Следующая новость
Предыдущая новость

Модульный бэкдор Plurox использует EternalBlue для распространения майнеров и другой малвари

20.06.2019 11:52
Модульный бэкдор Plurox использует EternalBlue для распространения майнеров и другой малвари

Рекомендуем почитать:

Xakep #242. Фаззинг

  • Содержание выпуска
  • Подписка на «Хакер»

Аналитики Kaspersky опубликовали отчет о малвари Plurox, сочетающей в себе функциональность бэкдора, майнера и червя. Вредонос способен распространяться по локальной сети с помощью эксплоита EternalBlue, похищенного у АНБ, предоставлять злоумышленнику доступ к атакованной сети, устанавливать на машины жертв майнеры и другое вредоносное ПО. Более того, Plurox оказался модульным решением, а значит, его функциональность можно при необходимости расширить с помощью плагинов.

Plurox написан на С, для сборки используется Mingw GCC, и судя по наличию отладочных строк, малварь еще находился на этапе тестирования.

Модульный бэкдор Plurox использует EternalBlue для распространения майнеров и другой малвари

Для общения с командным сервером бэкдор применяет TCP-протокол; загрузка плагинов и непосредственно коммуникация происходит по двум разным портам, которые зашиты в теле Plurox; адреса управляющих серверов также прописаны в коде вредоноса. Наблюдая за деятельностью зловреда, исследователи обнаружили две «подсети»: в одной из них командный центр отдает Plurox только майнеры (модули auto_proc, auto_cuda, auto_gpu_nvidia), а в другой кроме них (auto_opencl_amd, auto_miner) еще и несколько плагинов.

Всего обнаруженная аналитиками версия Plurox поддерживает семь команд:

  • загрузка и запуск файлов с помощью функции WinAPI CreateProcess;
  • обновление бота;
  • удаление и остановка (удаление собственного сервиса, удаление из автозагрузки, удаление файлов, удаление артефактов из реестра);
  • загрузка и запуск плагина;
  • остановка плагина;
  • обновление плагина (остановка процесса и удаление файла старой версии, загрузка и запуск новой);
  • остановка и удаление плагина.

Изучая Plurox, экспертам удалось обнаружить несколько плагинов, которые были тщательно изучены. Так, малварь может установить на компьютер жертвы один из криптовалютных майнеров, наиболее подходящий под конкретную конфигурацию системы. Бот отправляет пакет с конфигурацией системы на командный сервер, а в ответ получает информацию о том, какой плагин необходимо загрузить. Всего аналитики насчитали восемь майнинговых модулей, об особенностях которых нетрудно догадаться по их именам:

  • auto_proc
  • auto_cuda
  • auto_miner
  • auto_opencl_amd
  • auto_gpu_intel
  • auto_gpu_nvidia
  • auto_gpu_cuda
  • auto_gpu_amd

UPnP-плагин получает от управляющего сервера подсеть с маской /24, перебирает все IP-адреса из нее и с помощью протокола UPnP, и пытается пробросить порты 135 (MS-RPC) и 445 (SMB) для подбираемого IP-адреса на роутере. В случае успеха Plurox сообщает результат командному центру, ждет 300 секунд (5 минут), а затем удаляет проброшенные порты.

Исследователи считают, что данный плагин предназначен для атак на локальную сеть: в течение пяти минут атакующий сможет перебрать все имеющиеся эксплоиты для сервисов, работающих на данных портах. Если администратор заметит атаку на хост, то увидит, что она идет напрямую от роутера, а не с локальной машины. В случае успеха злоумышленники закрепятся в сети. Данный плагин очень похож на инструмент EternalSilence, однако в отличие от него он пробрасывает порт 135, а не 139.

Модульный бэкдор Plurox использует EternalBlue для распространения майнеров и другой малвари

SMB-плагин отвечает за распространение вредоноса по сети с помощью эксплоита EternalBlue, похищенного у АНБ в 2016 году. С помощью этого эксплоита распространялись такие нашумевшие вредоносы, как WannaCry и NotPetya. Исследователи пишут, что данный модуль идентичен модулю wormDll32 от Trojan.Win32.Trickster (он же TrickBot, TheTrick и TrickLoader), но в его коде отсутствуют отладочные строки, а полезная нагрузка загружается с помощью сокетов.

Так как у изученных сэмплов похож оказался не только инжектируемый код, но и код обычных процедур, эксперты полагают, что изученные образцы были собраны из одних исходников (строчек с комментариями, которые есть в плагине Trickster, нет в плагине Plurox), а значит, авторы Plurox могут быть связаны с авторами вышеупомянутого Trickster.

Напомюн, что в феврале текущего года арсенал Trickster в очередной раз пополнился новой функциональностью. Новая версия трояна распространяется через вредоносные вложения в спамерских письмах и комплектуется тремя новыми инструментами для кражи паролей: атакует Virtual Network Computing (VNC), PuTTY, а также Remote Desktop Protocol (RDP).

Источник

Последние новости