Sony/Destover: таинственная северокорейская группировка и история ее деструктивной деятельности

Сравнение с Shamoon и DarkSeoul

В начале декабря ФБР впервые опубликовало предупреждение – «молнию» о деструктивной активности Wiper-подобной программы, примененной в ходе известной атаки на компанию Sony Pictures Entertainment. Образцы этой вредоносной программы, получившей название Destover, содержали файлы конфигурации, созданные на компьютерах, использующих корейские языковые пакеты.

За время, прошедшее после атаки, мы получали из разных источников информацию об этом вредоносном ПО, однако кое-какие детали, в частности, что делали главные подозреваемые раньше, по-прежнему остаются неизвестными.

Пока компания Sony Pictures без лишних слов завершает требующую немалых средств работу по ликвидации последствий атак и готовится выпустить фильм «Интервью», мы обсудим некоторые подробности, связанные с вредоносным функционалом, очевидным сходством с другими инцидентами, связанными с вредоносными программами типа wiper, а также прежней деятельности группировки, подозреваемой в организации этих атак.

Mystery_1

Прежде всего нужно отметить, что деструктивная активность, нацеленная на сети крупных организаций, несомненно, становится более распространенной. О появившихся ранее вредоносных программах типа Wiper можно прочитать здесь. Большая часть инцидентов, связанных с этими программами, произошла на Ближнем Востоке и Корейском полуострове. Мы также отметили отдельную кампанию в Восточной Европе, связанную с уничтожением данных в среде АСУ с помощью вредоносной программы BlackEnergy2. Более подробную информацию об этом можно найти здесь. Невозможно игнорировать и полное удаление клиентских данных с серверов британского хостинг-провайдера Code Spaces киберпреступником-вымогателем. Об этом инциденте можно прочитать здесь.

Троянская программа, примененная при атаке на Sony Entertainment, получила название Destover. Ее вредоносный функционал включает в себя способность удалять все данные с жестких дисков, а также из главной загрузочной записи диска (MBR).

Wiper-функционал Destover

Наиболее интересные аспекты деструктивного функционала вредоносной программы связаны с выбором и хранением/доставкой драйверов, которые теперь применяются во многих подобных атаках, связанных с подрывом деятельности жертв.

Дропперы Destover устанавливают и запускают драйверы EldoS RawDisk, чтобы обойти ограничения прав доступа, установленные в файловой системе NTFS, и перезаписать данные на диске и в самой MBR. Это имеет существенное значение с точки зрения последующего восстановления удаленных данных. В случае вредоносной программы DarkSeoul была возможность восстановления затертых данных с помощью метода, аналогичного используемому при восстановлении данных, «уничтоженных» Shamoon. Вероятно, тот же способ можно будет применить и для восстановления данных, удаленных Destover.

Последовательность промежуточных компонентов, ведущую к деструктивному основному функционалу, можно разделить на несколько этапов (ранее описанных в других источниках) с возможностью работы в различных режимах – совершенно так же, как в случае Shamoon:

  • Образец в первый раз исполняется под 32-битной ОС.
  • Образец исполняется под 32-битной ОС как самоустанавливающаяся служба по одной из нескольких ветвей кода.
  • Образец исполняется под 64-битной ОС как самоустанавливающаяся служба.

При первом исполнении вредоносная программа создаёт Windows-службу brmgmtsvc в категории «Управление резервным копированием и восстановлением» (Backup and Restore Management), добавляет свой собственный исполняемый код и устанавливает параметр для запуска -i. Она также сохраняет на зараженном компьютере несколько копий своего кода и запускает их с различными параметрами: -m, -d, и -w.

-m (перезапись mbr):
С таким параметром вредоносная программа пытается установить соединение с тремя IP-адресами (они перечислены ниже). Процесс выполняется, даже если эти попытки оказываются безуспешными.
Далее извлекается ресурс, содержащий сжатый драйвер EldoSRawDisk, и записывается во временную папку в файл ‘usbdrv3.sys’.
Затем драйвер устанавливается как служба usbdrv3 «USB 3.0 HostController».
После этого зловред запускает службу драйвера и закрывает дескриптор службы.
Затем создаёт файл-дескриптор драйвера с правами на запись:
‘\\?\ElRawDisk\??\\PhysicalDrive0#99E2428CCA4309C68AAF8C616EF330658 2A64513E55C786A864BC83DAFE0C78585B692047273B0E55275102C664C5217E76B 8E67F35FCE385E4328EE1AD139EA6AA26345C4F93000DBBC7EF1579D4F’
И записывает в этот дескриптор 64 кБ строк ‘0xAAAAAAAA’.
Примечание. Тема длинного лицензионного ключа (#99E2428…) обсуждается в нашем блогпосте «Shamoon: детали (часть II)«.
Затем вредоносная программа создаёт новые потоки, каждый из которых пытается подключиться ко всем доступным физическим носителям и также перезаписать на них MBR.

-d (перезапись данных):
С таким параметром копия вредоносной программы пытается установить соединение всё с теми же тремя IP-адресами. Опять же, процесс выполняется вне зависимости от успешности соединения.
Далее вредоносная программа обращается к логическим устройствам и рекурсивно просматривает их, распознавая все файлы данных. Если это не .exe и не .dll-файл, процесс перезаписывает содержимое файла строкой ‘0x0df0adba’ блоками в 20 кБ. Перезапись осуществляется из режима пользователя, без драйверов EldoS.
Затем процесс пытается удалить перезаписанный файл данных, используя API-функцию Win32 ‘DeleteFileW’. Рекурсивно проходя все системные папки, пытается удалить файлы .exe и .dll.

-w (веб-сервер):
С таким параметром копия вредоносной программы пытается установить соединение с теми же IP-адресами. Процесс также выполняется вне зависимости от успешности соединения.
Процесс останавливает терминальные службы Windows из командной строки: cmd.exe /cnetstoptermservice /y
Затем находит ресурс 85, распаковывает его и записывает содержимое в файл ‘c:\windows\iissvr.exe‘.
Запускает процесс iissvr.exe и завершает свою работу.
iissvr – это, как и представляется на первый взгляд, веб-сервер, на котором размещены зашифрованные JPG, HTML и WAV файлы. Он прослушивает порт 80 и раздает эти файлы. Вся картинка целиком с прокручиваемым предупреждением, набранным зеленым шрифтом, представлена ниже в данной статье. Вот расшифрованный JPG-файл:

Mystery_2

Наконец, после двух часов в спящем режиме первоначальная служба перезапускает компьютер вызовом ExitWindowsEx(EWX_REBOOT|EWX_FORCE, 0). Это приводит к завершению запущенных программ, но завершение работы операционной системы задерживается на время создания файла с данными о состоянии системы.

Общие черты Wiper-подобных зловредов

Как и Shamoon, Destover реализует функционал wiper (уничтожения данных) с помощью имеющихся в открытой продаже драйверов EldoS RawDisk.

Как и в случае Shamoon, Wiper-драйверы Destover содержатся в разделе ресурсов дропперов.

Как и в случае Shamoon, в ходе атак с уничтожением данных DarkSeoul данные на жестком диске и главная загрузочная запись (MBR) затирались, а на их место записывались сообщения с туманным псевдо-политическим содержанием.

Как и в случае DarkSeoul, исполняемые файлы Destover были скомпилированы во временном промежутке от 48 часов до атаки и до момента атаки. Весьма маловероятно, что злоумышленники сумели заразить компьютеры многочисленных пользователей с помощью адресного фишинга; скорее, они получали неограниченный доступ ко всей сети до начала проведения атаки.

Компоненты Shamoon также компилировались незадолго до развертывания. Временные метки компиляции (CompiledOn) все относятся к периоду, начинающемуся с пяти суток до запуска вредоносного кода. Почти все экземпляры были скомпилированы 10 августа 2012 г. в промежутке от 00:17:23 до 02:46:22), срабатывание было назначено на 15 авг. 2012 г. Время на размещение вредоносных файлов было чрезвычайно ограниченным – напомним, что вредоносная программа уничтожила данные на десятках тысяч компьютеров.

Во всех трех случаях – Shamoon, DarkSeoul и Destover – ответственность за результаты широкомасштабных атак, которыми были охвачены крупные сети, взяли на себя группы, которые не были ранее известны и не имели собственного «лица». Во всех случаях группа, совершив атаки, пыталась исчезнуть со сцены, не делала ясных заявлений, но предъявляла странные и невнятные обвинения криминального характера, а запланированные вредоносные действия запускала сразу после события, имеющего большой политический резонанс, которое использовалось как повод для атак.

Группы Whois (DarkSeoul) и GOP (Destover) предъявляли картинки с надписью ‘Hacked by» («взломано теми-то») «предупреждениями» и угрозами по поводу украденных данных. В обоих случаях были угрозы, что «это только начало» и что «мы вернёмся». В обоих случаях также присутствует графическая тема с черепом/скелетом.

Картинка и предупреждение группы Whois:

Mystery_3

Картинка и предупреждение группы GOP:

Mystery_4

Одно из различий между атаками Destover и DarkSeoul состоит в том, что в случае Destover не использовались скрипты *nix для удаления разделов в системах Linux.

Представленный список общих черт, конечно, не доказывает, что за Shamoon стоит та же группировка, что за DarkSeoul и Destover. Тем не менее, нужно отметить, что существует значимое сходство между действиями группировок, их операционными характеристиками и используемым ими инструментарием. Поразителен и сам факт, что столь необычные и узконаправленные акты крупномасштабного кибервандализма несут настолько очевидные черты сходства.

Сетевая активность

Ранее были опубликованы следующие IP-адреса, к которым постоянно обращается Destover:

  • 88.53.215.64
  • 217.96.33.164
  • 203.131.222.102

Впрочем, образцы Destover обращаются и ко многим другим IP-адресам:

  • 58.185.154.99
  • 200.87.126.116
  • 208.105.226.235
  • 212.31.102.100

По данным Kaspersky Security Network (KSN), в прошлом ни один из этих адресов не был связан с какой бы то ни было вредоносной активностью.

Устанавливаемые соединения производят впечатление случайных и не имеющих отношения к исполнению вредоносного функционала. Некоторые из этих IP-адресов в данный момент неактивны. Выбор этих IP-адресов выглядит странным.

Известно, что с некоторых из этих IP-адресов в недавнем прошлом осуществлялось RDP-сканирование. Про IP-адрес 217.96.33.164 известно, что в конце 2012 г. он выступал в качестве сетевого сканера для взлома RDP-терминалов методом полного перебора. Сервер размещен на хостинге, имеющем польский IP-адрес, причем этот адрес принадлежит текущему провайдеру с 1996 г.

Сервер по адресу 88.53.215.64 в начале 2014 г. был размещен на хостинге в Италии и использовался как платный и бесплатный прокси-сервер с доступом через порт 443. Зловред пытается установить соединение с этим сервером через порты 8000 и 8080; доступных ресурсов в настоящее время нет.

По IP-адресу 200.87.126.116 ранее (в 2011 и 2012 гг.) также был размещен бесплатный прокси-сервер SOCKS. Ресурсами такого рода часто злоупотребляли спамеры и мошенники, работающие в области черной поисковой оптимизации.

Предыдущие бэкдоры

Кампании DarkSeoul связаны с активностью нескольких семейств троянцев и бэкдоров – все они использовались в течении нескольких лет.

Связи с некоторыми кампаниями значительно более тесные, чем с другими:

  • ConcealmentTroy
  • DarkSeoul
  • HttpDr0pper
  • HttpTroy
  • TDrop

MD5-суммы компонентов Destover:

Троянцы:

MD5 Размер Дата компиляции Вердикт, выдаваемый продуктами ЛК
d1c27ee7ce18675974edf42d4eea25c6 262 kb 2014.11.22 00:06:54 Trojan.Win32.Destover.a
2618dd3e5c59ca851f03df12c0cab3b8 430 kb 2014.11.22 00:05:02 Trojan.Win32.Destover.d
760c35a80d758f032d02cf4db12d3e55 244 kb 2014.11.22 04:11:08 Trojan.Win32.Destover.c
b80aa583591eaf758fd95ab4ea7afe39 304 kb 2014.11.24 04:12:55 Trojan.Win32.Destover.b
e1864a55d5ccb76af4bf7a0ae16279ba 112 kb 2014.11.13 02:05:35 Backdoor.Win32.DestoverServ.a
a3fa8c7eb4f061ab8b9f7829c6741593 111 kb 2014.05.03 07:10:22 Trojan.Win32.Destover.f
2c545b89acdb9877da5cbb96653b1491 53 kb 2014.07.14 13:38:18 Trojan.Win32.Destover.e
e904bf93403c0fb08b9683a9e858c73e 90 kb 2014.07.07 08:01:09 Trojan.Win32.Destover.d

Драйверы Eldos:

6aeac618e29980b69721158044c2e544 (32 бит), подписан EldoS Corporation
86e212b7fc20fc406c692400294073ff (64 бит), подписан EldoS Corporation

Сертификат (6aeac618e29980b69721158044c2e544 32 бит и
86e212b7fc20fc406c692400294073ff 64 бит):

Прочие исследования и публикации

Публикации на схожие темы

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *