Пример спам-письма с предложением заработать на биткоинах

В то же время постоянно растущий спрос на биткоины уже сегодня привел к тому, что для их создания недостаточно мощности обычного персонального компьютера и требуются ресурсы специальных майнинговых ферм. Это в свою очередь означает, что предложение спамеров заработать баснословные суммы в криптовалюте, проводя всего несколько часов в день за личным ПК, просто технически невозможно.

«Приобретение биткоинов стало сегодня своего рода новой «золотой лихорадкой». А в погоне за наживой легко увлечься и потерять бдительность, чем охотно воспользуются злоумышленники. Все обнаруженные нами предложения несомненно являются откровенной финансовой аферой, в которой выгоду получат лишь ее организаторы. Именно поэтому мы настоятельно рекомендуем пользователям не обращать внимания на сообщения от незнакомых отправителей, предлагающих разбогатеть, и не подвергать риску безопасность своего компьютера, скачивая сомнительные файлы или оставляя спамерам адрес своей электронной почты», – отмечает Татьяна Куликова, старший спам-аналитик «Лаборатории Касперского».

Подробнее об уловках спамеров и их предложениях заработать состояние на биткоинах читайте на официальном аналитическом ресурсе «Лаборатории Касперского»: www.securelist.com/ru/blog/207769020/Virtualnye_bitkoiny_vs_realnye_dengi.

Борьба Севера и Юга? «Лаборатория Касперского» раскрывает новую кампанию кибершпионажа против Южной Кореи

«Лаборатория Касперского» обнаружила новую кампанию
кибершпионажа, нацеленную преимущественн

о на южно-корейские
государственные структуры и научно-исследовательские институты.
Операция, получившая название Kimsuky, ограничена и таргетирована
— как показал анализ, ее целями являлись 11 организаций в Южной
Корее и 2 — в Китае. В частности, атаке подверглись Сечжонский
Институт, Корейский Институт Защитного Анализа (KIDA), Министерство
Объединения, логистическая компания Hyundai Merchant Marine и сторонники
объединения республики Кореи.

Признаки активности были замечены 3 апреля 2013 года, а первые образцы
троянца Kimsuky стали доступны 5 мая. Эту относительно несложную
шпионскую программу отличает наличие ошибок в коде, а также
осуществление коммуникаций с помощью болгарского бесплатного почтового
сервера mail.bg.

Хотя точный способ заражения еще не установлен, эксперты
«Лаборатории Касперского» уверены, что распространение
Kimsuky происходило посредством рассылки целевых фишинговых писем. Этот
троянец обладает таким функционалом, как слежение за нажатием клавиш,
составление и кража списка файлов во всех каталогах, удаленное
управление компьютером и хищение документов формата HWP, повсеместно
используемого в южнокорейских госучреждениях в составе пакета Hancom
Office. Наличие последнего функционала дает все основания полагать, что
кража HWP-файлов — одна из основных задач троянца. Также атакующие
используют модифицированную версию легитимного приложения удаленного
управления компьютером TeamViewer в качестве бэкдора, с помощью которого
затем получают любые файлы с зараженной машины.

Улики, обнаруженные экспертами «Лаборатории Касперского»,
дают возможность предполагать наличие «следа» Северной
Кореи. Прежде всего, список целей атаки говорит сам за себя —
южнокорейские университеты, занимающиеся изучением международных
отношений и разработкой государственной оборонной политики, национальная
логистическая компания и группы политических активистов, выступающих за
объединение республики Корея. Во-вторых, строка кода зловреда содержит
корейские слова, которые переводятся как «атака» и
«финал».

Наконец, два почтовых адреса iop110112@hotmail.com и
rsh1213@hotmail.com, на которые зараженные компьютеры отправляют
уведомления о своем статусе и пересылают украденные данные во вложениях,
зарегистрированы на имя Kim: kimsukyang и Kim asdfa. И, несмотря на то,
что эта регистрационная информация не раскрывает ничего о
злоумышленниках, их IP-адреса дополняют картину: 10 зарегистрированных
IP-адреса принадлежат сети китайских провинций Гирин и Ляонин,
граничащих с Северной Кореей. По различным данным, поставщики услуг,
предоставляющие доступ в Интернет в этих провинциях, также имеют
проложенную сеть в некоторых регионах Северной Кореи.

Еще один интересный геополитический аспект Kimsuky в том, что он обходит
только защитные продукты южнокорейской антивирусной компании AhnLab. В
свою очередь продукты «Лаборатории Касперского» детектируют
и нейтрализуют эти угрозы, классифицируя их как Trojan.Win32.Kimsuky, а
модифицированные компоненты TeamViewer как Trojan.Win32.Patched.ps.

«Безусловно, Kimsuky — еще одно доказательство того, что
кибершпионаж становится все более популярным инструментом на
международной арене. Однако эта кампания интересна еще и тем, что
троянец написан с откровенными ошибками и обладает довольно простым
функционалом. Это говорит о том, что уже сегодня даже небольшая группа
людей при помощи относительно несложного вредоносного кода может
совершить атаку на крупные организации и государственные структуры. На
основании этого мы можем ожидать в скором будущем появления еще большего
количества подобных кампаний — возможно, не самых профессиональных
с точки зрения технического исполнения, но от того не менее
опасных», — прокомментировал Дмитрий Тараканов, антивирусный
эксперт «Лаборатории Касперского».

Ознакомиться с подробными результатами исследования кампании Kimsuky
можно, пройдя по ссылке: www.securelist.com/ru.

Куда идет DDoS: эксперты «Лаборатории Касперского» о тенденциях развития этого вида киберугроз

Специалисты «Лаборатории Касперского» подвели итоги
DDoS-активност

и в Рунете за последние 12 месяцев. Сравнив данные,
полученные с помощью защитного сервиса Kaspersky DDoS Prevention и
собственной системы мониторинга ботнетов во втором полугодии 2012 года и
первой половине 2013 года, эксперты выявили две тенденции: усиление
мощности атак и увеличение их продолжительности.

Так, во второй половине 2012 года средняя мощность атаки составляла 34
Мб/с, а в начале этого года планка поднялась до 2,3 Гб/с. При этом
максимальная мощность атак в этом полугодии доходила до 60 Гб/с
«благодаря» набирающим в этому году популярность атакам типа
DNS Amplification. Для сравнения: максимальная мощность DDoS-атаки во
втором полугодии 2012 года составила всего лишь 196 Мб/с.

Продолжительность DDoS-атак в Рунете также выросла в текущем году. Если
в прошлом отчетном периоде специалисты «Лаборатории
Касперского» установили, что средняя атака на защищаемые сервисом
Kaspersky DDoS Prevention ресурсы длилась 7 часов, то в 2013 году они
отметили, что этот показатель вырос до 14 часов.

Как свидетельствуют данные, полученные экспертами «Лаборатории
Касперского» на основе срабатывания сервиса Kaspersky DDoS
Prevention, большинство ботов или хостов, атакующих веб-ресурсы Рунета,
расположены непосредственно на территории России (около 44%). Немалая
часть атак также «приходит» в русскоязычное
интернет-пространство из США (около 7,5%) и с Украины (чуть больше 5%).
В целом из 10 стран, занявших верхние строчки этого нерадостного
рейтинга, 7 находятся в Азии. Географическое распределение атакующих
хостов, ответственных за DDoS-атаки в Рунете во 1-ом полугодии 2013 года

Сегодня злоумышленники, чтобы обеспечить недоступность ресурса и
заработать деньги, используют различные виды атак, зачастую их
комбинируя. Большинство видов атак воздействуют только на конкретный
ресурс. Но в погоне за наживой злоумышленники готовы применить
инструмент, способный сделать в Интернете недоступным все, что угодно:
от отдельного провайдера до сегмента сети. Это своего рода виртуальное
оружие массового поражения.

Распространение атак типа DNS Amplification и усиление мощности и
размаха DDoS-инцидентов позволяет специалистам говорить о смене
тенденции: судя по всему, Рунет перестает быть своего рода
«заповедником», где мощные атаки были редки, а
интернет-провайдеры и хостеры могли обходиться без интеллектуального
контроля трафика. Отличие показателей по DDoS-активности в Рунете и в
остальном интернет-мире стремительно сокращается.

«В таких условиях компаниям, ведущим свой бизнес в Интернете,
может помочь наличие независимой от провайдера сети, подключение своего
веб-ресурса к нескольким провайдерам с каналами свыше 10 Гб и наличие
квалифицированных специалистов и высококачественного оборудования по
фильтрации мощных атак. Наиболее эффективную защиту от мощных атак типа
DNS Amplification дает фильтрация UDP-трафика для конкретного IP-адреса
на пограничном оборудовании вышестоящего провайдера. Основная сложность
здесь состоит в том, что пограничное оборудование многих провайдеров
таких функций просто не имеет, поэтому компаниям-клиентам они не
доступны. И если при планировании сетей провайдеры не будут учитывать
опасность DDoS-атак, ситуация будет лишь ухудшаться: мощности атак будут
расти, и мы продолжим наблюдать падение целых провайдерских сетей,
хостингов и даже сегментов Интернета», — считает Алексей
Афанасьев, руководитель проекта Kaspersky DDoS Prevention
«Лаборатории Касперского».

Подробный отчет о ситуации с DDoS-атаками в Рунете, обзор новых
тенденциях в этой сфере киберугроз, описание атак типа DNS Amplification
и наиболее яркие примеры DDoS-атак в Рунете — в статье Алексея
Афанасьева и Марии Гарнаевой, антивирусного эксперта «Лаборатории
Касперского», на сайте
www.securelist.com/ru/analysis/208050810/DDoS_ataki_pervogo_polugodiya_2013_goda.

Dr.Web

23 апреля 2013 года

Компания «Доктор Веб» – российский производитель антивирусных средств защиты информации – сообщает о том, что в официальном каталоге Google Play были найдены 28 приложений, содержащих вредоносный рекламный модуль, способный загружать троянцев для мобильной платформы Android. Суммарное число установок этих программ, а, соответственно, и потенциальных жертв достигает нескольких миллионов.

Реклама в Android-приложениях уже давно и успешно применяется различными разработчиками для монетизации своих трудов: это легальный и весьма удобный способ окупить затраченные на создание программ средства и время. Тем не менее, предприимчивые киберпреступники еще в 2011 году решили использовать в своих целях возможности рекламных сетей для мобильных устройств, а именно распространять с их помощью троянские программы. До сих пор наиболее популярными среди них являются троянцы семейства Android.SmsSend, предназначенные для отправки дорогостоящих СМС-сообщений и подписки пользователей на платные контент-услуги. Об одном из таких инцидентов компания «Доктор Веб» сообщала совсем недавно. Кроме того, в последнее время расширяется список вредоносных программ, распространяемых таким образом.

Несмотря на то, что существующие рекламные сети для мобильных Android-устройств, такие как Google AdMob, Airpush, Startapp и пр., вполне успешно удовлетворяют потребности мошенников, последние решили пойти дальше и создали себе в помощь собственную рекламную платформу. На первый взгляд она ничем не отличается от остальных, представленных на рынке: сеть предлагает Android-разработчикам весьма заманчивые условия использования рекламного API, обещая высокий и стабильный доход, а также удобство управления и контроля учетных записей. Не удивительно, что некоторые разработчики приложений серьезно заинтересовались новой платформой.

Как и во многих других Adware-модулях, для отображения рекламных сообщений в этом рекламном API используется push-метод, когда в панель состояния мобильного Android-устройства выводится то или иное информационное уведомление. Однако помимо заявленных функций данная платформа содержит ряд скрытых возможностей.

Так, в push-уведомлениях от мошеннической рекламной сети может демонстрироваться информация о необходимости установки важного обновления для тех или иных приложений. В случае если ничего не подозревающий пользователь соглашается на установку такого «обновления», рекламный модуль выполняет загрузку некоего apk-пакета и помещает его на карту памяти в каталог загрузок /mnt/sdcard/download. Этот модуль может также создать на главном экране мобильного устройства ярлык, связанный с только что загруженным ПО, и в дальнейшем при нажатии пользователя на этот ярлык будет инициирован процесс установки соответствующей ему программы.

Проведенное специалистами компании «Доктор Веб» исследование показало, что загружаемые таким образом apk-файлы являются представителями семейства троянских программ Android.SmsSend. Дальнейший анализ позволил выявить источник, откуда происходила загрузка данных троянцев: им оказались сервера, на IP-адресах которых зарегистрированы различные поддельные каталоги приложений. В частности, в трех проанализированных приложениях мошенническая рекламная платформа использует связь с управляющим сервером по адресу 188.130.xxx.xx, а в остальных двадцати пяти – связь осуществляется через управляющий сервер с адресом 91.226.xxx.xx. Данные адреса еще несколько дней назад были оперативно внесены в модуль Родительского контроля антивируса Dr.Web и успешно им блокируются.

Ниже представлен полный список команд с управляющих серверов, которые может принимать и выполнять вредоносная рекламная платформа:

  • news – показать push-уведомление
  • showpage – открыть веб-страницу в браузере
  • install – скачать и установить apk
  • showinstall – показать push-уведомление с установкой apk
  • iconpage – создать ярлык на веб-страницу
  • iconinstall – создать ярлык на загруженный apk
  • newdomen – сменить адрес управляющего сервера
  • seconddomen – запасной адрес сервера
  • stop – прекратить обращаться к серверу
  • testpost – посылает запрос повторно
  • ok – ничего не делать

Помимо выполнения данных команд, мошеннический модуль способен также собирать и отправлять на командный сервер следующую информацию: imei мобильного устройства, код оператора и номер imsi сотового телефона.

Особая опасность этого рекламного API заключается в том, что содержащие его приложения были обнаружены в официальном каталоге Google Play, который де-факто считается наиболее безопасным источником Android-программ. Из-за того, что многие пользователи привыкли доверять безопасности Google Play, число установок пораженных данным рекламным модулем программ весьма велико. Из-за ограничений, накладываемых компанией Google на статистическую информацию о числе загрузок приложений из ее каталога, нельзя с абсолютной точностью назвать общее число потенциальных жертв, однако на основании имеющихся в распоряжении специалистов «Доктор Веб» сведений справедливо утверждать, что возможное число пострадавших может достигать более чем 5,3 миллиона пользователей. Это крупнейший и наиболее массовый со времен ввода антивирусной системы Google Bouncer случай заражения вредоносными приложениями, которые находились в каталоге Google Play.

Принимая во внимание вредоносный функционал исследованного рекламного API, а также обнаруженную связь с сайтами, распространяющими вредоносное ПО для Android, специалисты компании «Доктор Веб» отнесли данный модуль к adware-системам, созданным киберпреступниками именно для вредоносных целей. В антивирусные базы он внесен под именем Android.Androways.1.origin и не представляет угрозы для пользователей антивируса Dr.Web для Android.

12 марта 2013 года

Февраль 2013 года запомнится специалистам по информационной безопасности ростом количества заражений пользовательских компьютеров троянскими программами семейства Trojan.Hosts, а также взломов веб-сайтов с целью распространения вредоносного ПО. Также в феврале был обнаружен троянец, атакующий серверы под управлением ОС Linux, активизировались и сетевые мошенники, выискивающие своих жертв на сайтах знакомств.

Вирусная обстановка

Согласно статистике, собранной с использованием лечащей утилиты Dr.Web CureIt!, наиболее распространенной угрозой в последний месяц зимы как и прежде стали троянцы семейства Trojan.Mayachok, при этом чаще всего на компьютерах пользователей обнаруживалась модификация Trojan.Mayachok.18566. Не менее часто лечащая утилита фиксировала наличие платных архивов, детектируемых антивирусным ПО Dr.Web как Trojan.SMSSend, при этом абсолютным лидером среди них является Trojan.SMSSend.2363.

Такие архивы злоумышленниками используются по стандартной модели — они обычно маскируются под программу установки какого-либо приложения и требуют после своего запуска отправить платное СМС-сообщение или принуждают пользователя подписаться на ту или иную «услугу». Архив, как правило, не содержит заявленного ПО и, кроме того, нередко содействует распространению других, более опасных вредоносных программ. Также достаточно велико количество заражений троянскими программами BackDoor.IRC.NgrBot.42, Trojan.Click2.47013 и Win32.HLLP.Neshta. Сведения об угрозах, обнаруженных с использованием лечащей утилиты Dr.Web CureIt! в феврале, представлены в следующей таблице:

Угроза %
Trojan.MayachokMEM.4 2,00
Trojan.SMSSend.2363 1,38
Trojan.Mayachok.18566 1,20
BackDoor.IRC.NgrBot.42 1,14
Trojan.Click2.47013 0,79
Win32.HLLP.Neshta 0,78
Trojan.StartPage.48148 0,77
Trojan.Fraudster.245 0,73
Trojan.Hosts.5268 0,70
Win32.HLLW.Phorpiex.54 0,69
Win32.Sector.22 0,65
Trojan.Mayachok.18579 0,61
Trojan.Hosts.6814 0,59
Trojan.Hosts.6815 0,59
Trojan.Hosts.6838 0,55
BackDoor.Butirat.245 0,54
Trojan.Hosts.6809 0,52
Win32.HLLW.Gavir.ini 0,51
Exploit.CVE2012-1723.13 0,51
Trojan.Mayachok.18397 0,47

Угроза месяца: Linux.Sshdkit

Наиболее интересной угрозой, обнаруженной в феврале специалистами компании «Доктор Веб», можно назвать троянскую программу Linux.Sshdkit, заражающую серверы под управлением операционной системы Linux. Троянец представляет собой динамическую библиотеку, при этом существуют ее разновидности как для 32-разрядных, так и для 64-разрядных версий дистрибутивов Linux. После успешной установки в систему троянец встраивается в процесс sshd, перехватывая функции аутентификации. После установки сессии и успешного ввода пользователем логина и пароля они отправляются на принадлежащий злоумышленникам удаленный сервер. IP-адрес управляющего центра «зашит» в теле троянской программы, однако адрес командного сервера каждые два дня генерируется заново. Для этого Linux.Sshdkit применяет весьма своеобразный механизм выбора имени командного сервера.

Linux.Sshdkit генерирует по специальному алгоритму два DNS-имени, и если оба они ссылаются на один и тот же IP-адрес, то этот адрес преобразуется в другой IP, на который троянец и передает похищенную информацию. Используемый данной вредоносной программой алгоритм генерации адреса командного сервера показан на иллюстрации ниже.

Специалистам компании «Доктор Веб» удалось перехватить несколько управляющих серверов Linux.Sshdkit. На начало марта к перехваченным управляющим центрам обратилось 476 инфицированных серверов, однако многие из них принадлежат хостинг-провайдерам и поддерживают работу значительного числа веб-сайтов, к которым злоумышленники получили доступ. Больше всего инфицированных серверов, а именно 132, находится на территории США, второе место с показателем 37 случаев заражения заняла Украина, на третьем месте расположились Нидерланды. Общие статистические данные, полученные специалистами «Доктор Веб» с использованием перехваченных управляющих центров Linux.Sshdkit, приведены в следующей таблице:

Страна Кол-во инфицированных серверов %
США 132 27,7
Украина 37 7,8
Нидерланды 29 6,1
Таиланд 23 4,8
Турция 22 4,6
Германия 19 4,0
Индия 19 4,0
Великобритания 17 3,6
Италия 17 3,6
Франция 15 3,2
Индонезия 12 2,5
Австралия 10 2,1
Россия 10 2,1
Канада 10 2,1
Аргентина 10 2,1
Бразилия 10 2,1
Южная Корея 7 1,5
Вьетнам 7 1,5
Чили 6 1,3
Испания 6 1,3
Китай 5 1,1
Румыния 5 1,1
Мексика 5 1,1
Южная Африка 4 0,8
Другие страны 39 7,9

Более подробную информацию о данной угрозе можно почерпнуть из этого информационного материала.

Распространение Trojan.Hosts и взломы веб-сайтов

В конце февраля — начале марта 2013 года был зафиксирован очередной всплеск атак на веб-сайты с целью распространения вредоносного ПО. Используя украденные данные для доступа к ресурсам по протоколу FTP, злоумышленники подменяли файл .htaccess и внедряли собственный скрипт-обработчик. В результате посетители взломанного веб-сайта подвергались опасности заражения различными троянскими программами. В частности, с использованием этого метода были зафиксированы факты распространения троянцев семейства Trojan.Hosts — данные вредоносные программы модифицируют один из файлов (%systemroot%/system32/drivers/hosts), в результате чего браузер автоматически перенаправляет жертву на специально созданную злоумышленниками веб-страницу. Наглядным примером активной деятельности злоумышленников являются сайты, размещающие решенные домашние задания для учащихся средних общеобразовательных учреждений. Попав на такую страницу, пользователь перенаправлялся на зараженный интернет-ресурс, с которого на его компьютер загружался троянец Trojan.Hosts и другие опасные приложения.

Угрозы для Android

Февраль 2013 года оказался весьма неспокойным с точки зрения угроз для мобильной платформы Android. Так, в начале февраля вирусные базы Dr.Web пополнились записью для троянца Android.Claco.1.origin, который распространялся в каталоге Google Play под видом утилиты для оптимизации скорости работы операционной системы. Запускаясь на мобильном устройстве, этот троянец мог выполнить отправку СМС-сообщений по команде злоумышленников, открыть произвольный URL в браузере, а также загрузить персональную информацию пользователя (такую как содержимое карты памяти, СМС-сообщения, фотографии и контакты из телефонной книги) на удаленный сервер. Однако главной особенностью Android.Claco.1.origin являлось то, что с его помощью могли быть инфицированы компьютеры под управлением Windows: подключаясь к удаленному серверу, троянец мог загружать с него другие вредоносные файлы и помещать их на карту памяти мобильного устройства. Среди этих объектов присутствовал исполняемый файл и файл autorun.inf, который осуществлял автоматический запуск соответствующей ему вредоносной программы при подключении инфицированной карты памяти к Windows-компьютеру. Стоит отметить, что, начиная с Windows Vista, функция автозапуска имеет статус отключенной по умолчанию, поэтому для многих пользователей Windows угроза со стороны Android.Claco.1.origin была незначительной.

Другой заметной вредоносной программой в феврале стал троянец Android.Damon.1.origin, который распространялся злоумышленниками на популярных китайских веб-сайтах в модифицированных ими приложениях. Android.Damon.1.origin способен выполнять отправку СМС-сообщений в соответствии с принимаемой командой от удаленного сервера, совершать звонки, открывать произвольный URL, загружать на сервер персональную информацию владельца мобильного устройства (например, содержимое телефонной книги, историю звонков, координаты пользователя), а также выполнять некоторые другие функции.

Кроме того, в течение месяца в вирусные базы Dr.Web вносились записи для новых представителей семейства СМС-троянцев Android.SmsSend.

Другие угрозы февраля

В конце долгой зимы заметно активизировались сетевые мошенники, в частности, промышляющие в поисках жертв на сайтах знакомств. Как правило, мошенники представляются эмигрантами либо иностранцами с русскими корнями — именно этим они объясняют хороший уровень владения русским языком. Завоевав доверие жертвы в процессе переписки, злоумышленник сообщает ей, что намерен отправить своей «избраннице» какой-либо дорогой подарок: электронный планшет, смартфон или ювелирное украшение. Злоумышленники завлекают потенциальных жертв на поддельный сайт курьерской службы, где им предлагается оплатить доставку посылки. Естественно, в случае оплаты «курьерская служба», как и сам щедрый поклонник, исчезают в неизвестном направлении. Подробнее об этом способе мошенничества рассказано в нашем информационном материале.

В начале февраля были зафиксированы случаи распространения вредоносных программ с использованием встроенного приложения социальной сети Facebook — этому инциденту посвящена статья, опубликованная на сайте news.drweb.com.

Наконец, в середине месяца специалистами компании «Доктор Веб» был обнаружен забавный троянец-винлок. О том, чем эта вредоносная программа насмешила вирусных аналитиков, можно узнать из нашей публикации.

Вредоносные файлы, обнаруженные в почтовом трафике в феврале

 01.02.2013 00:00 — 28.02.2013 11:00
1 BackDoor.Andromeda.22 1.18%
2 JS.Redirector.185 1.12%
3 Win32.HLLM.MyDoom.54464 0.53%
4 Win32.HLLM.MyDoom.33808 0.39%
5 Trojan.Necurs.97 0.39%
6 Trojan.PWS.Panda.786 0.39%
7 Trojan.DownLoad3.20933 0.39%
8 Trojan.PWS.Stealer.1932 0.39%
9 Trojan.Oficla.zip 0.37%
10 Tool.PassView.525 0.33%
11 Trojan.Packed.2820 0.31%
12 SCRIPT.Virus 0.29%
13 Trojan.PWS.Panda.655 0.29%
14 BackDoor.Tordev.8 0.29%
15 Win32.HLLM.Beagle 0.27%
16 Trojan.Packed.196 0.27%
17 Trojan.PWS.Stealer.2155 0.26%
18 BackDoor.Andromeda.150 0.26%
19 Trojan.KeyLogger.16674 0.24%
20 Win32.HLLM.Graz 0.24%

Вредоносные файлы, обнаруженные в феврале на компьютерах пользователей

 01.02.2013 00:00 — 28.02.2013 11:00
1 Trojan.Fraudster.245 0.77%
2 SCRIPT.Virus 0.70%
3 Tool.Unwanted.JS.SMSFraud.26 0.63%
4 Adware.Downware.915 0.61%
5 JS.IFrame.387 0.52%
6 Adware.Downware.179 0.49%
7 Tool.Unwanted.JS.SMSFraud.10 0.42%
8 Trojan.Fraudster.394 0.36%
9 Adware.Webalta.11 0.36%
10 Tool.Skymonk.11 0.33%
11 Trojan.Fraudster.407 0.32%
12 Win32.HLLW.Shadow 0.31%
13 Tool.Skymonk.12 0.30%
14 JS.Redirector.175 0.30%
15 Adware.Downware.910 0.29%
16 Adware.InstallCore.53 0.29%
17 Win32.HLLW.Autoruner1.33556 0.29%
18 Adware.Downware.774 0.29%
19 Win32.HLLW.Autoruner.59834 0.29%
20 JS.Redirector.179 0.27%

ИСТОЧНИК

MiniDuke — новая вредоносная программа для кибершпионажа в государственных структурах по всему миру

«Лаборатория Касперского» опубликовала отчёт об исследовании
ряда инцидентов, произошедших на прошлой неделе и связанных с очередным
примером кибершпионажа против правительственных учреждений и научных
организаций по всему миру. В ходе атаки злоумышленники применили
сочетание сложных вредоносных кодов «старой школы»
вирусописательства и новых продвинутых технологий использования
уязвимостей в Adobe Reader — и всё это для того, чтобы получить
данные геополитического характера из соответствующих организаций.

Вредоносная программа MiniDuke* распространялась при помощи недавно
обнаруженного эксплойта для Adobe Reader (CVE-2013-6040). По данным
исследования, проведенного «Лабораторией Касперского»
совместно с венгерской компанией CrySys Lab, среди жертв кибершпионской
программы MiniDuke оказались государственные учреждения Украины,
Бельгии, Португалии, Румынии, Чехии и Ирландии. Кроме того, от действий
киберпреступников пострадали исследовательский институт, два
научно-исследовательскийх центра и медицинское учреждение в США, а также
исследовательский фонд в Венгрии.

«Это очень необычная кибератака, — поясняет Евгений
Касперский, генеральный директор «Лаборатории Касперского».
— Я хорошо помню, что подобный стиль программирования в
вредоносном ПО использовался в конце 1990-х-начале 2000-х. Пока не очень
понятно, почему эти вирусописатели «проснулись» через 10 лет
и присоединились к «продвинутым» киберпреступникам. Эти
элитные писатели вредоносных программ старой закалки успешные в создании
сложных вирусов сейчас совмещают свои способности с новыми методами
ухода от защитных технологий для того, чтобы атаковать государственные
учреждения и научные организации в разных странах».

«Созданный специально для этих атак бэкдор MiniDuke написан на
Ассемблере и чрезвычайно мал — всего 20 Кб, — добавляет
Евгений Касперский. — Сочетание опыта «олдскульных»
вирусописателей с новейшими эксплойтами и хитрыми приёмами социальной
инженерии — крайне опасная смесь».

В ходе исследования эксперты «Лаборатории Касперского»
пришли к следующим выводам:
* Авторы MiniDuke до сих пор продолжают
свою активность, последний раз они модифицировали вредоносную программу
20 февраля 2013 года. Для проникновения в системы жертв киберпреступники
использовали эффективные приёмы социальной инженерии, с помощью которых
рассылали вредоносные PDF-документы. Эти документы представляли собой
актуальный и хорошо подобранный набор сфабрикованного контента. В
частности, они содержали информацию о семинаре по правам человека
(ASEM), данные о внешней политике Украины, а также планы стран-участниц
НАТО. Все эти документы содержали эксплойты, атакующие 9, 10 и 11 версии
программы Adobe Reader. Для создания этих эксплойтов был использован тот
же инструментарий, что и при недавних атаках, о которых сообщала
компания FireEye. Однако в составе MiniDuke эти эксплойты использовались
для других целей и содержали собственный вредоносный код.
* При
заражении системы на диск жертвы попадал небольшой загрузчик, размером
всего 20 Кб. Он уникален для каждой системы и содержит бэкдор,
написанный на Ассемблере. Кроме того, он умеет ускользать от
инструментов анализа системы, встроенных в некоторые среды, в частности
в VMWare. В случае обнаружения одного из них бэкдор приостанавливал свою
деятельность с тем, чтобы скрыть своё присутствие в системе. Это говорит
о том, что авторы вредоносной программы имеют четкое представление о том
методах работы антивирусных компаний.
* Если атакуемая система
соответствует заданным требованиям, вредоносная программа будет (втайне
от пользователя) использовать Twitter для поиска специальных твитов от
заранее созданных акаунтов. Эти аккаунты были созданы операторами
бэкдора MiniDuke, а твиты от них поддерживают специфические тэги,
маркирующие зашифрованные URL-адреса для бэкдора. Эти URL-адреса
предоставляют доступ к серверам управления, которые, в свою очередь,
обеспечивают выполнение команд и установку бэкдоров на заражённую
систему через GIF-файлы.
* По результатам анализа стало известно, что
создатели MiniDuke используют динамическую резервную систему
коммуникации, которая также может ускользать от антивирусных средств
защиты — если Twitter не работает или аккаунты неактивны,
вредоносная программа может использовать Google Search для того чтобы
найти зашифрованные ссылки к новым серверам управления. Как только
заражённая система устанавливает соединение с сервером управления, она
начинает получать зашифрованные бэкдоры через GIF-файлы, которые
маскируются под картинки на компьютере жертвы. После загрузки на машину,
эти бэкдоры могут выполнять несколько базовых действий: копировать,
перемещать или удалять файлы, создавать каталоги, останавливать процессы
и, конечно, загружать и исполнять новые вредоносные программы.

* Бэкдор выходит на связь с двумя серверами — в Панаме и Турции
— для того чтобы получить инструкции от киберпреступников.

С полной версией отчёта «Лаборатории Касперского» и
рекомендациями по защите от MiniDuke можно ознакомиться на сайте
www.securelist.com/ru. *Система «Лаборатории Касперского»
детектирует и нейтрализует вредоносную программу MiniDuke,
классифицируемую как HEUR:Backdoor.Win32.MiniDuke.gen и
Backdoor.Win32.Miniduke. Технологии «Лаборатории
Касперского» также детектируют эксплойты, использующиеся в
PDF-документах и классифицируемые как Exploit.JS.Pdfka.giy.

22 февраля 2013 года

В связи с участившимися случаями взлома веб-серверов, работающих под управлением операционной системы Linux, компания «Доктор Веб» — российский производитель антивирусных средств защиты информации — провела собственное расследование данных инцидентов. Специалисты выяснили, что одним из способов кражи паролей на серверах с ОС Linux стало использование троянца, добавленного в базы Dr.Web под именем Linux.Sshdkit.

Вредоносная программа Linux.Sshdkit представляет собой динамическую библиотеку, при этом существуют ее разновидности как для 32-разрядных, так и для 64-разрядных версий дистрибутивов Linux. Механизм распространения троянца пока еще до конца не изучен, однако имеются основания полагать, что его установка на атакуемые серверы осуществляется с использованием критической уязвимости. Последняя известная специалистам «Доктор Веб» версия данной вредоносной программы имеет номер 1.2.1, а одна из наиболее ранних — 1.0.3 — распространяется на протяжении довольно-таки длительного времени.

После успешной установки в систему троянец встраивается в процесс sshd, перехватывая функции аутентификации данного процесса. После установки сессии и успешного ввода пользователем логина и пароля они отправляются на принадлежащий злоумышленникам удаленный сервер посредством протокола UDP. IP-адрес управляющего центра «зашит» в теле троянской программы, однако адрес командного сервера каждые два дня генерируется заново. Для этого Linux.Sshdkit применяет весьма своеобразный алгоритм выбора имени командного сервера.

Linux.Sshdkit генерирует по специальному алгоритму два DNS-имени, и если оба они ссылаются на один и тот же IP-адрес, то этот адрес преобразуется в другой IP, на который троянец и передает похищенную информацию. Используемый данной вредоносной программой алгоритм генерации адреса командного сервера показан на иллюстрации ниже.

Специалистам компании «Доктор Веб» удалось перехватить один из управляющих серверов Linux.Sshdkit с использованием широко известного метода sinkhole — таким образом было получено практическое подтверждение того, что троянец передает на удаленные узлы похищенные с атакованных серверов логины и пароли.

Сигнатура данной угрозы добавлена в вирусные базы Dr.Web. Администраторам серверов, работающих под управлением ОС Linux, специалисты «Доктор Веб» рекомендуют проверить операционную систему. Одним из признаков заражения может служить наличие библиотеки /lib/libkeyutils* размером от 20 до 35 КБ.

ИСТОЧНИК