Gauss: Zaszyfrowana cyber-broń

Tomer Teller, Check Point 07-09-2012, 08:07

Badacze z firmy Kaspersky Lab poświęcili mnóstwo pracy na łamanie szkodliwego ładunku Gaussa - nowego, wymierzonego w konkretne cele złośliwego oprogramowania, które zalało środkowy wschód. Kolejny wymierzony atak, który jest zarówno trojanem, jak i backdoorem. Jednak tym razem atakujący stworzyli złośliwy ładunek dedykowany dla konkretnej atakowanej maszyny.

Aby dostarczyć szkodliwy ładunek, złośliwe oprogramowanie analizowało konkretne aspekty konfiguracji maszyny, w tym występujące w systemie pliki i nazwy folderów. Po uzyskaniu tych informacji były one wykorzystywane jako część klucza do odszyfrowania i uruchomienia ładunku. Oznacza to niestety, że bez znajomości systemów plików i konfiguracji ofiar wirusa badacze nie będą w stanie zbadać złośliwego kodu i dokończyć analiz.

Badacze zaczęli od stosowania edukowanych ataków brute-force polegających na testowaniu milionów kombinacji znaków (plików i nazw folderów) w celu odszyfrowania ładunku. Okazało się to bezskuteczne. Istnieje pewna ciekawa wskazówka w kodzie – algorytm odszyfrowujący sprawdza, czy pierwszy znak pochodzi z rozszerzonego zbioru znaków, np. litery arabskie lub hebrajskie (czy ktoś wspominał o wymierzonym ataku?). Firma poszukuje kryptologów, którzy pomogą złamać kod. Mamy tutaj do czynienia z czymś bardzo interesującym, co zaczyna powoli stawać się trendem.

Chodzi o wykorzystanie Host Identity-Based encryption (IBE) w celu utworzenia dedykowanego programu dla konkretnej maszyny przy użyciu unikalnego identyfikatora. Pierwszymi programistami na świecie, którzy zastosowali tę technikę, byli autorzy botneta FlashBack, który pół roku temu zainfekował ponad 500 000 komputerów Mac OS X. Wirus przedostawał się na komputer poprzez lukę w zabezpieczeniach Javy.

Jednak część ta nie była jeszcze szkodliwym ładunkiem, a jedynie małym elementem pobierającym unikalny identyfikator zainfekowanej maszyny, na przykład sprzętowy UUID. Identyfikator ten wędrował z powrotem do C&C i był wykorzystywany do szyfrowania, kompresji i zaciemniania kodu pełnej wersji, która później atakowała komputer. Oznaczało to, że nowa wersja będzie działała jedynie na komputerze z dokładnie tym samym UUID, co nie pozwalało na analizę tego zagrożenia automatycznym technikom powstrzymywania złośliwego oprogramowania opartego o wzorce (natychmiast przestawały działać).

Check Point

Tomer Teller, ewangelista bezpieczeństwa i badacz w firmie Check Point Software Technologies

 

 

 

Artykuł zawiera lokowanie marki Check Point.


  
znajdź w serwisie

RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy  
« Wrzesień 2019»
PoWtŚrCzwPtSbNd
 1
2345678
9101112131415
16171819202122
23242526272829
30