Фабрика наживыИсточник: securelist
Данная статья посвящена результатам исследования одного спам-сообщения, которые демонстрируют, какие методы используют современные злоумышленники для создания ботнетов и проведения спам-рассылок. Эти методы и приемы носят откровенно криминальный характер и служат одной цели - обогащению киберпреступников. СпамВ начале лета 2009 года в нашу лабораторию контентной фильтрации начали поступать письма, на первый взгляд ничем не отличавшиеся от типичных спам-сообщений. Это была весьма распространенная в спаме реклама медикаментов, стандартно оформленная - с HTML-частью и вставленными картинками:
Однако у этих писем было одно свойство, выделявшее их из общего потока спама. Ссылки в письмах вели не на сайты спамеров, а на HTML-страницы, расположенные на легитимных сайтах. Хотя домены в ссылках менялись от письма к письму, путь на сервере имел один и тот же вид: "1/2/3/4/buy.html".
Все страницы, на которые вели ссылки, содержали однострочный HTML-файл с тегом META refresh. Назначение этого тега - перенаправить пользователя на другую страницу, в данном случае на сайт онлайн-магазина, продающего медикаменты, который на самом деле и рекламировали спамеры.
Одним из методов детектирования спама является занесение в черный список доменного имени, указанного в ссылке в спам-письме, что позволяет детектировать все спамовые письма рекламной рассылки вне зависимости от текста сообщения. В данном случае детектирование доменов, указанных в спамовом письме, не представлялось возможным, так как ссылки вели на легальные сайты, причем каждый день сотрудники лаборатории контентной фильтрации фиксировали около 10 новых доменов. Этот метод известен спамерам уже несколько лет, но используется он редко, поскольку требует больших затрат, чем покупка новых доменов. Представлялось наиболее вероятным, что сайты, указанные в письмах, были взломаны и использованы злоумышленниками для размещения веб-страниц, перенаправлявших пользователей на сайт спамеров. Однако оставалось непонятным, как злоумышленникам удалось взломать такое большое количество сайтов? СайтыБольшинство этих сайтов невозможно было взломать стандартными методами. Беглый анализ взломанных веб-ресурсов не показал наличия одинаковых уязвимостей, одних и тех же технологий построения сайтов и т.д. Более того, большинство из них были созданы только на HTML, без каких-либо скриптов. Единственное, что объединяло взломанные сайты - это наличие папки с файлом "buy.html", который содержал HTML-тег, перенаправлявший пользователей на сайт спамерского онлайн-магазина, продающего медикаменты. Однако в ходе углубленного анализа содержимого одного из взломанных сайтов был обнаружен очень хорошо замаскированный IFRAME, перенаправлявший пользователей на сайт b9g.ru. Это сразу насторожило аналитиков, так как подобные IFRAME со ссылкой на подозрительные сайты часто используются злоумышленниками для заражения компьютеров пользователей с помощью эксплойтов.
Анализ расположения сайта b9g.ru показал, что он размещен на 5 IP-адресах:
Собрав информацию о доменах, также зарегистрированных на этих адресах, мы выявили домены, адреса которых использовались злоумышленниками для вставки в IFRAME на взломанных сайтах, например: a3l.ru, b5r.ru, b5z.ru, b7p.ru, b8o.ru, b9g.ru, c6y.ru, c8k.at, f5l.at, f5x.at и т.д. Это подтвердило наши подозрения относительно зловредности IFRAME, обнаруженного на взломанном сайте. ЭксплойтыНа следующем этапе было необходимо выявить, что именно загружалось на компьютеры пользователей с адреса http://b9g.ru:****/*****.php. Как и ожидалось, при первом посещении сайта вместе с index.php скачивались эксплойты. Злоумышленники использовали разнообразные уязвимости в ПО, самыми опасными и "пробивными" из них являлись эксплойты для уязвимостей в PDF.
БотРезультатом эксплуатации уязвимостей являлась загрузка и установка на компьютеры пользователей исполняемого файла Backdoor.Win32.Bredolab. Функционалом данной вредоносной программы с реализованными в ней руткит-технологиями является загрузка и установка других вредоносных программ.
Bredolab пытается предотвратить исполнение себя в SandBox. Для этого он проверяет на соответствие:
Если хотя бы одно из условий выполняется, вредоносная программа завершает свою работу. Bredolab также завершает работу, если на зараженном компьютере установлен COMODO Firewall. В остальных случаях Bredolab копирует себя в файл %Temp%\~TM27FB4A.TMP, внедряет свой код в explorer.exe, запускает в нем новый поток и перемещает себя в %Temp%\~TM%TempName%. Дальнейшая работа бота происходит в запущенном им потоке, а первоначальный процесс завершается. При удачном подключении к командному центру бот отправляет GET-запрос: GET /l/controller.php?action=bot&entity_list={числа через запятую}
&uid=11&first={0/1}&guid={VolumeSerialNumber}&rnd=6293712 В ответ сервер передает боту зашифрованные программы, которые бот может затем записать в новый файл %Windows%\Temp\wpv%rand_number%.exe (с дальнейшим запуском файла) или в новый создаваемый процесс svchost.
Ответ командного центра. Ключ для расшифровки, содержится в поле Magic-Number В ходе работы бот сообщает хозяевам ботнета о своей активности, отсылая GET-запрос вида: GET /l/controller.php?action=report&guid=0&rnd=6293712&uid=11&
entity={число:unique_start/unique_failed/repeat_start/repeat_failed;число:...} Троянец для кражи паролейВ результате соединения бота с командным центром на зараженную систему загружалась и устанавливалась вредоносная программа Trojan-PSW.Win32.Agent.mzh, осуществляющая кражу паролей к FTP-клиентам.
Украденные пароли для доступа к сайтам через протокол FTP отправлялись злоумышленникам на следующий адрес:
Наконец ситуация со взломанными сайтами прояснилась. Злоумышленники не пытались взломать множество сайтов с помощью SQL-инъекций или эксплойтов для движков сайтов - они просто крали пароли к FTP-клиентам, и таким образом получали возможность управлять содержимым сайтов. По описанию троянца Trojan-PSW.Win32.Agent.mzh на хакерских форумах была найдена система для кражи паролей к сайтам, в которую входила данная программа. Систему предлагалось приобрести за $2000. Загрузка других вредоносных программЧерез неделю командный центр ботнета отдал команду на загрузку ботов для рассылки спама: Rustock (Backdoor.Win32.HareBot) и Pushdo (Backdoor.Win32.NewRest.aq)! А спустя еще неделю на зараженные компьютеры были установлены вредоносная программа семейства koobface и фальшивый антивирус. Схема атакиВ результате небольшого расследования, которое началось со спам-письма, присланного на адрес webmaster@viruslist.com, была выявлена следующая схема работы злоумышленников:
Эта схема демонстрирует технологии и методы, часто используемые злоумышленниками для создания ботнетов и подготовки плацдармов для рассылки спама:
Данные методы позволяют злоумышленникам организовать хорошо отлаженный процесс, который в идеале является зацикленным. ЗаключениеРассылка спамовых писем со ссылками на взломанные и зараженные сайты продолжается. Каждый час мы обнаруживаем несколько десятков новых адресов таких сайтов.
Ссылка (http://.../1.html) указывает на страницу на взломанном сайте, которая содержит тег, перенаправляющий пользователя на сайт онлайн-магазина медикаментов. Спамеры используют этот прием в различных письмах, меняют имена страниц-перенаправлений, раздают другие эксплойты через IFRAME, но смысл от этого меняется мало. Все эти технологии, поставленные на поток, используются для наживы. P.S.В июле появилась новость о взломе популярного торрент-трекера Torrentreactor. По способу внедрения тегов, перенаправлявших пользователей на сайт с эксплойтами, видно, что при взломе была использована вредоносная программа для кражи паролей к FTP-клиенту. С ее помощью пароль был украден с компьютера, с которого осуществлялся доступ на сайт.
Это еще один пример одного из многих аналогичных взломов. |