Baru-baru ini, penelitian diterbitkan mengidentifikasi Tor keluar simpul, yang terletak di Rusia, yang secara konsisten dan jahat memodifikasi setiap terkompresi executable Windows didownload melalui itu. Tentu ini menggelitik minat kami, jadi kami memutuskan untuk mengintip ke lubang kelinci.
Cukuplah untuk mengatakan, lubang itu banyak lebih dari yang kami harapkan! Bahkan, ia pergi semua jalan kembali ke terkenal Rusia keluarga APT MiniDuke, diketahui telah digunakan dalam serangan yang ditargetkan terhadap NATO dan instansi pemerintah Eropa. Malware yang digunakan dalam hal ini adalah, bagaimanapun, tidak versi MiniDuke. Hal ini bukan terpisah, keluarga yang berbeda dari malware yang kita telah sejak diambil untuk memanggil OnionDuke. Tapi mari kita mulai dari awal.
Ketika pengguna mencoba untuk men-download executable melalui berbahaya Tor keluar node, apa yang mereka benar-benar menerima adalah executable "wrapper" yang komprehensif baik executable asli dan kedua, eksekusi berbahaya. Dengan menggunakan pembungkus terpisah, aktor berbahaya yang mampu melewati integritas setiap memeriksa biner asli mungkin berisi. Setelah eksekusi, bungkusnya akan melanjutkan menulis ke disk dan menjalankan executable asli, sehingga menipu pengguna untuk percaya bahwa semuanya berjalan baik-baik saja. Namun, bungkusnya juga akan menulis ke disk dan melaksanakan eksekusi kedua. Dalam semua kasus, kita telah mengamati, dieksekusi berbahaya ini telah sama biner (SHA1: a75995f94854dea8799650a2f4a97980b71199d2, terdeteksi sebagai Trojan-Penitis: W32 / OnionDuke.A).
Executable ini adalah pipet yang berisi sumber daya PE yang berpura-pura menjadi file gambar GIF tertanam. Pada kenyataannya, sumber daya sebenarnya file terenkripsi perpustakaan terkait secara dinamis (DLL). Pipet akan dilanjutkan untuk mendekripsi DLL ini, menulis ke disk dan jalankan.
Setelah dieksekusi, file DLL (SHA1: b491c14d8cfb48636f6095b7b16555e9a575d57f, terdeteksi sebagai Backdoor: W32 / OnionDuke.B) akan mendekripsi konfigurasi tertanam (ditampilkan di bawah) dan mencoba untuk terhubung ke hardcoded C & C URL yang ditentukan dalam data konfigurasi. Dari C & Cs malware dapat menerima instruksi untuk mendownload dan menjalankan komponen berbahaya tambahan. Perlu dicatat, bahwa kita percaya semua lima domain dihubungi oleh malware adalah situs yang tidak bersalah dikompromikan oleh operator malware, tidak dedicated server berbahaya.
Melalui penelitian kami, kami juga telah mampu mengidentifikasi beberapa komponen lain dari keluarga malware OnionDuke. Kami telah, misalnya, mengamati komponen yang didedikasikan untuk mencuri kredensial login dari mesin korban dan komponen yang didedikasikan untuk mengumpulkan informasi lebih lanjut tentang sistem dikompromikan seperti kehadiran perangkat lunak antivirus atau firewall. Beberapa komponen ini telah diamati terunduh dan dieksekusi oleh proses backdoor asli tapi untuk komponen lainnya, kami belum mengidentifikasi vektor infeksi. Sebagian besar komponen ini tidak menanamkan sendiri C & C informasi melainkan berkomunikasi dengan kontroler melalui proses backdoor aslinya.
Salah satu komponen, bagaimanapun, adalah pengecualian yang menarik. File ini DLL (SHA1 d433f281cf56015941a1c2cb87066ca62ea1db37, terdeteksi sebagai Backdoor: W32 / OnionDuke.A) berisi antara data konfigurasi yang berbeda hardcoded C & C domain, overpict.com dan juga bukti yang menunjukkan bahwa komponen ini dapat menyalahgunakan Twitter sebagai C. C saluran tambahan. Apa yang membuat domain overpict.com menarik, itu awalnya terdaftar pada tahun 2011 dengan alias "John Kasai". Dalam jendela dua minggu, "John Kasai" juga mendaftarkan domain berikut: airtravelabroad .com, beijingnewsblog .net, grouptumbler .com, leveldelta .com, nasdaqblog .net, natureinhome .com, nestedmail .com, nostressjob .com, nytunion .com, oilnewsblog .com, sixsquare .net dan ustradecomp .com. Hal ini penting karena domain leveldelta .com dan grouptumbler .com sebelumnya telah diidentifikasi sebagai C, C domain yang digunakan oleh MiniDuke. Hal ini sangat menunjukkan bahwa meskipun OnionDuke dan MiniDuke dua keluarga yang terpisah dari malware, aktor di belakang mereka terhubung melalui penggunaan infrastruktur bersama.
Berdasarkan cap waktu kompilasi dan tanggal penemuan sampel kita amati, kami percaya operator OnionDuke telah menginfeksi executable download setidaknya sejak akhir Oktober 2013. Kami juga memiliki bukti yang menunjukkan bahwa, setidaknya sejak Februari 2014, OnionDuke tidak hanya telah menyebar dengan memodifikasi executable download tapi juga dengan menginfeksi executable di Torrent file yang berisi software bajakan. Namun, akan terlihat bahwa keluarga OnionDuke jauh lebih tua, baik berdasarkan cap waktu kompilasi yang lebih tua dan juga pada fakta bahwa beberapa data konfigurasi tertanam membuat referensi ke sebuah nomor versi nyata dari 4 menunjukkan bahwa setidaknya tiga versi sebelumnya dari keluarga ada.
Selama penelitian kami, kami juga menemukan bukti kuat yang menunjukkan bahwa OnionDuke telah digunakan dalam serangan yang ditargetkan terhadap instansi pemerintah Eropa, meskipun kami sejauh ini telah mampu mengidentifikasi vektor infeksi (s). Menariknya, ini akan menyarankan dua strategi penargetan yang sangat berbeda. Di satu sisi adalah "menembak lalat dengan meriam" strategi infeksi massa melalui binari dimodifikasi dan, di sisi lain, sasaran yang lebih bedah tradisional dikaitkan dengan operasi APT.
Dalam kasus apapun, meskipun banyak yang masih diselimuti misteri dan spekulasi, satu hal yang pasti. Sementara menggunakan Tor dapat membantu Anda tetap anonim, itu pada saat yang sama cat target besar di punggung Anda. Tidak pernah ide yang baik untuk men-download binari melalui Tor (atau apa pun) tanpa enkripsi. Masalah dengan Tor adalah bahwa Anda tidak tahu siapa yang menjaga simpul keluar yang Anda gunakan dan apa motif mereka. VPN (seperti Freedome VPN kami) akan mengenkripsi koneksi Anda semua jalan melalui jaringan Tor, sehingga pengelola Tor node keluar tidak akan melihat lalu lintas dan tidak bisa mengutak-atik itu.
sampel:
• a75995f94854dea8799650a2f4a97980b71199d2
• b491c14d8cfb48636f6095b7b16555e9a575d57f
• d433f281cf56015941a1c2cb87066ca62ea1db37
Terdeteksi sebagai : Trojan-Dropper:W32/OnionDuke.A, Backdoor:W32/OnionDuke.A, and Backdoor:W32/OnionDuke.B.
Ref
0komentar:
Post a Comment