Nova generacija ZeroAccess rootkit malvera

Opisi virusa, 14.06.2012, 11:26 AM

Nova generacija ZeroAccess rootkit malvera

SophosLabs, centar za analizu malvera, konstantno nadzire famozni ZeroAccess rootkit, koji pogađa internet poslednjih par nedelja. ZeroAccess je sofisticirani kernel-mode rootkit koji svoje žrtve ubacuje u peer-to-peer botnet iz koje dobijaju komande za preuzimanje drugog malvera.

Rootkit se svaki dan menja, tako da je otkriven veliki broj njegovih varijacija, ali ova poslednja pokazuje veliku promenu u strategiji napada. Sve prethodne verzije rade u kernel komponenti 32-bitnog Windows-a, međutim u 64-bitnom Windows-u ZeroAccess radi isključivo u korisničkoj memoriji. Upravo ovaj rad u korisničkoj memoriji predstavlja osnovnu prekretnicu u strategiji koju koristi najnovija verzija.

ZeroAccess uopšte više ne funkcioniše u kernel komponenti Windows-a. Umesto toga, ovaj rootkit učitava svoj DLL u services.exe i explorer.exe i sve njegove funkcionalnosti se izvršavaju unutar ovih procesa. Prethodna generacija ZeroAccess-a je obezbeđivala svoje ponovno pokretanje nakon restarta sistema upisivanjem u Windows drajvere. Dok ova verzija koristi registry kako bi osigurala da će se opet startovati posle restarta.

ZeroAccess će kreirati dva fajla na zaraženom računaru, i bilo koji od njih može da pokrene trojanca:

%WINDOWS%\installer\{GUID}\n
%profile%\local settings\application data\{GUID}\n

Ova dva fajla se pokreću kroz registry, hakovanjem postojećeg COM objekta i zloupotrebom redosleda po kom se učitavaju korisnički COM objekti pod Windows-om.

Prvi fajl se pokreće hakovanjem COM objekta povezanog sa WMI. Sledeći unos u registry-ju je izmenjen tako da se maliciozni DLL ZeroAccess-a učitava na mesto legitimnog wbemess.dll:

HKCR\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32

Ispravna vrednost:

%systemroot%\system32\wbem\wbemess.dll

Hakovana vrednost:

\\.\globalroot\systemroot\Installer\{e051c979-bddd-5d1f-8953-4b8c940e9b4d}\n

Drugi fajl se pokreće kreiranjem sledećeg COM objekta:

HKCU\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}

Ovaj objekat upućuje na fajl koji se nalazi na sledećoj lokaciji:

%profile%\local settings\application data\{GUID}\n

Ovo će omogućiti da se DLL učita zato što legitimni COM objekat postoji na sledećoj lokaciji:

HKCR\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}

Ovaj COM objekat pripada MruPidlList koji će učitati shell32.dll na Windows-u 7 i shdocvm.dll na Windows-u XP.

Zbog toga što je COM objekat koji ZeroAccess kreira - korisnički, Windows će ga učitati pre legitimnog objekta koji se nalazi u registry-ju pod HKEY_CLASSES_ROOT. Prava prednost ovakvog pristupa je što će jednako raditi i na 32-bitnim i na 64-bitnim sistemima.

Peer-to-peer protokol koji koristi botnet ZeroAccess-a je takođe izmenjen. Ranije su sve komunikacije bile RC4 enkriptovane uz pomoć fiksnog ključa. To je sada izmenjeno. Glavni algoritam za enkripciju je sada mnogo jednostavniji, primenjuje se DWORD XOR sa ključem koji se konstantno menja.

Same komande koje su uključene u protokol su takođe malo izmenjene.

Prethodna verzija se startovala izdavanjem komande ‘getL’ svakom peer-u koji se nalazi u njenoj bootstrap listi peer-ova. Komanda se šalje preko TCP-a i to najčešće na neki od sledećih portova: 22292, 34354, 34355, 21810.

Udaljena mašina bi onda odgovorila sa ‘retL’ komandom koja sadrži sopstvenu listu peer-ova i listu fajlova koje je bot preuzeo. Novi bot bi onda proverio listu fajlova i preuzeo nove fajlove izdavanjem komande ‘getF’. Ovi fajlovi su potpisani sa 512-bitnim RSA ključem.

Nova verzija takođe započinje svoj napad izdavanjem ‘getL’ komande, ali ovog puta komanda se šalje preko UDP-a, brojevi portova koji se koriste su drugačiji i struktura komandnog zaglavlja je izmenjena.

Udaljeni peer i dalje vraća ‘retL’ komandu, ovoga puta preko UDP-a i ovoga puta podaci o fajlovima su praćeni potpisom koji kreira novi 1024-bitni ključ. Sada, umesto slanja ‘getF’ komande udaljenom peer-u kako bi od njega preuzeo fajlove koje lokalni peer nema, lokalna mašina jednostavno pošalje kriptovane informacije o fajlu (ime fajla, dužinu i timestamp vrednost) udaljenom peer-u preko TCP-a na isti broj porta preko kog se odvijala UDP komunikacija.

Udaljeni peer tada vraća fajl kriptovan sa RC4 algoritmom i ključ izveden iz informacija o fajlu.

Ova nova verzija ZeroAccess se agresivno širi putem standardnih mehanizama - usputnih preuzimanja, lažnih generatora za otključavanje softvera, lažnih igrica, dok su novi uzorci starih varijacija i dalje prisutni u velikom broju.

Jasno je da su se tvorci ovog malvera odlučili za objedinjeni pristup podržanim platformama, kao i za to da promene tragove koje ZeroAccess ostavlja na zaraženim mašinama i na zaraženim mrežama. Na ovaj potez su se najverovatnije odlučili zbog povećane pažnje koju je ova porodica malvera dobijala od strane kompanija koje se bave IT zaštitom, ali i zbog toga što se sve više korisnika opredeljuje za 64-bitne sisteme, pa ima smisla da se autori ovog malvera usresrede na ovu platformu, jer održavanje komplikovane kernel komponente, koja radi samo na 32-bitnim sistemima, jednostavno nije više isplativo.

Cilj ZeroAccess-a ostaje isti: da sa zaraženih računara preuzme dodatni malver. Tipovi malvera koje vidimo da se preuzimaju su uglavnom isti: klik-prevare i spam-botovi, mada je sada i BitCoin miniranje postalo deo ovog spektra.

Izvor: Personalmag.rs


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Desetine hiljada WordPress sajtova zaraženo novim malverom Sign1

Desetine hiljada WordPress sajtova zaraženo novim malverom Sign1

Malver „Sign1“ inficira WordPress veb sajtove, i preusmerava posetioce na prevare ili ih bombarduje reklamama, upozorili su istraživači ... Dalje

Kako je malver Inferno Drainer ukrao više od 80 miliona dolara od 136.000 korisnika kriptovaluta

Kako je malver Inferno Drainer ukrao više od 80 miliona dolara od 136.000 korisnika kriptovaluta

Kao što privlači milione ljudi širom sveta, tako svet kriptovaluta privlači i sajber kriminalce koji pokušavaju da iskoriste neiskustvo i neznanj... Dalje

Hakeri koriste grešku u Windows SmartScreen da prevare korisnike da preuzmu malver

Hakeri koriste grešku u Windows SmartScreen da prevare korisnike da preuzmu malver

Phemedrone je novi malver za krađu informacija koji inficira računare koristeći ranjivost Microsoft Defender SmartScreena (CVE-2023-36025). Phemedr... Dalje

Nova varijanta zloglasnog Mirai botneta širi malver za rudarenje kriptovaluta

Nova varijanta zloglasnog Mirai botneta širi malver za rudarenje kriptovaluta

Istraživači sajber bezbednosti iz kompanije Akamai otkrili su novu verziju čuvenog botneta Mirai pod nazivom NoaBot, koja se koristi za distribucij... Dalje

Malver MS Drainer ukrao 59 miliona dolara preko Google oglasa i oglasa na X-u

Malver MS Drainer ukrao 59 miliona dolara preko Google oglasa i oglasa na X-u

Istraživači bezbednosti otkrili su novu seriju napada „crypto drainer” malvera koji je do sada ukrao 59 miliona dolara žrtvama koje su ... Dalje