Исследователи подразделения Unit 42 компании Palo Alto Networks столкнулись с необычной находкой: злоумышленник итальянского происхождения создал новый инструмент удаленного доступа (RAT), который получил название uWarrior. Главная особенность этой вредоносной программы - не столько её возможности, сколько метод распространения. Автор реанимировал давно известные уязвимости офисного пакета Microsoft, применив к ним современные техники обхода систем защиты.
Описание
Специалисты выяснили, что распространение uWarrior происходит через специально подготовленные RTF-документы. Внутри таких файлов скрыто несколько механизмов атаки. В частности, обнаружены эксплойты для уязвимостей CVE-2012-1856 и CVE-2015-1770. Первая из них - проблема в элементе управления TabStrip из библиотеки MSCOMCTL, которую Microsoft закрыла ещё в 2012 году патчем MS12-060. Казалось бы, использовать такой старый "баг" в современных системах невозможно из-за включенной рандомизации адресного пространства (ASLR), которая случайным образом размещает данные в памяти. Однако создатель uWarrior нашел обходной путь.
Вместо того чтобы искать новую уязвимость, автор применил метод, описанный на конференции Black Hat USA 2015. Суть метода в том, чтобы заставить приложение загрузить старую библиотеку MSVCR71.dll через особую настройку OLE-объекта. Эта библиотека не была собрана с поддержкой ASLR, поэтому её код всегда находится в одном и том же месте в памяти. Получив такой "нерандомизированный" островок, злоумышленник выстраивает цепочку ROP (возвратно-ориентированное программирование). Простыми словами, он заставляет программу выполнять последовательность маленьких фрагментов кода из этой старой библиотеки. В результате ROP-цепочка вызывает функцию VirtualProtect, которая позволяет пометить участок памяти как исполняемый и запустить вредоносный код.
Вредоносная нагрузка в документах, как обнаружили исследователи Unit 42, встроена прямо в структуру OLE-объектов. Анализ показал, что внутри двух из четырёх OLE-объектов находятся ZIP-архивы. После извлечения этих архивов становится видна небольшая структура папок, типичная для документов Word. Внутри каталога word/activex хранятся бинарные файлы и XML-документы, которые заставляют Office обращаться к конкретным компонентам системы. Для CVE-2012-1856 используется ActiveX-объект с указанием на библиотеку MSCOMCTL, а для CVE-2015-1770 - на OSF.DLL.
Стоит отметить, что атака рассчитана в первую очередь на 32-разрядные версии Office. Если документ открыть в 64-разрядной версии, механизм даёт сбой. Библиотека msvcr71.dll в такой системе просто отсутствует в нужном контексте, и вместо неё загружается MSVCR100.dll, что ломает все жестко прописанные адреса и в итоге ведёт к аварийному завершению программы.
После успешного взлома на компьютер жертвы сохраняется исполняемый файл uWarrior. Сама программа - это полнофункциональный троян удаленного доступа, который копирует себя в другую папку, закрепляется в системе и связывается с сервером управления (C2). Для связи используется сжатый, а иногда и зашифрованный TCP-сокет. Шифрование выполнено по алгоритму AES с известным ключом.
Набор команд у uWarrior довольно широкий. Троян умеет перезагружать и выключать компьютер, удалять себя, собирать информацию об установленном программном обеспечении и дисках, искать и скачивать файлы, а также вести собственный лог активности в файле bootloader.dec. Интересная деталь - среди заложенных команд есть функции для удаленного рабочего стола, но в текущей версии они не активны. В перечислении команд также остались неиспользуемые значения, словно автор скопировал структуру из другого проекта, не став удалять лишнее.
Эта догадка подтвердилась при более глубоком анализе. Исследователи нашли прямые связи между uWarrior и коммерческим трояном ctOS RAT, который продавался на теневых форумах. Конфигурации обеих программ почти идентичны, а во вспомогательной библиотеке uWarrior обнаружены функции, напрямую совпадающие с функциями из исходного кода ctOS. Автор uWarrior не создавал всё с нуля, а собрал свою программу из готовых модулей. Итальянские строки в коде и пути к файлам PDB окончательно подтверждают происхождение злоумышленника.
Этот случай - наглядный пример того, как старые методы эксплуатации не уходят в прошлое. Злоумышленники адаптируют их, используя новые техники обхода защиты и комбинируя части из разных доступных инструментов. Для защиты от подобных угроз предприятиям стоит обратить внимание на своевременную установку всех патчей для пакета Microsoft Office, а также на использование решений, способных анализировать поведение вложений в документах, а не просто проверять их по сигнатурам. Применение многофакторной аутентификации и принципа минимальных привилегий также снижает риск, даже если вредоносный документ минует первую линию обороны.
Индикаторы компрометации
IPv4
- 23.249.225.140
- 63.142.245.12
Domains
- login.collegefan.org
- login.loginto.me
SHA256
- 57a5d0da72655df9c5ca9137df7210b86845eeabae488537c70e36587274937c
- 5dce01ec5e1bc1b4f5012e0b4bf16532206284fc8c64cfb8dcf907f45caf98fc
- a6dea088c9e2c9191e4c2fc4ece7b7b7bd3f034f444362d35c8765f6ec4bd279
- f4aa83297844eb8297711e32554e41f677cce290732171583199a57fb7a0674b
