BackDoor.Gootkit.112 – новый многофункциональный бэкдор
Специалисты компании «Доктор Веб» опубликовали результаты исследования многокомпонентной троянской программы, обладающей функционалом бэкдора, получившей название BackDoor.Gootkit.112.
Модуль, отвечающий за инсталляцию бэкдора в систему и реализацию функций буткита, разработчики BackDoor.Gootkit.112, по мнению экспертов, позаимствовали у троянцев семейства Trojan.Mayachok, но внесли в исходный код ряд существенных изменений. Так, оригинальный Trojan.Mayachok перед началом распространения каждой сборки троянца генерировал уникальный код VBR, на базе которого собиралось вредоносное приложение; в архитектуре BackDoor.Gootkit.112 все функции собраны в самом дроппере, который в процессе заражения видоизменяет код VBR. Драйвер, которому передает управление загрузочная запись раздела (Volume Boot Record, VBR) до момента инициализации системы, также взят из известных исходников Trojan.Mayachok, но его код частично переписан: так, большинство указателей (шелл-код для выполнения инжекта, различные таблицы) были приведены к базонезависимому виду
Из драйвера удалены все компоненты, отвечающие за связь с ним работающих в пользовательском режиме модулей троянца, например, позволявшие этим модулям использовать ресурсы скрытой файловой системы VFS. При этом функции инициализации и защиты этой файловой системы в BackDoor.Gootkit.112 остались.
Модули полезной нагрузки BackDoor.Gootkit.112 хранит в ветви системного реестра Windows HKLMSOFTWARECXSW, используя для этого значения binaryImage32 или binaryImage64 в зависимости от разрядности ОС.
Для получения полезной нагрузки BackDoor.Gootkit.112 внедряет специальный шелл-код в процессы SERVICES.EXE, EXPLORER.EXE, IEXPLORE.EXE, FIREFOX.EXE, OPERA.EXE, CHROME.EXE. Подобный метод встраивания вредоносного кода (с созданием полноценного нового потока в пользовательском режиме и регистрацией его в CSRSS.EXE) встречается во вредоносных программах крайне редко. Основная задача внедряемого шелл-кода – загрузить модуль полезной нагрузки из системного реестра или скачать его с удаленного интернет-ресурса.
Для повышения своих привилегий в инфицированной системе BackDoor.Gootkit.112 использует оригинальную методику обхода защиты учетных записей (User Accounts Control, UAC) – для этого используется штатный механизм ОС shim (Microsoft Windows Application Compatibility Infrastructure). Троянец задействует в своих целях программу сетевого клиента SQL Server (cliconfg.exe) – в манифесте этой программы свойству AutoElevate соответствует значение true, поэтому Windows поднимает для таких приложении привилегии в обход UAC.
С использованием библиотеки apphelp.dll BackDoor.Gootkit.112 создает в Windows базу данных, имя которой и значение параметра Application генерирует случайным образом. Для загрузки троянца используется свойство RedirectEXE, позволяющее запустить вместо указанного приложения его «исправленную» версию или саму вредоносную программу. В качестве параметра свойства RedirectEXE BackDoor.Gootkit.112 указывает путь к своему исполняемому файлу и ссылку на созданную базу данных.
После создания базы она устанавливается в систему с использованием утилиты sdbinst.exe, при этом в манифесте данной утилиты свойству AutoElevate также соответствует значение true, поэтому она запускается в Windows с особыми привилегиями. В целом алгоритм обхода UAC выглядит следующим образом: троянец создает и устанавливает новую базу данных; запускается утилита cliconfg.exe, которая стартует в системе с повышенными привилегиями; механизм shim выгружает оригинальный процесс и с использованием RedirectEXE запускает троянца.
Полезная нагрузка BackDoor.Gootkit.112 представляет собой большой исполняемый файл объемом порядка 5 Мбайт, написанный на языке С++. Большая часть этого файла представляет собой интерпретатор JavaScript – Node.JS. Внутри исполняемого файла содержится более 70 скриптов на языке JavaScript, значительная часть которых представляет собой ядро Node.JS, создающее удобный интерфейс для работы со встроенными объектами. Часть скриптов реализует вредоносный функционал троянца – они позволяют бэкдору выполнять поступающие от удаленного сервера команды, а также загружать с него дополнительные модули, которые сохраняются в системном реестре, как и основной модуль BackDoor.Gootkit.112. Троянец позволяет выполнять следующие команды:
- перехват http-трафика;
- выполнение инжектов;
- блокировка определенных URL;
- создание снимков экрана;
- получение списка запущенных в системе процессов;
- получение списка локальных пользователей и групп;
- выгрузка заданных процессов;
- выполнение консольных команд;
- запуск исполняемых файлов;
- автообновление троянца и т.д.
Сигнатура BackDoor.Gootkit.112 добавлена в вирусные базы Dr.Web.