Атакующие, разработавшие троянца Vawtrak, не сидели сложа руки, а работали над новой версией, которая обзавелась поддержкой нового алгоритма генерации домена и закрепления SSL.

Исследователи из ИБ-компании Fidelis изучили новую версию и опубликовали отчет, в котором подробно изложено, как Vawtrak генерирует домены, соединяется с ними и проверяет их сертификаты. Эксперты изучили два образца троянца, полученных 28 июля и 1 августа.

Новейшая версия Vawtrak обладает двухэтапным механизмом определения C&C-сервера. Сайт, созданный при помощи DGA, содержит список доменов, которые по очереди используются в качестве C&C-серверов, в то время как первый активный домен пересылает еще один статичный список.

«Для того чтобы еще сильнее запутать этот механизм, разработчики добавили еще одну секцию, содержащую зашифрованный список C&C-доменов, которыми может воспользоваться бот», — говорится в отчете, опубликованном Джейсоном Ривсом (Jason Reeves) из Fidelis.

То, что новая версия троянца использует DGA-функционал для обнаружения C&C-сервера, в конце июля приметили и специалисты из PhishLabs. Эксперты из Fidelis смогли провести более детальный анализ за счет декомпиляции алгоритма, используемого обнаруженным ими образцом.

Не совсем ясно, почему разработчики Vawtrak так долго не могли реализовать поддержку DGA, ведь это весьма распространенная техника, активно используемая киберпреступниками, особенно для организации ботнетов. Исследователи отмечают, что подобная задержка может быть обусловлена тем, что создателям троянца помешали.

«Нам доподлинно неизвестно, почему поддержка DGA появилась лишь сейчас, однако это может быть вызвано тем, что деятельность прошлых кампаний атакующих была нарушена из-за конфискации используемой ими инфраструктуры, — заявил Хардик Моди (Hardik Modi), глава отдела анализа угроз из Fidelis Cybersecurity, в комментарии Threatpost. — Ведь именно такие действия обычно совершаются правоохранительными органами и ИБ-исследователями».

Помимо DGA троянец освоил и технику закрепления SSL-сертификатов, что позволяет ему избегать потенциальных MitM-ситуаций, завязанных на SSL. Закрепление SSL-сертификатов позволяет обеспечить дополнительный уровень защиты при проверке сертификатов, гарантируя, что соединению можно доверять.

Исследователи заявляют, что в DLL-библиотеке, используемой новейшей версией Vawtrak, присутствует код, позволяющий создавать HTTPS-соединения, что, скорее всего, используется для защиты каналов связи с C&C-серверами. Помимо этого троянец способен проверять получаемые от C&C-сервера сертификаты. В отчете говорится следующее:

«Он суммирует все символы, присутствующие в Common Name, затем делит байт на 0x1a и добавляет 0x61, результат будет равен первому символу (см. рис. 5). Троянец также использует открытый ключ, полученный из первичного заголовка, для проверки хэша цифровой подписи, получаемого из поля сертификата SubjectKeyIdentifier».

Как отмечает Моди, несмотря на то, что DGA является стандартной техникой для подобных троянцев, ее реализация в Vawtrak пока еще далека от совершенства.

«Как показывают наши наблюдения, эта техника пока еще используется достаточно редко», — заявил Моди, отметив, что, согласно данным, собранным его командой, DGA гораздо чаще используется в целевых шпионских утилитах, чем в более распространенных зловредах.

То, что преступники решили обновить Vawtrak, также известный как Neverquest, дабы более эффективно заметать свои следы, совсем не удивительно. За последние годы они приложили немало усилий, чтобы затруднить обнаружение используемых ими серверов. В июне прошлого года исследователи обнаружили, что троянец скрывает часть своих серверов при помощи Tor2Web.

Как заявил Моди, троянец в основном распространяется через вредоносные спам-письма, однако в некоторых случаях используются и эксплойт-паки.

«Скорее всего, злоумышленники изучают, какой метод окажется более действенным», — добавил он.

Категории: Вредоносные программы