Shamoon — что это было?

от автора

Компьютерные системы нефтяной компании Saudi Aramco 15 августа 2012 года подверглись атаке, ее подробности не раскрываются. Было сообщено, что компания вернулась к нормальной работе спустя 10 дней. Министр обороны США Леон Панетта 11 октября 2012 года, выступая на конференции по кибернетической безопасности в Нью-Йорке сообщил, что компьютеры компании Saudi Aramco и Катарской компании по произодству газа RasGas были атакованы вредоностной программой Shamoon. Некоторые высокопоставленые лица США утверждают, что Shamoon имеет иранское происхождение, однако прямых доказательств этого у них нет. Правительство Ирана, в свою очеред, настаивает на проведении официального международного расследования атаки Shamoon. Акхаван Бахабади (Mahdi Akhavan Bahabadi) – секретарь Национального центра, который занимается киберпространством Ирана, подтвердил, что, по их мнению, подобного рода высказывания американцев связаны с политическими мотивами, точнее с предстоящими выборами на пост президента США.

Ответственность за атаку на Saudi Aramco взяла на себя хакерская группа «Рассекающий меч правосудия» (The Cutting Sword of Justice), мотивировав свой поступок политическими причинами, обвинив Саудовскую Аравию в организации беспорядков в Сирии и Бахрейне. По непроверенной информации, размещенной якобы инициаторами атаки на сайте pastedbin.com, в Saudi Aramco были заражены более 30.000 компьютеров.

Образцы Shamoon были детально проанализированы сотрудниками Лаборатории Касперского, первая статья вышла 21 августа. Эксперты пришли к выводу, что атака имела точечный характер, образцы не были зафиксированны в KSN (Kaspersky Security Network). ВПО содержит несколько модулей. Внутри одного из них присутствует строка:

‘C:\Shamoon\ArabianGulf\wiper\release\wiper.pdb’. Основной функционал программы — деструктивный. Многие Интернет СМИ публикуют неверную информацию, что Shamoon собирает информацию и отправляет ее на удаленный сервер.

Shamoon может принимать 2 команды от командного центра:
1. запустить загруженый с сервера файл;
2. задать время ‘уничтожения’ файлов.

В качестве адреса командного центра используется или символическое имя ‘home’ или IP-адрес 10.1.252.19. Примечательно, что это так называемый внутренний адрес, принадлежащий к специальному диапазону 10.0.0.0/8, не используемому в сети Интернет. Полный URL для связи с командным центром выглядит так: <сервер управления>/ajax_modal/modal/data.asp?mydata=<_итерация>&uid=<локальный IP>&state=<случайное число>. Это может указывать, что сервер должен развертываться на базе Internet Information Service.

Из-за ошибки автора, функция запуска загруженного файла не работает, так как неправильно формируется имя локального файла при сохранении.

ВПО периодически проверяет, не наступила ли определенная дата. Дата может быть указана через командный центр, в противном случае используется дата, заданая внутри кода, 15-е августа 2012-го года 08:08 по всемирному координированному времени (UTC). Нужно отметить, что в реализации функции проверки времени автором так же допущена ошибка, которая, тем не менее, не мешает задуманным действиям — уничтожению информации в заданное время. Список файлов для уничтожения предварительно формируется на основе заданных шаблонов, например, ищутся файлы в профилях пользователей или файлы с раширениями ini или sys. В результате в каталоге %WINDIR%\System32 создаются два файла ‘f1.inf’ и ‘f2.inf’. Они содержат полные пути к файлам, которые заполняются мусором, для невозможности восстановления. Мусор представляет собой фрагмент (192 Кбайт) JPEG-картинки горящего звездно-полосатого флага США, который можно легко найти через Google. Судя по всему, так было задумано автором и может указывать на некую «политическую подоплеку» атаки. В последнюю очередь стирается MBR. Для этого необходим прямой доступ к диску, заблокированный в Windows Vista и выше. Что бы его обеспечить, Shamoon использует легальный подписанный драйвер от программного обеспечения RawDisk компании Eldos, указанный подход был описан в статье на сайте insidepro.com. Драйверу для работы требуется ключ авторизации. Ключ, применяемый в Shamoon — триальный, поэтому каждый раз при вызове функций драйвера, текущее системное время переводится на случайную дату от 1-го до 20-го августа 2012 года. Указанные ошибки и особенности реализации позволяют сделать вывод о том, что автор Shamoon не является высококвалифицированным программистом.

Для самостоятельного рапространения Shamoon пробует копировать себя в административные ресурсы, создаваемые ОС Windows по умолчанию — ADMIN$, C$, D$, E$. В случае успеха создается задание при помощи функции NetScheduleJobAdd, что позволяет осуществить впоследствии автозапуск на удаленном компьютере. Естественно, что для этих действий нужны права администратора домена. Список IP адресов берется или из параметров командной строки, или формируется из текущего IP адреса, задавая значения последнего октета в диапазоне 1-254 (перебор).

В сентябре 2012 года компания Symantec опубликовала информацию об обнаружении новой версии Shamoon, модификации носят кометический характер. Так, заменены некоторые строки, например списки файлов называются ‘data.dat’ и ‘s_data.dat’ вместо ‘f1.inf’ и ‘f2.inf’. Метод удаленного запуска через NetScheduleJobAdd заменен на использование psexec.exe, мусор для записи генерируется случайным образом вместо использования части изображения, согласно информации компании McAfee.

Можно предположить следующую версию: злоумышленники получили управление над одним из контроллеров домена внутри периметра сети организации, изучили топологию сети и получили список IP адресов (Shamoon предусматривает передачу списка IP адресов через параметры командной строки). Скрипт для управления временем уничтожения был размещен на одном из внутренних серверов и его адрес (10.1.252.19) был закодирован внутри ВПО. Наличие прав администратора домена позволило решить проблему массового распространения ВПО через административные ресурсы. Достоверных данных, что Saudi Aramco поразил Shamoon и были заражены более 30.000 компьютеров, нет (например, адрес 10.1.252.19 отсутствует в списках, выложенных на pastedbin.com), однако это объясняет, как Shamoon мог заразить такое большое количество компьютеров, не имея в своем составе никаких средств эксплуатации уязвимостей сетевых сервисов. Кроме того, не было нужды программировать функцию сбора информации, так как это можно было сделать штатными средствами ОС, имея соответствующие права. Так что, с одной стороны это — APT атака, с другой стороны — уровень ее подготовки недостаточно высок.

ссылка на оригинал статьи http://habrahabr.ru/post/159049/


Комментарии

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *