Artykuły dotyczące tematu: MiniDuke

Kaspersky Lab wraz z ich partnerem, laboratorium CrySyS Lab, wykryli dwa nowe, dotychczas nieznane, mechanizmy infekcji wykorzystywane przez MiniDuke’a. Te nowe wektory infekcji bazują na podatnościach w Javie i Internet Explorerze.

Podczas inspekcji jednego z serwerów centrum kontroli (C&C) MiniDuke’a natrafili na pliki, które nie są powiązane bezpośrednio z kodem C&C, lecz wydają się być przygotowane pod kątem infekcji podatnych użytkowników za pośrednictwem Internetu.

Strona hxxp://[nazwa_hosta_centrum_kontroli]/groups/business-principles.html jest wykorzystywana jako punkt początkowy ataku. Składa się ona z dwóch ramek: jednej do ładowania wabiącej strony z legalnej witryny internetowej (skopiowanej zhttp://www.albannagroup.com/business-principles.html) i drugiej – wykonującej złośliwe działania (hxxp://[nazwa_hosta_centrum_kontroli]/groups/sidebar.html).

Kod źródłowy strony „business-principles.html”.

Załadowana strona wabiąca.

Druga strona internetowa, „sidebar.html”, zawiera 88 linii kodu (głównie) JavaScriptu i działa jak prymitywny pakiet eksploitów. Jego kod identyfikuje przeglądarkę ofiary, a następnie serwuje jeden z dwóch eksploitów. Wysyła także zebrane dane przeglądarki do innego skryptu poprzez żądanie POST na adres „hxxp://[nazwa_hosta_centrum_kontroli]/groups/count/write.php”.

Eksploity są rozmieszczone na odrębnych stronach internetowych. Użytkownicy Internet Explorera w wersji 8 „częstowani” są eksploitem „about.htm”, dla innych wersji przeglądarki (i dla każdej przeglądarki zdolnej uruchamiać aplety Javy) kod JavaScriptu ładuje exploit „JavaApplet.html”.

Kod JavaScriptu wewnątrz strony „sidebar.html”.

Exploit dla Javy

Strona internetowa „JavaApplet.html” ładuje klasę „JavaApplet.class”, która implementuje eksploita Javy dla niedawno wykrytej luki CVE-2013-0422. Kod eksploita jest bardzo podobny do kodu opublikowanego w zestawie Metasploit, ale klasa wewnętrzna, która blokuje menedżera zabezpieczeń jest inaczej kodowana, najprawdopodobniej w celu uniknięcia detekcji. Według nagłówków HTTP serwera, aplet został przesłany dnia 11 lutego 2013 r., miesiąc po opublikowaniu kodu Metasploita i na dwa dni przed ogłoszeniem przez firmę Oracle komunikatu bezpieczeństwa dotyczącego podatności.

HEAD /groups/JavaApplet.class HTTP/1.1
Host: [nazwa_hosta_centrum_kontroli]

HTTP/1.1 200 OK
Server: Microsoft-IIS/5.0
X-Powered-By: ASP.NET
Date: Fri, 08 Mar 2013 06:18:04 GMT
Content-Type: application/octet-stream
Accept-Ranges: bytes
Last-Modified: Mon, 11 Feb 2013 09:50:31 GMT
ETag: „f794173b3d8ce1:e96”
Content-Length: 52408

Shellcode Javy zawiera kompletny ładunek – plik DLL Win32, zakodowany szesnastkowo. Kod powłoki dekoduje plik binarny i zapisuje go do katalogu tymczasowego Javy pod nazwą „ntuser.bin”. Następnie, kod kopiuje plik systemowy „rundll32.exe” do tego samego katalogu, nadając mu nazwę „ntuser.exe” i uruchamiając z „ntuser.bin” jako parametrem – efektywnie ładując tym samym złośliwy plik DLL. Ta biblioteka DLL jest głównym modułem MiniDuke’a, który do odbierania poleceń używa adresu URLhttp://twitter.com/TamicaCGerald.

Tweet z zakodowanym poleceniem MiniDuke’a
(odkodowany adres URL polecenia: hxxp://www.artas.org/web/).

Exploit dla IE8

Strona internetowa „about.htm” implementuje eksploita dla Microsoft Internet Explorera w wersji 8. Wykorzystuje lukę wykrytą pod koniec grudnia 2012 r., znaną jako podatność CVE-2012-4792. Kod jest również bardzo podobny do „metasploitowej” wersji eksploita, z tą różnicą, że ładunek kodu powłoki został napisany przez twórców MiniDuke’a z wykorzystaniem oryginalnego kodu backdoora. Kod Metasploita został opublikowany 29 grudnia 2012 r., a luka została oficjalnie załatana 14 stycznia 2013 r. (MS13-008), natomiast strona z eksploitem została załadowana 11 lutego 2013 r.

HEAD /groups/about.htm HTTP/1.1
Host: [nazwa_hosta_centrum_kontroli]

HTTP/1.1 200 OK
Server: Microsoft-IIS/5.0
X-Powered-By: ASP.NET
Date: Fri, 08 Mar 2013 06:49:33 GMT
Content-Type: text/html
Accept-Ranges: bytes
Last-Modified: Mon, 11 Feb 2013 09:50:47 GMT
ETag: „b98150443d8ce1:e96”
Content-Length: 3842

Zadaniem kodu powłoki jest pobranie obrazu GIF z adresu URL hxxp://[nazwa_hosta_centrum_kontroli]/groups/pic.gif, a następnie odszukanie w pobranym obrazie i odkodowanie ukrytego pliku PE. Ten plik PE jest modyfikacją głównego modułu backdoora MiniDuke’a, który używa tego samego adresu URL prowadzącego do serwisu Twitter, co ładunek Javy.

Wnioski

W ten sposób odkryto  i przeanalizowano dwa nieznane wcześniej wektory infekcji, które zostały użyte w atakach MiniDuke’a. Mimo iż w momencie ataku eksploity były dobrze znane i zostały już wcześniej opublikowane, wciąż były dość świeże i mogły spełnić swoje zadanie w atakach na wyznaczone cele. Jak wcześniej zalecano, aktualizacja do najnowszych wersji systemu Windows, Javy i aplikacji Adobe Reader powinna zapewnić podstawowy poziom ochrony przed znanymi atakami MiniDuke’a. Oczywiście, bardzo możliwe jest, że istnieją inne, nieznane dotychczas wektory infekcji.

W serwisie VirusList przedstawiono ciekawą analizę najnowszego zagrożenia, jakim jest MiniDuke. Przypomnimy, że dnia 12 lutego 2013 r. firma FireEye ogłosiła odkrycie (exploita 0-day dla aplikacji Adobe Reader, który jest stosowany do wdrażania wcześniej nieznanego, zaawansowanego szkodliwego oprogramowania. Tego nowego szkodnika  nazwano „ItaDuke”, ponieważ przypominał on Duqu oraz z powodu dawnych włoskich sentencji, zaczerpniętych z „Boskiej komedii” Dante Aligheriego i zamieszczonych w kodzie powłoki.

Od czasu pierwotnego zgłoszenia szkodliwego oprogramowania pracownicy Kaspersky Lab zauważyli parę nowych incydentów z użyciem tego samego exploita (CVE-2013-0640), z których kilka było tak niezwykłych, że zdecydowaliśmy się przeanalizować je szczegółowo.

Wraz z partnerem firmy – laboratorium CrySyS Lab – Viruslist przeprowadził szczegółową analizę tych zdarzeń, które mogą wskazywać na nowego, nieznanego wcześniej aktora w „teatrze zagrożeń”. Raport z analizy przeprowadzonej przez laboratorium CrySyS Lab znajduje się pod tym adresem. Raport z analizy Kaspersky Lab znajduje się poniżej.

Przede wszystkim, podczas gdy fałszywe raporty PDF „Mandiant” (zobacz tutaj) są po prostu zmodyfikowanymi mutacjami oryginalnego exploita, te nowsze ataki wydają się być prowadzone za pomocą zestawu narzędzi 0-day, który został użyty do stworzenia oryginalnego dokumentu „Visaform Tukey.pdf”, odkrytego przez firmę FireEye. Nowe ataki PDF używają fałszywych dokumentów, które są wyświetlane ofierze, kiedy exploit zostanie pomyślnie uruchomiony. Dokumenty dotyczą seminarium odnośnie praw człowieka (ASEM), ukraińskiej polityki zagranicznej i planów rozszerzenia członkostwa w NATO.

Sumy MD5 dokumentów używanych w ataku to:

Kod JavaScript exploita został zmodyfikowany od czasu pierwotnego ataku. Dla przykładu, funkcja wcześniej nazywana „oTHERWISE” zmieniła nazwę na „q1w2e3r4t”. Funkcja występuje później w kodzie jako:

Nowy exploit:

Starszy exploit („Visaform Turkey.pdf”):

Ponadto, kod JavaScript występuje teraz w formacie skompresowanym, natomiast w oryginalnej próbce miał on postać czystego tekstu. Powodem tych zmian było prawdopodobnie dążenie przez twórców do unikania wykrycia ich „dzieła” przez produkty antywirusowe, chociaż nie przeszkodziło to naszym produktom heurystycznie wykryć opisywane zagrożenie jako: „HEUR:Exploit.Script.Generic”.

Kod powłoki zawarty w dokumencie PDF jest podobny do tego, używanego w dokumentach przenoszących ładunek „ItaDuke”, lecz z drobnymi różnicami. Dla przykładu, po wykorzystaniu luki, shellcode poszukuje konkretnego podpisu w pliku PDF. Podczas, gdy shellcode „ItaDuke” szukał ciągu „!H2bYm.Sw@”, wersja „MiniDuke” poszukuje sygnatury „@34fZ7E[p\”.

Sygnatura w pliku PDF ItaDuke’a.

Sygnatura w pliku PDF MiniDuke’a.

Kiedy sygnatura ładunku zostanie odnaleziona, jest odszyfrowywana za pomocą algorytmu XOR, a następnie dekompresowana z wykorzystaniem API „RtlDecompressBuffer” (LZNT1). Wynikowy plik PE jest zapisywany do pliku tymczasowego i ładowany z użyciem API „LoadLibary”.

Utworzona biblioteka dynamiczna realizuje drugi etap instalacji. Zawiera ona dwa binarne zasoby, 101 i 102. Zasób 101 jest głównym komponentem DLL backdoora. Zapisywany jest w katalogu %AppData% i ładowany z wykorzystaniem API „LoadLibary”. Zasób 102 jest dokumentem PDF – pułapką. Jest zapisywany w katalogu pamięci podręcznej Internet Explorera, a następnie otwierany za pomocą prostego pliku BAT:

Nazwy plików, które są wdrażane, są na sztywno zdefiniowane w zasobach.

Początek zasobu 101 z jego nazwą.

Początek zasobu 102 z jego nazwą. Co ciekawe, dropper złośliwego oprogramowania zawiera następujące ścieżki dostępu:

• „c:\src\dlldropper\Release\L2P.pdb”;
• „c:\src\hellodll\Release\hellodll.pdb”.

Ścieżki te nie istnieją w dropperze oryginalnego pliku PDF („Visaform Turkey.pdf”).

Jeśli zaufać nagłówkom PE, dropper został skompilowany dnia 20 lutego 2013 r:

Czas kompilacji „węgierskiego” droppera – „Wed Feb 20 10:51:16 2013”, czyli środa, 20 lutego 2013 r., godz. 10:51:16.

Backdoor użyty w przypadku „węgierskim” został skompilowany 20 lutego 2013 r. o godzinie 10:57:52, czyli kilka minut po tym, jak dropper został stworzony.

Być może najbardziej niezwykłą rzeczą w tych trzech nowych atakach jest złośliwe oprogramowanie, jakie wdrażają. We wszystkich analizowanych przypadkach, malware ma formę pliku DLL o rozmiarze 22528 bajtów. Części szkodliwego pliku DLL są zaszyfrowane wraz z informacjami dotyczącymi konfiguracji systemu ofiary, co zapewnia, że szkodnik będzie poprawnie działał tylko na atakowanym systemie. Jeżeli zostanie skopiowany na inny komputer, nie będzie w stanie funkcjonować poprawnie.

Backdoor został napisany w „oldskulowym” języku asemblera i jak na dzisiejsze standardy jest wyjątkowo niewielki – jego rozmiar to tylko 20 KB. Jest to najbardziej niezwykłe zjawisko dla nowoczesnych, szkodliwych programów, które mogą mieć rozmiar rzędu kilku megabajtów. Na początku kodu znajduje się niewielki moduł deszyfrujący, który odszyfrowuje ciało szkodnika. Wszystkie trzy przypadki używają różnych kluczy szyfrowania. Inną osobliwością jest to, że backdoor nie ma funkcji importu: wszystkie funkcje są skanowane z pamięci i są wywoływane dynamicznie. Interesujące jest to, że dwa pierwsze API Win32, rozwiązywane i wywoływane przez procedurę rozpakowującą, to „ntdll.LdrLoadDll” i „kernel32.VirtualProtectEx”. Te dwie funkcje nie są wywoływane zgodnie z konwencją „_stdcall”. Zamiast tego, zaraz po ręcznym zbudowaniu stosu wykonywana jest instrukcja „jmp ebx”. Jasne jest, że ktoś przy tworzeniu tego złośliwego oprogramowania miał na myśli potrzebę stworzenia technik zakłócających emulację i skanowanie.

Chcących zgłębić wiedzę dotyczącą MiniDuke’a zapraszamy do zapoznania się z całym raportem na viruslist.pl

Nowi aktorzy w „teatrze zagrożeń” łączą starą szkołę pisania szkodliwego oprogramowania ze świeżymi, zaawansowanymi eksploitami dla aplikacji Adobe Reader, aby gromadzić dane geopolityczne pochodzące od ściśle wyselekcjonowanych celów na całym świeci.

Kaspersky Lab informuje o swoim nowym projekcie badawczym, w którym przeanalizowany został szereg incydentów naruszeń bezpieczeństwa z wykorzystaniem wykrytego niedawno eksploita PDF dla aplikacji Adobe Reader (CVE-2013-6040) oraz nowego, spersonalizowanego szkodliwego programu znanego jako MiniDuke. W ciągu ostatniego tygodnia MiniDuke został wykorzystany w atakach na wiele podmiotów i instytucji rządowych na całym świecie. Eksperci z Kaspersky Lab we współpracy ze specjalistami z laboratorium CrySys Lab szczegółowo przeanalizowali ostatnie ataki i opublikowali swoje wnioski.

Według analizy Kaspersky Lab, MiniDuke atakuje sporo ważnych celów, łącznie z jednostkami rządowymi na Ukrainie, w Belgii, Portugalii, Rumunii, Czechach i Irlandii. Ponadto, skompromitowano instytut badawczy, dwa zespoły ekspertów i dostawcę usług medycznych w Stanach Zjednoczonych oraz prominentną fundację badawczą na Węgrzech.

To jest bardzo nietypowy cyberatak – pamiętam ten styl złośliwego programowania z końca roku 1990 i początku roku 2000.  Zastanawiam się, czy nie jest tak, że ci twórcy szkodliwego oprogramowania, którzy byli w stanie hibernacji przez ponad dekadę, nagle obudzili się i dołączyli do wyrafinowanej grupy aktorów zagrażających cyberprzestrzeni. Ci elitarni twórcy szkodliwego oprogramowania, wywodzący się ze „starej szkoły” programistycznej, którzy byli niezwykle skuteczni w przeszłości w tworzeniu bardzo złożonych wirusów, teraz łączą swoje zdolności ze współczesnymi, wysoce zaawansowanymi eksploitami omijającymi technologie sandboksowe, aby nękać jednostki samorządu terytorialnego lub instytucje badawcze w różnych krajach na całym świecie.

– powiedział Jewgienij Kasperski, dyrektor generalny Kaspersky Lab.

MiniDuke jest wysoce spersonalizowanym backdoorem, napisanym w asemblerze, posiadającym bardzo niewielki rozmiar 20 kilobajtów. 

Połączenie starych metod doświadczonych twórców szkodliwego oprogramowania z wykorzystaniem nowo odkrytych eksploitów i sprytnych technik socjotechnicznych do łamania zabezpieczeń wyszukanych jest bardzo niebezpieczne.

– dodaje Jewgienij Kasperski.

Główne wnioski z badania przeprowadzonego przez Kaspersky Lab:

• Napastnicy posługujący się szkodliwym programem MiniDuke są nadal aktywni. Zagrożenie zostało stworzone w okolicach 20 lutego 2013 r. Aby skompromitować ofiary, atakujący używają niezwykle skutecznych metod socjotechnicznych, które obejmują wysyłanie do wybranych celów szkodliwych dokumentów PDF. Pliki PDF są bardzo istotne – ze względu na bardzo starannie sfabrykowaną zawartość, koncentrującą się na informacjach z seminarium dotyczącego praw człowieka (w skr. ASEM) oraz wiadomości dotyczących polityki zagranicznej Ukrainy i planów rozszerzenia członkostwa w NATO. Złośliwe pliki PDF są uzbrojone w eksploity atakujące aplikację Adobe Reader w wersji 9, 10 i 11 oraz omijające metody sandboksowe. Do stworzenia eksloitów użyto specjalnego zestawu narzędzi, a eksploity wykorzystane w atakach MiniDuke’a wyposażone są we własne, niestandardowe złośliwe oprogramowanie.
• Kiedy exploit zostanie pomyślnie wdrożony w systemie ofiary, niewielki downloader (o rozmiarze 20 KB) zostaje zainstalowany na dysku twardym zainfekowanego komputera. Downloader ten jest unikatowy dla każdego systemu i zawiera spersonalizowanego backdoora napisanego w asemblerze. Podczas swojego ładowania, przy uruchamianiu systemu operacyjnego, downloader wykonuje serię obliczeń matematycznych, aby określić unikatowy „odcisk palca” komputera, a następnie wykorzystuje te dane do jednoznacznego zaszyfrowania swoich późniejszych komunikatów. Szkodnik jest również zaprogramowany, aby unikać analizy przeprowadzanej przez zdefiniowany zestaw narzędzi w niektórych środowiskach, takich jak VMware. Jeżeli wykryje obecność wyspecjalizowanych narzędzi analitycznych, będzie działał w trybie bezczynności, zamiast przejść na dalszy etap aktywności i odsłonić więcej funkcjonalności poprzez odszyfrowanie swojej zawartości. Oznacza to, że twórcy szkodliwego oprogramowania dokładnie wiedzieli, co firmy antywirusowe i specjaliści ds. bezpieczeństwa IT robią w celu analizy i identyfikacji złośliwego oprogramowania.
• Jeśli system docelowy spełnia wstępnie zdefiniowane wymagania, szkodnik używa Twittera (bez wiedzy użytkownika) i zaczyna poszukiwać tweetów z konkretnych kont. Te konta zostały stworzone przez operatorów centrum kontroli (C2) MiniDuke’a, a same tweety dostarczają specyficznych etykiet wskazujących zaszyfrowane adresy URL dla backdoora. Adresy URL zapewniają dostęp do serwerów kontroli, a także dostarczają poprzez pliki GIF do systemu ofiary potencjalne rozkazy i kolejne zaszyfrowane backdoory.
• W oparciu o przeprowadzoną analizę widać wyraźnie, że twórcy MiniDuke’a postarali się również o dynamiczny system awaryjny, który także jest w stanie pozostawać w ukryciu. Jeżeli Twitter nie działa lub konta zostaną wyłączone, szkodnik potrafi użyć usługi Google Search, aby znaleźć zaszyfrowane ciągi do następnego serwera kontroli. Model ten jest niezwykle elastyczny i umożliwia operatorom stale zmieniać sposób, w jaki backdoory pobierają dalsze rozkazy lub fragmenty złośliwego kodu.
• Kiedy zainfekowany system zlokalizuje serwer kontroli, otrzymuje zaszyfrowane backdoory, które są zamaskowane wewnątrz plików GIF – pojawiają się one jako zdjęcia na komputerze ofiary. Gdy pliki zostaną pobrane na urządzenie ofiary, same mogą pobrać większego backdoora, który jest w stanie wykonać kilka podstawowych czynności, takich jak: kopiowanie/przeniesienie pliku, usunięcie pliku, stworzenie katalogu, zakończenie procesu i, oczywiście, pobranie i uruchomienie nowego złośliwego oprogramowania.
• Aby otrzymywać instrukcje od napastników, backdoor łączy się z dwoma serwerami centrum kontroli – w Panamie i w Turcji.

Analiza nowego zagrożenia przeprowadzona przez CrySys Lab jest dostępna na stronie blog.crysys.hu.
Rozwiązania firmy Kaspersky Lab wykrywają i neutralizują zagrożenie MiniDuke, które jest klasyfikowane jako HEUR:Backdoor.Win32.MiniDuke.gen oraz Backdoor.Win32.Miniduke. Produkty Kaspersky Lab wykrywają również eksploity osadzone w dokumentach PDF i klasyfikują je jako Exploit.JS.Pdfka.giy.