Угруповання Turla використовує нове шкідливе ПЗ для перехоплення TLS-трафіку

23:14
Угруповання Turla використовує нове шкідливе ПЗ для перехоплення TLS-трафіку

Кіберзлочинне угруповання Turla (також відоме як Venomous Bear або Waterbug) поширює нове шкідливе ПЗ, що отримало назву Reductor, для перехоплення зашифрованого TLS-трафіку і зараження цільової мережі. За словами дослідників з «Лабораторії Касперського», між Reductor і раніше виявленим трояном COMPfun є схожість, яка вказує на загального творця. Як вважають експерти, троян COMPfun, імовірно розроблений Turla, використовується в якості завантажувача.

    Зловмисники застосовують два різних методи для поширення Reductor. У першому варіанті вони використовують установники зараженого програмного забезпечення з вбудованими 32- і 64-розрядними версіями Reductor. Дані установники можуть бути представлені такими популярними програмами, як Internet Download Manager, WinRAR, піратські сайти та ін.
     У другому сценарії цілі вже заражені трояном COMpfun, який використовує атрибут COM CLSID для досягнення персистентності на системі. Отримавши доступ до адресному рядку браузера, троян може виконати команду на завантаження додаткових модулів з C & C-сервера, в тому числі дроппер / розшифровщик Reductor.
     Шкідник додає цифрові сертифікати зі свого розділу на цільовий хост і надає операторам можливість додавати додаткові сертифікати віддалено через іменований канал (named pipe). Автори шкідника розривають TLS-рукостискання без перехоплення інтернет-трафіку. Замість цього вони аналізують вихідний код браузерів Mozilla Firefox і бінарний код Google Chrome для виправлення відповідних функцій генерації псевдовипадкових чисел (ГПСЧ) в пам'яті процесу. Браузери використовують ГПСЧ для генерації «випадкової клієнтської» послідовності для мережевого пакету на самому початку TLS-рукостискання. Reductor додає зашифровані унікальні апаратні і програмні ідентифікатори для жертв в поле «випадковий клієнт». Для виправлення функцій системи ГПСЧ розробники використовували невеликий вбудований дизассемблер довжини команд від Intel.

«Шкідливе ПЗ не виконує MitM-атаку. Однак спочатку ми вважали, що встановлені сертифікати можуть сприяти атакам MitM на TLS-трафік, і поле «випадковий клієнт» з унікальним ідентифікатором в рукостисканні буде ідентифікувати цікавий трафік. Подальший аналіз підтвердив наші здогадки », — повідомляють дослідники.
   Згідно з даними телеметрії, зловмисники вже мали деякий контроль над мережевим каналом жертви, завдяки якому вони замінювали шкідливий установник легітимним.
     «Всі повідомлення C & C-сервера обробляються в окремому потоці. Редуктор відправляє HTTP POST-запити з унікальним ідентифікатором обладнання цілі, зашифрований за допомогою AES 128, скриптів /query.php на C & C-сервері, зазначеним в його конфігурації », — пояснюють дослідники.
    Шкідлива програма отримує команди з C & C-сервера для виконання різних операцій, які включають скачування і завантаження файлів, пошук імені хоста, оновлення встановленого цифрового сертифікату, створення нового процесу, видалення шляху до файлу, перевірку підключення до інтернету та ін.
    Іменований канал (named pipe) — один з методів взаємодії між процесами, розширення поняття конвеєра в Unix і подібних ОС. Іменований канал дозволяє різним процесам обмінюватися даними, навіть якщо програми, що виконуються в цих процесах, з самого початку не були написані для взаємодії з іншими програмами.

Комментарии 0

Предпросмотр
Завантаження...
Будьте первым, кто оставит комментарий.