Slingshot APT: найден продвинутый вирус — он оставался незамеченным 6 лет
На прошлой неделе исследователи из «Лаборатории Касперского» обнаружили [1] вирус, который оставался незамеченным на протяжении шести лет. Он получил название Slingshot. Многих из своих «жертв» вредонос атаковал через скомпрометированные роутеры MikroTik.
Как отмечают [2] специалисты, по сложности реализации Slingshot превосходит троян Regin [3], поразивший сети бельгийского оператора Belgacom и других крупных организаций, и Project Sauron [4].
О компонентах и назначении вируса расскажем далее.
[5]
/ фото Jan Hammershaug [6] CC [7]
Вирус был обнаружен [8] по счастливой случайности. Группа исследователей анализировала код кейлоггера и решила проверить, встречается ли он где-либо еще. Сигнатура вируса проявилась в, казалось бы, невинном файле scesrv.dll на еще одном компьютере. Дальнейшие тесты показали: когда компьютер подключался к системе конфигурации роутера, вирус активировался, выгружал копию себя на «свежую» машину и получал root-доступ.
Вредонос «собирает» скриншоты, информацию о сети и USB-подключениях, перехватывает пароли и данные в буфере обмена, отслеживает активность на компьютере. На основании этого исследователи сделали вывод, что целью Slingshot, вероятно, является шпионаж.
Точно не установлено [1], каким образом Slingshot заразил свои первые цели, однако известно, что создатели вируса внедрили вредоносный код в роутеры латвийской компании MikroTik. Он использует средство конфигурирования Winbox для загрузки DLL-файлов в память компьютера. Хакеры поместили библиотеку ipv4.dll на маршрутизатор, которая также начала передаваться в память. После выгрузки файл скачивал другие компоненты вируса.
Компоненты вируса
Сама программа Slingshot — это загрузчик, который заменяет существующую системную динамическую библиотеку на компьютере «жертвы». Slingshot встраивает необходимые ему модули в DLL, сжимая часть оригинального файла, чтобы сохранить размер неизменным. Затем он меняет точку входа, «переключая» указатель на необходимый загрузчик, и вычисляет новую контрольную сумму DLL. При этом после скачивания вредоносных модулей, загрузчик восстанавливает оригинальный код системного DLL-файла в памяти.
Slingshot загружает множество вспомогательных компонентов, но двумя основными и самыми крупными модулями являются Cahnadr (работает в режиме ядра) и GollumApp (работает в режиме пользователя). Они связаны и помогают друг другу с поиском и сбором информации.
Canhadr взаимодействует [1] с сетью на низком уровне и может воспроизводить вредоносный код, не нарушая работы всей файловой системы и не вызывая «синий экран смерти». Он написан на чистом C и способен получить доступ к жёсткому диску и оперативной памяти несмотря на установленные в системе ограничения. Также он отвечает за контроль целостности и сокрытие деятельности вируса от систем анализа.
Например, он использует [2] специальные алгоритмы, которые маскируют сетевой трафик. Все компоненты вируса располагаются в отдельном пуле, что позволяет отличать их от других, «безвредных» запросов. Вся информация о пакетах, передаваемых в сети, попадает в NET_BUFFER_LIST. Если в списке появляется команда из «вредоносного пула», то Cahnadr удаляет её, предотвращая отправку сообщения об успешном выполнении.
Что касается модуля GollumApp, то он содержит [1] примерно 1,5 тыс. функций и встраивается в файл services.exe. Он создает новый тред и работает напрямую с системными сервисами: собирает данные о сети (таблицы маршрутизации, информация о прокси, настройки AutoConfigUrl), ворует пароли, сохраненные в Mozilla и IE, «пишет» все нажатия клавиш на клавиатуре, запускает новые процессы с системными правами и управляет I/O-запросами EFS [9].
/ фото Christiaan Colen [10] CC [11]
Распространение
Предположительно, вирус действует с 2012 года, но о нем долгое время не было известно, поскольку Slingshot использует набор техник для сокрытия своей деятельности — это системы обнаружения антивирусного ПО, специализированные решения для усложнения анализа и шифрование.
При этом вирус оказался довольно редким [8], что также затруднило обнаружение: исследователи зафиксировали [1] порядка 100 заражённых компьютеров, большинство из которых в Африке и на Ближнем Востоке: это Кения, Йемен, Афганистан, Турция, Ирак, Судан, Иордания и др. Большинством жертв являются отдельные пользователи, однако в списке есть и государственные организации.
В «Лаборатории Касперского» отмечают, что им не удалось найти какой-либо связи с ранее известными APT. Однако некоторые техники и эксплойты (например, уязвимости в драйверах), используемые Slingshot, были замечены в таком вредоносном ПО, как Turla, Grayfish и White Lambert. Эксперты говорят, что сейчас сигнатуры вируса были определены, а MikroTik уже выпустили обновление ПО для блокировки Slingshot.
P.S. Материалы по теме из Первого блога о корпоративном IaaS:
- IaaS для государственных информационных систем: особенности размещения [12]
- Защита персональных данных: европейский подход [13]
- Особенности двухфакторной аутентификации: работает ли это в облаке IaaS [14]
- Облачный PCI DSS хостинг: на что обратить внимание [15]
Автор: it_man
Источник [16]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/virusy/275037
Ссылки в тексте:
[1] обнаружили: https://arstechnica.com/information-technology/2018/03/potent-malware-that-hid-for-six-years-spread-through-routers/
[2] отмечают: https://s3-eu-west-1.amazonaws.com/khub-media/wp-content/uploads/sites/43/2018/03/09133534/The-Slingshot-APT_report_ENG_final.pdf
[3] троян Regin: https://arstechnica.com/information-technology/2014/11/highly-advanced-backdoor-trojan-cased-high-profile-targets-for-years/
[4] Project Sauron: https://arstechnica.com/information-technology/2016/08/researchers-crack-open-unusually-advanced-malware-that-hid-for-5-years/
[5] Image: https://habrahabr.ru/company/it-grad/blog/350974/
[6] Jan Hammershaug: https://www.flickr.com/photos/hammershaug/5867866634/
[7] CC: https://creativecommons.org/licenses/by/2.0/
[8] обнаружен: https://www.theregister.co.uk/2018/03/09/slingshot_malware_uses_cunning_plan_to_find_a_route_to_sysadmins/
[9] EFS: https://ru.wikipedia.org/wiki/%D0%A8%D0%B8%D1%84%D1%80%D0%BE%D0%B2%D0%B0%D0%BD%D0%BD%D0%B0%D1%8F_%D1%84%D0%B0%D0%B9%D0%BB%D0%BE%D0%B2%D0%B0%D1%8F_%D1%81%D0%B8%D1%81%D1%82%D0%B5%D0%BC%D0%B0
[10] Christiaan Colen: https://www.flickr.com/photos/christiaancolen/21206509269/
[11] CC: https://creativecommons.org/licenses/by-sa/2.0/
[12] IaaS для государственных информационных систем: особенности размещения: http://iaas-blog.it-grad.ru/bezopasnost/osobennosti-razmeshheniya-gis-v-oblake/
[13] Защита персональных данных: европейский подход: http://iaas-blog.it-grad.ru/tendencii/zashhita-personalnyx-dannyx-evropejskij-podxod/
[14] Особенности двухфакторной аутентификации: работает ли это в облаке IaaS: http://iaas-blog.it-grad.ru/bezopasnost/osobennosti-dvuxfaktornoj-autentifikacii/
[15] Облачный PCI DSS хостинг: на что обратить внимание: http://iaas-blog.it-grad.ru/bezopasnost/na-chto-obratit-vnimanie-pri-vybore-uslugi-oblachnogo-pci-dss-xostinga/
[16] Источник: https://habrahabr.ru/post/350974/?utm_campaign=350974
Нажмите здесь для печати.