Методы обнаружения вирусов
Скачать в PDF

27 октября 2020 года

Введение

В июле 2020 года мы выпустили исследование APT-атак на государственные учреждения Казахстана и Киргизии с подробным разбором вредоносных программ, найденных в скомпрометированных сетях. В процессе расследования вирусные аналитики «Доктор Веб» проанализировали и описали несколько групп троянских программ, включая представителей как уже встречавшихся специалистам семейств, так и ранее неизвестные трояны, из которых самым главным открытием оказались образцы семейства XPath. Нам также удалось обнаружить ряд признаков, позволивших связать два изначально независимых инцидента. В обоих случаях злоумышленники использовали похожие наборы вредоносного ПО, в том числе одни и те же узкоспециализированные бэкдоры, которыми были инфицированы контроллеры домена в атакованных организациях.

В ходе экспертизы аналитики изучили образцы мультимодульных бэкдоров PlugX, которые применялись для первичного проникновения в сетевую инфраструктуру. Анализ показал, что некоторые модификации PlugX использовали те же доменные имена управляющих серверов, что и другие изученные нами бэкдоры, связанные с целевыми атаками на учреждения государств Центральной Азии. При этом обнаружение программ семейства PlugX свидетельствует о возможной причастности к рассматриваемым инцидентам китайских APT-групп.

По нашим данным, несанкционированное присутствие в обеих сетях продолжалось более трех лет, а за атаками могли стоять сразу несколько хакерских группировок. Расследования столь комплексных киберинцидентов предполагают продолжительную работу, поэтому их редко удается осветить одной публикацией.

В вирусную лабораторию «Доктор Веб» поступили новые образцы ВПО, обнаруженные на одном из зараженных компьютеров локальной сети госучреждения Киргизии.

В дополнение к описанным в предыдущем материале вредоносным программам особого внимания заслуживает бэкдор ShadowPad. Различные модификации этого семейства являются известным инструментом Winnti — APT-группы предположительно китайского происхождения, активной как минимум с 2012 года. Примечательно, что на компьютере вместе с ShadowPad был также установлен бэкдор Farfli, при этом обе программы обращались к одному управляющему серверу. Кроме того, на этом же компьютере мы обнаружили несколько модификаций PlugX.

В этом исследовании мы разобрали алгоритмы работы обнаруженных бэкдоров. Особое внимание уделено сходствам в коде образцов ShadowPad и PlugX, а также некоторым пересечениям в их сетевой инфраструктуре.

Список обнаруженного ВПО

На зараженном компьютере были найдены следующие бэкдоры:

SHA256-хеши Детектирование Управляющий сервер Дата установки
ac6938e03f2a076152ee4ce23a39a0bfcd676e4f0b031574d442b6e2df532646 BackDoor.ShadowPad.1 www[.]pneword[.]net 07.09.2018 13:14:57.664
9135cdfd09a08435d344cf4470335e6d5577e250c2f00017aa3ab7a9be3756b3
2c4bab3df593ba1d36894e3d911de51d76972b6504d94be22d659cff1325822e 		BackDoor.Farfli.122
BackDoor.Farfli.125 		www[.]pneword[.]net 03.11.2017 09:06:07.646
3ff98ed63e3612e56be10e0c22b26fc1069f85852ea1c0b306e4c6a8447c546a (DLL-загрузчик)
b8a13c2a4e09e04487309ef10e4a8825d08e2cd4112846b3ebda17e013c97339 (основной модуль) 		BackDoor.PlugX.47
BackDoor.PlugX.48 		www[.]mongolv[.]com 29.12.2016 14:57:00.526
32e95d80f96dae768a82305be974202f1ac8fcbcb985e3543f29797396454bd1 (DLL-загрузчик)
b8a13c2a4e09e04487309ef10e4a8825d08e2cd4112846b3ebda17e013c97339 (основной модуль) 		BackDoor.PlugX.47
BackDoor.PlugX.48 		www[.]arestc[.]net 23.03.2018 13:06:01.444
b8a13c2a4e09e04487309ef10e4a8825d08e2cd4112846b3ebda17e013c97339 (основной модуль) BackDoor.PlugX.48 www[.]icefirebest[.]com 03.12.2018 14:12:24.111

Для дальнейшего исследования мы нашли и проанализировали другие образцы семейства ShadowPad, чтобы более детально рассмотреть сходство бэкдоров семейств ShadowPad и PlugX:

  • BackDoor.ShadowPad.3,
  • BackDoor.ShadowPad.4 — модификация ShadowPad, находившаяся в составе самораспаковывающегося WinRAR-дроппера и загружавшая нетипичный для этого семейства модуль в виде DLL-библиотеки.

Подробное исследование образцов ShadowPad и их сравнение с ранее изученными нами модификациями PlugX указывает на высокую схожесть принципов действия и модульных структур бэкдоров обоих семейств. Эти вредоносные программы сближает не только общая концепция, но и нюансы кода: некоторые приемы разработки, идеи и технические решения практически копируют друг друга. Немаловажным фактом является и то, что оба бэкдора находились в скомпрометированной сети государственного учреждения Киргизии.

Подробные технические описания обнаруженных вредоносных программ находятся в PDF-версии исследования и в вирусной библиотеке Dr.Web.

Заключение

Имеющиеся данные позволяют нам сделать вывод о связи этих семейств, при этом возможны как простое заимствование кода, так и разработка обеих программ одним автором или группой авторов. Во втором случае весьма вероятной видится эволюция PlugX в более новый и совершенный ShadowPad, так как формат хранения вредоносных модулей, применяемый в последнем, многократно затрудняет возможность их обнаружения в оперативной памяти.

Индикаторы компрометации

НОВОЕ НА САЙТЕ

13 мая 2024 года

В 2023 году одними из самых функциональных опасностей возобновил стали троянские приложения Trojan.AutoIt, сотворенные с применением скриптового языка AutoIt. Они распространяются в составе иных вредных приложений так будто затрудняют их обнаружение. а уж уж уж уж уж уж уж уж тоже наблюдалась высочай... Вирусные новости

SPEAKERMARKET — маркетплейс спикеров. Вы организатор мероприятия и вам нужен спикер? Разместите запрос, получите предложения от спикеров, выберите наиболее подходящего. Вы спикер и хотите выступать на мероприятиях? Зарегистрируйтесь на сайте, […]

The post SPEAKERMARKET — маркетплейс спикеров, найти спикера... Новости Безопастности

7 мая 2024 года

С целью коррекции ошибок так что усовершенствования свойства сертифицированного программного изделия Dr.Web Enterprise Security Suite, обеспечивающего антивирусную защиту, управление так что мониторинг любых узлов корпоративной сети, в приложениях формуляра произведены изменения.

Для коррекции ошибки в таблицах Приложени... Антивирус Dr.Web

4 мая 2024 года

Вирусным аналитикам фирме «Доктор Веб» поступило на разыскание приложение для ОС Android, которое содержало троян-кликер, неприметно раскрывающий маркетинговые веб-сайты настолько ровно выполняющий крики на веб-страницах. этакий троян умножать бытовать использован для скрытого показа рекламы, накручивания численности переходов по ссылкам, дизайна ... Горячая лента угроз и предупреждений о вирусной опасности!

2 мая 2024 года

Компания «Доктор Веб» информирует об обновлении дарового приложения Антивирус Dr.Web Light для Android.

В новейшей версии 12.2.2 обновлено антивирусное ядро, которое появляется сердцем приложения так что гарантирует надежную защиту от любых типов вредного ПО, так что сбыта очень ожидаемая юзерами содействие ОС Android 1... Антивирус Dr.Web

Main menu


Sub menu