Postřehy z bezpečnosti: Rombertika mast na MBR past

Pavel Bašta 11. 5. 2015

V tomto díle postřehů se podíváme na malware Rombertik, jehož obranné mechanismy jsou pozoruhodné. Dále si posvítíme na chyby v počítačích Lenovo, na infuzní pumpu, která má zvýšit bezpečí pacientů, na skript USBKill určený k rychlému vypnutí PC v případě ohrožení, a čeká nás také pozvánka na seminář.

Rombertik je klasickou ukázkou toho, jak je práce analytiků zkoumajících malware čím dál těžší a komplexnější. Jedná se o malware, který používá sofistikované techniky obrany proti pokusům o detekci a analýzu. Šíří se klasicky pomocí phishingových zpráv; 97 procent souboru s malware je určeno pouze k tomu, aby soubor působil legitimně. Podle analýzy obsahuje 75 obrázků a 8000 funkcí, které nejsou nikdy použity a je to jenom „smetí“.

Mnoho systémů používaných pro detekování malware spouští soubor pouze po krátkou dobu, během které sledují typické projevy ukazující na případnou škodlivost daného programu. Proto také začali tvůrci malware přidávat funkce, které program na určitou dobu uspí a teprve po jejím uplynutí se začnou vykonávat konkrétní škodlivé akce. Ostatně jsme měli možnost se s tímto problémem setkat osobně. V první verzi malware šířeného v rámci tzv. „exekutorských spamů“ tato pojistka chyběla a při spuštění se malware velice rychle odkopal.

V další verzi pak už bylo zabudováno právě určité zpoždění realizované voláním funkce kernel32.Sleep, takže se na první pohled zdálo, že program nic závadného nedělá… Rombertik místo této techniky používá zápis do paměti. Konkrétně zapíše do paměti 960milionkrát jeden byte náhodných dat. Protože nedojde k „uspání“ aplikace, nemusí sandboxy, které už s výše popsanými technikami počítají, rozpoznat, že se jedná o záměrné pozastavení. Navíc pokud nástroj zaznamenává veškeré chování aplikace, vygeneruje tento zápis do paměti přes 100 gigabajtů dat.

Následně je spuštěna první část detekce analytických nástrojů, během které malware zkoumá, jestli není náhodou spuštěn v sandboxu. K tomu zkouší volání funkce z Windows API se záměrně špatnými argumenty a pokud nedostane specifickou chybovou hlášku, předpokládá, že byl spuštěn v sandboxu. Dále zkouší prohledávat názvy a jména uživatelů spuštěných procesů na řetězce jako jsou „malwar“, „sampl“, „viru“ a „sandb“. Pokud zjistí, že běží v sandboxu, zastaví své rozbalování a ukončí se.

Proces kompromitace cílového systému krok za krokem

Malware je určen k získávání loginů a hesel zadávaných uživatelem do prohlížečů. Nicméně po svém zahnízdění v systému, ale ještě před spuštěním kýženého sběru hesel, provede další test, který má zjistit, zda nebyl malware spuštěn v testovacím prostředí. Pokud vyhodnotí, že ano, pak buď provede přepsání MBR (Master Boot Record) disku, nebo, pokud nemá práva na zásah do MBR, zničí všechny soubory v adresáři aktuálního uživatele jejich zašifrováním náhodně generovanými RC4 klíči. Po smazání MBR či zašifrování souborů ještě provede restart počítače.

Naše postřehy

Společnost Lenovo vydala záplatu kritických chyb v jejích počítačích, která umožňovala útočníkovi kompromitovat službu System Update (PDF). Jedna z chyb umožňovala lokálnímu uživateli s nejnižším oprávněním spouštět příkazy jako „system user“. Služba „system update“ totiž používala predikovatelný token. Druhá ze záplatovaných chyb pak umožňuje lokálnímu či vzdálenému útočníkovi nahradit důvěryhodné aplikace Lenova svými vlastními, kvůli chybě ve validaci řetězu důvěry u certifikátů.

USBKill je skript v Pythonu, který permanentně sleduje, zda nedošlo k přidání či odebrání USB zařízení. Pokud se tak stane, okamžitě vypne počítač. Program je určený pro všechny, kteří se z nějakého důvodu obávají návštěvy policie nebo třeba pokusů o instalaci malware přes USB na jejich zařízení, v době jejich nepřítomnosti u počítače. Aby to mělo smysl, je samozřejmě potřeba mít plně šifrovaný hard disk. Osobně mi to ale nepřipadá moc praktické.

Hospira PCA3 Drug Infusion je infuzní pumpa, která má podle informací výrobce zvýšit bezpečnost pacientů v oblasti PCA. Zařízení má konektivitu přes WiFi a dokonce i LAN port. Zařízení je „vybaveno“ celou řadou zajímavých zranitelností počínaje přístupem přes telnet bez hesla, hesly pro WiFi uloženými v plaintextu, až přes webové a ftp služby s natvrdo zadrátovanými uživatelskými přístupy či CGI skripty umožňujícími provádět kritické operace bez vyžadovaného ověření.

Pozvánka

Pokud se potřebujete dozvědět více k zákonu o kybernetické bezpečnosti, můžete využít zdarma pořádaného semináře. Akce se bude konat 21. května 2015 od 10:00 na VUT v Brně. Jedinou podmínkou je vyplnění přihlášky.

Ve zkratce

Závěr

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Našli jste v článku chybu?
Lupa.cz: Sdílíte na Facebooku soukromé odkazy?

Sdílíte na Facebooku soukromé odkazy?

DigiZone.cz: VR i AR na vzestupu. Do roku 2018...

VR i AR na vzestupu. Do roku 2018...

120na80.cz: Cestovní lékárnička: na co nezapomenout

Cestovní lékárnička: na co nezapomenout

Vitalia.cz: Vědci: Hnojení chemií je zbytečné

Vědci: Hnojení chemií je zbytečné

120na80.cz: Cestovní nevolnost. Co pomůže?

Cestovní nevolnost. Co pomůže?

DigiZone.cz: Pardubicko: Výrazně posílen Mux 3

Pardubicko: Výrazně posílen Mux 3

DigiZone.cz: Kritické poznámky k DVB-T2

Kritické poznámky k DVB-T2

Měšec.cz: Tipy, než vyrazíte autem na dovolenou

Tipy, než vyrazíte autem na dovolenou

Lupa.cz: Vydavatelé jsou v háji, ale neumí si to připustit

Vydavatelé jsou v háji, ale neumí si to připustit

Podnikatel.cz: Takhle si Babiš představuje nové daně

Takhle si Babiš představuje nové daně

Měšec.cz: Práce na tři směny? Neblázněte, mám doma psa

Práce na tři směny? Neblázněte, mám doma psa

Vitalia.cz: Margit Slimáková nesnáší rajskou, Petr Fořt pizzu

Margit Slimáková nesnáší rajskou, Petr Fořt pizzu

Podnikatel.cz: Výpadek internetu a #EET. Co s tím?

Výpadek internetu a #EET. Co s tím?

Lupa.cz: U Chomutova vyroste dotované datacentrum

U Chomutova vyroste dotované datacentrum

Podnikatel.cz: Zůstat na Heurece je čiré bláznovství

Zůstat na Heurece je čiré bláznovství

DigiZone.cz: Slováci první, Češi třetí. Krásný...

Slováci první, Češi třetí. Krásný...

DigiZone.cz: Soud zakázal šíření TV Markíza v ČR

Soud zakázal šíření TV Markíza v ČR

DigiZone.cz: Mobilní aplikace pro DVTV je tady

Mobilní aplikace pro DVTV je tady

Lupa.cz: Jaké IoT tarify nabízejí mobilní operátoři?

Jaké IoT tarify nabízejí mobilní operátoři?

Měšec.cz: Ceny PHM v Evropě. Finty na úspory

Ceny PHM v Evropě. Finty na úspory