Postřehy z bezpečnosti: Rombertika mast na MBR past

Pavel Bašta 11. 5. 2015

V tomto díle postřehů se podíváme na malware Rombertik, jehož obranné mechanismy jsou pozoruhodné. Dále si posvítíme na chyby v počítačích Lenovo, na infuzní pumpu, která má zvýšit bezpečí pacientů, na skript USBKill určený k rychlému vypnutí PC v případě ohrožení, a čeká nás také pozvánka na seminář.

Rombertik je klasickou ukázkou toho, jak je práce analytiků zkoumajících malware čím dál těžší a komplexnější. Jedná se o malware, který používá sofistikované techniky obrany proti pokusům o detekci a analýzu. Šíří se klasicky pomocí phishingových zpráv; 97 procent souboru s malware je určeno pouze k tomu, aby soubor působil legitimně. Podle analýzy obsahuje 75 obrázků a 8000 funkcí, které nejsou nikdy použity a je to jenom „smetí“.

Mnoho systémů používaných pro detekování malware spouští soubor pouze po krátkou dobu, během které sledují typické projevy ukazující na případnou škodlivost daného programu. Proto také začali tvůrci malware přidávat funkce, které program na určitou dobu uspí a teprve po jejím uplynutí se začnou vykonávat konkrétní škodlivé akce. Ostatně jsme měli možnost se s tímto problémem setkat osobně. V první verzi malware šířeného v rámci tzv. „exekutorských spamů“ tato pojistka chyběla a při spuštění se malware velice rychle odkopal.

V další verzi pak už bylo zabudováno právě určité zpoždění realizované voláním funkce kernel32.Sleep, takže se na první pohled zdálo, že program nic závadného nedělá… Rombertik místo této techniky používá zápis do paměti. Konkrétně zapíše do paměti 960milionkrát jeden byte náhodných dat. Protože nedojde k „uspání“ aplikace, nemusí sandboxy, které už s výše popsanými technikami počítají, rozpoznat, že se jedná o záměrné pozastavení. Navíc pokud nástroj zaznamenává veškeré chování aplikace, vygeneruje tento zápis do paměti přes 100 gigabajtů dat.

Následně je spuštěna první část detekce analytických nástrojů, během které malware zkoumá, jestli není náhodou spuštěn v sandboxu. K tomu zkouší volání funkce z Windows API se záměrně špatnými argumenty a pokud nedostane specifickou chybovou hlášku, předpokládá, že byl spuštěn v sandboxu. Dále zkouší prohledávat názvy a jména uživatelů spuštěných procesů na řetězce jako jsou „malwar“, „sampl“, „viru“ a „sandb“. Pokud zjistí, že běží v sandboxu, zastaví své rozbalování a ukončí se.

Proces kompromitace cílového systému krok za krokem

Malware je určen k získávání loginů a hesel zadávaných uživatelem do prohlížečů. Nicméně po svém zahnízdění v systému, ale ještě před spuštěním kýženého sběru hesel, provede další test, který má zjistit, zda nebyl malware spuštěn v testovacím prostředí. Pokud vyhodnotí, že ano, pak buď provede přepsání MBR (Master Boot Record) disku, nebo, pokud nemá práva na zásah do MBR, zničí všechny soubory v adresáři aktuálního uživatele jejich zašifrováním náhodně generovanými RC4 klíči. Po smazání MBR či zašifrování souborů ještě provede restart počítače.

Naše postřehy

Společnost Lenovo vydala záplatu kritických chyb v jejích počítačích, která umožňovala útočníkovi kompromitovat službu System Update (PDF). Jedna z chyb umožňovala lokálnímu uživateli s nejnižším oprávněním spouštět příkazy jako „system user“. Služba „system update“ totiž používala predikovatelný token. Druhá ze záplatovaných chyb pak umožňuje lokálnímu či vzdálenému útočníkovi nahradit důvěryhodné aplikace Lenova svými vlastními, kvůli chybě ve validaci řetězu důvěry u certifikátů.

USBKill je skript v Pythonu, který permanentně sleduje, zda nedošlo k přidání či odebrání USB zařízení. Pokud se tak stane, okamžitě vypne počítač. Program je určený pro všechny, kteří se z nějakého důvodu obávají návštěvy policie nebo třeba pokusů o instalaci malware přes USB na jejich zařízení, v době jejich nepřítomnosti u počítače. Aby to mělo smysl, je samozřejmě potřeba mít plně šifrovaný hard disk. Osobně mi to ale nepřipadá moc praktické.

Hospira PCA3 Drug Infusion je infuzní pumpa, která má podle informací výrobce zvýšit bezpečnost pacientů v oblasti PCA. Zařízení má konektivitu přes WiFi a dokonce i LAN port. Zařízení je „vybaveno“ celou řadou zajímavých zranitelností počínaje přístupem přes telnet bez hesla, hesly pro WiFi uloženými v plaintextu, až přes webové a ftp služby s natvrdo zadrátovanými uživatelskými přístupy či CGI skripty umožňujícími provádět kritické operace bez vyžadovaného ověření.

Pozvánka

Pokud se potřebujete dozvědět více k zákonu o kybernetické bezpečnosti, můžete využít zdarma pořádaného semináře. Akce se bude konat 21. května 2015 od 10:00 na VUT v Brně. Jedinou podmínkou je vyplnění přihlášky.

Ve zkratce

Závěr

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Lupa.cz: Jak EET vidí ajťák aneb Drahá vražda UX

Jak EET vidí ajťák aneb Drahá vražda UX

Vitalia.cz: Před, nebo po snídani? Kdy je lepší čistit si zuby

Před, nebo po snídani? Kdy je lepší čistit si zuby

120na80.cz: Vyzrajte na návaly a pocení v přechodu

Vyzrajte na návaly a pocení v přechodu

Podnikatel.cz: Zaplatili jste složenku k dani z nemovitostí?

Zaplatili jste složenku k dani z nemovitostí?

DigiZone.cz: Konec geoblokace? Ani náhodou…

Konec geoblokace? Ani náhodou…

Podnikatel.cz: Rošáda v živnostech. Týká se vás?

Rošáda v živnostech. Týká se vás?

DigiZone.cz: Konec geoblokace online médií?

Konec geoblokace online médií?

Vitalia.cz: Děti jsou sportem opotřebované

Děti jsou sportem opotřebované

Lupa.cz: Válka e-shopů. Alza končí s Heurekou

Válka e-shopů. Alza končí s Heurekou

Vitalia.cz: Dnešní patolog o mrtvolu téměř nezavadí

Dnešní patolog o mrtvolu téměř nezavadí

120na80.cz: 10 nej přípravků na holení

10 nej přípravků na holení

120na80.cz: Zjistěte, zda je vaše klíště infikované

Zjistěte, zda je vaše klíště infikované

Vitalia.cz: Muži kouří 24 cigaret denně, ženy o dost míň

Muži kouří 24 cigaret denně, ženy o dost míň

Podnikatel.cz: Šizený guláš na pultě. Jako Lidl to nedělejte

Šizený guláš na pultě. Jako Lidl to nedělejte

Vitalia.cz: Sója a rakovina

Sója a rakovina

DigiZone.cz: UPC umí televizi sedm dní nazpět

UPC umí televizi sedm dní nazpět

Lupa.cz: Zaplatíme ti, když ti seženeme práci

Zaplatíme ti, když ti seženeme práci

Vitalia.cz: Mražené ryby z Makra byly falšované

Mražené ryby z Makra byly falšované

DigiZone.cz: Tvoje tvář má známý hlas. Speciální Tina...

Tvoje tvář má známý hlas. Speciální Tina...

DigiZone.cz: DAB+ versus FM, ČRo a ČRa proti APSV

DAB+ versus FM, ČRo a ČRa proti APSV