Black Energie

 

Kybernetičtí zločinci používají různé roboty chování DDoS útoků na internetové servery. Jeden z nejpopulárnějších nástrojů se nazývá černá energie. K dnešnímu dni společnost Kaspersky Lab zjistila a provádí detekci více než 4000 změn tohoto škodlivého programu. V polovině-2008 malware spisovatelé dělali významné změny v původní verzi, vytváří černá energie 2 (které společnost Kaspersky Lab detekuje jako Backdoor.Win32.Blakken). Tento škodlivý program je předmětem tohoto článku.

Krok-za-krokem: bot komponenty

Bot má několik hlavních funkcí: skrývá malware kód z antivirových produktů, napadá systémové procesy a konečně nabízí flexibilní možnosti pro provádění celé řady škodlivých aktivit na infikovaném počítači, kdy jsou příkazy obdržel od botnet příkaz-a-kontrola ( C & C) centrum. Každý úkol se provádí pomocí různých součástí škodlivého programu.

 
Obrázek 1. Krok-za-krokem návod, jak Černý energii 2 pracuje

Ochrannou vrstvu

Podobně jako většina dalších škodlivých programů, Black Energie 2 má ochrannou vrstvu, která skrývá škodlivý náklad z antivirových produktů. To zahrnuje šifrování a kompresi kódu, anti-emulace techniky mohou také být používány.

Jakmile Černý Energie 2 spustitelný je vypuštěn na počítači, nebezpečnou aplikaci alokuje virtuální paměti, kopíruje jeho decryptor kód do přidělené paměti a pak předá řízení decryptor.

Provedení výsledků decryptor kód v kódu s kapátkem funkce byly umístěny do paměti. Jakmile je kapátko kód je vykonán, je decryptor řidič s náhodným jménem, ​​např. "EIBCRDZB.SYS", vytvořený v <windir> \ system32 \ drivers. Služba (která má také náhodné jméno) spojené s řidičem je pak vytvořen a začal:

 
Obrázek 2. Spuštění škodlivého decryptor řidiče

Stejně jako původní spustitelný soubor, tento ovladač je ve skutečnosti 'obal', který skrývá nejzajímavější částí malwaru.

Infector

Kód decryptor řidiče obsahuje blok šifrovaných dat a baleny:

 
Obrázek 3. Šifrovaná data v rámci decryptor řidiče

Bloku dat má následující strukturu:


Obrázek 4. Šifrovaná datová struktura

Klíč z tohoto bloku se používá k vytváření další klíčový, 100h bytů ve velikosti, která se používá k dešifrování archivu. Šifrování je založen na známý algoritmus RC4. Pokud je velikost archivu je rovna velikosti dat, to znamená, že data není zabalen. Nicméně, jestliže dva neshodují, šifrovaný archiv je třeba rozbalit.

Dešifrovat data infector řidič, který se bude aplikovat DLL do svchost.exe user-módu procesu. S cílem zahájit infector řidiče, řidič decryptor přiděluje paměť, zkopíruje kód dešifrovat, že paměťové oblasti, remaps adrese offset fixups a předá mu řízení. Škodlivý DLL je uložena v. Bdata části infector řidiče.Tento datový blok má stejnou strukturu, jako je popsáno výše. Infector řidič vyhledá svchost.exe a proces přiděluje paměť v adresovém prostoru. Škodlivý DLL je pak zkopíruje do této oblasti paměti a adresu kompenzace jsou přemapovány podle přemístění stolu. Injekčně knihovny kód je pak spouští z režimu jádra, jak je uvedeno níže:


Obrázek 5. Spuštění DLL injekce do svchost.exe

Tato metoda využívá APC fronty zpracování. Za prvé, APC s adresou funkce DllEntry pro injekce knihovny je inicializována, pak APC je ve frontě za použití KeInsertQueueApc APC. Jakmile svchost.exe je připraven ke zpracování fronty APC (což je téměř okamžitě), závit na adrese DllEntry je zahájena v jeho kontextu.

Injekce DLL

DLL, který je vstřikován do svchost.exe je hlavním faktorem pro zahájení útoku DDoS z infikovaného počítače. Stejně jako infector řidiče, DLL má bdata úseku;. Zahrnuje blok šifrovaných dat, která má stejnou strukturu jako je uvedeno výše. Data tvoří xml dokument, který definuje bot je počáteční konfigurace. Tento snímek dává příklad:


Obrázek 6. Bot je počáteční nastavení

Adresa botnet je C & C je samozřejmě nejdůležitější informace. V tomto případě jsou dvě adresy uvedené v zájmu spolehlivosti: pokud jeden server, je dole a bot není schopen o kontakt, bot může se pokusí připojit k jeho majitele pomocí zálohování adresu.

Bot odešle vytvarované http požadavek na C & C adresa, což je řetězec obsahující data, která identifikuje infikovaný počítač. Vzorek řetězec je uveden níže:

id = xCOMPUTERNAME_62CF4DEF & ln = ru & cn = ŽP & nt = 2600 & nabídka = 3

Id parametr, který je infikovaný počítač identifikátor, obsahuje název počítače a sériové číslo pevného disku, na kterém C: se nachází disk. Toto je následované operační systém data: systém jazyka, instalaci OS a systému země číslo sestavení. Stavět identifikátor bot ('build_id' v počátečním možnosti konfigurace XML dokumentu) doplňuje řetězec.

Formát žádosti řetězce slouží jako potvrzení, že požadavek skutečně pochází z bot. Navíc, C & C centra také používá user-agent záhlaví HTTP požadavku jako heslo.

Pokud je C & C žádost přijme, odpoví bot konfigurační soubor, který je také šifrovaný xml dokument. RC4 se používá také k zašifrování tohoto souboru, se infikovaný počítač identifikátor (id parametr žádosti řetězce, ve výše uvedeném příkladu - xCOMPUTERNAME_62CF4DEF), které slouží jako klíč.

Zde je příklad těchto pokynů:


Obrázek 7. Konfigurační soubor - pokyny z C & C

<plugins> Část vypráví bot, které moduly jsou k dispozici na majitele serveru nastavit útoku DDoS. Pokud se bot nemá konkrétní modul nebo je-li novější verze je k dispozici na serveru, bot odešle plug-in stáhnout žádost na server, např.:

getp = http & id = xCOMPUTERNAME_62CF4DEF & ln = ru & cn = ŽP & nt = 2600 & nabídka = 3

Plug-in je DLL knihovnu, která je odeslána do bot v zašifrované podobě. Pokud je klíč použit k šifrování plugin se liší od hodnoty parametru id, bude uvedeno v <key> oblasti konfiguračního souboru. Jakmile je plug-in DLL byla přijata a dešifrovat, bude umístěn do paměti přidělené oblasti. To je pak připraven začít DDoS útok, jakmile příslušný příkaz je přijat.

Plug-iny budou pravidelně stáhne do infikovaných počítačů: jakmile aktualizace malware spisovatel jejich útok metody, Černé Energie 2 bot se stáhnout nejnovější verzi příslušného pluginu.

Stažený plug-iny jsou uloženy do infikovaného počítače pevný disk jako str.sys v <windir> \ system32 \ drivers. Str.sys je šifrován, s parametrem id používán jako klíč. Před šifrování dat str.sys vypadá takto:

 
Obrázek 8. Nešifrované obsah str.sys: plug-in skladování

Každý modul plug-in má vyvážené funkce, DispatchCommand, který se nazývá hlavní modul - DLL injekce do svchost.exe procesu. Parametr (jeden z příkazů z <cmds> sekce v konfiguračním souboru bot), je předán do funkce DispatchCommand. Plug-in pak provede příkaz.

Hlavní plug-iny

Mezi hlavní moduly plug-in pro energetiku Černé 2 ar DDoS, syn a http. Stručný popis každého je uveden níže.

DDoS plug-in

Adresu serveru, protokol a port pro použití v útoku, jsou vstupy pro DDoS plug-in. Plug-in připojení zahájí hmotnost na server, pomocí portu a protokol stanovené. Jakmile je spojení navázáno, je náhodná data paket odeslán na server. Podporovány jsou následující protokoly: TCP, UDP, ICMP a http.

Níže je uveden příklad "ddos_start udp <Internet adresa> 80" Příkaz se provádí:

 
Obrázek 9. Vytvoření zásuvky, UDP protokol

 
Obrázek 10-1. Odesílání dat: sendto a stoh

Obrázek 10-1. Odesílání dat: sendto a stoh


Obrázek 10-1. Odesílání dat: sendto a stoh


Obrázek 10-3. Jaká data jsou odeslána: náhodný soubor bytů

Když je protokol http je uvedeno v příkazu, DDoS plugin používá zásuvky, připojit a poslat k odeslání požadavku GET na server.

Syn plug-in

Na rozdíl od ostatních plug-inů popsaných v tomto článku, syn plugin obsahuje síťový ovladač. Když je plugin DllEntry funkce je volána, ovladač je nainstalován na <windir> \ system32 \ drivers složky jako synsenddrv.sys. Řidič pošle všechny síťové pakety. Jak lze snadno uhodnout, funkce DispatchCommand čeká na hlavní DLL jej poslat následující parametr: "syn_start <doména> <port>" nebo "syn_stop <doména>". Pokud bývalý parametr obdrží, plugin začne útok, pokud je tato obdrží, je zastaven útok.Útok v tomto případě skládá z četných žádostí o připojení se na server, následuje takzvaný 'potřesení rukou', tj. otevírání síťových relací.

 
Obrázek 11. SYN útok: SYN-> ACK-> RST

Samozřejmě, že pokud četné žádosti jsou vyrobeny z velkého počtu infikovaných počítačů, což vytváří nápadné zatížení serveru.

Http plug-in

The DDoS útok výše uvedených metod jsou často bojovat pomocí přesměrování: server s on-line zdrojů je skryto za bránu, která je viditelná na vnější svět, s bránou přesměrování požadavky na server hosting zdroje. Brána může používat širokou škálu technik DDoS útoky odrazit a brát ho není snadné. Vzhledem k tomu, DDoS a syn pluginy cílové IP adresy, a nemají žádné vlastnosti, které jim umožní rozpoznat dopravní přesměrování, mohou pouze zaútočit na bránu. Proto, síť záplavy, které vytvářejí prostě nedosahuje server hosting internetových zdrojů. Toto je místo, kde http plugin vypovídací

Po obdržení http_start <url> <port> příkaz, http plugin vytvoří COM objektu s názvem "Internet Explorer (Ver 1,0)" s IWebBrowser2 rozhraní. Tato metoda se nazývá Navigovat na http_start příkaz s parametrem <url>, což má za Internet Explorer (Ver 1.0) objekt navigace na zadané URL. Tato metoda je pak Busy používá škodlivý program, který čeká, až žádost je dokončena.

 
Obrázek 12-1. Vytvoření objektu COM


Obrázek 12-2. Ukazatel na CLSID


Obrázek 12-3. Ukazatel na identifikátor rozhraní

 
Obrázek 13. Voláním metody Navigovat

 
Obrázek 14. Voláním metody Busy

Pomocí těchto kroků, škodlivý program napodobuje běžný uživatel navštíví určitou stránku. Jediným rozdílem je, že na rozdíl od uživatelů, škodlivý program dělá mnoho 'návštěvy' na stejnou adresu v krátkém časovém období. Dokonce i když se používá přesměrování brána, je http požadavek přesměrován na chráněný server hosting webových zdrojů, čímž vzniká velké zatížení serveru.

Obecné příkazy

Kromě stahování plug-iny a vykonávat příkazy plug-in, černá energie 2 'rozumí' řada obecných příkazů, které lze odeslat C & C serveru:

rexec - stáhnout a spustit vzdálený soubor;

lexec - spustit lokální soubor na infikovaném počítači;

die - ukončí bot provedení;

UPD - update bot;

setfreq - nastavení frekvence, s níž bot bude kontaktovat C & C serveru;

http - poslat HTTP požadavek na uvedené webové stránce.

Závěr

Zpočátku, Black energii bot byla vytvořena s cílem provádění DDoS útoků, ale s implementací pluginů do bot je druhá verze, potenciál tohoto malware rodina se stala prakticky neomezená. (Nicméně, zatím zločinci mají většinou používán jako nástroj DDoS). Pluginy mohou být instalovány, např. k rozesílání spamu, uchopit pověření uživatele, nastavení proxy serveru, atd. upd příkaz lze použít k aktualizaci bot, např. s verzí, která byla šifrována pomocí jiné metody šifrování. Pravidelné aktualizace, aby bylo možné se vyhnout bot řadu antivirových produktů, žádný z nich by mohl být instalován na infikovaném počítači, na dlouhou dobu.

Tento škodlivý nástroj má vysoký potenciál, což samozřejmě dělá to docela hrozbu. Naštěstí, protože tam nejsou veřejně k dispozici on-line konstruktory, které lze využít k vybudování online Černý Energie 2 roboty, tam je méně variant tohoto škodlivého softwaru, než říci, Zeus nebo první verzi Black energie.Data však ukazují, že jsme zločinci se již používají Černá Energie 2 postavit velké botnety, a tyto již byly zapojeny do úspěšného DDoS útoků.

Je obtížné předvídat, jak botnet mistrů se bude používat své botnety v budoucnosti. Není to těžké pro malware spisovatele vytvořit plug-in a dostat ho stáhnout do infikovaného uživatele stroje. Kromě toho, žádné plug-in kód je pouze přítomen v infikovaném počítači paměti, ve všech ostatních případech škodlivý moduly jsou šifrovány, ať již je to při přenosu nebo při uložení na pevný disk.

Kromě toho, Black Energie 2 pluginy nejsou spustitelný soubor (. Exe) soubory. Pluginy jsou nahrány přímo na infikovaný počítač, což znamená, že nebudou distribuovány pomocí masové šíření technik a antivirového softwaru, nesmí narazit na nové pluginy pro prodloužené lhůty času. Nicméně, to je plug-inů, které nakonec splnit cíl zločinci ', tj. doručení škodlivý užitečné zatížení, které je konečným cílem infikování poškozeného stroje s Černým Energy 2 bot.

V důsledku toho je nezbytné sledovat plug-inů. Kaspersky Lab, která sleduje Černého Energie 2 pluginy jsou k dispozici ke stažení pro sledování vývoje tohoto škodlivého programu. Budeme vás průběžně.