Postřehy z bezpečnosti: Rombertika mast na MBR past

Pavel Bašta 11. 5. 2015

V tomto díle postřehů se podíváme na malware Rombertik, jehož obranné mechanismy jsou pozoruhodné. Dále si posvítíme na chyby v počítačích Lenovo, na infuzní pumpu, která má zvýšit bezpečí pacientů, na skript USBKill určený k rychlému vypnutí PC v případě ohrožení, a čeká nás také pozvánka na seminář.

Rombertik je klasickou ukázkou toho, jak je práce analytiků zkoumajících malware čím dál těžší a komplexnější. Jedná se o malware, který používá sofistikované techniky obrany proti pokusům o detekci a analýzu. Šíří se klasicky pomocí phishingových zpráv; 97 procent souboru s malware je určeno pouze k tomu, aby soubor působil legitimně. Podle analýzy obsahuje 75 obrázků a 8000 funkcí, které nejsou nikdy použity a je to jenom „smetí“.

Mnoho systémů používaných pro detekování malware spouští soubor pouze po krátkou dobu, během které sledují typické projevy ukazující na případnou škodlivost daného programu. Proto také začali tvůrci malware přidávat funkce, které program na určitou dobu uspí a teprve po jejím uplynutí se začnou vykonávat konkrétní škodlivé akce. Ostatně jsme měli možnost se s tímto problémem setkat osobně. V první verzi malware šířeného v rámci tzv. „exekutorských spamů“ tato pojistka chyběla a při spuštění se malware velice rychle odkopal.

V další verzi pak už bylo zabudováno právě určité zpoždění realizované voláním funkce kernel32.Sleep, takže se na první pohled zdálo, že program nic závadného nedělá… Rombertik místo této techniky používá zápis do paměti. Konkrétně zapíše do paměti 960milionkrát jeden byte náhodných dat. Protože nedojde k „uspání“ aplikace, nemusí sandboxy, které už s výše popsanými technikami počítají, rozpoznat, že se jedná o záměrné pozastavení. Navíc pokud nástroj zaznamenává veškeré chování aplikace, vygeneruje tento zápis do paměti přes 100 gigabajtů dat.

Následně je spuštěna první část detekce analytických nástrojů, během které malware zkoumá, jestli není náhodou spuštěn v sandboxu. K tomu zkouší volání funkce z Windows API se záměrně špatnými argumenty a pokud nedostane specifickou chybovou hlášku, předpokládá, že byl spuštěn v sandboxu. Dále zkouší prohledávat názvy a jména uživatelů spuštěných procesů na řetězce jako jsou „malwar“, „sampl“, „viru“ a „sandb“. Pokud zjistí, že běží v sandboxu, zastaví své rozbalování a ukončí se.

Proces kompromitace cílového systému krok za krokem

Malware je určen k získávání loginů a hesel zadávaných uživatelem do prohlížečů. Nicméně po svém zahnízdění v systému, ale ještě před spuštěním kýženého sběru hesel, provede další test, který má zjistit, zda nebyl malware spuštěn v testovacím prostředí. Pokud vyhodnotí, že ano, pak buď provede přepsání MBR (Master Boot Record) disku, nebo, pokud nemá práva na zásah do MBR, zničí všechny soubory v adresáři aktuálního uživatele jejich zašifrováním náhodně generovanými RC4 klíči. Po smazání MBR či zašifrování souborů ještě provede restart počítače.

Naše postřehy

Společnost Lenovo vydala záplatu kritických chyb v jejích počítačích, která umožňovala útočníkovi kompromitovat službu System Update (PDF). Jedna z chyb umožňovala lokálnímu uživateli s nejnižším oprávněním spouštět příkazy jako „system user“. Služba „system update“ totiž používala predikovatelný token. Druhá ze záplatovaných chyb pak umožňuje lokálnímu či vzdálenému útočníkovi nahradit důvěryhodné aplikace Lenova svými vlastními, kvůli chybě ve validaci řetězu důvěry u certifikátů.

USBKill je skript v Pythonu, který permanentně sleduje, zda nedošlo k přidání či odebrání USB zařízení. Pokud se tak stane, okamžitě vypne počítač. Program je určený pro všechny, kteří se z nějakého důvodu obávají návštěvy policie nebo třeba pokusů o instalaci malware přes USB na jejich zařízení, v době jejich nepřítomnosti u počítače. Aby to mělo smysl, je samozřejmě potřeba mít plně šifrovaný hard disk. Osobně mi to ale nepřipadá moc praktické.

Hospira PCA3 Drug Infusion je infuzní pumpa, která má podle informací výrobce zvýšit bezpečnost pacientů v oblasti PCA. Zařízení má konektivitu přes WiFi a dokonce i LAN port. Zařízení je „vybaveno“ celou řadou zajímavých zranitelností počínaje přístupem přes telnet bez hesla, hesly pro WiFi uloženými v plaintextu, až přes webové a ftp služby s natvrdo zadrátovanými uživatelskými přístupy či CGI skripty umožňujícími provádět kritické operace bez vyžadovaného ověření.

Pozvánka

Pokud se potřebujete dozvědět více k zákonu o kybernetické bezpečnosti, můžete využít zdarma pořádaného semináře. Akce se bude konat 21. května 2015 od 10:00 na VUT v Brně. Jedinou podmínkou je vyplnění přihlášky.

Ve zkratce

Závěr

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Našli jste v článku chybu?
Měšec.cz: Na návstěvě: call centrum Global Assistance

Na návstěvě: call centrum Global Assistance

Měšec.cz: Se stavebkem k soudu už (většinou) nemusíte

Se stavebkem k soudu už (většinou) nemusíte

Podnikatel.cz: Italské těstoviny nebyly k mání, tak je začal vyrábět

Italské těstoviny nebyly k mání, tak je začal vyrábět

Měšec.cz: Udali ho na nelegální software a přišla Policie

Udali ho na nelegální software a přišla Policie

120na80.cz: Jaké plavecké pomůcky vaše dítě ochrání?

Jaké plavecké pomůcky vaše dítě ochrání?

DigiZone.cz: Sat novinky: Skylink skončil s kanály ČT

Sat novinky: Skylink skončil s kanály ČT

Měšec.cz: Investice do drahých kovů - znáte základní chyby?

Investice do drahých kovů - znáte základní chyby?

Podnikatel.cz: Prodej na Alibabě? Malí hráči utřou nos

Prodej na Alibabě? Malí hráči utřou nos

Měšec.cz: Banky umí platby na kartu, jen to neříkají

Banky umí platby na kartu, jen to neříkají

120na80.cz: SOS aneb spálená pokožka

SOS aneb spálená pokožka

DigiZone.cz: Nestihli jste Bonda na ČT2? Zkuste RTVS

Nestihli jste Bonda na ČT2? Zkuste RTVS

Lupa.cz: eIDAS: elektronické dokumenty platí jako papír

eIDAS: elektronické dokumenty platí jako papír

Podnikatel.cz: Akční plán podpoří byznys padesátníků

Akční plán podpoří byznys padesátníků

DigiZone.cz: Android TV: s jakým pracuje rozlišením?

Android TV: s jakým pracuje rozlišením?

Lupa.cz: eIDAS: Nepřehnali jsme to s výjimkami?

eIDAS: Nepřehnali jsme to s výjimkami?

120na80.cz: Tipy pro odvodnění organismu

Tipy pro odvodnění organismu

Měšec.cz: Do ostravské MHD bez jízdenky. Stačí vaše karta

Do ostravské MHD bez jízdenky. Stačí vaše karta

Vitalia.cz: Klíšťata letos řádí, skvrna se udělá jen někomu

Klíšťata letos řádí, skvrna se udělá jen někomu

Lupa.cz: Tudy proudí váš hlas i data. V zákulisí CETINu

Tudy proudí váš hlas i data. V zákulisí CETINu

120na80.cz: I tuto vodu můžete pít

I tuto vodu můžete pít