Salityについて何を知っていますか？

Salityはマルウェアの最も有名なファミリーの1つです。 サリティは、開発のいくつかの段階を経てきました。

最初の言及は2003年7月に遡ります。 初期バージョンでは、SalityはUPXを使用してパッケージ化された独自のコードを追加することにより、実行可能ファイルに感染しました。 キーロガーはペイロードとして機能し、傍受されたデータは、SMTPを介してロシアにあるサーバーの1つに送信されました。 この名前は、都市の英語名-「サラバト市」（サラバト、バシコルトスタン共和国）から派生しています。 おそらく、開発者のニックネーム-セクター-は、Dr.Webの分類で名前が付けられました。 当時、Salityは技術的に興味深いものではなく、著者はかなり原始的なメカニズムを使用していました-ファイル感染者は当時の他のマルウェアサンプルと比較して比較的単純で、SMTPサーバーアドレスはコード内にハードコードされていて、変更できませんでしたペイロードが変更されました。

2004年から2008年まで、著者はSalityの改善に一生懸命取り組みました。 感染方法は大きく変化し、ウイルスはエントリポイントを変更せずに多型になり（エントリポイントを不明瞭にする技術）、検出と処理のプロセスを複雑にします。 悪意のある機能は個別のモジュールに分離され、コードにハードコーディングされた多数のURLから追加で読み込まれる可能性がありました。 保護メカニズムに対抗する手順も含まれていました：ファイアウォール、ユーティリティ、およびウイルス対策プログラムをブロックまたは無効にします。 2008年（おそらく2007年末）以降、著者はウイルス対策会社によって簡単にブロックされる定義済みアドレスの代わりに、配布スキームを根本的に変更し、モジュールを更新し、その後の起動のためにサードパーティのマルウェアをダウンロードするためのピアツーピアメカニズムを実装しました。





建築



以下では、Salityの最新バージョン（2008年以降）の1つの操作について説明します。 すべてのコンポーネントは独立しており、別々のスレッドで実行されます。



インジェクションモジュール（別のプロセスのアドレス空間での実装）



Salityは、アカウント「システム」、「ローカルサービス」、「ネットワークサービス」に代わって実行されるプロセスを除き、実行中のすべてのプロセスにコピーを埋め込みます。 特権プロセスの場合、デバッグ特権を公開し、再度侵入を試みます。 再実装を除外するには、アプリケーション名でミューテックスを使用します。 これは、コンピューター感染の兆候の1つです。



保護モジュール



このモジュールは、Salityをウイルス対策ソフトウェアから保護します。 OSがセーフブートモードで読み込まれないように、ウイルスは次のブランチのレジストリからキーと値を削除します：「HKEY_CURRENT_USER \ System \ CurrentControlSet \ Control \ SafeBoot」および「HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ SafeBoot」

多くのウイルス対策プログラムのサービスがブロックされています。 Salityの以前のバージョンはさらに攻撃的で、システムからこれらのサービスを単に削除していました。

このウイルスは、カーネルドライバーも導入します。 このドライバーは、％System％\ driversフォルダーの疑似ランダム名で追加されます。 「amsint32」という名前のサービスが作成されます。 ドライバーは3つの異なる機能を実行します。

• プロセスの「キラー」（プロセスキラー）-Salityは実行中のプロセスを継続的にスキャンし、プロセス名がセキュリティソフトウェアのリストに含まれている場合、そのようなプロセスは停止します。 リスト自体はコードでハードコーディングされています。 アンチウイルスの自己防衛をバイパスするために、すべてのプロセスはドライバーによってカーネルレベルで破棄されます。
• パケットフィルタ-ドライバは、IPCTLドライバにIOCTL_PF_SET_EXTENSION_POINTER制御要求を送信することにより、「IPFilterコールバックルーチン」関数を登録します（この関数はWindows XP / 2003/2000で機能しましたが、Vista以降のバージョンでは使用されません）。 この機能のおかげで、Salityはウイルス対策ソフトウェアベンダーのサイトのアドレスパターンに対応するIPパケットを破棄できました。 その結果、ユーザーはSymantec.comなどにアクセスできませんでした。
• 着信および発信SMTPトラフィックのブロッカー（ブロッカー）。 この機能は、ユーザーモードで動作するモジュールによって実装され、ボットネットオペレーターからのコマンドで起動されました。 以降のバージョンでは、このモジュールは使用されませんでしたが、そのコードは保存されていました。

感染モジュール



オブジェクトが以下のように、感染モジュールはウイルスの複製を担当します。

• レジストリブランチ「HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ ShellNoRoam \ MUICache」にリストされているファイル。 このブランチには、タスクバーのアイコンをグループ化するときにExplorerが使用するアプリケーションの名前が含まれています。 副作用として-MUICacheは、システムにインストールされたほぼすべてのアプリケーションのリポジトリです。
• 「HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run」および「HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Run」ブランチの実行キー内のファイル。
• マウントされたドライブ上のexeおよびscrファイルをBからZにスキャン（列挙）します。
• Windowsパーティション以外のディスクのルートディレクトリは、電卓またはマインスイーパプログラムの感染コピーを作成することにより感染します。 ファイルは、任意の名前と拡張子のexe、cmd、またはpifで作成されます。 autorun.infファイルも作成または変更され、ディスクのマウント時に作成された感染ファイルが自動的に起動されます。 そのようなファイルを開始すると、対応するプログラム（「Calculator」または「Minesweeper」）を開始する代わりに、エクスプローラーウィンドウが開きます。
• ネットワークリソースの実行可能ファイルがスキャンされます。

ウイルス対策ファイル（リストから）の場合、感染の代わりに、エントリポイントコードをバイト「」で書き換えようとします（int 3およびretの手順を繰り返します）。 この操作が失敗すると、Salityはファイルを削除しようとします。 また、感染モジュールはディレクトリをスキャンし、拡張子がvdbまたはavc（ウイルス対策会社のシマンテックおよびカスペルスキーの署名）のファイルを削除します。

感染モジュールの興味深い機能：ピアリストが空の場合、感染手順は無効になります。 これは独特の配布戦略を反映しています。P2Pネットワークへの接続がなく、追加の悪意のあるモジュールをダウンロードできない場合、ファイルに感染する必要はありません。

感染には、EPO（entry-point obscuring）技術が使用されます。

• エントリポイントは変更されません。
• ウイルスコードに切り替えるためのjmpコマンドは入力アドレスに記録され、コードは最後のセクションの最後にあります。これはこのために特に拡張されています。 セクションフラグに加えて、書き込みと実行の許可が追加されました。
• 復号化の後、jmpコマンドで削除されたファイルの内容が復元され、メインウイルスコードが別のストリームで起動され、制御が元のエントリポイントに転送されます。

Salityは、オプションごとに異なる特定のミューテックスのシステム内での存在をチェックします。 ディスクのルートディレクトリから起動すると、エクスプローラーウィンドウが開きます。



ダウンロードモジュール



ダウンロードモジュールは、ピアツーピアモジュールによって受信されたURLから追加の悪意のあるモジュールをダウンロードして起動する役割を果たします。 ダウンロードされたファイルはRC4暗号でエンコードされ、そのキーはコードに登録されています。 Salityとその悪意のあるモジュールが同じ作成者によって作成された可能性が最も高いです。 ただし、悪意のあるモジュールは従来の方法で動作し、世界中にある管理サーバーに接続します。

Salityによって配布された悪意のあるモジュールのリスト：

スパムジェネレーターとスパムリレー;スパムコンテンツは通常、カジノ広告または医薬品に関連付けられています。

HTTPプロキシは、ネットワークアクティビティをマスクし、匿名性を実現するために使用されます。

情報コレクター 、パスワード、アカウント、およびWebフォーム（Internet Explorerでの実装）からのデータを含む個人データを収集します。

ウェブサイト感染。 この悪意のあるモジュールは、FTPアカウントをインターセプトし、FTPデータに接続してHTMLファイルに感染します。 感染は、サードパーティのリソースを指すIFRAMEを埋め込むか、サーバー側で実行されるスクリプトを使用して発生します。 このような感染の目的は、ドライブバイダウンロードやユーザーコンピューターの感染からスパムメールにまで及びます。

分散ハッキングシステム 、2011年2月に、C＆Cサーバーコマンドに応じていくつかのモードで動作するモジュールが配布されました。

• SIPおよびHTTPサーバーの検出：C＆Cは、スキャンするIPアドレスのリストをモジュールに送信します。 スキャン結果はC＆Cサーバーに報告されます。
• ターゲットサーバー上のアカウントの登録（機能は完全には実装されていません）;
• アカウントのハッキング：C＆Cはモジュールにアカウントのリストと列挙用のパスワードのリストを送信します。 検出された有効なログインパスワードのペアは、C＆Cサーバーに送り返されます。
• 前の手順で見つかった、または他のソースから取得したAsterisk FreePBX、サーバーリスト、パスワードリストのハッキングは、Asterisk FreePBXサーバーのパスワードの検出と選択に使用されます。 この種の攻撃の目的は通常、金銭的です。 有料番号を登録し、検出された各SIPアカウントからその番号に電話をかけることができます。 FreePBXをハッキングすると、さらに深刻な結果を招く可能性があります。攻撃者がユーザーの認証と課金、および通話ルーティングを制御できるためです。

実験モジュール 、今日では2つの実験モジュールのみが知られており、明らかにこの技術をテストするために発売されました。 最初のモジュールは、Facebookアプリケーションを自動的に登録するためのスクリプトです。 このモジュールは、標準のCOMインターフェイスを介してInternet Explorerに実装される情報コレクターであり、Webフォームから登録データを収集し、C＆Cサーバーに送信して、暗号化された形式でローカルに保存します。 実験モジュールは、次の一連のアクションでスクリプトを実行します：Internet Explorerを可視（！）ウィンドウモードで開き、facebook.comにアクセスし、インターセプトされた登録データを使用してログインし、VIOTスロットアプリケーションページに移動し（＃11908467418）、アプリケーションにアクセスします、閉じるウィンドウ。 アプリケーションは、「基本情報」のレベルでアクセスを使用します-名前、性別、写真、友達リスト。 現時点では、このモジュールは悪意のあるアクションを生成しません（これが実験的と呼ばれる理由です）が、この種のアクティビティの可能性が非常に高いため、攻撃者はハッキングされたFacebookアカウントを使用してスパム（投稿）を配布したり、仮想ローンを取得したりできます。

Salityによって配布された別のスクリプトは、次のアクションを実行しました。InternetExplorerを非表示モードで起動し、google.comにアクセスします。 文字列「auto Insurance bids」の検索を実行します。 ウィンドウを閉じます。 このスクリプトは実験的な目的を果たし、Googleトレンドの特定のトピックを宣伝できます。



ピアツーピアモジュール



ピアツーピアモジュールは、悪意のあるモジュールへのURLリンクの配布を担当します。 P2Pネットワークには固定C＆Cサーバーがありません。 Salityの場合、ボットネットのネットワークをブロックしようとすると、すべてのスーパーピアをブロックする必要があります。これは理論的には可能ですが、実装が困難です。 ネットワークへの最初の接続は、感染したファイルに含まれるピアのブートストラップリストを介して行われ、多数の既存のピアのパブリックIPとポートが含まれます。 ウイルスのすべてのバリエーションで、リストのサイズは1000エントリに制限されています。

Salityが最初に起動された時点で、初期リストのローカルコピーがWindowsレジストリ（疑似ランダム名の下のHKEY_CURRENT_USERブランチ）に作成され、このローカルリストが新しいアクティブピアの追加と非アクティブピアの削除によって更新されます。

少なくとも4つのプロトコルバージョンがあります。

• プロトコルバージョンV1の実装のインスタンスは検出されませんでした。
• V2は2008年初頭に初めて発見されましたが、現在は使用されていません。
• V3プロトコルのバージョンとそれに基づくネットワークは、最も一般的で分岐しているものです。 このプロトコルの最初の言及は、2009年以降です。
• V4プロトコルに基づくネットワークは、V3ネットワークよりも著しく小さくなります。 2010年末に初めて発見されました。

プロトコルバージョンV2とV3の違いはごくわずかです。 各感染ファイルにはURLリンクのリストを確認するために使用される公開キーが含まれているため、プロトコルの新しいバージョンごとに新しいキーを使用する必要があります。 バージョンV2からV3への移行は、URLのリストに署名するために使用される秘密キーが侵害されたという事実によって決定されたと想定できます。



3番目のバージョンのプロトコルには、操作アルゴリズムに潜在的な脆弱性があり、ボットネット（アンチウイルス企業またはその他の侵入者）を制御することができました-URLのリストをダウンロードして確認した後、アドレス自体またはそこからダウンロードしたファイルに対して他のチェックは実行されません。 つまり、DNSレコードを変更したり、モジュールファイルを独自のものに置き換えたりして、制御を傍受する可能性があります。 ボットネットを破壊するためのこの可能性に関する情報は、法を遵守する市民（法を遵守する市民）の偽名の下で未知の人物によって公開されました。3番目のバージョンの指摘された弱点を排除するために、著者はダウンロードされたすべてのファイルを含む4番目のバージョンを開発したようですデジタル署名が含まれている必要があり、2048ビット長のRSA公開鍵の使用を開始する前に検証されます。



私たちの日々



現在、Salityは引き続き世界で最も一般的なマルウェアの1つです。 カリフォルニア大学サンディエゴ校とナポリ大学（イタリア）の2012年10月の研究者グループは、Sality活動の分析を含むレポート （pdf、eng）を発行しました。 情報は、パッシブトラフィック監視システムUCSD Network Telescopeを使用して収集されました。 研究者によると、2011年2月の12日間で、SIP接続を開始するために300万個のIPアドレスからパケットが送信されました。 レポートの作成者によると、ボットネットの所有者は、無料の電話、匿名通話、詐欺などに使用するために、SIPサーバーを総当たり攻撃して偽のアカウントを作成しようとしました。

興味深いことに、可能な限りスキャンをマスクするために多くの手法が使用されました。 たとえば、100万個のIPアドレスから、接続を初期化するために1つのパケットのみが送信された場合、これらのアドレスは使用されませんでした。 スキャンされたIPアドレスの範囲は、ヒルベルトフラクタル曲線に沿って変化し、スキャンの事実を検出することを困難にしました。 研究者は、IPv4の全範囲、つまりインターネット全体がスキャンされたと考えていますが、リクエストは異なるIPから送信されたため、脅威検出システムはこのトラフィックを検出できませんでした。 これらの事実は、Salityボットネットの範囲を理解し、作成者の知的能力を評価するのに役立ちます。



このテキストは、Symantec のレポート「Sality：Story of a Peer-to-Peer Viral Network」 、 ver。1 、2011年7月（pdf、eng）の不完全なロシア語訳です。