Руткит TDSS, появившийся еще в 2008 году, со временем стал намного популярнее нашумевшего руткита Rustock, а по своему функционалу и сложности для анализа практически приблизился к буткиту. В бутките использовался механизм заражения загрузочной области диска, приводивший к загрузке вредоносного кода раньше операционной системы. TDSS взял на вооружение функцию заражения драйверов, которые обеспечивают его загрузку и работу на самых ранних этапах работы ОС. Как следствие, идентификация руткита TDSS в системе является нелегкой задачей, а его лечение - серьезной проблемой.

Начало. TDL-1

Первая версия TDSS была задетектирована «Лабораторией Касперского» 6 апреля 2008 года с вердиктом Rootkit.Win32.Clbd.а. Название вредоносной программы перекликалось с именем драйвера clbdriver. sys и именем динамической библиотеки clbdll.dll, в которых и находился основной зловредный функционал.

Основные функции данного руткита:

•    защита критичных веток реестра путем их сокрытия;

•    защита критичных файлов на диске путем их сокрытия;

•    внедрение вредоносного кода в системные процессы из драйвера режима ядра;

•    сокрытие сетевых портов TCP;

•    выполнение некоторых функций (завершение процессов, завершение потоков, сокрытие загруженных DLL-модулей и др.).

Файлы скрываются путем присоединения вредоносного фильтра в системный стек драйверов. Причем производится данное действие в цикле для каждого тома в системе. Данный метод позволяет убить сразу двух зайцев. Руткит не только скрывает на диске файлы, имена которых начинаются с букв «tdl», но и при попытке открыть том \Device\HarddisfcVolumeX возвращается ошибка, что приводит к ошибкам в различных антируткитах, которым открытие данного тома необходимо для низкоуровнего разбора структур файловой системы.

Номер ошибки, возвращаемый вредоносной программой - STATUS_TOO_MANY_SECRETS, - свидетельствует о довольно своеобразном чувстве юмора вирусописателей. Этот номер стал своего рода отличительным знаком авторов.

Сокрытие сетевых портов также производится путем присоединения вредоносного фильтра в стек устройства \Device\Tcp.

Сокрытие веток реестра вредоносного сервиса и конфигурационных данных основано на перехвате системной функции NtEnumerateKey. Для перехвата используется метод сплайсинга, который основан на замене некоторого количества байт начала функции на переходник, ведущий во вредоносный драйвер.

Для сокрытия своего драйвера в системе руткит использует довольно тривиальную процедуру вычленения загруженного модуля из системного списка загруженных драйверов PsLoadedModuleList.

Пожалуй, больше ничего интересного в этом рутките нет. При текущем уровне развития антивирусных технологий обнаружить его в системе в активном виде и излечить зараженную машину довольно просто. Подтверждением этому служит появление TDL-2.

Сага продолжается. TDL-2

Антируткит-технологии не стоят на месте, и в ответ на это развиваются и руткит-технологии. Новая модификация -TDSS (TDL-2) - появилась в начале 2009 года.

Стоит упомянуть о том, что было выявлено несколько модификаций руткита TDL-2 с обновленным функционалом, поэтому в разных описаниях информация может различаться.

Для затруднения анализа вредоносного драйвера авторы использовали механизмы обфускации и шифрования тела руткита. Кроме всего прочего, содержимое вредоносного файла разбавлено случайными словами из трагедии «Гамлет» Уильяма Шекспира, дабы сбить с толку вирусного аналитика.

По сравнению с первой версией руткит мало поменялся функционально, однако методы сокрытия и защиты изменились. Для достижения своих целей вредоносный драйвер перехватывает методом сплайсинга несколько функций ядра.

Указанные выше несоответствия можно было бы попытаться устранить, однако руткит использует несколько зацикленных потоков режима ядра, в которых проверяет наличие своих перехватчиков в системе, и в случае их отсутствия восстанавливает перехваты. Аналогично проверяется существование записи о вредоносном сервисе в реестре - в случае ее отсутствия вся информация восстанавливается.

Также руткит использует трюк с системной веткой реестра ServiceGroupOrder. Данная ветка реестра отвечает за порядок загрузки драйверов. Если руткитом найден какой-либо драйвер, у которого группа загрузки установлена первой в списке, перед System Reserved, то запись этого сервиса в реестре исправляется таким образом, чтобы сервис стартовал намного позже. Это еще один метод противодействия антируткит-технологиям.

Против большинства антивирусных продуктов данного функционала хватает и по сегодняшний день - он вполне позволяет руткиту оставаться в зараженной системе незамеченным. Однако авторы решили двигаться вперед: осенью 2009 года появился TDL-3 - самый мощный, интересный и сложный руткит на данный момент.

Конец ли? TDL-3

Новая версия вредоносной программы использует последние достижения вирусописательства. Кроме непосредственно разработки руткита, авторы постоянно улучшают его защитные свойства, исправляют ошибки и недочеты, добавляют новый функционал и мгновенно реагируют на появление новых детектирующих технологий антивирусных компаний.

Для закрепления руткита в операционной системе авторы избрали довольно известный путь - файловый вирус, а именно вирус, который заражает системные компоненты ОС. Для заражения используется мини-порт/порт драйвер диска. Данный метод позволяет руткиту загружаться практически сразу после старта операционной системы.

В более поздних модификациях руткит научился случайным образом выбирать и заражать системные драйверы, подходящие ему по некоторым параметрам. Однако мы подробно остановимся на ранних версиях, в которых для заражения выбран драйвер atapi.sys. Заражение происходит так, чтобы размер файла при этом не изменился. Это позволяет обмануть антируткиты, которые сравнивают размер файла, получая его на низком и высоком уровнях.

Инфектор заменяет некоторое количество байт секции ресурсов файла-жертвы небольшим загрузчиком основного тела руткита и переставляет точку входа драйвера.

Основная цель этого маленького загрузчика -подгрузить в память основное тело руткита, находящееся в последних секторах диска, и передать ему управление.

Но на этом сюрпризы не заканчиваются. TDL-3 использует свою собственную реализацию шифрованной файловой системы, в которой хранятся его конфигурационные данные и дополнительные библиотеки пользовательского режима. Поэтому как таковая файловая система FAT или NTFS ему не нужна.

Одна из основных целей любого руткита - это блокирование и/или сокрытие критичных данных вредоносной программы. Для этих целей TDL-3 использует технику подмены объекта, обслуживающего системное устройство.   Все функции, обслуживающие данное устройство, ведут в функцию-перехватчик вредоносного драйвера.

Так руткит фильтрует обращения к секторам диска, в которых расположены критически важные для него данные. В случае попытки чтения зараженного драйвера (в нашем случае atapi.sys) клиенту возвращается содержимое файла до заражения.

TDL-3 - технологически сложная и хорошо продуманная вредоносная программа. Авторы следят за новейшими разработками антивирусных компаний и мгновенно реагируют на них, выпуская новую исправленную версию руткита (на данный момент последней является версия 3.273). Поэтому в ближайшее время следует ожидать изменения руткит-функционала в сторону более эффективного противодействия антируткит-технологиям.

TDSS онлайн

В начале марта 2010 года «Лабораторией Каспер-ского» был зафиксирован необычайный всплеск активности TDSS.

Столь активное распространение TDSS послужило причиной более подробного анализа данного руткита. О результатах этого анализа и пойдет речь далее.

The Partnerka

Распространение руткита TDSS обеспечили партнерские программы, которые в настоящее время являются самым популярным методом кооперации злоумышленников в целях незаконного обогащения. Согласно Википедии, «партнерская программа - это форма делового сотрудничества между продавцом и партнерами при продаже какого-либо товара или предоставлении услуг; позволяет продавцу сократить расходы на привлечение конечного покупателя» ru.wikipedia.org. Для киберпреступников, участвующих в партнерской программе, товаром могут являться вредоносные программы, а услугами - привлечение пользователей на зараженные веб-ресурсы и заражение их компьютеров. Существует большое количество самых разнообразных партнерских программ, но в нашем случае речь идет о «партнерках», распространяющих вредоносные программы и/или фальшивые антивирусы.

Примечательно, что при участии в «партнерке» по распространению какой-либо вредоносной программы партнера не ограничивают в средствах. Чем больше компьютеров он заразит, тем больше денег получит. Поэтому для установки вредоносных программ на компьютеры пользователей большинство партнеров используют разнообразные наборы эксплойтов, червей и вирусы. Так, вызвавший в начале прошлого года эпидемию компьютерный червь Worm Win32. Kido (Conficker) содержал функцию загрузки и запуска файла партнерской программы Traffic Converter, распространяющей фальшивые антивирусы.

Большинство партнерских программ, распространяющих вредоносный код, работают по схеме Рау-Рег-Install (PPI, оплата за установку), при которой выплаты партнеру зависят от количества установок вредоносной программы и географического положения зараженных компьютеров.

Affld

Поскольку руткит TDSS распространяется через «партнерку», в его функционал встроен механизм передачи информации о партнере, который осуществил установку руткита на компьютер пользователя. Данная информация хранится в файле конфигурации руткита и указывается числом, присвоенным полю Affld.

Идентификатор Affld передается административной панели для указания, что на данную машину версия руткита была установлена конкретным партнером и что платить за установку надо именно ему. При этом географическое положение зараженного компьютера определяется административной панелью на основании IP-адреса, с которого был передан идентификатор.

Получая информацию о новых случаях установки TDSS и источниках заражения, можно выяснить, какие способы распространения руткита используют партнеры с разными идентификаторами. Например, партнер с номером 20106 заражает компьютеры пользователей с помощью фальшивых кодеков, которые якобы требуются для просмотра видео на некоем сайте.

Партнеры 10438 и 11418 предлагают пользователям установить генератор ключей для популярных программ, вместе с которым загружается руткит.

Партнер с Affld 20273 заражает компьютеры пользователей с помощью эксплойтов (Drive-by-Download), а руткиты с идентификатором 00123 были загружены на машины, входящие в два разных ботнета Zbot (ZeuS). Последнее может означать, что хозяин у данных бот-нетов один.

Connect

Адреса административной панели, с которыми соединяется TDSS при первом запуске на зараженном компьютере, также указаны в файле конфигурации. Как правило, в каждом файле три таких адреса. Всего для третьей версии руткита известно 33 адреса. Административные панели расположены в Кй1ае, Люксембурге, Гонконге, Голландии и России. Формат обращения к ним такой: GUID|Affld|status IerTypeIerCode|OS GUID - уникальный идентификатор зараженного компьютера

Affld - идентификатор партнера

Status - статус текущей задачи

erType - тип ошибки во время работы руткита

erCode - тип ошибки

OS - версия операционной системы зараженного компьютера

Работа с административной панелью осуществляется по протоколу HTTPS, при этом на серверной части используется подписанный самими злоумышленниками сертификат безопасности, выданный несуществующей компанией Internet Widgits Pty Ltd (для разработчиков этот сертификат используется как пример стандартного сертификата при работе с SSL).

Работа по протоколу HTTPS с использованием стандартного сертификата преследует две цели:

1.    Помешать антивирусным решениям детектировать и блокировать сетевой трафик по специфическому содержимому пакетов.

2.    Не дать возможности подделать управляющую панель для перехвата управления построенным ботнетом.

Помимо работы по защищенному соединению, третья версия TDSS использует также алгоритмы шифрования GET-запросов. Сначала запрос шифруется на доменном имени административной панели по алгоритму RC4, а затем кодируется в BASE64. И если GET-запросы TDSS предыдущих версий антивирусные решения могли перехватить и распознать, то GET-запросы третьей версии руткита распознать практически невозможно, так как рассмотрение каждого GET-запроса, отправляемого с компьютера пользователя, требует большой вычислительной нагрузки.

Пример шифрования HTTP GET-запроса TDSS:

BASE64(RC4(«domain.org»,»f1344ab7-e226-4385-b292-328fd91e5209|20123|0 1110|5.1 2600 SP2.0»)) = naRV/tlH20oohxzGEVXPMbdW OjvK0PMUEVzuYWyEDHKsOFud57tO4HMkrkf0abk5U C3XtwDW/7Fmcs7Vyl4niX4t3eRARHRlnGKP14CcOw ASIdVHac

c&c

Разные версии TDSS использовали разные наборы скриптов и базы данных для управления ботами и хранения информации о них. Так, при работе TDL-2 использовался движок SENEKA (некоторые антивирусы так и назвали эту версию TDSS), а в настоящее время ботнет TDSS работает под управлением DM-Engine. Зная формат пакетов и алгоритм шифрования, можно послать специальный запрос к панели управления ботнетом, чтобы получить не только исходящие команды для инфицированных компьютеров, но и информацию о построении административной панели и содержимом ее базы данных. Специально создавая ошибки в запросах к административной панели, можно узнать о размещении и именах файлов, которые обслуживают ботнет.

Пример расположения файлов на административной панели управления TDSS:

/data/www/dm_engine/library/classes/DBase.php /data/www/dm_engine/public/enginestatusn.php /data/www/dm_engine/library/models/mSystems.php /data/www/dm_engine/public/index.php

Blind SQL Infection

База данных, установленная на панели управления, ведет себя очень тихо и не позволяет получать сообщения о выполнении запросов к ней. Однако с помощью метода «слепой инъекции» можно проанализировать результаты запросов на основании временной задержки получения HTTP-ответа. Основная проблема при использовании данного метода - это правильный подбор имен таблиц и полей, хранящихся в базе данных. Поскольку злоумышленник, разрабатывавший административную панель, использовал имена полей и таблиц, коррелирующие с названиями запросов ботов, восстановить их нетрудно.

Так, поле GUID в запросе TDSS к административной панели в коде бота именовалось Systemld, а имя таблицы, в которой хранятся все идентификаторы зараженных компьютеров, логично называется Systems. Все идентификаторы партнеров Affld хранятся в таблице Affiliates. Воспользовавшись уязвимыми числовыми полями, отправляемыми TDSS на панель управления, можно сформировать следующий запрос: в случае если количество записей Systemld, в которых содержатся идентификаторы зараженных компьютеров, больше одного, то вернуть единицу, иначе выполнить вычисление хеш-функции MD5 20 миллионов раз.

Данный запрос зашифровывается, при этом в качестве ключа используется имя административной панели. После отправки запроса ответ от административной панели о его выполнении возвращается в течение секунды. Если изменить данный запрос для ста тысяч зараженных компьютеров (в случае если количество записей Systemld, в которых содержатся идентификаторы зараженных компьютеров, больше ста тысяч...и т.д.), ответ придет в течение десяти секунд.

Формируя таким образом запросы, можно установить, что панель управления на домене 873hgf7xx60. com обслуживает 243 инфицированных компьютера, а панель на домене zz87jhfda88.com - всего 119.

На начало июня TDSS распространяли около 2000 партнеров.

Нетрудно догадаться, что данный метод может послужить как для удаления всех таблиц на панели управления ботнетом, так и для накрутки выплат партнерам.

From Kernel to User mode

Технология связи руткита TDSS с внешним миром не менялась с первых версий. Так, руткит читает файл config.ini, в котором по умолчанию обычно указаны следующие данные:

[main] - основная секция, идентифицирующая руткит в системе.

•    Quote - цитаты из кинофильмов, мультфильмов и т.д., которые выводятся при подключении отладчика.

•    Version - версия установленного руткита.

•    Botid - идентификатор бота для административной панели.

•    Affld - идентификатор партнера.

•    Subld - по умолчанию ноль, служит для дополнительной идентификации бота при разделении ботнета.

•    Installdate - дата установки руткита в системе.

•    Builddate - дата сборки руткита.

[injector] - секция, указывающая на полезную нагрузку руткита.

•    Первое поле содержит имя процессов (по умолчанию «•», означает все процессы).

•    Второе поле указывает на имя динамической библиотеки, которую следует подгружать к указанным процессам.

[tdlcmd] - секция полезной нагрузки.

•    Servers - адреса административных панелей руткита, обычно три адреса.

•    Wspservers - адреса серверов для работы с поисковыми сервисами.

•    Popupservers - адреса серверов для открытия страниц.

•    Version - версия полезной нагрузки.

Формат конфигурационного файла может меняться в зависимости от версии TDSS, его полезной нагрузки, а также по указанию командного центра ботнета.

TDSS. Набор для обогащения. Деньги

Rootkit.Win32.TDSS - это универсальная вредоносная программа, которая может скрывать присутствие в системе любых других вредоносных программ и предоставлять им расширенные возможности на зараженной системе. Аналогичные технологии уже были реализованы в бутките, и тогда мы писали, что подобные вредоносные программы, благодаря простоте в использовании и широкому спектру возможностей, должны стать популярными у злоумышленников. По сути TDSS - это постоянно обновляемый и дополняемый фреймворк.

Руткит TDSS реализует по умолчанию только функционал Trojan-Clicker и используется злоумышленниками для обогащения путем манипуляций с посещаемостью сайтов. Данный функционал заложен в динамическую библиотеку, которая входит практически во все стандартные конфигурации руткита и чаще всего имеет имя tdlcmd.dll. Однако возможности руткита намного шире, и дальнейшее его использование зависит только от пожеланий авторов и задач арендаторов или покупателей ботнета, построенного на этой вредоносной программе. В 2009 году количество зараженных компьютеров, работающих под управлением TDSS, оценивалось в 3 миллиона, при этом около половины из них находились на территории США.

Интересно, что при анализе всех фактов, связанных с данной вредоносной программой, складывается устойчивое впечатление, что ее автор или авторы - русские или, по крайней мерее, русскоговорящие. Регулярно обновляя TDSS, они держат руткит в собственных руках - в продаже его никогда не было. Продаются только ботнеты под управлением TDSS - как правило, состоящие примерно из 20 ООО зараженных машин.

Дальнейшее использование ботнета TDSS зависит уже от покупателя. За время наших наблюдений на один из таких ботнетов загружались и спам-боты, и фальшивые антивирусы, и троянцы для кражи персональных данных.

Нагрузка

Авторы TDSS заранее позаботились о монетизации созданных на его основе ботнетов. Одной из полезных нагрузок, устанавливаемых TDSS по умолчанию, является динамическая библиотека tdlcmd.dll.

Файл tdlcmd.dll доставляется в большинстве случаев вместе с TDSS и подгружается руткитом во все процессы, однако для осуществления своей полезной нагрузки данная библиотека работает только в процессах браузеров и в сервисе обновления Windows, что обусловлено возможностью работы данных процессов с Сетью.

В процессе своей работы библиотека tdlcmd.dll выполняет следующие задачи:

1.    Получает и выполняет команды от центра управления ботнетом.

2.    Перехватывает пользовательские запросы к популярным поисковым системам с целью подмены выдачи.

3.    Создает запросы к популярным поисковым системам.

4.    Эмулирует работу пользователя на сайте.

Любое из этих действий способствует обогащению владельцев ботнета, построенного на рутките TDSS.

Команды от центра управления

По умолчанию tldcmd.dll умеет исполнять следующие команды от управляющей панели:

•    DownloadCrypted - загрузить зашифрованный файл;

•    DownloadAndExecute - загрузить и исполнить файл;

•    DownloadCryptedAndExecute - загрузить зашифрованный файл, расшифровать и исполнить его;

•    Download - загрузить файл;

•    ConfigWrite - внести изменения в файл конфигурации.

В случае загрузки зашифрованной команды от С&С для ее расшифровки используется алгоритм RC4. Ключом при этом служит имя домена, с которого загрузился указанный файл. После исполнения команды от панели управления в файле config.ini создается секция [Tasks], в которой ведутся записи обо всех действиях бота.

Учитывая, что все общение с административной панелью происходит по протоколу HTTPS, чтение данной секции очень сильно облегчает аналитикам работу по слежению за действиями TDSS.

TDSS, в отличие от буткита, не имеет алгоритма перебора доменов для мигрирующих командных центров, однако команда ConfigWrite для изменения поля Servers в секции [tdlcmd] приходит при первом обращении к командному центру, а затем с периодичностью примерно раз в неделю.

«Вирус подмены страниц»

В ходе работы в процессе браузера tdlcmd.dll следит за следующими сайтами, посещаемыми пользователями:

google, yahoo.com, bing.com, live, com, msn.com, ask.com, aol.com, google-analytics.com, yimg.com, upload, wikimedia.org, img.youtube.com, powerset. com, aolcdn.com, blinkx.com, atdmt. com, othersonline.com, yieldmanager.com, fimserve.com, everesttech.net, doubleclick, net, adrevolver.com, tribalfusion.com, adbureau.net, abmr.net

При каждом запросе к указанным сайтам tdlcmd. dll генерирует запрос к серверу, указанному в поле Wspservers файла конфигурации. Серверу передается информация о зараженной системе и запросе пользователя к указанному сайту. В ответ от сервера приходит ссылка на страницу, которую необходимо отобразить пользователю. Ссылка может вести пользователя на любой сайт - это может быть и фишинговый, и легитимный ресурс. Об аналогичной атаке уже писал в 2008 году российский поисковик - тогда подобный функционал встраивался во многие вредоносные программы.

Интересно, что во второй версии руткита TDSS его полезная нагрузка не работала с браузером FireFox, и злоумышленникам приходилось устанавливать дополнение к браузеру, выполняющее аналогичный функционал.

Black SEO

Всего несколько лет назад при запросе «антивирус» к поисковой системе Google на первой странице отображались ссылки только на фальшивые антивирусы. Это достигалось средствами «черной поисковой оптимизации».

В файл tdlcmd.dll встроен аналогичный функционал «продвижения» сайтов по ключевым словам. На зашифрованной руткитом части диска создается файл keywords, содержащий слова, которые необходимо адресовать поисковой системе. Затем в выдаче поисковой системы выбирается сайт, указанный злоумышленниками. При этом для полной эмуляции работы пользователя с поисковой системой используется JavaScript, встраиваемый в браузер и имитирующий нажатие на соответствующие кнопки перехода.

Clicker

Общение руткита с командным сервером происходит по протоколу HTTPS. Однако при работе с серверами, обслуживающими накрутку кликов, tdlcmd.dll использует только шифрование GET-запроса - по все тем же алгоритмам RC4 с перекодировкой результата в BASE64. Tdlcmd.dll обращается к серверу, указанному в параметре Popupservers файла конфигурации. В ответ с сервера приходит имя сайта, ссылка на сайт и адрес веб-ресурса, с которого на эту ссылку необходимо зайти. Также в файле конфигурации указывается периодичность, с которой необходимо заходить на сайт. В отличие от других вредоносных программ с подобным функционалом, TDSS создает окно действительного браузера для полной эмуляции захода пользователя на сайт. Таким образом TDSS показывает рекламные окна фальшивых антивирусов и любых других сайтов, заказанных владельцам ботнета.

Масштабы заражения

Распространение TDSS через партнерскую программу с использованием любых возможных средств доставки вредоносного кода на компьютеры пользователей привело к тому, что руткит TDSS атакует компьютеры по всему миру.

Поскольку вредоносные загрузки на компьютеры, расположенные на территории США, стоят дороже всего (см. выше), наиболее активно TDSS распространяется именно там.

Это еще не конец

Постоянная поддержка, исправление ошибок, различные методы обхода сигнатурного, эвристического и проактивного детектирования позволяют TDSS проникать на компьютеры пользователей даже при наличии установленного антивируса.

Использование методов шифрования при общении бота с командным центром существенно затрудняет анализ сетевых пакетов. Мощнейшая руткит-составляющая скрывает факт заражения и его критичные компоненты. Компьютер жертвы становится звеном ботнета, и на него устанавливаются другие вредоносные программы. Злоумышленники успешно моне-тизируют свой бизнес, продавая небольшие по размеру ботнеты и используя Black SEO.

Пока вредоносная программа приносит прибыль, она будет совершенствоваться и модифицироваться. TDSS стал настоящей головной болью для антивирусных компаний. «Лаборатория Касперского» уделяет повышенное внимание проблемам, связанным с детектированием и лечением активного TDSS. Мы надеемся, что коллеги по индустрии также не забывают об этой вредоносной программе и делают все возможное, чтобы защитить пользователей от этой угрозы.