土曜日, 6月 19, 2010

モジュール仕組みマルウェア⇒「Black Energy v2」

前回私は「マルウェアのモジュール仕組み」というブログ内容を書きました、今回の内容は本物の「マルウェアのモジュール仕組み」のケースを説明させて頂きます。
Black Energy(バーション1)は有名なDDosトロイのマルウェアでした。2年間前にロシア対Georgiaのサイバーウォー事件で良く使われたDoS攻撃ツールでした。
今回Black Energy v2がつい最近が発見されて、このマルウェアは本格的なモジュール経由マルウェア仕組みです。
バーション2は1年間ぐらい開発されて、色々書き直されたそうです。このバーションにはrootkitとオリジナル認証機能が追加されて、Black Energy v2のトロイバイナリーの検知が難しくなるかと思います。
下記BE2の仕組み画像です↓

(credit:secureworks)

このマルウェアの目的は下記となります↓
1. DDoSトロイ(バーション1やバーション2)
2. 色々犯罪目的でリモートコントロールトロイ(バーション1やバーション2)
3. ログイン情報盗む(バーション2)

どんなモジュールに分散されているかとこれから説明します↓

Dropperぼ部分
上記の画像を説明します。BE2のはじめに動いてるコンポーネントはトロイDropperのです。Dropperはトロイのバイナリをダウンロードとアンパックし、OSシステムにrootkitをインストールしてしまいます。ダウンロードセッションの時に一番検知が出来る所です。アンパックとインストール分は色んなパターンのやり方を使われて検知しにくい状況です。オリジナル暗号仕組みもアンパックとインストールの時に発見されてます。rootkitのインストールについて、MS08-025セキュリティパッチが未だインストールされてないPCは一番リスクが高いです。


Rootkitの部分
rootkitをインストールされたら下記のBE2トロイ感染が始める↓
1. APIフック仕方を使いマルウェア存在をメモリーとOSプロセスの中に隠されます。
2. 特別のリクエストの為にだけ、APIフックのバイパス方法(hole)を作られます。目的はマルウェア機能のcallインターフェースになります。
3. Black Energyバーション2のDLLをユーザスペースsvchost.exeへインジェックされます。

rootkitのバイナリーを見たらrootkitのコマンドコードが分かるようになり 下記はBlack Energy v2のrootkitコマンドコードです↓


マルウェアDLLの部分
Black Energy v2はモジュールベース・マルウェアです。色んなマルウェア機能が分割されている状態です、BE2ですとそれぞれの機能は一つDLLファイルになります。
下記はBE2のDLL名前と機能説明↓
rexec - リモートにあるファイルをダウンロードと実行する
lexec - 「cmd.exe」コマンドを使いローカルファイルを実行する
die - BE2を直ぐにアンインストールする
upd - BE2をリモートアップデートする
setfreq – トロイのコミュニケーションポート情報を変更する
下記はすべてDLLに入っているFunction名前と説明となります↓


設定/conf方法
イニシャル設定はDLLの中にXMLで暗号されている状況です、decompressしたら下記の情報が見えます↓

↑ここに書いたのはトロイコントローラのURL/ウェブページに繋ぐと。
マルウェアのコードを見たらもっと沢山コマンドをイニシャルで用意が出来る、例え「ポート情報」、「トロイのユニークID」、など。

ネットワークやり取り
BE2のトロイ対ボットネットのコミュニケーションはHTTpベースでやり取りしてます。下記はBE1とBE2のやり取り情報です↓

---
http://0day.jp
マルウェアアナライズ
アドリアン・ヘンドリック

0 件のコメント:

コメントを投稿