Összefoglaló
A Derusbi egy jól ismert többkomponensű malware család, amelyet már több célzott támadás (APT) kapcsán azonosítottak 2008 óta. Két fő variánsa ismert: egy kliens, amely hasonlóan a kártékony programok nagy részéhez egy vezérlő szerverhez (C&C) csatlakozik és a szerver komponens, amely ezekre a klienstől érkező hívásokra vár.
Leírás
A kód folyamatos fejlődésen megy keresztül, ismét új variánsra derült fény: egy Windows x64 driver és egy Linux könyvtár.
1) Windows x64 driver
A felfedezők több példányt is felfedeztek, amelyek mindegyikét lopott legitim tanúsítványokkal hitelesítettek. Az egyik ilyen tanúsítványt már visszavonták, egy másik érvényessége lejárt, a harmadik azonban továbbra is érvényes.
Valószínűsthető, hogy manuálisan kerültek telepítésre, például a HD Root bootkit-tel, amely több szálon köthető a Derusbi-hoz.
A felfedezett minták alapján a driver neve wd.sys vagy udfs.sys.
Az alábbi káros tanúsítványokkal lett aláírva:
Fuqing Dawu Technology Co.,Ltd. 4c0b2e9d2ef909d15270d4dd7fa5a4a5 (visszavont)
XL Games Co.,Ltd. 7bd55818c5971b63dc45cf57cbeb950b (lejárt)
Wemade Entertainment co.Ltd 476bf24a4b1e9f4bc2a61b152115e1fe (érvényes)
Csak egy példát találtak arra, hogy a malware obfuszkálta volna a kódját (VMProtect).
A fertőzés során igyekszik letiltani a kernel debuggert az nt!KdDisableDebugger meghívásával. Célja a trójai (RAT – Remote Access Trojan) funkciók elrejtése lesz a fájlrendszeren és a hálózaton egyaránt.
A trójai tevékenységét egy felhasználói szinten futó komponens segítségével valósítja meg. Ez egy DLL, ami dinamikusan kerül betöltésre a kernelből az egyik svchost.exe processbe, majd két shellcode meghívásán keresztül a memóriába, anélkül, hogy lemezre íródna. Ezután felépül egy csatorna (.pipeusbpcex%d) a driver és a DLL között.
Amint betöltődött a DLL, registry kulcsba írja a gép IP címét.
HKLMSYSTEMCurrentControlSetControlWMIlpstatus
A malware a rejtjelezett konfigurációjában megadott C&C szerverekhez próbál csatlakozni és amennyiben sikeres a kapcsolat, a kapott adatokat registry bejegyzésben tárolja.
HKLMSYSTEMCurrentControlSetControlWMILevel10
További bejegyzéseket is létrehoz, például DNS információkat (Level01), proxy beállításokat (Level02-Level05).
Minden hálózati tevékenységet a driver végez, ami a korábban megnyitott csatornán keresztül adatáramlást biztosít a felhasználói szinten futó komponenshez és vissza a hálózat irányába.
2) Linux könyvtár
Linux esetében a payload az “LD_PRELOAD” folyamat segítségével a /usr/bin/sshd könyvtárba töltődik.
Mikor elindul létrehoz egy /dev/shm/.shmfs.lock. zárat.
Hálózati Kommunikáció:
A kártevő a 40101-es porton vár bejövő kapcsolatot.
A kernel modult klasszikus 4 byteos XOR-ral rejtették el a .data szakaszban. A célja a rootkit funkciók ellátása, és a rejtettt kommunikáció a RAT-tal.
A Linux variánsal kapcsolatban elmondható hogy a fejlesztőknek (persze módosításokkal) sikerült a Windows-os verziót átemelniük, hiszen a viselkedésükben és a folyamatokban nagyrészt megegyeznek.
A kártevő lenyomatai (Hash-ek)
- 1b449121300b0188ff9f6a8c399fb818d0cf53fd36cf012e6908a2665a27f016
- 50174311e524b97ea5cb4f3ea571dd477d1f0eee06cd3ed73af39a15f3e6484a
- 6cdb65dbfb2c236b6d149fd9836cb484d0608ea082cf5bd88edde31ad11a0d58
- e27fb16dce7fff714f4b05f2cef53e1919a34d7ec0e595f2eaa155861a213e59
- 75c3b22899e39333c0313e80c4e6958d6612381c535d70b691f5f42afc8c214f
Megoldás
- Windows Defender (Windows 10 és Windows 8.1) vagy Microsoft Security Essentials (Windows 7 és Windows Vista)
- Microsoft Safety Scanner
- Microsoft Windows Malicious Software Removal Tool
Támadás típusa
Buffer ErrorsPrivilege escalation (jogosultság kiterjesztés)
Security bypass (Biztonsági szabályok megkerülése)
System access (Rendszer hozzáférés)
Trójai
backdoor
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: blog.airbuscybersecurity.com
