Conficker: вирус-хакер

Conficker, он же Downup, он же Downadup, он же Kidо – опасный вирус, поразивший по некоторым оценкам уже несколько миллионов компьютеров во всем мире. Компания Microsoft пообещала 250,000 $ за информацию о его создателях. Интересны методы, используемые вирусом. Они напоминают действия реальных злоумышленников в ходе проникновения в корпоративные сети.

Так типичным сценарием проникновения является следующая последовательность действий:

1. идентификация цели

2. поиск уязвимостей 

3. проникновение (эксплуатация уязвимостей)

4. выполнение поставленной задачи

5. сокрытие следов.

Шаг 1. Идентификация цели

Целью вируса является заражение большого количества компьютеров, поэтому в нем заложен специальный алгоритм генерации доменных имен и IP-адресов компьютеров-целей.

Шаг 2. Поиск уязвимостей

Для своего распространения вирус использует не только уязвимости в сетевых службах ( MS08-067), но и слабые пароли учетных записей Windows (полный список паролей можно посмотреть здесь. Думаю, что многие увидят свои любимые пароли.

Шаг 3. Проникновение

Вирус проникает через уязвимость MS08-067, либо через ADMIN$/IPC$ (в случае успешного подбора пароля), после чего создает DLL-файл со своим кодом в папках System32, Program files или временных папках пользователя. Время создания устанавливается таким же, как и kernel32.dll. Также вирус помещает свою копию на USB-носитель и вносит необходимые для его запуска изменения в autorun.inf.

Шаг 4. Выполнение поставленной задачи

Это самый интересный пункт, так как в вирусе реализована логика peer-to-peer клиента, и он может запускать любые программы, отправленные на исполнение его создателями. Интересно, что такие посылки подписываются с помощью цифровой подписи. Дополнительно в вирусе реализована защита от попытки провести дизассемблирование кода такой посылки в ходе исполнения – в случае запущенного программы-отладчика, процесс “убивается”.

Шаг 5. Сокрытие следов

Вирус предпринимает следующие шаги для сокрытия своей деятельности и затруднения борьбы с ним:

• “убивает” работу антивирусов (в “черном” списке вируса 23 таких продукта),
  
• блокирует запросы к Интернет-ресурсам, содержащим обновления антивирусов и прочие утилиты, которые могут быть использованы во вред вирусу;
• останавливает службу автоматического обновления Windows;
• устанавливает псевдо-патч, не позволяющий использовать уязвимость другим вирусам или злоумышленникам.

Интересный факт

В Conficker’е используются современные криптографические алгоритмы, такие как RC4, RSA и MD-6. MD-6 был опубликован в конце прошлого года и спустя несколько недель был реализован в вирусе. Криптографические протоколы используются вирусом для того, чтобы исключить возможность перехвата управления зараженными машинами. Высокий уровень квалификации создателей вируса не оставляет сомнения.

Что дальше?

Самое интересное, скорее всего, нас ждет впереди. Вирус позволяет запускать любой исполняемый код на зараженном компьютере. Остается только догадываться для чего будет использована такая громадная сеть зараженных машин. Может для DDOS-атак, а может быть для массовой кражи конфиденциальной или персональной информации. 

Заключение

Как отчаянный оптимист, попытаюсь найти положительный момент в этой ситуации. Думаю, что компании, в которых не налажен процесс управления уязвимостями, и в которых не проводится регулярный аудит информационной безопасности, извлекут соответствующие уроки и станут заниматься информационной безопасностью всерьез и во время финансового кризиса. Другого выбора нет, либо компания проводит регулярное тестирование защищенности и закрывает обнаруженные бреши, либо ее "проверяет" такой вирус, как Conficker. Один антивирус от подобной угрозы, к сожалению, не спасет.

Детальная техническая информация о вирусе: http://mtc.sri.com/Conficker/

Александр Дорофеев (c)