Wprowadzenie

W październiku 2014 r. Kaspersky Lab zaczął badać "Blue Termite", zaawansowane długotrwałe zagrożenie ukierunkowane (APT) atakujące cele w Japonii. Najstarsza próbka, jaką dotąd widzieliśmy, pochodzi z listopada 2013 r.

Nie jest to pierwszy raz, gdy Japonia staÅ‚a siÄ™ celem ataku APT. Jednak atak ten różni siÄ™ od poprzednich z dwóch wzglÄ™dów: w przeciwieÅ„stwie do innych kampanii APT głównym celem Blue Termite sÄ… organizacje japoÅ„skie; wiÄ™kszość ich serwerów kontroli znajduje siÄ™ w Japonii. Głównym celem ataków sÄ… agencje rzÄ…dowe, rzÄ…dy lokalne, grupy interesu publicznego, uniwersytety, banki, organizacje finansowe, przemysÅ‚ energetyczny, komunikacyjny, ciężki, chemiczny, motoryzacyjny, elektryczny, branża mediów, sektor usÅ‚ug informacyjnych, sÅ‚użba zdrowia, nieruchomoÅ›ci, spożywczy, półprzewodników, robotyki, budowlany, ubezpieczeniowy, transportowy itd. Niestety, kampania ta wciąż jest aktywna, a liczba ofiar zwiÄ™ksza siÄ™.     

Poniższy wykres pokazuje dzienny dostęp do niektórych znanych serwerów C2:

Znaczny wzrost można zauważyć w poÅ‚owie lipca (zaznaczony na pomaraÅ„czowo). Natężenie to spowodowane byÅ‚o wykorzystywaniem przez ugrupowanie Blue Termite nowych metod ataku, które Kaspersky Lab wykrywa. Niniejszy artykuÅ‚ przedstawia nowe metody i szczegóły techniczne dotyczÄ…ce ich dziaÅ‚ania.  

Nowa metoda pierwotnej infekcji

Pierwotnie, głównym wektorem infekcji w atakach APT byÅ‚y wiadomoÅ›ci e-mail typu spear-phishing. Kaspersky Lab wykryÅ‚ nowÄ… metodÄ™ pierwszej infekcji, w której wykorzystywany jest atak drive-by-download przy użyciu exploita Flasha (CVE-2015-5119, który wyciekÅ‚ w wyniku incydentu dotyczÄ…cego ugrupowania Hacking Team). 

Kilka japońskich stron internetowych zostało zmodyfikowanych przy użyciu tej metody.

Przykład:

Szkodliwy kod umieszczony w zmodyfikowanej stronie wskazuje na "faq.html".

Kod źródłowy "faq.html":

"faq.html" Å‚aduje "movie.swf", który zawiera exploita. W ten sposób szkodliwe oprogramowanie infekuje maszynÄ™ osoby odwiedzajÄ…cej w momencie dostÄ™pu.   

Nagłówek "movie.swf" to "ZWS", plik Flash skompresowany przy użyciu Lempel-Ziv-Markov chain-Algorithm (LZMA):  

Plik ten zawiera sekcjÄ™ Big Data zaznaczonÄ… na niebiesko:

Dane te zawierajÄ… 12 bajtów nagłówka. Zakodowane dane rozpoczynajÄ… siÄ™ w 0x5dca ("\x78\x9c\xec\xb7".") i sÄ… skompresowane przy użyciu zlib. Po dekompresji znajdujemy plik wykonywalny (z "MZ header").  

Oprócz powyższych danych plik swf posiada również kod powÅ‚oki w ActionScript (AS):  

Funkcja tego kodu powÅ‚oki jest dość prosta: zapisuje wypakowany plik wykonywalny jako "rdws.exe" w bieżącym folderze tymczasowym, a nastÄ™pnie wykonuje go przy użyciu WinExec().   

Wypakowany plik wykonywalny to "emdivi t17", nowy wektor infekcji stosowany przez osoby atakujące. Zidentyfikowaliśmy kilka rodzajów szkodliwego oprogramowania, które jest wykonywane jako rdws.exe i emdivi t17 do nich należy.

Kaspersky Lab zidentyfikowaÅ‚ również kilka ataków "przy wodopoju" (ang. watering hole), w tym jeden na stronÄ™ internetowÄ… należącÄ… do znanego czÅ‚onka rzÄ…du japoÅ„skiego. WysÅ‚aliÅ›my powiadomienie do jej administratora oraz dostawcy usÅ‚ug internetowych za poÅ›rednictwem poczty elektronicznej, ale nie otrzymaliÅ›my żadnej odpowiedzi. Jednak po okoÅ‚o godzinie szkodliwy kod zostaÅ‚ usuniÄ™ty. Poniższy kod odfiltrowuje wszystkie adresy IP z wyjÄ…tkiem jednego należącego do okreÅ›lonej japoÅ„skiej organizacji rzÄ…dowej.   

Co ciekawe, skrypt ten zawiera informacje dotyczÄ…ce IP z nazwÄ… zmiennej "TEST". Przypuszczamy, że jest to IP testowe osób atakujÄ…cych, zlokalizowane w Szanghaju.  

Szkodliwe oprogramowanie dostosowane do celu

Kaspersky Lab wykryÅ‚ szkodliwe oprogramowanie o nazwie "emdivi t20" dostosowane do konkretnego celu. Szkodnik ten jest zasadniczo wykorzystywany po infekcji przy użyciu emdivi t17, który peÅ‚ni funkcjÄ™ backdoora. Chociaż wersje emdivi t17 i emdivi t20 pochodzÄ… z tej samej rodziny emdivi, druga z nich odznacza siÄ™ wiÄ™kszym wyrafinowaniem. Przyjrzyjmy siÄ™ wykorzystywanym poleceniom backdoora. emdivi t17 posiada 9 poleceÅ„, podczas gdy niektóre próbki emdivi t20 posiadajÄ… nawet 40.        

Polecenia obsługiwane przez emdivi t17:

Polecenia obsługiwane przez emdivi t20:

Obie wersje przechowują sumy kontrolne md5 poleceń backdoora.

Podczas analizy próbek emdivi t20 odkryliśmy, że szkodnik ten jest wysoce ukierunkowany z dwóch względów.

Po pierwsze, próbka emdivi t20 zawiera zakodowane na sztywno informacje dotyczÄ…ce wewnÄ™trznego proxy, zakodowane w 0x44e79c:  

Odszyfrowany kod to ?proxy.??????????.co.jp:8080?:

Sztuczka ta nie jest niczym nowym, jednak nie jest powszechnie stosowana. Wynika to z tego, że może ujawnić swoje cele, a także nie jest metodÄ… generycznÄ… i sprawdza siÄ™ tylko w okreÅ›lonej organizacji. Jednak podobne przypadki obserwowane byÅ‚y niekiedy w innych atakach APT.  

Dość interesujÄ…cy jest drugi aspekt. Rodzina emdivi przechowuje istotne dane o sobie, w tym nazwÄ™ C2, API, ciÄ…gi utrudniajÄ…ce analizÄ™ (strings for anti-analysis), wartość muteksów, jak również sumÄ™ kontrolnÄ… md5 poleceÅ„ bakdoora oraz informacje dotyczÄ…ce wewnÄ™trznego proxy. SÄ… one przechowywane w formie zaszyfrowanej i w razie koniecznoÅ›ci zostajÄ… odszyfrowane. Dlatego, aby przeprowadzić szczegółowÄ… analizÄ™ próbki emdivi, musimy ustalić, które kody szesnastkowe sÄ… zaszyfrowane i jak je odszyfrować. W procesie deszyfrowania dla każdej próbki wymagany jest unikatowy klucz deszyfrowania.       

emdivi t20 posiada funkcję generowania klucza deszyfrowania przy użyciu Salt1 i Salt2. Salt1 jest generowany z magicznego ciągu (który prawdopodobnie stanowi wersję emdivi) przy użyciu określonych czterech cyfr (prawdopodobnie ID serwera C2).

Przykład magicznego ciągu:

Część nazwy emdivi ("t17" oraz "t20") pochodzi z tego zakodowanego na sztywno magicznego ciągu.

Salt2 jest generowany z dużą ilością danych, które są zakodowane na sztywno:

W wiÄ™kszoÅ›ci przypadków, rodzina emdivi generuje klucz szyfrowania przy użyciu Salt1 i Salt2. 

Jednak na poczÄ…tku lipca 2015 r. Kaspersky Lab zidentyfikowaÅ‚ próbkÄ™, która tworzy klucz deszyfrowania przy użyciu Salt1, Salt2, oraz Salt3. Salt3 to identyfikator bezpieczeÅ„stwa (SID) z zainfekowanego komputera PC. 

CiÄ…g generowania klucza deszyfrowania (z dodatkowym Salt3):

Innymi słowy, próbka ta działa tylko na określonym komputerze PC. Nie znając identyfikatora SID ofiary, nie można poprawnie wygenerować klucza deszyfrowania, co utrudnia odszyfrowanie istotnych danych. To oznacza, że nie można przeprowadzić szczegółowej analizy szkodliwego oprogramowania.

Na szczęście, zdołaliśmy przeanalizować te próbki. Udało nam się złamać klucze deszyfracji przy użyciu metody brute-force z kilku próbek bez identyfikatorów SID.

Podsumowanie

Od poczÄ…tku czerwca, kiedy zaczÄ™to szeroko nagÅ‚aÅ›niać cyberatak na JapoÅ„ski fundusz emerytalny, różne organizacje japoÅ„skie zaczęły stosować Å›rodki ochrony. Jednak osoby atakujÄ…ce stojÄ…ce za kampaniÄ… Blue Termite, które prawdopodobnie miaÅ‚y je na oku, zaczęły stosować nowe metody ataków i rozszerzyÅ‚y zasiÄ™g swojej dziaÅ‚alnoÅ›ci. W momencie tworzenia tego artykuÅ‚u wykryto kolejnÄ… próbkÄ™ emdivi t20. Wykorzystuje ona AES, utrudniajÄ…c odszyfrowanie poufnych danych. Kaspersky Lab bÄ™dzie kontynuowaÅ‚ swoje badanie w celu przeciwdziaÅ‚ania tej kampanii cyberszpiegowskiej.     

Produkty firmy Kaspersky Lab wykrywają emdivi t17, emdivi t20 oraz exploity flasha przy pomocy poniższych werdyktów:

l  Backdoor.Win32.Emdivi.*

l  Backdoor.Win64.Agent.*

l  Exploit.SWF.Agent.*

l  HEUR:Backdoor.Win32.Generic

l  HEUR:Exploit.SWF.Agent.gen

l  HEUR:Trojan.Win32.Generic

l  Trojan-Downloader.Win32.Agent.*

l  Trojan-Dropper.Win32.Agent.*

ŹródÅ‚o: Kaspersky Lab