dodany: 04.03.2013 | tagi: , ,

Autor:

Tajemnica MiniDuke’a

1

W serwisie VirusList przedstawiono ciekawą analizę najnowszego zagrożenia, jakim jest MiniDuke. Przypomnimy, że dnia 12 lutego 2013 r. firma FireEye ogłosiła odkrycie (exploita 0-day dla aplikacji Adobe Reader, który jest stosowany do wdrażania wcześniej nieznanego, zaawansowanego szkodliwego oprogramowania. Tego nowego szkodnika  nazwano „ItaDuke”, ponieważ przypominał on Duqu oraz z powodu dawnych włoskich sentencji, zaczerpniętych z „Boskiej komedii” Dante Aligheriego i zamieszczonych w kodzie powłoki.

Od czasu pierwotnego zgłoszenia szkodliwego oprogramowania pracownicy Kaspersky Lab zauważyli parę nowych incydentów z użyciem tego samego exploita (CVE-2013-0640), z których kilka było tak niezwykłych, że zdecydowaliśmy się przeanalizować je szczegółowo.

Wraz z partnerem firmy – laboratorium CrySyS Lab – Viruslist przeprowadził szczegółową analizę tych zdarzeń, które mogą wskazywać na nowego, nieznanego wcześniej aktora w „teatrze zagrożeń”. Raport z analizy przeprowadzonej przez laboratorium CrySyS Lab znajduje się pod tym adresem. Raport z analizy Kaspersky Lab znajduje się poniżej.

Przede wszystkim, podczas gdy fałszywe raporty PDF „Mandiant” (zobacz tutaj) są po prostu zmodyfikowanymi mutacjami oryginalnego exploita, te nowsze ataki wydają się być prowadzone za pomocą zestawu narzędzi 0-day, który został użyty do stworzenia oryginalnego dokumentu „Visaform Tukey.pdf”, odkrytego przez firmę FireEye. Nowe ataki PDF używają fałszywych dokumentów, które są wyświetlane ofierze, kiedy exploit zostanie pomyślnie uruchomiony. Dokumenty dotyczą seminarium odnośnie praw człowieka (ASEM), ukraińskiej polityki zagranicznej i planów rozszerzenia członkostwa w NATO.

Sumy MD5 dokumentów używanych w ataku to:

Kod JavaScript exploita został zmodyfikowany od czasu pierwotnego ataku. Dla przykładu, funkcja wcześniej nazywana „oTHERWISE” zmieniła nazwę na „q1w2e3r4t”. Funkcja występuje później w kodzie jako:

Nowy exploit:

Starszy exploit („Visaform Turkey.pdf”):

Ponadto, kod JavaScript występuje teraz w formacie skompresowanym, natomiast w oryginalnej próbce miał on postać czystego tekstu. Powodem tych zmian było prawdopodobnie dążenie przez twórców do unikania wykrycia ich „dzieła” przez produkty antywirusowe, chociaż nie przeszkodziło to naszym produktom heurystycznie wykryć opisywane zagrożenie jako: „HEUR:Exploit.Script.Generic”.

Kod powłoki zawarty w dokumencie PDF jest podobny do tego, używanego w dokumentach przenoszących ładunek „ItaDuke”, lecz z drobnymi różnicami. Dla przykładu, po wykorzystaniu luki, shellcode poszukuje konkretnego podpisu w pliku PDF. Podczas, gdy shellcode „ItaDuke” szukał ciągu „!H2bYm.Sw@”, wersja „MiniDuke” poszukuje sygnatury „@34fZ7E[p\”.

 


Sygnatura w pliku PDF ItaDuke’a.


Sygnatura w pliku PDF MiniDuke’a.

Kiedy sygnatura ładunku zostanie odnaleziona, jest odszyfrowywana za pomocą algorytmu XOR, a następnie dekompresowana z wykorzystaniem API „RtlDecompressBuffer” (LZNT1). Wynikowy plik PE jest zapisywany do pliku tymczasowego i ładowany z użyciem API „LoadLibary”.

Utworzona biblioteka dynamiczna realizuje drugi etap instalacji. Zawiera ona dwa binarne zasoby, 101 i 102. Zasób 101 jest głównym komponentem DLL backdoora. Zapisywany jest w katalogu %AppData% i ładowany z wykorzystaniem API „LoadLibary”. Zasób 102 jest dokumentem PDF – pułapką. Jest zapisywany w katalogu pamięci podręcznej Internet Explorera, a następnie otwierany za pomocą prostego pliku BAT:

 

Nazwy plików, które są wdrażane, są na sztywno zdefiniowane w zasobach.

Początek zasobu 101 z jego nazwą.


Początek zasobu 102 z jego nazwą. Co ciekawe, dropper złośliwego oprogramowania zawiera następujące ścieżki dostępu:

 

  • „c:\src\dlldropper\Release\L2P.pdb”;
  • „c:\src\hellodll\Release\hellodll.pdb”.

Ścieżki te nie istnieją w dropperze oryginalnego pliku PDF („Visaform Turkey.pdf”).

Jeśli zaufać nagłówkom PE, dropper został skompilowany dnia 20 lutego 2013 r:

 


Czas kompilacji „węgierskiego” droppera – „Wed Feb 20 10:51:16 2013”, czyli środa, 20 lutego 2013 r., godz. 10:51:16.

Backdoor użyty w przypadku „węgierskim” został skompilowany 20 lutego 2013 r. o godzinie 10:57:52, czyli kilka minut po tym, jak dropper został stworzony.

Być może najbardziej niezwykłą rzeczą w tych trzech nowych atakach jest złośliwe oprogramowanie, jakie wdrażają. We wszystkich analizowanych przypadkach, malware ma formę pliku DLL o rozmiarze 22528 bajtów. Części szkodliwego pliku DLL są zaszyfrowane wraz z informacjami dotyczącymi konfiguracji systemu ofiary, co zapewnia, że szkodnik będzie poprawnie działał tylko na atakowanym systemie. Jeżeli zostanie skopiowany na inny komputer, nie będzie w stanie funkcjonować poprawnie.

Backdoor został napisany w „oldskulowym” języku asemblera i jak na dzisiejsze standardy jest wyjątkowo niewielki – jego rozmiar to tylko 20 KB. Jest to najbardziej niezwykłe zjawisko dla nowoczesnych, szkodliwych programów, które mogą mieć rozmiar rzędu kilku megabajtów. Na początku kodu znajduje się niewielki moduł deszyfrujący, który odszyfrowuje ciało szkodnika. Wszystkie trzy przypadki używają różnych kluczy szyfrowania. Inną osobliwością jest to, że backdoor nie ma funkcji importu: wszystkie funkcje są skanowane z pamięci i są wywoływane dynamicznie. Interesujące jest to, że dwa pierwsze API Win32, rozwiązywane i wywoływane przez procedurę rozpakowującą, to „ntdll.LdrLoadDll” i „kernel32.VirtualProtectEx”. Te dwie funkcje nie są wywoływane zgodnie z konwencją „_stdcall”. Zamiast tego, zaraz po ręcznym zbudowaniu stosu wykonywana jest instrukcja „jmp ebx”. Jasne jest, że ktoś przy tworzeniu tego złośliwego oprogramowania miał na myśli potrzebę stworzenia technik zakłócających emulację i skanowanie.

 

Chcących zgłębić wiedzę dotyczącą MiniDuke’a zapraszamy do zapoznania się z całym raportem na viruslist.pl

avatar
WebSecurity.pl to największy w Polsce portal o bezpieczeństwie sieciowym.
WebSecurity.pl to codziennie aktualizowane źródło najnowszych informacji i interesujących artykułów z zakresu bezpieczeństwa IT. Na WebSecurity.pl dzielimy się z Wami wiedzą (know-how) i umiejętnościami (how-to), publikując pomocne wskazówki, porady, kursy i tutoriale. Na portalu znajdziecie także prezentacje sprzętu oraz recenzje oprogramowania. WebSecurity.pl to również baza najciekawszych i najważniejszych wydarzeń branżowych w Polsce i na świecie.

Jedna odpowiedź do “Tajemnica MiniDuke’a”

  1. avatar po_co_te_imię napisał(a):

    Dziękuję za tego newsa! Dzięki niemu przypomniałem sobie o istnieniu naszego / naszej ;) wspaniałej, najmądrzejszej ekspertki Pani Joanny Rutkowskiej :) Powinniście z nią zrobić wywiad bo to jest dopiero specyficzna osoba ;P

    No i wbijecie się również idealnie w temat debaty politycznej! ;)

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *