Összefoglaló
A Derusbi egy jól ismert többkomponensű malware család, amelyet már több célzott támadás (APT) kapcsán azonosítottak 2008 óta. Két fő variánsa ismert: egy kliens, amely hasonlóan a kártékony programok nagy részéhez egy vezérlő szerverhez (C&C) csatlakozik és a szerver komponens, amely ezekre a klienstől érkező hívásokra vár.
Leírás
A kód folyamatos fejlődésen megy keresztül, ismét új variánsra derült fény: egy Windows x64 driver és egy Linux könyvtár.
1) Windows x64 driver
A felfedezők több példányt is felfedeztek, amelyek mindegyikét lopott legitim tanúsítványokkal hitelesítettek. Az egyik ilyen tanúsítványt már visszavonták, egy másik érvényessége lejárt, a harmadik azonban továbbra is érvényes.
Valószínűsthető, hogy manuálisan kerültek telepítésre, például a HD Root bootkit-tel, amely több szálon köthető a Derusbi-hoz.
A felfedezett minták alapján a driver neve wd.sys vagy udfs.sys.
Az alábbi káros tanúsítványokkal lett aláírva:
Fuqing Dawu Technology Co.,Ltd. 4c0b2e9d2ef909d15270d4dd7fa5a4a5 (visszavont)
XL Games Co.,Ltd. 7bd55818c5971b63dc45cf57cbeb950b (lejárt)
Wemade Entertainment co.Ltd 476bf24a4b1e9f4bc2a61b152115e1fe (érvényes)
Csak egy példát találtak arra, hogy a malware obfuszkálta volna a kódját (VMProtect).
A fertőzés során igyekszik letiltani a kernel debuggert az nt!KdDisableDebugger meghívásával. Célja a trójai (RAT – Remote Access Trojan) funkciók elrejtése lesz a fájlrendszeren és a hálózaton egyaránt.
A trójai tevékenységét egy felhasználói szinten futó komponens segítségével valósítja meg. Ez egy DLL, ami dinamikusan kerül betöltésre a kernelből az egyik svchost.exe processbe, majd két shellcode meghívásán keresztül a memóriába, anélkül, hogy lemezre íródna. Ezután felépül egy csatorna (.pipeusbpcex%d) a driver és a DLL között.
Amint betöltődött a DLL, registry kulcsba írja a gép IP címét.
HKLMSYSTEMCurrentControlSetControlWMIlpstatus
A malware a rejtjelezett konfigurációjában megadott C&C szerverekhez próbál csatlakozni és amennyiben sikeres a kapcsolat, a kapott adatokat registry bejegyzésben tárolja.
HKLMSYSTEMCurrentControlSetControlWMILevel10
További bejegyzéseket is létrehoz, például DNS információkat (Level01), proxy beállításokat (Level02-Level05).
Minden hálózati tevékenységet a driver végez, ami a korábban megnyitott csatornán keresztül adatáramlást biztosít a felhasználói szinten futó komponenshez és vissza a hálózat irányába.
2) Linux könyvtár
Linux esetében a payload az “LD_PRELOAD” folyamat segítségével a /usr/bin/sshd könyvtárba töltődik.
Mikor elindul létrehoz egy /dev/shm/.shmfs.lock. zárat.
Hálózati Kommunikáció:
A kártevő a 40101-es porton vár bejövő kapcsolatot.
A kernel modult klasszikus 4 byteos XOR-ral rejtették el a .data szakaszban. A célja a rootkit funkciók ellátása, és a rejtettt kommunikáció a RAT-tal.
A Linux variánsal kapcsolatban elmondható hogy a fejlesztőknek (persze módosításokkal) sikerült a Windows-os verziót átemelniük, hiszen a viselkedésükben és a folyamatokban nagyrészt megegyeznek.
A kártevő lenyomatai (Hash-ek)
- 1b449121300b0188ff9f6a8c399fb818d0cf53fd36cf012e6908a2665a27f016
- 50174311e524b97ea5cb4f3ea571dd477d1f0eee06cd3ed73af39a15f3e6484a
- 6cdb65dbfb2c236b6d149fd9836cb484d0608ea082cf5bd88edde31ad11a0d58
- e27fb16dce7fff714f4b05f2cef53e1919a34d7ec0e595f2eaa155861a213e59
- 75c3b22899e39333c0313e80c4e6958d6612381c535d70b691f5f42afc8c214f
Megoldás
- Windows Defender (Windows 10 és Windows 8.1) vagy Microsoft Security Essentials (Windows 7 és Windows Vista)
- Microsoft Safety Scanner
- Microsoft Windows Malicious Software Removal Tool
Támadás típusa
Buffer ErrorsPrivilege escalation (jogosultság kiterjesztés)
Security bypass (Biztonsági szabályok megkerülése)
System access (Rendszer hozzáférés)
Trójai
backdoor
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: blog.airbuscybersecurity.com