Вирусописатели не жалеют усилий, когда дело касается защиты вредоносной кампании и сокрытия их детищ от средств обнаружения и пытливого ока ИБ-исследователей. Как показал анализ, проведенный в Dell SecureWorks, стоящая за Stegoloader криминальная группа решила прибегнуть к стеганографии, чтобы уберечь своего шпиона от обнаружения. Они используют специализированный модуль развертывания, который после компрометации машины загружает с легитимного сайта PNG-файл, содержащий зловреда.

Стеганография обычно используется для сокрытия информации в другом сообщении или в картинке. Вирусописателям она помогает прятать исполняемый код в файле изображений; в данном случае извлечение и запуск кода осуществляются лишь после ряда проверок на безопасность среды исполнения. Кроме Stegoloader стеганографию используют несколько других зловредных семейств, в том числе шпионы, применяемые в APT-кампаниях MiniDuke, руткит Alureon и даунлоудер Lurk, которому SecureWorks посвятила одну из прошлогодних публикаций.

Основным назначением Stegoloader является кража информации, однако данных о его использовании в целевых атаках в SecureWorks нет, хотя эксперты не исключают такую возможность. На настоящий момент среди жертв зловреда числятся представители сферы здравоохранения, образовательные учреждения и производственные предприятия, но заражений через эксплойт или целевые рассылки не зафиксировано. Исследователи полагают, что пользователи закачивают шпиона со сторонних веб-сайтов вместе с пиратским ПО; эта схема распространения Stegoloader применялась и ранее.

«Единственным вектором заражения, который я могу подтвердить, являются загрузки пиратских программ, — заявил Пьер-Марк Бюро (Pierre-Marc Bureau), старший специалист по ИБ-исследованиям SecureWorks. — Подозреваю, что, как только атакующие закрепляются в интересующей их сети, они начинают разворачивать дополнительные модули для расширения доступа, но такой модуль мне не попадался».

Stegoloader крадет в первую очередь информацию о системе и загружает другие модули, позволяющие получить доступ к недавно открывавшимся документам, спискам установленных программ; украсть записи из журнала браузера, установочные файлы для платформы разработки и анализа IDA, а также загрузить похитителя паролей Pony.

«Прежде чем развернуть другие модули, зловред проверяет, не запущен ли он в аналитической среде, — делится SecureWorks своими находками. — Так, например, модуль развертывания отслеживает перемещение курсора мыши, многократно вызывая функцию GetCursorPos. Если курсор все время движется или завис, зловред прекращает работу, не выказав никакой вредоносной активности».

«Также, чтобы замедлить статический анализ, большинство строк бинарного кода до использования конструируются на стеке программы, — пишут далее исследователи. — Эта стандартная для вирусописателей техника гарантирует отсутствие в теле зловреда строк, сохраненных в виде открытого текста. Они конструируются динамически, что затрудняет обнаружение и анализ».

Модуль развертывания регистрирует текущие процессы и, если обнаруживает одну из двух десятков прописанных в коде строк, ассоциированных с исследовательскими инструментами вроде Wireshark, Fiddler и пр., отменяет выполнение основного функционала. Если противник не обнаружен, он подключается к командному серверу, шифрует свое сообщение и загружает PNG-файл с вредоносным кодом.

«Извлеченный поток данных расшифровывается с помощью алгоритма RC4 и прописанного в коде ключа, — поясняют эксперты SecureWorks. — При этом ни PNG-изображение, ни расшифрованный код не сохраняются на диске, что усложняет поиск зловреда традиционными методами сигнатурного анализа. Проанализированные сэмплы использовали разные URL для загрузки картинки и разные RC4-ключи».

После запуска основной модуль, существующий, по свидетельству SecureWorks, лишь в оперативной памяти, приступает к выполнению команд, подаваемых с C&C-сервера, — разумеется, если атакующих заинтересовала скомпрометированная машина. Список возможных команд включает отмену и прекращение выполнения команд, отправку информации о системе, журнала Firefox/Chrome/Internet Explorer, а также исполнение шелл-кода.

Категории: Аналитика, Вредоносные программы, Главное