Rovnixブートキットの更新。 記事の翻訳

この記事は、2012年7月13日付のAlexander Matrosovによる記事の翻訳であり、 Carberpソースのリークに関する投稿の最後に見つけたリンクです 。 私にとっては面白そうだったので、翻訳することにしました。

誰もが同じくらい面白かった、猫へようこそ。



2011年4月以降、Rovnixブートキットファミリの活動を監視しました（以降、著者に代わってのスピーチ-約Per。）。 Rovnixは、VBR（ボリュームブートレコード）感染を使用してx64プラットフォーム用の未署名のカーネルドライバーをダウンロードした最初のファミリーです。 細心の注意を払った理由は、Rovnix開発者がウイルス対策検出をバイパスしたいという願望でした。 野生の最初のサンプルのペイロードは、ロシアからのユーザーのインターネット接続をブロックし、SMSを短い番号に送信してロックを解除させました（Hasta La Vista、Bootkit：Exploiting the VBR） 。



これらのインターネットブロックオプションは、2011年夏にブートキットコンポーネントの使用を停止しました。 当時、RovnixフレームワークはHodprot / Origamiボットネット（Win32Carberpの進化：より深く）を担当するCarberp開発者に販売されていました。 Carberp開発者は、2011年末までこのフレームワークを使用していました。 他のフレームワーク販売に関する情報はありません。 Rovnixブートキットに基づくコードを使用して、感染の頻度が低いことを確認する情報のみがあります。 数日前、私たちはいくつかの興味深いサンプルを受け取り、その迅速な分析により、VBR感染シナリオのRovnix.Bのような変更が明らかになりました。

ドロッパーを解凍した後、BkSetup.dll Rovnixブートキットモジュールをインストールする次の手順の準備をするための典型的なコンポーネントが見つかりました。 BkSetup.dllモジュールのコンパイル日は新鮮に見え、2012年6月24日でした（もちろん、日付を偽造することは可能ですが、これまで開発者は変更していません）。







また、バージョン情報はBkSetup.dllのリソースセグメントで見つかりました。 ここにあります：







ファイルのバージョンは2.4に変更されました。以前のCarberpはBkSetup.dllバージョン2.1を使用し、C＆Cがデバッグ情報として送信したデバッグ行に情報を保存していました。







BkSetup.dllのコア機能は、感染プロセスと隠しストレージの作成に重点を置いています。 BkSetup.dllの基本的なプロシージャコールフローは次のとおりです。









Rovnixブートキットの新しいバージョンの新しいサンプルは、営業活動の再開の間接的な証拠であり、近い将来、Rovnixと他のマルウェアとの関係の詳細を開示できるようになります。 そして、今度はRovnix.Dの変更の技術的な詳細に飛び込みます。

ポリモーフィックブートコード

Rovnix.Bの変更により、ブートコードはポリモーフィズムを使用して、静的シグネチャのウイルス対策検出をバイパスしました。 最初に、ブートキットを使用してCarberpサンプルでポリモーフィックコードが見つかりました。 次の図は、ポリモーフィックコードの基本を示しています。







コードのメインブロックの順列に基づく単純なポリモーフィズムトリックは、解読されたVBRコードに対するマルウェア制御を常にもたらします。 コードの主なブロックは次のとおりです。









[多態性コードRovnix.B]



ポリモーフィックコードを使用する理由は、静的シグネチャのウイルス対策検出をバイパスするためです。このコードは、エミュレーションを使用してのみ検出できます。 エミュレーション技術はサンドボックスと密接に関連しています。サンドボックスでは、動的分析のためにコードが安全な仮想環境で実行されます。 このグラフには、Rovnix.DとRovnix.Bの変更の違いが示されています。









[Rovnix.Dオプション（上）およびRovnix.Bオプション（下）]



暗号化されたVBRコードの保存場所も変更されており、ポリモーフィックコードが実行された後、制御は解読されたVBRコードに転送されます。 暗号化されたVBRコードの不均等な場所は次のとおりです。









また、ハードドライブのRAWセクターから署名されていないドライバーを復号化して読み取る機能の変更も発見しました。 これらのセクターは、一般的な隠しストレージでは使用されませんが、感染したマシン上の指定されたユーザープロセスにペイロードを注入する悪意のあるドライバーを格納する場所としてのみ使用されます。 次の図に違いを示します。









[Rovnix.Dオプション（上）およびRovnix.Bオプション（下）]



これらの変更はすべて、ウイルス対策の検出をバイパスすることを目的としており、Rovnixブートキットの全体的な構造の根本的な変更を反映していません。

隠しストレージの変更

隠しファイルシステムの構造は、以前のRovnixの変更からの構造と類似しており、以前のブログ投稿で既に説明されています（Rovnix Reloaded：進化の新しいステップ） ただし、ファイルシステムの初期化コードに小さな変更が見つかりました。 隠しストレージからINJECTS.SYSファイルを読み取るための奇妙な関数呼び出しが検出されました。







この好奇心function盛な関数は、1つまたは2つのパスをINJECTS.SYSファイルから標準ファイルシステム上のファイルに抽出します。 機能コードを次の図に示します。







条件は常にNULLであり、制御がこのコードに渡されることはないため、フロー制御がこのコードの実行に到達することはありません。 私の意見では、Rovnix.Dのこの変更はテストに使用されたものであり、実際には多くの発見はありません。 Rovnix.Dは、何か他の準備をしている移行バージョンのようですが、現時点では、それが何であるかを明確に理解していません。

ペイロード

ペイロードモジュールには、C＆Cサーバーから追加のモジュールをダウンロードして実行するためのオプションが含まれています。 このモジュールは、システムメモリへのフックやその他の悪意のある変更を提供しません。また、原則として、最も一般的なウイルス対策ソフトウェアによって検出されません。



C＆Cドメインはrtttt-windows.comです



ペイロードモジュールはマルチスレッドモードで動作し、悪意のあるドライバーと通信できます。 ペイロード同期を提供するために、mutexはロードを生成します：Global <Generated_string>。 メインスレッドの呼び出しスケジュールは次のとおりです。









また、ペイロードモジュールは、暗号化されたアレイを悪意のあるドライバーに送信して、隠されたストレージへの記録とプロセスの実装を行うことができます。 これ以前、Rovnixは複数の展開に機能を使用せず、1つのペイロードモジュールのみを提供していました。 Rovnix.Dはいくつかのペイロードを使用でき、ボットネットをリースするために使用できます。レンタル期間の終了時にペイロードが変更されます。

おわりに

現時点では、x64プラットフォームの複雑な脅威の観点で変化が見られます。 家族

Sirefef（ZeroAccess）は、最新の変更（ZeroAccess：コードインジェクション記録）でユーザーモードに移行されました。リンクはこちら。 Olmarik / Olmasco（TDL4およびMaxSSの修正）は、野生では多くの感染を持たず、開発を停止しました（The Evolution of TDL：Conquering x64）。 64番目のプラットフォームのルートキット/ブートキットが死ぬのはなぜですか？ 私の意見では、64ビットシステムに感染する方法の数は非常に限られており、新しいものを見つけるには、開発者側で多くの時間とかなりの経験が必要です。 ほとんどのブートキット感染ではMBRの変更が使用されていましたが、この方法はかなり古く、現在では最も一般的なウイルス対策プログラムがMBRの変更をチェックします。 Rovnixファミリーは、他の感染方法を使用して

VBRの変更。ただし、新しい変更が絶え間なく発生するため、大量のデバッグ情報を取得するにはC＆Cが必要です。 複数のプラットフォームでの開発とデバッグの複雑さは、Rovnixブートキットフレームワークの価格が高い理由の1つです。 たとえば、6か月間の基本的なサポートを含め、完全に機能するビルダーの費用は60,000ドルです。 この価格はブートキット専用です。アクセスを提供するために特権エスカレーションのエクスプロイトのコストを除き、システムの深い部分で変更を加えることができます。



将来的には、高度なステルス技術が主に標的型攻撃に使用されます。それらを購入して使用するコストは、一般的なサイバー犯罪者の予想利益と比較できないためです。 現在、x64ブートキットファミリは10未満であり、野生での活動も減少しています。



前述のRovnix.DドロッパーのSHA1ハッシュ：



C1C0CC056D31222D3735E6801ACBA763AC024C5B

764B4F0202097F2B41A2821D30A7424490BF3A42



同僚のPavel SmierciakとMaxim Grigoryevに感謝します。



セキュリティインテリジェンスチームリーダー、Aleksandr Matrosov