Tìm hiểu về mẫu Rootkit.Win32.Stuxnet.a

Tất cả đều được che giấu khá kỹ càng, và tất nhiên người dùng bình thường không thể phát hiện được sự tồn tại của chúng. Mặt khác, chúng cũng được trang bị các phương thức payload tinh vi để tránh bị phát hiện bởi những chương trình bảo mật phổ biến hiện nay và kéo dài thời gian hoạt động khi tiếp tục lây lan sang các máy khác. Những hoạt động đầu tiên của Rootkit.Win32.Stuxnet.a được phát hiện vào ngày 12/07/2010 lúc 07:57 GMT, phân tích vào cùng ngày 12/07/2010, và thông tin chính thức được công bố...
Nội dung trích xuất từ tài liệu:
Tìm hiểu về mẫu Rootkit.Win32.Stuxnet.a Tìm hiểu về mẫu Rootkit.Win32.Stuxnet.a Tất cả đều được che giấu khá kỹ càng, và tất nhiên người dùng bình thường không thể phát hiện được sự tồn tại của chúng. Mặt khác, chúng cũng được trang bị các phương thức payload tinh vi để tránh bị phát hiện bởi những chương trình bảo mật phổ biến hiện nay và kéo dài thời gian hoạt động khi tiếp tục lây lan sang các máy khác. Những hoạt động đầu tiên của Rootkit.Win32.Stuxnet.a được phát hiện vào ngày 12/07/2010 lúc 07:57 GMT, phân tích vào cùng ngày 12/07/2010, và thông tin chính thức được công bố ngày 20/09/2010. Thực chất, đây là driver NT kernel mode với dung lượng khoảng 26616 byte. Khi thực thi trên máy tính của nạn nhân, chúng tự động copy file sau: %System%\drivers\mrxcls.sys Để kích hoạt tính năng khởi động cùng hệ thống, chúng tiếp tục ra những khóa registry sau: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxCls] Description=MRXCLS DisplayName=MRXCLS ErrorControl=dword:00000000 Group=Network ImagePath=\\??\\%System%\Drivers\\mrxcls.sys Start=dword:00000001 Type=dword:00000001 Và file %System%\drivers\mrxnet.sys với dung lượng 17400 byte (hay còn gọi là Rootkit.Win32.Stuxnet.b). Đồng thời, chúng tiếp tục tạo những khóa sau trong các dịch vụ của registry: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxNet] Description=MRXCLS DisplayName=MRXNET ErrorControl=dword:00000000 Group=Network ImagePath=\\??\\%System%\Drivers\\mrxnet.sys Start=dword:00000001 Type=dword:00000001 và những file dưới đây để lưu trữ các dòng lệnh thực thi và mã hóa dữ liệu chính của rootkit: %windir%\inf\mdmcpq3.pnf - 4633 byte %windir%\inf\mdmeric3.pnf - 90 byte %windir%\inf\oem6c.pnf - 323848 byte %windir%\inf\oem7a.pnf – 498176 byte Loại rootkit này chủ yếu xâm nhập và lây lan qua USB bằng lỗ hổng Zero Day CVE-2010-2568. Khi khởi động, chúng sẽ tự kích hoạt các tiến trình bên trong services.exe để phát hiện và điều khiển các giao thức kết nối USB trên hệ thống. Nếu phát hiện có thiết bị USB nào kết nối, chúng sẽ tự tạo ra những file sau trên chiếc USB đó: ~wtr4132.tmp với dung lượng 513536 byte (được giám định là dòng Trojan- Dropper.Win32.Stuxnet.a) ~wtr4141.tmp - 25720 byte (đã được xác định là loại Trojan- Dropper.Win32.Stuxnet.b) Những file DLL trên sẽ tự động download về máy tính khi lỗ hổng được khai thác và tự động cài đặt rootkit trên hệ thống. Mặt khác, các shortcut dẫn tới lổ hổng trên được tạo ra trên tất cả các phân vùng: Copy of Shortcut to.lnk Copy of Copy of Shortcut to.lnk Copy of Copy of Copy of Shortcut to.lnk Copy of Copy of Copy of Copy of Shortcut to.lnk Tất cả những file trên đều có dung lượng 4171 byte và được nhận định là loại Trojan.WinLnk.Agent.i. Những lỗ hổng bảo mật trên hệ điều hành sẽ tiếp tục bị khai thác nếu người dùng truy cập và xem nội dung bên trong thiết bị USB đó. Và quá trình này lại tiếp tục 1 vòng tuần hoàn lây lan khác của rootkit. Phương thức Payload: Mục đích chính của loại rootkit này là chén mã độc vào các tiến trình, ứng dụng mà người sử dụng kích hoạt. Sau đó, chúng sẽ tiếp tục download các file DLL và “nhúng” vào các dịch vụ sau: svchost.exe services.exe lsass.exe Khi hoàn tất quá trình này, những file DLL trên sẽ được liệt kê trong danh sách module với tên gọi: kernel32.dll.aslr. shell32.dll.aslr. Trong đó, tham số rnd là những số hệ thập phân. Đoạn mã đang được chèn lưu trữ trong file%WinDir%\inf\oem7A.PNF. Tất nhiên là nó đã được mã hóa. Những đoạn mã để chèn vào hệ thống với các chức năng chính như sau: - Có cơ chế tự lây lan qua các thiết bị lưu trữ giao thức USB - Kiểm soát hệ thống Siemens Step7. Với mục đích lây lan và nhanh chóng chiếm quyền điều khiển hệ thống, chúng sẽ lập tức thay thế tiến trình s7tgtopx.exe thay vì thư viện s7otbxsx.dll như thường lệ, để mô phỏng các công đoạn khác nhau trong hệ thống theo những hàm API sau: s7_event s7ag_bub_cycl_read_create s7ag_bub_read_var s7ag_bub_write_var s7ag_link_in s7ag_read_szl s7ag_test s7blk_delete s7blk_findfirst s7blk_findnext s7blk_read s7blk_write s7db_close s7db_open s7ag_bub_read_var_seg s7ag_bub_write_var_seg Qua đó dễ dàng thu thập các thông tin cần thiết trên hệ thống. - Thực hiện các câu lệnh truy vấn SQL, rootkit này sẽ nhận danh sách các máy tính trong mạng nội bộ và kiểm tra sự tồn tại của ứng dụng Microsoft SQL server trên đó, để đáp ứng cho hệ thống ảo hóa và các hoạt động của Siemens WinCC. Nếu chúng tìm thấy được bất kỳ server nào đó, các malware đi kèm sẽ cố gắng kết nối và đăng nhập vào cơ sở dữ liệu sử dụng tên tài khoản và mật khẩu WinCCConnect/2WSXcder