Девятого апреля «Лаборатория Касперского» приняла участие в операции по уничтожению ботнета Simda, координируемой Глобальным комплексом инноваций Интерпола. Это расследование было начато компанией Microsoft, затем круг участников расширился, и к расследованию подключились компания TrendMicro, японский Cyber Defense Institute, сотрудники голландского Национального центра по борьбе с преступлениями в сфере высоких технологий (NHTCU), ФБР, полиция Люксембурга, а также сотрудники Управления «К» МВД России и Национального центрального бюро Интерпола в Москве.
В результате совместных действий была остановлена работа 14 командных серверов в Нидерландах, США, Люксембурге и России. Предварительный анализ некоторых логов sinkhole-серверов, подменивших командные серверы, показал, что от ботнета Simda пострадали 190 стран.
Львенок Симба (Simba), персонаж студии Walt Disney Productions, не имеет с ботнетом Simda ничего общего
Simda – это таинственный ботнет, используемый киберпреступниками в различных целях: например для распространения потенциально нежелательного и вредоносного ПО. Мы назвали этот бот таинственным, потому что он редко появляется на радарах нашей KSN, но при этом успевает ежедневно проникать на множество компьютеров. Отчасти это ему удается благодаря способности обнаруживать эмуляцию, защитные решений и виртуальные машины. В его арсенале есть несколько методов обнаружения «песочниц», применяемых исследователями. Этому боту удается вычислять исследователей, занимая все ресурсы ЦП или уведомляя владельца ботнета о внешнем IP-адресе исследовательской сети. Другая причина – полиморфизм на стороне сервера и ограниченный срок жизни ботов.
Simda распространяется несколькими зараженными веб-сайтами, которые перенаправляют пользователей на набор эксплойтов. Бот уведомляет мастера о различных этапах выполнения команд, используя жестко закодированные IP-адреса. Он загружает и запускает дополнительные компоненты с собственных серверов обновления и может изменять системный файл hosts. Последний прием довольно интересен, хотя на первый взгляд и кажется обманчиво банальным.
Обычно авторы вредоносного ПО изменяют файл hosts, чтобы повлиять на результаты поисковой выдачи или занести в списки запрещенных определенные веб-сайты, содержащие средства обеспечения безопасности. Но бот Simda добавляет в этот файл записи для google-analytics.com и connect.facebook.net, IP-адреса которых указывают на сайты с вредоносным ПО.
Почему он так делает? Этого мы не знаем, но можем предположить, что разгадка кроется в основной цели Simda – распространении другого вредоносного ПО. Эта преступная модель ведения бизнеса открывает возможность для эксклюзивного распространения вредоносного ПО. При этом распространители могут гарантировать, что на заражаемые машины будет устанавливаться только вредоносное ПО клиента. Так происходит, когда Simda обрабатывает ответ командного сервера: он может деактивировать себя, запретив запускаться при следующей перезагрузке компьютера и мгновенно завершая работу. Такая деактивация сопровождается модификацией системного файла hosts. В качестве прощального штриха Simda заменяет оригинальный файл hosts новым – взятым из собственного тела.
Пытливый ум может задаться вопросом, чем это может помочь? Эти домены больше не будут использоваться для генерации поисковой выдачи, но компьютеры, ранее зараженные Simda, могут продолжать время от времени посылать HTTP-запросы вредоносным серверам даже после установки эксклюзивного вредоносного ПО сторонних разработчиков.
Вспомним, что эти компьютеры были первоначально заражены пакетом эксплойтов через незакрытую уязвимость в программном обеспечении. Высока вероятность, что стороннее вредоносное ПО со временем будет удалено, но беззаботный пользователь так и не найдет времени на исправление уязвимостей в ПО.
Если все эти хосты будут снова обращаться к вредоносным серверам и запрашивать веб-ресурсы, например javascript-файлы, преступники могут использовать те же эксплойты для повторного заражения машин и их повторной продажи – возможно даже «эксклюзивно» и тому же клиенту. Это подтверждает старую истину – преступникам не могут верить даже преступники.
В результате проведенного расследования Microsoft и правоохранительные органы разных стран завершили процедуру перенаправления доменов на sinkhole-серверы, и «Лаборатория Касперского» приняла активное участие в подготовке к уничтожению ботнета. Необходимо было провести технический анализ вредоносного ПО, собрать статистику заражений, порекомендовать стратегию уничтожения ботнета и проконсультировать партнеров из Интерпола.
«Лаборатория Касперского» детектирует бот Simda как Backdoor.Win32.Simda и, по нашим оценкам, основанным на статистических данных KSN и на телеметрических данных наших партнеров, им было заражено сотни тысяч жертв по всему миру.
Simda автоматически генерируется на серверах злоумышленников, что подтверждается отсутствием какого-либо порядка во времени компиляции и компоновки. Следующий график построен на основании анализа небольшой группы из 70 произвольно выбранных образцов Simda:
Количество компоновок образцов, приходящихся на разные часовые пояса UTC
Всплески количества сгенерированных ботов, вероятнее всего, связано с активностью жертв Simda, которые в основном находятся в часовых поясах UTC-9 – UTC-5, где расположены и Соединенные Штаты.
Благодаря проведенной операции с использованием sinkhole-серверов и обмену информацией между партнерами, нам удалось создать веб-страницу, где вы сможете проверить, обращался ли в прошлом ваш IP к командным серверам Simda. Если вы подозреваете, что ваш компьютер заражен, можете провести полную проверку своего жесткого диска с помощью наших бесплатных, пробных решений или установить решение Kaspersky Internet Security для долговременной защиты.
На сегодняшний день продукты «Лаборатории Касперского» детектируют сотни тысяч модификаций Simda, а также многочисленные вредоносные программы сторонних разработчиков, распространяемые во время Simda-кампаний.
References:
Simda играет в прятки: Взрослые игры