По свидетельству Cisco, эксплойт-пак Sundown недавно утратил ряд характерных черт, по которым его можно было с легкостью идентифицировать, обновил арсенал и сменил метод доставки полезной нагрузки. Новейшая Sundown-кампания также позволила установить, что ротацию доменов злоумышленники осуществляют, покупая их оптом и задешево на аукционах реселлеров.

Sundown — один из немногих эксплойт-паков, сохраняющих активность в условиях упавшего спроса на такие инструменты после исчезновения Angler, Nuclear и Neutrino. По сложности Sundown сильно уступал этим лидерам рынка и всегда был легко узнаваем по ряду идентификаторов — к примеру, HTTP-заголовки его запросов и логотипы на лендинг-страницах содержали множество ссылок на группировку Yugoslavian Business Network (YBN). Указывающие на эксплойт-страницы URL обычно включали цифровое обозначение подкаталога и цифровое имя файла с соответствующим расширением (например, /496.swf).

В последние несколько месяцев Cisco наблюдает исчезновение этих отличительных признаков: ассоциаций с YBN больше не найти, синтаксис запросов на файлы с эксплойтом изменился, три характерные переменные «s» в коде лендинг-страниц заменили случайные строки, и появилось множество комментариев в качестве дополнительного средства обфускации. Исследователи неоднократно сталкивались с таким способом маскировки кода: так, Angler с этой целью использовал цитаты из романа «Чувство и чувствительность» Джейн Остин. Авторы Sundown оригинальничать не стали и воспользовались менее броским заполнителем, зачастую вставляемым в макеты страниц, — Lorem Ipsum, искаженным отрывком из философского трактата Цицерона на латыни.

В арсенале обновленного Sundown не оказалось эксплойтов к Silverlight, зато обнаружился клон PoC-эксплойта для недавних уязвимостей в Microsoft Edge. Брешь CVE-2016-0189 в скриптовых движках Internet Explorer и Windows тоже пока используется этим эксплойт-паком, который, в отличие от многих собратьев, предпочитает применять сразу несколько эксплойтов — для верности. По данным Cisco, эксплойт к CVE-2016-0189 Sundown обычно отдает вместе с несколькими вредоносными flash-файлами.

Наиболее значительные изменения постигли манеру доставки полезной нагрузки. Прежние версии Sundown получали ее через браузер с именем файла z.php. Это имя сохранилось, однако ныне нагрузка отдается через cmd.exe и с использованием wscript, Windows-сервиса для исполнения файлов VBScript. Эту технику Sundown явно позаимствовал у RIG, своего конкурента в борьбе за первенство на оскудевшем рынке.

Полезная нагрузка Sundown хранится на отдельном сервере, а лендинг- и эксплойт-страницы размещены в другом поддомене. С таким разделением в мире эксплойт-паков исследователи столкнулись впервые; к счастью, полезная нагрузка не зашифрована, что облегчает ее идентификацию и анализ.

Активность Sundown, направленная на поддержание работоспособности инфраструктуры, заслуживает отдельного внимания. Вместо затенения доменов (domain shadowing), наблюдавшегося у Angler и того же RIG, этот эксплойт-пак использует технику domain wildcarding, в соответствии с которой при появлении трафика в основном домене все поддомены начинают перенаправлять клиенты на вредоносный сервер.

Сравнение доменов, использованных в недавней Sundown-кампании, показало, что все они зарегистрированы неким Стиви Малоуном (Stivie Malone), использующим несколько почтовых адресов Gmail с разными вариантами имени аккаунта (stivie.malone, stiviemalone, stivie.ma.lone, sti.vie.malone). Как оказалось, на этого заявителя совокупно оформлено более 3 тыс. доменных имен, хотя обычно злоумышленники регистрируют около сотни или менее.

Дальнейшее расследование обнаружило источник этого изобилия — хорошо налаженную схему выкупа доменов с истекающим или только что истекшим сроком действия. Реселлеры предлагают их оптом и по бросовым ценам, стремясь выручить еще хоть немного от передачи прав собственности на почти бесполезный груз, чем и воспользовались злоумышленники.

Большинство доменов, задействованных в операциях Sundown, были оформлены у GoDaddy и приобретены за биткойны — тоже привлекательная опция для покупателей с недобрыми намерениями. При этом последние отдавали предпочтение доменам, зарегистрированным как минимум полгода назад, вероятно, для обхода защитных фильтров, по умолчанию блокирующих совсем свежие домены.

Cisco начала работать с GoDaddy над ликвидацией подобных злоупотреблений, и злоумышленники сразу же избавились от «Стиви Малоуна» и начали распродавать купленные на это имя домены. Они также сменили регистратора, переметнувшись к другому, за пределами Западной Европы, и открыли новый аккаунт с полной защитой персональных данных.

IP-адреса, используемые Sundown, тоже часто меняются во избежание попадания в черные списки и блокировки. Такая практика типична для эксплойт-паков, однако в данном случае сервера сохраняют активность довольно долго, иногда по нескольку недель. В начале кампании операторы Sundown активно использовали блоки адресов OVH, затем обратились к услугам германских и голландских провайдеров.

Категории: Аналитика, Вредоносные программы, Главное