Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Bodzafa

2013.01.08. 20:00 | buherator | 1 komment

A legutóbbi, célzott támadásokhoz használt IE 0-day hiba körül egyre sűrűbb az élet. Egyrészt az Exodus Intelligence közzétett egy leegyszerűsített, heap-spray-t nem igénylő PoC exploiot valamint az ennek kifejelesztéséhez vezető út részletes leírását , majd közölték, hogy a Microsoft által ideiglenes megoldásként kiadott FixIt nem nyújt megfelelő védelmet, és az EMET hardeningjei is megkerülhetők (utóbbihoz hozzá tartozik, hogy az eszköz soha nem ígért teljes körű védelmet, csak a támadó költségeinek emelését, ami be is vált). Ezzel kapcsolatban vadiúj posztsorozat van készülőben, az első darab remélhetőleg néhány héten belül elkészül.

Az exploit-mesterek mellett a biztonsági cégek sem tétlenkedtek: a Symantec szerint a most megfigyelt támadás egy évek óta zajló projekt része, melynek első állomását a Google elleni Aurora akciónál láthattuk. A különböző 0-day támadásokat egyebek mellett a heap sprayinghez használt (és a tényleges malware-t telepítő) SWF állományok kötik össze, melyek több függetlennek tűnő esetben is teljesen azonosak, vagy nagyon hasonlítottak egymásra, pl. ugyanolyan debug szimbólumokat tartalmaztak. Az egyik ilyen szimbólum neve alapján a támadóhadjáratot Elderwood Projectnek nevezték el. 

A projekt bonyolítói feltehetően nagy számú 0-day exploittal rendelkeznek, melyeket jellemzően két féle módon juttatnak el célpontjaikhoz: Célzott adathalász támadások esetén az exploitot egy legitim, a célpont számára releváns dokumentumba csomagolják, és e-mailen küldik el, míg az ún. "watering hole"* metódus alkalmazásakor a egy, a célpont által feltehetően gyakran látogatott honlapot törnek fel, és onnan szolgálják ki a támadó kódot. A projekt áldozata volt például az Amnesty International is, de így-vagy úgy, a legtöbb esettel már találkozhattatok a blogon:

A célpontok között a Symantec riportja szerint védelmi beszéllítók, fegyvergyártók és repüléstechnikai cégek, valamint más kritikus ágazatok szereplői kaptak helyet. A támadók felkészültségét jól mutatja, hogy több esetben akár 30 napon belül új 0-day támadást indítottak az előző akció lelepleződése után - mindez kiforrott infrastruktúrát (és persze egy rakat betárazott 0-day-t) igényel, így a Symantec már egy komplett Elderwood Frameworkről beszél, melynek különböző jellemzői, például a több támadásban megosztott C&C infrastruktúra, a kódolási és obfuszkációs módszerek, az újrahasznosított SWF fájlok valamint az általuk lehúzott trójaik alapján nagy magabisztossággal állítható, hogy nem utánzók, hanem ugyanaz a csoport áll a felsorolt támadások hátterében. 

elderwood_connections.png(c) Symantec

És hogy kik lennének ők? Az AlienVault Labs kutatásai erre a kérdésre is részben választ adhatnak. A malware elemzéssel foglalkozó cég munkatársai még egy tibeti aktivistákkal szembeni akció kapcsán kezdtek el foglalkozni az Elderwood Projectben is használt PlugX trójaival, valamint az azt berántó SWF-fájllal. 

A trójai telepítési módja külön szót érdemel: az exploit sikeres lefutása után az SWF fájlban lévő shellkód három fájlt tölt le: ezek közül az egyik az NvSmart.exe, az NVIDIA egy teljesen legitim programja a cég hiteles digitális aláírásával, a másik egy DLL, a harmadik pedig egy obfuszkált bitkatyvasz. Az NvSmart.exe, mivel digitálisan aláírt, az operációs rendszer illetve a biztonsági programok szemponjából kiemelt ügyfél, akire kevésbé szigorú ellenőrzések vonatkoznak, így könnyen telepítheti magát úgy, hogy automatikusan elinduljon minden rendszerindításkor. Szárnysegédjét, a bizonyos DLL-t azonban a támadók lecserélték, így az ebbe elhelyezett kicsomagoló kód minden alkalommal élesítheti a harmadik fájlban rejtőző PlugX trójait. 

Az  AlienValut kutatása azonban még érdekesebb infókkal is szolgált: a trójai debug információit összevetve korábbi kártevőmintákkal találtak egy debug szimbólumokra mutató elérési utat, ami tartalmazta a létrehozó felhasználó nevét is (ez az információ tipikusan benne marad a lefordított Windows binárisokban), például:

C:\Users\whg\Desktop\Plug\FastGui(LYT)\Shell\Release\Shell.pdb

De ki lehet ez a WHG? Az elmezett szoftverek forrása után kutatva a Google a cnasm.com-ra vezette a kutatókat, ahol meg is találták whg profilját egy e-mail címmel és egy ICQ azonosítóval egyetemben. Az e-mail címből aztán egy sor domain bejegyzést is elő lehetett keríteni, melyek egy kínai szoftverbiztonsággal  foglalkozó  céghez vezetnek, de WHG barátunk nem egy James Bond (de legalábbis nem látta a híres OPSEC for Hackers c. előadást), így még a profilképét is elérhetővé tette a CHDN-en (Chinese Software Developer Network), valamint mint utóbb kiderült, egy szintén WHG néven, arcképpel ellátott fórumbejegyzést használt a hálózati kapcsolat tesztelésére.

Talán mindez túl szép is ahhoz, hogy igaz legyen...

* A név az itatóknál várakozó ragadozóra utal, aki tudja, hogy a préda egyszer biztosan szomjas lesz

Címkék: microsoft google adobe amnesty international symantec operation aurora exodus intelligence elderwood alienvault labs

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

domi007 2013.01.08. 21:08:04

Ez érdekesen kibontakozó történet, már majdnem olyan mint egy heti folytatásos regény :D
Érdekel mi fog kisülni belőle.