Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Moduł przetrwania Duqu 2.0

Dodany 16 czerwca 2015, 13:35 CEST

Wcześniej wspominaliśmy, że Duqu 2.0 nie posiada normalnego mechanizmu „przetrwania”. Na tej podstawie można sądzić, że pozbycie się tego szkodliwego oprogramowania sprowadza się do ponownego uruchomienia wszystkich zainfekowanych maszyn. W rzeczywistości sprawa jest trochę bardziej skomplikowana.

Osoby atakujące stworzyły nietypowy moduł przetrwania, który umieszczają w zhakowanych sieciach. Pełni on podwójną funkcję, ponieważ dodatkowo obsługuje ukryty mechanizm komunikacji z centrum kontroli (C&C). To przetrwanie na poziomie organizacji umożliwia sterownik, który jest instalowany jako normalna usługa systemowa. W systemach 64-bitowych oznacza to ścisły wymóg sygnatury cyfrowej Authenticode. Zaobserwowaliśmy dwa takie sterowniki przetrwania zaimplementowane podczas ataków.  

Podczas swojego działania osoby stojące za kampanią Duqu instalują takie szkodliwe sterowniki na zaporach sieciowych, bramach internetowych lub innych serwerach, które posiadają bezpośredni dostęp do internetu z jednej strony i dostęp do sieci korporacyjnej z drugiej strony. Pozwala to atakującym osiągnąć kilka celów jednocześnie: uzyskać dostęp do wewnętrznej infrastruktury z internetu, obejść rejestrację logów na firmowych serwerach proxy i osiągnąć pewną formę przetrwania.  

Zasadniczo sterowniki te przekierowują strumienie sieciowe do i z bramy internetowej. W celu przesłania połączeń osoba atakująca musi obejść najpierw oparty na sieci mechanizm “pukania”, wykorzystując tajne hasło. W zgromadzonych do tej pory próbkach zauważyliśmy dwa różne tajne hasła: “romanian.antihacker” oraz “ugly.gorilla”.

Jeden z tych sterowników opisaliśmy w naszym dokumencie dotyczącym Duqu 2.0 (zobacz sekcję “The ”portserv.sys” driver analysis”). Powtórzmy niektóre najważniejsze informacje. Sterownik nasłuchuje sieć i czeka na specjalne tajne hasło (w tym przypadku “romanian.antihacker”). Następnie zapisuje IP hosta, który podał poprawne tajne hasło, i zaczyna przekierowywać wszystkie pakiety z portu 443 do portu 445 (SMB) lub 3389 (Remote Desktop) tego serwera. To pozwala osobom atakującym tunelować SMB (tj. zdalny dostęp do systemu plików) oraz Remote Desktop przez bramę internetową, tak aby wyglądało to na ruch HTTPS (port 443).     

Oprócz sterownika „romanian.antihacker” wykryliśmy jeszcze inny, który wykonywał podobne zadanie, ale obsługiwał więcej połączeń w bardziej generyczny sposób:

  1. Jeśli sterownik rozpozna tajne hasło „ugly.gorilla1”, wtedy cały ruch z adresu IP osoby atakującej zostanie przekierowany z portu 443 (HTTPS) do portu 445 (SMB)
  2. Jeśli sterownik rozpozna tajne hasło „ugly.gorilla2”, wtedy cały ruch z adresu IP osoby atakującej zostanie przekierowany z portu 443 (HTTPS) do portu 3389 (RDP)
  3. Jeśli sterownik rozpozna tajne hasło „ugly.gorilla3”, wtedy cały ruch z adresu IP osoby atakującej zostanie przekierowany z portu 443 (HTTPS) do portu 135 (RPC)  
  4. Jeśli sterownik rozpozna tajne hasło „ugly.gorilla4”, wtedy cały ruch z adresu IP osoby atakującej zostanie przekierowany z portu 443 (HTTPS) do portu 139 (NETBIOS)
  5. Jeśli sterownik rozpozna tajne hasło „ugly.gorilla5”, wtedy cały ruch z adresu IP osoby atakującej zostanie przekierowany z portu 1723 (PPTP) do portu 445 (SMB)   
  6. Jeśli sterownik rozpozna tajne hasło „ugly.gorilla6”, wtedy cały ruch z adresu IP osoby atakującej zostanie przekierowany z portu 443 (HTTPS) do portu 47012 (obecnie nieznany).

Chcielibyśmy zauważyć, że jeden z tych portów wygląda dość podejrzanie: 47012. Jak dotąd nie zauważyliśmy żadnych innych komponentów Duqu 2.0 wykorzystujących ten port, w tym żadnego innego popularnego szkodliwego oprogramowania, backdoora czy legalnego oprogramowania.

duqu2_1.jpg

Część szkodliwego oprogramowania z szeregiem tajnych haseł

Ten 64-bitowy sterownik zawierał nazwę wewnętrznej biblioteki DLL, „termport.sys”, natomiast nazwa pliku w systemie plików brzmiała „portserv.sys”. To najprawdopodobniej oznacza, że osoby atakujące zmieniają nazwy plików dla różnych operacji i wykrywanie tego ataku nie powinno opierać się wyłącznie na nazwach plików. Sygnatura czasowa kompilacji jest prawdopodobnie fałszywa: „Jul 23 18:14:28 2004”. Wszystkie wykryte pliki sterowników były umieszczone w „C:\Windows\System32\drivers\”. 

Być może najważniejszym elementem tej strategii ataku jest podpis cyfrowy wykorzystywany dla 64-bitowego sterownika. Ponieważ jest to warunek konieczny w systemach 64-bitowych Windows, sterownik posiadał ważny podpis cyfrowy. Został podpisany przez „HON HAI PRECISION INDUSTRY CO. LTD.” (znanego również jako „Foxconn Technology Group”, jednego z największych na świecie producentów elektroniki). 

duqu2_2_auto.jpg

Podpis cyfrowy sterownika osoby atakującej

Według informacji pochodzących ze sterownika, został on podpisany o godzinie 20:31 19 lutego 2015 r. Poniżej zamieszczamy więcej informacji dostarczonych przez narzędzie do sprawdzania sygnatur SysInternal:

Verified:              Signed
Signing date:   20:31 19.02.2015
Publisher:            HON HAI PRECISION INDUSTRY CO. LTD.
Description:        Port Optimizer for Terminal Server
Product:               Microsoft Windows Operating System
Prod version:   6.1.7601
File version:   6.1.7601 built by: WinDDK
MachineType:   64-bit
MD5:     92E724291056A5E30ECA038EE637A23F
SHA1:   478C076749BEF74EAF9BED4AF917AEE228620B23
PESHA1: F8457AFBD6967FFAE71A72AA44BC3C3A134103D8
PE256:  2891059613156734067A1EF52C01731A1BCFB9C50E817F3CA813C19114BFA556
SHA256:  BC4AE56434B45818F57724F4CD19354A13E5964FD097D1933A30E2E31C9BDFA5

Według Wikipedii, „Foxconn Technology Group” to największy na świecie producent kontraktowy elektroniki, którego siedziba znajduje się w Tucheng, New Taipei, Tajwan.

Wśród głównych klientów Foxconna znajdują lub znajdowały się niektóre z największych na świecie przedsiębiorstw: 

  • Acer Inc.
  • Amazon.com
  • Apple Inc.
  • BlackBerry Ltd.
  • Cisco
  • Dell
  • Google
  • Hewlett-Packard
  • Huawei
  • Microsoft
  • Motorola Mobility
  • Nintendo
  • Nokia
  • Sony
  • Toshiba
  • Xiaomi
  • Vizio

Foxconn wytwarza kilka popularnych produktów (https://en.wikipedia.org/wiki/Foxconn), w tym BlackBerry, iPad, iPhone, Kindle, PlayStation 4, Xbox One oraz Wii U.

Ten sam certyfikat został wykorzystany przez tego producenta do podpisania kilku sterowników WatchDog Timer Kernel (WDTKernel.sys) dla laptopów firmy Dell w lutym 2013 r.

Wnioski

Podczas wcześniejszego badania dotyczącego Stuxneta i Duqu zauważyliśmy podpisane cyfrowo szkodliwe oprogramowanie (przy użyciu szkodliwych certyfikatów Jmicron i Realtek). Kradzież certyfikatów cyfrowych oraz podpisywanie szkodliwego oprogramowania w imieniu legalnych firm wydaje się być popularną sztuczką stosowaną przez osoby atakujące stojące za kampanią Duqu. Nie mamy potwierdzenia, że któryś z tych producentów padł ofiarą ataku, ale wszystko wskazuje na to, że osoby atakujące odpowiedzialne za to zagrożenie interesują się głównie producentami sprzętu, takimi jak Foxconn, Realtek oraz Jmicron. Potwierdziły to ataki z przełomu 2014/2015 r., kiedy to zaobserwowaliśmy infekcje, których celem byli producenci sprzętu z rejonu Azji i Pacyfiku, w tym producenci sprzętu komputerowego ICS oraz SCADA.       

Inną ciekawostką jest to, że oprócz wspomnianych sterowników Duqu nie wykryliśmy żadnego innego szkodliwego oprogramowania podpisanego przy użyciu tych samych certyfikatów. To wyklucza możliwość wycieku certyfikatów oraz wykorzystania ich przez różne grupy. Wskazuje również na to, że osoby atakujące stojące za kampanią Duqu jako jedyne mają dostęp do tych certyfikatów, co świadczy o tym, że przeprowadziły atak na producentów sprzętu w celu zdobycia tych certyfikatów. 

Ciekawe jest również to, że cyberprzestępcy ci są na tyle ostrożni, aby nie wykorzystywać tego samego certyfikatu dwa razy. Obserwowaliśmy to w przypadku Duqu w kampanii z 2011 i 2015 r. Jeśli to prawda, oznacza to, że osoby atakujące mogą mieć wystarczająco dużo alternatywnych skradzionych certyfikatów cyfrowych od innych producentów, które mogą wykorzystać podczas kolejnych ataków. Byłoby to niezwykle niepokojące, ponieważ podważyłoby zaufanie do certyfikatów cyfrowych jako formy weryfikacji legalności aplikacji.

Zarówno Verisign jak i HON HAI zostali poinformowani o wykorzystywaniu ich certyfikatu do podpisywania szkodliwego oprogramowania Duqu 2.0.  

IOC

Próbka MD5 (portserv.sys): 92e724291056a5e30eca038ee637a23f

Numer seryjny certyfikatu Foxconn wykorzystanego przez osoby atakujące stojące za kampanią Duqu:

25 65 41 e2 04 61 90 33 f8 b0 9f 9e b7 c8 8e f8

Pełny certyfikat szkodliwego sterownika:

—–BEGIN CERTIFICATE—–
MIIFmTCCBIGgAwIBAgIQJWVB4gRhkDP4sJ+et8iO+DANBgkqhkiG9w0BAQUFADCB
tDELMAkGA1UEBhMCVVMxFzAVBgNVBAoTDlZlcmlTaWduLCBJbmMuMR8wHQYDVQQL
ExZWZXJpU2lnbiBUcnVzdCBOZXR3b3JrMTswOQYDVQQLEzJUZXJtcyBvZiB1c2Ug
YXQgaHR0cHM6Ly93d3cudmVyaXNpZ24uY29tL3JwYSAoYykxMDEuMCwGA1UEAxMl
VmVyaVNpZ24gQ2xhc3MgMyBDb2RlIFNpZ25pbmcgMjAxMCBDQTAeFw0xMjA4MjUw
MDAwMDBaFw0xNTA4MjUyMzU5NTlaMIHcMQswCQYDVQQGEwJUVzEPMA0GA1UECBMG
VEFJV0FOMREwDwYDVQQHEwhUVS1DSEVORzEsMCoGA1UEChQjSE9OIEhBSSBQUkVD
SVNJT04gSU5EVVNUUlkgQ08uIExURC4xPjA8BgNVBAsTNURpZ2l0YWwgSUQgQ2xh
c3MgMyAtIE1pY3Jvc29mdCBTb2Z0d2FyZSBWYWxpZGF0aW9uIHYyMQ0wCwYDVQQL
FARQQ0VHMSwwKgYDVQQDFCNIT04gSEFJIFBSRUNJU0lPTiBJTkRVU1RSWSBDTy4g
TFRELjCCASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEBALzM40T355R4ov9F
OcwiBpBwRk5047T5PxoabBPGyhqjqVyTJ3vxYWunUsGJpq2myS7uPmDkPXc+qExE
SRBIgruiGpazeqXsP7EfEr8BRU4iVvKmD//m5uZvqEAsz6FzJ/PMlfiZponm5PLa
hcIM9AtqdhqDek7taoAaPUbYjY2wgan8+jaNWo0BzmvimN74AC5N0aZgTFBvIRux
Ev2EO1x4Ypz3UqFwMTHHdexJqM19W20mmbpjGfoxkfl4yUuUg5O4tdgTbZVF9mui
rWpVCuGcB1iUpUxTCoidGfx1ROkzYgLV7XLt50Iir0btqM4tshG4GJUhAX+rEy+r
sr5gFnUCAwEAAaOCAXswggF3MAkGA1UdEwQCMAAwDgYDVR0PAQH/BAQDAgeAMEAG
A1UdHwQ5MDcwNaAzoDGGL2h0dHA6Ly9jc2MzLTIwMTAtY3JsLnZlcmlzaWduLmNv
bS9DU0MzLTIwMTAuY3JsMEQGA1UdIAQ9MDswOQYLYIZIAYb4RQEHFwMwKjAoBggr
BgEFBQcCARYcaHR0cHM6Ly93d3cudmVyaXNpZ24uY29tL3JwYTATBgNVHSUEDDAK
BggrBgEFBQcDAzBxBggrBgEFBQcBAQRlMGMwJAYIKwYBBQUHMAGGGGh0dHA6Ly9v
Y3NwLnZlcmlzaWduLmNvbTA7BggrBgEFBQcwAoYvaHR0cDovL2NzYzMtMjAxMC1h
aWEudmVyaXNpZ24uY29tL0NTQzMtMjAxMC5jZXIwHwYDVR0jBBgwFoAUz5mp6nsm
9EvJjo/X8AUm7+PSp50wEQYJYIZIAYb4QgEBBAQDAgQQMBYGCisGAQQBgjcCARsE
CDAGAQEAAQH/MA0GCSqGSIb3DQEBBQUAA4IBAQA9niTkOi3raLWjtQBJK3br8RDS
X+6NtHj/OhSuFzVsJcmhvaf4DIhJ00ghScXcZZycod/7kYN9NBIrTMqlB5GsOuWI
/TPk9HoIvEoVEoliuEBwDiHbIidaLKcS3sPqgV0WNx46JYmCI/++KMCZ7zfDSlZb
213OpauHuQj7tUIKGlEKq7qIvGaR+EUcxpgVR/AxuxTtjUWaSItCM2vMGKUMDNXH
rN+2IYeHsnMqe68RoIRLlq3BPQkA+JcpjjV2Td5Q4Y2xj7E558EQ4utYduwCv+kq
OQgeV4KumDaoN9Y7+e79jWzoIkKM4IxQ8u1jfxGuG35l9k7seksYOwdM1dN5
—–END CERTIFICATE—–