WHOAMI

Markov Pavel:Found zero-day in Windows (execute arbitrary

code by manipulating with folder settings)

Just a developer

Agievich Igor:

Found vulnerability in Outpost Security Suite (2012), VirtualBox (2011), vBulletin (2005-2006)

Not even a developer :)

С чего всё началосьНашей командой создавалось корпоративное приложение

для синхронизации данных с облаком

Состав приложения

Клиентское ПО. Его задача - синхронизировать данные (файлы, переписку) с облаком. Загружать обновления, логировать возникшие ошибки (сбор информации о системе, код ошибки и отправка на веб-сервер).

Скрипты web-сервера. Задача – управлять потоком данных от клиентов, и так же логирование ошибок. Логирование ошибок включало в себя проверку корректности HTTP-запроса в соответствии с правилами и сохранение тела ошибочного запроса.

Через некоторое время в логах сервера

Remote IP: 109.74.154.83

User-agent : Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322; .NET CLR 2.0.50727)

Пробиваем данные о подозрительном IP

General Information

Hostname

109-74-154-83.ptr.eset.com

IP

109.74.154.83

Preferable MX

a.mx.eset.com

Другие записи логов

Remote IP: 193.71.68.2

User-agent : Mozilla/5.0 (Windows; U; Windows NT 6.1; ru; rv:1.9.2.4) Gecko/20100513 Firefox/3.6.4

Nslookup

nslookup 193.71.68.2

Non-authoritative answer:

2.68.71.193.in-addr.arpa name = norman.norman.no

Следующий лог

Remote IP: 150.70.172.108User-agent : Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)HTTP_X_FORWARDED_FOR : 150.70.172.108

Делаем привычный запрос nslookup

$ nslookup 150.70.172.108

Non-authoritative answer:108.172.70.150.in-addr.arpa name = 150-70-172-108.trendmicro.com

И опять trendmicro

Remote IP: 150.70.64.197

User-agent : Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)

HTTP_X_FORWARDED_FOR : 150.70.64.197

Обратите внимание: в HTTP-запросах заполнены только поля User-agent. И, иногда, HTTP_ACCEPT или HTTP_ACCEPT_LANGUAGE. Чего маловато для настоящих браузеров.

Что всё это значит?

Кто-то взломал сети антивирусников и использует их как прокси

Антивирус (или средство автоматического анализа сэмплов) логирует запросы подозрительного ПО к удаленным серверам

На этом этапе наши идеи носят характер научного тыка и не сильно подкреплены доказательной базой. Но и история на этом не заканчивается.

Логи ошибок от клиентского ПО

Результаты выполнения команд: ipconfig,dir C:, dir D:, systeminfo, tasklist (для упрощения воссоздания окружения при отлове бага).

Результат ipconfig с одного из клиентов:

Ethernet adapter Local Area Connection:

Connection-specific DNS Suffix . :

Description . . . . . . . . . . . : VMware Accelerated AMD PCNet Adapter

Physical Address. . . . . . . . . : 00-50-56-8E-01-10

Результат dir C: с другого клиента

Directory of c:\

04/16/2010 12:25 0 AUTOEXEC.BAT

04/16/2010 12:25 0 CONFIG.SYS

04/16/2010 12:27 <DIR> Documents and Settings

04/12/2012 13:17 459,982 A0iYkCc.exe

04/16/2010 12:27 <DIR> Program Files

12/11/2011 13:02 <DIR> WINDOWS

3 File(s) 459,982 bytes

3 Dir(s) 8,396,890,112 bytes free

Результат systeminfoНазвание ОС: Microsoft Windows XP Professional

Версия ОС: 5.1.2600 Service Pack 3 Build 2600

Дата установки: 2010-4-29, 5:35:19

Изготовитель системы: Red Hat

Модель системы: KVM

Тип системы: X86-based PC

Процессор(ы): [01]: x86 Family 6 Model 6 Stepping 3 AuthenticAMD ~2608 Mhz

Версия BIOS: QEMU - 1

Результат tasklistSystem Idle Process 0 Console 0 28 K

Running NT AUTHORITY\SYSTEM

python.exe 1776 Console 0 4,412 K Running Admintrator

pythonw.exe 1820 Console 0 6,352 K Running Admintrator

hookanaapp.exe 1316 Console 0 5,048 K Running Admintrator

Ещё из логов в тот же день

Remote IP: 69.164.111.198

User-agent : Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; WOW64; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; MDDC

whois возвращает строчку

OrgName: Sungard Network Solutions, Inc.

Вот их сайт: http://www.sungard.com

Неведома зверушка из Германии

Remote IP: 91.20.15.86

User-agent : Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727)

Из whois:

person: Security Team

remarks: * Hack Attacks, Illegal Activity, Violation, Scans, Probes, etc.

С чего такой интерес со стороны А\В лабораторий?

Функционал ПО, который может оказаться подозрительным:

1. Сбор информации о системе

2. Реализация удалённого обновления (download and exec — как зловред)

Выводы

1. Антивирусные лаборатории используют различные среды виртуализации при автоматическом детектировании подозрительного ПО. Также совершают автоматический запрос к серверам управления прямо из своих сетей, без использования VPN/прокси.

2. HTTP-запросы делаются не настоящим браузером. Это всё может вовремя предупредить владельцев ботнета и привести к своевременному переводу работающей части бот-сети на другой сервер управления.

3. Некоторые антивирусные лаборатории передают информацию о подозрительном ПО каким-то сторонним организациям, вроде “Sungard Network Solutions”.

Вопросы?

twitter: @shanker_sec

http://habrahabr.ru/users/shanker