JIT SPRAY ÃÂÃÂÃÂÃÂ›ÃÂ˜ÃÂ— TDSS - Xakep Online

More documents

Recommendations

Info

MALWARE Вячеслав Закоржевский, старший вирусный аналитик «Лаборатории Касперского» Ïðåçåðâàòèâ äëÿ TDSS Ïîëèìîðôíûé óïàêîâùèê äëÿ èçâåñòíîãî ðóòêèòà: ðàçáîð è àíàëèç Одним из наиболее ярких зловредов последнего времени является TDSS. Правда, в этой статье под TDSS’ом будет подразумеваться не широко известный руткит, а полиморфный упаковщик, который обладает антиэмуляцией и использует обфускацию для усложнения детектирования. ÐÓÒÊÈÒ TDSS обычно защищен именно этим пакером. Его-то мы сегодня и разберем. А точнее, разберем не только его, но и весь довольно примечательный путь, который проходит руткит – от зараженного сайта до отработки на компьютере пользователя. Вся настоящая история началась с зараженного сайта east.*****. pu.ru. Его главная страница содержала сразу семь разных вредоносных скриптов (см. схему). Oðèãèíàëüíûé HTML-êîä ñòðàíèöû прокси-сервер на основе Small Http Server, сохраняющий на лету все файлы, которые через него проходят, и сниффер WireShark для подробного изучения интересующих пакетов. Скрипты разбирались отдельно с помощью программы MalZilla. Кратко пробежимся по каждому из них и остановим внимание на самых интересных экземплярах. Самый первый скрипт с конца – Trojan-Downloader.JS.Pegel.g, знаменитый троян-загрузчик, написанный на JavaScript. Результатом его работы является код вида «
Ôðàãìåíò ïðåîáðàçîâàííîãî øåëëêîäà èç Exploit.Script.Generic Судя по коду, следующий скрипт предназначался для заражения PHP-страницы, но проявиться в должной степени ему была не судьба – похоже, что PHP-движок на сервере просто отсутствовал. Расшифровав криптованные строки с помощью алгоритма base64, я обнаружил функ ционал – отсылка определенной информации на сервер с помощью запроса POST, получение ответа, расшифровка и использование. Следующий экземпляр довольно интересен из–за его обращения к сети Twitter. В результате его дешифровки происходит загрузка JSON-файла из социальной сети с помощью следующего кода: Ôðàãìåíò çàãðóæåííîãî Exploit.JS.Pdfka.bwb, ñîäåðæàùèé èñïîëíÿåìûé JavaScript-êîä На этом рассмотрение всех скриптов можно закончить. Действие каждого из них ты можешь увидеть на соответствующей схеме. Фактически, только четыре из них оказались полностью рабочими, при этом три скрипта выполняли загрузку одного и того же файла. Красной рамкой отмечены вредоносные объекты, полученные в результате исполнения главной странички сайта. Полученный файл содержит наиболее обсуждаемые темы за последний день и код, вызывающий функцию, стоящую в запросе после «callback=». К сожалению, в рассматриваемом скрипте отсутствует функция callback, поэтому дальнейшее поведение проследить не получилось. Ôðàãìåíò ôàéëà daily.json, ïîëó÷åííîãî ñ twitter.com Последние три зловреда объединены конечным функционалом – все они переходят по разным ссылкам, но в ответ приходит пакет «302 Moved Temporarily», содержащий в поле location ссылку на другую страницу с вредоносным скриптом – 121.101.***.203. Отлично, скачаем и проанализируем этот файлик. Оказывается, его код производит попытку скачать вредоносный PE-файл, детектируемый как Packed.Win32.Krap.x. Делается это многими способами, которые слегка модифицируются для каждой версии Windows, но ожидаемый результат всегда одинаковый. Среди этих способов присутствует запуск PDF-файла, эксплуатирующего уязвимость в Adobe Reader, использование зловредного Java-апплета, загрузка с использованием MS06-014. Ñõåìà ðàáîòû âñåõ âðåäîíîñíûõ ñêðèïòîâ, ðàñïîëîæåííûõ íà ãëàâíîé ñòðàíèöå Пришло время проанализировать зловред Packed.Win32.Krap.x, который, в конечном итоге, скачивает и запускает TDSS. Файл подробно исследовался с помощью дизассемблера и отладчика IDA. После первичного осмотра при помощи Hiew были обнаружены большие зашифрованные области и небольшой участок кода. Однако этот участок не такой простой – в нем используется антиэмуляция на основе FakeApi и работы с исключениями, что также усложняет отладку. Обфускация в файле не применялась. Зашифрованные участки расшифровываются с помощью инструкций ROL и SHR. Ôðàãìåíò êîäà Trojan-Downloader.JS.Timul, ñîäåðæàùèé ïðîâåðêó âåðñèè Windows Остановимся поподробнее на PDF’ке, а затем перейдем к рассмотрению Krap.x. Если открыть файл с помощью какого-либо просмотрщика, например, Hiew, то вложенный вредоносный JavaScriptкомпонент будет отлично виден. Когда пользователь открывает уязвимый Adobe Reader, происходит эксплуатация уязвимости и вызывается вышеупомянутый скрипт. Результатом его деятельности является исполнение машинного кода, который скачивает и запускает Krap.x. Сам шеллкод зашифрован довольно просто – с помощью инструкции XOR с ключом 0x99. Ôðàãìåíòû äèçàññåìáëèðîâàííîãî êîäà Packed.Win32.Krap.x, ðåàëèçóþùåãî àíòèýìóëÿöèþ XÀÊÅÐ 09 /140/ 10 083
Page 1:
CMS БИТРИКС: СВЕЖИЕ У
Page 4 and 5:
CONTENT MegaNews 004 Все нов
Page 6:
MEGANEWS МАРИЯ «MIFRILL» Н
Page 10:
MEGANEWS ÏÈÙÅÂÀß ÖÅÏÎ×
Page 13 and 14:
Реклама 11
Page 15 and 16:
ÆÈÄÊÎÑÒÍÎÅ ÎÕËÀÆÄÅ
Page 17 and 18:
ÓÆÀÑ È ÏÀÍÈÊÀ — SKYPE
Page 19 and 20:
ÒÅÕÍÈ×ÅÑÊÈÅ ÕÀÐÀÊÒ
Page 21 and 22:
4500 ðóá. 11600 ðóá. 3Q 3QMMP
Page 24 and 25:
FERRUM SEAGATE FREEAGENT Theater 35
Page 26 and 27:
FERRUM Дмитрий Ленски
Page 28 and 29:
PC_ZONE Александр Лозо
Page 30 and 31:
PC_ZONE Перед сборкой
Page 32:
PC_ZONE INFO info Если речь
Page 35 and 36: Моя первая разрабо
Page 37 and 38: У Poly-Poly Cannon было уже
Page 39 and 40: coding lotus.xakep.ru X-testing сo
Page 41 and 42: Сервисная утилита
Page 43 and 44: VID È PID ÍÅ ÈÇÂËÅÊÀÞÒ
Page 45 and 46: наша информация, та
Page 47 and 48: ¹ 6 РЕШЕНИЕ: ЗАДАЧА:
Page 50 and 51: ВЗЛОМ Алексей Синц
Page 52 and 53: ВЗЛОМ Ubuntu. Шаг 1 Ubuntu.
Page 54 and 55: ВЗЛОМ Clickjacking. Вроде
Page 58 and 59: ВЗЛОМ Статистика о
Page 60 and 61: ВЗЛОМ Леонид «Cr@wler»
Page 62 and 63: ВЗЛОМ Китайский ма
Page 64 and 65: ВЗЛОМ Баранов Арте
Page 66 and 67: ВЗЛОМ Команда !vad да
Page 68 and 69: ВЗЛОМ Владимир d0znp
Page 70 and 71: ВЗЛОМ Пример XSS, най
Page 74 and 75: ВЗЛОМ 0xXXYY0104 — нача
Page 76 and 77: ВЗЛОМ Так выглядит
Page 78 and 79: ВЗЛОМ HellMilitia и my Death
Page 80 and 81: ВЗЛОМ Смещение фай
Page 82 and 83: ВЗЛОМ Маг icq 884888 X-TOOL
Page 86 and 87: MALWARE На этом первую
Page 88 and 89: MALWARE Александр Экке
Page 90: MALWARE невыявляем пут
Page 93 and 94: ËÀÁÎÐÀÒÎÐÈß Ñ ÄÐÓÃ
Page 95 and 96: достают через АНБ.
Page 97 and 98: Реклама
Page 99 and 100: Команда «qdbus org.kde.yaku
Page 101 and 102: ли, то не могу преду
Page 103 and 104: Antix LXDE + Ubuntu = Lubuntu 128
Page 105 and 106: Slitaz Åñòü ëè æèçíü â
Page 107 and 108: coding DVD Qt logo dvd На дис
Page 109 and 110: coding Наше приложени
Page 111 and 112: coding позволяющие оп
Page 113 and 114: coding Утилита ручной
Page 115 and 116: Особо чувствительн
Page 117 and 118: Реклама
Page 119 and 120: îáíîâëåíèÿ — íàæàò
Page 121 and 122: INFO info • Обзор Forefront
Page 123 and 124: XSTARTER Åùå îäíà ïîïóë
Page 125 and 126: INFO info • Все програм
Page 127 and 128: Евгений Зобнин j1m@syn
Page 129 and 130: Создаем виртуальны
Page 131 and 132: Устанавливаем зону
Page 133 and 134: Lite, Pro èëè Cluster. Ñïèñ
Page 135 and 136:
Â çàâèñèìîñòè îò âû
Page 137 and 138:
Во сне мы проводим
Page 139 and 140:
INFO info Подробнее об
Page 141 and 142:
ÂÛÃÎÄÀ•ÃÀÐÀÍÒÈß•
Page 143 and 144:
Wi-Fi сканер, но наибо
Page 145 and 146:
CMS БИТРИКС: СВЕЖИЕ У
show all

JIT SPRAY ÃÂÃÂÃÂÃÂ›ÃÂ˜ÃÂ— TDSS - Xakep Online

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?

JIT SPRAY ÃÂÃÂÃÂÃÂ›ÃÂ˜ÃÂ— TDSS - Xakep Online