専門家によると、Slingshotの実装の複雑さは、ベルギーのオペレーターBelgacomやその他の大規模組織、 Project Sauronのネットワークを攻撃するRegin Trojanを上回っています。
以下に、ウイルスのコンポーネントと目的について説明します。
/写真ヤン・ハマーシャウグ CC
ウイルスは吸虫によって発見されました。 研究者グループがキーロガーコードを分析し、他の場所で見つかったかどうかを確認することにしました。 ウイルス署名は、別のコンピューター上の一見無害なscesrv.dllファイルに現れました。 さらなるテストにより、コンピューターがルーター構成システムに接続されると、ウイルスが活性化され、「新鮮な」マシンに自身のコピーがアンロードされ、ルートアクセスが取得されました。
このマルウェアは、スクリーンショット、ネットワークおよびUSB接続に関する情報を「収集」し、クリップボード内のパスワードとデータを傍受し、コンピューター上のアクティビティを追跡します。 これに基づいて、研究者はスリングショットの標的はおそらくスパイであると結論付けました。
Slingshotが最初の目標にどのように感染したかは正確には確立されていませんが、ウイルスの作成者がラトビアの企業MikroTikのルーターに悪意のあるコードを導入したことが知られています。 Winbox構成ツールを使用してDLLファイルをコンピューターのメモリに読み込みます。 ハッカーはipv4.dllライブラリをルーターに配置しましたが、これもメモリに転送され始めました。 アンロード後、ファイルはウイルスの他のコンポーネントをダウンロードしました。
ウイルスコンポーネント
Slingshotプログラム自体は、被害者のコンピューター上の既存のシステムダイナミックライブラリを置き換えるブートローダーです。 Slingshotは、必要なモジュールをDLLに埋め込み、元のファイルの一部を圧縮してサイズを変更しません。 次に、エントリポイントを変更して、ポインタを目的のブートローダーに「切り替え」、DLLの新しいチェックサムを計算します。 この場合、悪意のあるモジュールをダウンロードした後、ブートローダーはメモリ内の元のシステムDLLファイルコードを復元します。
Slingshotは多くの補助コンポーネントをロードしますが、メインと最大の2つのモジュールはCahnadr(カーネルモードで動作)とGollumApp(ユーザーモードで動作)です。 それらは接続されており、情報の検索と収集で互いに助け合っています。
Canhadrは低レベルでネットワークと対話し、ファイルシステム全体の動作を中断することなく、「死のブルースクリーン」を引き起こすことなく、悪意のあるコードを再現できます。 純粋なCで書かれており、システムで設定された制限にもかかわらず、ハードドライブとRAMにアクセスできます。 また、整合性の監視と分析システムからのウイルスの活動の隠蔽も担当しています。
たとえば、ネットワークトラフィックをマスクする特別なアルゴリズムを使用します。 すべてのウイルスコンポーネントは別のプールに配置されているため、他の「無害な」リクエストと区別することができます。 ネットワークを介して送信されるパケットに関するすべての情報は、NET_BUFFER_LISTに分類されます。 「悪意のあるプール」からのコマンドがリストに表示される場合、Cahnadrはそれを削除し、正常終了メッセージが送信されないようにします。
GollumAppモジュールについては、約1.5千の関数が含まれており、services.exeファイルに埋め込まれています。 新しいスレッドを作成し、システムサービスと直接連携します。ネットワークデータ(ルーティングテーブル、プロキシ情報、AutoConfigUrl設定)を収集し、MozillaとIEに保存されているパスワードを盗み、キーボード上のすべてのキーストロークを書き込み、システムで新しいプロセスを開始しますEFS I / Oリクエストの権利と管理。
/写真Christiaan Colen CC
配布
おそらく、このウイルスは2012年から動作していますが、Slingshotは一連の技術を使用してその活動を隠しているため、長い間知られていませんでした-これらはアンチウイルスソフトウェア検出システム、分析と暗号化を複雑にする特殊なソリューションです。
さらに、ウイルスは非常にまれであることが判明したため、検出も困難になりました。研究者は約100台の感染したコンピューターを記録しました。そのほとんどはアフリカと中東にあります。ただし、政府機関もユーザーのリストに載っています。
Kaspersky Labは、以前に知られているAPTとの接続を見つけることができなかったと述べています。 ただし、Slingshotで使用されるいくつかの手法と悪用(ドライバーの脆弱性など)は、Turla、Grayfish、White Lambertなどのマルウェアで発見されています。 専門家によると、今ではウイルスシグネチャが決定されており、MikroTikはSlingshotをブロックするソフトウェアアップデートをすでにリリースしています。
最初の企業IaaSブログのPS関連コンテンツ: