Статья Историческая вирусология: Политически предубежденный вирус или как очередное исследование зашло не в ту степь - Confiker: история, хронология, анализ

Предисловие

Vn0J.gif


И привет. Возможно, это заглавие будет до черта субъективным и понравится оно не всем, но все-таки я хочу выразить здесь такую мысль. Ведь чем больше ты живешь, тем больше приходится офигевать от происходящего, и другому слову здесь не место.

Каждый день, заходя в интернет, мы видим какой-то абсурд и даже эта статья им и является, ведь в наше время абсурд практически равен успеху. И вам никогда не казалось, что интернет чуть-чуть сошел с ума? Или же ты просыпаешься каждый день с мыслью о том, что все вокруг происходящее - норма, и это с тобой что-то не так?

Абсурдные тик-токи, видео на Ютуб и музыка, которую музыкой вовсе не назвать, стали обыденностью, а ведь когда-то наши потомки посчитают это историей и будут думать, что мы все варились в этом и поступали так же. Хотя, долой то, что будет дальше, давайте окунемся в прошлое абсурда, которое хоть немного относится к ИБ.

У нас девятый выпуск из цикла Историческая Вирусология и мы поговорим о прошлом, закрыв глаза на вокруг происходящее:

1. Немного ностальгии: историческая вирусология или LoveLetter в цвете современности - 22 года спустя
2. Историческая вирусология: или 40 миллиардов долларов за 18 лет - MyDoom: хронология, история, анализ
3. Историческая вирусология: Чернобыль — как это было на самом деле или как заставить ваш ПК полететь из окна: история, хронология, анализ - CIH
4. Историческая вирусология: разговор о первом черве - или как одна ошибка изменила ход истории - Morris Worm
5. Историческая вирусология: поздняя хронология программ-вымогателей - ZeuS, CryptoLocker, CTB: вирусный трафик ценой в миллиарды. Часть 1
6. Историческая вирусология: локер Илона Маска или как открылась Тесла - поздняя хронология программ вымогателей. Часть 2.
7. Историческая вирусология: американский школьник и 250 миллионов - Blaster Worm: история, хронология, анализ

В продолжение истории Йошиды из прошлой работы, сделаем подводку к дисклеймеру и заодно отсылку, ну как всегда. И вот наш Йошида идет домой, он только что посидел в баре с другом, выпил несколько бокалов хмельного. Солнце уже давным давно село, Токио, какой же прекрасный город, а его ночные переулки - дух захватывает. И вот, озаренный звездами путь Йошиды приводит его в тупик. Он потерялся. Стоп. Кто-то плачет. Напрягая глаза, вглядываясь в саму суть ночи, он замечает в углу сидит… дисклеймер.

Дисклеймер

На самом деле я против зла и то, что я покажу вам далее, может быть, практически применено различного рода антагонистами. Сразу предупреждаю, что я, как автор этой писанины , снимаю с себя ответственность за то с каким умыслом будет использована эта информация дальше. Виноват только и только тот, кто применяет знания, но не тот, кто ими делится. Автор лишь преследует благие цели, используя способы и пути злоумышленников, раскрывает суть преступного механизма, открывая людям глаза, демонстрируя способы защиты, ведь лучший протект - это знания.

И напоминаю, что в рамках этой связки статей у нас действует конкурс на 5.555 рублей, а связан он с отсылками в моих работах: культовые фильмы, анимешки, да и просто мемы с играми. Узнали? Пишите комментарий, ведь тот, кто раздает все пасхалки - получит денежку.

Историческая вируслогия: Политически предубежденный вирус или как очередное исследование зашло не в ту степь - Confiker: история, хронология, анализ

Токио, Япония. Уже 2009 год, наш герой устроился в какую-то фирму по производству игр. И вот, утро понедельника, он следует спокойно на работу, как всегда опаздывая.

У него нет транспорта, но в своих грезах он жаждет машину. Зайдя в офис, он снова подвергается издевательствам со стороны своих коллег, мол тебе уже 25, а девушки нет. Но они ещё не знаю, теперь у него есть дисклеймер.

И вот, он включает свой рабочий ПК, компания-работодатель пожадничала и не стала приобретать антивирус.

Его начальница пригласила его в кино, нужно забронировать билеты, стоп. Йошида пытается подключиться к поисковику, но пишет, что интернета нет, хотя он подключен. Другие коллеги тоже начинают массово жаловаться на перебои в работе сети. Что происходит? Все бегают и пытаются исправить сию ошибку, но гугл по прежнему выдает ошибку DNS.
И вот наш герой решает перезапустить своё устройство, мало ли, может поможет.

Но вдруг, ему препятствует это сделать ошибка, гласящая, что попытка перезагрузки заблокирована из-за множественных попыток получить сессию вашей рабочей учетной записи.

Хм-м, что же делать, ведь без доступа к сайту компании Йошида не может выполнять свою работу. Все, что остается нашему герою, так это молча доложить начальнице и сидеть без дела, втыкая в потолок.

Стоп, так что же произошло?

Screenshot_13.png


Добро пожаловать в абсурд 2009 года, если вы столкнулись с подобным, то у вас определенно проблемы, а имя этому бедствию - Conficker.

Хотя у этого ботнета было куча названий, таких как: Downup, Downadup, Kido, но все эти гнусные ребята выполняли одну и ту же работу, несмотря на различающиеся названия.

В период своего расцвета деятельности этого вредоноса число инфицированных достигло примерно 15 миллионов устройств. Если бы вы были предприятием, использующим Шиндоус на рубеже прошлого десятилетия, то, увидев любой из этих терминов, немедленно подняли бы красные флаги в отношении вашей безопасности и того стоит ли вообще продолжать работать. Давайте углубимся в историю этого червя, ведь этот зловред действительно исторический и стоящий внимания.

Сперва, по традиции, хронология, о да.

Начало ноябля 2008 года, Майкрософт обнаруживает критические уязвимости в сетевом протоколе виндоус ХР и шиндовс сервера 2003. Огласка этой информации и стала причиной написания этого ботнета. Несмотря на то, что патч был выпущен ещё до появления вируса… Кто обновляет его? Я лично - нет. А вы? Представьте теперь, что было в 2009 году.

21 ноября 2008 года - начало. Именно в этот день, в какой-то украинской ИТ компании появляется первая версия конфигера, можно так назвать, да? Окей. Он начинает стремительно распространяться, о том как червь это делал - позже, и за первый день заражает около 250.000 тысяч машин.

1655837423222.png


Ключевым вектором атаки, используемым Conficker.A, является RPC MS08-067, вот это здесь оставлю, а потом уже поговорим детально.

13 декабря 2008 года - появляется версия Conficker.B++, в которой впервые появилась возможность распространения через USB диски.
Находили ли вы в те года флешки на улице, которые просто валялись на земле? Я лично - да. Хотя я тогда был во втором классе, но это не отменяет факт того, что я идиот. И именно конфигер я подцепил.

12 января 2009 года - более 12 миллионов зараженных устройств по всему миру.

23 января 2009 года - сотрудники компании Майкрософт не могут выполнять своих рабочих обязанностей из-за эпидемии конфигера.

12 февраля 2009 года - Microsoft обещает вознаграждение в размере 250.000 долларов тому, кто найдёт создателя этого вредоноса.

24 февраля 2009 года -в свет выходит самый последний вариант - Conficker.C, но был он впервые замечен в
начале марта 2009 года, когда начал массово обновлять более старые версии на уже зараженных устройствах Conficker.B и Conficker.B++.

10 марта 2009 года - Для борьбы с червем была создана рабочая группа Conficker (CWG), состоящая из отдельных лиц и экспертов в области кибербезопасности. Хотя особого толка от них не было.

1 апреля 2009 года - прежде код вируса был проанализирован и в нем была найдена строчка, отвечающая за начало сканирования и ожидания удаленных команд, как раз в эту дату. К всеобщему облегчению (и к ужасу нескольких антивирусных компаний и паранойе), ничего злонамеренного не произошло. Никаких массовых кибератак, никаких утечек официальных документов или утечек данных. Единственным изменением стало количество доменных имен, проверяемых ботами на наличие обновлений в день, которое выросло с 250 до 50 000. Этот шаг, возможно, сделал его немного более устойчивым, но не хуже в плане разрушения.

2 апреля 2009 года - происходит DDoS атака сайта Майкрософт с использованием порядка 10 миллионов устройств.

3 мая 2009 года - выходит версия Конфигер.Е.
Первоначально он вызвал панику из-за своей высокой устойчивости к различиям систем и антивирусному ПО, а также универсальности и способности атаковать как персональные компьютеры, так большие и безопасные цели, как сети национальной обороны. Некоторые из списка пострадавших:
  • Вооружённые силы Германии
  • Министерство обороны Соединенного Королевства
  • Французский флот (где он остановил военные корабли из-за недоступности сети)
  • Заражение муниципальных судов Хьюстона, из-за которого город приостановил рассмотрение мелких обвинений до тех пор, пока не будет найдено решение, и в конечном итоге обошлось городу в 125 000 долларов в виде сборов за удаление.
  • Несколько больниц, включая системы, на которых работали аппараты МРТ и другие предметы первой необходимости.
Кстати, примечательно, что вирус не распространялся на территории Украины и не атаковал устройства, на которых была украинская раскладка. Прикол.

Ну и после эпидемия вируса пошла на спад, но это не отменяет факта и шутки о переустановке, хотя она здесь не помогла бы особо:


И вот наш герой решает скинуть все необходимые для работы файлы и удалиться домой. Вставляет флешку в разъем и все так же, как и на работе. Почему?…

А теперь давайте о методологии распространения и воздействия на систему, разберем разные версии, так как они слегка отличаются. Поехали.

Сперва берем обычную, первую версию - Конфигер А.

Итак, для начала анализа нам понадобится сам файл, к сожалению, он слегка не такой, как изначальный, но ничего.

Мне уже известно, что он скомпилирован в виде динамической библиотеки шиндоус - PE DLL. Давайте проверим, каким методом он упакован, а после сразу же проведем декомпайл:
Код:
file 1.exe
upx -d 1.exe

Видим, что это у нас обычный UPX, поэтому с легкостью можем провести декомпайл.

После попадания на машину, этот хитрец копируется в системные папки, внедряется в исполняемые файлы и присваивает себе дату изменения из kernel32.dll, дабы исключить возможность обнаружения по дате. Неплохо.

В зависимости от типа шиндоус он будет использовать разные методы автоматического запуска, то есть не как винлокер какой-то - тупо прописался в автозапуске реестра и сидит довольный. Если установлена Windows 2000, то он внедряется в процесс services.exe, по старинке скажем так. В противном случае создается собственная служба с именем netsvcs, запускаемая через svchost.exe.

Для этой версии существовал только один способ распространения - это использование уязвимости в службе Server (MS08-067). Но сперва червячок увеличивает возможное число сетевых соединений в системе, посредством модифицирования системного драйвера tcpip.sys. А затем изменяет параметр в реестре:
Код:
'TcpNumConnections' = 'dword:0x00FFFFFE' по пути[HKLM\ SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]

Такой манипуляцией он заодно и не позволяет выполнять любые действия в интернете.

После запускается HTTP сервер на рандомном порте, который и будет использован для последующей передачи вируса на другие устройства. Моментально запускается сканирование сетевого окружения на наличие в нем устройств, то есть корпоративные ПК очень и очень подвержены заражению. После того как он находит доступные устройства в сети, формирует RPC-запрос, который вызывает переполнение буфера при вызове функции wcscpy_s в библиотеке netapi32.dll и получается так, что управление переходит атакующей машине и червь загружается на целевой ПК, а после и выполняется.

1655837393251.png


И здесь самое интересное, что он фиксил эту уязвимость, когда устанавливался, для невозможности повторного использования MS08-067. Конфикер устанавливает “ловушку” на вызов функции NetpwPathCanonicalize из netapi32.dll, которая предотвращала попытку использовать дыру, таким образом он выполнял то, что должно было войти в патч от Майкрософт, точнее оно вошло, но мало кто обновился. Принудительное обновление, черт возьми.
Также существовал некий командный сервер, от которого могли поступать инструкции. Он постоянно менял доменное имя и на этой версии было до 250 изменений в сутки. Ну, это защитный механизм от блэклиста антивирусных компаний.

С этих серверов Конфигер качает другие вредоносные программы и файл loxdadv.exe из trafficconverter.biz.

Ну, а чтобы файлы вы не подменили - для всего загружаемого высчитывался хэш SHA-1 длиной в 512 бит, который затем использовался в качестве ключа шифрования по алгоритму RC4.

Далее он проверял через geoip не из Украины ли вы, а также сравнивал раскладки, в случае позитивного результата он удалялся попросту.

Далее версия Б. В основе своей здесь были затронуты механизмы распространения. Первое - путем использования сетевых ресурсов (каталогов) с дефолтными паролями. Второе - алгоритм заражения USB-Flash носителей с запуском через autorun.inf.

В первом случае производятся попытки подключения к удаленному рабочему столу через RDP под учеткой администратора, используется простенький брутфорс, список паролей задан в коде и представляет собой ключевые связки типа: admin, Administrator 12345, lox и так далее. Допустим, что связка учетных данных была : Admin; lox , сразу же на удаленный компьютер копируется файл червя и создается задание через Task Scheduler, но в случае, если он выключен - заражение не успешное, для запуска червя в качестве сервиса при помощи regsvr32.

Во втором варианте, слегка проще, генерируется autorun.inf, а после и скрытый каталог RECYCLER под случайным именем с расширением vmx, в котором находятся все исполняемые файлы червя.

Кардинально изменился механизм шифрования, в качестве алгоритма был применен алгоритм MD6 (новейший на тот момент и разработанный в 2008 году), длина ключа RSA была увеличена до 4096 бит.

Теперь червь беспокоился о том, чтобы его никаким образом не удалили, потому отключаются следующие службы: Windows Automatic Update Service; Background Intelligent Transfer Service; Windows Security Center Service; Windows Defender Service; Windows Error Reporting Service. И теперь Майкрософт не мог загрузить на зараженные системы средства удаления червя, что порядком усложнило работу по дезактивации. Умно.
Далее устанавливались перехваты на вызов следующих функций библиотеки dnsrslvr.dll: DNS_Query_A; DNS_Query_UTF8; DNS_Query_W; Query_Main; SendTo; NetpwPathCanonicalize; InternetGetConnectedState. Таким образом блокировался доступ к основным сайтам, где можно скачать обновление антивирусных баз или специальные утилиты удаления Конфикера.


В Конфикере версии С не было особых изменений, разве что увеличилось количество генерируемых доменов из 250 до 50.000 тысяч, что порядком усложнило попытки их регистрации.

В менее известной версии D, уже были усовершенствованы методы самозащиты и добавлен новый способ распространения.

Первым делом отключалась возможность загрузки в безопасном режиме и производилась попытка завершить процессы программ, которые как-либо относились к антивирусному ПО.

Внедрен механизм peer-to-peer для обновления червя. Для приема информации от других копий червя создаются два серверных потока, один работает по протоколу TCP, другой - по протоколу UDP. Интересной особенностью реализации p2p, является отказ от исходного списка пиров. Этот список обычно или задается внутри исполняемого кода, либо размещается на публичных серверах. Conficker же находит свои пиры методом сканирования IP адресов, это очень даже умное решение, ведь теперь пиры найти и заблокировать было практически невозможно.

А теперь последняя известная версия Конфигер.Е

Сразу же после выхода возвращаются попытки заразить новые устройства посредством эксплуатации уязвимости MS08-067.

И теперь самое интересное - на зараженные машины начали загружаться различные бэкдоры и прочая чепуха, монетизация пошла вверх. Раньше разработчик не получал ничего, а теперь явно начал грести деньги лопатой.

Первое, что начало подгружаться - это поддельный антивирус Spyware Protect 2009, загружаемый с украинских серверов. Запустившись, он периодически выводит на экран сообщения об обнаруженных в системе вирусах и предлагает купить свою платную полную версию с возможностью исправления всех багов, ошибок и удалением вирусов. Смешная шутка.

Вторая - троян Waledac, также известного как Iksma, он был обнаружен в январе 2009 года и если вам так захочется, могу разобрать популярные бэкдоры и их историю: типа ядовитого плюща и тому подобных.

Основная задача этого трояна - кража персональных данных и рассылка спама. В феврале 2010 года Федеральный суд штата Вирджиния удовлетворил иск Microsoft и разрешил приостановить обслуживание 277 доменов, связанных с системой управления Waledac. Все эти были домены зарегистрированы в зоне .com, оператором которой является американская компания VeriSign.

Ну и на этом эпидемия этого вируса закончилась. Основным методом устранения конфигера на вашем устройстве до сих пор является переустановка системы, но на данный момент современные антивирусные программы способны остановить распространение и деятельность червя на устройстве.

А после 9-го мая 2009 года он начал просто самоуничтожаться на зараженных ПК.

Итоги

Вот пишу я значится итоги и не могу подобрать слов. Очень странные ощущения вызывает существование подобного вируса, он изначально не пытался нанести фундаментальный вред системе, не воровал данные, а только уже в последних версиях начал чудить какую-то хрень. В кое-то веки мне напоминает это деятельность червя Мортиса, но только сперва.

Это вышел очень продуманный и грамотный вредонос, который будь он изначально настроен для вреда, мог бы нанести сотни миллиардов долларов ущерба, ну а так только примерно 2-5. Как в случае и с Моррисом, мне кажется, что это изначально было исследованием не более и делалось явно не одним человеком, возможно, из-за возникших разногласий в команде вышло так, что червь просто прекратил своё существование.

До сих пор так и не определили кто и откуда создал этого зловреда, одни говорят - Украина, вторые Китай. А как оно на самом деле уже, наверное, не узнаем мы никогда. Это останется под ширмой истории. Ещё одна погрешность или абсурдное исследование? Как знать.

А с вами был, как всегда, какой-то парень под именем DeathDay, и его статья. Не прощаюсь. Мира всем.

2008-2009. Confiker.​
 
Мы в соцсетях: