През последните няколко месеца анализирахме таргетирана кампания, която се опитва да открадне важна за потребителите информация от различни организации по света, в частност в Пакистан. По време на разследването си, открихме няколко следи, които показват, че източникът на заплахата се намира в Индия, а самата атака продължава повече от 2 години. Пътешествието ни започна с сертификат за подписване на код и пробив в сигурността, а обхватът му се увеличава непрекъснато с течение на времето. В този пост ще ви разкажем няколко интересни характеристики на кампанията. Сертификат за подписване на код За тази част от кампанията се използва сертификат за подписване на код, с който обаче са подписани зловредни програми. „Подписът“ обаче им придава фалшива гаранция за сигурност, което подпомага и бързото разпространение на вируса. Използваният сертификат датира от края на 2011 г. и е издадена на името на компания, наречена Technical and Commercial Consulting Pvt. Ltd. Със седалище Ню Делхи. 
Когато започнахме разследването си, сертификатът вече беше анулиран за всички файлове, подписани с него след 31 март 2012 г. Свързахме се с VeriSign с доказателства, че сертификатът е използван за разпространение на зловредни кодове, което доведе до анулирането му за всички програми, с които е подписан. Въпреки това, според нас има над 70 инфектирани програми, които са подписани с него. Тъй като всеки подписан пример идва със дата на подписа е лесно да се изгради представа за времева рамка за разпространението на вируса: 
Фигура 1. Времево разпределение на вируса. Черните линии представляват дата на подписа. От събраната информация стана ясно, че хакерите са успели да подпишат различни програми с подписа, което се е случвало между март и юни 2012 г. В последствие се вижда празно място между юли и август 2012 г. Тога отново ставаме свидетели на употребата на сертификата (въпреки анулирането му междувременно) през август и септември месец 2012 г. Има няколко възможни обяснения за дупката в употребата на сертификата през лятото на 2012 г., но най-вероятно тогава и хакерите, и целите им са били в почивка. Въпреки че изследването започва с този сертификат за подписване на код, в последствие открихме още няколко модификации на вируса, които са неподписани. Някои от тях са създадени още през 2011 г.Различни действия Самата заплаха работи по няколко различни направления. Едно от тях е използването на известната „дупка“ в сигурността CVE-2012-0158. Обикновено тя може да се използва чрез специално създадени документи за Microsoft Office и позволява изпълнението на произволен код. В анализирания от нас случай се стартира код в момента, в който потребителят отвори RTF документ. Самият код има две нива на действие. Първо, той изпращам информация за системата на домейна feds.comule.com, а след това сваля вирус от digitalapp.org.Другата сфера на действие на вируса е използването на PE файлове, маскирани като Microsoft Word или PDF документи, които най-вероятно са разпращани по имейл. Когато потребителят стартира някой от заразените документи, програмата стартира няколко допълнителни вируса (повече за тях – по-долу). За да избегнат евентуални подозрения от страна на потребителите, хакерите използват реален документ. Открихме няколко такива, следващи определен шаблон. Един от шаблоните са индийските военни сили. Нямаме информация какви организации или отделни потребители са били таргетирани с тези файлове. Въпреки това, на база на данните, събрани за атаката, смятаме, че основни цели са хора и институции в Пакистан.Текстът в първия документ изглежда като кръпка от няколко източника. Фалшивият PDF документ се намира в самоизвличащ се архив, наречен “pakistandefencetoindiantopmiltrysecreat.exe”:
Този PDF документ се разпространява чрез изпълним файл, наречен “pakterrisiomforindian.exe”: 
В този случай текстът е преписан от блога Asian Defence, който агрегира военни новини от Азия. Данните ни показват, че файлът е видян за първи път през август 2011 г. в Пакистан. Товари В документите, използвани като преносители, открихме различни видове „товар“ – всички обаче с едно и също действие, а именно кражбата на лични данни от компютъра на засегнатия потребител и изпращането му към сървърите на създателите на атаката. В долната таблица сме обединили „товарите“ в различни фамилии. Категория Описание Даунлоудър Сваля различни файлове и стартира изпълнението им на заразената машина. Документо-оборотен Търси и ъплоудва документи (csv, pdf, doc, docx, xlsx и т.н.), открити в кошчето или папката “My Documents” на засегнатия компютър. Събиращи системна информация Изпраща информация за заразената система на команден сървър, използвайки GET заявки. Използва Windows инструментариум, за да събере информация за компютъра като инсталиран на машината антивирусен софтуер, версия на операционната система, наличие на файлове за ъплоуд и т.н. Кийлогър Записва натисканите от потребителя бутони на клавиатурата и ги изпраща на атакуващия посредством POST заявки. “Снимач“ През определен период от време прави скрийншот на случващото се на екрана на компютъра и го изпраща на команден сървър. Свързващ Непрекъснато се опитва да се свърже с предварително зададен IP адрес, който позволява на атакуващия да стартира дистанционна връзка със засегнатия компютър. Инструментариум Открихме два инструмента - (WebPassView и Mail PassView) на NirSoft, подписани със същия сертификат. Тези иначе легални инструменти могат да бъдат използвани за възстановяване на пароли в имейл клиенти или съхранявани в браузъри. Саморазпространващ се вирус Вирусът следи използването на преносими медийни устройства и копира различни заразени файлове на тях. Опитва се да прилъже потребителя да в стартирането на някой от копираните файлове, като го преименува с името на съществуваща папка и крие последната. Откраднатата от заразения компютър информация се изпраща към сървърите на атакуващите некриптирана. Решението да не се използва кодиране на данните е озадачаващо, предвид факта че добавянето на подобно кодиране би прикрило още повече операцията. Долният скрийншот показва лог от кийлогър, записващ натисканите бутони на клавиатурата: `
Логовете са многословни и показват активния прозорец, използваните бутони и специалните символи в скоби. Тъй като логовете се изпращат, без да бъдат кодирани, е лесно да се засече пеисъствието на заразена машина в собствената ви мрежа чрез следене на HTTP трафика. Що се касае до постоянството, голяма част от анализираните кодове добавят и икона в Старт менюто на Windows с подлъгващо име. Долният скрийншот показва подобен пример: 
Тази техника улеснява стартирането на различни компоненти на атаката дори и след рестарт на системата, при това прикрити с легитимни приложения. Тъй като таргетираните атаки обикновено се опитват да стоят извън полезрението на потребителите колкото се може по-дълго, бяхме изненадани от използването на тази техника. Инфрастуктура на командния сървърПовечето анализирани кодове съдържат интернет адрес, от който се свалят допълнителни компоненти на вируса или към който се изпраща съдържание от инфектираната система. Понякога, адресът на командния сървър се вижда некрптиран в кода. В други случаи, той е кодиран чрез използване на елементарна техника за ротиране на символи (ROT-1), както в долния пример: “gjmftbttpdjbuf/ofu” encrypted to “filesassociate.net”Открихме над 20 домейна, които се свързват с тази кампания. И докато някои от тях все още имат активен DNS, повечето не водеха към никакъв IP адрес. Все пак, успяхме да открием накъде са водили чрез историческите данни за домейните. Оказва се, че над 1/3 от тях се хостват на OVH. Тази хостинг услуга е известна с хостването на вируси и спам. Тя е на 5 място в топ 50 сървъра, използвани с подобни цели, ппоказва класацията на HOSTExploit.По-голяма част от домейните се приближават много до имена на истински сайтове или компании. Това е позната тактика за прикриване на истинската дейност на командния сървър. Сред примерите са “wearwellgarments.eu” и “secuina.com”. Първото име прилича много на сайта “wearwellgarments.com”, а второто наподобява на името на компанията Secunia, чиято основна сфера на дейност е информационната сигурност.Произход Анализът на тази кампания ни помогна да идентифицираме няколко ключови индикатора, които ни насочиха към географското местоположение на вируса. Вярваме, че произходът му е Индия. Първо, сертификатът, с който се подписва кода, е издаден на индийска компания. Освен това, часовете на подписване на различни програми са между 5:06 и 13:45 часа UTC, което съвпада с работното време в Идния и се равнява на периода 10:36 и 19:15 часа инийдско време. Намерихме и няколко реда код, използвани във вируса, които са свързани с индийската култура. Така например, променливата ramukaka е използвана в няколко скрипта: 
Раму Какак е типичен герой от Боливуд – домашен прислужник. Предвид факта, че тази променлива обикновено се използва за постигане на конситентност в системата, дефиницята ѝ пасва идеално. Най-важният ни аргумент обаче е открит в телеметричните данни. Открихме, че много варианти на вирусите, свързани с тази кампания, се появяват на едно и също място в ограничен период от време. Те се различават много малко помежду си, което ни навежда на мисълта, че създателят на кода се опитва да избегне засичането им от страна на софтуер за защита. Файловете се появяват в един същи район на Индия. Вместо заключениеВсичко казано до тук показва, че сме свидетели на добре таргетирана кампания, насочена срещу различни цели по света. Анализът ни показва, че цялата кампания произхожда от Индия. Въпреки няколкото инфекции по целия свят, изглежда, че най-постоянните усилия са насочени срещу Пакистан. Таргетираните атаки стават все по-популярни в наши дни но тази определено заслужава специално внимание, заради използваните в нея методи. Затова, все пак, внимавайте какви файлове отваряте!