Турецкий бекдор маскируется под системную службу Windows

Среди предполагаемых создателей современных вредоносных программ нередко встречаются как жители стран бывшего СССР, так и носители китайского языка — определенные выводы об авторстве тех или иных угроз можно сделать на основе анализа их кода. На этом фоне весьма примечателен бэкдор BackDoor.Zetbo.1, обнаруженный специалистами компании «Доктор Веб» еще в конце мая 2014 года, — судя по обилию в его структуре соответствующих строк, разработчиками этого троянца, способного выполнять на инфицированном компьютере различные команды, являются вирусописатели из Турции.

Вредоносная программа BackDoor.Zetbo.1 устанавливается в систему под видом службы Windows Power Management (winpwrmng), имеющей следующее описание: Allows Users to Manage the Power Options. Бэкдор сохраняется на диск в виде исполняемого файла с именем taskmgr.exe, а все свои файлы он хранит в папке %APPDATA%\Roaming\. При установке в систему BackDoor.Zetbo.1 выводит сообщение на турецком языке: rundll bu dosyayı açamıyor. Dosya çok büyük, что в переводе означает: «rundll не может открыть этот файл. Файл слишком велик», сообщает news.drweb.com.

Запустившись на зараженном ПК, вредоносная служба следит за тем, работает ли в системе бэкдор, и, если нет, осуществляет его принудительный запуск. При попытке остановки службы троянец завершает работу Windows, демонстрируя на экране сообщение: Windows had to be closed. Windows Power Services is turned off.

Основное предназначение этой вредоносной программы вполне обычно для бэкдоров — выполнение на инфицированном компьютере различных команд, поступающих от управляющего сервера (адрес которого «зашит» в теле самого бота), в том числе команд на обновление, удаление файлов, проверку наличия на диске собственных компонентов, завершение работы системы. Троянец способен передавать злоумышленникам различную информацию о зараженной машине (например, серийный номер жесткого диска).

Вместе с тем, весьма любопытен способ получения бэкдором параметров от управляющего сервера: соединившись с удаленным узлом, BackDoor.Zetbo.1 ищет размещенную на нем злоумышленниками специальную веб-страницу, на которой расположено несколько кнопок. Проанализировав значения html-тэгов, отвечающих за отображение этих кнопок в браузере, троянец определяет необходимые для своей работы конфигурационные данные.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Уязвимости NAME:WRECK затрагивают 100 миллионов сетевых и IoT-устройств

Участники проекта Memoria компании Forescout выявили еще девять уязвимостей в стеках TCP/IP, широко используемых в серверах, смарт-устройствах и промышленном оборудовании. Новые проблемы, объединенные под именем NAME:WRECK, связаны с обработкой DNS-трафика и грозят отказом в обслуживании (DoS) либо захватом контроля над уязвимой системой.

Наличие уязвимостей NAME:WRECK подтверждено для четырех из семи новых TCP/IP-стеков, подвергнутых проверке в рамках Project Memoria:

  • FreeBSD (компонент одноименной операционной системы);
  • Nucleus NET (часть Nucleus RTOS);
  • IPnet (обычно используется с VxWorks RTOS);
  • NetX (обычно используется ThreadX RTOS).

Все упомянутые ОС, за исключением разработки VxWorks, работают на миллиардах сетевых и IoT-устройств. С учетом того, что DNS-клиент, как правило, доступен из интернета, площадь атаки в данном случае очень велика. Если хотя бы 1% из 10 млрд таких установок уязвимы, проблема NAME:WRECK, по оценке Forescout, затрагивает как минимум 100 млн устройств, используемых в госсекторе, здравоохранении, промышленном производстве, индустрии развлечений и розничной торговле.

Большинство уязвимостей NAME:WRECK вызваны некорректной реализацией схемы сжатия сообщений, передаваемых по протоколу DNS (RFC 1035, раздел 4.1.4). Эту же проблему исследователи ранее обнаружили в библиотеках Trec TCP/IP, uIP и PicoTCP — на этапах Ripple20 и Amnesia:33.

Почти все новоявленные бреши имеют CVE-идентификаторы; степень их опасности различна. Так, DoS-уязвимость CVE-2020-27738 в Nucleus NET получила 6,5 балла по шкале CVSS, RCE-баг FreeBSD (CVE-2020-7461) — 7,7 балла, а такой же в IPnet (CVE-2016-20009) — 9,8 балла из 10 возможных.

Некоторые уязвимости NAME:WRECK можно использовать лишь из положения «человек посередине» (MitM), другие — ковровой бомбардировкой уязвимых систем умышленно искаженными DNS-запросами.

Патчи вышли для трех библиотек из приведенного выше списка; давнюю уязвимость в IPnet разработчик (Wind  River) так и не удосужился закрыть. Стоит отметить, что выпуска заплатки для таких компонентов мало. Производители сетевых устройств должны интегрировать ее в свои прошивки и предоставить пользователям обновления, а те — не полениться и скачать новую прошивку (OTA-обновление в таких случаях большая редкость).

В итоге процесс латания брешей на местах может длиться годами, и единственным радикальным решением является замена оборудования. К сожалению, далеко не все пользователи осознают, что их сервер, смарт-устройство или принтер использует уязвимый TCP/IP-стек, поэтому необходимость обновления прошивки для них неочевидна.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru