книги хакеры / журнал хакер / 202_Optimized

ных и cookies из браузеров (Firefox, Chrome, IE), получение данных из соцсетей (Facebook, Twitter), запись с микрофона и камеры, получение содержимого облачных сервисов (googledocs, cloudfile), снятие скриншотов и геотаргетинг через GPS, извлечение сохраненных паролей из различных приложений, извлечение адресных книг (Outlook), логгинг нажатий клавиш, энумерация Wi-Fi-сетей и USB-устройств;

•широкое использование сторонних библиотек с открытым исходным кодом: Expat (парсинг XML), Speex (кодек для сжатия речевого сигнала), библиотека интерпретатора скриптового языка Lua, Zlib (сжатие данных), SQLite (работа с БД), SimpleJSON (работа с файлами формата JSON);

•встроенные реализации криптоалгоритмов AES, MD5, SHA-1, Base64.

Доступные в интернете исходники включают проекты Core, Scout и Soldier. Их анализ показывает, что разработчики со временем перешли на модульную систему бот-агента. Система лицензирования, завязанная на конфигурационные файлы, предусматривает различную ценовую политику в зависимости от используемых модулей (это уже из документации). Опять-таки видно, что

вотдельных случаях применялась двухкомпонентная схема: сначала в систему внедрялся простой бот, а потом — более продвинутый вариант.

Разработчики предусмотрели защиту своих ботов всевозможными способами, в частности протекторами Themida и VMProtect; кроме того, в исходниках также можно было найти криптор собственной разработки. Кстати, размер неупакованного бинарника бота составляет около мегабайта, что достаточно много.

Взаимодействие с командным центром устроено через WinHTTP API. Видимо, такую реализацию выбрали из-за простоты программирования работы через системный прокси, который используют IE и Chrome. Как известно, многие корпоративные пользователи работают в среде Windows, где доступ к интернету организован через прокси с NTLM-аутентификацией по имени пользователя

вдомене. И как правило, системный прокси через групповые политики настроен именно на такой режим работы. Так вот, WinHTTP позволяет легко реализовать доступ в этом случае, без необходимости узнавать пароль от прокси. Управляющая часть RCS написана под платформу Windows и использует Python для реализации backend-части, а также MongoDB в качестве хранилища данных.

Куда как больший интерес представляли эксплоиты нулевого дня. Их было несколько (в том числе LPE для Windows), из них особенно интересен эксплоит для Flash (CVE-2015-5119). Во-первых, разработчики элегантно обошлись с задачей формирования вредоносных документов: несколько Python-скриптов могут сформировать docx-, xlsx-, pptx-файлы, содержащие внедренный вредоносный Flash-контент, который загружает с удаленного сайта самого бота. Для атак через браузер эксплуатировалась та же уязвимость (для IE — уязви-

мость JavaVM, а для других браузеров — уязвимость в win32k.sys). Таким образом, одна уязвимость использовалась во всех векторах атак, включая платформы Windows, Linux и OS X.

Во-вторых,наконец-тосталиизвестныценовыеподробности,азаодноивы- яснилось имя человека, который искал на заказ уязвимости. Как ни странно, он оказался русским — это некий индивидуальный предприниматель Торопов Виталий Сергеевич (как следует из отсканированной копии со счетом-факту- рой от 20 апреля 2015 года). Платеж на сумму 39 тысяч долларов был назначен за консалтинговые услуги и должен был быть перечислен на счет в Сбербанке.

Сразу после слива отдельные разработчики Exploit Kit, в частности Angler, Neutrino и Nuclear Pack, оперативно внедрили эксплоит для CVE-2015-5119 в свои продукты, что в очередной раз продемонстрировало исключительную быстроту реагирования киберандеграунда.

Кроме собственно исходных кодов, была слита email-переписка и различная документация, откуда можно было почерпнуть немало интересного о заказчиках RCS.

Вот, например, выборка из файла Client List_Renewal date.xlsx, куда вошли страны постсоветского пространства и США:

Рис. 1. Некоторые клиенты Hacking Team

Интересно, что даже ФБР покупало данный продукт — видимо, взаимодействия с АНБ им было недостаточно.

А что насчет России? Считается, что ФГУП НИИ «Квант» подконтролен ФСБ России, которая, опять же, судя по переписке, активно интересовалась разработками Hacking Team, первоначально действуя через израильского реселлера NICE, но в итоге закупила напрямую, предположительно через ИнфоТеКС.

«Официальная» версия основного вектора атаки — слабые пароли, такие как HTPassw0rd, Passw0rd!81, Passw0rd, Passw0rd!, Pas$w0rd. Как говорится, сапожник без сапог.

Рис. 3. Сравнительный тест антивирусов на детект бота Hacking Team

Так или иначе, нет никаких оснований полагать, что сотрудники HT бросят свое ремесло, — скорее всего, они просто «сменят вывеску» и продолжат заниматься своей сомнительной деятельностью. Но удар по ним, конечно, был нанесен ощутимый. Остается только догадываться, происки ли это «благородных» хакеров или козни конкурирующих организаций...

DUQU — VERSION 2.0

Весной 2015 года в ходе проверки внутренней безопасности своим новым продуктом, призванным обнаруживать атаки класса APT, «Лаборатория Касперского» выявила вторжение в свою корпоративную сеть. При дальнейшем расследовании была обнаружена новая вредоносная платформа, имеющая непосредственное отношение к одной из самых сложных и загадочных кампаний кибершпионажа — Duqu, обнаруженной в 2011 году. Новая платформа получила название Duqu 2.0.

После обмена информацией с другими антивирусными компаниями выяснилось, что ЛК не единственная оказалась под ударом. Так, были выявлены атаки, связанные с событиями, имеющими отношение к деятельности группы P5+1 (США, Великобритания, Франция, Китай, Россия и Германия), и с переговорами с Ираном по ядерной программе. Кроме того, аналогичная атака была проведена против участников мероприятий, посвященных 70-й годовщине освобождения Освенцима.

По информации Symantec (которая называет Duqu 2.0 по-своему — Duqu.B), троян был использован в ряде целевых атак, среди атакуемых организаций были операторы связи Европы и Северной Африки, а также один из производителей ICS/SCADA-решений в Юго-Восточной Азии. Также заражение выявили на компьютерах, расположенных в США, Великобритании, Швеции, Индии и Гонконге.

Начальный вектор заражения ЛК остался до конца не выясненным. Судя по всему, атака началась с фишингового письма, присланного сотруднику одного из офиса ЛК Азиатско-Тихоокеанского региона (APAC). К сожалению, злоумышленники оказались очень предусмотрительными, и почтовые сообщения,

атакже история браузера были стерты.

Входе киберкампании Duqu 2.0 использовалось целых три zero-day:

•CVE-2014-4148(MS14-058)—уязвимостьмеханизмарендерингаTTF-шриф- тов в win32k.sys, позволяет создать документ Microsoft Word с «полезной нагрузкой», при этом вредоносный код выполнится с повышенными привилегиями;

•CVE-2014-6324 (MS14-068) — уязвимость в Kerberos, позволяет удаленному пользователю домена поднять свои права до администратора домена;

•CVE-2015-2360 (MS15-061) — уязвимость в win32k.sys, позволяющая повысить привилегии локального пользователя.

Метод первоначального заражения Duqu 2.0 один в один повторяет метод предшественника. Дроппер Duqu образца 2011 года представлял собой файл формата Microsoft Word тоже с эксплоитом уязвимости драйвера win32k.sys (MS11-087), отвечающего за механизм рендеринга TTF-шрифтов.

Специалисты исследовательского центра Crysys (The Laboratory of Cryptography and System Security) из Венгрии опубликовали детали исследования обеих версий Duqu, из которого видно, что между ними много общего:

•схожие функции хеширования строк, которые используются для идентификации установленных антивирусных продуктов;

•схожие методы, магические числа и структура файлов, которые шифруются с использованием алгоритма AES;

•одинаковый нестандартный CBC режим работы алгоритма шифрования AES;

•практически идентичный модуль, который отвечает за ведение лога действий, использует уникальные идентификаторы вместо «читабельных» информационных сообщений;

•схожий стиль программирования и компиляции с использованием C++.

Самой интересной фишкой атакующих было то, что Duqu 2.0 не использовал никаких методов автозапуска после перезагрузки, кроме того, исполняемый код присутствовал только в памяти. Это очень сильно затруднило как обнаружение, так и исследование, ведь для анализа вредоносного кода необходимо было снять полный дамп памяти.

Теоретически, перезагрузив все компьютеры в сети, можно было полностью избавиться от Duqu 2.0. Но это только теоретически... На практике же на отдельные серверы с наибольшим аптаймом, которые имели прямой доступ к интернету (proxyили web-серверы), устанавливались драйверы (причем для x64 они были подписаны валидным сертификатом Foxconn), играющие роль своеобразных тоннелей во внутреннюю сеть (рис. 4).

Были найдены две разновидности таких драйверов. Их возможности позволяют работать с сетевым трафиком на уровне NDIS (Network Driver Interface Specification). Для активации тоннеля извне корпоративной сети злоумышленники посылали специальные «магические строки». При этом одна версия драйвера, более простая, ждала строку romanian.antihacker, после приема которой начинала перенаправлять все пакеты с порта 443 на порт 445 (SMB) или 3389 (Remote Desktop), а другая использовала расширенный набор портов в зависимости от строки и перенаправляла пакеты:

•ugly.gorilla1 — с порта 443 (HTTPS) на порт 445 (SMB);

•ugly.gorilla2 — с порта 443 (HTTPS) на порт 3389 (RDP);

•ugly.gorilla3 — с порта 443 (HTTPS) на порт 135 (RPC);

•ugly.gorilla4 — с порта 443 (HTTPS) на порт 139 (NETBIOS);

•ugly.gorilla5 — с порта 1723 (PPTP) на порт 445 (SMB);

•ugly.gorilla6 — с порта 443 (HTTPS) на порт 47012 (этот порт не используется ни одним известным протоколом, вероятно, применяется для связи с самим трояном Duqu 2.0).

си между бэкдором и внешним миром. Для внутрисетевого взаимодействия агенты Duqu 2.0 могли использовать протоколы HTTP (передаваемые данные маскировались под изображения JPEG, как в Duqu 1.0, или GIF) и HTTPS, именованные каналы SMB, а также прямое TCP-соединение с использованием кастомного протокола с шифрованием данных.

Плагины содержали большое количество функций для разведки внутренней инфраструктуры сети:

•поиск серверов и ПК в сети;

•поиск сетевых ресурсов;

•перечисление объектов Active Directory;

•определение настроек сетевых интерфейсов, таблиц маршрутизации

и правил сетевой фильтрации;

•перечисление пользователей ПК через SMB;

•лог процессов и активных терминальных сессий;

•извлечение паролей из различного ПО для удаленной работы, например PuTTY или VNC-клиентов;

•поиск серверов баз данных MS SQL и Oracle;

•извлечение данных из SAM и LSASS;

•снифинг трафика при помощи легитимного подписанного драйвера npf.sys из состава WinPcap.

Используя добытую информацию, злоумышленники фактически разворачивали внутри корпоративной сети свою собственную инфраструктуру из зараженных машин.

Заражение внутри сети велось следующим образом: при помощи сдампленных из памяти хешей паролей простых доменных пользователей посредством атаки типа pass the hash злоумышленники логинились на контроллере домена, а потом поднимали права до администратора при помощи эксплоита CVE-2014-6324. После этого на удаленные ПК через вызов команды msiexec. exe /i «C:\\… (\tmp8585e3d6.tmp» /q PROP=9c3c7076-d79f-4c или через Task Scheduler устанавливались вредоносные MSI-пакеты (рис. 5).

Кстати, 9c3c7076-d79f-4c — это ключ, которым внутри MSI-пакета шифровалось вредоносное содержимое.

Ко всему прочему злоумышленники в MSI c Duqu 2.0 реализовали систему обхода продуктов ЛК путем манипуляций с avp.exe и klif.sys. Кроме того, в «расширенной версии» был предусмотрен детект и обход продукции следующих вендоров: