Conficker Worm IOCs

security IOC
Опубликовано

Conficker, также известный как Downadup, CONFLICKER или Kido, - это червь для Microsoft Windows, который привлек большое внимание СМИ в начале весны 2009 года и мог быть занесен из Украины или Китая. В конце марта 2009 года он был сильно разрекламирован в СМИ, которые утверждали, что он доставит некую мощную разрушительную полезную нагрузку. Хотя этого так и не произошло, он примечателен количеством компьютеров, которые, как утверждается, были им заражены.

Conficker Worm

Название червя - это игра слов "Configuration" и "Ficker", немецкое непристойное слово, аналогичное английскому "f**ker". По сути, название означает "штука, которая возится с конфигурацией". Его так же часто называют "Downadup", но в прессе его чаще называют Conficker.

Поскольку червь избегает заражения компьютеров с украинской клавиатурой, принято считать, что этот червь может быть родом из Украины. Однако в конце марта 2009 года вьетнамская фирма BKIS заявила, что нашла доказательства того, что на самом деле он происходит из Китая. Они также утверждали, что обнаружили сходство между Conficker и (на тот момент) почти восьмилетним Nimda. Эксплойт, с помощью которого распространяется оригинальная версия червя, был обнаружен в Китае. До сих пор неизвестно, откуда взялся Conficker.

Несмотря на то, что уязвимость, которая позволила Conficker распространиться, была устранена чуть более чем за месяц до появления червя, миллионы компьютеров не были обновлены; спустя более месяца после появления червя почти 1/3 всех систем не были исправлены для уязвимости, которая позволила червю распространиться.

Исследователи интернет-безопасности считают, что червь Conficker имеет множество серьезных последствий. Помимо проблем со спамом, ботнет может быть использован для массового многомиллионного или миллиардного мошенничества и даже может иметь военное применение. Один из аналитиков по безопасности отметил, что создатель или создатели червя должны были обладать поразительными знаниями в различных областях вычислительной техники, включая сетевые технологии, криптографию и ОС Windows. Другой аналитик из Cisco сказал, что создатели приложили "безумное количество усилий для его разработки".

Один из авторов по безопасности отметил, что благодаря многочисленным векторам заражения и широкому распространению червя, он напоминает "старые добрые времена" таких эпидемий, как Blaster, Nimda и Sasser. Сотрудник компании Shavlik Technologies, занимающейся разработкой патчей, сказал, что давно не видел такого продвинутого червя.

Стали появляться новые варианты червя Neeris четырехлетней давности с модификациями, очень похожими на Conficker. Более поздние варианты этого червя стали использовать Autorun для заражения USB-накопителей. Были некоторые предположения, что создатели Neeris могли работать с создателями Conficker, но это так и не было подтверждено.

Из-за предполагаемой даты запуска полезной нагрузки Conficker часто становился предметом апрельских шуток. Одна из таких шуток была связана с предполагаемой поимкой создателей Conficker в Беларуси.

Conficker начинает заражение новой системы с отправки кода, использующего уязвимость MS08-067. Целевой компьютер получит RPC-запрос, содержащий код эксплойта, который использует уязвимость переполнения буфера для загрузки и выполнения червя. Он будет загружен с HTTP-сервера, созданного червем на заражающей машине, в виде файла .jpg.

Когда червь выполняется, он проверяет, используется ли в системе украинская клавиатура, и выходит из системы, если нет. Если он находит неукраинскую клавиатуру, то копирует себя в папку System в виде файла .dll со случайным именем. Червь создает службу с именем netsvcs. Затем он удаляет все созданные пользователем точки восстановления системы. Червь создает ключ реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\netsvcs\Parameters\ServiceDll, к которому добавляет свой путь в качестве значения.

Conficker создает HTTP-сервер на случайном порту машины. Он подключается к следующим веб-сайтам, чтобы проверить IP-адрес своего компьютера:

  • http;//checkip.dyndns.org
  • http;//getmyip.co.uk
  • http;//www.getmyip.org

Затем он отправит IP-адрес на удаленный компьютер и использует его для установки HTTP-сервера на случайном порту (между 1024 и 10000) зараженного компьютера. Когда червь успешно использует другой компьютер, новый целевой компьютер загрузит копию с этого сервера. Каждый раз, когда новая система успешно заражается, червь увеличивает значение, хранящееся в ключе реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Nls.
Файл:Diagram-conficker.jpg

Как работает Conficker

Он обращается к следующим сайтам, чтобы получить текущее время, которое он будет использовать для выбора домена для доступа из списка, содержащегося в черве:

  • http;//www.w3.org
  • http;//www.ask.com
  • http;//www.msn.com
  • http;//www.yahoo.com
  • http;//www.google.com
  • http;//www.baidu.com

Основываясь на этом числе, он пытается получить доступ к одному или нескольким из 250 доменов, чтобы получить обновления себя или загрузить другие файлы.

Conficker будет ставить патчи в память зараженной системы. Это делается, вероятно, для того, чтобы убедиться, что другой червь не проникнет в систему и не нарушит работу Conficker. Он может блокировать посещение пользователем некоторых антивирусных сайтов. Компания SecureWorks создала "глазную диаграмму", в которой используются изображения с сайтов безопасности, которые будут заблокированы на зараженной машине.

Если дата будет за 2008.12.19, то будет загружен файл loadadv.exe с сайта http;//trafficconverter.biz/4vir/antispyware/. Этот файл был недоступен вскоре после выпуска червя, но некоторые антивирусные исследователи считают, что это могла быть мошенническая антишпионская программа.

Варианты

Названия вариантов Conficker различаются в зависимости от того, какой источник новостей или антивирусный продукт используется. Первый вариант принято называть Conficer.A, второй - Conficker.B, но третий иногда называют Conficker.B++, а также Conficker.C. Четвертый вариант может быть Conficker.C или Conficker.D, как в статье Википедии о черве. Здесь используется Conficker.C, а в Википедии он известен как Conficker.D.

Conficker.B

Conficker.B и большинство, если не все последующие варианты, не проверяют наличие украинской клавиатуры. Когда он загружается с HTTP-сервера, файл также может быть .bmp, .gif или .png. Он помещает файл .dll со случайным именем (все строчные буквы) в папки Internet Explorer и MovieMaker, а также в папку данных всех пользовательских приложений и временную папку. Он также помещает файл .tmp со случайным именем (строчные и прописные буквы) во временную папку.

Он также может распространяться через общие сетевые папки. Если компьютер в сети защищен паролем, он пытается перебрать пароль. Он забрасывает себя в системную папку компьютера в виде файла с 5-8 символами нижнего регистра и расширением, отличным от dll. Он выполняет этот файл, запуская файл rundll32.exe.

Червь также может распространяться через съемные устройства. На этих устройствах он создает скрытую папку RECYCLER, куда помещает свою копию и файл с именем autorun.inf. Некоторые версии используют тактику социальной инженерии, при которой при подключении USB-накопителя появляется окно Autoplay с возможностью открыть папку для просмотра файлов. Пользователь будет думать, что нажатие на кнопку откроет накопитель, но на самом деле будет запущен червь. В блоге F-Secure сообщается, что он смог работать на Windows 7, которая в то время находилась в стадии бета-тестирования.

В дополнение к сайтам, используемым оригиналом для проверки времени, Conficker.B также использует эти:

aol.com
cnn.com
ebay.com
myspace.com

Это первый червь, использующий алгоритм хэширования MD6. Позже алгоритм был пересмотрен, так как была обнаружена уязвимость переполнения буфера. Вероятно, создатели использовали шифрование, чтобы предотвратить захват контроля над ботнетом сторонним хайджекером.

Conficker.C

Conficker.C не использует уязвимость переполнения буфера для распространения, вместо этого распространяясь в основном как обновление варианта B. Помимо сброса файла с произвольным именем .dll в системную папку, червь также сбрасывает файл в папки Internet Explorer, Movie Maker, Windows Media Player и Windows NT в папке Program files. Эти файлы будут скрыты и недоступны для пользователя. Для обновления он использует 50 000 доменных имен вместо 250, и будет проверять 500 из этих доменов раз в день.

Компьютер в ботнете, созданный червем, может действовать как клиент и как сервер, способный передавать пароли между различными компьютерами ботнета.

Этот вариант отключает некоторые процессы безопасности. Он останавливает свой собственный процесс при запуске под отладчиком.

Conficker.D

Conficker.D заражает другие компьютеры по сети, используя уязвимость в службе Windows Server (svchost.exe). При успешном использовании уязвимости возможно удаленное выполнение кода, если включен общий доступ к файлам. Он также может распространяться через съемные диски и слабые пароли администраторов. Она отключает несколько важных системных служб и продуктов безопасности.

Conficker.E

Conficker.E взаимодействует с серверами, связанными с семейством спам-ботов Waledac. Предполагается, что Waledac был создан теми же создателями червя Storm. Вариант E устанавливается как обновление для A, B и C. Он не заражает машины, которые еще не заражены предыдущим вариантом.

Эффекты

Этот червь, вероятно, является одной из самых разрекламированных самовоспроизводящихся программ в истории. Сначала СМИ не проявили к нему особого интереса. Вскоре появились дикие сообщения о смехотворно большом количестве зараженных компьютеров (до 20 миллионов, о которых сообщили несколько СМИ из источника, оставшегося безымянным). Одна из самых нелепых цифр поступила от немецкого журнала Spiegel, который утверждал, что было заражено 50 миллионов систем. Считается, что червь нанес ущерб в размере 9,1 миллиарда, в основном в Азии, Южной Америке и Европе.

Реальное количество систем, когда-либо зараженных червем, вероятно, не превышает 15 миллионов. В середине января компания F-Secure сообщила, что зараженных систем было 8,97. По данным Cisco, было заражено 10 миллионов компьютеров, причем пострадали 150 стран, включая Китай с 3 миллионами заражений (13,7% от общего числа зараженных Conficker), Бразилию с 1 миллионом (10,4%), Россию с 800 000 (9,3%) и США с полумиллионом (по другим данным, в США было 35 000 заражений или 2,6%). Вскоре после выпуска (или отсутствия) предполагаемой полезной нагрузки "судного дня" 1 апреля количество систем, зараженных червем, составило около 3,5 миллионов. Вьетнамская компания Bach Khoa Internetwork Security (BKIS) заявила, что во Вьетнаме 1 384 100 компьютеров заражены Conficker.

В конце февраля компания Microsoft выпустила "небезопасный" патч, позволяющий пользователям отключить функцию Autorun. Эта функция считалась удобной, поскольку простой скрипт мог позволить запустить программу, как только к компьютеру был подключен компакт-диск, USB-накопитель или другой съемный носитель. Однако опасность такой функции слишком очевидна, поскольку она может позволить запустить на компьютере множество программ, которые пользователь никогда не собирался запускать. CERT упрекнул Microsoft за то, что она не предоставила эффективных инструкций по отключению этой функции. Когда Microsoft выпустила исправление, она дала туманное объяснение этому, но многие эксперты по безопасности считают, что это результат работы червя. Microsoft предложила награду в 250 000 долларов США за поимку создателя Conficker, как и за Blaster, Sobig, Mydoom, You Are An Idiot и Sasser.

Как ни странно, при всей шумихе, поднятой в СМИ, очень немногие производители антивирусных программ проявили особый интерес к этому червю. Лишь немногие из них обратили на него внимание, например, повысили "уровень угрозы" на своих домашних страницах.

Хотя, возможно, дело просто в том, что СМИ раздули эти конкретные инциденты, червь, похоже, предпочитал больничные и военные компьютеры, некоторые из которых находились в критически важных зонах.

Европа/Британия

Червь заразил системы, принадлежащие британской Палате общин. Это заставило ИТ-персонал парламента запретить использование портативных устройств хранения данных. Также в Великобритании червю удалось заразить компьютеры Министерства обороны, а также на некоторых военных кораблях Королевского флота. Больницы в Шеффилде сообщили, что в феврале 2009 года было заражено 800 компьютеров. Пострадали также две больницы в Шотландии.

12 февраля в четверг сотни компьютеров немецкого бундесвера (вооруженных сил) были заражены. Заражение произошло на сотнях компьютеров в различных подразделениях бундесвера. Отдельные отделы бундесвера пришлось изолировать, чтобы сдержать инфекцию. Примерно через неделю червь заразил колледж в Гюстрове, земля Мекленбург-Передняя Померания на северо-востоке Германии.

12 января на несколько дней была нарушена работа отдела связи французского военно-морского флота. Связь была сильно ограничена, но это не повлияло ни на одну из операций флота. Как и во многих других местах, пострадавших от червей и вирусов, департамент ненадолго вернулся к использованию технологий, существовавших до появления современных компьютеров, в данном случае - телефона и факса. По словам начальника отдела информации и связей с общественностью ВМС Франции Жерома Эрулина, червь заразил компьютеры департамента, когда один из военных принес из дома USB-накопитель. Пулен отрицает какую-либо халатность и говорит, что системы были должным образом исправлены. После этого инцидента в департаменте запрещено использовать USB-накопители до тех пор, пока их содержимое не будет проверено.

Северная Америка

В Америке 6 февраля были заражены около 475 компьютеров судебной системы Хьюстона. Муниципальные суды закрылись, а полиция перестала производить аресты за мелкие преступления, такие как хранение наркотиков. Аресты за насильственные преступления не были затронуты. Освобождение заключенных под залог и обработка платежей по залогу замедлились. Слушания были отложены, но некоторые офисы для оплаты штрафов оставались открытыми. Город заплатил 25 000 долларов США, чтобы избавить офисы от червя. Это был один из немногих инцидентов в Соединенных Штатах, которые в основном остались невредимыми во время атаки червя.

Несколько сотен машин в различных больницах США были заражены Conficker. Среди них были устройства, управляющие кардиомониторами и аппаратами МРТ. Они не должны были быть подключены к Интернету, но они были подключены к внутренней сети, которая была подключена к другой сети с доступом в Интернет. Большая часть этого оборудования была предоставлена в рамках программы экономического стимулирования, в рамках которой были потрачены миллиарды долларов на современное оборудование для больниц. Постановления о больницах, использующих это оборудование, запрещали им каким-либо образом модифицировать оборудование в течение 90 дней, что включало удаление червя.

Канадское правительство заблокировало домен .ca от несанкционированных регистраций. Это позволило предотвратить использование домена .ca более поздними вариантами червя, генерирующими 50 000 доменных имен.

Азиатско-Тихоокеанский регион

Министерство здравоохранения Новой Зеландии было заражено червем в начале января. Сотрудники министерства в течение длительного периода времени были лишены доступа в Интернет. Представитель министерства назвал червя "умным программным обеспечением" и сказал, что его очень трудно удалить.

Indicators of Compromise

MD5

  • 574cf0062911c8c4eca2156187b8207d

SHA1

  • f1b6acf3a1b0ff40308cfecb04daf25e72cdbd0b

SHA256

  • 1023aeeee1dd4ca115fcb8e4882f9d5a1815dcecd2d7f35042110f96957127a0
Похожие записи:
  1. Raspberry Robin Worm IOCs
  2. Raspberry Robin Worm IOCs - Part 2
  3. Stuxnet Worm IOCs
  4. Raspberry Robin Worm IOCs - Part 4
  5. Raspberry Robin Worm IOCs - Part 5
Conficker CVE-2008-4250 Kido MS08-067 WORM
Добавить комментарий