want to advertise here $100 / views

May 2, 2013

Misterius rootkit Avatar dengan API, SDK, dan Yahoo Groups untuk C & C komunikasi

Awal 2012 ESET perusahaan malware misterius, dijuluki Avatar rootkit (Win32/Rootkit.Avatar), diiklankan di forum bawah tanah oleh kejahatan cyber Rusia.
"Kami hadir di sini produk diumumkan sebelumnya. Sehubungan dengan bekerja pada proyek-proyek lain, kami pindah tanggal rilis untuk publik dari Mei-Feb 2013th 2012go.Now nuklir rootkit AVATAR yang tersedia untuk sewa."

Meskipun malware digambarkan bulan yang lalu itu tidak ditemukan dan diterbitkan sampai sekarang, Maret ESET peneliti terdeteksi dua tetes dengan C & C server yang berbeda dan memiliki waktu yang berbeda prangko kompilasi sebagai menunjukkan dalam gambar berikut:

Cyber, Hackers

The Avatar rootkit muncul sangat canggih, menggunakan dua teknik berbeda infeksi, yang pertama di pipet sehingga untuk memotong deteksi oleh HIPS, dan yang kedua dalam driver rootkit untuk memungkinkan malware yang akan hidup setelah reboot sistem, contoh terdeteksi bekerja hanya pada sistem x86.

2 Tingkat pipet untuk Avatar rootkit bekerja sama, yang pertama mengimplementasikan LZMA dekompresi untuk penetes tingkat kedua. Modul driver dan dropper tingkat kedua yang unik dalam setiap contoh berkat malware ke nama acak nama generator mutexes / peristiwa di tingkat penetes pertama.

Untuk penetes tingkat kedua diberikan fungsi meningkat privileges pada sistem target, pipet menggunakan dua teknik berbeda, eksploitasi MS11-080 kerentanan dengan kode sebagai eksploitasi publik dari Metasploit Framework dengan perubahan kecil, dan COM Elevation (UAC whitelist ).

Berikut diagram yang menunjukkan proses dilaksanakan oleh dropper:

Bagian yang paling menarik dari kode mengeksploitasi Avatar rootkit adalah langkah-langkah yang diambil setelah eksploitasi, kernel-mode shellcode sebenarnya dieksekusi untuk memuat driver berbahaya, sopir rootkit tidak disimpan pada hard drive dan beban hanya dari daerah memori.

The Avatar rootkit menerapkan teknik untuk memuat driver oleh infeksi driver sistem yang muncul sangat efektif untuk melewati pertahanan korban, dan memungkinkan beban lain modul kernel-mode driver sistem memanfaatkan berbahaya.

Pos laporan:
"Dalam rangka untuk melakukan penularannya, Avatar acak memilih sopir dan memeriksa nama terhadap daftar hitam yang bervariasi untuk setiap versi Windows." "The Avatar rootkit driver dapat menginfeksi beberapa driver sistem tanpa mengubah ukuran file driver asli."

Setelah dimuat rootkit sopir Avatar, kode berbahaya mengeksekusi algoritma untuk menginfeksi sistem driver sehingga dapat bertahan hidup setelah reboot, malware ini juga mampu mendeteksi keberadaan mesin virtual lingkungan berkat teknik canggih yang BIOS permintaan untuk memeriksa beberapa string spesifik yang berhubungan dengan mesin utama yang tersedia di pasar seperti VirtualBox dan VMware.

Malware ini menggunakan sistem file tersembunyi untuk menyimpan user-mode payload modul dan juga file-file tambahan, semua data yang dienkripsi menggunakan cipher simetrik kustom. Penyimpanan file tersembunyi juga digunakan oleh Avatar rootkit untuk menyimpan tambahan mode pengguna dan kernel-mode modul yang malware dapat mendownload dan menjalankan. Avatar rootkit tidak menyimpan modul berbahaya dalam penyimpanan NTFS standar, kecuali untuk driver sistem yang terinfeksi.

Fungsi utama dari malware ini adalah:
  •      pusat komando komunikasi
  •      parsing informasi konfigurasi
  •      membaca / menulis ke penyimpanan file tersembunyi
  •      berkomunikasi dengan sopir rootkit
  •     menginstal tambahan mode pengguna dan kernel-mode modul

Mysterious Avatar rootkit with API, SDK, and Yahoo Groups for C&C communication
Pos menyoroti fleksibilitas agen berbahaya
:

"Tentu saja, ini berarti infeksi awal dapat menjadi titik awal dari berbagai kegiatan berbahaya berdasarkan modul yang digunakan. Dalam kasus kami komponen avcmd.dll muatan disuntikkan ke dalam proses sistem svchost.exe yang mulai berkomunikasi dengan C & C IP alamat disimpan dalam file konfigurasi. "

Fitur lain yang menarik diterapkan oleh penulis rootkit dalam perlindungan komunikasi dengan pusat komando dengan algoritma enkripsi kustom yang output base64-encoded, Avatar rootkit memiliki cara tambahan untuk berkomunikasi dengan server C & C mencari pesan dalam grup Yahoo menggunakan khusus parameter. Teknik ini tidak baru dan sangat efisien untuk melindungi malware atas upaya sinkhole perusahaan keamanan, karena informasi tentang domain C & C dienkripsi menggunakan algoritma asimetris RSA.

Pada penggunaan Yahoo Groups sebagai C & C laporan itu menyatakan:
"Deskripsi grup dienkripsi dengan algoritma RSA dan kunci pribadi 1024-bit. Hal ini dimungkinkan untuk mendekripsi data ini dengan kunci publik yang disimpan dalam file konfigurasi. Kami kira informasi ini dapat ditemukan dalam pesan terenkripsi digunakan untuk kembali mengontrol botnet tanpa aktif C & C. "

Tapi Avatar rootkit muncul proyek yang sangat kompleks dan diartikulasikan, disertai dengan daftar API untuk mengembangkan komponen tambahan berdasarkan Avatar Runtime Perpustakaan, SDK khusus untuk mengembangkan tambahan komponen pengguna-mode yang memungkinkan komunikasi dengan rootkit sopir Avatar.

Win32/Rootkit.Avatar cukup besar keluarga rootkit canggih yang memiliki banyak fitur menarik untuk menghindari deteksi oleh perangkat lunak keamanan, karena ini pakar keamanan percaya bahwa alasan agen telah dikembangkan untuk infeksi jangka panjang oleh sistem mengeksekusi serangan.

Avatar rootkit dapat memegang banyak kejutan di masa depan.


Artikel Terkait

0komentar:

Post a Comment