TDSS. Набор для обогащения
Деньги
Rootkit.Win32.TDSS — это универсальная вредоносная программа, которая
может скрывать присутствие в системе любых других вредоносных программ и
предоставлять им расширенные возможности на зараженной системе.
Аналогичные технологии уже были реализованы в бутките, и тогда мы
писали, что подобные вредоносные программы, благодаря простоте в
использовании и широкому спектру возможностей, должны стать популярными у
злоумышленников. По сути TDSS — это постоянно обновляемый и дополняемый
фреймворк.
Руткит TDSS реализует по умолчанию только функционал Trojan-Clicker
и используется злоумышленниками для обогащения путем манипуляций с
посещаемостью сайтов. Данный функционал заложен в динамическую
библиотеку, которая входит практически во все стандартные конфигурации
руткита и чаще всего имеет имя tdlcmd.dll. Однако возможности руткита
намного шире, и дальнейшее его использование зависит только от пожеланий
авторов и задач арендаторов или покупателей ботнета, построенного на
этой вредоносной программе. В 2009 году количество зараженных
компьютеров, работающих под управлением TDSS, оценивалось в 3 миллиона,
при этом около половины из них находились на территории США.
Интересно, что при анализе всех фактов, связанных с данной
вредоносной программой, складывается устойчивое впечатление, что ее
автор или авторы — русские или, по крайней мерее, русскоговорящие.
Регулярно обновляя TDSS, они держат руткит в собственных руках — в
продаже его никогда не было. Продаются только ботнеты под управлением
TDSS — как правило, состоящие примерно из 20 000 зараженных машин.
Дальнейшее использование ботнета TDSS зависит уже от покупателя. За
время наших наблюдений на один из таких ботнетов загружались и
спам-боты, и фальшивые антивирусы, и троянцы для кражи персональных
данных.
Нагрузка
Авторы TDSS заранее позаботились о монетизации созданных на его
основе ботнетов. Одной из полезных нагрузок, устанавливаемых TDSS по
умолчанию, является динамическая библиотека tdlcmd.dll.
Файл tdlcmd.dll доставляется в большинстве случаев вместе с TDSS и
подгружается руткитом во все процессы, однако для осуществления своей
полезной нагрузки данная библиотека работает только в процессах
браузеров и в сервисе обновления Windows, что обусловлено возможностью
работы данных процессов с Сетью.
 
Список
процессов, в которых работает tdlcmd.dll
В процессе своей работы библиотека tdlcmd.dll выполняет следующие
задачи:
- Получает и выполняет команды от центра управления ботнетом.
- Перехватывает пользовательские запросы к популярным поисковым
системам с целью подмены выдачи.
- Создает запросы к популярным поисковым системам.
- Эмулирует работу пользователя на сайте.
Любое из этих действий способствует обогащению владельцев ботнета,
построенного на рутките TDSS.
Команды от центра управления
По умолчанию tldcmd.dll умеет исполнять следующие команды от
управляющей панели:
- DownloadCrypted — загрузить зашифрованный файл;
- DownloadAndExecute — загрузить и исполнить файл;
- DownloadCryptedAndExecute — загрузить зашифрованный файл,
расшифровать и исполнить его;
- Download — загрузить файл;
- ConfigWrite — внести изменения в файл конфигурации.
В случае загрузки зашифрованной команды от C&C, для ее
расшифровки используется алгоритм RC4. Ключом при этом служит имя
домена, с которого загрузился указанный файл. После исполнения команды
от панели управления в файлe config.ini создается секция [Tasks], в
которой ведутся записи обо всех действиях бота.
Пример записи в файле config.ini, созданной после загрузки
обновленной версии файла tdlcmd.dll
Учитывая, что все общение с административной панелью происходит по
протоколу HTTPS, чтение данной секции очень сильно облегчает аналитикам
работу по слежению за действиями TDSS.
TDSS, в отличие от буткита,
не имеет алгоритма перебора доменов для мигрирующих командных центров,
однако команда ConfigWrite для изменения поля Servers в секции [tdlcmd]
приходит при первом обращении к командному центру, а затем с
периодичностью примерно раз в неделю.
Пример
расположения административной панели
«Вирус подмены страниц»
В ходе работы в процессе браузера tdlcmd.dll следит за следующими
сайтами, посещаемыми пользователями:
| .google. |
.yahoo.com | .bing.com |
| .live.com |
.msn.com | .ask.com |
| .aol.com |
.google-analytics.com | .yimg.com |
| upload.wikimedia.org |
img.youtube.com | powerset.com |
| .aolcdn.com |
.blinkx.com | .atdmt.com |
| .othersonline.com |
.yieldmanager.com | .fimserve.com |
| .everesttech.net |
.doubleclick.net | .adrevolver.com |
| .tribalfusion.com |
.adbureau.net | .abmr.net |
При каждом запросе к указанным сайтам tdlcmd.dll генерирует запрос к
серверу, указанному в поле Wspservers файла конфигурации. Серверу
передается информация о зараженной системе и запросе пользователя к
указанному сайту. В ответ от сервера приходит ссылка на страницу,
которую необходимо отобразить пользователю. Ссылка может вести
пользователя на любой сайт — это может быть и фишинговый, и легитимный
ресурс. Об аналогичной атаке уже писал в 2008 году российский
поисковик — тогда подобный функционал встраивался во многие
вредоносные программы.
Интересно, что во второй версии руткита TDSS его полезная нагрузка не
работала с браузером FireFox, и злоумышленникам приходилось
устанавливать дополнение к браузеру, выполняющее аналогичный функционал.
Пример
дополнения к браузеру FireFox для перенаправления пользовательских
поисковых запросов
Black SEO
Всего несколько лет назад при запросе «антивирус» к поисковой системе
Google на первой странице отображались ссылки только на фальшивые
антивирусы. Это достигалось средствами «черной поисковой оптимизации».
В файл tdlcmd.dll встроен аналогичный функционал «продвижения» сайтов
по ключевым словам. На зашифрованной руткитом части диска создается
файл keywords, содержащий слова, которые необходимо адресовать поисковой
системе. Затем в выдаче поисковой системы выбирается сайт, указанный
злоумышленниками. При этом для полной эмуляции работы пользователя с
поисковой системой используется JavaScript, встраиваемый в браузер и
имитирующий нажатие на соответствующие кнопки перехода.
Пример поднятия в
поисковой выдаче сайта, содержащего эксплойты
Clicker
Общение руткита с командным сервером происходит по протоколу HTTPS.
Однако при работе с серверами, обслуживающими накрутку кликов,
tdlcmd.dll использует только шифрование GET-запроса — по все тем же
алгоритмам RC4 c перекодировкой результата в BASE64. Tdlcmd.dll
обращается к серверу, указанному в параметре Popupservers файла
конфигурации. В ответ с сервера приходит имя сайта, ссылка на сайт и
адрес веб-ресурса, с которого на эту ссылку необходимо зайти. Также в
файле конфигурации указывается периодичность, с которой необходимо
заходить на сайт. В отличие от других вредоносных программ с подобным
функционалом, TDSS создает окно действительного браузера для полной
эмуляции захода пользователя на сайт. Таким образом TDSS показывает
рекламные окна фальшивых антивирусов и любых других сайтов, заказанных
владельцам ботнета.
Масштабы заражения
Распространение TDSS через партнерскую программу с использованием
любых возможных средств доставки вредоносного кода на компьютеры
пользователей привело к тому, что руткит TDSS атакует компьютеры по
всему миру.
Статистика
попыток заражений руткитом TDSS в первом полугодии 2010 года
(по данным Kaspersky Security Network)
Поскольку вредоносные загрузки на компьютеры, расположенные на
территории США, стоят дороже всего (см. выше), наиболее активно TDSS
распространяется именно там.
В дополнение к статистике KSN можно получить информацию от самой
панели управления ботнетом:
| Адрес C&C |
Количество зараженных
пользователей по данным C&C |
| zz87jhfda88.com |
119 |
| d45648675.cn |
108 |
| 873hgf7xx60.com |
243 |
Это еще не конец
Постоянная поддержка, исправление ошибок, различные методы обхода
сигнатурного, эвристического и проактивного детектирования позволяют
TDSS проникать на компьютеры пользователей даже при наличии
установленного антивируса.
Использование методов шифрования при общении бота с командным центром
существенно затрудняет анализ сетевых пакетов. Мощнейшая
руткит-составляющая скрывает факт заражения и его критичные компоненты.
Компьютер жертвы становится звеном ботнета, и на него устанавливаются
другие вредоносные программы. Злоумышленники успешно монетизируют свой
бизнес, продавая небольшие по размеру ботнеты и используя Black SEO.
Пока вредоносная программа приносит прибыль, она будет
совершенствоваться и модифицироваться. TDSS стал настоящей головной
болью для антивирусных компаний. «Лаборатория Касперского» уделяет
повышенное внимание проблемам, связанным с детектированием и лечением
активного TDSS. Мы надеемся, что коллеги по индустрии также не забывают
об этой вредоносной программе и делают все возможное, чтобы защитить
пользователей от этой угрозы.
| 
