Gimmiv.a Итак,
Понятно, что ноги растут из вчерашнего. Там в комментах практически в реал-тайме шла инфа по мере узнавания, но на большее и скорейшее — реально у меня времени не было. Редкий день выдался. По драйву — так прямо back to август 2003 года. Как говорится, "спасибо, было интересно". Спасибо выражается в адрес: а) безвестных китайцев, такой сплоит так бездарно спаливших б) криворучкам из MS, залепивших классическую багу, да еще и туда, что казалось бы давно вылизано до идеала, минимум с 2006 года, максимум с 2004. в) коллегам из разных антивирусных компаний, выдававших крупицы разнозненной и противоречивой информации, которую пришлось складывать в мозаику г) бесплатной кофемашине с гавнокофе д) окружающим дятлам Теперь мы знаем ВСЁ, и на это потребовалось сильно меньше времени чем с Рустоком :) Реконструкция событий: 1. Судя по всему умные китайские головы накопали уязвимость примерно в двадцатых числах сентября. 2. Как такое можно было найти — пока вопрос, потому что у Микрософта бага была не только в netapi.dll, но и в MSDN, которая описывала совсем не то, что проверялось в файле. Уязвимость существует в библиотеке netapi32.dll из-за ошибки в механизме подсчета аргументов функции wcscpy_s(dest, len, source), расширяемой макрос _tcscpy_s(previousLastSlash, pBufferEnd — previousLastSlash, ptr + 2); Китайцы, так или иначе, откопав багу — не нашли ничего лучше, как скрафтить примитивнейший китайский "Пинч", тупо тырящий все как и его российский предок. Первый боевой сампл был сделан 29 сентября и этот день можно считать датой рождения zero-day, исправленного спустя почти месяц. Где и как они его распространяли — пока непонятно, да и неинтересно. Главные события начались позже - 3. 13 октября китайцы дотачивают трояна и начинают активную фазу распространения — по своим китайским просторам. 4. 15 октября первый сампл попадает в ловушки (не скажу чьи чтобы не палить), но в тот же день он уходит в ряд антивирусных компаний. 5. Сампл представляет из себя только кусок от полного набора и содержит в себе исключительно ту часть, что является "Пинчем" (китайским). 6. Что было: EXE-дроппер, выкидывающий из себя DLL, инжект ее в svchost, сбор инфы, криптовка данных AES-ом и отправка натыренного на китайский сайт. Ага. Ничего такого, никаких сплоитов, типичный шпион. 7. Но, как-то за кадром большинства исследователей осталась download-функция, которая должна была тащить на машину с некоего сайта файлик вида inetproc0Yx.cab (где вместо Y — цифры от 1 до 9). 8. Видать этот файл все-таки попал в Microsoft, те расковыряли как следует и добрались таки до заветного cab-файла. Числа примерно так 17-го, я думаю. 9. Тут у них случился моральный шок, паника, внутренние порки и разборки. Оклемались, все засекретили, самплы никому не дали и сели строчить патч. Дня 4 ушло на написание патча, проверку остальных аналогичных косяков в Windows, еще пара-тройка дней ушла на тестирование патча. После чего начали выкатывать. 10. Наступает вчера. Патч есть, в блоге Микрософта чуть-чуть сливаются реалии на тему некоего трояна, который каким-то образом связан с уязвимостью. 11. Одновременно начинается массовый спред этого самого троя, в этот раз он уж попадает в кучу ловушек и добирается почти до всех ав-вендоров. Видать китайцы вкурили, что именно МС будет патчить и решили напоследок бахнуть максимально громко. АВ-вендоры сложили два и два и вкурили, что этот троян и то чем пугает МС — одно и тоже. 12. Только почему-то в трояне ну никак не находился искомый сплоит. Странно, но раз уязвимость есть — надо с ней что-то делать = нужен детект собственно сетевого пакета, который шлет сплоит и через который все рутится. Спросили МС. 13. МС сказал — "эээ, вы чо? нету у нас PoC, мы PoC-и не пишем." 14. Сели курить, думать. Причем курили все, включая хакиров всех мастей, носившихся по ВСЕМ форумам с воплями "у кого есть ПОК, дайте-дайте-дайте". Те кто не курит — просто думали и придумали таки PoC, правда локальный. Но на безрыбье и рак рыба, поэтому стали смотреть в него. 15. Паралелльно ав-вендоры стали рыться в своих заначках неразобранного стаффа и выкидывать наружу детекты и куски от Gimmiv.a — стараясь описать это все и всячески значит пропиариться хоть на анализе чего-нибудь. 16. Елы-палы, сказали мы, глядя на очередную пачку файлов. Откуда эти вот две (ой, еще одна) DDL-ки ? Их же нету в искомом трояне, том который Trojan-Spy Gimmiv ? Нету их в нем, не дропает! А DLL-ки вот они, и явно от него. Хм ? 17. Опять вопросы — где взяли ? А фиг знает где — отвечают. Не помним, то ли дропнули откуда, то ли слили, то ли отпесочили. Микрософт стоически молчит и только успевает организовывать вебкасты для желающих 17-а. У некоторых начинается паника и традиционная попытка пропиариться хоть на чем-нибудь !!! Даже на попытках обосрать друзей-конкурентов и показать себя самыми умными. 18. В общем, картина складывается такая: на руках есть троян-шпион из одного exe и одной dll. и есть одна dll — в которой не что иное, как тот самый эксплоит, он родимый, который атакует машинки по произвольно сгенеренному айпишнику (привет от Slammer-а), эксплоитит дыру и — не, не передает себя! Дает команду на download файла nX.exe с другого китайского сайта. nX.exe — является тем самым трояном-шпионом Gimmiv. 19. nX.exe — является тем самым трояном-шпионом Gimmiv — который (сюрпрайз!, впрочем выше уже сказал) — качает *.cab 20. Начинает складываться картинка. DLL с эксплоитом — явно компонента, ее кто-то долже дропать, кто-то ее ставит. То что находится в *.cab ? Бинго. 21. Остается найти *.cab. А его нету. Тот сайт, откуда он должен грузится — лежит под жестким DDoS. Не, это не специальный ддос, это просто зараженные юзеры туда ломятся за файлом. 22. Дальше уже начинаются чистейшей воды извраты, с поиском непойми чего, у которого известно только предполагаемое имя и этого ни у кого нет. Почти зашли в тупик, но в итоге таки нашли. Уфф. 23. Все компоненты червя-трояна собрались, сложились и вся картина выглядит так: Кто-то заражается тем или иным способом (есть инфа о заражениях через браузер при посещении сайта с открытками а ля "из россии с любовью". Это не суть, ибо только самая первая стадия, которая всего лишь должна была запустить некую массу пораженных. 23-а. На машину попадает файл nX.exe, который дропает sysmgr.dll, инжектит ее и собирает пароли, бла бла бла. Этот же файл скачивает inetproc02x.cab (или inetproc09x.cab — о том что цифры меняются я уже сказал). Скачивает, распаковывает и запускает то что внутри: inetproc02x.cab содержит в себе: basesvc.dll install.bat syicon.dll winbase.dll winbaseInst.exe Запускается конкретно install.bat, который копирует все куда надо и регистрирует dll-ки (или их регистрирует и запускает winbaseinst.exe — это не суть важно). winbase.dll инжектит в svchost.exe — две других DLL: basesvc.dll и syicon.dll из них самая интересная — именно basesvc. Она и есть основная часть червя, ибо содержит сплоит, перебирает айпишники и атакует машины (см.пункт 18) В итоге пункт 23-а повторяется — уже на новой машинке. Червь ? Имхо — червь ! В наличии имеем: nX.exe и sysmgr.dll — классифицированы как Trojan-Spy.Win32.Gimmiv.a (ранее звались Trojan-Downloader.Win32.Agent.alce) basesvc.dll, install.bat, syicon.dll, winbase.dll, winbaseInst.exe — классифицированы как Net-Worm.Win32.Gimmiv.a Любители попиариться краснеют со стыда и признают свои косяки. - Признаю свою вину, степень, меру, глубину Еще факты. 1. От деятельности червя пострадало примерно 3500-3700 человек. Маловато для такого сплоита, но китайцы сами дураки — распространяли не активно и еще задержку большууууууую воткнули между циклами генерации адресов для атаки и отправки пакета. 2. Очень забавно было смотреть в логи обращений к вирусному сайту — статистика того, что именно обращалось. Сначала идут браузеры всякие — IE, Firefox — обычные юзеры в общем, зараженные. Потом появляется wget :) потом еще wget, и еще и еще и еще, начинают ломиться разные download master, потом линуксовые тулзы, линуксовые браузеры, кто-то пытается захреначить туда XSS — в общем работа антивирусных компаний налицо и видна невооруженным взглядом :) Молодцы, коллеги ! У нас теперь тоже есть база айпишников всех ваших хонейпотов, рабочих машин и прочих вещей откуда вы лазите за малварой. Wget — крут, согласны. 3. В настоящее время эпидемия сдохла. Китайцы не расчитали силы и серваки их не выдерживают нагрузки на прием натыренной инфы и отдачи cab-файла. Возможно, что на днях они выпустят новый вариант с новыми серверами работы. Надо следить. 4. Код сплоита — один в один совпал с тем, что генерит опубликованный PoC. Выводы делайте сами. 4.5. В паблике нет решения — как через уязвимость залить на машину напрямую тело червя. Китайцы решили сделать это через download с внешнего сайта. Решение не красивое и легко убиваемое. Про вариант — дать команду tftp.exe на закачку тела с машины, откуда пришла атака (как это было сделано в Lovesan) — видимо ума просто не хватило. 5. Бага настолько тупа и настолько юзабельна, что нас реально ждет наплыв разной малвари с этой хренью на борту. Юзеры XP SP0, SP1 и Win2K — однозначно трупы, если не пропатчатся. Остальные — могут выжить, если не отключили виндовый файрволл (появившийся в SP2). P.S. Еще ночью, когда писал про "Загадочную уязвимость" — было чувство, что придется тащиться на работу с утра пораньше и целый день до поздней ночи много писать, искать и втыкать. Так и вышло. :)
Комментарии:
|
Облако тэгов ↓Новые публикации ↓ k1k → Аналитика / Мак блокер? Сейчас нарисую...exitusletaris → Инциденты / Pron pop-underDEAD_mazay → Инциденты / Google поссорился с Китаемexitusletaris → Новости / Epic fakek1k → Инциденты / NIS в киноDEAD_mazay → Юмор / Ищут пожарные, ищет милиция...Aleks → Персоналии / Brian Krebs уволенsww → Юмор / В рот мне fvdfzsrsazxzzxcvbnmadgfhjjkqwrtyuuuiopk1k → Инциденты / Мошенничествоk1k → Интервью / Mac OS threatsКомментарии ↓k1k → Новости / YES Exploit SystemЖеня → Новости / YES Exploit SystemГриша → Инциденты / Pron pop-underUmnik → Инциденты / Pron pop-underUmnik → Инциденты / Pron pop-underk1k → Аналитика / Мак блокер? Сейчас нарисую...igosha → Аналитика / Мак блокер? Сейчас нарисую...Umnik → Аналитика / Мак блокер? Сейчас нарисую...k1k → Инциденты / Pron pop-underAleks → Юмор / sms вымогательство вконтактеDanilka → Юмор / sms вымогательство вконтактеUmnik → Юмор / sms вымогательство вконтактеEgo1st → Юмор / sms вымогательство вконтактеvitalikkk → Инциденты / Pron pop-undervitalikkk → Новости / Epic fakesww → Новости / Антивирусный рынок 2009Сергей → Новости / Антивирусный рынок 2009sww → Новости / Антивирусный рынок 2009sww → Новости / Антивирусный рынок 2009sww → Юмор / В рот мне fvdfzsrsazxzzxcvbnmadgfhjjkqwrtyuuuiopBeAsT → Юмор / В рот мне fvdfzsrsazxzzxcvbnmadgfhjjkqwrtyuuuiopPrizrak → Инциденты / Неразменный пятакexitusletaris → Инциденты / Неразменный пятакPrizrak → Инциденты / Неразменный пятакsww → Инциденты / Pron pop-underMona Sax → Инциденты / Pron pop-undersww → Инциденты / Pron pop-underUmnik → Инциденты / Pron pop-underexitusletaris → Инциденты / Pron pop-underDEAD_mazay → Инциденты / Pron pop-undersww → Инциденты / Pron pop-underDVi → Инциденты / Pron pop-underk1k → Персоналии / Brian Krebs уволенMona Sax → Новости / Epic fakezyx2145 → Новости / Epic fake |
Блог «
8 баллов
DVi 25.10.2008 01:46# 0
Расскажи, как добрался до логов вирусного сайта. Мне понравился способ узнавания адресов ханипотов :)
Когда ожидать всекитайский бан этих адресов?
Aleks 25.10.2008 01:59# 0
тут не буду :)
k1k 25.10.2008 18:33# 0
vaber 25.10.2008 01:53# 0
Aleks 25.10.2008 01:58# 0
спасибо юзерам k1k, Blaze, hEX
k1k 25.10.2008 18:34# 0
DEAD_mazay 25.10.2008 02:03# 0
Aleks 25.10.2008 02:28# 0
https://forums.symantec.com/syment/blog/article?blog.id=vulnerabilities_exploits&message.id=173#M173
клепая при этом сигнатурки на PoC (привет Секунии, типа?)
Aleks 25.10.2008 02:54# 0
http://www.eset.com/threat-center/blog/?p=160
Возьми переводчик, одень очки и попробуй там найти хоть слово о том что я тут описал выше — о черве и его компонентах. Твой ESET, точно так же как и Симантек (см.ссылку выше) — знает только про два файла, те которые Trojan-Spy. Про остальные компоненты (червя) — Н И Ч Е Г О.
r00tvit 25.10.2008 02:54# 0
http://www.eset.com/threat-center/blog/?p=160
As stated previously by Randy, a new vulnerability affecting the Windows operating system from Microsoft has recently been discovered and has been patched Yesterday by an out of cycle patch. This vulnerability has been exploited by attackers to install a trojan horse on victim computers. The name of this trojan is Gimmiv.A. This blog post will give more details on this malware that is the payload of the attack. For our readers who want more information on the MS08-067 vulnerability and potential exploits, we recommend consulting Microsoft’s advisory. Exploit code has already been made public for this vulnerability but finding it is left as an exercise to the reader.
The threat labeled as Win32/Gimmiv.A is an executable that writes a DLL (sysmgr.dll) to disk. The executable registers the DLL as a system service with the name "System Maintenance Service". Before starting the newly created service, the Gimmiv.A executable launches a batch script that tries to kill Trend Micro’s antivirus. This executable is easy to analyze since it doesn’t include any obfuscation and has debugging messages as shown in the code snippet below:
call ds:RegCreateKeyExA
mov [ebp+call_result], eax
cmp [ebp+call_result], 0
jz short no_error_found
push offset aRegcreatekey_0 ; "RegCreateKeyEx() failed!n"
call debug_message
sysmgr.dll contains the main functionalities of this piece of malware. The first steps it takes are to verify that the infected system is connected to the internet by sending a ping to a google server. If an answer is received, the malware continues executing. Otherwise, the malware uninstalls and exits. When reporting to its home base, Gimmiv.A sends information on the version of the operating system it has infected and which antivirus is installed. This malware checks the system to identify the presence of the following antivirus products:
Trend Micro
Symantec
BitDefender
Rising
Kaspersky
Kingsoft
Microsoft One Care
Jiangmin
The main purpose of Gimmiv is to give access to an infected computer to the attacker, it also gathers a lot of information on the infected computer and sends them back to the attacker. The collected information includes:
MSN Messenger username and password
Outlook Express username and password
Saved passwords in Internet Explorer
Web Cookies with potential authentication tokens
Any file wanted by the attacker
At the moment, we are not seeing a lot of activity from this malware. Its distribution point has already been taken offline. From the information we could gather on this threat, it seems like it was targeting users in Asia. This malware seems to be well programmed and could have been used by professionals but it is a bit too generic to indicate it was used in very precisely targeted attacks.
Pierre-Marc Bureau
Researcher
This entry was posted on Friday, October 24th, 2008 at 11:02 am and is filed under
Aleks 25.10.2008 03:03# 0
пятый раз повторить — в блоге есета описано то что делает Trojan-Spy, а не червь !?
еще раз повторяю для плохослышащих:
nX.exe и sysmgr.dll классифицированы как Trojan-Spy.Win32.Gimmiv.a (ранее звались Trojan-Downloader.Win32.Agent.alce)
basesvc.dll, install.bat, syicon.dll, winbase.dll, winbaseInst.exe классифицированы как Net-Worm.Win32.Gimmiv.a
Вот когда увидишь у ESET хоть слово про basesvc.dll, install.bat, syicon.dll, winbase.dll, winbaseInst.exe — приходи.
P.S. Специально же ничего про ESET не написал изначально, чтоб не огорчать тебя и не тревожить. Так нет же — нарываешься !! При этом не зная правды. Ну и вот зачем ?
ну раз нарываешься — буду мочить твой ESET, извини — ты сам меня вынудил.
r00tvit 25.10.2008 03:04# 0
потому как 9н.ехе задетектели сигнатурой Update 3551 (20081024)2008-10-24 12:01
http://www.eset.eu/podpora/aktualizacia-3551?lng=en
меня не проведеж ловят теперя
потому ка думаеться(НУ и 1-9n.exe, sysmgr.dll в нод обновлении -Win32/Spy.Gimmiv.A (2)-это сигнатурка вторая небося на sysmgr.dll (в обновлении 3553 eset),первая была на 1-9.exe , (в обновлениии 3551 eset)
basesvc.dll, install.bat, syicon.dll, winbase.dll, winbaseInst.exe -думаю это Win32/Spy.Gimmiv (2) (в обновлении eset 3553)
Aleks 25.10.2008 03:11# +3
читать умеешь ? НЕ ЛОВИТЕ. Ваш блог — тому подтверждение.
Все остальное — твои домыслы, которые только домыслы, мечты и желания.
не неси чушь.
сгинь вообще уже.
Aleks 25.10.2008 03:51# 0
Время выхода детекта шпиона, 2:49 утра 24 октября
Так что ты со своим:
Eset 2008-10-24 12:01 Update 3551 (20081024) Win32/Gimmiv.A (2) — можешь дальше курить бамбук (или что ты там куришь)....
Я про это еще за два часа до вашего детекта писал.
Umnik 25.10.2008 10:17# +2
exitusletaris 25.10.2008 11:44# 0
_Stout 25.10.2008 14:24# +3
r00tvit 25.10.2008 14:31# 0
А вирусо писатели не дремлят вот их,новые малвари -десятки,Касперску их пока есщо не знает!!!
Update 3555 (20081025)2008-10-25 09:06
Win32/Spy.Gimmiv (2), Win32/Spy.Gimmiv.A (3), Win32/Spy.Gimmiv.B
_Stout 25.10.2008 14:33# 0
Будут новые факты, а не выписки из логов обновления, милости прошу, а пока предлагаю учиться у старших коллег.
PS Это портал, на котором говорят Эксперты, признанные в мире. Крайне рекомендую три раза думать, прежде чем писать что-то.
r00tvit 25.10.2008 16:12# 0
virustotal Win32/Spy.Gimmiv.B
Судя по MD5,Это не *N.exe! я просто хочу поинтересоваться,а что это новая малвара или Eset опять переклассифицыровал ?!
просто не сходиться Алекс говорит -TrojanSpy:Win32/Gimmiv.A -nX.exe и sysmgr.dll,
НО -это не *1-9N.exe(по МД5) и темболее не dll ,потому как на Вирус тотале exe!!!
А касперску детектит -TrojanSpy:Win32/Gimmiv.A
Вопрос к Алексу -что это?!Вы нам про это не расказывали!
Aleks 25.10.2008 16:27# 0
если ты до сих пор думаешь что n1-9.exe- это всего лишь 9 файлов, то ты ошибаешься :) О том что у нас 29 разных вариантов — я говорил еще вчера. Забыл ? :)
Так что твой eset задетектил очередной из nX.exe (один из 29), которые мы детектим уже 38 часов как ...
r00tvit 25.10.2008 16:41# 0
получаеться:
Update 3555 (20081025)2008-10-25 09:06
Win32/Spy.Gimmiv (2), Win32/Spy.Gimmiv.A (3), Win32/Spy.Gimmiv.B
Детектит всеже теже 29штук N.exe.Выходит так!
Тогда ,вопрос сразу,возникает,ALEX ,а вы согласны с тем что они деляться на три группы:
1.Win32/Spy.Gimmiv
2.Win32/Spy.Gimmiv.A
3.Win32/Spy.Gimmiv.B
Какое ваще заключение,после анализа этих 29 файлов?! :)
Aleks 25.10.2008 16:48# 0
видимо ESET решил иначе — и оставил его как .B
суть это не меняет — это все равно тот же троян, а не червь. У червя совсем другие файлы и другие размеры ))
Ego1st 27.10.2008 00:47# 0
Umnik 27.10.2008 08:53# 0
