ЛК: Троян Pinch використовує Gif картинки для зараження і передачі даних в споруджуваному ботнет

  1. Разом:

Формат GIF-файлу і відсутність будь-яких спеціальних перевірок на фотохостингу дають зловмисникам прекрасні можливості: економити на покупці або оренді зазвичай виділених серверів і практично анонімно будувати / оновлювати свої ботнети.

Pinch - одна з легендарних шкідливих програм Рунета. З середини 2003 року цей троянець доставляє регулярні проблеми антивірусним компаніям. Його вихідні коди модифікували і правили багато початківці зловмисники, а бази паролів, вкрадені з його допомогою, постійно з'являлися на чорному ринку. Тож не дивно, що саме цей троянець «сплив» в одному з минулих інцидентів, пов'язаних з фотохостингом компанії Google.

Логотип програми Picasa,   здійснює безпосередню роботу   з фотохостингом компанії Google
Логотип програми Picasa,
здійснює безпосередню роботу
з фотохостингом компанії Google

У процесі спостереження за сайтами, використовуваними хакерами, які намагаються і поширення шкідливих програм, фахівці ЛК наткнулися на безліч ресурсів, заражених однаковими за кодом скриптами. На початку головної сторінки кожного такого сайту знаходиться спеціальний зашифрований скрипт. Аналізуючи браузер і набір доповнень до нього, скрипт формує спеціальний запит до сервера зловмисника для вибору уразливості, яка буде використовуватися для проникнення на комп'ютер користувача зараженого сайту.

Приклад коду головної сторінки зараженого сайту
Приклад коду головної сторінки зараженого сайту

На момент дослідження зловмисники використовували уразливості тільки в браузерах Internet Explorer 6, 7 і QuickTime. Після їх успішної експлуатації завантажувався наступний код:

Код, відробляє після успішної реалізації вразливостей
Код, відробляє після успішної реалізації вразливостей

Мета цього коду - звернення до фотохостингу компанії Google і завантаження спеціально сформованої картинки:

Картинка, розміщена на фотохостингу Google
Картинка, розміщена на фотохостингу Google

Після успішного завантаження даної картинки код розшифровує спеціально сформований «доважок» до неї, який оказалтся троянцем Trojan-Dropper.Win32.Dropirin.ah. При цьому в коді картинки по циклічно повторюється послідовності байт, не характерних для даних формату GIF, добре видно розташування даного троянця.

Вміст коду картинки з даними, що не характерними для формату GIF
Вміст коду картинки з даними, що не характерними для формату GIF

Після розшифровки і запуску троянця-Дроппер, на комп'ютері жертви встановлюється програма Backdoor.Win32.WinUOJ.pz, призначена, в тому числі, для прихованої завантаження і установки інших шкідливих програм. Робота бота з командним центром ведеться з використання шифрування, при цьому самі центри регулярно змінюються і знаходяться в різних регіонах світу - в США, Сінгапурі, Москві і т.д.

Приклад команди для завантаження додаткових шкідливих програм, отриманої Backdoor
Приклад команди для завантаження додаткових шкідливих програм, отриманої Backdoor.Win32.WinUOJ.pz від контрольної панелі

Однією з особливостей даного бота є завантаження додаткових шкідливих програм, упакованих аналогічними способами в ті ж GIF-картинки.

т   Приклад оновлень, що розсилаються контрольним центром для ботнету, з використанням GIF-картинок т
Приклад оновлень, що розсилаються контрольним центром для ботнету, з використанням GIF-картинок

Однією з шкідливих програм, встановленої зловмисниками на споруджуваний ботнет, стала програма Trojan-PSW.Win32.LdPinch, що володіє накопиченими за свою майже семирічну історію розвитку і розробки великими можливостями для крадіжки конфіденційної інформації з зараженого комп'ютера.

Разом:

Використання GIF-файлів для зараження користувачів і передачі даних в споруджуваному ботнет є однією з найбільш кмітливих шкідливих технік за останній час. При спостереженні за мережевий трафік системи процес зараження і роботи шкідливої ​​програм неможливо визначити стандартними засобами, так як з боку це виглядає як завантаження звичайних картинок при відвідуванні звичайного сайту. Формат GIF-файлу і відсутність будь-яких спеціальних перевірок на фотохостингу дають зловмисникам прекрасні можливості: економити на покупці або оренді зазвичай виділених серверів і практично анонімно будувати / оновлювати свої ботнети. У цих умовах проблему можна вирішити, наприклад, використанням техніки перекодування користувальницьких картинок, аналогічно тому, як це відбувається з відеороликами на тому ж youtube.com.