Crypto Locker. Часть 2

Начало здесь: Crypto Locker
Crypto Locker: Short English version

Первые результаты

  1. Было проверено около 10 DNS-запросов от первой версии зловреда и столько же от второй.
  2. Прорезолвились 1 из первой версии (pkwuxfegwrvnsu.co.uk) и 2 из второй (xmgqrqxjiqjmswf.co.uk и wymahjeuncgkid.co.uk); все показывают на сервер 212.71.250.4
  3. Проверка местоположения по Geoip v.2 от Maxmind для IP-адреса 212.71.250.4 показывает на компаию Linode и говорит, что сервер физически находится в Великобритании.
  • Поиск ДНС-серверов обеих зон показал, что резолвят эти забавные имена днс-сервера с адресами ns0.sinkdns.org, ns1.sinkdns.org, ns2.sinkdns.org, ns3.sinkdns.org, ns4.sinkdns.org
  • А дальше получилось еще интереснее. Все упомянутые ДНС-серверанаходятся в домене linode.com (то есть хостятся у них), хотя принадлежат разным компаниям и расположены в United Kingdom, Europe, Absecon, New Jersey, United States, North America и Nihon'odori, Kanagawa-ken, Japan, Asia
  • Сайт linode.com говорит, что это Xen-овский VPS хостинг, и Linode LLC предлагает облачный хостинг на линуксовых серверах.
  • Мне показалось символичным, что все 5 ДНС-серверов, на которых размещены засвеченные зоны, находятся в одном домене sinkdns.org.
  • Разумеется, я не знаю, почему так. Но я поинтересовался, что такое sinkdns.org.
  • Whois сказал, что их регистратор GoDaddy.com, LLC, и он зарегистрировал этот домен для компании “Domains By Proxy, LLC”, находящейся по адресу… Registrant Street1:DomainsByProxy.com бла-бла-бла, Аризона, US. Забавно, не так ли?
  • Whois про sinkdns.org сказал:
Status:CLIENT DELETE PROHIBITED
Status:CLIENT RENEW PROHIBITED
Status:CLIENT TRANSFER PROHIBITED
Status:CLIENT UPDATE PROHIBITED

Почему? Неужто закрепляют доказательства для суда?
Хотя… те же самые запреты для DomainsByProxy.com, зарегистрированных в той же Аризоне через GoDaddy.com.
DomainsByProxy.com - простой анонимайзер, сервис компании GoDaddy.com.
Что еще бросилось в глаза - все три прорезолвившиеся домена находятся в пространстве co.uk
Однако, при заходе по http на страничку sinkdns.org, мы видим забавных пляшущих кукол.
На сегодня, если полностью закрыть вход на IP-адреса 212.71.250.4 и 184.164.136.134 и вход на 53 порт на все сервера, принадлежащие Linode (как минимум - 96.126.112.224, 178.79.159.82, 106.186.21.174, 50.116.57.116, 23.92.24.20), CryptoLocker, похоже, так и не стартанет.

  • Что планируется: переконфигурировать тестовый комп так, чтобы он мог зайти только на ДНС-сервер и больше никуда, и поснимать трафик дальше.

Промежуточный итог

  • Мы установили, что зловред пытается прорезолвить кучу имен, некоторые из которых резолвятся в адрес 212.71.250.4
  • Куда еще могут резолвиться попытки подключения с тестовой машины, мы можем узнать, испытав результаты просмотра файла захвата трафика. Фильтр для Wireshark-a ставим такой: dns.qry.name && dns.qry.name != “teredo.ipv6.microsoft.com” Файл захвата здесь:infected_v2.pcapng.zip
  • Пока что мы знаем, что все три прорезолвившиеся домена находятся в пространстве co.uk
  • Что забавно: whois не знает тех доменов, что прорезолвились.

Предположение

  • Вполне возможно, что те домены, которые пытается прорезолвить зловред, никогда не были зарегистрированы.
  • А это, в свою очередь, означает, что работоспособность зловреда возможна только в то время, когда корневой сервер пространства имен зон biz, met, info, com, co.uk или ru выдает неверные результаты.
  • То есть, (если истинно допущение о том, что домены не регистрировались), для обеспечения функционирования зловреда предпринимается атака (возмжно, отравление кэша) на DNS-сервера вышеупомянутых пространств имен. Эти сервера выдают неправильную информацию о делегировании домена с ДНС-серверами [ns0-ns4].sinkdns.org
  • На сегодня однозначно неверную информацию выдает корневой сервер пространства co.uk. Может быть, написать им письмо?
  • Мы не знаем, как зловред будет подключаться к своему серверу (и я пока не полностью уверен, что именно на IP-адресе 212.71.250.4 находится машина, дающая ключ для шифрования).
  • Однако, мы можем попробовать, дав зловреду доступ к ДНС-серверу, но не дальше; поснимав трафик с больной машины, мы поймем, что оно еще захочет.
  • Вдруг я подумал: если предположение об отравлении кэша ДНС-сервера пространства имен co.uk верно, то я, поставив в Wireshark-е фильтр dns.qry.name contains “co.uk”, получу список серверов, которые обязательно будут резолвиться в 212.71.250.4.
  • Предположение подтвердилось.

Я вычислил первый сервер, напрямую ведущий к получению сертификатов шифрования CryptoLocker-a!

Это 212.71.250.4

  • Кстати, возможно, что название зоны, к которой подключается Crypto Locker, и есть тот параметр, по которому рандомизируется ключ шифрования.

Продолжение тестирования зловреда

  1. Для продолжения эксперимента надо переконфигурировать сетевой доступ с больной машины.
  2. Доступ к ДНС серверу сконфигурирован, сетевой адрес тестовой системы изменен на 192.168.1.11
  3. Запущен Wireshark. Выполнен вход под именем пользователя CryptLocker.
  4. Предположения подтвердились. Зловред CryptoLocker стал пытаться достучаться по 80 порту на адрес 212.71.250.4
  5. Прямого доступа в интернет нет. Сделал доступ через прокси. Вход на IP-address 212.71.250.4 не запрещен. В конфигурации сети для IE у пользователя с правами администратора прописал прокси.
  6. Зпускаю Wireshark. Выполнен вход под именем пользователя CryptLocker.
  7. CryptoLocker стартанул. Через 5 минут меня пробил холодный пот. Оно нашло сетевую шару (на которую для SMB был разрешен вход без пароля с правами чтения/записи), и стало там что-то делать.
  8. Остановил CryptoLocker путем выхода из системы пользователя CryptLocker. Записал файл захвата Wireshark-а. Разбираю.
  9. К счастью, ничего страшного не произошло. Так сказать, предупреждение. Пока зловред не вошел на сервер 212.71.250.4, действия со стороны зловреда не начинаются.
  10. Обнаружил интересную особенность вируса, касающуюся России. Намек, так сказать, на происхождение авторов зловреда.
  11. Как только в сетевых настройках я прописал, что в сети присутствует WINS сервер (шару в локалке по SMB перевел на Read-only, заодно адрес TestLab машины прописал в блэклист шары, чтобы больная машина в принципе не могла ничего натворить на шаре), то Wireshark-у стали попадаться пакеты запросов по NBNS (NetBIOS Name Service) от том, кто есть <GARBAGETEXT>.RU
  12. Причем, такие запросы появляются сразу после того, как уходит запрос ДНС-серверу на поиск домена с аналогичным названнием в зоне .ru
  13. Разумеется, поиск НетБИОС серверов с непонятным обозначением типа CELZKHQETNBVD.RU не означает ничего, но делаем предположение, что среди авторов (или их пособников) как минимум один человек из России, хотя бы потому, что наличие NetBIOS серверов с суффиксом .RU вызовет меньше всего подозрений именно у нас.

Эта статья была написана в октябре 2013 года

security_lab/crypto_locker_2.txt · Last modified: 2015/10/17 19:35 by rybario
About this template
CC Attribution-Share Alike 4.0 International
Powered by PHP Driven by DokuWiki Recent changes RSS feed Valid CSS Valid XHTML 1.0 Valid HTML5