Модуль Duqu 2.0, сохраняющий присутствие в сети

Ранее мы писали, что Duqu 2.0 не имеет обычного механизма сохранения присутствия в сети. Из этого пользователи могли бы заключить, что избавиться от этого вредоносного ПО очень просто: достаточно лишь перезагрузить все зараженные машины. На самом деле все немного сложнее.

Злоумышленники создали необычный модуль для сохранения присутствия, который они развертывают во взломанных сетях. Он выполняет двойную функцию, одновременно поддерживая скрытую схему связи с командными серверами. Сохранение присутствия на уровне организации обеспечивает драйвер, который устанавливается как обычный системный сервис. При этом в 64-разрядных Windows системах существует жесткое требование наличия у драйвера цифровой подписи. Мы изучили два драйвера сохранения присутствия, развернутые в ходе атак.

Во время атаки операторы Duqu устанавливают эти вредоносные драйверы на брандмауэры, шлюзы или другие серверы, которые, с одной стороны, имеют доступ к Интернет, а с другой – к корпоративной сети. Используя их, злоумышленники достигают сразу нескольких целей: получают доступ через Интернет к внутренней инфраструктуре компании, избегают записей в журналах событий корпоративных прокси-серверов и в итоге сохраняют свое присутствие в атакованной сети.

По сути дела, эти драйверы перенаправляют входящие и исходящие сетевые потоки шлюза, на котором выполняются. Для перенаправления соединений злоумышленник должен сначала пройти сетевой механизм безопасности «отстука», используя секретное ключевое слово. В образцах, попавших к нам в руки, использовались два разных ключевых слова: «romanian.antihacker» и «ugly.gorilla».

Об одном из этих драйверов мы рассказали в техническом описании Duqu 2.0 (см. раздел «Анализ драйвера „portserv.sys“»). Повторим некоторые наиболее важные моменты. Драйвер прослушивает сеть и ждет определенного секретного ключевого слова (в данном случае «romanian.antihacker»). После этого он сохраняет IP хоста, передавшего верное секретное слово, и начинает перенаправлять все пакеты с порта 443 на порт 445 (SMB) или 3389 (Remote Desktop) этого сервера. Это позволяет злоумышленникам эффективно туннелировать протокол SMB (т. е. доступ к удаленной файловой системе) и протокол удаленного рабочего стола Remote Desktop через сервер шлюза; при этом все выглядит как трафик HTTPS (через порт 443).

Кроме «romanian.antihacker», мы обнаружили еще один драйвер, выполняющий аналогичную работу, но поддерживающий больше соединений и более универсальным способом.

1. Если этот драйвер обнаруживает секретное слово «ugly.gorilla1», он перенаправляет весь трафик с IP злоумышленника с порта 443 (HTTPS) на порт 445 (SMB)
2. Если драйвер обнаруживает секретное слово «ugly.gorilla2», весь трафик с IP злоумышленника перенаправляется с порта 443 (HTTPS) на порт 3389 (RDP)
3. Если драйвер обнаруживает секретное слово «ugly.gorilla3», весь трафик с IP злоумышленника перенаправляется с порта 443 (HTTPS) на порт 135 (RPC)
4. Если драйвер обнаруживает секретное слово «ugly.gorilla4», весь трафик с IP злоумышленника перенаправляется с порта 443 (HTTPS) на порт 139 (NETBIOS)
5. Если драйвер обнаруживает секретное слово «ugly.gorilla5», весь трафик с IP злоумышленника перенаправляется с порта 1723 (PPTP) на порт 445 (SMB)
6. Если драйвер обнаруживает секретное слово «ugly.gorilla6», весь трафик с IP злоумышленника перенаправляется с порта 443 (HTTPS) на порт 47012 (его функция в настоящее время неизвестна)

Следует отметить, что один порт – 47012 – выглядит очень подозрительно. Пока мы не наблюдали, чтобы какие-нибудь другие компоненты Duqu 2.0 использовали этот порт. Мы также не обнаружили никакого другого известного бэкдора, вредоносного или легального ПО, использующего этот порт (в том числе по данным организации SANS). Однако, учитывая, что этот номер порта жестко закодирован во вредоносном ПО, он может служить хорошим индикатором заражения зловредом Duqu 2.0.

Часть вредоносного кода с массивом секретных ключевых слов

Внутреннее имя этого 64-разрядного драйвера – «termport.sys», а имя файла в файловой системе – «portserv.sys». Вероятнее всего, это означает, что злоумышленники меняют имя файла при проведении разных атак, поэтому при обнаружении атак нельзя полагаться только на имена файлов. Дата компиляции драйвера, «23 июля, 18:14:28 2004», очевидно, фальшивая. Все обнаруженные файлы драйверов находились в каталоге «C:WindowsSystem32drivers».

Наверное, самой важной частью этой стратегии атаки является цифровая подпись, которую использует 64-разрядный драйвер. Драйвер имеет верную цифровую подпись, так как это обязательное требование в 64-разрядных системах Windows. Он подписан «HON HAI PRECISION INDUSTRY CO. LTD.». Эта компания, также известная как «Foxconn Technology Group», является одним из крупнейших мировых производителей электроники.

Цифровая подпись вредоносного драйвера

Согласно информации, извлеченной из драйвера, он был подписан 19 февраля 2015 г., в 20:31. Ниже представлены некоторые дополнительные сведения, полученные с помощью утилиты SysInternal sigcheck:

По данным Википедии, «Foxconn Technology Group» – крупнейший в мире контрактный производитель электроники со штаб-квартирой в Тучэне (Нью-Тайбэй, Тайвань).

Основными клиентами Foxconn были и являются крупнейшие компании мира:

• Acer Inc.
• Amazon.com
• AppleInc.
• BlackBerry Ltd.
• Cisco
• Dell
• Google
• Hewlett-Packard
• Huawei
• Microsoft
• MotorolaMobility
• Nintendo
• Nokia
• Sony
• Toshiba
• Xiaomi
• Vizio

Компания Foxconn производит несколько популярных продуктов, включая BlackBerry, iPad, iPhone, Kindle, PlayStation 4, Xbox One и Wii U (см. https://en.wikipedia.org/wiki/Foxconn).

Этот же сертификат компания использовала для подписи нескольких драйверов WatchDog Timer Kernel (WDTKernel.sys) для лэптопов Dell в феврале 2013 г.

Выводы

В ходе нашего предыдущего исследования вирусов Stuxnet и Duqu мы обнаружили вредоносное ПО с цифровой подписью (там использовались вредоносные сертификаты Jmicron и Realtek). Похоже, что кража цифровых сертификатов и их использование для подписи вредоносного ПО якобы от имени законных компаний является обычной уловкой злоумышленников, стоящих за Duqu. У нас нет доказательств того, что системы кого-либо из этих поставщиков были взломаны, но наши индикаторы ясно показывают: злоумышленники, создавшие Duqu, проявляют большой интерес к таким производителям оборудования, как Foxconn, Realtek и Jmicron. Это подтвердили и атаки 2014-2015 гг., когда мы наблюдали заражения, связанные с производителями оборудования из Азиатско-Тихоокеанского региона, включая производителей компьютерного оборудования ICS и SCADA.

Еще одно интересное наблюдение: кроме драйверов Duqu мы не встретили никакого другого вредоносного ПО, подписанного этими сертификатами. То есть исключается возможность того, что произошла утечка сертификатов, которой воспользовались несколько группировок. Похоже, что единственными злоумышленниками, получившими доступ к этим сертификатам, стали разработчики Duqu. Это подкрепляет наше предположение о взломе систем производителей оборудования с целью получения сертификатов.

И наконец, интересно, что злоумышленники, стоящие за Duqu, были очень аккуратны и не использовали один и тот же цифровой сертификат дважды. Это относится к образцам Duqu 2011 и 2015 гг. Если это действительно так, то можно предполагать, что у злоумышленников есть достаточный выбор краденых цифровых сертификатов других производителей, которые они могут использовать при следующих целевых атаках. И это очень тревожно, так как может значительно подорвать доверие к цифровым сертификатам.

Мы проинформировали компании Verisign и HON HAI об использовании этого сертификата для подписи вредоносного ПО Duqu 2.0.

Индикатор заражения

Sample MD5 (portserv.sys): 92e724291056a5e30eca038ee637a23f

MD5 образца (portserv.sys): 92e724291056a5e30eca038ee637a23f

Серийный номер сертификата Foxconn, который использовали злоумышленники, создавшие Duqu:

25 65 41 e2 04 61 90 33 f8 b0 9f 9e b7 c8 8e f8

Полный сертификат вредоносного драйвера:

—–BEGIN CERTIFICATE—–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—–END CERTIFICATE—–