Hlavní navigace

Postřehy z bezpečnosti: Rombertika mast na MBR past

11. 5. 2015
Doba čtení: 4 minuty

Sdílet

V tomto díle postřehů se podíváme na malware Rombertik, jehož obranné mechanismy jsou pozoruhodné. Dále si posvítíme na chyby v počítačích Lenovo, na infuzní pumpu, která má zvýšit bezpečí pacientů, na skript USBKill určený k rychlému vypnutí PC v případě ohrožení, a čeká nás také pozvánka na seminář.

Rombertik je klasickou ukázkou toho, jak je práce analytiků zkoumajících malware čím dál těžší a komplexnější. Jedná se o malware, který používá sofistikované techniky obrany proti pokusům o detekci a analýzu. Šíří se klasicky pomocí phishingových zpráv; 97 procent souboru s malware je určeno pouze k tomu, aby soubor působil legitimně. Podle analýzy obsahuje 75 obrázků a 8000 funkcí, které nejsou nikdy použity a je to jenom „smetí“.

Mnoho systémů používaných pro detekování malware spouští soubor pouze po krátkou dobu, během které sledují typické projevy ukazující na případnou škodlivost daného programu. Proto také začali tvůrci malware přidávat funkce, které program na určitou dobu uspí a teprve po jejím uplynutí se začnou vykonávat konkrétní škodlivé akce. Ostatně jsme měli možnost se s tímto problémem setkat osobně. V první verzi malware šířeného v rámci tzv. „exekutorských spamů“ tato pojistka chyběla a při spuštění se malware velice rychle odkopal.

V další verzi pak už bylo zabudováno právě určité zpoždění realizované voláním funkce kernel32.Sleep, takže se na první pohled zdálo, že program nic závadného nedělá… Rombertik místo této techniky používá zápis do paměti. Konkrétně zapíše do paměti 960milionkrát jeden byte náhodných dat. Protože nedojde k „uspání“ aplikace, nemusí sandboxy, které už s výše popsanými technikami počítají, rozpoznat, že se jedná o záměrné pozastavení. Navíc pokud nástroj zaznamenává veškeré chování aplikace, vygeneruje tento zápis do paměti přes 100 gigabajtů dat.

Následně je spuštěna první část detekce analytických nástrojů, během které malware zkoumá, jestli není náhodou spuštěn v sandboxu. K tomu zkouší volání funkce z Windows API se záměrně špatnými argumenty a pokud nedostane specifickou chybovou hlášku, předpokládá, že byl spuštěn v sandboxu. Dále zkouší prohledávat názvy a jména uživatelů spuštěných procesů na řetězce jako jsou „malwar“, „sampl“, „viru“ a „sandb“. Pokud zjistí, že běží v sandboxu, zastaví své rozbalování a ukončí se.

Proces kompromitace cílového systému krok za krokem

Malware je určen k získávání loginů a hesel zadávaných uživatelem do prohlížečů. Nicméně po svém zahnízdění v systému, ale ještě před spuštěním kýženého sběru hesel, provede další test, který má zjistit, zda nebyl malware spuštěn v testovacím prostředí. Pokud vyhodnotí, že ano, pak buď provede přepsání MBR (Master Boot Record) disku, nebo, pokud nemá práva na zásah do MBR, zničí všechny soubory v adresáři aktuálního uživatele jejich zašifrováním náhodně generovanými RC4 klíči. Po smazání MBR či zašifrování souborů ještě provede restart počítače.

Naše postřehy

Společnost Lenovo vydala záplatu kritických chyb v jejích počítačích, která umožňovala útočníkovi kompromitovat službu System Update (PDF). Jedna z chyb umožňovala lokálnímu uživateli s nejnižším oprávněním spouštět příkazy jako „system user“. Služba „system update“ totiž používala predikovatelný token. Druhá ze záplatovaných chyb pak umožňuje lokálnímu či vzdálenému útočníkovi nahradit důvěryhodné aplikace Lenova svými vlastními, kvůli chybě ve validaci řetězu důvěry u certifikátů.

USBKill je skript v Pythonu, který permanentně sleduje, zda nedošlo k přidání či odebrání USB zařízení. Pokud se tak stane, okamžitě vypne počítač. Program je určený pro všechny, kteří se z nějakého důvodu obávají návštěvy policie nebo třeba pokusů o instalaci malware přes USB na jejich zařízení, v době jejich nepřítomnosti u počítače. Aby to mělo smysl, je samozřejmě potřeba mít plně šifrovaný hard disk. Osobně mi to ale nepřipadá moc praktické.

Hospira PCA3 Drug Infusion je infuzní pumpa, která má podle informací výrobce zvýšit bezpečnost pacientů v oblasti PCA. Zařízení má konektivitu přes WiFi a dokonce i LAN port. Zařízení je „vybaveno“ celou řadou zajímavých zranitelností počínaje přístupem přes telnet bez hesla, hesly pro WiFi uloženými v plaintextu, až přes webové a ftp služby s natvrdo zadrátovanými uživatelskými přístupy či CGI skripty umožňujícími provádět kritické operace bez vyžadovaného ověření.

CS24 tip temata

Pozvánka

Pokud se potřebujete dozvědět více k zákonu o kybernetické bezpečnosti, můžete využít zdarma pořádaného semináře. Akce se bude konat 21. května 2015 od 10:00 na VUT v Brně. Jedinou podmínkou je vyplnění přihlášky.

Ve zkratce

Závěr

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

ikonka

Zajímá vás toto téma? Chcete se o něm dozvědět víc?

Objednejte si upozornění na nově vydané články do vašeho mailu. Žádný článek vám tak neuteče.

Autor článku

Pavel Bašta pracuje ve sdružení CZ.NIC jako team leader a bezpečnostní analytik CZ.NIC CSIRT a CSIRT.CZ.