Перейти к содержанию
AM_Bot

BackDoor.Gootkit.112 — новый многофункциональный бэкдор

Recommended Posts

AM_Bot

9 апреля 2014 года

Сложные многокомпонентные троянцы, обладающие функционалом бэкдора, то есть способные выполнять на инфицированном компьютере поступающие с удаленного сервера команды, встречаются в «дикой природе» нечасто. Одну из таких вредоносных программ, получившую наименование BackDoor.Gootkit.112, недавно исследовали специалисты антивирусной компании «Доктор Веб». В настоящей статье рассказывается об архитектуре и принципах работы данной угрозы.

Модуль, отвечающий за инсталляцию бэкдора в систему и реализацию функций буткита, явно был позаимствован разработчиками BackDoor.Gootkit.112 у троянцев семейства Trojan.Mayachok. При этом вирусописатели все-таки внесли в исходный код ряд существенных изменений. Так, оригинальный Trojan.Mayachok перед началом распространения каждой сборки троянца генерировал уникальный код VBR, на базе которого собиралось вредоносное приложение; в архитектуре BackDoor.Gootkit.112 все функции собраны в самом дроппере, который в процессе заражения видоизменяет код VBR. Драйвер, которому передает управление загрузочная запись раздела (Volume Boot Record, VBR) до момента инициализации системы, также взят из известных исходников Trojan.Mayachok, но его код был частично переписан: так, большинство указателей (шелл-код для выполнения инжекта, различные таблицы) с неустановленной целью были приведены к базонезависимому виду, однако при этом некоторые указатели остались нетронутыми. В частности, один из них ссылается на фразу из репертуара Гомера Симпсона «Just pick a dead end and chill out till you die», которую троянец выводит в отладчик после предварительной инициализации загрузчика. Примечательно, что подобные строки (преимущественно также цитаты Гомера Симпсона) транслировали в отладчик авторы троянцев семейства TDSS (начиная с версии BackDoor.Tdss.565 (TDL3) и старше). Имя Gootkit встречается как в самом загрузчике вредоносной программы, так и в модуле полезной нагрузки:

gk02.1.png

Помимо прочего, из драйвера удалены все компоненты, отвечающие за связь с ним работающих в пользовательском режиме модулей троянца, — например, позволявшие этим модулям использовать ресурсы скрытой файловой системы VFS. При этом функции инициализации и защиты этой файловой системы в BackDoor.Gootkit.112 остались.

Модули полезной нагрузки BackDoor.Gootkit.112 хранит в ветви системного реестра Windows HKLMSOFTWARECXSW, используя для этого значения binaryImage32 или binaryImage64 в зависимости от разрядности операционной системы.

gk03.1.png

Для получения полезной нагрузки BackDoor.Gootkit.112 внедряет специальный шелл-код в процессы SERVICES.EXE, EXPLORER.EXE, IEXPLORE.EXE, FIREFOX.EXE, OPERA.EXE, CHROME.EXE. Подобный метод встраивания вредоносного кода (с созданием полноценного нового потока в пользовательском режиме и регистрацией его в CSRSS.EXE) встречается во вредоносных программах крайне редко.

Основная задача внедряемого шелл-кода — загрузить модуль полезной нагрузки из системного реестра или скачать его с удаленного интернет-ресурса. Бинарные файлы полезной нагрузки сжаты и зашифрованы.

Для повышения своих привилегий в инфицированной системе BackDoor.Gootkit.112 использует оригинальную методику обхода защиты учетных записей (User Accounts Control, UAC) — для этого используется штатный механизм операционной системы shim (Microsoft Windows Application Compatibility Infrastructure). Троянец задействует в своих целях программу сетевого клиента SQL Server (cliconfg.exe) — в манифесте этой программы свойству AutoElevate соответствует значение true, поэтому Windows поднимает для таких приложении привилегии в обход UAC.

С использованием библиотеки apphelp.dll BackDoor.Gootkit.112 создает в Windows базу данных, имя которой и значение параметра Application генерирует случайным образом. Для загрузки троянца используется свойство RedirectEXE, позволяющее запустить вместо указанного приложения его «исправленную» версию или саму вредоносную программу. В качестве параметра свойства RedirectEXE BackDoor.Gootkit.112 указывает путь к своему исполняемому файлу и ссылку на созданную базу данных.

nouac01.1.png

После создания базы она устанавливается в систему с использованием утилиты sdbinst.exe, при этом в манифесте данной утилиты свойству AutoElevate также соответствует значение true, поэтому она запускается в Windows с особыми привилегиями. В целом алгоритм обхода UAC выглядит следующим образом:

  1. троянец создает и устанавливает новую базу данных;
  2. запускается утилита cliconfg.exe, которая стартует в системе с повышенными привилегиями;
  3. механизм shim выгружает оригинальный процесс и с использованием RedirectEXE запускает троянца.

Полезная нагрузка BackDoor.Gootkit.112 представляет собой большой исполняемый файл объемом порядка 5 МБ, написанный на языке С++. Большая часть этого файла представляет собой интерпретатор JavaScript, известный под названием Node.JS. Внутри исполняемого файла содержится более 70 скриптов на языке JavaScript, значительная часть которых представляет собой ядро Node.JS, создающее удобный интерфейс для работы со встроенными объектами. Часть скриптов реализует вредоносный функционал троянца — они позволяют бэкдору выполнять поступающие от удаленного сервера команды, а также загружать с него дополнительные модули, которые сохраняются в системном реестре, так же, как и основной модуль BackDoor.Gootkit.112. Троянец позволяет выполнять следующие команды:

  • перехват http-трафика;
  • выполнение инжектов;
  • блокировка определенных URL;
  • создание снимков экрана;
  • получение списка запущенных в системе процессов;
  • получение списка локальных пользователей и групп;
  • выгрузка заданных процессов;
  • выполнение консольных команд;
  • запуск исполняемых файлов;
  • автообновление троянца

и некоторые другие.

Как уже упоминалось ранее, в троянце используется редкий метод внедрения кода в запущенные процессы. Аналогичный алгоритм был описан на форуме wasm.ru пользователем, скрывающимся под псевдонимом Great:

great.1.png

В представленном им описании видны характерные статусы возврата — аналогичные статусы мы можем наблюдать в дизассемблированном коде BackDoor.Gootkit.112:

great2.1.png

Можно было бы предположить, что вирусописатель попросту позаимствовал код из открытого источника, однако в опубликованных на форуме wasm.ru исходниках в одну из функций передается структура c именем DRIVER_TO_SHELLCODE_PARAMETERS. Упоминание структуры с аналогичным именем внезапно обнаруживается в личном блоге другого автора, который подробно описывает данную технологию инжекта, утверждая, что это его совместная разработка с Ильей Great:

great3.1.png

При этом на страницах того же блога его владелец признается в любви к фреймворку Node.JS, возможности которого широко используются в коде троянца. Так, автор опубликовал заметку с заголовком «NodeJSC++: Нативное расширение для реестра», в которой описал методы работы с ветвью системного реестра Windows SOFTWARECXS:

great4.1.png

В другой статье, озаглавленной "NodeJS: Spyware на Javascript?", автор упоминает шпионский модуль SpywareModule, при этом методы этого модуля имеют префикс "Sp":

great5.1.png

Аналогичный код встречается в BackDoor.Gootkit.112:

great6.1.png

В связи с этим можно сделать вполне определенные предположения об авторстве данной вредоносной программы.

Сигнатура BackDoor.Gootkit.112 добавлена в вирусные базы, и потому данный троянец не представляет угрозы для пользователей антивирусных продуктов Dr.Web.

Источник

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
BackDoor.Gootkit.112 — новый многофункциональный бэкдор

Заголовок такой, как-будто они этот бекдор сами написали и продают! :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ramonsmaps
      Over the years of independence, the institute has trained more than 13000 physicians (including 800 clinical interns, 1116 masters, 200 postgraduates and 20 doctoral students) in various directions.

      870 staff work at the institute at present,[when?] including 525 professorial-teaching staff in 55 departments, 34 of them are Doctors of science and 132 candidates of science. 4 staff members of the professorial-teaching staff of the institute are Honoured Workers of Science of the Republic of Uzbekistan, 3 – are members of New-York and 2 – members of Russian Academy of Pedagogical Science.

      The institute has been training medical staff on the following faculties and directions: Therapeutic, Pediatric, Dentistry, Professional Education, Preventive Medicine, Pharmacy, High Nursing Affair and Physicians’ Advanced Training. At present[when?] 3110 students have been studying at the institute (1331 at the Therapeutic faculty, 1009 at the Pediatric, 358 at the Dentistry, 175 students at the Professional Education Direction, 49 at the faculty of Pharmacy, 71 at the Direction of Preventive Medicine, 117 ones study at the Direction of High Nursing Affair).

      Today graduates of the institute are trained in the following directions of master's degree: obstetrics and gynecology, therapy (with its directions), otorhinolaryngology, cardiology, ophthalmology, infectious diseases (with its directions), dermatovenereology, neurology, general oncology, morphology, surgery (with its directions), instrumental and functional diagnostic methods (with its directions), neurosurgery, public health and public health services (with its directions), urology, narcology, traumatology and orthopedics, forensic medical examination, pediatrics (with its directions), pediatric surgery, pediatric anesthesiology and intensive care, children's cardiology and rheumatology, pediatric neurology, neonatology, sports medicine.

      The clinic of the institute numbers 700 seats and equipped with modern diagnostic and treating instrumentations: MRT, MSCT, Scanning USI, Laparoscopic Center and others.

      There are all opportunities to carry out sophisticated educational process and research work at the institute.

      Source:
      https://adti.uz/magistratura/
      medical institutes of uzbekistan

      Tags:
      medical institutes of uzbekistan
      regional scientific medical library
      electronic library of a medical student
      electronic medical library official website
    • Dmitrius
      Сервис подбора и сравнение кредитов Случается так, что деньги нужны срочно. Поэтому если у вас нет накоплений, рациональней всего обратиться за помощью на этот сайт, где собраны надежные, проверенные банки, которым точно можно доверять. Учреждения подготовили лучшие предложения, которые только возможны. На этом сайте есть возможность подобрать кредит, а также оформить займ либо взять деньги на приобретение автомобиля. И самое главное, что все это на наиболее выгодных для вас условиях. Автокредит Казахстан проценты - это шанс купить все, что нужно, не отказывая себе в покупке. Все банковские продукты различаются требованиями, условиями выдачи, а потому рекомендуется детально изучить условия договора и особенности выдачи денежных средств. Потребительский кредит оформить (рассчитать) в Алматы получится в данный момент. На этом сайте вы сможете не только подобрать подходящий вариант, но и сравнить имеющиеся. Затем следует определиться с тем, в какой банк обратиться за материальной поддержкой. Составить заявку на выдачу средств можно в режиме реального времени. Кредит наличными заявка онлайн выдается в течение часа наиболее комфортным для вас способом. На портале опубликован список всех доступных предложений, имеется необходимая информация о каждом банке и кредитах. Выберете самую низкую процентную ставку, а также сумму и сроки, на которые планируете занять сумму. Все максимально просто, быстро и понятно. Ипотека проценты Казахстан (ипотека Казахстан) - это отличная возможность решить свои жилищные проблемы. Важно помнить о том, что лишь надежные компании с огромным опытом готовы предложить приемлемые условия. Выберете подходящий для себя банковский продукт, чтобы поправить материальное положение.
    • Dmitrius
      Интернет магазин автозапчастей  Интернет-магазин «AUTOSHOP» реализует внушительный выбор деталей на автомобили - их можно подобрать не только по наименованию, но и артикулу и другим параметрам. Имеются разные запчасти на любые автомобили самых разных марок и моделей - вы сможете их найти в один клик. Запчасти находятся на складе - это дает возможность осуществить быструю транспортировку. Сотрудничество исключительно с надежными, проверенными поставщиками, которые работают на совесть и предлагают продукцию безупречного качества и с длительными эксплуатационными сроками. Автозапчасти интернет магазин для иномарок рекомендует ознакомиться с полным ассортиментом – он даст возможность подобрать вариант с учетом обозначенных требований. Перед тем, как осуществить приобретение, необходимо детально изучить технические аспекты, ведь именно они влияют на сроки эксплуатации и внешний вид авто. Но если вам требуется помощь специалиста, то вы всегда можете воспользоваться профессиональной консультацией. Автозапчасти для иномарок Курск вы обязательно подберете для любой машины, несмотря на год производства. Изучите справочник автотоваров, каталог, а также новости, представленные на данную тематику - информация поможет принять правильное решение. Сотрудники интернет-магазина быстро реагируют на появление новых деталей в европейских магазинах для того, чтобы в ближайшее время пополнить ими свой ассортимент. Это даст возможность быстро среагировать за изменяющуюся ситуацию. Каталог автозапчастей Курск содержит огромный перечень деталей. Они созданы в соответствии с самыми высокими стандартами, нормами, требованиями. Администрация проверяет запчасти на соответствие заданным характеристикам, поэтому в продажу попадает только та продукция, которая имеет сопроводительную документацию, сертификаты. На продукцию есть гарантии, подтверждающие безупречное качество, оригинальность.
    • JamesBisee
      Купить газовый котел с закрытой камерой сгорания в Москве
      https://www.fire-flower.ru/
      https://www.google.tg/url?q=https://fire-flower.ru
    • PR55.RP55
      По всей видимости uVS не всегда может получить доступ к: Hosts Нужно чтобы в Лог писалась информация: "Нет доступа  к Hosts " Вроде сейчас uVS  соответствующих записей не создаёт?
×