- Dołączył
- 27 Maj 2010
- Posty
- 1124
- Reakcje/Polubienia
- 114
Serwis Niebezpiecznik.pl poinformował wczoraj o “Nowej fali ataków na Facebooku”. Do laboratorium CERT Polska trafiła próbka wspomnianego tam malware’u. Mimo, że wektor ataku nie jest nowy, sama próbka jest dosyć ciekawa pod kilkoma względami. Obecnie zagrożenie jest wykrywane przez niektóre antywirusy, niestety jednak nie wszystkie. Dodatkowo malware ten jest zabezpieczony przed debugowaniem jak i badaniem zachowania na podstawie ruchu sieciowego. W celu ochrony kodu binarnego przed analizą, zostało zastosowane zaciemnianie i ochrona za pomocą specjalnego protectora. Ruch sieciowy jest szyfrowany (nawet kwerendy DNS!) oraz generowany w nadmiarze.
Jak się rozprzestrzenia?
Z analizy wykonanej przez CERT Polska wynika, iż malware może się rozprzestrzeniać na trzy sposoby. Pierwszy, pisząc krótką wiadomość do znajomych osoby zainfekowanej na czacie oraz umieszczając wpis na ścianie Facebooka o treści:
Zaloguj lub Zarejestruj się aby zobaczyć!
Drugi sposób to wysłanie wiadomości przez komunikator Skype o treści:
Zaloguj lub Zarejestruj się aby zobaczyć!
Trzeci sposób to wysłanie wiadomości przez komunikator MSN o treści zbliżonej do poprzednich dwóch wiadomości:
Zaloguj lub Zarejestruj się aby zobaczyć!
Po kliknięciu w link złośliwe oprogramowanie pobiera się na komputer użytkownika. Ikona programu jest podobna do ikony pliku JPG, co może powodować, że użytkownik uruchomi tę aplikację, myśląc, że jest to zdjęcie. Jak widać malware ten jest bardzo “społecznościowy”, gdyż korzysta zarówno z komunikatorów jak i z Facebooka.
Co dokładnie robi?
Po uruchomieniu oprogramowanie wysyła bardzo dużo zapytań DNS (ponad 70!) o różne adresy, zarówno znanych serwisów (jak np. tinyurl.com) jak i serwisów, które posłużą do późniejszej komunikacji z C&C. Dzięki takiemu działaniu bardzo trudno jest odnaleźć właściwy serwer C&C, z którym oprogramowanie chce się skomunikować. Następnie malware wysyła informacje o zainfekowanym systemie. Ponieważ system Windows zapamiętał odpowiedzi DNS, kolejne zapytanie nie jest wysyłane, więc nie wiadomo, który z serwerów jest ostatecznym punktem komunikacji malware’u. Lista domen, o które są wysyłane zapytania DNS, znajduje się poniżej.
Zaloguj lub Zarejestruj się aby zobaczyć!
Dodatkowo, złośliwe oprogramowanie nie korzysta bezpośrednio z odpowiedzi z serwera DNS. Otrzymany adres jest niejako “zaszyfrowany” i dopiero po zdekodowaniu jest używany do (zaszyfrowanej) komunikacji z C&C. Utrudnia to dodatkowo analizę ruchu sieciowego. Z serwera jest pobierana następnie (za pomocą protokołu HTTP) konfiguracja określająca dalsze postępowanie złośliwego oprogramowanie. Przykładowa konfiguracja, którą udało nam się otrzymać, po rozszyfrowaniu wygląda następująco:
Zaloguj lub Zarejestruj się aby zobaczyć!
Konfiguracja jest rozszyfrowywana (i szyfrowana) za pomocą funkcji przedstawionej poniżej.
Komputer ofiary jest wykorzystywany do rozpowszechniania linków korzystając z listy kontaktów na Facebooku, Skype i komunikatorze MSN za pomocą linków zdefiniowanych powyżej. Właściwość dl jest używana do pobierania dodatkowego oprogramowania, które zostanie zainstalowane na zainfekowanej maszynie. Strona domowa wszystkich przeglądarek jest ustawiona na wartość właściwości hp za pomocą funkcji znajdującej się poniżej.
Malware również dodaje się do listy aplikacji automatycznie uruchamianych przy starcie systemu.
Domeny przez które malware się rozprzestrzenia to:
Zaloguj lub Zarejestruj się aby zobaczyć!
Niestandardowe wykorzystanie DNS
Oprogramowanie wyróżnia się generowaniem wzmożonego ruchu DNS. Dodatkowo, aby otrzymać adres IP serwera, z którego zostanie pobrana konfiguracja, rozkodowuje odpowiedź DNS używając do tego funkcji przedstawionej poniżej:
Dla przykładu, gdyby DNS zwrócił adres 25.200.255.62 zostałby on zdekodowany jako 127.0.0.1.
Rozpoznanie w ruchu sieciowym
Malware ten dosyć łatwo rozpoznać w ruchu sieciowym. Używa on specyficznej wartości nagłówka HTTP User-Agent: cvc_v105. Dodatkowo, odpowiedź z serwera, zawierająca konfigurację, zaczyna się zawsze od znaków ZG% !GX.
Źródło:
Zaloguj
lub
Zarejestruj się
aby zobaczyć!
English version:
Zaloguj
lub
Zarejestruj się
aby zobaczyć!
