Hlavní navigace

Postřehy z bezpečnosti: Rombertika mast na MBR past

Pavel Bašta

V tomto díle postřehů se podíváme na malware Rombertik, jehož obranné mechanismy jsou pozoruhodné. Dále si posvítíme na chyby v počítačích Lenovo, na infuzní pumpu, která má zvýšit bezpečí pacientů, na skript USBKill určený k rychlému vypnutí PC v případě ohrožení, a čeká nás také pozvánka na seminář.

Rombertik je klasickou ukázkou toho, jak je práce analytiků zkoumajících malware čím dál těžší a komplexnější. Jedná se o malware, který používá sofistikované techniky obrany proti pokusům o detekci a analýzu. Šíří se klasicky pomocí phishingových zpráv; 97 procent souboru s malware je určeno pouze k tomu, aby soubor působil legitimně. Podle analýzy obsahuje 75 obrázků a 8000 funkcí, které nejsou nikdy použity a je to jenom „smetí“.

Mnoho systémů používaných pro detekování malware spouští soubor pouze po krátkou dobu, během které sledují typické projevy ukazující na případnou škodlivost daného programu. Proto také začali tvůrci malware přidávat funkce, které program na určitou dobu uspí a teprve po jejím uplynutí se začnou vykonávat konkrétní škodlivé akce. Ostatně jsme měli možnost se s tímto problémem setkat osobně. V první verzi malware šířeného v rámci tzv. „exekutorských spamů“ tato pojistka chyběla a při spuštění se malware velice rychle odkopal.

V další verzi pak už bylo zabudováno právě určité zpoždění realizované voláním funkce kernel32.Sleep, takže se na první pohled zdálo, že program nic závadného nedělá… Rombertik místo této techniky používá zápis do paměti. Konkrétně zapíše do paměti 960milionkrát jeden byte náhodných dat. Protože nedojde k „uspání“ aplikace, nemusí sandboxy, které už s výše popsanými technikami počítají, rozpoznat, že se jedná o záměrné pozastavení. Navíc pokud nástroj zaznamenává veškeré chování aplikace, vygeneruje tento zápis do paměti přes 100 gigabajtů dat.

Následně je spuštěna první část detekce analytických nástrojů, během které malware zkoumá, jestli není náhodou spuštěn v sandboxu. K tomu zkouší volání funkce z Windows API se záměrně špatnými argumenty a pokud nedostane specifickou chybovou hlášku, předpokládá, že byl spuštěn v sandboxu. Dále zkouší prohledávat názvy a jména uživatelů spuštěných procesů na řetězce jako jsou „malwar“, „sampl“, „viru“ a „sandb“. Pokud zjistí, že běží v sandboxu, zastaví své rozbalování a ukončí se.

Proces kompromitace cílového systému krok za krokem

Malware je určen k získávání loginů a hesel zadávaných uživatelem do prohlížečů. Nicméně po svém zahnízdění v systému, ale ještě před spuštěním kýženého sběru hesel, provede další test, který má zjistit, zda nebyl malware spuštěn v testovacím prostředí. Pokud vyhodnotí, že ano, pak buď provede přepsání MBR (Master Boot Record) disku, nebo, pokud nemá práva na zásah do MBR, zničí všechny soubory v adresáři aktuálního uživatele jejich zašifrováním náhodně generovanými RC4 klíči. Po smazání MBR či zašifrování souborů ještě provede restart počítače.

Naše postřehy

Společnost Lenovo vydala záplatu kritických chyb v jejích počítačích, která umožňovala útočníkovi kompromitovat službu System Update (PDF). Jedna z chyb umožňovala lokálnímu uživateli s nejnižším oprávněním spouštět příkazy jako „system user“. Služba „system update“ totiž používala predikovatelný token. Druhá ze záplatovaných chyb pak umožňuje lokálnímu či vzdálenému útočníkovi nahradit důvěryhodné aplikace Lenova svými vlastními, kvůli chybě ve validaci řetězu důvěry u certifikátů.

USBKill je skript v Pythonu, který permanentně sleduje, zda nedošlo k přidání či odebrání USB zařízení. Pokud se tak stane, okamžitě vypne počítač. Program je určený pro všechny, kteří se z nějakého důvodu obávají návštěvy policie nebo třeba pokusů o instalaci malware přes USB na jejich zařízení, v době jejich nepřítomnosti u počítače. Aby to mělo smysl, je samozřejmě potřeba mít plně šifrovaný hard disk. Osobně mi to ale nepřipadá moc praktické.

Hospira PCA3 Drug Infusion je infuzní pumpa, která má podle informací výrobce zvýšit bezpečnost pacientů v oblasti PCA. Zařízení má konektivitu přes WiFi a dokonce i LAN port. Zařízení je „vybaveno“ celou řadou zajímavých zranitelností počínaje přístupem přes telnet bez hesla, hesly pro WiFi uloženými v plaintextu, až přes webové a ftp služby s natvrdo zadrátovanými uživatelskými přístupy či CGI skripty umožňujícími provádět kritické operace bez vyžadovaného ověření.

Pozvánka

Pokud se potřebujete dozvědět více k zákonu o kybernetické bezpečnosti, můžete využít zdarma pořádaného semináře. Akce se bude konat 21. května 2015 od 10:00 na VUT v Brně. Jedinou podmínkou je vyplnění přihlášky.

Ve zkratce

Závěr

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Našli jste v článku chybu?

11. 5. 2015 13:46

Bezdrátové zabíjení lidí? Tak to tu ještě nebylo :(

12. 5. 2015 12:00

Worker (neregistrovaný)

Videa, kde to testuju (samozrejme mimo ludskeho tela) su (alebo boli) aj na jutube. Rovnako inzulinove pumpy, ktore DoS-uju (clovek nedostane davku a zomrie) alebo im zmenia program a vypustia to jednou davkou (clovek moze dostat inzulinovy sok).

Vitalia.cz: Jmenuje se Janina a žije bez cukru

Jmenuje se Janina a žije bez cukru

Podnikatel.cz: Změny v cestovních náhradách 2017

Změny v cestovních náhradách 2017

Lupa.cz: Proč firmy málo chrání data? Chovají se logicky

Proč firmy málo chrání data? Chovají se logicky

120na80.cz: 5 nejčastějších mýtů o kondomech

5 nejčastějších mýtů o kondomech

Vitalia.cz: Taky věříte na pravidlo 5 sekund?

Taky věříte na pravidlo 5 sekund?

Měšec.cz: Jak vymáhat výživné zadarmo?

Jak vymáhat výživné zadarmo?

Root.cz: Certifikáty zadarmo jsou horší než za peníze?

Certifikáty zadarmo jsou horší než za peníze?

120na80.cz: Horní cesty dýchací. Zkuste fytofarmaka

Horní cesty dýchací. Zkuste fytofarmaka

Vitalia.cz: Mondelez stahuje rizikovou čokoládu Milka

Mondelez stahuje rizikovou čokoládu Milka

Vitalia.cz: Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Podnikatel.cz: Chtějte údaje k dani z nemovitostí do mailu

Chtějte údaje k dani z nemovitostí do mailu

Podnikatel.cz: Podnikatelům dorazí varování od BSA

Podnikatelům dorazí varování od BSA

Podnikatel.cz: Udávání kvůli EET začalo

Udávání kvůli EET začalo

Podnikatel.cz: Snížení DPH na 15 % se netýká všech

Snížení DPH na 15 % se netýká všech

120na80.cz: Co všechno ovlivňuje ženskou plodnost?

Co všechno ovlivňuje ženskou plodnost?

Podnikatel.cz: Chaos u EET pokračuje. Jsou tu další návrhy

Chaos u EET pokračuje. Jsou tu další návrhy

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Podnikatel.cz: Udávání a účtenková loterie, hloupá komedie

Udávání a účtenková loterie, hloupá komedie

Vitalia.cz: Spor o mortadelu: podle Lidlu falšovaná nebyla

Spor o mortadelu: podle Lidlu falšovaná nebyla