TDSS

 

Dokonce i nejdelší den přijde do konce.

Ruské lidové pořekadlo

TDSS rootkit se poprvé objevil v roce 2008. Od té doby, to stalo se daleko rozšířenější, než notoricky známý rootkit Rustock . Rootkit je nebezpečný náklad a obtíže, jež představují pro analýzu jsou skutečně podobné těm bootkit . Bootkit infikují (jak již název napovídá) infikuje boot sektor, zajistit, že škodlivý kód je načten před operačním systémem. TDSS implementuje koncept infikování řidičů, což znamená, že je načten a běh na velmi raných fázích tohoto operačního systému. Tím se výrazně komplikuje detekci TDSS a dělá jeho odstranění léčbu vážný problém.

TDSS: Rootkit techolnogies

Začátek: TDL-1

První verze TDSS byla detekována Kaspersky Lab dne 6. duben 2008, Rootkit.Win32.Clbd.a. Tento název odráží jména řidiče, clbdriver.sys, a DLL, clbdll.dll, které poskytují hlavní užitečné zatížení.

Velké duby rostou z malého žaludů, a to byl velmi hodně v případě TDSS, rootkit zaváděné technologie v první verzi (řidič funkce) byl relativně jednoduchý, i v roce 2008.

Zajímavé je, že některé části rootkit zůstala nezměněna od doby první verze, a to:

  1. TDL identifikátory;

  2. nářadí ovladače infekce;

  3. Použití konfiguračních souborů,

  4. Práce s С & C panel.

  
Fragment Rootkit.Win32.Clbd.o, časná verze TDSS,
který infikoval beep.sys řidiče

Nejdůležitější funkcí tohoto rootkitu, jsou:

  • Ochrana kritické klíče registru tím, že skryje je;

  • Ochranu kritických souborů na disku tím, že skryje je;

  • Vstřikování škodlivý kód do systémové procesy z kernel-mode ovladač;

  • Skrytí síťové porty TCP;

  • Vykonání některých funkcí (ukončení procesů, ukončení vlákna, skrývání injekce DLL moduly, atd.)

Soubory jsou skryté přidáním škodlivý filtr systémový ovladač zásobníku. To se provádí cyklicky pro každý svazek v systému. Tento přístup pomáhá zabít dvě mouchy jednou ranou: rootkit skrývá soubory na disku, které mají jména začínající řetězcem "TDL", a vrátí chybu, když je učiněn pokus o otevření \ Device \ HarddiskVolumeX. To způsobuje chyby v různých anti-rootkit nástroje, které potřebují k otevření tohoto objemu provést low-level analýzu struktury souborového systému.

Chyba vrácené malware čte "STATUS_TOO_MANY_SECRETS", což zdůrazňuje poněkud zvláštní kyberzločinci 'smysl pro humor, který se stal jejich charakteristickým znakem.

Síťové porty jsou také skryté přidáním škodlivý filtr \ Device \ TCP zařízení zásobníku.

Klíčů registru spojené s škodlivého služby a konfigurační data jsou skryté hákování funkce systému NtEnumerateKey. Toto je děláno tím, sestřih, metoda založená na výměně určitého počtu bytů na začátku funkce s přesměrovač vedoucí k nebezpečného ovladače.

  
Infikovaný systém: sestřih funkce NtEnumerateKey a NtFlushInstructionCache

Hákování systému fungují NtFlushInstructionCache je zajímavý rys malware. Voláním této funkce, může řidič provádět další příkazy takto:

  • Ukončit vlákno;

  • Blok závit provedení;

  • Ukončit současný proces;

  • Získat jméno současného procesu;

  • Z injekčně modul DLL;

  • Uvolnit řidiče;

  • Získat seznam běžících procesů.

  
Funkce vykonávající další rootkit příkazy

Rootkit používá poměrně jednoduchou metodu bez vloženého modulu z PsLoadedModuleList, systém seznam načtených ovladačů.

Zajímavých rysů TDL-1 jsou uvedené výše. Dnešní anti-malware technologií můžete snadno zjistit a neutralizovat tento rootkit, a vzhled TDL-2 je dobrý důkaz tohoto.

TDL-2: sága pokračuje

Anti-Rootkit technologie se neustále vyvíjí, a rootkit technologie příklad následovaly. TDL-2 (TDSS), nové modifikace škodlivý program, se poprvé objevil na začátku roku 2009.

Je třeba poznamenat, že tam bylo několik změn TDL-2, každý s upravenými funkcemi. Z tohoto důvodu se mohou popisy z různých zdrojů se liší v informacích, které nabízejí.

Aby se zabránilo nebezpečného ovladače od analyzovány, jak kyberzločinci popletl a šifrovaný těla rootkit. Oni také přidali náhodná slova z "Hamleta" k malware soubor, aby se zmást malware analytiků.

  
Fragment škodlivého souboru, který obsahuje náhodná slova

Ačkoli rootkit funkčnost zůstal relativně nezměněný v porovnání s předchozí verzí, techniky používané v boji proti analýze a ukrýt rootkit změnil. Nebezpečného ovladače používá sesazování na háku počet jádrových funkcí takto:

  • IofCallDriver

  • IofCompleteRequest

  • NtFlushInstructionCache

  • NtEnumerateKey

  • NtSaveKey (v některých verzích)

  • NtSaveKeyEx (v některých verzích)

  • NtQueryValueKey (v některých verzích)

  • NtSaveKey (v některých verzích)

  • NtSaveKeyEx (v některých verzích)

  • NtQueryValueKey (v některých verzích)

  
Zahnutý funkce operačního systému

Pokus by mohl být dán smířit rozpory je uvedeno výše, ale rootkit používá několik jádra vlákna pro kontrolu, zda rootkit háky jsou přítomny, a obnovit je v případě potřeby. Podobně, rootkit zkontroluje, zda systémový registr obsahuje položku pro škodlivý služby a obnovuje v případě potřeby.

Stejně jako první verze rootkitu dělá, TDL-2 háky NtEnumerateKey skrýt rootkit konfiguraci dat a jejich kritická klíče registru.

Dvě nové funkce, NtSaveKey a NtSaveKeyEx, je zahnutý, aby se zabránilo některé anti-rootkit nástrojů od zjišťování anomálií v systémovém registru a následně je přítomnost aktivní malware v systému.

NtFlushInstructionCache je zahnutý, aby se zajistilo malware komponenty se mohou přístup k režimu jádra.

Malware háčky systém funguje IofCallDriver a IofCompleteRequest tak, že nebezpečný řidič může filtrační systém IRP pakety. To pomáhá skrýt rootkit soubory, a omezit přístup k nim. V systému Windows, je I / O systém založený na jednotném rozhraní a je srdcem operačního systému. I / O manažer odkazy aplikací a komponent systému s řadou různých zařízení. Většina I / O žádosti mají podobu zvláštních paketů IRP (vstup / výstup pakety vyžádání). Tak, hákování výše uvedených funkcí umožňuje proces filtrování rozsahu paketů IRP např. otevření souboru operací. Zatímco zachytí IofCallDriver umožňuje odfiltrovat paket dříve, než bude zpracována v systému, hákování IofCompleteRequest umožňuje zrušit úspěšnou operaci, jako je soubor otevřený operaci.

Hákování na IofCallDriver je realizován v poměrně netradičním způsobem. Hák se odvíjí provedení zásobníku, pokud zjistí jakoukoliv řidič ve stohu, který není v rootkit je whitelist, a že řidič se pokusí přečíst některé soubory, falešné "čtení úspěšné" stav je vrácena. Nicméně, je soubor není vlastně četl.

Když je zahnutý the IofCompleteRequest funkci systému, je chybové hlášení "STATUS_SECRET_TOO_LONG" se vrátil, a úspěšnou operaci je zrušen.

Rootkit také zaměstná trik pomocí systému klíče registru ServiceGroupOrder. Tento klíč registru je zodpovědný za manipulaci s načítáním ovladače prioritou. Jakmile zjistí, rootkit řidiče, který je nejvyšší prioritou, je ieit uvedena před "System vyhrazené", bude v registru záznam pro tuto službu je upraven tak, že služba bude zahájena až mnohem později. To je další metoda používaná k boji proti anti-rootkit technologie.

Tento škodlivý funkce je stále ještě dostatečně propracované, aby potlačily většina antivirových produktů, v současné době k dispozici (http://www.anti-malware-test.com/?q=node/180), protože pomáhá rootkit zůstaly nezjištěné v infikovaného systému. Nicméně, počítačoví piráti za tento malware raději nechce usnout na vavřínech, jejich úsilí vedlo ke vzniku TDL-3 na podzim roku 2009. Tento rootkit je nejvíce propracovaný, silný, a zajímavé rootkit k dnešnímu dni.

TDL-3: konec příběhu?

Nejnovější verzi tohoto škodlivého programu realizuje stav-of-the-Art-virus psaní technologií. Na rozdíl od rozvojových rootkit správný, mají autoři důsledně pracovali na zlepšení jeho self-ochrana schopností, chyba-opravovat, rozvíjet užitečného zatížení, a reagovat rychle na nové detekční technologie vyvinuté antivirových společností.

K zajištění rootkit získává pevnou oporu v rámci operačního systému, zločinci používají populární metoda: soubor virus, který infikuje komponenty systému. Cílem je miniportu / Port ovladače na disku.Tím je zajištěno, rootkit je naložen téměř okamžitě po spuštění operačního systému.

Později úpravy rootkit náhodně vybrat a infikovat systém, ovladače, které splňují určitá kritéria. Nicméně, začněme tím, že zkoumá starší verze rootkitu, který infikuje atapi.sys řidiče. Aby se zabránilo detekci anti-rootkit nástrojů, které kontrolují velikost souboru v high-a low-level, je soubor infikovaný takovým způsobem, aby velikost se nemění.

Infector nahrazuje počet bytů do zdrojů cílového souboru s malým nakladačem hlavního těla rootkit a upravuje řidiče vstupní bod.

  
Vstupní bod v atapi.sys před infekcí

  
Vstupní bod v atapi.sys po infekci

Nakladač je hlavním cílem je, aby nahrál hlavní části rootkit od poslední sektory na disku do paměti, a předat mu řízení.

  
Hlavní část rootkit na disku s označením "TDL3"

Nicméně, toto není všechno dělá rootkit. TDL-3 používá vlastní implementaci šifrovaný souborový systém, ve kterém ukládá své konfigurační údaje a další user-módu dll. Jako výsledek, TDL-3 nevyžaduje FAT nebo NTFS souborové systémy, aby fungoval.

  
Příklad data rootkitu konfigurace se nachází v posledním sektoru disku

Hlavním účelem jakékoliv Rootkit je k blokování a / nebo skrýt malware kritická data. Aby se tomu TDL-3 spoofs objekt servisu systému zařízení.

  
Diskové zařízení stoh

Všechny funkce servis tohoto zařízení vede k jedné věci: škodlivý řidiče hák funkce:

  
 

Tímto způsobem, rootkit filtry pokusy o přístup k disku, odvětví, ve kterých se nachází kritická data. Je-li k pokusu o čtení infikovaných ovladač (v tomto případě, atapi.sys) je pokus, rootkit vrátí obsah čistých souboru (tj. obsah souboru před infekcí.).

TDS-3 je vysoce sofistikovaný malware. Počítačovými zloději, kteří vytvořili to sledovat činnost antivirového společnosti a pružně reagovat na jejich vydáním aktualizace pro rootkit. V době psaní aktuální verze rootkitu byla 3,273. Je pravděpodobné, že funkčnost rootkitu bude upraven v blízké budoucnosti k lepšímu proti anti-rootkit technologie.

TDSS Online

Na začátku března 2009, Kaspersky Lab označeny vzestup aktivity TDSS.

  
Množství variant TDSS a komponenty zjištěných denně 
(Statistika z Kaspersky Security Network)

Tento výbuch činnosti vyzval k podrobnější analýze TDSS. Výsledky jsou uvedeny níže.

"Partnerka"

TDSS jsme rozšířili pomocí affiliate marketing programy. Dnes, affiliate marketing je nejvíce populární způsob, jak zločinci k vzájemně spolupracovat s cílem vydělat peníze. Podle Wikipedie: " Affiliate marketing je marketingová praxe, v níž obchodní odměny jednoho či více poboček pro každého návštěvníka či zákazníka přinesla affiliate marketingu. Příklady zahrnují odměny místa, kde jsou uživatelé odměněni peněžní prostředky nebo dary, pro dokončení nabídky, a postupování ostatní místa. "Pro zločinci, kteří jsou zapojeni do partnerství, nebo affiliate, programy, výrobky jsou škodlivé programy, zatímco nabízené služby jsou lákadlem uživatelů na infikovaných webových stránek a následné infekce jejich počítačů. K dispozici je široká škála marketingových programů affiliate, v tomto konkrétním případě hovoříme o affiliate programy na podporu škodlivými programy a / nebo nepoctiví antivirová řešení.

Je třeba zdůraznit, že kdo jsou zapojeni do affiliate programy na podporu malware nejsou omezeny pouze v množství, které může vydělat: více infikovaných počítačů, tím více vydělá partnera. Většina partnerů využívat řadu využije, červů a virů nainstalovat malware na napadených počítačů. Například Conficker(které společnost Kaspersky Lab detekuje jako Worm.Win32.Kido), který způsobil epidemii na počátku roku 2009, včetně nástroj pro stahování a spustit soubor v souvislosti s "Traffic měnič" affiliate program, který rozdělí tuláka antivirová řešení

Většina marketingových programů affiliate šíření škodlivého kódu pomocí Pay-Per-Install model ( PPI ).Jinými slovy, výše partner vydělává závisí na tom, jak malware, kolikrát je instalován, a na tom, kde stroje jsou umístěny oběti.

  
PMSoftware, affiliate marketing program, který distribuuje tulák antivirová řešení a TDSS.
Pay-per-Install částka závisí na fyzické umístění počítač oběti

AffId

Vzhledem k tomu, TDSS je distribuován prostřednictvím affiliate program, obsahuje nástroj, který přenáší údaje o partnerovi, který instaloval rootkit oběti počítače. Hodnotu uvedenou v souboru AffId v rootkit konfiguračního souboru tyto informace obsahuje.


Fragment TDD konfiguračního souboru ukazující na poli AffId dávat partnera ID

AffId identifikátor je odeslán do administračního panelu určit, které partner nainstalován TDSS na konkrétním počítači, a že je to partner, který by měla být věnována. Fyzické umístění infikovaného počítače je určena C & C panel s použitím IP adresy, ze kterého byla odeslána AffId identifikátor.

Analýza nových TDSS infekcí a jejich zdrojů umožňuje určit, které jsou partnery, pomocí které metody pro distribuci rootkit. Například, partner s ID # 20106 napadá počítače s použitím falešných kodeků, které jsou údajně potřeba se dívat na video klip na konkrétní webové stránky.

  
Zpráva vyzývající uživatele k instalaci kodeku se dívat na video

Partneři s ID # 10438 a 11418 vyzve uživatele k instalaci identifikovat generátor pro populární software.Rootkit je nainstalován spolu s klávesou generátor.

  
Key generátor instalace řádku, která bude také instalovat TDSS

Partnerem ID # 20273 napadá počítače s pomocí drive-by ke stažení , zatímco verze rootkitu s AffId # 00123 byly staženy na stroje, které patřily ke dvěma různým botnety CnC Zeus . To může naznačovat, že obě botnety mají stejného vlastníka.

Připojení

Konfigurační soubor obsahuje také adresy pro C & C panel. TDSS kontakty, když je spuštěn poprvé na počítač oběti. Každý konfigurační soubor obsahuje obvykle 3 C & C adres. Všichni ve všech, je třicet tři známé adresy pro třetí verze rootkitu.

C & C servery jsou umístěny v Číně, Lucembursko, Hongkong, Nizozemskem a Ruskem.

 

GUID | AffId | status | erType | erCode | OS

 

GUID je jedinečný identifikátor pro počítač oběti;

Affid je partnera ID;

Status je stav aktuální úlohy;

erType je rootkit runtime chyba;

erCode je chyba typu;

OS je verze operačního systému používá infikovaného počítače.

Rootkit kontaktuje C & C přes HTTPS , během této komunikace, C & C server využívá bezpečnostní certifikát podepsaný zločinci a vydané Internet Widgits Pty Ltd Pro vývojáře, certifikát je tento používán jako standardní osvědčení při práci s SSL.

  
Standardní C & C bezpečnostního certifikátu

"Standardní" certifikát se používá při práci prostřednictvím protokolu HTTPS k dosažení dvou cílů:

  1. Zabránit antivirových řešení od detekce paketu obsahu charakteristické malware a následně blokuje škodlivý provoz v síti.

  2. Zabránit falešný C & C servery od získání kontroly nad botnet.

Kromě používání zabezpečeného připojení, třetí verze TDSS také používá šifrovací algoritmy pro GET-žádosti. Žádost je kódována v C & C název domény pomocí algoritmu RC4 , a poté je zakódován doBASE64 . GET-žádosti vytvořené ve starších verzích rootkity mohou být zachyceny a detekovány.Nicméně, GET-žádosti vytvořené třetí verze TDSS je prakticky nemožné zjistit, jak zpracování každého požadavku GET-odeslané z počítače uživatele vyžaduje příliš mnoho času CPU.

 

BASE64 (RC4 ("domain.org", " f1344ab7-e226-4385-b292-328fd91e5209 | 20123 | 0 | 1 | 0 | 5.1 2600 SP2.0 ")) = naRV/t1H20oohxzGEVXPMbdVVOjvK0PMUE
VzuYWyEDHKsOFud57tO4HMkrkf0abk5UC3XtwDW/7Fmc
s7Vy14niX4t3eRARHRlnGKP14CcOwASIdVHac

 


 

Příkladem toho, jak HTTP GET-žádost je šifrována TDSS

C & C

Různé verze TDSS používají různé sady skriptů a databází ke kontrole botnety a uchovávat informace o nich. Tak, TDL2 použit motor SENEKA (to je to, co tato verze TDSS je nazýván v některých antivirových produktů). V současné době je botnet TDSS spravuje DM-Engine. Pokud je paket formátu a šifrovací algoritmus je známo, může být žádost zaslána botnet C & C, aby si příkazy poslal do infikovaných počítačů, stejně jako informace o C & C strukturu a obsah jeho databáze. Je možné určit umístění a názvy souborů používané k provozu botnet záměrně poškozené odesláním zasláním žádosti o C & C.

/ Data / www / dm_engine / knihovny / třídy / DBase.php
/ Data / www / dm_engine / public / enginestatusn.php
/ Data / www / dm_engine / knihovny / modely / mSystems.php
/ Data / www / dm_engine / public / index.php


 

Příklad umístění souborů v TDSS C & C

Je také možné zjistit, jak bot parametry jsou zpracovány C & C, pokud žádost formát a parametry jsou známy.

Část žádosti

GUID

Affid

Stav

erType

erCode

OS

Typ proměnné

char

Char

num

num

char

char

Operace na proměnných

Vybrat / Vložit

Vybrat / Vložit

Vložit

Vybrat

Vybrat

Vybrat / Vložit


 

Tabulka C & C operace na parametry zaslané TDSS

Všechna tato data je možné zjistit obsah některých polí v C & C, které služby botnet TDSS.

Blind SQL Injection

C & C databáze je navržen tak, aby létat pod radarem, takže je nemožné se dostat zprávy o žádosti poslané k němu. Vzhledem k tomu slepý SQL injection může být použit, s následnou analýzou žádosti výsledky jsou založeny na čas to bere pro odpověď HTTP, aby se dospělo. Hlavní problém s touto metodou je založení, které tabulky a názvy polí by měly být použity. V tomto případě se zločinci, při vývoji C & C, který se používá pole a názvy tabulek, které odpovídají požadavku jména botnet, což je úkol méně náročné.

Tak, když TDSS kontaktuje C & C, "GUID" pole je nazýváno "Systémové ID". V tabulce ukládání ID všech infikovaných počítačů je předvídatelně nazývá "systémy". Všechny partnerské ID, nebo "AffId" s, jsou uloženy v "Affiliate" tabulky. Pomocí zranitelné počet polí, které TDSS posílá k C & C, podle požadavku může být zaslána: return 1 v případě, že počet "Systémové ID" záznamy obsahující identifikátory nakažených počítačů je větší než 1, jinak je výpočet MD5 hash 20000000 krát.

"26344ab7-e226-4385-b292-328fd91e5209 | 20123 | 0 | 1 
A 
If ((SELECT COUNT (Systémové ID) Od systémů)> 1,1, Benchmark (20.000.000, md5 (1)))
| 0 | 5.1 2600 SP2.0 "


 

Žádost o TDSS C & C databáze

Tato žádost je šifrována pomocí C & C název serveru jako klíčový. Když C & C server obdrží žádost, odpověď na realizaci stav se vrací do druhé. Je-li žádost výše uvedené je upraven, aby obsahoval 100.000 infikovaných počítačů ( .. v případě, že počet "Systémové ID" záznamy obsahující identifikátory nakažených počítačů je větší než 100.000 ... ), odpověď bude zaslána do deseti sekund.

"26344ab7-e226-4385-b292-328fd91e5209 | 20123 | 0 | 1
A 
If ((SELECT COUNT (Systémové ID) Od systémů)> 100000,1, Benchmark(20000000, md5 (1)))
| 0 | 5.1 2600 SP2.0 "


 

Modifikovaná žádost TDSS C & C databáze

Zasláním opakované žádosti vytvořené tímto způsobem, to může být prokázáno, že C & C na doméně873hgf7xx60.com služby 243 infikovaných počítačů, zatímco u C & C zz87jhfda88.com pouze na služby, 119 infikovaných počítačů. Na začátku června, asi 2000 "affiliate partnerů" rozdávali TDSS.

26345ab7-e226-4385-b292-328fd91e5209 | 20023 | 0 | 1 
A 
If ((SELECT COUNT (affid) Od poboček)> 1691,1, Benchmark (20.000.000, md5 (1)))
| 0 | 5.1 2600 SP2.0


 

Žádost o TDSS C & C. Výuka je: Pokud je počet záznamů obsahujících AffId ID partnerů 'je větší než 169
, Pak se vrací hodnotu 1, jinak provádět výpočet MD5 hash-funkce pro 20 milionů krát

Zcela zjevně, tato technika může být použita jak pro odstranění všech tabulek na botnet je C & C panel a posílit příjmy partnerů '.

Z jádra do režimu uživatele

Technologie, které TDSS používá ke komunikaci se nezměnily od první verze rootkitu. To čte čte config.ini, který obvykle zobrazuje následující údaje ve výchozím nastavení:

[Hlavní] : hlavní část, která identifikuje rootkit do systému.

  • Citace: citace z filmů, kreslených atd. zobrazí, když debugger přikládá.

  • Verze: verze instalovaného rootkit.

  • Botid: bot ID pro C & C.

  • AffId: affiliate (partnera) ID.

  • Subid: parametr pro další identifikaci bot, pokud botnet je rozdělena (Výchozí hodnota je nula)

  • Installdate: datum, kdy byl instalován na rootkit oběť počítači.

  • Builddate - rootkit termínem montáže.

[Vstřikovač] je část, která definuje rootkit užitečného zatížení.

  • První pole obsahuje názvy procesů (ve výchozím nastavení obsahuje "*", který znamená "všechny procesy".

  • Druhé pole určuje název DLL být načten do těchto procesů.

[Tdlcmd] je užitečné zatížení části.

  • Servery: adresy C & C servery, typicky 3 adresy.

  • Wspservers: adresy použité pro vyhledávací služby.

  • Popupservers: adresy serveru, ze kterého stránky budou otevřeny.

  • Verze: užitečné zatížení version

  
Příklad konfiguračního souboru TDSS

Formát konfiguračního souboru se může lišit v závislosti na verzi TDSS, užitečného zatížení, nebo na příkazy odesílat z C & C.

TDSS: obohacení kit

Peníze

Rootkit.Win32.TDSS je univerzální škodlivý program, který umí skrýt přítomnost jakýchkoli jiných škodlivých programů v systému a poskytují zvýšenou oprávnění infikovaného systému. The bootkit prováděny podobné technologie: v naší analýze bootkit, jsme zaznamenali, že tyto škodlivé programy byly velmi pravděpodobně získá popularitu mezi zločinci, protože jsou jednoduché na používání a nabízí široké možnosti. V podstatě TDSS je rámec, který je neustále aktualizován a doplněn. Ve výchozím nastavení se provádí pouze TDSS Trojan-klikr funkce (http://www.securelist.com/en/threats/detect/trojan-programs/trojan-clicker # seznam) a používá se zločinci, jak vydělat peníze tím, že manipuluje provozu ratingů různých místech. Tento náklad se nachází v DLL, typicky s názvem "tdlcmd.dll", která je součástí prakticky všech standardních konfiguracích. Je zřejmé, že rootkit je mnohem širší možnosti, a může být použita různými způsoby v závislosti na cíli autorů a / nebo nájemci nebo kupující botnet vytvořený pomocí malware. V roce 2009 odhadoval 3 milióny infikovaných počítačů byly kontrolovány TDSS, přibližně polovina z nich se nachází v USA. ( www.networkworld.com / novinky )

Podrobnou analýzu všeho, co se týkají TDSS naznačuje, že autor či autoři jsou Rusové nebo rusky. Jsou neustále aktualizovat malware současně si udržet kontrolu nad ním - TDSS sám nikdy nebyl k dispozici pro nákup. Spíše je to botnety řízen TDSS, obvykle skládá z cca 20.000 infikovaných počítačů, které si prodal.

Je na kupujícím, jak používat botnet TDSS. Zatímco jsme ji sleduje, mají spam-roboty, nepoctiví antivirová řešení a údajů krást Trojans všechny byly nahrány na takový botnet.

Užitečné zatížení

Tvůrci TDSS byli opatrní, aby zajistila, že peníze mohou být vyrobeny z botnetů vytvořených pomocí jejich malware. Jeden z nosností výchozí TDSS je tdlcmd.dll.

Ve většině případů je tdlcmd.dll dodávány spolu s TDSS a je zatížen rootkit na všechny procesy.Nicméně, škodlivý DLL dodává jeho škodlivý náklad pouze v případě prohlížeče procesů a v aktualizaci Windows služby, využívající skutečnosti, že tyto procesy ovlivňují internetu.

  
Seznam procesů, v nichž působí tdlcmd.dll

Při spuštění, DLL:

  1. Přijímá příkazy z botnet C & C a běží jim.

  2. Zachytí uživatel vyhledává a spoofs výsledků hledání.

  3. Vytváří hledání žádostí o populárních vyhledávačů.

  4. Imituje aktivity uživatelů na webových stránkách.

Majitelé botnetů vytvořených pomocí TDSS majitelé mohou potenciálně zisku ze všech těchto činností (www.securelist.com / en / analýza ).

C & C příkazy

Ve výchozím nastavení mohou tldcmd.dll spusťte následující příkazy odeslané z C & C:

  • DownloadCrypted: stáhnout zašifrovaný soubor.

  • DownloadAndExecute: stáhnout a spustit soubor.

  • DownloadCryptedAndExecute: stáhnout zašifrovaný soubor, dešifrovat a spusťte jej.

  • Ke stažení: Stáhněte si soubor.

  • ConfigWrite: upravit konfigurační soubor.

Pokud šifrovaný příkaz přijede z C & C, to je dešifrován pomocí RC4. Zdrojové doménové jméno se používá jako dešifrovací klíč. Jakmile se C & C příkaz byl proveden, bude [Úkoly] bod, který vytvořili v config.ini, což je logall akce prováděné bot.


Příklad záznamu config.ini, vytvoří, jakmile tdlcmd.dll aktualizace jsou stahovány

Vzhledem k tomu, že veškerá komunikace s C & C se provádí prostřednictvím protokolu HTTPS, čtení "Úlohy" sekci pomáhá malware analytici sledují TDSS činnost.

Na rozdíl od bootkit nebo Conficker (aka Kido - http://mtc.sri.com/Conficker/), TDSS nemá algoritmus pro hledání migraci C & C centra domény. Nicméně, "ConfigWrite" příkaz slouží k úpravě "Servery" pole v sekci [tdlcmd] přichází, když C & C je první kontaktován a následně přibližně jednou týdně.

  
Příklad C & C místo

"Stránka spoofing virus"

Při spuštění v prohlížeči procesu, tdlcmd.dll dráhy uživatel žádosti na následující stránky:

. Google.

. Yahoo.com

. Bing.com

. Live.com

. Msn.com

. Ask.com

. Aol.com

. Google-analytics.com

. Yimg.com

upload.wikimedia.org

img.youtube.com

powerset.com

. Aolcdn.com

. Blinkx.com

. Atdmt.com

. Othersonline.com

. Yieldmanager.com

. Fimserve.com

. Everesttech.net

. Doubleclick.net

. Adrevolver.com

. Tribalfusion.com

. Adbureau.net

. Abmr.net

Pokaždé, když některý z těchto míst je kontaktován, tdlcmd.dll generuje požadavek na server určený v wspserver oblasti konfiguračního souboru. Informace o infikovaných systému a žádosti na určenou webu je odeslána na server. V odpovědi, C & C server pošle odkaz na stránku, musí být uživateli zobrazeny.Tento odkaz může vést uživatele k jakékoliv stránky, které by mohly být legitimní stránky, ale může být stejně tak na podvodnou stránku. Yandex.ru, ruský hledání místa, psal o útoku, v roce 2008 (http://help.yandex.ru/search/?id=1008281 ). V té době, byly tyto nástroje začleněna do mnoha škodlivých programů.

Je zajímavé, užitečné zatížení druhé verze TDSS nepracoval s Firefoxem, zločinci proto nainstalovaný prohlížeč add-on, který hrál podobnou funkci.

  
Příklad FireFox add-on pro přesměrování uživatele vyhledávacích dotazů

Blackhat SEO

Jen před několika lety, první stránce výsledků vyhledávání Google dotaz obsahující slovo "antivirus" by obsahovat jen odkazy forrogue antivirová řešení. Toho bylo dosaženo tím, takzvaný černý motor optimalizace pro vyhledávače (SEO) techniky .

Tdlcmd.dll obsahuje nástroj pro "push" stránek, pokud zvláštní klíčová slova se používají ve vyhledávacím dotazu. Soubor s názvem "klíčová slova" je vytvořen v sekci disku šifrována rootkit, tento soubor obsahuje slova, která se automaticky odeslán do vyhledávače v dotazu. Určená místa je vybrán, aby se zobrazí v vyhledávače stránky s výsledky. JavaScript je začleněna do prohlížeče uživatele, aby plně napodobit aktivity stisknutím tlačítka skokem podle potřeby.

  
Příklad výsledků stránky obsahující nebezpečný odkaz

Clicker

Rootkit komunikuje s C & C serveru pomocí HTTPS. Nicméně, když tdlcmd.dll kontakty serverů s cílem zvýšit hitcounts, jednoduše šifruje GET-žádost za použití stejných algoritmů RC4 a převádění výsledků do BASE64. Tdlcmd.dll kontakty server uvedených v "popupservers" parametr v konfiguračním souboru.Server odpoví s názvem souboru, odkaz na stránky a URL, ze kterého se z toho, že odkaz. Konfigurační soubor také určuje, jak často stránky by měly být přístupné. Na rozdíl od jiných škodlivých programů s podobným užitečným zatížením, TDSS vytváří skutečné okno prohlížeče, aby plně emulovat uživatel navštíví web. Tímto způsobem, TDSS zobrazuje popup reklamy pro tuláka antivirových řešení nebo jakékoliv jiné stránky zvoleného botnet majitele.

Šíření TDSS

Jak TDSS je šíření prostřednictvím affiliate program, který používá všechny možné prostředky prostředky k naplnění malware k oběti stroje, rootkit napadl počítače po celém světě.

  
Pokouší se infikovat počítače pomocí TDSS, 1H2010 (data fromKaspersky Security Network)

Vzhledem k tomu, že platba for1000 infikovaných počítačů v USA bude vyšší než v kterékoli jiné zemi (viz výše), je sotva překvapující, že se šíří TDSS nejaktivněji v USA.

Kromě KSN statistiky, data mohou být také získány přímo z botnet C & C:

C & C URL

Počet infikovaných uživatelů, 
jak reportoval C & C

zz87jhfda88.com

119

d45648675.cn

108

873hgf7xx60.com

243


 

Příběh pokračuje

Vzhledem k tomu, že zločinci mají dát do značné úsilí i nadále podporovat tento malware, odstraňování chyb, a vynalézání různých technik pro obcházení podpis-umístěný, heuristické a proaktivní detekci, TDSS je schopen proniknout do počítače, i když je nainstalován antivirový řešení a běží.

Skutečnost, že bot komunikaci s C & C je šifrován dělá to významně více nesnadno analyzovat síťové pakety. Extrémně silný rootkit složka ukrývá i nejdůležitější malware komponent, a skutečnost, že počítač byl infikován. Počítač oběti se stává součástí botnet, a bude mít další malware nainstalován na to.Zločinci zisk z prodeje malých botnety a pomocí blackhat SEO.

Tak dlouho, jak škodlivý program, je zisková, budou zločinci i nadále podporovat a rozvíjet ji. TDSS představuje vážné bolesti hlavy pro antivirové společnosti. V Kaspersky Lab, věnujeme hodně času na otázky vznesené TDSS, a zejména zjistit a odstranit aktivní infekce. Doufáme, že naši kolegové v celém průmyslu dělají totéž, takže uživatelé budou chráněni proti této velmi konkrétní hrozby.