ChewBacca – новая вредоносная программа, использующая Tor

Мы обнаружили новую вредоносную программу под названием ChewBacca» с функционалом обмена данными через сеть Tor. Продукты «Лаборатория Касперского» детектируют ее как Trojan.Win32.Fsysna.fej. Использование возможностей Tor во вредоносном ПО нельзя назвать уникальным свойством данного образца, однако на сегодняшний день оно встречается редко.

В последнее время сеть Tor приобрела снискала определенную популярность среди пользователей как средство обеспечения анонимного доступа к ресурсам. Киберпреступники также используют ее в своих целях, однако они не спешат подстраивать под нее свою инфраструктуру распространения вредоносного ПО. Такой функционал недавно добавлен в Zeus, как сообщил здесь мой коллега Дмитрий Тараканов. Кроме того, благодаря этому стали известны набор эксплойтов CrimewareKit Atrax и ботнет, созданный с помощью бэкдора Mevade.

Введение

Tor – это анонимная оверлейная сеть. Она также обслуживает собственный домен верхнего уровня – ?.onion, – который доступен только через сеть Tor (конечно, существуют также веб-сервисы, обеспечивающие маршрутизацию запросов из интернета на домены Onion). Это в большинстве случаев позволяет сохранить в тайне местонахождение сервера и личность его владельца. Тем не менее, у Tor есть и недостатки, вследствие которых киберпреступники не торопятся размещать свои серверы в этой сети. Из-за того, что сеть оверлейная, а также из-за ее структуры передача данных через Tor происходит относительно медленно, а иногда и со значительными задержками. Как мы видим на примере ботнета Mevade, масштабная активность ботнета может повлиять на работу всей сети, что упрощает экспертам по безопасности задачу его обнаружения. Кроме того, использование Tor усложняет инфраструктуру, используемую киберпреступниками.

Вредоносная программа

Троянская программа (MD5: 21f8b9d9a6fa3a0cd3a3f0644636bf09) представляет собой исполняемый (PE32) файл, скомпилированный с помощью Free Pascal 2.7.1 (версия от 22.10.2013). Файл размером 5 МБ содержит клиент Tor версии 0.2.3.25.

После запуска вредоносного приложения вызывается функцияP$CHEWBACCA$_$TMYAPPLICATION_$__$$_INSTALL,  которая размещает свой код в виде файла spoolsv.exe в папке Автозапуска (Startup folder),например, C:Documents and SettingsAll UsersStart MenuProgramsStartup, и запрашивает публичный IP-адрес компьютера жертвы с помощью бесплатного общедоступного сервиса http://ekiga.net/ip (который никак не связан с вредоносным ПО).

Файл клиента Tor помещается под именем tor.exe в папку Temp текущего пользователя и запускается на установленном по умолчанию порте localhost:9050.

В процессе своей работы троянская программа записывает данные обо всех клавиатурных нажатиях в файл system.log, который вредоносная программа создает в локальной папке Temp текущего пользователя. Этот функционал клавиатурного шпиона реализуется с помощью функцииSetWindowsHookExA-API, использующей перехват WH_KEYBOARD_LL. Загрузка созданного таким образом файла system.log на сервер злоумышленников осуществляется с помощью скрипта[url]/sendlog.php (причем url прописан в программе в явном виде – см. ниже).

Троянская программа составляет перечень всех активных процессов и читает память каждого процесса. Для отбора данных используются два шаблона (регулярных выражения).

Отобранные данные с помощью функции Exfiltrate загружаются на сервер по адресу[url]/recvdata.php. Вредоносная программа содержит также функцию для своего удаления с компьютера, названную P$CHEWBACCA$_$TMYAPPLICATION_$__$$_DESTROY.

Командный сервер

Программа использует в качестве командного сервера набор серверного ПО LAMP, включающий Linux CentOS, Apache 2.2.15, MySQL и PHP 5.3.3 (включая phpmyadmin 2.11.11.3), размещенный по адресу http://5jiXXXXXXXXXXgmb.onion. При переходе по данному адресу открывается страница авторизации с фоном в виде изображения персонажа Чубакки (ChewBacca), позаимствованного из проекта A Game of Clones – серии изображений, созданных Andrew Spear (который, конечно, не имеет никакого отношения к вредоносной программе)

Два упомянутых выше PHP-скрипта, размещенные на сервере управления, составляют функционал этого сервера.

• sendlog.php определяет функционал, связанный с загрузкой данных, собранных клавиатурным шпионом на компьютере жертвы, на сервер злоумышленников
• recvdata.php  используется для передачи на сервер остальных собранных вредоносной программой данных. При обычном вызове выдает следующее сообщение об ошибке: Notice:Undefined index: raw data in /var/www/html/recvdata.php on line 24

Заключение и замечания

Благодарю моего коллегу Николя Брюле (Nicolas Brulez) за помощь в осуществлении анализа.

В отличие от других вредоносных программ, использующих Tor, таких как Zeus, Chewbacca в настоящее время нельзя найти в открытом доступе на (подпольных) форумах. Возможно, это дело будущего, но не исключено, что авторы вредоносной программы намерены использовать ее сами или поделиться ей с узким кругом злоумышленников.

Некоторые киберпреступники пытаются использовать сеть Tor для размещения своей инфраструктуры, поскольку эта сеть позволяет обеспечить более высокую степень защиты для командных серверов, однако этот процесс сдерживается описанными выше недостатками данной сети.