Как Цру Устроило Дождь: Используя Rain Maker Для Сбора Информации С Закрытых Сайтов

Сенсационная новость об утечке архива ЦРУ чаще всего преподносилась в контексте того, что спецслужбы США могли подслушивать, шпионить и узнавать о нас с телефонов, компьютеров и даже телевизоров.



Предлагаем вашему вниманию информацию об одном из их проектов с необычным названием Rain Maker.

Представляет собой набор утилит, направленных на скрытный сбор информации об исследуемом объекте без подключения к сети Интернет.

Агент получает специальную флешку с музыкой и портативный VLC-плеер, подключает ее к компьютеру жертвы и спокойно работает с современными хитами.

Закончив работу, он передает флешку со спрятанными и зашифрованными данными координатору, который отправляет ее в центр для расшифровки.

Как это реализовано технически?

Как Цру Устроило Дождь: Используя Rain Maker Для Сбора Информации С Закрытых Сайтов

* От архив ЦРУ этому проекту.

У агентов тоже есть юмор!



Запуск вредоносного ПО

Пропустим этап специальной подготовки флешки (о нем мы расскажем чуть позже) и начнем с того, что происходит, когда пользователь запускает vlc.exe с этого носителя.

Прежде всего, плеер читает файл с его XML-манифест чтобы узнать, есть ли какие-либо дополнительные зависимости, которые необходимо загрузить.

Там предварительно прописан вызов к якобы стандартной библиотеке psapi.dll (интерфейс программирования статуса процесса), но запускается ее аналог-заглушка, которая затем перенаправляет запросы к исходной библиотеке.

Помимо важной функции перенаправления, заглушка определяет, необходимо ли активировать основной функционал шпионской программы или не стоит выдавать себя.

Для этого факт запуска файла проверяется с «подготовленной» флешки (а не с другого носителя) путем проверки зашитого серийного номера тома диска и номера носителя, на котором выполняется программа.

Таким образом, «шпион» не раскроется, если его куда-то переведут.



Как обеспечивается настойчивость

Этот пример интересен еще и тем, что ЦРУ имеет большой опыт загрузки полезной нагрузки и обеспечения устойчивости.

Вам не придется каждый раз думать о том, как это сделать – есть специальная библиотека и даже рекомендации чтобы гарантировать устойчивость вредоносного ПО к обнаружению.

Например, дан совет использовать стандартные функции для загрузки библиотеки.

Загрузить библиотеку , а загрузчик должен правильно обрабатывать все статусы выхода в соответствии с MSDN. Внедрение таких правил требует времени, и бывает, что такие вещи просто игнорируются разработчиками «блэкхэта».

Однако атаки такого типа известны.

Описание принципа реализации такой параллельной атаки доступно.

здесь .



Существует вероятность того, что если бы сам файл этого программного обеспечения был помещен в песочницу, он был бы открыт. Однако есть еще человеческий фактор: обратит ли администратор внимание на рекомендацию из песочницы?

Если dll-заглушка была запущена с правильного носителя, она преобразует серийный номер в ключ AES, расшифровывает основную DLL Rain Maker и загружает ее в отдельный поток в основном процессе VLC.

Более того, заглушка устанавливает в ОС мьютекс, чтобы основная полезная нагрузка не запускалась несколько раз во избежание ошибок в ее работе.





Сбор данных

Новая вредоносная программа, только что созданная из ниоткуда, проверяет, как давно она была запущена на этом компьютере, запрашивая ее имя и текущее время, и сравнивая md5-хеш имени с сохраненными.

Если не прошло 7 дней, то программа не будет искать новые файлы на компьютере; если он не запустился или не работал долгое время (7 и более дней), то переходит к следующим шагам.

Программа тайно хранит информацию в потоках NTFS. Этот прием не нов, но эффективен, тем более что, судя по всему, ЦРУ уже написало библиотеки для работы с ними достаточно вызвать правильную функцию DTNtfsAds_BK(wchar_t* filenameToAppendADS), включая библиотеку заранее, так что разработчику в команде даже не нужно думать о том, как ее использовать.

Это еще раз подтверждается простотой руководства для новичков.

Данные записываются в поток [буква_диска_подключенной_флешки]:\\:$DataIdN. Как только программа определила, что места на диске достаточно, чтобы не допустить переполнения флэшки и не мешать агенту слушать музыку, она начинает сбор файлов согласно заранее зашитой в нее конфигурации.

Например, вы можете настроить пакет перед загрузкой следующим образом:

  RainMakerConfigurator.exe -t TargetDirectories.txt -e *.

docx;*.

doc;*.

xls;*.

xlsx;*.

pdf; -f 23 -vlc E:\vlc-2.1.5\vlc.exe -r plugins\access\customplugins.dat -p RainMaker_PubKey.pem

Где: -t TargetDirectories.txt — список каталогов на целевом компьютере, где искать файлы -e *.

docx;*.

doc;*.

xls;*.

xlsx;*.

pdf — типы файлов для копирования -ф 23 - процент свободного места, который должен остаться на флешке -vlc E:\vlc-2.1.5\vlc.exe — Исполняемый файл VLC, в который встроена вредоносная программа.

-r плагины\доступ\customplugins.dat — место хранения зашифрованного контейнера с данными -p RainMaker_PubKey.pem — путь к сертификату, открытый ключ которого будет защищать данные в контейнере до тех пор, пока носитель не будет передан обратно в ЦРУ и не расшифрован с помощью закрытого ключа, который не передается агенту.





Краткое содержание

Таким образом, информация о том, какие файлы были собраны и каково их содержимое, остается конфиденциальной до тех пор, пока не будет расшифрована, и не защищена от раскрытия, если носитель попадет в чужие руки или данные с носителя будут скопированы на другой носитель.

Скорее всего, этот вектор атаки использовался для сбора информации в закрытых сетях, где нет доступа к Интернету.

К сожалению, нет возможности проверить достоверность опубликованных в архиве Wikileaks данных, тем более, что исходные коды инструмента никто не публиковал, но описание сценария атаки с «внутреннего портала ЦРУ» выглядит вполне правдоподобно.

и его следует рассматривать как подходящий метод проникновения для таких конкретных объектов.

Юрий Сергеев, Центр информационной безопасности «Инфосистемы Джет».

Теги: #информационная безопасность #шпионаж #ЦРУ #вредоносное ПО

Вместе с данным постом часто просматривают:

Автор Статьи


Зарегистрирован: 2021-05-09 18:27:24
Баллов опыта: 587
Всего постов на сайте: 4
Всего комментарий на сайте: 0
Dima Manisha

Dima Manisha

Эксперт Wmlog. Профессиональный веб-мастер, SEO-специалист, дизайнер, маркетолог и интернет-предприниматель.