V první části naší analýzy jsme se zaměřili na distribuci a infekce mechanismů používaných Flashfake (aka Flashback) škodlivý program, který do konce dubna 2012 bylo infikováno přes 748,000 počítačů Mac OS X. V této druhé části se podíváme na jeho další funkce a jak se počítačoví zločinci za Flashfake se zpeněží na botnet, které byly vytvořeny.
Dynamická knihovna
Flashfake škodlivý program se skládá z několika modulů, stejně jako dynamické knihovny, které se vstříkne do prohlížeče procesů. Tato dynamická knihovna je implementována jako modul do vstřikovače na výskyt škodlivého kódu - viz obrázek níže.
Flashfake provozní vývojový diagram
Naše databáze aktuálně obsahuje podpis dvě modifikace této knihovny, více obyčejně známý jako libmbot.dylib. Tato dynamická knihovna je standardní Mach-O balíček pro 32-bitové a 64-bitové verze systému a je přibližně 400 kB.
Knihovní provoz začíná standardní _dylibmain funkci, která přijímá celé číslo jako jeho vstup. Ve výchozím nastavení je pro užitečné zatížení být aktivovány, by měly mít hodnotu celé číslo 7.
Pseudokód zahájit dynamické knihovny je původní funkce
Po kontrole vstupní parametr, knihovna začne dekódování konfigurace blok definuje všechny škodlivý užitečné zatížení do knihovny. Dešifrování se provádí pomocí algoritmu RC4 s base64 dekódování.Konfigurační blok je tabulka s každou položku, která sestává z ID, typu záznamu a vstup na hodnotě.Veškerá další činnost, které knihovna pochází z příslušného pokynu k ID položky v tomto bloku.
Ukázka konfiguračního bloku škodlivého Flashfake dynamické knihovny
Tento oddíl obsahuje následující typy záznamů, které definují funkčnost:
- Funkce pro aktualizaci a infikování prohlížečů přes DYLD_INSERT_LIBRARIES (popsáno v části 1 naší analýzy);
- Původní seznam domén, které působí jako C & C serverech pro dynamické knihovny;
- Funkce pro tvorbu doménových jmen v "org", "com", "co.uk", "KN", a "ve skupině zónách pro vyhledání C & C serverů;
- funkce pro generování třetí level domén pro domény ". PassingGas.net ','. MyRedirect.us ','. rr.nu ','. Kwik.To ','. myfw.us ','. OnTheWeb.nu "atd.;
- funkce pro hledání C & C serverů generování hledání žádosti o mobilní verzi Twitter ;
- Funkce pro vstřikování externí kód do kontextu stránek navštívených tímto uživatelem.
Vstřikovací mechanismus
Ve výchozím nastavení knihovna, jakmile se nachází v rámci prohlížeče provedení, sleduje všechny uživatelovy požadavky od zavěšení odeslat, recv a CFReadStreamRead a CFWriteStreamWrite funkce.Když zjistí, že místo uvedené v konfiguračním bloku je zobrazena, knihovna vstřikuje následující JavaScript ze serveru do prohlížeče kontextu.
JavaScript vstříkne do kontextu prohlížeče provedení
Hodnota {domena} pole ze seznamu počátečních C & C serverech, např.:
googlesindication.com, gotredirect.com, dotheredirect.com, adfreefeed.com, googlesindications.cn, googlesindications.in, instasearchmod.com, jsseachupdates.cn.
Ve výchozím nastavení je tato JavaScript vždy provádějí, pokud prohlížeč přistupuje Google.com.Nicméně, konfigurace blok obsahuje seznam 321 domén, pro které je JavaScript není dovoleno provádět, pokud jsou uvedeny v vyhledávacích dotazů. Stejně jako vyhledávače, seznam zahrnuje sociální sítě, zpravodajské weby a online obchody a banky. Tyto domény jsou s největší pravděpodobností na seznamu, aby se minimalizovala provoz k serveru zločinci ".
Seznam domén, které jsou vyloučeny z injekce JavaScript
Verze audit
Dynamické knihovny funkčnost obsahuje self-aktualizace mechanismus. Tvůrci se také mechanismus, který ověří, C & C serverů a aktualizaci signatur pomocí RSA algoritmu. V současné době existují dvě hlavní verze škodlivého knihovny. Bohužel, je propojení datum pro všechny škodlivé soubory nastavena na 1. ledna 1970, která nám brání vytvářet přesný časový plán pro uvolnění knihoven. Přesto může rozdíly ve funkcích obsažených v knihovnách nám umožní určit, kdy se objevil.
Na základě naší analýzy, charakteristické rysy verze 1.0odst. MD50x8ACFEBD614C5A9D4FBC65EDDB1444C58) , který byl aktivní až do března 2012, jsou náhodné knihovna jména, zaháknout o CFReadStreamRead a CFWriteStreamWrite funkcí a instalace v / Users / shared / .svcdmp. Škodlivý JavaScript je také zahrnuta v těle skutečné škodlivého programu.Jediné rozdíly ve verzi 1.1 jsou změny původního seznamu C & C serverů a algoritmus pro generování svých nových doménových jmen.
Ve verzi 2.0 (MD5 434C675B67AB088C87C27C7B0BC8ECC2) - aktivní v březnu 2012 - C & C Server vyhledávací algoritmus, který funguje přes twitter.com byl přidán. Škodlivý JavaScript byla přesunuta do konfiguračního bloku, a podpora byla přidána k odesílání a recv funkcí pro dopravní odposlechu a falešnou identifikaci. Pevná název škodlivého knihovny - libmbot.dylib - byl také přidán ve verzi 2.0, stejně jako další nakladače a další kontrola na vstupní parametr pro aktivaci hlavní část škodlivého programu. Verze 2.1 obsahuje nový algoritmus pro hledání C & C serverů přes Twitter. Nejnovější verze knihovny, která v současné době známe - verze 2.2 - je zajímavé především kvůli jeho prohlížeči Firefox add-on.
Firefox add-on
V této verzi dynamické knihovny všechny machinace s požadavky uživatelů pro vyhledávání v Google jsou standardně provedené zavěšení odeslat, recv a CFReadStreamRead a CFWriteStreamWrite funkce. Toto je univerzální postup pro všechny prohlížeče na Mac OS X, ale to vyžaduje spoustu další práce při tvorbě kód pro dekódování provozu uživatelů. Proto vypadá jako doplněk pro Firefox s názvem AdobeFlashPlayer 11.1 se objevil v konfiguračním bloku s cílem minimalizovat změny na verzi 2.2.
Škodlivý add-on pro Firefox se tváří jako Adobe Flash Player add-na
Originální Adobe Flash add-on
Tento škodlivý add-on má stejné funkce, tj., zachycení uživatelských dat z Google a nahradil provoz s použitím dat z C & C serverů.
Závěr
Flashfake je v současné době nejrozšířenější škodlivý program pro počítače Mac OS X. Tato skutečnost je až nedbalosti společnosti Apple, pokud jde o aktualizaci svého operačního systému, stejně jako schopnost počítačovým pirátům přinést všechny nejnovější malware technologie do hry: nula-day zranitelnosti, kontrola na přítomnost antivirového řešení na systému, self- ochranná opatření, kryptograficky silné algoritmy pro komunikaci s C & C serverů s využitím veřejně dostupných služeb pro správu botnety. A všechny tyto technologie jsou schopny zaměřit i Mac a Windows. Zásahem do činnosti uživatelů na Google, se Flashfake autoři vytvořili stabilní zdroj příjmů, který je schopen generovat tisíce dolarů za den. Zůstává nejasné, které partnerský program poskytuje rozcestník na falešných výsledků vyhledávání a kdo přesně je pomáhat zločinci šířit program.
To znamená, že budeme zpět s více na toto téma ...
Žádné komentáře:
Okomentovat