Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Sony/Destover: destrukcyjna i wcześniejsza aktywność sieciowa tajemniczego zagrożenia z Korei Północnej

Kurt Baumgartner
Kaspersky Lab Expert
Dodany 7 stycznia 2015, 09:26 CET

Na początku grudnia 2014 r. FBI wydało ostrzeżenie o destrukcyjnej aktywności typu wiper wykorzystanej w ataku na Sony Pictures Entertainment. Próbki szkodliwego oprogramowania o nazwie Destover zawierały pliki konfiguracyjne stworzone w systemach wykorzystujących koreańskie pakiety językowe.

Od czasu tego ataku na jaw wychodzą dalsze informacje dotyczące wspomnianego szkodliwego oprogramowania, wciąż jednak trzeba zbadać pewne szczegóły, np. te odnoszące się do wcześniejszej aktywności głównych podejrzanych.

Mystery_1_auto.jpg

Pierwszą rzeczą, jaką należy zauważyć, jest fakt, że destrukcyjna aktywność, której celem są sieci dużych organizacji, wyraźnie staje się coraz bardziej rozpowszechniona. Wcześniejsze najbardziej znane szkodliwe oprogramowanie o funkcjonalności wipera zostało omówione w tym miejscu. Większość związanych z nim wydarzeń miała miejsce na Bliskim Wschodzie i Półwyspie Koreańskim. Zauważyliśmy również osobny wschodnio-europejski incydent typu wiper związany ze środowiskiem BE2 ICS, o którym szerzej pisaliśmy tutaj. Trudno również zignorować całkowite usunięcie danych klientów firmy Code Spaces w Wielkiej Brytanii przez cyberprzestępców, którzy żądali za nie okupu, o czym pisaliśmy w tym miejscu.    

Szkodliwe oprogramowanie wykorzystane w ataku na Sony Entertainment nosi nazwę Trojan Destover i potrafi wyczyścić dyski i główny rekord rozruchowy.

Funkcjonalność wipera w szkodniku Destover

Najciekawsze aspekty destrukcyjnej funkcjonalności tego szkodliwego oprogramowania wiążą się z wyborem i przechowywaniem/dostarczaniem sterowników, które są obecnie często wykorzystywane w tego rodzaju atakach opartych na sabotażu.

Droppery Destovera instalują i uruchamiają sterowniki EldoS RawDisk w celu obejścia uprawnień NTFS oraz nadpisania danych dyskowych i samego głównego rekordu rozruchowego. Ma to pewne implikacje dla odzyskiwania danych. W przypadku szkodliwego oprogramowania DarkSeoul, nadpisane dane można przywrócić przy użyciu metody podobnej do przywracania danych „zniszczonych” przez szkodnika Shamoon. Odzyskanie danych będzie prawdopodobnie przebiegać tak samo.

Łańcuch pośrednich komponentów prowadzących do destrukcyjnej funkcji składa się z wielu etapów (opisanych już w innym miejscu), przy czym funkcje są uruchamiane w kilku trybach, tak jak w przypadku szkodnika Shamoon

  1. Próbka jest uruchamiana po raz pierwszy w 32-bitowym systemie operacyjnym.
  2. Próbka jest uruchamiana w 32-bitowym systemie operacyjnym jako samoinstalująca się usługa, z jedną spośród kilku ścieżek kodu.
  3. Próbka jest uruchamiana w 64-bitowym systemie operacyjnym jako samoinstalująca się usługa.

Przy pierwszym uruchomieniu tworzy usługę brmgmtsvc w systemie Windows o nazwie 'Backup and Restore Management', dodaje własny plik wykonywalny i ustawia parametr uruchamiania '-i'. Wrzuca również kilka swoich kopii i uruchamia każdą z nich przy użyciu innego parametru: -m, -d oraz -w.  

-m (nadpisanie sektora mbr):
Następuje próba nawiązania połączenia z trzema adresami IP. Nawet jeśli próba ta nie powiedzie się, proces zostanie wykonany.

Szkodnik pobiera swój zasób, który zawiera skompresowany sterownik EldoS RawDisk i zapisuje go w katalogu tymczasowym jako 'usbdrv3.sys'.

Następnie sterownik ten jest instalowany jako usługa usbdrv3 'USB 3.0 Host Controller'. 

Szkodnik uruchamia usługę sterownika i zamyka dojście do swojej usługi.

Kolejnym krokiem jest utworzenie dojścia do pliku do sterownika z uprawnieniami do zapisu:

'\\?\ElRawDisk\??\\PhysicalDrive0#99E2428CCA4309C68AAF8C616EF3306582A64513E55C786A864BC83DAFE0C78585B692047273B0E55275102C664C5217E76B8E67F35FCE385E4328EE1AD139EA6AA26345C4F93000DBBC7EF1579D4F'

i zapisanie do tego dojścia 64-kilobajtowych ciągów '0xAAAAAAAA'. 

Na koniec tworzone są nowe wątki, z których każdy próbuje połączyć się z dowolnym możliwym dyskiem fizycznym i nadpisać go. 

 

-d (napisanie danych):
Szkodnik próbuje połączyć się z tymi samymi trzema adresami IP. Tym razem proces zostaje wykonany niezależnie od komunikacji.

Szkodnik sprawdza rekursywnie dyski logiczne i identyfikuje wszystkie pliki danych. Jeśli nie jest to .exe lub .dll, proces nadpisuje zawartość pliku ciągiem '0x0df0adba' na obszarze 20 kilobajtów. Ten proces nadpisywania jest dokonywany z trybu użytkownika bez sterowników EldoS.

Następnie szkodnik próbuje usunąć plik danych przy użyciu funkcji 'DeleteFileW' systemu Windows. Dodatkowo, podczas przeszukiwania folderów systemowych, szkodnik próbuje usuwać pliki .exe i .dll.   

 

-w (serwer webowy):
Szkodnik próbuje połączyć się z tymi samymi trzema adresami IP. Również w tym przypadku proces zostaje wykonany niezależnie od komunikacji.
Szkodnik zatrzymuje usługi terminalowe systemu Windows z wiersza poleceń: 'cmd.exe /c net stop termservice /y'.
Następnie szkodnik znajduje resource#85, dekompresuje i zapisuje zawartość do 'c:\windows\iissvr.exe'.
Szkodnik uruchamia proces iissvr.exe i kończy swoje działanie.
Iissvr jest tym, czym się wydaje – serwerem webowym, na którym przechowywane są zaszyfrowane pliki JPG, HTML oraz WAV. Serwer nasłuchuje na porcie 80 i w razie potrzeby dostarcza te pliki. Poniżej przedstawiamy zdekodowany plik jpg:   

 Mystery_2.jpg

Następnie, po dwóch godzinach w trybie uśpienia, oryginalna usługa restartuje maszynę za pomocą odwołania do ExitWindowsEx (EWX_REBOOT|EWX_FORCE, 0). Wymusza to zamknięcie, ale opóźnia ten proces na czas utworzenia pliku o stanie systemu.  

Podobieństwa pomiędzy szkodnikami typu wiper

Podobnie jak w przypadku Shamoona, sterowniki Destovera to komercyjnie dostępne pliki sterowników EldoS RawDisk.   

Podobnie jak w przypadku Shamoona, sterowniki Destovera są przechowywane w sekcji zasobów dropperów.

Podobnie jak w przypadku Shamoona, w incydencie dotyczącym wipera DarkSeoul niejasne, zakodowane pseudopolityczne wiadomości zostały wykorzystywane do nadpisywania danych na dysku i głównego rekordu rozruchowego (MBR).

Podobnie jak w przypadku Shamoona, pliki wykonywalne Destovera zostały skompilowane w pewnym momencie w ciągu 48 godzin przed atakiem. Jest mało prawdopodobne, aby cyberprzestępcy zaatakowali ogromną liczbę użytkowników przy użyciu spear-phishingu i równie mało prawdopodobne, aby uzyskali nieskrępowany dostęp do całej sieci przed atakiem.     

Komponenty Shamoona zostały skompilowane w podobnie krótkim okresie przed jego wdrożeniem. Sygnatury czasowe CompiledOn przypadają na pięć dni od detonacji ich plików wykonywalnych. Prawie wszystkie zostały skompilowane 10 sierpnia 2012 roku (między 00:17:23 a 02:46:22), a ich detonacja została ustawiona na 15 sierpnia 2012. To bardzo mało czasu, aby ukradkowo zainstalować te binaria, zważywszy że przy użyciu tej szkodliwej funkcji zostały zniszczone dziesiątki tysięcy maszyn.

We wszystkich trzech przypadkach: Shamoona, DarkSeoula i Destovera, grupy, które przejęły odpowiedzialność za tą destrukcyjną aktywność, nie posiadały przeszłości ani tożsamości. Wszystkie próbowały zniknąć natychmiast po incydencie, nie wystosowały wyraźnych oświadczeń, ale dziwne i niejednoznaczne oskarżenia o przestępstwo, i przeprowadziły swoje destrukcyjne działania niedługo po wydarzeniu o wydźwięku politycznym, które miało je sprowokować.    

Wiadomości graficzne pochodzące od grup DarkSeoul 'Whois' oraz Destover 'GOP' zawierały oświadczenie 'Hacked by' wraz z „ostrzeżeniem” i pogróżkami dotyczącymi skradzionych danych. W obu przypadkach mieliśmy do czynienia z ostrzeżeniem, że to dopiero początek i że grupa zaatakuje znowu. Również w obu przypadkach grafika zawierała czaszkę i szkielet. 

Grafika i ostrzeżenie grupy Whois:

Mystery_3.jpg

Grafika i ostrzeżenie grupy GOP:

Mystery_4_auto.jpg

Spośród różnic pomiędzy atakami typu Destover i DarkSeoul można wymienić brak skryptów *nix służących do wymazywania partycji w systemach Linux.

Naturalnie powyższa lista podobieństw nie jest dowodem na to, że grupa stojąca za szkodnikiem Shamoon to ta sama, która odpowiadała za ataki DarkSeoul i Destover. Należy jednak zauważyć, że reakcyjność oraz sposób działania i narzędzia wykorzystywane przez obie grupy cechują wyraźne podobieństwa. Zastanawiające jest również to, że tak nietypowe i ukierunkowane działania skutkujące ogromną skalą cyberzniszczeń zostały przeprowadzone w tak podobny sposób.   

Aktywność sieciowa

Adresy miejsc docelowych zostały zapisane jako:

  • 88.53.215.64
  • 217.96.33.164
  • 203.131.222.102

Jednakże bezpośrednio powiązane próbki również wykonują wywołanie zwrotne do wielu innych adresów IP. Dane zawarte w bazie Kaspersky Security Network (KSN) nie wskazują na żadne szkodliwe oprogramowanie obsługiwane z tych adresów w przeszłości:

  • 58.185.154.99
  • 200.87.126.116
  • 208.105.226.235
  • 212.31.102.100

Połączenia te wydają się arbitralne i niemające związku z wykonaniem pakietu szkodliwego oprogramowania. Niektóre z nich nie są obecnie aktywne. Wydaje się, że te adresy IP zostały wybrane przypadkowo. 

Wiadomo, że niektóre z tych adresów wykonały niedawno skanowania RDP. Pod koniec 2012 roku 217.96.33.164 był znanym skanerem sieciowym RDP służącym do przeprowadzania ataków siłowych. Serwer ten jest hostowany pod adresem IP w Polsce, utrzymywanym przez tego dostawcę od 1996 r.     

Na początku 2014 roku 88.53.215.64 był hostowany we Włoszech i działał jako serwer proxy 'Hide My Ass' udostępniany za stawkę premium oraz bezpłatnie na porcie 443. Szkodnik próbuje połączyć się z tym serwerem na portach 8000 i 8080, przy czym obecnie nie są dostępne żadne zasoby.  

200.87.126.116 również działał wcześniej, tj. w 2011 i 2012 roku, jako darmowy serwer proxy SOCKS. Często tego rodzaju zasoby były wykorzystywane przez spamerów i cyberprzestępców stosujących techniki czarnego SEO.

Wcześniejsze backdoory

Kampanie DarkSeoul zostały powiązane z kilkoma rodzinami trojanów i backdoorów, z których wszystkie były wykorzystywane na przestrzeni kilku lat. Niektóre z tych powiązań są znacznie mocniejsze niż inne:

  • Concealment Troy
  • DarkSeoul
  • HttpDr0pper
  • HttpTroy
  • TDrop

Sumy kontrolne MD5 Destovera

Trojany:

MD5

Rozmiar

Data kompilacji

Nazwa nadana przez Kaspersky Lab

d1c27ee7ce18675974edf42d4eea25c6

262 KB

2014.11.22 00:06:54

Trojan.Win32.Destover.a

2618dd3e5c59ca851f03df12c0cab3b8

430 KB

2014.11.22 00:05:02

Trojan.Win32.Destover.d

760c35a80d758f032d02cf4db12d3e55

244 KB

2014.11.22 04:11:08

Trojan.Win32.Destover.c

b80aa583591eaf758fd95ab4ea7afe39

304 KB

2014.11.24 04:12:55

Trojan.Win32.Destover.b

e1864a55d5ccb76af4bf7a0ae16279ba

112 KB

2014.11.13 02:05:35

Backdoor.Win32.DestoverServ.a

a3fa8c7eb4f061ab8b9f7829c6741593

111 KB

2014.05.03 07:10:22

Trojan.Win32.Destover.f

2c545b89acdb9877da5cbb96653b1491

53 KB

2014.07.14 13:38:18

Trojan.Win32.Destover.e

e904bf93403c0fb08b9683a9e858c73e

90 KB

2014.07.07 08:01:09

Trojan.Win32.Destover.d

 

Sterowniki Eldos:

6aeac618e29980b69721158044c2e544 (32-bitowy), podpisany przez EldoS Corporation
86e212b7fc20fc406c692400294073ff (64-bitowy), podpisany przez EldoS Corporation

Certyfikaty:

6aeac618e29980b69721158044c2e544 (32-bitowy)
86e212b7fc20fc406c692400294073ff (64-biowy)