Другие новости

Исследование вредоносной кампании Volatile Cedar

02.04.2015 | 14:50 Аналитика

Злоумышленники используют кейлоггеры и скриншутеры, успешно избегая обнаружения антивирусными программами

Данная статья основана на недавно опубликованном отчете компании Check Point Software Technologies Ltd.

Начавшаяся с конца 2012 года, тщательно организованная кампания атак Volatile Cedar, была направлена на частных лиц, компании и организации по всему миру. Эта кампания, управляемая устойчивой группой нападавших, успешно проникла на большинство целей с использованием различных методов атаки, в частности, специально созданной зловредной программы-импланта под кодовым названием Explosive.

Идентификация вредоносных программ часто сложна и запутана. Имея это в виду, исследование доказательств приводит нас к подозрению, что Volatile Cedar происходит из Ливана (отсюда и название «Летучий Кедр»). Кроме того, Volatile Cedar нацелен на вертикальную дистрибуцию, ориентируясь на государственные и политико-групповые интересы, что исключает возможность финансово мотивированных атак.

Есть четкие доказательства того, что Volatile Cedar был активен в течение почти 3 лет. В то время как многие из технических аспектов угрозы не рассматриваются как передовые, кампания постоянно и успешно работала в течение всего этого времени, уклоняясь от обнаружения большинством антивирусных продуктов. Этот успех объясняется продуманной и тщательно управляемой операцией, при которой происходит постоянный контроль над действиями жертв и быстрое реагирование на инциденты обнаружения.

Volatile Cedar в значительной степени полагается на кастомный Trojan удаленного доступа под названием Explosive, который имплантируется в цели, а затем используется для сбора информации. Отслеживание этих инфекций является довольно трудной задачей из-за многочисленных маскировочных мероприятий, предпринятых нападавшими. Нападавшие выбирали только удобные цели, чтобы избежать обнаружения. Разрабатывались, компилировались и развертывались новые и специальные версии для определенных целей. В каждом целевом имплантате были встроены периоды «радиомолчания».

Изначально эта группа злоумышленников была нацелена на публичные веб-серверы, пытаясь автоматически и вручную найти уязвимости. После того, как сервер брался под контроль, злоумышленники проникали дальше во внутреннюю сеть с помощью различных средств, включая ручной онлайн взлом, а также механизм автоматического заражения через USB.

Обзор

Volatile Cedar — весьма целенаправленная и очень хорошо управляемая кампания. Ее цели были тщательно подобраны, ограничиваясь минимальным распространением инфекции, необходимым для достижения целей, при этом снижался риск обнаружения. Анализ приводит к мысли, что нападавшие собрали изрядное количество разведывательной информации, чтобы адаптировать каждую инфекцию для конкретной цели.

Первоначальными целями кампании были, в основном, публичные веб-серверы, работающие под управлением операционной системы Windows. Это происходило потому, что эти серверы публично видимы, имеют легко доступные шлюзы для приватных и более надежных внутренних сетей. Поскольку эти серверы имеют общую бизнес-функциональность, их безопасность часто приносится в жертву производительности, что делает их легкой мишенью для злоумышленников.

После того, как злоумышленник получает контроль над этими серверами, он может использовать их в качестве точки опоры, чтобы исследовать, идентифицировать и атаковать дополнительные цели, которые расположены глубже во внутренней сети.

Типичная атака Volatile Cedar начинается с проверки уязвимостей целевого сервера. После обнаружения уязвимости, она используется для инъекции кода web shell в сервер. Затем web shell используется злоумышленником для управления сервером жертвы и является средством, с помощью которых имплантируется Explosive Trojan. Этот троян позволяет злоумышленникам посылать команды на все цели с помощью массива командно-контрольных (C&C) серверов. Список команд содержит всю функциональность, необходимую злоумышленникам, чтобы сохранить контроль и извлечь информацию из серверов и включает в себя: кейлоггер, запись буфера обмена, выполнение скриншотов, запуск команд и т.д.

Иногда, в основном в тех случаях, когда требовались большие извлечения данных, злоумышленники устанавливали дополнительные туннели SSH с подключением к серверам, контролируемым злоумышленниками.

Сроки атаки

Первые следы Explosive были обнаружены в ноябре 2012 года. Со временем, были обнаружены несколько версий. Даты выпуска новых версий, по-видимому, тесно связаны с обнаружением антивирусами предыдущей версии. Данный факт подчеркивает усилия, предпринимаемые для сокрытия атаки.

Последняя версия Explosive была выпущена в июне 2014 года и по-прежнему активна на момент данной публикации.

График временной активности Explosive

Невидимость

Explosive Trojan прилагает много усилий, чтобы скрыться от общих средств обнаружения и слиться с окружением.

• Обнаружения антивирусами можно избежать, часто проверяя результаты сканирования антивирусами и меняя версии и сборки на всех зараженных серверах, когда появляются какие-либо следы обнаружения.

• Новые версии оснащены специальной веткой для мониторинга потребления памяти, чтобы предотвратить обнаружение процессов Explosive общими утилитами администрирования сервера. После того, как потребление памяти Explosive достигает заданного порогового значения, хост-процесс немедленно перезапускается.

• Активность API, которая может посчитаться подозрительной, отделена от основного логического файла и содержится в отдельном DLL. Это позволяет злоумышленникам убедиться, что эвристические методы не смогут обнаружить логику Трояна.

• Настраиваемые конфигурации устанавливаются на базе каждой цели. Например, каждая троянская конфигурация имеет периоды «радиомолчания», во время которых Explosive не совершает сетевых коммуникаций. Эти периоды устанавливаются в соответствии с режимом работы конкретного целевого объекта и в периоды низкого трафика.

• Запутанная связь с серверами C&C может выглядеть как случайный сетевой трафик – «шум» для определенным устройств сетевого контроля.

• Выделенная ветка совершает периодические «безопасные проверки» через сервер C&C, чтобы подтвердить, что можно безопасно работать. Если ответ на эти проверки является отрицательным, Explosive Trojan прекращает все операции до тех пор, пока не получит другие инструкции.

Управление по сети

Кампания использует многоуровневую серверную структуру для управления целевыми системами. Эта структура состоит из 3-х основных уровней:

• Уровень 1 — серверы C&C: каждый Explosive Trojan пытается подключиться к своим серверам C&C, которые используются для отправки команд и получения информации, извлеченной из целей. Каждый Explosive Trojan имеет жестко настроенные адреса C&C. Различные версии используют разные серверы C&C.

• Уровень 2 – Статические серверы обновлений: эти серверы периодически подключаются, чтобы получить текущий адрес C&C. Если доступен новый C&C-адрес, C&C сервер по умолчанию заменяется новым. Статически обновляемые адреса также жестко запрограммированы в разделах конфигурации Explosive.

• Уровень 3 — Динамические серверы обновлений: Если статические C&C серверы не отвечают, Explosive инициирует собственный DGA алгоритм, который пытается подключиться к динамическим серверам обновлений. После подключения, эти серверы работают так же, как статические. Некоторые версии Explosive также используют динамические серверы обновлений, как C&C серверы.

База серверов разнообразна. В то время как некоторые серверы принадлежат (и, возможно, находятся в хостинге) нападавших, другие серверы используют публично разделенный хостинг или даже взломанные легитимные сервера.

Серверная инфраструктура Explosive

Распространение Инфекции

Опыт показывает, что Explosive Trojan использует свои возможности кейлоггера, чтобы получить доступ к паролям администратора, введенным на целевых серверах. Кроме того, следы кастомных сканеров портов и некоторых других средств нападения были найдены на серверах жертв, что приводит к мысли, что нападавшие использовали первоначально зараженные серверы в качестве опорного элемента, чтобы вручную распространяться по всей сети.

Более поздние версии Explosive Trojan содержат настраиваемую опцию для USB-инфекции. Когда эта опция включена, Explosive заражает любое записываемое запоминающее устройство, подключенное к серверу. Это может быть использовано, чтобы заразить дополнительные серверы в среде, где используются запоминающие устройства, а также заразить домашние или офисные компьютеры администратора.

Определение

Определение вредоносной программы — всегда сложная задача и Volatile Cedar – не является исключением. Хотя у нас нет твердых доказательств, на основе которых сделаны выводы, и многие из факторов, на которые мы полагаемся, теоретически могут быть подделаны или неправильно интерпретированы, мы считаем, что уникальное сочетание этих факторов демонстрируют планы злоумышленников и обеспечивают хорошую оценку их местонахождения.

1. Чтобы грубо определить географическое положение, мы наблюдали время создания обнаруженных образцов. Результаты можно видеть на графике:

Часы компиляции образцов Explosive

Обычное рабочее время, как правило, между 08: 00-17: 00. Время создания можно принять как GMT +2.

2. Для дальнейшего согласования наших результатов, мы приняли во внимание несколько факторов, полученных из инфраструктуры C&C-сервера:

• Серверы С&C для первой версии Explosive располагались в крупной ливанской хостинг компании. Такое не часто встречается на арене вредоносного ПО.

• Регистрационная информация DNS нескольких серверов инфраструктуры показывает, что они являются или ранее были зарегистрированы по ливанскому адресу.

• Тщательное исследование контактной информации DNS регистрации выявило ошибку безопасности проведения операции нападавших в одном случае. В течение краткого периода (возможно, до момента работы сервера), WHOIS конфиденциальность бездействовала, указывая на реальную идентичность регистранта. Этот адрес электронной почты приводит к социальным аккаунтам, которые указывают на ливанскую политическую активность.

Хотя еще не все из целей определены, мы можем начать строить профиль предполагаемых жертв. Некоторые из них — организации, связанные с Израилем, а некоторые из них — ливанские, что потенциально свидетельствует о государственном шпионаже между конкурирующими политическими группами.

Другие факторы, которые стоит учитывать — низкий уровень инфекции и целевой характер этой кампании. Они предполагают, что мотивы нападавших не финансовые, но они стремятся извлечь секретную информацию. Комбинация этих факторов приводит нас к мысли, что нападение возникло или спонсируется группами, связанными с Ливаном, а конкретные цели выбираются с учетом национальных/политико-групповых интересов.

Запутывание

Explosive использует специальные методы запутывания для кодирования значений конфигурации, связи с C&C и обновлением протоколов С&C. Алгоритм запутывания не очень продвинутый и не пытается уровнять данные с окружением. Основная мотивация для этого запутывания — избежать обнаружения автоматизированными средствами безопасности, такими как антивирусами или Системами Предотвращения Вторжения.

Информация, содержащаяся в данном отчете, основана на частичной видимости и доказательствах, собранных в ходе расследования, которое все еще продолжается.