Публикации

Буткит: вызов 2008

Термин MalWare 2.0, активно используемый в наших аналитических материалах, описывает современную модель функционирования комплексов вредоносных программ, сформировавшуюся в конце 2006 года. Первыми и наиболее яркими представителями MalWare 2.0 стали черви Bagle, Warezov и Zhelatin.

Основные характеристики этой модели:

  • отсутствие единого центра управления сетью зараженных компьютеров;
  • активное противодействие попыткам изучения вредоносного кода и перехвата управления ботнетом;
  • кратковременные массовые рассылки вредоносного кода;
  • грамотное применение средств социальной инженерии;
  • использование различных способов распространения вредоносных программ и постепенный отказ от наиболее заметных из них (например, от электронной почты);
  • использование разных (а не одного универсального) модулей для осуществления разных вредоносных функций.

Развитие MalWare 2.0 порождает ряд проблем для антивирусной индустрии. Наиболее важной из них, на наш взгляд, является проблема неспособности традиционных антивирусных решений, основанных исключительно на сигнатурном или эвристическом методах анализа файлов, надежно противодействовать атакам MalWare 2.0, не говоря уже о неспособности таких решений лечить пораженные системы.

Среди инцидентов 2008 года, демонстрирующих опасность MalWare 2.0, хотелось бы отметить известную историю с руткитом Rustock, детально описанную в нашей статье «Rustock и все, все, все». Именно в Rustock был реализован ряд новых технологий, методов и приемов, которые могут оказать серьезное влияние на дальнейшее развитие MalWare 2.0.

Очередной инцидент, который мы намерены осветить в данной публикации, наглядно демонстрирует современные способы ведения войны между вирусописателями и антивирусными компаниями и показывает важность разработки и внедрения новых технологий защиты.

Загадочные перезагрузки

В середине августа на различных интернет-форумах участились сообщения с жалобами пользователей на перезагрузку компьютеров после посещения некоторых сайтов. Чем могли быть вызваны эти перезагрузки, оставалось неясным. Никакой связи с установленным у пользователей оборудованием и софтом не прослеживалось. Оставался единственный вариант: причину перезагрузок следовало искать на сайтах, после посещения которых происходил reboot.

Первоначальный осмотр содержимого страниц подозрительных сайтов ничего не дал – сайты выглядели безопасными.

В большинстве случаев, чтобы заразить компьютеры пользователей, злоумышленники взламывают легальный сайт и размещают на его страницах ссылки на свои ресурсы, оснащенные эксплойтами. Такая техника носит название «drive-by-download«. Она позволяет в скрытом режиме устанавливать вредоносные программы на компьютер пользователя при посещении им зараженного сайта.

В данном случае не было обнаружено ни подозрительных iframe, ни подозрительных скриптов. Проблемы пользователей можно было бы списать на автоматический перезапуск Windows после установки обновлений, тем более что по времени происходящее совпало с очередным выходом патчей Microsoft. Однако все оказалось намного серьезнее.

В ходе дальнейшего исследования мы использовали для посещения подозрительных сайтов несколько виртуальных машин. При этом мы не ограничивались лишь открытием сайтов, а производили активные действия – заходили в различные разделы и нажимали на гиперссылки. И спустя какое-то время тестовый компьютер перезагрузился!

Проведенный анализ системы выявил изменение загрузочного сектора диска. Такие изменения могли свидетельствовать о наличии в системе буткита. О буткитах и о проблемах, которые может вызвать подобная технология, мы уже рассказывали в отчете за первый квартал 2008 года. Однако с марта 2008 года новые варианты буткита не детектировались. Неужели он вернулся?

Подмененные ссылки

После того как мы выяснили, посещение каких сайтов и активация каких ссылок приводит к перезагрузке компьютеров пользователей, мы смогли провести более детальный анализ происходящего.

Как оказалось, злоумышленники применили довольно необычный, хотя и не новый, способ внедрения ссылок. На взломанных сайтах они не добавляли к коду страниц никаких собственных iframe или скриптов, поскольку такие изменения очень легко обнаружить. Вместо этого уже имеющиеся на сайте «честные» гиперссылки заменялись на «зловредные».

Так выглядит «честная» ссылка:
<a href=»http://atm.n****.com«><B>atm.n****.com</B></a>

А такой эта ссылка становится после взлома сайта:
<a href=»http://***.com/cgi-bin/index.cgi?dx«><B> atm.n****.com</B></a>

Чтобы произошло заражение компьютера, пользователь должен не только открыть страницу взломанного сайта, но и нажать на подмененную ссылку. Это уменьшает число потенциальных жертв заражения, однако, по нашим оценкам, весьма незначительно – особенно если подмена ссылок происходит вручную, и заменяемые ссылки тщательно отбираются злоумышленником.

Упоминания о сайтах с адресами вида ***.com/cgi-bin/index.cgi?dx встречаются в интернете приблизительно с начала июня 2008 года – в жалобах владельцев и посетителей легальных сайтов на странные ссылки, появившиеся на доверенных ресурсах. Выяснилось, что таких «центров заражения» в интернете существует довольно много, однако, несмотря на обилие доменных имен, все они размещены на одних и тех же серверах.

Вот лишь небольшая часть тех сайтов, которые нам удалось обнаружить:





Примеры расположения серверов, заражающих компьютеры пользователей буткитом (слева направо: имя домена; IP-адрес сервера; подсеть, где расположен сервер;) автономная система сети интернет

«Персональный» эксплойт

Итак, что же происходит, когда пользователь нажимает подмененную ссылку? Сервер обрабатывает входящий запрос и получает информацию о том, с какого сайта пришел посетитель, каков его IP-адрес, какой у него браузер и какие плагины к браузеру установлены. На основании этой информации пользователю присваивается уникальный идентификатор (ID), который в дальнейшем хранится на сервере.

Пример ID, присвоенного сервером одному из посетителей зловредного сайта:
index.cgi@ac6d4ac70100f060011e964552060000000002e4f11c2e000300190000000006

В данном случае, например, последние цифры ID означают, что у пользователя установлен Acrobat Reader версии 6.0.

После этого формируется эксплойт для конкретного посетителя. Если у пользователя установлен уязвимый Acrobat Reader – на его компьютер будет загружен PDF-эксплойт, если уязвимый Real Player – эксплойт для него и т.д. В зависимости от ID пользователя сервер генерирует ключ обфускации, которым шифруется нужный эксплойт.



Пример обфусцированного эксплойта

Чаще всего пользователям загружались именно PDF-, SWF- и QuickTime- эксплойты. Cписок используемых злоумышленниками уязвимостей довольно велик и постоянно пополняется. Самыми популярными являются следующие уязвимости:

  • CVE-2007-5659
  • CVE-2006-0003
  • CVE-2006-5820
  • CVE-2007-5779
  • CVE-2008-1472
  • CVE-2007-0018
  • CVE-2006-4777
  • CVE-2006-3730
  • CVE-2007-5779
  • CVE-2008-0624
  • CVE-2007-2222
  • CVE-2006-0005
  • CVE-2007-0015

После того как эксплойт для конкретного посетителя сформирован, он при помощи уязвимого приложения начинает исполняться на машине жертвы. В ходе его работы на компьютер загружается троянская программа-дроппер, сформированная сервером с использованием уникального ключа сервера и идентификатора пользователя, который хранится в базе сервера.

Внешне все выглядит абсолютно безобидно и не вызывает подозрений: после того как эксплойт выполнился, сервер возвращает пользователю реальный адрес страницы, которую тот хотел посетить, нажав на подмененную ссылку. Жертва попадает на нужный ресурс, даже не заметив, что компьютер уже побывал на другом сервере и заразился.

Кроме того, если этот же пользователь еще раз нажмет на подмененную ссылку, то срабатывания эксплойта и повторной попытки заражения не будет – пользователя сразу перенаправят на легитимную страницу. Зловредный сервер ведет базу всех посещений, и повторное использование того же ID не допускается.

«Воскресший» Neosploit

Какой же продукт используется для генерации «персональных» эксплойтов для пользователей? К нашему великому удивлению, здесь мы обнаружили «мертвеца» – административную панель Neosploit.

Набор эксплойтов Neosploit появился на черном рынке в середине 2007 года, стоил от $1000 до $3000 и был серьезным конкурентом альтернативных malware kit, таких как MPack и IcePack.

В конце июля 2008 года появились сообщения (ddanchev.blogspot.com, blogs.zdnet.com) о том, что известная группа киберпреступников, занимавшаяся созданием, распространением и поддержкой Neosploit, прекратила свою деятельность.

В заявлении, распространенном представителями этой группы, сообщалось:

«Unfortunately, supporting our product is no longer possible. We apologize for any inconvenience, but business is business since the amount of time spent on this project does not justify itself. We tried hard to satisfy our clients’ needs during the last few months, but the support had to end at some point. We were 1.5 years with you and hope that this was a good time for your business.»

(К сожалению, дальнейшая поддержка нашего продукта не представляется возможной. Приносим свои извинения за доставленные неудобства, но бизнес есть бизнес – затраты времени на данный проект перестали себя оправдывать. На протяжении последних нескольких месяцев мы прилагали большие усилия, чтобы удовлетворить нужды наших клиентов, но сейчас наступил момент, когда поддержка должна закончиться. Мы были с вами 1,5 года и надеемся, что ваш бизнес в это время процветал.)

Такой внезапный «выход из бизнеса», как правило, происходит потому, что группой заинтересовались правоохранительные органы, либо свидетельствует о том, что преступники готовятся совершить нечто значительное и готовят себе «алиби».

Последней версией Neosploit, после которой создание новых версий было прекращено, была 2.0.17. Каково же было наше удивление, когда на сервере, отвечающем за генерацию эксплойтов, мы увидели административную панель Neosploit версии 2.0.23!



Главное окно панели управления

Интерфейс панели управления Neosploit, несмотря на внешнюю скромность, является весьма функциональным.

Окно добавления нового пользователя в систему

Административная панель Neosploit, отвечающая за генерацию эксплойтов, ведение базы зараженных пользователей и т.д., представляет собой исполняемый файл, написанный на языке C++ и скомпилированный под работу в операционных системах Linux и FreeBSD.



Вид административной панели Neosploit «изнутри»



Дизассемблированный код сервера, отвечающего за обфускацию эксплойтов

Neosploit предназначен для размещения на хостинг-площадках и ориентирован на максимально быструю установку и запуск. Однако при работе с Neosploit возникает серьезная проблема, связанная с тем, что он является «коммерческим продуктом»: купленный Neosploit можно использовать лишь для ограниченного числа подключений (по аналогии с shareware-продуктами, которыми можно пользоваться лишь до определенного момента).

При каждой попытке заражения пользователя и генерации очередного эксплойта сервер Neosploit соединяется с неким сервером, который, вероятно, ведет учет подключений (когда проводилось исследование, этот сервер находился на Украине). Вероятнее всего, в случае если соединение с сервером статистики не может быть установлено, эксплойт не генерируется, и заражение пользователя не происходит. Таким образом авторы Neosploit могут контролировать процесс эксплуатации их «детища» и/или оплату своих услуг.

Буткит

После загрузки в систему троянская программа-дроппер запускается при помощи уязвимого приложения, извлекает из себя программу-установщик буткита и передает ему уникальный ID пользователя.

После этого установщик осуществляет изменения загрузочного сектора и размещает основное тело вредоносной программы в секторах жесткого диска.

Пример записи в загрузочную область диска

CreateFileA(«\.RealHardDisk0», GENERIC_WRITE | GENERIC_READ, FILE_SHARE_READ | FILE_SHARE_WRITE, NULL, OPEN_EXISTING, 0x0, 0x0)



Пример зараженного MBR

Если все эти действия в системе успешно выполнились, дроппер дает компьютеру команду на перезагрузку. Именно эти внезапные перезагрузки системы при работе в интернете и вызывали подозрения у пользователей. Об этом они писали на форумах, пытаясь разобраться в происходящем.

После перезагрузки буткит перехватывает ряд системных функций и начинает полноценно работать в системе – скрывать свое присутствие и функционировать в качестве бота в составе зомби-сети.

Схема заражения пользователя

Мигрирующий С&C

Все технологии, которые мы обнаружили, анализируя механизм проникновения вредоносной программы на компьютеры пользователей, были достаточно интересными, в чем-то оригинальными (подмена ссылок, обфускация эксплойтов «на лету» под конкретную систему), но в целом не являлись уникальными. Они встречались и раньше, однако до августа 2008 года никогда не использовались одновременно в ходе одной атаки.

Настоящий сюрприз ждал нас при анализе работы бота: центр управления ботнетом (command and control center, C&C) постоянно перемещался с домена на домен!

По нашим наблюдениям, C&C перемещался иногда до 2-3 раз в течение одного дня. С утра он мог функционировать на aykjfgves.com, к обеду оказаться на dmiafgves.com, а ночью оккупировать gfdpves.com. Фактически, зараженным компьютерам, входящим в ботнет, приходится при каждом включении заново искать активный центр управления.

Подобные ботнеты очень трудно обнаружить, а обнаружив – вывести из строя. В любой момент злоумышленники могут перевести С&C на любой из десятков или даже сотен заранее подготовленных доменов. Даже если центр управления ботнетом будет обнаружен, то через пару часов он переместится на другой домен, и снова найти его можно будет только с помощью анализа сетевых пакетов от ботов, которые тоже будут искать свой «новый дом».

Несомненно, данная методика предназначена для борьбы как с конкурентами, которые могут попытаться «угнать» ботнет, так и с антивирусными компаниями и правоохранительными органами.



Пример расположения серверов управления ботнетом (слева направо: имя домена; IP-адрес сервера; подсеть, где расположен сервер; автономная система сети интернет)

Генерация доменных имен по специальному алгоритму и регистрация соответствующих доменов позволяет злоумышленникам сколь угодно долго держать центр управления ботнетом в состоянии движения. Для регистрации доменов используются различные регистраторы доменных имен – американские, африканские, азиатские, европейские. В регистрационных данных владельцев присутствует явный российский след, однако сами данные несомненно являются фальшивыми.

В качестве хостинговых площадок центров управления используются самые различные ресурсы, размещенные по всему миру. C&C ботнета способен перебраться на новую площадку в течение нескольких минут, что позволяет ему избежать закрытия, сохранив при этом свою работоспособность.



Пример расположения сервера, определяющего соответствие доменного имени и IP-адреса С&C ботнета (слева направо: домен; IP-адрес сервера; подсеть, где расположен сервер; автономная система сети интернет)

Подобная методика является аналогом технологии Fast-Flux, активно используемой червями семейства Zhelatin (Штормовой червь). Однако Fast-Flux позволяет постоянно менять лишь IP-адреса вредоносных доменов, а технология, реализованная в бутките, – и IP-адреса, и сами домены.

В центре управления ботнетом содержится база зарегистрированных доменов, которые могут быть использованы для размещения С&C.

Примеры зарегистрированных доменов

ccuuuag.biz 67.228.229.122 registered : 2008-08-07
ewwxbhdh.com 74.50.107.78 registered : 2008-08-07
paiuuag.com 208.73.210.32 registered : 2008-08-06
paiuuag.net 208.73.210.32 registered : 2008-08-06

При первичном заражении на стадии исполнения эксплойта на компьютер-жертву загружается буткит, ориентированный на работу с активным на момент заражения центром управления ботнетом. После перезагрузки системы и начала полноценной работы буткита бот пытается подключиться именно к этому центру. Вредоносная программа формирует специальный сетевой пакет данных на основе ID зараженного компьютера и пытается переслать его С&С-серверу, на котором содержится информация об уже зараженных компьютерах.



Пример пакета, посылаемого ботом С&C-серверу

Если подключиться к центру управления ботнетом не удалось, бот начинает в соответствии со специальным алгоритмом последовательно генерировать имена доменов в зонах .com, .net, .biz. Порядок сгенерированных доменных имен зависит от текущей даты и времени. Бэкдор пытается установить соединение с каждым из этих доменов и передать подготовленный пакет в качестве ключа авторизации.



Пример перебора доменов

Когда один из доменов оказывается «правильным» (принимает пакет и отвечает на него своим уникальным пакетом), бот подключается к нему в качестве клиента ботнета и начинает процесс шифрованного «общения» с управляющим центром зомби-сети. Результатом этого общения, как правило, является загрузка на зараженную машину дополнительного модуля (DLL).

Неполная схема работы бота

Шпионский модуль

С начала 2008 года буткит служил объектом исследования для множества экспертов, однако все они ограничивались анализом работы его руткит-части и способа размещения тела вредоносной программы в секторах жесткого диска. Некоторые исследователи пытались проанализировать схему работы ботнета и управляющие команды.

Однако все эти исследования, результаты которых нам известны, не давали ответа на главный, на наш взгляд, вопрос – зачем? Или, другими словами, «где деньги?».

Расставить абсолютно все точки над i в истории с буткитом было нашей основной задачей. Для ее решения нам было необходимо понять – что именно буткит столь изощренно скрывает в системе?

После первого соединения с центром управления ботнетом зараженная машина получает зашифрованный пакет данных (размером более 200 КБ). Буткит принимает данный пакет и расшифровывает его. Внутри оказывается библиотека DLL, которая загружается буткитом в память компьютера и не существует в виде файла на диске!

Таким образом, буткит способен обеспечить полную невидимость загруженной DLL как при анализе состояния системы традиционными способами, так и при проверке ее подавляющим большинством антивирусных программ. Помните, что делал Rustock? Он тоже загружал DLL в память компьютера, но она присутствовала и на диске компьютера. Буткит же действует более изощренно.

Конечно, размещение кода исключительно в памяти компьютера ведет к тому, что при перезагрузке он перестает существовать в системе, и она становится чистой (если не считать присутствия буткита). В результате антивирусные программы, проверяющие память компьютера при старте операционной системы, ничего подозрительного не обнаруживают – просто потому, что ничего подозрительного в памяти нет. Но как только компьютер подключается к интернету, буткит устанавливает соединение с контрольным центром и вновь загружает на машину DLL.

Что же делает DLL?

Обратимся к истории названия «Sinowal» (мы классифицируем буткит как Backdoor.Win32.Sinowal). В конце 2007 года, когда появился буткит, уже существовало семейство Trojan-Spy.Win32.Sinowal, объединявшее большое количество троянцев-шпионов, которые занимались кражей пользовательских данных – в основном, аккаунтов доступа к системам онлайн-банкинга.

Анализируя буткит, мы отметили, что алгоритм обфускации тела буткита идентичен алгоритму обфускации, использовавшемуся в Trojan-Spy.Win32.Sinowal, и пришли к выводу, что авторами буткита и троянца-шпиона являются одни и те же люди. Пока не был проведен детальный анализ DLL, сходство используемых алгоритмов обфускации было единственным подтверждением общего происхождения двух вредоносных программ.

После того как мы извлекли скрытую DLL из памяти компьютера и проанализировали принципы ее работы, был получен окончательный вердикт: DLL, загружаемая буткитом, идентична Trojan-Spy.Win32.Sinowal и выполняет те же функции шпиона.

Таким образом, после авторизации бота в сети происходит загрузка на зараженную машину DLL – модуля для кражи паролей и перехвата сетевого трафика пользователя.

Sinowal можно назвать «универсальным воришкой». Попав в систему, он моментально начинает искать все доступные пароли и аккаунты.



Дизассемблированный код модуля кражи паролей

Список атакуемых приложений

Total Commander Thunderbird FlashFXP SecureFX
Windows The Bat Trellian FTP LeechFTP
Commander Internet Explorer Crystal FTP e-Safekey
AK-Mail Mozilla FireFox Folder Flash Player
Inetcomm LeechFTP FAR Manager PuTTY
Outlook FTPS FTP Voyager WinSCP
MSO FireFtp CuteFTP SecureCRT

Большинство приложений, на которые нацелен модуль кражи конфиденциальной информации, используются для администрирования веб-сайтов. Для злоумышленников это значимая информация, так как эти сайты могут быть использованы для размещения либо управляющего центра ботнета, либо эксплойтов.

Но наибольшую ценность для преступников имеют аккаунты банковских систем.



Часть списка банковских сайтов, пароли к которым крадет модуль (всего в списке около 3000 сайтов)

Перехватывая все сетевые соединения зараженного компьютера, DLL ищет в трафике обращения к банковским сайтам. Все данные, которые пользователь вводит на этих сайтах, тут же отправляются на сервер злоумышленников.

Используя буткит как платформу, имеющую полный доступ к ресурсам операционной системы, шпионский модуль способен устраивать атаки типа «человек посередине«, перехватывая, например, конфиденциальную информацию из браузера.

Модуль способен выполнять практически все функции шпионских программ – от банального перехвата данных с клавиатуры до подмены защищенных SSL-соединений. При обращениях к сайтам по HTTPS шпион может открывать в браузере дополнительные окна для авторизации, и пользователь может по ошибке ввести свои данные туда, думая, что работает с сайтом банка.

Шпион также может переадресовывать пользовательские запросы на фишинговые сайты.
Вся собранная таким образом информация шифруется и отправляется на специальный сервер.



Пример расположения сервера, поддерживающего SSL-соединение, которое используется для перенаправления пользователей на фишинговую страницу (слева направо: имя домена; IP-адрес сервера; подсеть, где расположен сервер; автономная система сети интернет)



Пример расположения сервера, на который будут отправлены украденные пароли к приложениям (слева направо: имя домена; IP-адрес сервера; подсеть, где расположен сервер; автономная система сети интернет)

Вредоносная сеть

Рассматривая общую схему атаки, необходимо иметь в виду, что все компоненты сети буткита находятся в постоянном движении. Контролируя доменные серверы (name servers), злоумышленники могут быстро и легко физически менять площадки расположения эксплойтов, административной панели С&C, места загрузки модулей и сбора конфиденциальной информации. Фактически это придает системе огромную устойчивость, так как перенастройка компонентов сети может осуществляться без дополнительной настройки самого буткита и его модулей.


Схема работы буткита с серверами

Масштабы заражения

Распространение первого буткита, появившегося в конце прошлого года, и руткита Rustock осуществлялось при помощи ресурсов группы IframeBiz. Нынешнее появление буткита проходит по совершенно иному сценарию, гораздо более технологичному и несомненно учитывающему опыт предыдущих эпидемий Rustock и Sinowal.

Считать показателем эпидемии количество жалоб пользователей на перезагрузку компьютера, конечно же, нельзя. Однозначный ответ могла бы дать статистика самого ботнета, полученная из его центра управления, однако полного доступа к административной панели у нас не было. Тем не менее, нам все же удалось получить некоторые цифры.

В результате исследования нами было обнаружено пять основных серверов, с которых происходила загрузка эксплойтов. При этом суммарное количество уникальных посещений, например, с территории США составляло около 200 000 в сутки.

Количество уникальных посещений с территории США двух сайтов с эксплойтами

Как было сказано выше, административная панель управления ботнетом постоянно перемещается в соответствии с определенным алгоритмом. При этом далеко не все боты подключаются к панели управления сразу же после ее «переезда».

На графиках, приведенных ниже, отражены стадии миграции некоторых центров, своеобразный «хвост» подключений к ним ботов и данные о количестве зараженных систем. Видно, что общий размер ботнета достигал практически 100 000 ботов (здесь также учитывались только американские пользователи), что является довольно большим показателем.

Количество уникальных посещений с территории США административной панели, переместившейся на очередной домен

Количество уникальных посещений с территории США административной панели, оставшейся на старых доменах

Методы защиты

Авторы буткита приложили максимум усилий для создания хорошо защищенного, максимально мобильного, практически неуязвимого комплекса. Они тщательно продумали все этапы его работы – от заражения пользователей до организации управления ботнетом – и не допустили ошибок даже в мелочах (таких как внедрение iframe в код страниц).

Несмотря на изощренные технологии, использованные авторами буткита, современные антивирусные продукты должны быть способны предотвратить его проникновение на компьютер.

Что же можно противопоставить киберпреступникам на каждом этапе заражения?

Примененные злоумышленниками приемы заманивания пользователей на зловредные сайты и генерация уникальных эксплойтов не только призваны заразить максимальное число жертв, но и направлены на борьбу с рядом существующих антивирусных технологий.

Так, подмена ссылок (вместо добавления iframe) рассчитана на противодействие традиционным методам проверки веб-трафика, при которых подозрительные iframe проверяются более тщательно, а то и полностью блокируются.

Учитывая десятки, а то и сотни тысяч случаев взлома легальных сайтов и внедрения в их страницы вредоносного содержимого, наиболее действенным способом защиты от подобных угроз являются технологии блокирования известных зараженных вредоносным кодом сайтов.



Запрещение на переход на страницу зараженного сайта в KIS 2009

Эксплойты генерируются для каждого нового пользователя автоматически, код эксплойта изменяется, однако механизм обфускации остается тем же. Это значит, что антивирус может детектировать обфусцированный скрипт сигнатурно или эвристически.

Пример детектирования обфускации эксплойтов

Если эксплойт все-таки загружен на компьютер, то он не сработает, если пользователь регулярно устанавливает на своем компьютере «заплатки» для операционной системы и программного обеспечения. Выявить «дырявое» ПО помогает сканер уязвимостей.



Детект компонента флеш-плейера с незакрытой уязвимостью



Описание уязвимости на сайте Viruslist.com

Предположим, что у пользователя установлено уязвимое приложение, и эксплойт сработал. В этом случае на компьютер закачивается дроппер буткита – исполняемый файл, который формируется на сервере. Он ориентирован на конкретного пользователя, что затрудняет сигнатурное детектирование дроппера.

На этой стадии наиболее действенными являются проактивные методы антивирусной защиты, позволяющие проанализировать новый неизвестный файл, определить его функционал и провести эвристический анализ кода и поведения вредоносной программы.



При запуске исполняемого файла KIS 2009 анализирует его…



…и блокирует запуск, если анализ выявил потенциальную опасность

Приложение получило высокий Индекс опасности, так как сработала эвристика Heur.Backdoor.Generic

Если на момент заражения компьютер пользователя не был защищен достаточно мощной антивирусной программой, буткит проникает в систему. Буткит начинает работать до запуска операционной системы и антивируса, что позволяет ему контролировать важные системные функции и скрывать свое присутствие в системе.

Антивирусная программа, в которую входит достаточно мощный антируткит, позволяет обнаружить и обезвредить вредоносный код – сначала в памяти системы…



Детектирование руткита в памяти зараженного компьютера

…а затем и в загрузочном секторе диска.



Лечение MBR

В результате система полностью излечивается от буткита.



Отчет о полном излечении системы с помощью KIS 2009

Заключение

В свое время буткит стал технологическим прорывом в индустрии вирусописательства, а теперь он, кроме всего прочего, оснащен мощными инструментами распространения и функционирования в составе ботнета.

Технологии, реализованные в рутките Rustock, предоставляли вредоносной программе широкий спектр возможностей, позволявших ей находиться вне поля зрения антивирусных компаний, и максимально затрудняли ее анализ. Буткит же различными способами противодействует выявлению вредоносной программы на ранних стадиях заражения, стремится заразить максимальное число пользователей и препятствует выведению ботнета из строя.

Масштабы организации работы буткита и технологические решения, примененные злоумышленниками, поражают воображение: это низкоуровневое программирование; эксплуатация уязвимостей десятков сторонних программ; переходы из режима загрузки ОС в нулевое, третье кольцо и обратно; создание приложений на C++ для *nix-операционных систем; криптографические протоколы; протоколы авторизации ботов в системе и многое, многое другое.

Несомненно, разработка этой системы заняла несколько месяцев, а ее функционирование требует постоянной отладки и дополнительных затрат на приобретение или создание все новых и новых эксплойтов, доменов, хостинговых площадок и т.д. Создание, планирование, реализация и поддержка такой структуры вряд ли могут осуществляться силами одного-двух человек. Очевидно, мы имеем дело даже не с одной, а с несколькими группами киберпреступников, которые работают в тесном контакте друг с другом и отвечают каждая за свой участок работы.

История с буткитом отражает весь спектр основных угроз информационной безопасности пользователей. Все методы и технологии, рассмотренные выше, в настоящее время активно используются в подавляющем большинстве вредоносных программ. Заражение через браузер, руткит-технологии, ботнеты, кража пользовательских данных, криптография, обфускация, противодействие антивирусным программам – все, что раньше встречалось нам по отдельности, применяется в бутките.

Надежно противодействовать таким комплексным угрозам можно только используя широкий спектр технологий защиты: веб-антивирус, фильтрацию трафика, поведенческие анализаторы, «песочницы», системы анализа сетевого трафика и межсетевые экраны. Поэтому современный антивирус должен обладать функционалом, позволяющим успешно бороться не только с руткитами, но и с такими их разновидностями, как буткиты.

Буткит: вызов 2008

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике