Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Nowe ataki z użyciem exploitów PDF wymierzone w aktywistów ujgurskich i tybetańskich

Dodany 24 kwietnia 2013, 15:03 CEST
Tagi:

Dnia 12 lutego 2013 r. firma FireEye ogłosiła wykrycie exploita 0-day dla aplikacji Adobe Reader, który był wykorzystywany do wdrażania nieznanego dotychczas, zaawansowanego szkodliwego oprogramowania. Nadaliśmy temu nowemu oprogramowaniu nazwę „ItaDuke”, ponieważ przypominało nam ono Duqu, oraz z powodu dawnych włoskich sentencji, zaczerpniętych z „Boskiej komedii” Dante Aligheriego i zamieszczonych w kodzie powłoki.

Wcześniej pisaliśmy o innej kampanii, uderzającej w rządy i różne instytucje, zwanej „MiniDuke”, która również wykorzystywała exploity PDF z wersetami z „Boskiej komedii”. W międzyczasie wpadliśmy na trop innych ataków, które używały tego samego kodu exploitów wysokiego poziomu, z tą różnicą, że tym razem celem byli aktywiści ujgurscy.

Wraz z naszym partnerem, laboratorium AlienVault, podjęliśmy się analizy tych nowych exploitów. Artykuł specjalistów z AlienVault, zawierający zasady YARA i standardy IOC (ang. Inversion Of Control – odwrócenie kontroli), znaleźć można tutaj. Wyniki naszej analizy znajdują się poniżej.

Nowe ataki

Parę dni temu zaobserwowaliśmy kilka plików PDF, które przenosiły exploita CVE-2013-0640/641 („ItaDuke”). Poniżej znajduje się kilka sum MD5 i skojarzonych nazw plików:

7005e9ee9f673edad5130b3341bf5e5f        2013-Yilliq Noruz Bayram Merik isige Teklip.pdf
d00e4ac94f1e4ff67e0e0dfcf900c1a8        ???.pdf (joint_letter.pdf)
ad668992e15806812dd9a1514cfc065b        arp.pdf

Produkty Kaspersky Lab wykrywają te exploity pod wspólną nazwą „Exploit.JS.Pdfka.gjc”.

Jeżeli dostarczenie exploita zostanie zakończone powodzeniem, pliki PDF pokazują ofierze „czysty” dokument – wabik:




Pierwszy z dokumentów („2013-Yilliq Noruz Bayram Merik isige Teklip.pdf”) jest zaproszeniem na przyjęcie noworoczne. Drugi dokument, „arp.pdf”, jest upoważnieniem grupy działaczy tybetańskich do złożenia wniosku o zwrot kosztów.

Kod JavaScript exploita posiada duży blok poprzedzającego komentarza, który został zawarty prawdopodobnie w celu oszukania konkretnych programów antywirusowych.

Blok komentarza i sam exploit są identyczne we wszystkich analizowanych plikach PDF. Co ciekawe, usunięta została funkcja maskująca w postaci ciągu „sHOGG” znana z ItaDuke'a. Ponadto, usunięto również niektóre zaciemnienia ze zmiennej uruchamiania:

Wszystkie dokumenty wdrażają to samo złośliwe oprogramowanie, wykrywane przez produkty Kaspersky Lab jako „Trojan.Win32.Agent.hwoo” i „Trojan.Win32.Agent.hwop”, co jest bardzo interesujące: jest to jeden z tych rzadkich przypadków, gdy ten sam aktor (aktorzy) z „teatru zagrożeń” uderza dokładnie tym samym czasie zarówno w aktywistów tybetańskich, jak i ujgurskich. Możliwe jest, że akcja jest wykonywana w odniesieniu do konferencji na temat praw człowieka, która miała miejsce w Genewie pomiędzy 11 a 13 marca 2013 r.

Backdoor

Dropper (PDF) szkodliwego oprogramowania tworzy plik o nazwie „C:\Documents and Settings\Administrator\Local Settings\Temp\AcroRd32.exe” i uruchamia go. Plik „AcroRd32.exe” posiada znacznik czasowy kompilacji PE: „Wed Jul 11 05:39:45 2012” ( środa, 11 lipca 2012 r., godz. 05:39:45).

”AcroRd32.exe” zawiera zaszyfrowany blok z finalnym ładunkiem: 8-kilobajtowym backdoorem, który jest wdrażany jako biblioteka „clbcatq.dll” i uruchamiany za pośrednictwem usługi Windows Update. Dla wprawnego oka blok jest łatwo rozpoznawalny w ciele backdoora:

Sam blok jest zaszyfrowany z wykorzystaniem prostego algorytmu XOR + ADD. Oto algorytm odszyfrowujący ładunek końcowy:

char key[]="0l23kj@nboxu";
a=key[i&7] + 6;
buf[i]=(buf[i]^a) + a;

Finalna wersja backdoora („clbcatq.dll”) posiada rozmiar 9 728 bajtów. Została skompilowana w czasie „Wed Jul 11 05:39:39 2012” (środa, 11 lipca 2012 r., godz. 05:39:39). Backdoor łączy się z serwerem swojego centrum kontroli i żąda dalszych danych za pomocą żądań HTTP GET. Odpowiedź z serwera spodziewana jest jako zaszyfrowana biblioteka DLL, która jest ładowana, a następnie wywoływana przez eksporty „InfectFile” i „GetWorkType”.

Dla wszystkich serwerów złośliwe oprogramowanie przygotowuje żądanie „/news/show.asp”, wykorzystując niestandardowy ciąg agenta „Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)”.

W tej chwili wszystkie domeny wskazują na adres IP: 60.211.253.28. Serwer zlokalizowany jest w Chinach, w prowincji Shandong:

Domeny „micrsofts.com” i „hotmal1.com” wyglądają na zarejestrowane dla tej samej osoby, chociaż w danych rejestracyjnych pojawiają się bardzo małe różnice:

Kontakt z osobą rejestrującą:
        GW SY
        li wen li wen (lcb_jn@sina.com)
        zq dj 
        jiningshi, shandongsheng, cn 272000
        P: +86.05372178000 F: +86.05372178000

Kontakt z osobą rejestrującą:
        GW SY
        li wen li wen (lcb_jn@sina.com)
        zq dj 
        shixiaqu, beijingshi, cn 272000
        P: +86.02227238836601 F: +86.02227238836601

Etap 2

Serwer centrum kontroli odpowiada 300-kilobajtowym backdoorem, który jest przesyłany w postaci zaszyfrowanej. Oto jak wygląda backdoor wysłany przez serwer:

Metodą szyfrowania jest algorytm SUB 0x11, poprzedzający algorytm XOR 0x11. Po odszyfrowaniu ujawniony zostaje dropper szkodliwego oprogramowania, który został skompilowany w czasie „Wed Jul 11 06:52:48 2012” (środa, 11 lipca 2012 r., godz. 06:52:48). Ten dropper z „etapu 2” jest heurystycznie wykrywany przez produkty Kaspersky Lab jako „HEUR:Trojan.Win32.Generic”.

W drugim etapie dropper instaluje dwa pliki w lokalizacji „system32\wbem”:

4BA5E980.PBK – 204 932 bajtów (zmienna suma MD5);
MSTD32.DLL – 31 880 bajtów (MD5: 92f15c2b82e81e8ae47e361b3ecb5add)

Biblioteka MSTD32.DLL jest podpisana przez „YNK JAPAN Inc”, z certyfikatem, który został odwołany przez emitenta:

Ta technika przywodzi nam na myśl metodę stosowaną w celu uruchomienia przez złośliwe oprogramowanie tworzone na platformie „Tilded” (Duqu, Stuxnet): niewielki, podpisany loader, który odczytuje i uruchamia kod z głównego korpusu szkodnika, rezydującego w postaci zaszyfrowanej).

Nasi koledzy z firmy Norman pisali już wcześniej na temat tego skompromitowanego certyfikatu w nawiązaniu do zagrożenia Hupigon i innego złośliwego oprogramowania.

Ostateczna postać szkodliwego oprogramowania jest rozpoznawana przez produkty Kaspersky Lab jako „Trojan.Win32.Swisyn” i posiada dość rozległą funkcjonalność w sferze kradzieży danych.

Wnioski

Jakiś czas temu opublikowaliśmy informacje na temat narastających ataków na aktywistów ujgurskich. Napastnicy odpowiedzialni za te ataki wciąż pozostają bardzo aktywni i ciągle używają nowych metod i exploitów podczas ataków na wybrane cele. Zaobserwowaliśmy wykorzystanie luk CVE-2013-0158 oraz CVE-2010-3333, a także exploitów wykorzystujących podatność CVE-2009-0563 w systemach OS X firmy Apple.

Exploit PDF, pierwotnie wykryty przez firmę FireEye, jest pierwszym znanym exploitem zdolnym do ominięcia technologii sandboxingu zastosowanej w aplikacji Adobe Reader X. Ze względu na tę zaawansowaną zdolność, exploit ten jest niezwykle cenny dla każdego agresora. Mimo że początkowo został prawdopodobnie opracowany na zlecenie rządu jakiegoś państwa, widzimy teraz, że jest kopiowany i ponownie wykorzystywany przez innych aktorów w „teatrze zagrożeń”. Staje się to w dzisiejszych czasach coraz powszechniejszą praktyką i w przyszłości możemy spodziewać się więcej takich przypadków „zapożyczeń” lub kradzieży exploitów.