книги хакеры / журнал хакер / 148_Optimized

рис. 2. Интересные трояну интернет-сервисы

этой вредоносной программой осенью 2008 года, и она привлекла меня тем, что используемый ей алгоритм подмены был хорошо продуманным и более сложным для обнаружения, чем у «конкурентов». Win32/Patched.P вносила всего лишь одно изменение в систему: она модифицировала системную библиотеку ws2_32.dll, которая отвечает за реализацию сетевых функций прикладного уровня (например, таких как сокеты) в операционных системах MS Windows. Полезная нагрузка представляла собой кусок ассемблерного кода, который дроппер вставляет в конец оригинальной ws2_32.dll, модифицируя также точку входа, таблицу экспортов, релокации и склеивая все секции в одну для упрощения жизни при вышеописанных модификациях.

На рисунке 2 представлены интернет-сервисы, к которым этот троянец проявлял особенный интерес путем осуществления перехвата часто используемых для реализации сетевого взаимодействия системных функций, таких как:

int WSASend(

рис 3. Перехват функций WinSock

Перехватывая и контролируя указанные функции Winsock на этом уровне, можно осуществлять подмену любых GET/POST запросов независимо от разработчика браузера или его версии. Да и заметить сходу такую подмену сможет далеко не каждый системный администратор, не говоря уже о большинстве пользователей. На уровне модифицированного кода, на примере функции WSARecv(), это выглядит так (рис. 3).

В общем виде схема алгоритма работы подмены результатов поисковой выдачи будет выглядеть следующим образом (рис. 1). А результат успешной работы этого алгоритма будет, например, таким (рис. 5).

Конечно же, весь функционал не ограничивается только подменой результатов поиска. Есть интересные экземпляры троянских программ, которые осуществляют скликивание и накрутку контекстных объявлений.

Сэмпл TDL4 — Win32/Olmarik.AOV

Вот, к примеру, не так давно нами была замечена интересная особенность в некоторых новых сэмплах руткита TDL4 — Win32/ Olmarik.AOV, о котором я достаточно подробно написал в своей предыдущей статье в январе 2011 года. Но, если кто не в курсе, данному руткиту удается удерживать звание самой технологичной массовой вредоносной программы на протяжении вот уже нескольких лет.

Это первый полноценный руткит для x64, которому удалось в обход проверки цифровой подписи и PatchGuard пробраться в ядро на 64-битных системах. Но давай вернемся к тому, из-за чего собственно пошел разговор об этом рутките. А дело в том, что после своей собственной успешной установки некоторые экземпляры этого руткита устанавливают в систему еще и троянцев из семейства Win32/Glupteba (ESET). Это наводит на мысли о том, что ресурсы данного ботнета начали сдавать в аренду. Также интересен тот факт, что дальнейшего взаимодействия между ботами

Win32/Glupteba и TDL4 нет.

Итак, сразу после установки и идентификации бот TDL4 получает из С&C команду:

task_id = 2|10||hxxp://wheelcars.ru/no.exe

Интерпретировать которую можно следующим образом:

task_id = [command_id] [encryption_key] [URL]

В нашем случае набор параметров совпадает с командой «DownloadAndExecute», поскольку ключ шифрования равен нулю,

а идентификатор команды равен двум, и затем следует количество попыток ее выполнения, равное десяти. После установки в систему Win32/Glupteba получает задание уже из своего C&C и начинает его выполнение (см. рис. 7).

Чаще всего бот получает два типа заданий — скликивание контекстной рекламы из рекламной сети «Бегун» и рассылку спама. Давай поподробнее рассмотрим, что же делает этот бот.

рис. 7. Win32Glupteba получает команды из своего центра

080

В первом случае происходит посещение большого количества сформированных специальным образом веб-страниц, наполнение которых провоцирует появление определенного типа контекстных объявлений. Причем все веб-страницы, с которых происходит скликивание, расположены на серверах провайдера Masterhost (рис. 4). Если посмотреть на статистику сетевых обращений скликивающего бота, то можно заметить большое количество обращений к серверам компании «Бегун». Интерес со стороны Win32/Glupteba к другим сервисам контекстной рекламы замечен не был — возможно, это объясняется тем, что сам алгоритм скликивания контекстной рекламы реализован достаточно примитивно. А в крупных системах, таких как Яндекс. Директ или Google AdWords, реализованы серьезные механизмы защиты от подобного рода мошенничества, которые сильно портят жизнь желающим быстрой наживы за счет вышеописанных способов нечестного продвижения.

Сам же ботнет TDL4 так же, как и его предшественник предыдущей версии, активно монетизируется через «черные» методы продвижения веб-сайтов и подмену результатов поиска в популярных поисковых системах. Только он реализует гораздо более серьезные методы, используя способ скрытого запуска браузера Microsoft Internet Explorer через вызов ActiveX-компонента WebBrowser и эму-

ляции работы пользователя (при посещении веб-страницы меняется положение курсора). Кроме того, в нем реализован обход прочих превентивных методов обнаружения ботов. Но поговорим мы об этом как-нибудь в другой раз. z

XÀÊÅÐ 05 /148/ 2011

Pwn2Own:

СОРЕВНОВАНИЕ ДЛЯХАКЕРОВ

ХакерскийконтестнаконференцииCanSesWest

О соревновании

Начнем с того, что Pwn2Own — это ежегодное соревнование хакеров и маститых специалистов в сфере ИБ. Здесь ломают самые разные штуки, начиная от браузеров и заканчивая макбуками, а в качестве трофеев домой уносят не только денежные призы, но и те девайсы, которые удалось взломать. Именно этот принцип и обыгран в названии ивента: «Pwn»

— это сленговое «поиметь», а «Own» — заполучить в собственность :).

В этом году состоялся уже пятый по счету Pwn2Own — проходил он, как обычно, в рамках конференции CanSecWest (cansecwest.com).

Для тех, кто не следит за IT-мероприятиями, поясним: это довольно серьезное событие, ежегодно проводящееся весной в Канаде и отличное от обычных полунеформальных хакерских тусовок. CanSecWest год от года посещают весьма серьезные личности, а кроме того, его поддерживают топовые

IT-компании (Microsoft, Adobe, BlackBerry, Intel и так далее). Конференция, само собой, от и до посвящена информационной безопасности. В качестве спикеров и ведущих тренингов (кстати, платных и довольно дорогих)

на CanSecWest в основном выступают крутые дядьки, занимающие высокие должности в крупных компаниях. К примеру, среди докладчиков можно найти имена таких профи, как Маркус Ранам или Чарли Миллер. Как уже было отмечено выше, хакерское состязание Pwn2Own существует пять лет, в то время как сам CanSecWest ведет свою историю с начала 2000-х. Справедливости ради стоит сказать, что по-настоящему широкую известность и огласку Pwn2Own получил лишь в прошлом году.

Бессменным спонсором соревнования выступает небезызвестная на ИБ-рынке компания TippingPoint, некогда входившая в состав 3Com, а ныне являющаяся частью HewlettPackard. Именно эти парни берут на себя не только львиную долю расходов, но и обязательство сообщать производителям обо всех удавшихся на Pwn2Own взломах. То есть, пока вендор не будет поставлен в известность о найденной в продукте дырке и способе, которым ее эксплойтировали, широкая публика о баге и эксплойте никаких подробностей не узнает. В среднем такое вето налагается на полгода. В конце концов, речь идет о white

hat’ах, этичном хакинге, и ожидать чего-либо другого было бы даже странно.

Кстати (если уж говорить о расходах и бюджете) размер призового фонда Pwn2Own, как правило, начинается от $100 000 (в прошлом году, к примеру, общий призовой фонд составил $100 000, в этом году — $125 000),

ив среднем удачный хак приносит его авто-

ру $10 000 — 20 000. При этом TippingPoint

отнюдь не остается внакладе. Дело в том, что крупные игроки рынка ИБ, скупающие уязвимости и эксплойты, имеют для покупки багов собственные специальные программы.

У TippingPoint это проект Zero Day Initiative (zerodayinitiative.com), также известны программы Snosoft program (snosoft.blogspot. com) и iDefense Vulnerability Contributor Program. Pwn2Own стал очень хорошей рекламой для ZDI, о чем в интервью не раз говорили

исами представители компании. Привлекая внимание к проекту, TippingPoint удается заполучить больше уязвимостей, которые затем продаются по подписке другим компаниям за очень хорошие деньги. К тому же, любое хакерское соревнование — это еще и отличный шанс найти талантливые кадры. Яркий

Чарли Миллер на CanSecWest 2008

Баннер приветствует посетителей Pwn2Own 2011

тому пример — Питер Вронгдейл. Ранее он был независимым исследователем, а теперь получил работу в TippingPoint и в 2011 году уже выступил на Pwn2Own не в качестве участника, а в качестве судьи.

Что ломают

Так уж сложилось, что основное внимание на Pwn2Own уделяется взлому браузеров, различного сетевого софта и мобильных устройств. Имеются у конкурса и собственные звезды, а также своего рода завсегдатаи. Например, в разные годы на Pwn2Own засветились Джордж «GeoHot» Хотц, которому была посвящена большая публикация в прошлом номере, и Чарли Миллер — всемирно известный эксперт по информационной безопасности, неоднократно становившийся победителем Pwn2Own. Однако, кроме «показательных выступлений» маститых спецов случается и такое, что в конкурсе принимают участие команды известных секьюрити-фирм или вообще анонимы. Между прочим, сохранение инкогнито последних гарантирует сама компания TippingPoint. В 2011 году таких «мистеров Икс» было четверо.

Итак, как же проходит само соревнование? В целом, конкурс можно описать довольно просто: собрались в одном месте хакеры и давай проверять, кто из них быстрее и лучше справится с взломом различных гаджетов и софта. Разумеется, собираются «взломщики» не просто так, а предварительно записавшись на Pwn2Own (о том, как подать заявку на участие, расскажет сайт tippingpoint.com). Последовательность выступления участников и команд определяется случайной жеребьевкой. Каждой команде или участнику на взлом отводится всего 30 минут и, как показывает практика, это море времени — зачастую хак производится в буквальном смысле за считанные секунды. Разумеется, так выходит потому, что все тщательно готовятся к соревнованию заранее. Ну а теперь пора перейти от общих фраз к подробностям. В этом году в программе мероприятия традиционно были заявлены «жертвы»- браузеры, представленные последними (на момент проведения кон-

курса) релиз-кандидатами, а именно Microsoft Internet Explorer, Apple Safari, Mozilla Firefox и Google Chrome. Кстати, Chrome единственный браузер, который в 2009 и 2010 годах никак не могли сломать.

Сейчас, наверное, у многих возник вопрос: «А как же Opera?».

СЦЕНА

Настоящий завсегдатай и звезда Pwn2Own Чарли Миллер

по «яблочным» хакам, сообщил у себя в Твиттере, что оба его эксплойта удачно пережили обновления и остались работоспособны. Французы из Vupen, которым удалось обставить Миллера в этом году, в свою очередь, признались, что им из-за обновления пришлось немного дорабатывать некоторые эксплойты, а некоторые и вовсе перестали работать, но им это все равно не помешало. Из-за упомянутого выше вето подробности

Третий день Pwn2Own 2011, в ходе которого ни одна команда так и не смогла показать класс