Fortinetin asiantuntijat kertoivat epätavallisesta haittaohjelmasta, joka löydettiin analysoitaessa tartunnan saanutta konetta, jossa se oli toiminut useita viikkoja. Kyseessä on 64-bittinen Windows-kirjasto, jonka DOS- ja PE-otsikot ovat vioittuneet, mikä vaikeuttaa huomattavasti sekä automaattista havaitsemista että manuaalista analysointia. Huolimatta yrityksistä hämmentää tutkimusta, tiimi onnistui palauttamaan haittaohjelman käyttäytymisen toistamalla alkuperäisen tartuntaympäristön eristetyssä järjestelmässä.
Sisällysluettelo
uuden sukupolven haamutroijalaisia
Windowsissa käytettävät PE (Portable Executable) -tiedostot sisältävät tärkeää tietoa ohjelman rakenteesta, mukaan lukien DOS- ja PE-otsikot. DOS-otsikko säilyttää taaksepäin yhteensopivuuden MS-DOS:n kanssa ja antaa järjestelmän tunnistaa tiedoston suoritettavana. PE-otsikko sisältää tiedot, jotka ovat tarpeen Windows-ohjelman lataamiseksi ja käynnistämiseksi. Tässä tapauksessa molemmat segmentit oli tarkoituksella vääristetty, jotta käänteinen suunnittelu olisi vaikeampaa ja hyödyllisen sisällön poiminta muistista olisi hankalampaa.
Vaikka itse haittaohjelmatiedostoa ei onnistuttu poistamaan, Fortinetin asiantuntijat saivat käynnissä olleen prosessin muistidumpin ja tartunnan saaneen laitteen koko RAM-muistin dumpin. Haittaohjelma suoritettiin dllhost.exe-prosessissa, ja se käynnistettiin eräajotiedoston ja PowerShell-skriptien avulla. Tarkkaa levitystapaa ei ole vielä selvitetty, eikä hyökkäyksen laajuutta.
Analyysi osoitti, että käynnistyttyään haittaohjelma purkaa komentoserverin osoitteen muistista ja muodostaa yhteyden siihen. Hyökkäyksessä käytettiin verkkotunnusta rushpapers[.]com, jonka kanssa viestintä tapahtui TLS-protokollan kautta.
Ohjelman päävirta siirtyy ”lepotilaan”, kun taas apuvirta huolehtii yhteyden muodostamisesta ja tiedonsiirrosta.
Toiminnallisesti haittaohjelma on täysimittainen RAT — etäkäyttöinen troijalainen ohjelma, jolla on laaja valikoima ominaisuuksia. Se pystyy ottamaan kuvakaappauksia, hallitsemaan järjestelmän palveluita sekä toimimaan palvelintilassa ja vastaanottamaan yhteyksiä hyökkääjältä. Tätä varten on toteutettu monisäikeinen arkkitehtuuri: jokaiselle uudelle yhteydelle varataan erillinen säie, mikä mahdollistaa rinnakkaisen työskentelyn useiden asiakkaiden kanssa ja monimutkaisempien operaatioiden suorittamisen.
Fortinetin arvion mukaan tällainen arkkitehtuuri antaa hyökkääjälle mahdollisuuden käyttää tartunnan saanutta laitetta täysimittaisena etäohjausvälineenä, jolla voidaan suorittaa komentoja, hyökätä muihin kohteisiin tai säilyttää hallinta uhrin verkossa.
