Gromozon: The strange case of Dr.Rootkit and Mr.Adware
Articolo di Bluevik del 25/10/06
|
|
Pagina 1
Gromozon - alias LinkOptimizer - ha occupato a lungo le cronache delle minacce informatiche degli ultimi mesi, e ancora adesso i forum ricevono richieste di aiuto e assistenza per infezioni virali dovute a questo malware. In effetti Gromozon rappresenta un caso di infezione informatica particolarmente rilevante e allarmante: non solo per la sua grande diffusione nei pc di tutto il mondo, ma anche per la raffinatezza, la complessità e la molteplicità delle tecniche di infezione utilizzate. Per questo siamo particolarmente lieti di aver potuto realizzare la traduzione in italiano di uno studio estremamente interessante e approfondito sul "caso Gromozon" effettuato da Marco Giuliani. Leggendolo, si comprendono "dall'interno" i modi e le tecniche che hanno reso Gromozon così pericoloso e difficile da sradicare una volta che ha infettato un sistema, ma anche l'alto livello di intelligenza e di sofisticazione tecnologica ormai raggiunto dai creatori di malfare. Un'importante lezione sul tema della sicurezza per tutti noi.
Marco Giuliani, autore dello studio "The strange case of Dr.Rootkit and Mr.Adware", collabora come ricercatore per la società di sicurezza informatica Prevx ed a livello internazionale a stretto contatto con le società produttrici di software antivirus. Si occupa principalmente di sicurezza informatica e, in dettaglio, di ricerche su virus informatici e software nocivi.
INTRODUZIONE A GROMOZON.COM
Lo strano caso del Dottor Rootkit e Mister Adware
rev. 0.4
MARCO GIULIANI
INTRODUZIONE
Negli ultimi anni abbiamo assistito ad un drammatico cambiamento nelle tecniche di infezione. Alcuni anni fa i programmi maligni esordirono come semplici iniettori di file, poi progredirono in macrovirus, worm, script virus, e ora siamo invasi in numero esorbitante da backdoor, trojan, adware e rootkit.
Il quadro delle competenze necessarie per scrivere malware è cambiato, e allo stesso modo sono cambiati anche gli obiettivi. I giorni in cui i programmatori di virus scrivevano virus per dimostrare quanto bravi fossero nel creare programmi maligni sono finiti, e ora l'unica preoccupazione dei creatori di virus è fare soldi infettando un gran numero di computer.
Utilizzando dei trojan bot un attentatore informatico può ottenere l'accesso da remoto a un sistema. Ci sono migliaia di reti di computer zombie - macchine infettate con backdoor che sono pronte per essere utilizzate per qualunque cosa i pirati informatici che controllano i sistemi desiderino, spaziando dall'invio di email-spam all'esecuzione di attacchi Distributed Denial of Service (DDoS).
Molti di questi programmatori di virus sono foraggiati da aziende che sono povere di principi morali e fanno uso di strategie pubblicitarie maligne. Un'azienda che vuole pubblicizzare un prodotto a milioni di utenti via email dovrebbe inviare tutte le relative email da se stessa, il che può far inserire molto velocemente l'impresa in questione nelle blacklist. Invece, tutto quello che deve fare è pagare un programmatore di virus perché compili un virus che può infettare da remoto un computer, trasformandolo in un server di posta. Le imprese realizzano milioni di dollari di profitto all'anno con le email-spam.
Molte infezioni fanno anche pubblicità locale sui computer degli utenti. Programmi maligni sono utilizzati spesso per mostrare messaggi su determinati prodotti nei computer delle singole persone analizzando le loro abitudini di navigazione e inviando informazioni sugli utenti ai server degli aggressori informatici.
I terroristi stanno usando di frequente le reti informatiche infette ( botnet ) per attaccare siti web. Ad esempio, qualcuno potrebbe fare un ricatto digitale ad una compagnia e il suo sito web, spingendola ad inviare del denaro altrimenti il pirata informatico darebbe inizio ad un attacco di Distributed Denial of Service, atto ad esaurire la banda messa a disposizione e mettendo provvisoriamente il sito web offline. Alcuni terroristi informatici controllano reti di centinaia di migliaia di computer, il che rende i loro attacchi abbastanza potenti da far cadere anche i server delle imprese più grandi.
L'arma più recente nell'arsenale degli aggressori è il rootkit, una tecnica usata per nascondere codice maligno in un computer infettato in modo tale che nessun programma possa rilevarlo. Esistono diverse tecniche utilizzabili dagli aggressori con i quali è possibile nascondere file e altri componenti dei virus. Molte di queste tecniche sono state scoperte e le case produttrici antivirus hanno creato delle contromisure, ma, come sempre, i creatori di virus sono un passo avanti e hanno altrettanti modi per combattere e rendere innocui anche gli antivirus e gli antirookit più potenti. Alcuni mesi fa, gli utenti cominciarono a riferire su un'infezione da rootkit che era totalmente sconosciuta ai produttori di antivirus. Questa minaccia è ancora in fase di apparizione e di sviluppo, ed è ancora ampiamente non rilevata. Nelle pagine seguenti analizzeremo questa infezione in dettaglio.
RESOCONTO DELLA MINACCIA
Nel maggio del 2006 alcuni utenti iniziarono a riferire di alcuni strani comportamenti in Windows: strani crash all'avvio, rapporti inusuali dei programmi antivirus che riferivano il rilevamento euristico di file che non potevano pulire, e strani file che comparivano nell'hard disk. Utenti italiani segnalarono degli URL di siti Web sospetti. Quando gli utenti visitavano questi siti, le CPU dei loro sistemi si impennavano in maniera eccessivamente anormale, e i loro sistemi rallentavano di molto.
Dopo questi primi segnali, la gente riportò infezioni di rootkit sui propri computer, scoperte da alcuni rilevatori di rootkit. Rimuovere queste infezioni, d'altra parte, si sarebbe rivelato molto più difficile di quanto ci si aspettasse. Tre mesi più tardi, nell'agosto 2006, questa infezione era ancora largamente diffusa, non solo in Italia, ma anche in altri paesi. Nessun produttore di programmi per la sicurezza ha realizzato un aggiornamento per i loro motori di rilevazione o trovato una soluzione che rimuova completamente l'infezione.
Nella pagine seguenti analizzeremo a fondo l'infezione per capire meglio come lavora. Tutte le informazioni contenute in questo documento provengono da me stesso, dal web e da altre ricerche nel mondo. Per informazioni su coloro che hanno contribuito e sulle fonti, ho inserito una lista completa alla fine del documento.
PARTE PRIMA: ANALISI DELLE TECNICHE DI DIFFUSIONE
L'infezione inizia da alcuni strani siti italiani che contengono nel loro codice un link ad un JavaScript contenuto in un altro server.
Le pagine infette si presentano come nell'immagine qui sotto.
Sebbene ci siano siti maligni molto differenti che appaiono diversi, hanno tutti un aspetto in comune - un link a un codice sorgente che indirizza ad un sito web che contiene un JavaScript maligno.
Il sito che appare qui sotto contiene un JavaScript offuscato. Tentare di decodificare questo script non è un compito di poco conto. Possiamo vedere una funzione che finisce con la funzione eval() e un'altra funzione che chiama la funzione principale attraverso una lunga stringa codificata. La funzione eval() richiama lo script decodificato, così possiamo trasformare la funzione eval() in una funzione alert() forzando lo script a mostrare il codice decodificato invece di eseguirlo. Utilizzando questo metodo abbiamo ottenuto ancora altri codici offuscati. La cifratura utilizzata risulta dunque avere molteplici livelli.
Guardando in modo piú attento nel codice possiamo vedere l'uso di arguments.callee.toString().replace(/\s/g,'').length function che richiama un valore relativo al corpo stesso della funzione. La stessa funzione è dunque usata come un parametro per l'occultamento del codice. Cambiando eval() in alert() abbiamo aumentato il numero richiamato da questa funzione di 1.
Cambiando eval() in alert() e aumentando i valori di 1 alla funzione arguments.callee.toString().replace(/\s/g,'').length possiamo facilmente decodificare il codice.
Come appare nell'immagine qui sotto, il JavaScript semplicemente richiama altri siti web.
Possiamo adesso vedere nello script che il sito web successivo è http://td8eau9td.com che risulta essere chiuso dall'abuse team. In realtà questo è un falso messaggio.
Guardiamo l'informazione del sito web:
[whois.estdomains.com]
Registration Service Provided By: ESTDOMAINS INC
Contact: +1.3027224217
Website: http://www.estdomains.com
Domain Name: TD8EAU9TD.COM
Registrant:
N/A
Austen Rando (joker41@list.ru)
Conde St. 16 81
BELLEVILLE
Illinois,62220
US
Tel. +001.6187775834
Creation Date: 08-Aug-2006
Expiration Date: 08-Aug-2007
Come possiamo vedere, il sito web è registrato a ESTDOMAINS, il che non è sorprendente perché molti siti dedicati allo spam e siti collegati a malware provengono da loro. La data di creazione è interessante perché sembra che ci sia qualcuno che sta tentando di cambiare rapidamente i domini per prevenire che siano resi inutilizzabili dagli utenti che potrebbero bloccare qualsiasi cosa proveniente da uno specifico dominio.
Se tentiamo di connetterci alla pagina web mostrata nello script decifrato troveremo uno script PHP complesso che è caricato dinamicamente e che cambia a seconda del browser attivato dall'utente.
Questo significa che a seconda del browser ogni utente riceverà un tipo differente di infezione.
Noi abbiamo fatto delle prove con i browser Internet Explorer 5, Internet Explorer 6, Mozilla Firefox 1.5.0.6 e Opera 9. Di seguito vediamo le stringhe che i browser utilizzano per identificarsi ai server web (User Agent):
Internet Explorer 5 U.A = Mozilla/4.0 (compatibile; MSIE 5.01; Windows NT 5.0)
Internet Explorer 6 U.A = Mozilla/4.0 (compatibile; MSIE 6.0; Windows NT 5.1; SV1)
Mozilla Firefox 1.5.0.6 U.A = Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.0.4) Gecko/20060508 Firefox/1.5.0.6
Opera 9 U.A = Opera/9.00 (Windows NT 5.1; U; en)
Abbiamo osservato quattro differenti pagine web. Le pagine web caricate con Internet Explorer utilizzavano il numero più alto di exploit e altri tipi di attacchi simili.
COMPORTAMENTO DI OPERA 9
Navigando in quelle pagine web con Opera 9 si caricava un'altra pagina .htm che caricava automaticamente un JavaScript cifrato. Una volta decifrato possiamo vedere che il JavaScript controlla la piattaforma dell'utente, e se è Win32 lo script scarica poi un eseguibile denominato www.google.com.
COMPORTAMENTO DI FIREFOX 1.5.0.6
Navigando con Firefox 1.5.0.6 abbiamo caricato lo stesso script caricato navigando con Opera e ci ha chiesto di scaricare il medesimo eseguibili. Con Firefox tenta di lanciare un altro JavaScript con doppio livello di cifratura.
L'immagine mostra il primo livello del codice deoffuscato.
COMPORTAMENTO DI INTERNET EXPLORER 5
Quando vi abbiamo navigato con Internet Explorer 5, la pagina web ha tentato molti più attacchi che con gli altri browser. La pagina caricava 5 differenti iframes, e ogni iframe usava un tipo differente di attacco.
Il primo iframe caricato tenta di rilasciare automaticamente lo stesso eseguibile visto nei due browser precedenti. Il JavaScript anche qui era offuscato.
Il secondo iframe tenta di sfruttare un noto exploit Java chiamato Byte.Verify. Dopo aver deoffuscato il JavaScript, possiamo vedere che l'exploit è caricato solo dopo un controllo del software installato nel pc. Esso controlla la presenza di programmi antivirus come:
Norton Antivirus (NAVCfgWizDll.NAVCfgWizMgr)
Kaspersky (DD230880-495A-11D1-B064-008048EC2FC5)
Nod32 (B089FE88-FB52-11D3-BDF1-0050DA34150D)
Ewido (8934FCEF-F5B8-468F-951F-78A921CD3920)
e così se trova uno di questi rinuncia all'installazione.
Il terzo iframe carica un altro JavaScript che esegue un exploit su di una nota ( e patchata ) vulnerabilità nella funzione createControlRange(). Questa vulnerabilità può essere exploitata da un sito web maligno per corrompere la memoria in un modo che consente al programma in attività di essere rediretto ad una determinata zona di memoria. Il successo nell'esecuzione dell'exploit consente l'esecuzione di codice arbitrario. Questo bug è datato 2005-02-27 e riportato dalla Microsoft come MS05-014.
|
![[AD-PIANETAPC]](adv/PPC.gif)
Cerca nel sito
Navigation Box
Versione stampabile