Исследование

Внутри управляющего сервера Gootkit

Бот Gootkit относится к числу тех вредоносных программ, которые редко удостаиваются пристального внимания исследователей. Виной тому не слишком широкое распространение и отсутствие уникальных особенностей, которые могли бы выгодно выделить зловред на общем фоне.

В интернете, в том числе и на Securelist, можно найти ранние упоминания Gootkit в контексте вредоносных программ — в качестве компонента ботов и троянцев, — но впервые детальный анализ бота Gootkit был опубликован исследователями около двух лет назад. Это была первая попытка описать бота как самостоятельную вредоносную программу, зловред был обозначен как «новый многофункциональный бэкдор». Авторы исследования высказали предположения о заимствовании функциональности бота у других троянцев, а также дали описание некоторых ключевых особенностей Gootkit.

В сентябре 2016 года мы обнаружили новую версию Gootkit, которая имела характерную и легко узнаваемую особенность – дополнительную проверку переменной окружения «crackme» в теле загрузчика. В ранних версиях эта особенность отсутствовала. Но что не менее интересно, в ходе исследования нам удалось получить доступ к C&C серверу бота, включая полное дерево каталогов и файлов, а также их содержимое.

Заражение

Как и раньше, бот Gootkit написан на NodeJS и загружается на компьютер жертвы через цепочку даунлоадеров. Основное назначение бота также не изменилось – кража банковских данных. Новая версия Gootkit, найденная в сентябре, нацелена в первую очередь на клиентов европейских банков – немецких, французских, итальянских, голландских, польских и т.д.

Основные способы распространения троянца — это спам-рассылки с вредоносными вложениями и веб-сайты, содержащие эксплойты на зараженных страницах (Rig Exploit Kit). В письмах во вложении содержался первичный даунлоадер небольшого размера Trojan-Banker.Win32.Tuhkit, который после запуска выгружал основной загрузчик c C&C сервера. Тот, в свою очередь, загружал Gootkit.

Внутри управляющего сервера Gootkit

Примеры зараженных страниц, использованных для распространения троянца

В ходе исследования нами было обнаружено огромное количество вариантов первичных загрузчиков, использовавшихся для распространения троянца, — значительная их часть детектируется как Trojan.Win32.Yakes. Были среди загрузчиков и чрезвычайно странные, как тот, что представлен рисунке ниже – в его коде было прямо написано, что зловред предназначен для загрузки Gootkit.

Внутри управляющего сервера Gootkit

Участок кода одного из первичных даунлоадеров

Gootkit в некоторых версиях также способен обеспечить запуск основного тела с правами администратора в обход UAC. Для этого основной загрузчик формировал файл SDB и регистрировал его в системе с помощью утилиты sdbinst.exe, после чего запускал бота с повышенными правами без нотификации пользователя.

Проверка «crackme»

Особенность новой версии Gootkit — проверка переменной окружения «crackme» в теле загрузчика. Она работает следующим образом: значение переменной сравнивается с фиксированной константой – в случае, если значения не совпадают, бот начинает проверять, не запущен ли он в виртуальной среде.

Внутри управляющего сервера Gootkit

Проверка глобальной переменной в теле загрузчика

Для этого, как и в предыдущих версиях, бот проверяет переменную «trustedcomp».

Внутри управляющего сервера Gootkit

Проверка на запуск на виртуальной машине в теле бота

Основное тело троянца

Основной файл зловреда включает в себя скрипты и интерпретатор NodeJS. В распакованном виде скрипты выглядят следующим образом:

Внутри управляющего сервера Gootkit

Скрипты на NodeJS, образующие основное тело троянца

Представленные на снимке скрипты образуют именно основное тело троянца. Суммарно Gootkit включает около сотни различных скриптов, но они носят скорее утилитарный характер (промежуточные обработчики данных, библиотеки для сетевого взаимодействия, обертки над стандартными классами и структурами, кодировщики и т.д.) и не представляют интереса.

Сам зловред передается в зашифрованном и запакованном виде. Шифруется Gootkit простым сложением по модулю с раундовым ключом, распаковка осуществляется стандартными WinAPI. На рисунке ниже представлены первые 255 байт передаваемых данных.

Внутри управляющего сервера Gootkit

Запакованное тело троянца

Первые три DWORD обозначают размер полученных, распакованных и запакованных данных соответственно. Легко убедиться, что после вычета третьего DWORD из первого у нас остается двенадцать байт – как раз размер этих переменных.

Кража денег

Перехват пользовательских данных осуществляется стандартно, с помощью внедрения веб-инжектов в HTTPS-трафик (примеры самих инжектов даны ниже). После отправки данных на сервер C&C, они обрабатываются парсерами, ассоциированными каждый с сайтом определенного банка.

Внутри управляющего сервера Gootkit

Участок кода одного из парсеров

Взаимодействие с C&C

В рассматриваемой версии Gootkit адрес для получения основного тела троянца и адрес C&C сервера совпадают; в ранних версиях они могли различаться. Для формирования запроса троянец использует «личный» User-Agent – в отсутствии его любые запросы будут отклонены.

Внутри управляющего сервера Gootkit

Уникальный User-Agent GootKit

Взаимодействие с C&C сводится к обмену фиксированным набором команд, среди которых основными являются:

  • Запрос списка доступных троянцу файлов (P_FS:FS_READDIR);
  • Получение этих файлов (P_FS:FS_GETFILE/FS_GET_MULTIPLEFILES);
  • Обновление для бота (P_FS: FS_GETFILE);
  • Получение снимка экрана (P_SPYWARE:SP_SCREENSHOT);
  • Выгрузка списка процессов (P_SPYWARE:SP_PROCESSLIST);
  • Завершение процесса (P_SPYWARE:SP_PROCESSKILL);
  • Загрузка модулей (P_FS: FS_GETFILE);
  • Получение инжектов (P_ SPYWARE:SP_SPYWARE_CONFIG).

Внутри управляющего сервера Gootkit

Основные команды и подкоманды бота

Сами адреса C&C в количестве двух-трех жестко зашиты в тело загрузчика, а также могут сохранятся в реестре. В зависимости от типа запроса, тело пакета может меняться, но всегда включает в себя следующие переменные:

  • Размер пакета, плюс восемь;
  • Контрольное число, сложенное по модулю с константой;
  • Тип команды;
  • Поддтип команды.

В представленном на рисунке ниже примере C&C запрашивает регистрационную информацию у бота при первом запуске.

Внутри управляющего сервера Gootkit

Запрос от C&C и пример переменных

Ответ в данном случае будет включать в себя подробную информацию о зараженном компьютере, в том числе:

  • Параметры сетевого адаптера;
  • Характеристики процессора, объем оперативной памяти;
  • Имя пользователя, имя компьютера.

Вне зависимости от типа запроса, данные от C&C к боту и обратно передаются в формате protobuf.

При выгрузке основного тела адрес, к которому обращается загрузчик, как правило, оканчивается следующими строками:

  • /rbody32;
  • /rbody64;
  • /rbody320.

«А ларчик просто открывался»

Благодаря использованию ошибки конфигурации, распространенной среди управляющих серверов ботнетов, нам удалось на одном из C&C получить полное дерево каталогов и файлов, а также их содержимое.

Внутри управляющего сервера Gootkit

Содержимое сервера ботнета

Содержимое сервера представляет из себя набор парсеров для различных банковских сайтов – с их помощью, используя пользовательские данные, осуществляется кража денег со счетов, плюс нотификация через Jabber. Украденные данные хранятся в виде списка текстовых файлов, где в качестве имени файла фигурирует IP зараженного компьютера.

Внутри управляющего сервера Gootkit

Краденные данные и логи на сервере ботнета

Внутри управляющего сервера Gootkit

Пример краденных данных в одном их текстовых файлов

Прочие данные (трансферы, логи) также хранятся в виде текстовых файлов.

Внутри управляющего сервера Gootkit

Логи парсера

Анализ веб-инжектов бота, а также логов парсеров, показал, что в первую очередь злоумышленники нацелены на клиентов немецких и французских банков.

Внутри управляющего сервера Gootkit

Распределение веб-инжектов по доменным зонам

Внутри управляющего сервера Gootkit

Выдержки из логов парсеров

Анализ содержимого сервера и парсеров также не оставил сомнений в знании автором ботнета русского языка. Обратите внимание на комментарии на рисунке ниже.

Внутри управляющего сервера Gootkit

Участок скрипта с комментариями автора

Кроме того, Gootkit, наиболее вероятно, находится в одних руках – в продаже его нет и вне зависимости от модификации даунлодеров и вариантов административных панелей, код на NodeJS, представляющий основное тело зловреда, всегда один и тот же.

Внутри управляющего сервера Gootkit

Примеры веб-инжекта Gootkit

Заключение

Gootkit относятся к разряду крайне живучих, пусть и не слишком популярных, троянцев. За счет своей малой распространённости новые версии троянца могут находиться вне поля зрения аналитиков на протяжении длительного времени.

Стоит также упомянуть, что использование в качестве платформы для разработки NodeJS пусть и накладывает ряд ограничений, все же обеспечивает значительную гибкость возможностей и простоту изменения и разработки при создании новых модификаций троянца.

Троянец Gootkit, а также все сопутствующие компоненты детектируются продуктами «Лаборатории Касперского» как:

  • Trojan-Banker.Win32.Tuhkit (первичный загрузчик, распространяемый в письме);
  • Trojan.Win32.Yakes (некоторые модификации основного даунлоадера);
  • HEUR:Trojan.Win32.Generic (основное тело бота, некоторые варианты загрузчика).

MD5

1c89a85c1a268f6abb34fb857f5b1b6f
7521e82162ed175ad68582dd233ab1ae
9339dcb3571dda122b71fb80de55d0d6
b13378ad831a1e4e60536b6a3d155c42
9ba9f48cda9db950feb4fbe10f61353c

Внутри управляющего сервера Gootkit

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике