Derusbi kártékony kód

CH azonosító

Angol cím

Felfedezés dátuma

Súlyosság

Érintett rendszerek

Érintett verziók

Microsoft Windows, Linux

Összefoglaló

A Derusbi egy jól ismert többkomponensű malware család, amelyet már több célzott támadás (APT) kapcsán azonosítottak 2008 óta. Két fő variánsa ismert: egy kliens, amely hasonlóan a kártékony programok nagy részéhez egy vezérlő szerverhez (C&C) csatlakozik és a szerver komponens, amely ezekre a klienstől érkező hívásokra vár.

Leírás

A kód folyamatos fejlődésen megy keresztül, ismét új variánsra derült fény: egy Windows x64 driver és egy Linux könyvtár. 

1) Windows x64 driver

A felfedezők több példányt is felfedeztek, amelyek mindegyikét lopott legitim tanúsítványokkal hitelesítettek. Az egyik ilyen tanúsítványt már visszavonták, egy másik érvényessége lejárt, a harmadik azonban továbbra is érvényes. 

Valószínűsthető, hogy manuálisan kerültek telepítésre, például a HD Root bootkit-tel, amely több szálon köthető a Derusbi-hoz.

A felfedezett minták alapján a driver neve wd.sys vagy udfs.sys.

Az alábbi káros tanúsítványokkal lett aláírva:

Fuqing Dawu Technology Co.,Ltd. 4c0b2e9d2ef909d15270d4dd7fa5a4a5 (visszavont)
XL Games Co.,Ltd. 7bd55818c5971b63dc45cf57cbeb950b (lejárt)
Wemade Entertainment co.Ltd 476bf24a4b1e9f4bc2a61b152115e1fe (érvényes)

Csak egy példát találtak arra, hogy a malware obfuszkálta volna a kódját (VMProtect).

A fertőzés során igyekszik letiltani a kernel debuggert az nt!KdDisableDebugger meghívásával. Célja a trójai (RAT – Remote Access Trojan) funkciók elrejtése lesz a fájlrendszeren és a hálózaton egyaránt. 

A trójai tevékenységét egy felhasználói szinten futó komponens segítségével valósítja meg. Ez egy DLL, ami dinamikusan kerül betöltésre a kernelből az egyik svchost.exe processbe, majd két shellcode meghívásán keresztül a memóriába, anélkül, hogy lemezre íródna. Ezután felépül egy csatorna (.pipeusbpcex%d) a driver és a DLL között. 

Amint betöltődött a DLL, registry kulcsba írja a gép IP címét. 

HKLMSYSTEMCurrentControlSetControlWMIlpstatus

A malware a rejtjelezett konfigurációjában megadott C&C szerverekhez próbál csatlakozni és amennyiben sikeres a kapcsolat, a kapott adatokat registry bejegyzésben tárolja.

HKLMSYSTEMCurrentControlSetControlWMILevel10

További bejegyzéseket is létrehoz, például DNS információkat (Level01), proxy beállításokat (Level02-Level05).

Minden hálózati tevékenységet a driver végez, ami a korábban megnyitott csatornán keresztül adatáramlást biztosít a felhasználói szinten futó komponenshez és vissza a hálózat irányába.

2) Linux könyvtár

Linux esetében a payload az “LD_PRELOAD” folyamat segítségével a /usr/bin/sshd könyvtárba töltődik. 

Mikor elindul létrehoz egy /dev/shm/.shmfs.lock. zárat.

Hálózati Kommunikáció:

A kártevő a 40101-es porton vár bejövő kapcsolatot.

A kernel modult klasszikus 4 byteos XOR-ral rejtették el a .data szakaszban. A célja a rootkit funkciók ellátása, és a rejtettt kommunikáció a RAT-tal.

A Linux variánsal kapcsolatban elmondható hogy a fejlesztőknek (persze módosításokkal) sikerült a Windows-os verziót átemelniük, hiszen a viselkedésükben és a folyamatokban nagyrészt megegyeznek.

A kártevő lenyomatai (Hash-ek)

• 1b449121300b0188ff9f6a8c399fb818d0cf53fd36cf012e6908a2665a27f016
• 50174311e524b97ea5cb4f3ea571dd477d1f0eee06cd3ed73af39a15f3e6484a
• 6cdb65dbfb2c236b6d149fd9836cb484d0608ea082cf5bd88edde31ad11a0d58
• e27fb16dce7fff714f4b05f2cef53e1919a34d7ec0e595f2eaa155861a213e59
• 75c3b22899e39333c0313e80c4e6958d6612381c535d70b691f5f42afc8c214f

Megoldás

• Windows Defender (Windows 10 és Windows 8.1) vagy Microsoft Security Essentials (Windows 7 és Windows Vista)
• Microsoft Safety Scanner
• Microsoft Windows Malicious Software Removal Tool

Támadás típusa

Hatás

Szükséges hozzáférés

Hivatkozások

Egyéb referencia: blog.airbuscybersecurity.com