Фабрика наживи, Безпека ПЗ, Security & Hack, статті

Дана стаття присвячена результатам дослідження одного спам-повідомлення, які демонструють, які методи використовують сучасні зловмисники для створення ботнетів і проведення спам-розсилок. Ці методи і прийоми носять відверто кримінальний характер і служать одній меті – збагачення кіберзлочинців.


Спам


На початку літа 2009 року в нашу лабораторію контентної фільтрації почали надходити листи, на перший погляд нічим не відрізнялися від типових спам-повідомлень. Це була дуже поширена в спам реклама медикаментів, стандартно оформлена – з HTML-частиною і вставленими картинками:


Приклад спам-листи, надісланого на webmaster@viruslist.com


Однак у цих листів було одне властивість, виділяло їх із загального потоку спаму. Посилання в листах вели не на сайти спамерів, а на HTML-сторінки, розташовані на легітимних сайтах.


Хоча домени в посиланнях змінювалися від листа до листа, шлях на сервері мав один і той же вид: “1/2/3/4/buy.html”.


Оригінальний текст листа, що містить посилання на легальні сайти


Всі сторінки, на які вели посилання, містили однорядковий HTML-файл з тегом META refresh. Призначення цього тега – перенаправити користувача на іншу сторінку, в даному випадку на сайт онлайн-магазину, продає медикаменти, який насправді і рекламували спамери.


Оригінальний текст веб-сторінки, перенаправляє на сайт спамерів


Сайт, на який перенаправлялися користувачі


Одним з методів детектування спаму є занесення в чорний список доменного імені, зазначеного на засланні в спам-листі, що дозволяє детектувати все спамові листи рекламної розсилки незалежно від тексту повідомлення. В даному випадку детектування доменів, зазначених у спамові листи, не представлялося можливим, тому що посилання вели на легальні сайти, причому кожен день співробітники лабораторії контентної фільтрації фіксували близько 10 нових доменів. Цей метод відомий спамерам вже кілька років, але використовується він рідко, оскільки вимагає великих витрат, ніж покупка нових доменів.


Уявлялося найбільш ймовірним, що сайти, вказані в листах, були зламані і використані зловмисниками для розміщення веб-сторінок, перенаправляли користувачів на сайт спамерів. Однак залишалося незрозумілим, як зловмисникам вдалося зламати таку велику кількість сайтів?


Сайти


Більшість цих сайтів неможливо було зламати стандартними методами. Побіжний аналіз зламаних веб-ресурсів не показав наявності однакових вразливостей, одних і тих же технологій побудови сайтів і т.д. Більш того, більшість з них були створені тільки на HTML, без будь-яких скриптів. Єдине, що об’єднувало зламані сайти – це наявність папки з файлом “buy.html”, який містив HTML-тег, що перенаправляє користувачів на сайт спамерського онлайн-магазину, що продає медикаменти.


Проте в ході поглибленого аналізу вмісту одного з зламаних сайтів було виявлено дуже добре замаскований IFRAME, що перенаправляє користувачів на сайт b9g.ru. Це відразу насторожило аналітиків, тому що подібні IFRAME з посиланням на підозрілі сайти часто використовуються зловмисниками для зараження комп’ютерів користувачів за допомогою експлойтів.


Вміст сторінки зламаного сайту


Аналіз розташування сайту b9g.ru показав, що він розміщений на 5 IP-адреси:



Зібравши інформацію про домени, також зареєстрованих на цих адресах, ми виявили домени, адреси яких використовувалися зловмисниками для вставки в IFRAME на зламаних сайтах, наприклад: a3l.ru, b5r.ru, b5z.ru, b7p.ru, b8o.ru, b9g.ru, c6y.ru, c8k.at, f5l.at, f5x.at і т.д. Це підтвердило наші підозри щодо шкідливості IFRAME, виявленого на зламаному сайті.


Експлойти


На наступному етапі було необхідно виявити, що саме завантажувалося на комп’ютери користувачів з адреси http://b9g.ru:****/*****.php. Як і очікувалося, при першому відвідуванні сайту разом з index.php скачували експлойти. Зловмисники використовували різноманітні вразливості в ПЗ, найнебезпечнішими і “пробивними” з них були експлойти для вразливостей в PDF.



Вміст index.php до і після розшифровки


Бот


Результатом експлуатації вразливостей була завантаження і установка на комп’ютери користувачів виконуваного файлу Backdoor.Win32.Bredolab. Функціоналом даної шкідливої ​​програми з реалізованими в ній руткіт-технологіями є завантаження та встановлення інших шкідливих програм.


Частина дампа пам’яті руткіт-даунлоадер, завантаженого з адреси


Bredolab намагається запобігти виконання себе в SandBox. Для цього він перевіряє на відповідність:



Якщо хоча б одна з умов виконується, шкідлива програма завершує свою роботу.


Bredolab також завершує роботу, якщо на зараженому комп’ютері встановлений COMODO Firewall.


В інших випадках Bredolab копіює себе в файл% Temp% ~ TM27FB4A.TMP, впроваджує свій код в explorer.exe, запускає в ньому новий потік і переміщує себе в% Temp% ~ TM% TempName%. Подальша робота бота відбувається в занедбаному їм потоці, а початковий процес завершується.


При вдалому підключенні до командного центру бот відправляє GET-запит:



&uid=11&first={0/1}&guid={VolumeSerialNumber}&rnd=6293712

У відповідь сервер передає боту зашифровані програми, які бот може потім записати в новий файл% Windows% Tempwpv% rand_number%. Exe (з подальшим запуском файлу) або в новий створюваний процес svchost.


Приклад зашифрованого повідомлення від командного центру




HTTP/1.1 200 OK
Server: nginx
Date: Mon, 06 Jul 2009 17:08:22 GMT
Content-Type: text/html; charset=utf-8
Connection: close
X-Powered-By: PHP/5.1.6
Version: 1
Content-Length: 55709
Entity-Info: 1241530597:32768:1;1246898982:22941:2;
Rnd: 982101
Magic-Number:
32/1/187:55:66:132:143:54:243:114:97:146:132:5:192:141:199:113:160:130:101
:167:50:61:32:107:127:128:84:144:169:61:158:100:…

Відповідь командного центру. Ключ для розшифровки, міститься в поле Magic-Number


В ході роботи бот повідомляє господарям ботнету про свою активності, відсилаючи GET-запит виду:


GET /l/controller.php?action=report&guid=0&rnd=6293712&uid=11&
entity = {число: unique_start / unique_failed / repeat_start / repeat_failed; число: …}

Троянець для крадіжки паролів


В результаті з’єднання бота з командним центром на заражену систему завантажувалася і встановлювалася шкідлива програма Trojan-PSW.Win32.Agent.mzh, що здійснює крадіжку паролів до FTP-клієнтам.


Розшифрований код троянця для крадіжки паролів до FTP-клієнтам


Вкрадені паролі для доступу до сайтів через протокол FTP відправлялися зловмисникам на наступну адресу:


Розташування сервера, на який відправлялися вкрадені паролі для доступу до сайтів


Нарешті ситуація зі зламаними сайтами прояснилася. Зловмисники не намагалися зламати безліч сайтів з допомогою SQL-ін’єкцій або експлойтів для движків сайтів – вони просто крали паролі до FTP-клієнтам, і таким чином отримували можливість керувати вмістом сайтів.


За описом троянця Trojan-PSW.Win32.Agent.mzh на хакерських форумах була знайдена система для крадіжки паролів до сайтів, в яку входила дана програма. Систему пропонувалося придбати за $ 2000.


Завантаження інших шкідливих програм


Через тиждень командний центр ботнету віддав команду на завантаження ботів для розсилки спаму: Rustock (Backdoor.Win32.HareBot) і Pushdo (Backdoor.Win32.NewRest.aq)!


А ще через тиждень на заражені комп’ютери були встановлені шкідлива програма сімейства koobface і фальшивий антивірус.


Схема атаки


В результаті невеликого розслідування, яке почалося зі спам-листа, надісланого на адресу webmaster@viruslist.com, Була виявлена ​​наступна схема роботи зловмисників:


Схема роботи системи злому сайтів і розсилки спам-повідомлень


Ця схема демонструє технології та методи, часто використовувані зловмисниками для створення ботнетів і підготовки плацдармів для розсилки спаму:



  1. Злом легітимних ресурсів.

  2. Розміщення на скомпрометованих сайтах сторінок, перенаправляти відвідувачів на спамерські сайти.

  3. Розміщення на скомпрометованих сайтах посилань на експлойти.

  4. Побудова ботнету із заражених комп’ютерів відвідувачів скомпрометованих сайтів.

  5. Крадіжка паролів до сайтів скомпрометованих користувачів.

  6. Завантаження на машини, що входять в ботнет, спам-ботів для розсилки спаму і інших шкідливих програм.

Дані методи дозволяють зловмисникам організувати добре налагоджений процес, який в ідеалі є зацикленим.


Висновок


Розсилка спамових листів з посиланнями на зламані і заражені сайти триває. Щогодини ми виявляємо кілька десятків нових адрес таких сайтів.


Приклад листа, з посиланням на сторінку на зламаному сайті


Оригінальний текст HTML-частини листа


Посилання (http://…/1.html) Вказує на сторінку на зламаному сайті, яка містить тег, що перенаправляє користувача на сайт онлайн-магазину медикаментів.


Спамери використовують цей прийом в різних листах, змінюють імена сторінок-перенаправлень, роздають інші експлойти через IFRAME, але сенс від цього змінюється мало. Всі ці технології, поставлені на потік, використовуються для наживи.


P.S.


У липні з’явилася новина про злом популярного торрент-трекера Torrentreactor. За способом впровадження тегів, перенаправляли користувачів на сайт з експлойта, видно, що при зломі була використана шкідлива програма для крадіжки паролів до FTP-клієнта. З її допомогою пароль був вкрадений з комп’ютера, з якого здійснювався доступ на сайт.


Частина зламаного сайту Torrentreactor.net (скріншот з securitylabs.websense.com/content/Assets/AlertMedia/Torrenreactor1_alert.jpg)


Це ще один приклад одного з багатьох аналогічних зломів.

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*