Win32/Gapz: последний эпизод

в 14:15, , рубрики: gapz, Блог компании ESET NOD32, метки:

Сегодня мы публикуем последнюю часть анализа буткита Win32/Gapz, а также хотим представить PDF, который содержит анализ этой интересной угрозы со всеми техническими подробностями. На его анализ ушло несколько месяцев интенсивного реверса. В Gapz мы увидели, что разработчики подобного рода угроз вышли на новый уровень сложности. Мы также считаем, что Win32/Gapz, на самом деле, представляет из себя наиболее сложный буткит из всех, что мы видели прежде. Подробный технический анализ этой угрозы вы можете найти в нашем PDF-документе Mind the Gapz: The most complex bootkit ever analyzed?.

Наши коллеги Евгений Родионов и Александр Матросов провели анализ кода Win32/Gapz, начиная с декабря 2012 года. В ходе этого анализа обнаруживалось все больше и больше интересных подробностей об этой угрозе.

Win32/Gapz: последний эпизод

Мы уже писали о Gapz ранее:

Win32/Gapz имеет достаточно низкий уровень распространенности (с начала его первого обнаружения мы фиксировали менее ста активных семплов). Большинство таких обнаружений было в России. Все известные C&C-панели были уже закрыты на момент начала анализа в декабре 2012 года. Домены для загрузки дополнительной полезной нагрузки были зарегистрированы через сервис DynDNS. Ниже приведен список таких URL, которые были найдены в дроппере после распаковки:

  • hxxp://xpiracyrt.is-into-cars.com/apps/32.lz
  • hxxp://retguard.is-into-cars.com/apps/32.lz
  • hxxp://soparesolv.is-into-cars.com/apps/32.lz
  • hxxp://xpiracyrt.is-into-cars.com/upds/7/1/upd.lz
  • hxxp://retguard.is-into-cars.com/upds/7/1/upd.lz
  • hxxp://soparesolv.is-into-cars.com/upds/7/1/upd.lz

Модификация Win32/Gapz.C, которая содержит функционал по заражению MBR, отправляет отладочную информацию процесса заражения по следующему IP-адресу:

Win32/Gapz: последний эпизод

Хостинг для этого IP-адреса расположен в Германии и, на момент публикации, все еще находится в режиме онлайн.

Win32/Gapz: последний эпизод

Мы обнаружили, что этот IP связан с несколькими доменами: meetafora.ru, sukarabotay.com. Оба этих домена были зарегистрированы в 2011 году, а срок их действия истекает в середине 2013 года. Сейчас этот IP уже прекратил принятие отладочной информации от бота.

Во всех модификациях Gapz, которые содержали буткит, адреса дополнительных C&C были извлечены из конфигурационного файла, который хранится в скрытой FS. Этот файл внедрен в главный kernel-mode компонент, находящийся на скрытом диске. Домены C&C генерируются как домены третьего уровня (изменяемая составляющая – домен третьего уровня) с помощью динамического DNS сервиса strangled.net (используется в Win32/Gapz.A).

Win32/Gapz: последний эпизод

Пример сетевого взаимодействия с таким доменом представлен ниже.

Win32/Gapz: последний эпизод

Модификация Win32/Gapz.C использует другую схему генерации доменов:

Win32/Gapz: последний эпизод

Взаимодействие с сетью в режиме ядра основано на ручной реализации стека TCP/IP и HTTP-протокола для того, чтобы обойти проверку с использованием локальных IPS/IDS. Полную информацию по реализации стека, см. здесь.

Мы полагаем, что семейство Win32/Gapz является наиболее сложным буткитом из всех, которые мы видели прежде. Ниже приведена таблица сравнений возможностей Gapz с другими видными представителями буткитов:

Win32/Gapz: последний эпизод

Hidden File System Reader с поддержкой FS Gapz

Для оказания помощи специалистам по безопасности и АВ-ресерчерам, которые сталкиваются с Gapz, мы обновили наш инструмент Hidden File System Reader с требованиями для этого буткита. Теперь он также может сохранять компоненты скрытой FS от Gapz. Утилиту вы можете скачать здесь.

Win32/Gapz: последний эпизод

Автор: esetnod32

Источник

Поделиться

* - обязательные к заполнению поля