APT-атака Darkhotel

История необычного гостеприимства

Содержание 

 PDF-версия отчета
 Приложение

Краткий обзор

Darkhotel APT – это кампания операций кибершпионажа с противоречивым набором используемых инструментов: некоторые из них весьма продвинуты, а некоторые довольно примитивны. Группа злоумышленников, стоящая за Darkhotel, активна уже в течение 7 лет. Эта активность во многом связана с беспроводными компьютерными сетями в гостиницах и бизнес-центрах, частично она проявлялась в P2P файло-обменных сетях, также известны факты проведения целевых рассылок по электронной почте отдельным целям. Инструменты Darkhotel детектируются под именами Tapaoux, Pioneer, Karba, Nemim и пр. Вот список особых характеристик данной группы:

  • Компрометация доверенных сетевых ресурсов, расположенных по всему миру, с целью долгосрочного их использования.
  • Продвинутые математические и крипто-аналитические возможности, а также компрометация сертифицирующих органов с целью кражи сертификатов.
  • Заражение случайных компьютеров в определенных странах для построения ботнета.
  • Продвинутый клавиатурный шпион, работающий на уровне ядра ОС.
  • Избирательность в категориях жертв, отслеживание перемещения наиболее интересных жертв.
  • Широкая динамичная инфраструктура, состоящая из веб-серверов, динамических DNS-записей, крипто-библиотек и веб-приложений.
  • Доступ к 0-day уязвимостям. В одной из целевых атак использовался эксплойт к 0-day уязвимости в Adobe Flash. В некоторых случаях использовались другие 0-day эксплойты.

dark hotel

Введение

Когда ничего не подозревающие путешественники, включая руководителей компаний и вице-президентов, приезжают в командировки, заселяются в дорогостоящие гостиницы и подключают свои компьютеры к местной беспроводной сети, их заражают редким троянцем, который маскируется под обновления популярного ПО – Google Toolbar, Adobe Flash, Windows Messenger и т.д. Если это не целевая атака на конкретного человека, то на этом этапе атакующие с помощью несложного троянца определяют, насколько интересна попавшая в их сети жертва. После этого атака на нее может продолжиться уже при помощи более серьезных инструментов.

Вредоносный код, судя по всему, может атаковать и заранее определенных пользователей. Предположительно группа злоумышленников знает, когда интересующие их люди въедут и выедут из гостиниц; им также известны номера комнат и полные имена постояльцев. Таким образом, злоумышленники просто ждут, когда намеченные жертвы приедут и выйдут в интернет из своих гостиничных номеров.

В прошлом ФБР выпускало предупреждение о подобной угрозе, исходящей от беспроводных сетей в гостиницах. Австралийские госслужащие также заявляли о похожих случаях заражения. Предупреждение ФБР об атаках на постояльцев гостиниц было выпущено в мае 2012 г., однако экземпляры Darkhotel циркулировали уже в 2007 г. Журнал на проанализированном сервере Darkhotel содержал записи о соединениях с зараженными компьютерами, относящиеся к 1 января 2009 г. Кроме того, Darkhotel активно заражает пользователей в P2P-сетях и рассылает электронные письма с эксплойтами, использующими 0-day уязвимости. Это говорит о том, что группа Darkhotel имеет достаточно эффективный набор инструментов и давно действует в сфере атак на постояльцев гостиниц.

dark hotel

Анализ

Распространение через гостиницы и бизнес центры. Неизбирательное заражение

Факты распространения Darkhotel были отмечен в определенных гостиничных сетях. Постояльцы, пытающиеся подсоединиться к гостиничной Wi-Fi сети, получали приглашение к установке обновлений популярных программных продуктов.

dark hotel

На деле эти программы оказались инсталляторами бэкдоров Darkhotel, которые были «приклеены» к легитимным инсталляторам продуктов от компаний Adobe и Google. Бэкдоры Darkhotel, имеющие цифровые подписи, устанавливаются одновременно с легальными продуктами.

dark hotel

В этом методе распространения самое интересное то, что постояльцы гостиниц, как правило, должны ввести свою фамилию и номер комнаты для регистрации в сети, при этом Darkhotel оказались заражены компьютеры только некоторых постояльцев. Мы отправились в те же гостиницы и попытались подключиться к сети Интернет с необновленной системы, но так и не дождались атаки Darkhotel. Мы полагаем, что атакующие очень аккуратно используют возможность доставлять вредоносный код через сети гостиниц и атакуют строго определенных людей и в определенное время.

Злонамеренное использование сетевой инфраструктуры

Киберпреступники, стоящие за атаками Darkhotel, в течение нескольких лет сохраняли незаметным метод проникновения в гостиничные сети. Этим они обеспечивали себе широкие возможности для атак на устройства постояльцев гостиниц. Предположительно они получали информацию о постояльцах, времени их заезда и выезда, при этом они выбирали лишь наиболее дорогие из гостиниц.

В ходе нашего расследования мы определили, что веб-браузеры пользователей в гостиничных сетях перенаправлялись прямо на исполняемые файлы троянца через внедренный HTML-код.

Злоумышленники аккуратно размещали как внедренный код, так и исполняемые файлы на доверенных ресурсах, а именно прямо на порталах регистрации, принадлежащих гостиничной сети. Стоит отметить, что в настоящее время все вредоносные файлы уже удалены.

В конце 2013 г. и начале 2014 г. мы отследили признаки нескольких таких инцидентов в гостиничной сети. Злоумышленники тщательно готовятся к появлению своих жертв. Как только постоялец выезжает из гостиницы, время атаки заканчивается, и злоумышленники удаляют внедренный код и бэкдоры из гостиничной сети.

Этот метод атаки размывает границу между двумя активно используемыми тактиками APT-атак: довольно широкими атаками типа wateringhole и spear-phishing. В случае Darkhotel, злоумышленники ждут, когда жертва подключится к интернету по гостиничной Wi-Fi сети или через проводное подключение в номере. По сути, злоумышленники полагаются на вероятность, и она очень велика, что жертвы войдут в сеть через эти каналы. Но в то же время злоумышленники располагают действительно точной информацией о пребывании жертвы в гостинице – это можно сравнить с точечной направленной атакой, когда злоумышленники знают адрес электронной почты жертвы и отправляют специально созданное для жертвы письмо.

Неизбирательное распространение

В качестве примера неизбирательного распространения Darkhotel рассмотрим, как он распространяется на японских ресурсах P2P-обмена файлами. В данном случае вредоносное ПО доставляется жертве в составе большого (около 900Мб) RAR-архива. Точно такой же архив распространялся и через торрент-сети (подробности описаны ниже). В случае Darkhotel, данным методом рассылался троянец Karba. Сами архивы содержали японские комиксы военного или сексуального характера, переведенные на китайский язык и направленные на потенциальных китаеязычных жертв, у которых есть интерес к соответствующим темам.

Менее чем за полгода пакет-дистрибутив Darkhotel был скачан более чем 30000 раз. P2P-торрент Darkhotel, указанный ниже, был опубликован 22 ноября 2013 и распространялся в течение 2014 года.

Название файла: (一般コミック)[古味直志]ニセコイ第01­09巻.rar

dark hotel

Этот торрент связан с файлом размером почти в 900 Мб. Это RAR-архив, который содержит каталог, внутри которого находятся зашифрованные ZIP-файлы, дешифровщик и файл с паролем. На практике оказывается, что файл AxDecrypt.exe наряду с расшифровщиком содержит ещё и установщик троянца Karba (файл Catch.exe), связанный с Darkhotel. Когда пользователь скачивает торрент и разархивирует ZIP-файлы, троянец незаметно устанавливается и запускается на компьютере-жертве.

Catch.exe (детектируется как Backdoor.Win32.Agent.dgrn) связывается со следующими командными серверами Darkhotel:

microdelta.crabdance.com
microyours.ignorelist.com
micronames.jumpingcrab.com
microchisk.mooo.com
microalba.serveftp.com

В других случаях в составе пакета, который раздается через торрент, кроме прочего, содержится японское аниме «для взрослых». Каждая торрент-раздача была скачана десятки тысяч раз.

Примеры имени такого файла:
» [hgd资源组][漫画]comic1☆7漫画合集③+④+⑤+特典[5.08g][绅士向][总第四十三弹](七 夕节快乐!)»

Кампании целевых атак по электронной почте

В последние пять лет несколько раз в широком доступе появлялись разрозненные данные о кампаниях Darkhotel, в которых были использованы другие программы для целевых атак, известные под именем Tapaoux. Целевые фишинговые кампании (spear-phishing) были направлены против предприятий военно-промышленного комплекса, государственных учреждений и неправительственных организаций. В качестве приманки использовались сообщения на такие темы, как ядерная энергетика и ядерное вооружение. Ранее на сайте contagio уже публиковались сообщения о схожих атаках на неправительственные организации и госучреждения. Эти целевые атаки по электронной почте продолжаются и в 2014 г. Атаки происходят по типовой для этого схеме. В последние месяцы зараженные системы скачивали вредоносные EXE-файлы со следующих адресов:

  • hxxp://office­revision[.]com/update/files22/update.exe
  • hxxp://trade­inf[.]com/mt/duspr.exe.

Сценарий прост: жертва получает письмо по электронной почте, содержащее ссылку, которая направляет браузер на страницу с эксплойтом, использующим уязвимость в установленном ПО. Иногда и в приложении к письму может содержаться эксплойт к одному из продуктов Adobe.

Недавний случай использования 0-day эксплойта

Данная группа злоумышленников время от времени использует 0-day эксплойты. В течение последних нескольких лет, как правило, использовались эксплойты для программных продуктов от Adobe и Microsoft, например к уязвимости CVE­2010­0188. В начале 2014 г. наши исследователи обнаружили, что группа также использовала уязвимость CVE­2014­0497, которая на тот момент являлась 0-day уязвимостью в Adobe Flash. Мы уже писали про это в одном из наших блогпостов на Securelist в начале февраля.

Группа провела серию целевых атак на системы, подсоединенные к интернету через китайских провайдеров. Атакующие предусмотрели возможность работы эксплойта на последней на тот момент версии Windows 8.1. Интересно то, что Flash-объекты были встроены в документы на корейском языке с заголовком «Список новейших японских антивирусов и как использовать торренты» (приблизительный перевод). Загрузчик (md5: d8137ded710d83e2339a97ee78494c34) использовал вредоносный код, похожий по функционалу на компонент «Information Stealer», описанный в Приложении D.

Цифровые сертификаты и отзыв доверия к сертифицирующим органам

Группа злоумышленников, стоящая за Darkhotel, обычно подписывала свои бэкдоры цифровыми сертификатами. Интересно, что у части сертификатов оказалась одна особенность – короткая длина ключа. Судя по всему, группа имела возможность получать секретные ключи, необходимые для создания поддельных сертификатов, двумя способами: либо красть их непосредственно у подписывающей компании, либо взламывать слабые RSA-ключи, использованные в некоторых сертификатах. Стоит отметить, что взлом ключей требовал достаточно больших вычислительных ресурсов и хороших знаний в области криптографии. Ниже приведен список сертификатов, которыми часто подписывали вредоносный код Darkhotel.

Корневой центр сертификации Подчиненный
центр
сертификации/
Издатель
сертификата
Владелец Статус Действителен от Действителен до
GTE
CyberTrust
DigisignServer
ID(Enrich)
flexicorp.jaring.my
SHA1/RSA (512bits)
Истёк 12/17/2008 12/17/2010
GTE
CyberTrust
CybertrustSure
ServerCA
inpack.syniverse.my
SHA1/RSA (512bits)
Отозван 2/13/2009 2/13/2011
GTE
CyberTrust
CybertrustSure
ServerCA
inpack.syniverse.com
SHA1/RSA (512bits)
Отозван 2/13/2009 2/13/2011
GTE
CyberTrust
AnthemInc
CertificateAuth
ahi.anthem.com
SHA1/RSA (512bits)
Недействителен 1/13/2010 1/13/2011
GlobalSign Deutsche
TelekomCA5
www.kuechentraum24.de
SHA1/RSA (512bits)
Отозван 10/20/2008 10/25/2009
GTE
CyberTrust
DigisignServer
ID(Enrich)
payments.bnm.gov.my
SHA1/RSA (512bits)
Недействителен 12/7/2009 12/7/2010
GTE
CyberTrust
TaiCASecureCA esupplychain.com.tw
SHA1/RSA (512bits)
Истёк 7/2/2010 7/17/2011
GTE
CyberTrust
DigisignServer
ID(Enrich)
mcrs2.digicert.com.my
SHA1/RSA (512bits)
Недействителен 3/28/2010 3/28/2012
GTE
CyberTrust
CybertrustSure
ServerCA
agreement.syniverse.com
SHA1/RSA (512bits)
Недействителен 2/13/2009 2/13/2011
GTE
CyberTrust
CybertrustSure
ServerCA
ambermms.syniverse.com
SHA1/RSA (512bits)
Недействителен 2/16/2009 2/16/2011
EquifaxSecuree
BusinessCA­1
EquifaxSecuree
BusinessCA­1
secure.hotelreykjavik.is
md5/RSA(512bits)
Недействителен 2/27/2005 3/30/2007
GTE
CyberTrust
Cybertrust
EducationalCA
stfmail.ccn.ac.uk
SHA1/RSA (512bits)
Недействителен 11/12/2008 11/12/2011
GTE
CyberTrust
DigisignServer
ID(Enrich)
webmail.jaring.my
SHA1/RSA (512bits)
Недействителен 6/1/2009 6/1/2011
GTE
CyberTrust
Cybertrust
EducationalCA
skillsforge.londonmet.ac.uk
SHA1/RSA (512bits)
Недействителен 1/16/2009 1/16/2012
GTE
CyberTrust
DigisignServer
ID(Enrich)
anjungnet.mardi.gov.my
SHA1/RSA (512bits)
Недействителен 9/29/2009 9/29/2011
GTE
CyberTrust
AnthemInc
CertificateAuthority
dl­ait­middleware@anthem.com
SHA1/RSA (512bits)
Недействителен 4/22/2009 4/22/2010
GTE
CyberTrust
Cybertrust
EducationalCA
ad­idmapp.cityofbristol.ac.uk
SHA1/RSA (512bits)
Недействителен 9/11/2008 9/11/2011
Verisign VerisignClass
3Secure
OFXCA­G3
secure2.eecu.com
SHA1/RSA (512bits)
Недействителен 10/25/2009 10/26/2010
RootAgency RootAgency Microsoft
md5/RSA(1024bits)
Недействителен 6/9/2009 12/31/2039
GTE Cybertrust CyberTrust
SureServer CA
trainingforms.syniverse.com
SHA1/RSA (512 bits)
Недействителен 2/17/2009 2/17/2011

Во всех указанных выше случаях вредоносный код Darkhotel оказался подписан сертификатами, выпущенными одним и тем же корневым и нижестоящим центром сертификации и имеющими слабые MD5-ключи (RSA 512 бит). Эти свойства наводят на мысль о том, что злоумышленники, скорее всего, воссоздали секретные ключи, необходимые для создания собственной цифровой подписи. Многие из этих сертификатов упомянуты в блогпосте компании Fox-IT в 2011 г. RSA­512 Certificates Abused in the Wild.

В дополнение мы рекомендуем ознакомиться со следующими документами: бюллетень по безопасности Microsoft, бюллетень от Mozilla и ответы на портале Entrust.net.

Из Бюллетня по безопасности Microsoft от 10 ноября 2011 г.:

«Корпорация Майкрософт получила информацию, что DigiCert Sdn. Bhd, малазийский подчиненный центр сертификации Entrust и GTECyberTrust, выпустил 22 сертификата со слабыми 512-битными ключами. В случае взлома таких слабых ключей шифрования злоумышленник может использовать сертификаты в мошеннических целях для подделки содержимого, фишинга или совершения атак типа «человек посередине» против пользователей веб-браузеров (включая Internet Explorer). Хотя это не является уязвимостью в продуктах Майкрософт, данная проблема затрагивает все поддерживаемые версии Microsoft Windows.

Хотя достоверно неизвестно, что сертификаты были выпущены мошеннически, однако известны случаи, когда слабые ключи шифрования делали возможным воссоздание некоторых сертификатов и использование их в мошеннических целях.

Майкрософт выпустила обновление для всех поддерживаемых версий Microsoft Windows, которое отзывает доверие к DigiCertSdn. Bhd. Обновление отзывает доверие для следующих двух сертификатов, выпущенных промежуточными центрами сертификации:

  • DigisignServer ID – (Enrich), выпущенный центром сертификации Entrust.net
  • Digisign Server ID (Enrich), выпущенный GTE CyberTrust Global Root.»

Из бюллетеня Mozilla, 2011 г.:

«Хотя мы не располагаем данными о том, что эти сертификаты были изданы мошенническим образом, они могут быть скомпрометированы в силу того, что были выбраны слабые параметры ключа. Более того, сертификаты, изданные этим сертифицирующим органом, имеют несколько технических проблем. У них нет расширения EKU, не указано целевое предназначение ключа, и, наконец, они изданы без информации о том, как они могут быть отозваны.»

Из ответа производителя защитных решений Entrust:

«Мы не располагаем сведениями о том, чтобы сертифицирующий орган Digicert Malaysia был скомпрометирован».

Взлом ключей

Вот несколько заметок о том, сколько могла стоить криптографическая атака на данные сертификаты, и какие потребовались для этого технические ресурсы.

Чтобы взломать и разложить на множители 512-битный ключ, нужен компьютер стоимостью $5000 и время около 2 недель (подробнее тут).

Ранее уже обсуждалась методика технического взлома подобных ключей. В 2001 году вышла статья Дэниэла Бернстайна (Daniel J. Bernstein) о построении вычислительной машины для сокращения стоимости выполнения задачи целочисленного разложения на множители с использованием метода решета числового поля (Number Field Sieve) применительно к задаче взлома 1024-битных RSA ключей.

В 2002 г. последовала ответная публикация RSA Laboratories касательно того, были ли взломаны RSA-ключи в результате публикации статьи Бернстайна: «В ноябре 2001 г. на семинаре, посвященном управлению ключами шифрования, Национальный институт стандартов и технологий (NIST) США предложил обсудить необходимый размер ключей шифрования и продемонстрировал предлагаемую таблицу с различными размерами ключей. Для защиты данных по 2015 г. в таблице предлагается размер RSA-ключа не менее 1024 бит. Для данных, нуждающихся в защите после 2015 г., рекомендуется использовать RSA-ключи размером не менее 2048 бит».

Другие сертификаты Tapaoux

В ходе последних атак с участием бэкдоров Tapaoux встречались и вредоносные программы, подписанные стойкими 2048-битными SHA1/RSA сертификатами. В этом случае сертификаты предположительно были украдены.

Корневой центр сертификации Подчиненный центр сертификации / Издатель сертификата Владелец Статус Действителен от Действителен до
thawte Thawte Primary Root CA Xuchang Hongguang Technology Co.,Ltd. SHA1/RSA (2048bits) Отозван 7/18/2013 7/16/2014
thawte Thawte Primary Root CA Ningbo Gaoxinquzhidian Electric Power Technology Co., Ltd. SHA1/RSA (2048bits) Отозван 11/5/2013 11/5/2014

Продвинутые клавиатурные шпионы

В ходе исследования мы обнаружили и другие любопытные факты, в том числе использование продвинутого клавиатурного шпиона с цифровой подписью. Это хорошо написанный вредоносный код, работающий на уровне ядра операционной системы. В коде содержатся строки на английском и корейском языках. Подписан зловред всё тем же цифровым сертификатом, выписанным на имя пользователя с адресом «belinda.jablonski@syniverse.com».

Клавиатурный шпион загружается исполняемым кодом, работающим в svchost.exe. Код содержит интересую отладочную строку:

d:\KerKey\KerKey(일반)\KerKey\release\KerKey.pdb

일반 в переводе с корейского означает «общий» или «общего назначения».

Код, вероятно, был разработан в рамках проекта, действовавшего в 2009 году:

e:\project\2009\x\total_source\32bit\ndiskpro\src\ioman.c

Код клавиатурного шпиона

Пакет драйвера сделан так, что напоминает низкоуровневое системное устройство от Microsoft. Драйвер устанавливается под именем Ndiskpro; в описании говорится, что это «устройство обновления микрокода» (Microcode Update Device). Несколько удивляет то, что этот сервис не скрывает своё присутствие при помощи руткита:

dark hotel

После загрузки драйвер NDISKPRO.SYS перехватывает прерывания INT0x01 и INT0xff и получает данные о нажатиях клавиш прямо из порта 0x60 – это собственно контроллер клавиатуры на материнской плате. Драйвер накапливает эти данные в буфере, а затем посылает записанные пользовательские данные на компонент, работающий в режиме пользователя. Этот компонент затем шифрует и записывает полученные данные на диск в файл со случайным именем и расширением .tmp (например ffffz07131101.tmp). Этот файл находится в той же папке, что и сам установщик драйвера. Последний обеспечивает запуск этих вредоносных компонентов при каждой загрузке системы – просто дописывая ключ загрузки в системном разделе HKCU.

dark hotel

Как уже описывалось, модуль клавиатурного шпиона шифрует и хранит собранные данные в особом файле журнала. Алгоритм шифрования похож на алгоритм RC4. Интересно то, что модуль генерирует ключ случайным образом и хранит его прямо в середине имени файла журнала. Таким образом, численная часть имени файла используется для инициализации генератора псевдослучайных чисел. Функция rand реализована в коде программы, а не вызывается из библиотеки, что обеспечивает получение одних и тех же результатов на разных компьютерах и может быть использовано для шифрования.

Интересные вредоносные компоненты

Инструментарий Darkhotel состоит из различных компонентов, которые с течением времени претерпевали определенные изменения. Эти инструменты устанавливаются на компьютерах жертв инсталляторами Darkhotel, замаскированными под установщики легитимного ПО, распространялись они в составе торрентов либо загружались на компьютеры с помощью эксплойтов.

Первичные инструменты использовались для загрузки на систему жертвы более сложного вредоносного ПО, такого как описанный выше клавиатурный шпион. В ходе недавней атаки документы Microsoft Word содержали внедренный в них вредоносный Flash-объект, содержащий 0-day эксплойт. В этом случае вредоносный код использовался для непосредственной установки бэкдора в систему или для загрузки бэкдора с удаленных веб-серверов с целью последующего запуска. Далее этот инструментарий применялся для загрузки клавиатурного шпиона, кражи информации из зараженной системы или загрузки других вредоносных инструментов.

Мы выделили следующие компоненты, используемые злоумышленниками:

  • компактный загрузчик
  • модуль кражи данных
  • полнофункциональный бэкдор
  • установщик и самовнедряющаяся динамическая библиотека
  • избирательный файловый инфектор

Среди наиболее интересных особенностей поведения этих компонентов:

  • режим 180-дневной «спячки» при определенных условиях
  • процедуры самоуничтожения в случае, если в системе по умолчанию установлена корейская кодовая страница
  • усовершенствованный механизм кражи учетных данных в хранилище Microsoft IntelliForm
  • поиск сохраненных секретов в хранилищах Internet Explorer, Firefox и Chrome
  • использование идентификаторов кампаний и этапов атаки
  • детектирование виртуальной машины
  • избирательные механизмы вирусного заражения, позволяющие контролировать распространение вредоносного ПО внутри организации
  • подписанный вредоносный код (как уже отмечено выше)

Компактный загрузчик

Этот модуль имеет совсем небольшой размер (27 КБ) и распространяется в составе SFX-архива WinRar, который распаковывает модуль из файла %APPDATA%\Microsoft\Crypto\DES64v7\msieckc.exe и запускает его. Этот модуль предназначен для обновления вредоносных компонентов. Связываясь с командным сервером, он регулярно получает информацию о наличии собственных обновлений. Он также способен удалять некоторые старые компоненты, имена которых прописаны в теле вредоносной программы. Модуль самостоятельно добавляет в системный реестр ключи автозапуска, позволяющие ему автоматически запускаться при загрузке системы.

Одна из наиболее интересных особенностей этого исполняемого файла – необычная задержка в работе с целью сохранения своего присутствия в системе. Если в системе найден файл с определенным именем, модуль перестаёт устанавливать связь с командным сервером, пока со дня создания такого сигнального файла не пройдет 180 дней.

Данный компонент собирает информацию о системе и отправляет ее на командные серверы Darkhotel (более подробную информацию можно найти в Приложении D).

Модуль кражи данных

Этот модуль имеет относительно большой размер (455 КБ) распространяется в составе SFX-архива WinRar, который распаковывает модуль из файла %APPDATA%\Microsoft\Display\DmaUp3.exe и запускает его. Главная задача модуля – сбор различных конфиденциальных данных, сохраненных в локальной системе, и их загрузка на командные серверы Darkhotel:

  • пароли из защищенного хранилища Internet Explorer 6/7/8/9
  • конфиденциальные данные, сохраняемые Mozilla Firefox (версия <12.0)
  • конфиденциальные данные, сохраняемые Google Chrome
  • учетные данные из Gmail Notifier
  • данные, в т.ч. учетные, сохраненные в Intelliform для следующих ресурсов:
    • Twitter
    • Facebook
    • Яндекс
    • QIP
    • Nifty
    • Mail.ru
    • 126.com
    • Zapak
    • Lavabit (ныне закрытый почтовый сервис с шифрованием сообщений)
    • Bigstring
    • Gmx
    • Sohu
    • Zoho
    • Sina
    • Care2
    • Mail.com
    • Fastmail
    • Inbox
    • Gawab (ближневосточный почтовый сервис)
    • 163.com
    • Lycos
    • AOL
    • Yahoo!
    • Yahoo! Japan
    • Microsoft Live
    • учетные данные сервисов Google

Стоит отметить, что данный модуль завершает свой процесс при обнаружении установленной в системе Windows корейской кодовой страницы.

Trojan.Win32.Karba.e

Эта вредоносная программа имеет размер 220 КБ. Она была создана как приложение на основе MFC с большим количеством избыточных функций, призванных усложнить анализ вредоносного образца. Программа замаскирована под приложение с графическим интерфейсом, но при этом не создает никаких видимых окон или диалогов для взаимодействия с локальными пользователями. Троянская программа собирает данные о системе и установленном в ней антивирусном ПО и загружает собранные данные на командные серверы Darkhotel. Более подробная техническая информация представлена в Приложении D.

Троянец-дроппер и внедряемый модуль

Эта вредоносная программа имеет размер 63 КБ. Она распространяется в составе различных программных пакетов с разными названиями, однако содержащие ее пакеты последовательно детектируются как «Virus.Win32.Pioneer.dx». Программа распаковывает на диск файл igfxext.exe, представляющий собой компонент «избирательный инфектор», и запускает его.

Избирательный инфектор

Этот компонент представляет собой файловый вирус и используется для избирательного проникновения на другие компьютеры через USB или общие сетевые ресурсы.

Прежде всего, вирус получает список всех доступных дисков. Далее вредоносная программа находит исполняемые файлы на всех дисках от диска D: до диска Z: и заражает их. По сути, вредоносный код делает грубый перебор всех подключенных к компьютеру съемных или сетевых дисков.

В процессе заражения инфектор изменяет точку входа исполняемых файлов, создает секцию .rdat и вставляет в нее небольшой загрузчик, а затем переносит свою основную полезную нагрузку в конец файла. Далее в дело вступает троянец-дроппер, что позволяет зловреду собирать информацию о компьютере, отправлять ее на командный сервер и загружать другие компоненты Darkhotel в соответствии с получаемыми с сервера командами. Известные нам загружаемые компоненты подписаны цифровым сертификатом с истекшим сроком действия, выданным ресурсу www.esupplychain.com.tw центром сертификации Cybertrust Sure Server.

Как и для других компонентов, более подробная техническая информация представлена в Приложении D.

Коды кампаний

Почти у каждого бэкдора в этом наборе имеется внутренний код кампании или идентификатор, используемый при установлении первичного соединения с командным сервером, как описано выше. Некоторые идентификаторы имеют четкую географическую привязку, с другими дело обстоит не столь очевидно. Ниже представлен список известных идентификаторов кампаний Darkhotel. Зачастую одни и те же имена используются как внутренние идентификаторы и названия ресурсов командных серверов, однако анализ запросов, посылаемых вредоносной программой на командный сервер, не выявил никакой закономерности в распределении имен. Наиболее часто встречающийся идентификатор – «DEXT87»:

DEXT87
step2­auto
dome1­auto
step2­down
Java5.22 C@RNUL­auto
dome­down
M1Q84K3H
NKEX#V1.Q­auto
NKstep2­auto
PANA(AMB)­auto
PANA#MERA
SOYA#2­auto
step2­down­u
(ULT)Q5SS@E.S­down
VER1.5.1
VICTORY WINM#V1.Q

Инфраструктура и жертвы атак

Судя по всему, киберпреступники, отвечающие за инфраструктурную составляющую, не обладают столь же высокой квалификацией, как организаторы наиболее сложных кампаний. В частности, они используют слабые серверные конфигурации с ограниченными возможностями защиты и реагирования на попытки мониторинга, а также допускают достаточно очевидные ошибки в настройке серверов. Но при этом они эффективно поддерживают полностью работоспособную инфраструктуру, способную обслужить как существующие, так и новые заражения.

В целом, жертвы Darkhotel, о которых нам известно из журналов наших sinkhole-серверов и по данным из KSN, распределены по всему миру, но большая их часть находится в Японии, на Тайване, в Китае, России, Корее и Гонконге.

Домены, перенаправленные на sinkhole-серверы

Следующие домены, используемые командными серверами, перенаправлены на sinkhole-серверы «Лаборатории Касперского»:

42world.net
academyhouse.us
adobeplugs.net
amanity50.biz
autocashhh.hostmefree.org
autochecker.myftp.biz
autoshop.hostmefree.org
autoupdatfreeee.coolwwweb.com
checkingvirusscan.com
dailyissue.net
dailypatch­rnr2008.net
fenraw.northgeremy.info
generalemountina.com
goathoney.biz
jpnspts.biz
jpqueen.biz
mechanicalcomfort.net
micromacs.org
ncnbroadcasting.reportinside.net
neao.biz
private.neao.biz
reportinside.net
self­makeups.com
self­makingups.com
sourcecodecenter.org
support­forum.org
updatewifis.dyndns­wiki.com

Местонахождение жертв по данным KSN и Sinkhole-серверам

Данные KSN

Наша сеть Kaspersky Security Network зарегистрировала заражение Darkhotel на тысячах машин, причем большая часть компьютеров была заражена в рамках P2P-кампаний Darkhotel. Эти данные геолокации, по-видимому, дают достаточно точное представление о географическом распределении активности Darkhotel.

dark hotel

Ниже приведена круговая диаграмма, позволяющая лучше представить распределение активности, связанной с проведением атак, по странам мира. Легко заметить, что более 90% этой активности приходится на пять стран с наибольшим числом заражений. На первом месте в пятерке Япония, за которой следуют Тайвань, Китай, Россия и Корея.

dark hotel

Данные sinkhole-сервера

Поскольку злоумышленники очень активно начинают использовать новые доменные имена, сложно перенаправить на sinkhole-серверы достаточное количество доменов, чтобы получить точное общее представление о географическом распределении жертв. Кроме того, к этим доменам подключается большое количество систем, принадлежащих исследователям в области информационной безопасности. Можно сказать, что приведенная ниже диаграмма, отражающая текущее количество запросов с зараженных машин на sinkhole-сервер, показывает примерное географическое распределение жертв атак, в котором ведущие позиции занимают Индия, Япония, Ирландия, Корея, Китай и Тайвань. Если не учитывать Индию и Ирландию, то этот набор стран достаточно хорошо коррелирует с нашими данными, полученными из KSN.

dark hotel

Данные по жертвам из ddrlog

На многих командных серверах используется единый путь к папке, в которой находится особый файл журнала ddrlog. По всей видимости, в журнал ddrlog записываются данные с зараженных машин, которые злоумышленники хотят выделить особым образом. В некоторых запросах, получаемых от вредоносной программы с зараженных машин, содержатся ошибки, многие из этих машин принадлежат к нежелательным диапазонам IP-адресов, а некоторые запросы явно поступают с компьютеров исследователей и являются нежелательными. Все такие запросы попадают в журнал ddrlog.

Подробное описание значений URL-адресов, получаемых с зараженных машин, и информацию о схеме их кодирования с использованием xor и base64 можно найти в части «Interesting Malware ­ Trojan.Win32.Karba.e» в Приложении D.

Командные серверы Darkhotel используют следующую структуру папок для хранения содержимого ddrlog:

/bin/error/ddrlog
/patch/error/ddrlog

Следующие директории используются, по-видимому, на всех командных серверах, но не содержат ddrlog и папки /error/:

  • /u2/
  • /u3/
  • /patch2/
  • /major/
  • /minor/
  • /asp/
  • /update3/

На следующих доменах первые записи в ddrlog датируются 1 января 2009 года, 9:16 утра.

  • autozone.000space.com
  • genuinsman.phpnet.us

Все журналы содержат большое количество записей – почти 50 000 – с простой меткой «B» или «L». Эти записи отформатированы следующим образом:

2009.01.01 09:16:00 150.70.xxx.xx ­­> B
2009.01.01 09:16:33 150.70.xxx.xx ­­> B
 
2009.01.01 09:14:52 220.108.x.xxx ­­> L
2009.01.01 09:16:04 112.70.xx.xx ­­> L

Только со 120 IP-адресов приходят запросы с пометкой «B», из них 90% находятся в диапазоне 150.70.97.x. Весь этот диапазон принадлежит отделению компании TrendMicro в Токио.

Немногочисленные остающиеся адреса, такие как 222.150.70.228, по-видимому, входят в другие принадлежащие японскому отделению TrendMicro диапазоны. Один сторонний IP-адрес принадлежит интернет-провайдеру из Сальвадора, еще один – японскому интернет-провайдеру. Запросы с пометкой «L» приходили примерно с 20 000 IP-адресов.

В некоторых ddrlog также встречается метка «A».

Меткой «А» помечаются нежелательные запросы из не интересующих злоумышленников мест, таких как Венгрия или Италия. Тегом «B» помечаются нежелательные запросы из IP-диапазонов, принадлежащих TrendMicro.

Меткой «L» помечаются нежелательные запросы с различных диапазонов IP-адресов, в том числе с loopback-адреса 127.0.0.1.

Записи в этих журналах содержат URL-адреса для обратной связи, в состав которых входят пробелы и символы, не входящие в набор, используемый при кодировании base64.

Структура командных серверов и устанавливаемые ими соединения

Пример типичной главной страницы:

dark hotel

Для begatrendstone.com мы видим следующую структуру папок:

/bin
        ­read_i.php (главный скрипт командного сервера)
        ­login.php (неизвестный скрипт, выдает ответ «WrongID()»)
/bin/error  (здесь хранятся журналы ошибок)
        -ddrlog
/bin/tmp
/bin/SElhxxwiN3pxxiAPxxc9
        -all.gif
        /i
        — зашифрованные данные с зараженных систем
        /L
/f

Для auto2116.phpnet.us мы видим следующую структуру папок:

/patch
        ­chkupdate.php (главный скрипт командного сервера)
/patch/error
        ­ddrlog

Группа шифрует пользовательские данные на своих серверах, используя одну и ту же комбинацию пользователь/ключ на несколько жертв. В случае попытки со стороны неавторизованного пользователя получить доступ к веб-интерфейсу Darkhotel без ввода правильного ключа с целью работы с данными жертв, html-страница и таблица отображаются верно, но все данные на странице отображаются как бессмысленный набор символов.

Управление данными жертв

По всей видимости, вновь заражаемые системы подвергаются систематической проверке. Для этого киберпреступники используют специальный веб-интерфейс. Прежде всего злоумышленники регистрируют и сортируют системы жертв в соответствии с их последним заходом на командный сервер. Собранные данные, вероятно, представляются в порядке, соответствующем их важности:

  1. имя пользователя в системе
  2. процессор и операционная система
  3. «Ping sec», или удаленность системы жертвы от командного сервера
  4.  «In», или процесс, в памяти которого выполняется код dll-библиотеки атакующих
  5. Vac: неизвестно
  6. IP-адрес локальной сети системы
  7. внешний IP-адрес жертвы в сети Интернет

Ниже в качестве примера приведена одна из таких веб-страниц:

dark hotel

Активность исследователей

Очевидно, в этих логах регистрируется активность, связанная с автоматическим анализом с использованием «песочниц», применяемых исследователями. С июня 2013 года по апрель 2014 года (период продолжительностью около 11 месяцев) во всего лишь 15 файлах ddrlog мы обнаружили почти 7 000 попыток соединения со стороны «песочниц» исследователей. Значения параметров HTTP-запросов соответствовали песочницам на базе QEMU, причем источниками запросов являются всего 485 IP-адресов. В данных журналах зарегистрировано меньше 30 IP-адресов локальных сетей, все в одном и том же диапазоне 172.16.2.14­126. Эти системы (или система) используют учетную запись пользователя «Dave»и имя компьютера в Windows «HOME­OFF­D5F0AC».

Эти параметры соответствуют сетевой активности, генерируемой инструментами «CWsandbox» компании GFISoftware, ныне принадлежащей «ThreatTrackSecurity».

Заключение

В течение последних семи лет профессиональная киберпреступная группа под названием Darkhotel, известная также как Tapaoux, проводила серии успешных атак на широкий круг жертв по всему миру. Группа применяла методы и приемы, выходящие далеко за рамки типичного поведения киберпреступников.

Квалификация команды Darkhotel позволяет ей проводить сложные криптографические атаки, например, связанные с разложением на множители 512-разрядных ключей RSA. Использование группой 0-day уязвимостей также говорит о высоком уровне их квалификации.

Таргетированные атаки на руководителей крупных компаний из разных уголков земного шара во время их пребывания в определенных «тёмных отелях» – один из наиболее примечательных аспектов угрозы под названием «Darkhotel». Какие именно методы применяют злоумышленники при направлении атаки на отдельную жертву в отеле, до сих пор доподлинно неизвестно. Тот факт, что большинство жертв – руководители компаний, говорит о том, что атакующие знают о местонахождении объектов атаки, включая название и адрес отеля, где они останавливаются, и даты пребывания жертвы. На ум приходят картины темных, опасных сетей, в которые легко может угодить ничего не подозревающий путешественник. В то время как точная причина использования определенных отелей в качестве вектора атаки неизвестна, имеются определенные подозрения, говорящие о, возможно, гораздо большем масштабе взлома, чем представлялось до сих пор. Мы продолжаем расследование этого аспекта угрозы и в будущем, вероятно, опубликуем дополнительную информацию.

Еще одна интересная черта – проведение разных по характеру кампаний, как таргетированных, так и с использованием ботнетов.  Это все более распространенное явление в сфере угроз APT-класса, где целевые атаки проводятся против жертв высокого уровня, а ботнеты задействуются для массовой слежки или выполнения других задач, таких как проведение DDoS-атак на враждебные структуры или просто установки на зараженных компьютерах более сложных инструментов шпионажа.

Мы предполагаем, что группировка Darkhotel продолжит атаки на компании оборонной промышленности, государственные и общественные организации. В приложении к настоящему документу представлены технические параметры, характерные для атак злоумышленников. Они помогут жертвам атак выявить вредоносный трафик и усилить свою защиту.

Related Articles

Всего комментариев: 1

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *