Backdoor.Korplug прячется за Windows

Корпорация Symantec сообщает об обнаружении нескольких целевых этак, использующих вредоносную программу Backdoor.Korplug, появившуюся в марте 2012 года. Атака осуществляется путём отправки жертве электронного сообщения со специальным вредоносным вложением. Это давно известный сценарий, но Backdoor.Korplug использует интересную технику самозапуска, прикрываясь доверенным приложением.

Чаще всего по данному сценарию вредоносное ПО доставляется жертве в виде ZIP-архива с паролем или в виде документа Microsoft Office в расчёте на уязвимость Microsoft Windows Common Controls ActiveX Control Remote Code Execution Vulnerability (CVE-2012-0158). Также известны случаи, когда злоумышленники использовали украденные из компаний легитимные сертификаты для придания большего доверия двоичному файлу. Korplug не использует украденные сертификаты, вместо этого он прикрывается подписанной легитимной программой, осуществляя самозапуск в рамках привилегированного процесса.

Целевое письмо

http://www.symantec.com/connect/imagebrowser/view/image/2376181/_original

Изображение 1. Целевое письмо с вредоносным вложением

В случае типовой атаки вредоносный документ вкладывается в письмо и отправляется жертве. После открытия документа запускается эксплойт для уязвимости MSCOMCTL.OCX RCE, и в случае успеха на компьютер будет записана и запущена на исполнение основная часть вредоносной программы.

Вот фрагмент кода, позволяющий это сделать:


http://www.symantec.com/connect/imagebrowser/view/image/2376191/_original

Изображение 2. Код, загружающий и запускающий программу

Чтобы обмануть пользователя одновременно открывается безопасный документ, предупреждающий о невозможности открыть содержимое (Изображение, 3) якобы из-за использования устаревшей версии. Однако если пользователь использует последнюю версию Microsoft Word и применил все обновления, предоставленные Microsoft, он будет защищен, и злоумышленник не сможет использовать эксплойт.

 http://www.symantec.com/connect/imagebrowser/view/image/2376201/_original

Изображение 3. Документ-обманка

Поэтапная загрузка

Symantec определяет эту вредоносную программу как Backdoor.Korplug, но её исходный код сложнее типичных бэкдоров, обычно используемых в подобных сценариях. Структура угрозы представляет собой единую среду, включающую несколько различных компонентов, каждый из которых выполняет определённую задачу. В их число также входят подключаемые модули перехвата ввода с клавиатуры и съёма информации с экрана.

Загружаемая «боевая часть» вредоносного комплекса состоит из трёх зашифрованных модулей:

·         rc.exe;

·         rc.dll;

·         rc.hlp.

 http://www.symantec.com/connect/imagebrowser/view/image/2376211/_original

Изображение 4. Структура атаки

Интересно, что файл rc.exe является легитимным компонентом Windows, который использует вредоносный файл rc.dll, который в свою очередь обеспечивает загрузку основной части вредоносного кода, размещённой внутри файла rc.hlp.

http://www.symantec.com/connect/imagebrowser/view/image/2376221/_original

Изображение 5. Сертификат легитимного файла

Двойной обгон на легитимном файле rc.exe

Если файл rc.exe является легитимным приложением, то почему он загружает вредоносную библиотеку – DLL-файл? Ниже представлена таблица импорта:

http://www.symantec.com/connect/imagebrowser/view/image/2376231/_original

Изображение 6. Импортируемые функции из файла rc.dll

Для своей работы бинарник импортирует из модуля dll две функции. Обычно при запуске rc.exe импортирует легитимную библиотеку rc.dll, необходимую для его корректной работы. Однако, если вредоносный файл rc.dll присутствует в том же каталоге, что и rc.exe, то будет загружен вредоносный код вместо легитимной библиотеки из системной папки Windows. Это обычный порядок вещей для Windows.

Файл rc.dll – средство загрузки любого другого вредоносного компонента по выбору злоумышленника:

http://www.symantec.com/connect/imagebrowser/view/image/2376241/_original

Изображение  7. Код из файла rc.dll, запускающего загрузку rc.hlp

DLL-файл считывает нужный фрагмент бинарного кода из файла rc.hlp и запускает его на исполнение.

Сборка воедино

Таким образом, полный цикл атаки выглядит следующим образом:

1.     Использование документа с эксплойтом, открываемого вредоносной программой;

2.     Сохранение на компьютере файлов rc.exe, rc.dll и rc.hlp;

3.     Запуск легитимного приложения rc.exe, подписанного Microsoft, в привилегированном режиме;

4.     Подстановка процессу rc.exe вредоносной библиотеки DLL;

5.     Подгрузка процессом rc.exe фрагментов бинарного кода из вредоносного файла rc.hlp;

6.     Запуск основной программы (Backdoor.Korplug) в рамках доверенного процесса rc.exe.

Теперь угроза может загрузить любой другой компонент, и если возникнет необходимость использовать другой привилегированный процесс - она может просто использовать тот же прием.

Заключение

Файл rc.exe является легитимным компонентом Windows : в нем не содержится уязвимостей, скрытых бэкдоров или ошибок. Теоретически такой прием может работать с любым подписанным приложением, импортирующим код из внешних модулей, хотя для этого требуется соблюдение некоторых условий.

Данный метод прост в исполнении, но эффективен. Наблюдения специалистов Symantec показывают, что подобный двойной обгон применяется в атаках все чаще. Symantec детектирует все компоненты угрозы: целевое письмо, вредоносный документ, вредоносный код и вредоносную библиотеку DLL.

Symantec определяет данное вредоносное ПО как Backdoor.Korplug и Bloodhound.Exploit.457. Специалисты рекомендуют пользователям никогда не открывать подозрительных сообщений электронной почты или сообщений от неизвестных отправителей, а также поддерживать самые актуальные обновления антивирусных баз.

Автор: Александр Абрамов.

Тематики: ПО, Безопасность

Ключевые слова: Symantec