Доктор Веб: Исследование объектов, загружаемых BackDoor.Flashback на зараженные "маки"

Hit WebСпециалисты компании "Доктор Веб" продолжают исследования крупномасштабного ботнета, созданного злоумышленниками с использованием троянской программы BackDoor.Flashback для компьютеров, работающих под управлением операционной системы Mac OS X. Одним из предметов наиболее пристального изучения стали объекты, загружаемые трояном с принадлежащих злоумышленникам командных серверов и запускаемые на инфицированном компьютере.

Троян BackDoor.Flashback.39, используя уязвимости Java, сохраняет на жесткий диск Apple-совместимого компьютера исполняемый и специальный файлы, отвечающие за запуск приложения.

Также он использует сервис launchd, которому передается сохраненный на диске конфигурационный файл. Это позволяет запустить трояна без участия пользователя. Затем BackDoor.Flashback.39 соединяется с управляющим сервером, загружает на инфицированную машину исполняемый файл, и устанавливает его в системе. В этот момент троян демонстрирует на экране "мака" диалоговое окно для ввода пароля администратора. Если пользователь указывает этот пароль, вредоносная программа запускается с повышенными привилегиями, однако даже если пароль не будет введен, троян сохраняется в "домашнюю" папку пользователя и запускается с использованием полномочий его учетной записи. Пользовательских прав в операционной системе ему вполне достаточно для того, чтобы реализовать свой вредоносный потенциал.

В дальнейшем загружаемым на диск вредоносным приложением используется два типа управляющих серверов. Первая категория командных центров - реализует функции перехвата поискового трафика, перенаправления пользователя на контролируемые злоумышленниками сайты в процессе веб-серфинга и некоторые другие действия. Вторая группа - позволяет отдавать ботам различные команды, реализующие на инфицированной машине функции бэкдора. Специалистам компании "Доктор Веб" удалось перехватить используемые полезной нагрузкой трояна BackDoor.Flashback домены управляющих серверов и произвести анализ обращений к ним ботов.

Первая категория доменов управляющих серверов генерируется трояном на основе заложенного в его конфигурационных данных списка, в дополнение к ним формируется еще один перечень доменов, имена которых зависят от текущей даты. При этом сформированное вредоносной программой имя домена второго уровня одинаковое, в то время как в качестве домена верхнего уровня используются различные варианты, такие как .org, .com, .co.uk, .cn, .in. Все управляющие серверы опрашиваются трояном по очереди в порядке составленного списка, при этом командному центру передается GET-запрос

  • /owncheck/

или

  • /scheck/


содержащий в поле useragent значение UUID инфицированного "мака". Если в ответ троян получит подписанное значение SHA1 от имени домена, то такой домен будет считаться доверенным и в дальнейшем будет использоваться в качестве командного сервера.

После того как вредоносная программа определит домен из первой категории, начинается поиск доменов второго типа. На основе заложенного в конфигурационных данных списка бот опрашивает ряд доменов управляющих серверов, передавая им GET-запрос

  • /auupdate/


содержащий в поле useragent подробную информацию об инфицированной системе. Пример такого запроса показан ниже:

20|i386|9.8.0|4DE360BE-E79E-5AD6-91CF-D943761B3785|6bbbbfb49b1659ebaaadffa20215bfc787577bd8|001|007|0

Где:

  • 1 — версия бота
  • 2 — архитектура (hw.machine)
  • 3 — версия ядра (kern.osrelease)
  • 4 — Hardware UUID
  • 5 — SHA1 от файла полезной нагрузки
  • 6 — битовая маска наличия дополнительных браузеров
  • 7 — константа
  • 8 — значение, указывающее на привилегии, с которыми запущен бот: 0 — обычный пользователь, 1 — привилегированный пользователь.


Если управляющий сервер не вернет правильный ответ, троян формирует на основе текущей даты строку, использующую в качестве хеш-тега для поиска по адресу

  • http://mobile.twitter.com/searches?q=#<строка>


Например, для даты 13.04.2012 некоторые версии трояна генерируют строку вида "rgdgkpshxeoa" (у иных версий бота строка может отличаться). Если в Twitter удается обнаружить сообщение, содержащее метки bumpbegin и endbump, между которыми содержится адрес управляющего сервера, он будет использован в качестве имени домена. Перехват доменов этой категории компания "Доктор Веб" начала 13 апреля, однако уже на следующий день, в субботу 14 апреля, зарегистрированная специалистами "Доктор Веб" учетная запись в Twitter была заблокирована.

По данным на 13 апреля 2012 года, в течение суток поступило:

  • на управляющие домены первой группы - 30 549 запросов с уникальными UUID;
  • на домены второй категории — 28 284 запросов с уникальными UUID.

Общее количество запросов с уникальными UUID, отправленных на управляющие серверы полезной нагрузки ботнета BackDoor.Flashback, в период с 12 по 26 апреля 2012 года составило 95 563. Другие статистические данные, полученные в результате суточного анализа обращений полезной нагрузки ботнета BackDoor.Flashback к управляющим серверам за 13 апреля 2012 года, показаны на представленных ниже графиках.

Raspredelenie botov po versiyam botov Raspredelenie zaprosov po tipu platformi Raspredelenie zaprosov po versii yadra OS Raspredelenie zaprosov po nalichiu ili otsutstv admin privelegii


Обновлено (29.04.2012 20:50)