Вихідні тексти бота Gozi витекли в мережу

Subj, комплект вихідних текстів бота Gozi ISFB (a.k.a Ursnif) опублікована у відкритому доступі і доступний усім бажаючим. Шкідлива програма Ursnif є досить серйозним інструментом для роботи з http і https трафіком на комп'ютері жертви, вона містить у собі 32-бітна і 64-бітний компоненти корисного навантаження для впровадження їх в різні працюють процеси таких веб-браузерів Google Chrome, Microsoft Internet Explorer, Mozilla Firefox, а також привілейований процес диспетчера сервісів Services.exe.



Ursnif почав активно використовуватися кіберзлочинцями ще п'ять років тому, а перші його версії вийшли у світ ще у 2008 р. Зловмисники активно використовували набір експлойтів Blackhole exploit kit для поширення дропперів трояна. Нещодавно ми писали, що сам автор Blackhole отримав сім років в'язниці. Gozi або Ursnif використовувався зловмисниками як викрадач різної інформації на системі жертви, включаючи облікові дані таких сервісів як FTP, Telnet, POP3 і IMAP.

Комплект вихідних текстів містить досить докладний опис виконуваних ботом функцій, а також призначення його різних компонентів і файлів. Оператори керують Ursnif допомогою командного C&C-сервера, передаючи йому відповідні інструкції. Передаються боту файли конфігурації та набори команд підписуються з використанням асиметричного алгоритму RSA. У разі невірної підпису таких файлів, бот відкидає надіслані йому дані.


Рис. Інформація про частини проекту Ursnif з файлу Readme.

Бот використовує шифрування файлів дропперів, а також файлів DLL, що використовуються в якості корисного навантаження, що ускладнює їх аналіз антивірусними аналітиками. В якості прикладу можна навести наступні файли Gozi.

Файл дроппера ссылка.
Розшифроване тіло дроппера ссылка.
Витягнутий файл 32-бітної DLL ссылка.
Витягнутий файл 64-бітної DLL ссылка.

Gozi використовує такий довірений розділ системного реєстру для реєстрації корисної навантаження HKLM\System\CurrentControlSet\Session Manager\AppCertDlls. Він також перехоплює ряд системних функцій різних бібліотек Windows для отримання контролю за системними функціями:

  • CreateProcessAsUser(A/W)
  • Застосунком(A/W)
  • CryptGetUserKey
  • InternetReadFile
  • HttpSendRequest(A/W)
  • InternetReadFileEx(A/W)
  • InternetCloseHandle
  • InternetQueryDataAvailable
Так як Gozi впроваджується в процес Windows Explorer, він може контролювати звідти створення всіх його цікавлять процесів, включаючи вищезгадані веб-браузери за рахунок перехоплення функцій Застосунком CreateProcessAsUser. Приклад такого перехоплення показано нижче на малюнку.


Рис. Частину вихідного коду функції-перехоплення kernel32! Застосунком. Присутність макросу _KERNEL_MODE_INJECT говорить про можливу руткіт-складової бота.


Рис. Інформація про складання проекту.

За даними дослідників IBM Security, на базі вихідних текстів Gozi вже створений гібрид цієї шкідливої програми з трояном Nymaim, детальніше про це можна прочитати здесь. Антивірусні продукти ESET виявляють Gozi як Win32/PSW.Papras.

Джерело: Хабрахабр
  • avatar
  • 0

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.