MiniDuke

Articol postat de:

CERT-RO

Pe 13 februarie 2013 FireEye a anunțat descoperirea unui exploit de tip 0-day pentru aplicaţia Acrobat Reader care este folosit pentru a răspândi un malware necunoscut până la acea dată. Denumirea dată acestuia a fost ”ItaDuke” deoarece aduce aminte de Duqu și totodată incorporează în shellcode comentarii copiate din ‘’Divina Comedie’’ scrisă de Dante Aligheri.

De la anunțul inițial au mai avut loc câteva atacuri care folosesc același exploit (CVE-2013-0640) şi care răspândesc alte tipuri de malware. Între acestea, s-au observat o serie de incidente cu caracteristici speciale și care merită o analiză amănunțită.

Concluzia este că atacatorii MiniDuke sunt încă activi la această oră, ultima oară când a fost detectată activitate din partea acestora fiind 20 februarie 2013. Pentru a compromite victimele, atacatorii au folosit tehnici foarte eficiente de social engineering care au presupus trimiterea unor fișiere PDF malițioase către țintele stabilite. Aceste fișiere PDF erau extrem de relevante subiectului în cauză și aveau un conținut foarte consistent despre un seminar pe tema drepturilor omului, despre politica externă a Ucrainei și planurile ei de aderare la NATO. Aceste fișiere PDF malițioase conțineau exploit-uri care atacau versiunile Acrobat Reader 9, 10 și 11, ocolind tehnologia de sandboxing.

Odată ce sistemul este exploatat, un downloader foarte mic (20kb) este plasat pe disc-ul victimei. Acest downloader este unic pentru fiecare sistem și conține un backdoor personalizat scris în Assembler. Atunci când se încarcă la pornirea sistemului, acesta folosește un set de calcule matematice pentru a determina amprenta unică a computerului. În schimb, folosește aceste date pentru a cripta unic comunicațiile sale mai târziu.

Dacă sistemul țintă îndeplinește cerințele pre-definite, malware-ul va folosi Twitter (fără știrea utilizatorului) și începe căutarea unor tweet-uri specifice de la alte conturi special concepute pentru această acțiune de către operatorii C&C. Mesajele acestea conțin etichete specifice cu URL-uri criptate pentru backdoors. Aceste URL-uri oferă acces la C2S, care furnizează apoi comenzi potențiale și transferuri criptate de backdoors suplimentare pe sistem prin intermediul fișierelor de tip GIF.

Pe baza acestei analize, se pare că cei care au creat MiniDuke oferă un sistem de backup dinamic care totodată poate dispărea de pe radar. Dacă Twitter nu se conectează, malware-ul poate folosi Google Search pentru a găsi șiruri de criptare până la următorul C2. Acest model este flexibil și permite operatorilor să schimbe în mod constant modul de preluare a comenzilor backdoor suplimentare sau malcode, după cum este necesar.

Odată ce sistemul infectat localizează C2, acesta primește backdoors criptate ascunse in fișiere de tip GIF și deghizate ca fotografii ce apar pe mașina victimei.

Odată ce acestea sunt descărcate, ele pot aduce un backdoor mai mare care desfășoară activități de cyberespionage prin funcții precum copy file, move file, remove file, make directory, kill process și bineînțeles download și execute.

Backdoor-ul din etapa finală se conectează la două servere, unul în Panama și altul în Turcia pentru a primi instrucțiuni de la atacator. Totodată, aceștia au lăsat un mic indiciu în cod sub forma numărului 666 (0x29A hex) înainte de una din subrutinele de decriptare.

Analizând jurnalor de pe serverele de comandă și control, s-a ajuns la concluzia de la acel moment că există 59 de victime unice în 23 de tări: Belgia, Brazilia, Bulgaria, Republica Cehă, Georgia, Germania, Ungaria, Irlanda, Israel, Japonia, Letonia, Liban, Lituania, Muntenegru, Portugalia, România, Federația Rusă, Slovenia, Spania, Turcia, Ucraina, Marea Britanie și Statele Unite ale Americii.

Cercetătorii antimalware de la Bitdefender au găsit o nouă mostră a malware-ului MiniDuke, cea mai veche până la acest moment (20 iunie 2011).

Mostra de malware este practic un mic fișier executabil care lasă și încarcă un fișier de tip .dll. Acesta este diferit de cele mai recente versiuni, având mai multe importuri, ca și cum ar fi un program normal, de la kernel32.dll, user32.dll, gdi32.dll și comct32.dll.

Destul de interesant este faptul că data a fost extrasă de pe site-ul Derpartamentului Marinei Americane:tycho.usno.navy.mil/cgi-bin/timer.pl.

Nu există un backup al căutării în motorul Google pentru a contacta sevrverele de comandă și control. În cazul în care conectarea la Twitter cade, atunci nu se întâmplă practic nimic. Așadar, putem vedea că utilizarea tehnicii Google search a fost introdusă după 2011.

În același timp, există indicative de care nu se știa până în acest moment: ObamaApril și Qae9XMs. În această versiune, malware-ul se conectează la twitter.com direct în loc să folosească serviciul mobil via mobile.twitter.com ca în versiunile din 2012 și 2013.

În mod suprinzător, contul de Twitter folosit este încă activ. Ultima și în același timp singura postare este din 21.02.2012: ’uri!wp07VkkxYt3Ag/bdNgi3smPJvX7+HLEw5H6/SORsmHKtA==’ și acesta se decodează în ‘http://afgcall.com/demo/index.php’, un alt server care a fost probabil spart. Cu toate acestea, nici un fișier nu a fost găsit pe acel server. Cel mai probabil mostra de malware este într-atât de veche încât serverul c&c nu mai este activ.

Mai jos puteți descărca un tool care acoperă toate variantele cunoscute ale malware-ului, inclusiv ultima variantă întâlnită.

http://labs.bitdefender.com/wp-content/plugins/downloadmonitor/download.php?id=MiniDuke_Removal_Unified.exe

Sursa foto: CERT-RO
Sursa articolului: CERT-RO


One Response to MiniDuke

  1. Catalin spune:

    Buna ziua! Fac o documetare despre acest virus si ma intereseaza in special modul sau de a actiona. Am gasit multe articole asemanatoare care descriu aceasta chestiune, dar destul de putine aspecte din punct de vedere practic. As fi recunoscator daca ma puteti ajuta in acest sens.
    Cu respect,
    Catalin.

Add Comment Register



Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile necesare sunt marcate *


*

Poți folosi aceste etichete HTML și atribute: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>