Minulý měsíc se na webu We Live Security psalo o kampani malware, využívající upravenou variantu Darkleech k přesměrování uživatelů na Blackhole exploit kit, který zneuživá zranitelnosti prohlížečů, Javy, Adobe Readeru atp. K útokům bylo použito 40 000 různých domén a IP adres. Základem vlny útoků byl již zmíněný Darkleech - zlomyslný modul pro Apache, který se prodával na blackhat fórech. Po úspěšném napadení se do počítače oběti stáhnuly další komponenty - Pony Loader, Sirefef či Nymaim. Více o útocích najdete třeba na webu Ars Technica či na blogu Cisco.
My se nyní zaměříme pouze na poslední jmenovaný payload - Nymaim. Jeho hlavním úkolem je zamknout uživatelův počítač a vyžadovat výkupné, vedlejším úkolem pak třeba stažení dalších komponent. Spolupracuje s Pony Loader, jehož prací je závest Nymaim a vytvořit self-signed certifikát, díky kterému se snaží vypadat méně podezřele. Díky analýze vzorků Pony Loaderu dokázali analytici z ESETu určit statickou URL, hostovanou na doméně „catch-cdn.com“, ze které se spustila instalace samotného Nymaimu. Vždy se stahoval soubor se stejným názvem - „6.exe“. Soubor obsahoval 3 různé rodiny malware, které se měnily v čase: Win32/Sirefef (ZeroAccess), Win32/Urausy (Win32/LockScreen) a první část Win32/Nymaim.
Malware Win32/Nymaim má 2 fáze své aktivity. V první je pouhým downloaderem a na infikovaném počítači není po vykonání úkolů dále aktivní. Když je stažena i druhá část, první se náhodně přejmenuje. I přesto, že jsou 2 části Nymaimu oddělené, využívají některých společných technik na úrovni jazyka symbolických adres, které mají stížit jejich odhalení ať už člověkem či antivirovým SW.
Jednou z nich je tzv. obfuskace toku řízení (Control Flow Obfuscation), což je vlastně vytržení některé části kódu a její následné slinkování s původním kódem pomocí instrukce JMP.
Další použitou metodou je obfuskace volání Win32 API. Ta využívá toho, že když je volána určitá funkce, adresa DLL (které obsahuje danou funkci) je získávána ze šifrované části paměti. Porovnávány jsou tedy hashe.
Poslední vlastností, kterou zmíním, je šifrování řetězců. Všechny stringy, které Nymaim v binární podobě uchovává, jsou šifrovány. Podrobnější vysvětlení i s konkrétními přehlednými příklady jednotlivých metod najdete ve zdroji aktuality.
Ve druhé části malware jsou zmíněné obfuskační metody doplněny ještě některými dalšími.
Perzistence malware je podpořena přidáním záznamů do klíče registru „Software\Microsoft\Windows NT\CurrentVersion\Winlogon\shell“. Analytici dále zjistili, že v některých případech si Nymaim stáhne ještě dalšího schopného pomocníka, Win32/Sirefef, a na systému pak parazitují společně.
Po zamknutí počítače je zobrazena stažená HTML stránka s pokynem k zaplacení. Na oběť jistě zapůsobí, že je upravená na míru. Malware totiž nashromáždí různá data od právě stahovaných torrentů až k výpisu médií uložených na pevném disku (konkrétně hledá procesy klientů Bittorent, Bitcomet, Mediaget, Utorrent, Azerus a soubory typů .doc, .xls, .psd, .bmp, .jpg, .mpg, .mov, .rtf, .fla a .mp3). Shromážděné informace jsou uloženy v souboru „compdata.js“ a zohledněny v „zamykací obrazovce“. Ve windows XP je pak HTML uloženo v adresáři „Documents and Settings\[user_name]\Local Settings\Temp“. Zobrazená výstraha běží minimálně ve 2 vláknech a samozřejmě zakrývá celou obrazovku. Jedno vlákno se (jak bývá zvykem) hlídá proces „taskmgr.exe“, který v případě spuštění okamžitě ukončí. Druhý hlídá, že zobrazená „plocha“ je opravdu ransomware, případně se stará o její přepnutí.
Když se tedy Nymaim kompletně zabydlí v systému, začne komunikovat pod svým „bot ID“ se serverem, který může rozdávat další instrukce. Jak inženýři zjistili, když malware počítač jednou zamkne, není schopen to již provést znovu (server již neposílá zmíněné HTML). ID konkrétního stroje je generováno pomocí klíče registru „HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\MachineGuid“.
Jak jste viděli, i „obyčejný ransomware“ může být velmi sofistikovaný kousek software. S těmito zbraněmi probíhá vlna útoků od letošního března. A můžeme si být jisti, že o Win32/Nymaim ještě uslyšíme. V uváděném zdroji naleznete mnoho ukázek kódů i to, jak vypadá systém z pohledu oběti. Informace o obfuskaci kódu lze nalézt i v češtině.