Nova generacija ZeroAccess rootkit malvera

Opisi virusa, 14.06.2012, 11:26 AM

SophosLabs, centar za analizu malvera, konstantno nadzire famozni ZeroAccess rootkit, koji pogađa internet poslednjih par nedelja. ZeroAccess je sofisticirani kernel-mode rootkit koji svoje žrtve ubacuje u peer-to-peer botnet iz koje dobijaju komande za preuzimanje drugog malvera.

Rootkit se svaki dan menja, tako da je otkriven veliki broj njegovih varijacija, ali ova poslednja pokazuje veliku promenu u strategiji napada. Sve prethodne verzije rade u kernel komponenti 32-bitnog Windows-a, međutim u 64-bitnom Windows-u ZeroAccess radi isključivo u korisničkoj memoriji. Upravo ovaj rad u korisničkoj memoriji predstavlja osnovnu prekretnicu u strategiji koju koristi najnovija verzija.

ZeroAccess uopšte više ne funkcioniše u kernel komponenti Windows-a. Umesto toga, ovaj rootkit učitava svoj DLL u services.exe i explorer.exe i sve njegove funkcionalnosti se izvršavaju unutar ovih procesa. Prethodna generacija ZeroAccess-a je obezbeđivala svoje ponovno pokretanje nakon restarta sistema upisivanjem u Windows drajvere. Dok ova verzija koristi registry kako bi osigurala da će se opet startovati posle restarta.

ZeroAccess će kreirati dva fajla na zaraženom računaru, i bilo koji od njih može da pokrene trojanca:

%WINDOWS%\installer\{GUID}\n
%profile%\local settings\application data\{GUID}\n

Ova dva fajla se pokreću kroz registry, hakovanjem postojećeg COM objekta i zloupotrebom redosleda po kom se učitavaju korisnički COM objekti pod Windows-om.

Prvi fajl se pokreće hakovanjem COM objekta povezanog sa WMI. Sledeći unos u registry-ju je izmenjen tako da se maliciozni DLL ZeroAccess-a učitava na mesto legitimnog wbemess.dll:

HKCR\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32

Ispravna vrednost:

%systemroot%\system32\wbem\wbemess.dll

Hakovana vrednost:

\\.\globalroot\systemroot\Installer\{e051c979-bddd-5d1f-8953-4b8c940e9b4d}\n

Drugi fajl se pokreće kreiranjem sledećeg COM objekta:

HKCU\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}

Ovaj objekat upućuje na fajl koji se nalazi na sledećoj lokaciji:

%profile%\local settings\application data\{GUID}\n

Ovo će omogućiti da se DLL učita zato što legitimni COM objekat postoji na sledećoj lokaciji:

HKCR\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}

Ovaj COM objekat pripada MruPidlList koji će učitati shell32.dll na Windows-u 7 i shdocvm.dll na Windows-u XP.

Zbog toga što je COM objekat koji ZeroAccess kreira - korisnički, Windows će ga učitati pre legitimnog objekta koji se nalazi u registry-ju pod HKEY_CLASSES_ROOT. Prava prednost ovakvog pristupa je što će jednako raditi i na 32-bitnim i na 64-bitnim sistemima.

Peer-to-peer protokol koji koristi botnet ZeroAccess-a je takođe izmenjen. Ranije su sve komunikacije bile RC4 enkriptovane uz pomoć fiksnog ključa. To je sada izmenjeno. Glavni algoritam za enkripciju je sada mnogo jednostavniji, primenjuje se DWORD XOR sa ključem koji se konstantno menja.

Same komande koje su uključene u protokol su takođe malo izmenjene.

Prethodna verzija se startovala izdavanjem komande ‘getL’ svakom peer-u koji se nalazi u njenoj bootstrap listi peer-ova. Komanda se šalje preko TCP-a i to najčešće na neki od sledećih portova: 22292, 34354, 34355, 21810.

Udaljena mašina bi onda odgovorila sa ‘retL’ komandom koja sadrži sopstvenu listu peer-ova i listu fajlova koje je bot preuzeo. Novi bot bi onda proverio listu fajlova i preuzeo nove fajlove izdavanjem komande ‘getF’. Ovi fajlovi su potpisani sa 512-bitnim RSA ključem.

Nova verzija takođe započinje svoj napad izdavanjem ‘getL’ komande, ali ovog puta komanda se šalje preko UDP-a, brojevi portova koji se koriste su drugačiji i struktura komandnog zaglavlja je izmenjena.

Udaljeni peer i dalje vraća ‘retL’ komandu, ovoga puta preko UDP-a i ovoga puta podaci o fajlovima su praćeni potpisom koji kreira novi 1024-bitni ključ. Sada, umesto slanja ‘getF’ komande udaljenom peer-u kako bi od njega preuzeo fajlove koje lokalni peer nema, lokalna mašina jednostavno pošalje kriptovane informacije o fajlu (ime fajla, dužinu i timestamp vrednost) udaljenom peer-u preko TCP-a na isti broj porta preko kog se odvijala UDP komunikacija.

Udaljeni peer tada vraća fajl kriptovan sa RC4 algoritmom i ključ izveden iz informacija o fajlu.

Ova nova verzija ZeroAccess se agresivno širi putem standardnih mehanizama - usputnih preuzimanja, lažnih generatora za otključavanje softvera, lažnih igrica, dok su novi uzorci starih varijacija i dalje prisutni u velikom broju.

Jasno je da su se tvorci ovog malvera odlučili za objedinjeni pristup podržanim platformama, kao i za to da promene tragove koje ZeroAccess ostavlja na zaraženim mašinama i na zaraženim mrežama. Na ovaj potez su se najverovatnije odlučili zbog povećane pažnje koju je ova porodica malvera dobijala od strane kompanija koje se bave IT zaštitom, ali i zbog toga što se sve više korisnika opredeljuje za 64-bitne sisteme, pa ima smisla da se autori ovog malvera usresrede na ovu platformu, jer održavanje komplikovane kernel komponente, koja radi samo na 32-bitnim sistemima, jednostavno nije više isplativo.

Cilj ZeroAccess-a ostaje isti: da sa zaraženih računara preuzme dodatni malver. Tipovi malvera koje vidimo da se preuzimaju su uglavnom isti: klik-prevare i spam-botovi, mada je sada i BitCoin miniranje postalo deo ovog spektra.

Izvor: Personalmag.rs