Сенсационная новость об утечке архива ЦРУ чаще всего преподносилась в контексте того, что спецслужбы США могли подслушивать, шпионить и узнавать о нас с телефонов, компьютеров и даже телевизоров.
Предлагаем вашему вниманию информацию об одном из их проектов с необычным названием Rain Maker.
Представляет собой набор утилит, направленных на скрытный сбор информации об исследуемом объекте без подключения к сети Интернет.
Агент получает специальную флешку с музыкой и портативный VLC-плеер, подключает ее к компьютеру жертвы и спокойно работает с современными хитами.
Закончив работу, он передает флешку со спрятанными и зашифрованными данными координатору, который отправляет ее в центр для расшифровки.
Как это реализовано технически?
* От архив ЦРУ этому проекту.
У агентов тоже есть юмор!
Запуск вредоносного ПО
Пропустим этап специальной подготовки флешки (о нем мы расскажем чуть позже) и начнем с того, что происходит, когда пользователь запускает vlc.exe с этого носителя.Прежде всего, плеер читает файл с его XML-манифест чтобы узнать, есть ли какие-либо дополнительные зависимости, которые необходимо загрузить.
Там предварительно прописан вызов к якобы стандартной библиотеке psapi.dll (интерфейс программирования статуса процесса), но запускается ее аналог-заглушка, которая затем перенаправляет запросы к исходной библиотеке.
Помимо важной функции перенаправления, заглушка определяет, необходимо ли активировать основной функционал шпионской программы или не стоит выдавать себя.
Для этого факт запуска файла проверяется с «подготовленной» флешки (а не с другого носителя) путем проверки зашитого серийного номера тома диска и номера носителя, на котором выполняется программа.
Таким образом, «шпион» не раскроется, если его куда-то переведут.
Как обеспечивается настойчивость
Этот пример интересен еще и тем, что ЦРУ имеет большой опыт загрузки полезной нагрузки и обеспечения устойчивости.Вам не придется каждый раз думать о том, как это сделать – есть специальная библиотека и даже рекомендации чтобы гарантировать устойчивость вредоносного ПО к обнаружению.
Например, дан совет использовать стандартные функции для загрузки библиотеки.
Загрузить библиотеку , а загрузчик должен правильно обрабатывать все статусы выхода в соответствии с MSDN. Внедрение таких правил требует времени, и бывает, что такие вещи просто игнорируются разработчиками «блэкхэта».
Однако атаки такого типа известны.
Описание принципа реализации такой параллельной атаки доступно.
здесь .
Существует вероятность того, что если бы сам файл этого программного обеспечения был помещен в песочницу, он был бы открыт. Однако есть еще человеческий фактор: обратит ли администратор внимание на рекомендацию из песочницы?
Если dll-заглушка была запущена с правильного носителя, она преобразует серийный номер в ключ AES, расшифровывает основную DLL Rain Maker и загружает ее в отдельный поток в основном процессе VLC.
Более того, заглушка устанавливает в ОС мьютекс, чтобы основная полезная нагрузка не запускалась несколько раз во избежание ошибок в ее работе.
Сбор данных
Новая вредоносная программа, только что созданная из ниоткуда, проверяет, как давно она была запущена на этом компьютере, запрашивая ее имя и текущее время, и сравнивая md5-хеш имени с сохраненными.Если не прошло 7 дней, то программа не будет искать новые файлы на компьютере; если он не запустился или не работал долгое время (7 и более дней), то переходит к следующим шагам.
Программа тайно хранит информацию в потоках NTFS. Этот прием не нов, но эффективен, тем более что, судя по всему, ЦРУ уже написало библиотеки для работы с ними достаточно вызвать правильную функцию DTNtfsAds_BK(wchar_t* filenameToAppendADS), включая библиотеку заранее, так что разработчику в команде даже не нужно думать о том, как ее использовать.
Это еще раз подтверждается простотой руководства для новичков.
Данные записываются в поток [буква_диска_подключенной_флешки]:\\:$DataIdN. Как только программа определила, что места на диске достаточно, чтобы не допустить переполнения флэшки и не мешать агенту слушать музыку, она начинает сбор файлов согласно заранее зашитой в нее конфигурации.
Например, вы можете настроить пакет перед загрузкой следующим образом:
RainMakerConfigurator.exe -t TargetDirectories.txt -e *.
docx;*.
doc;*.
xls;*.
xlsx;*.
pdf; -f 23 -vlc E:\vlc-2.1.5\vlc.exe -r plugins\access\customplugins.dat -p RainMaker_PubKey.pem
Где: -t TargetDirectories.txt — список каталогов на целевом компьютере, где искать файлы -e *.
docx;*.
doc;*.
xls;*.
xlsx;*.
pdf — типы файлов для копирования -ф 23 - процент свободного места, который должен остаться на флешке -vlc E:\vlc-2.1.5\vlc.exe — Исполняемый файл VLC, в который встроена вредоносная программа.
-r плагины\доступ\customplugins.dat — место хранения зашифрованного контейнера с данными -p RainMaker_PubKey.pem — путь к сертификату, открытый ключ которого будет защищать данные в контейнере до тех пор, пока носитель не будет передан обратно в ЦРУ и не расшифрован с помощью закрытого ключа, который не передается агенту.
Краткое содержание
Таким образом, информация о том, какие файлы были собраны и каково их содержимое, остается конфиденциальной до тех пор, пока не будет расшифрована, и не защищена от раскрытия, если носитель попадет в чужие руки или данные с носителя будут скопированы на другой носитель.Скорее всего, этот вектор атаки использовался для сбора информации в закрытых сетях, где нет доступа к Интернету.
К сожалению, нет возможности проверить достоверность опубликованных в архиве Wikileaks данных, тем более, что исходные коды инструмента никто не публиковал, но описание сценария атаки с «внутреннего портала ЦРУ» выглядит вполне правдоподобно.
и его следует рассматривать как подходящий метод проникновения для таких конкретных объектов.
Юрий Сергеев, Центр информационной безопасности «Инфосистемы Джет».
Теги: #информационная безопасность #шпионаж #ЦРУ #вредоносное ПО
-
Использование Rabbitmq С Monstermq, Часть 5
19 Dec, 24 -
Использование Игры! Фреймворк В Gedit
19 Dec, 24 -
Qpimg — Динамическое Создание Css-Спрайтов
19 Dec, 24 -
Критерии Появления Темы На Главной Странице
19 Dec, 24