Gootkit Trojan

Gootkit - это продвинутый банковский троян. Он отлично справляется с задачей уклонения от обнаружения и обладает невероятно эффективным механизмом сохранения, что делает его опасным вредоносным ПО, о котором должны знать исследователи и организации.

Что такое вредоносная программа Gootkit?

Gootkit - это банковский троян - вредоносная программа, созданная для кражи банковских учетных данных. Фактически, Gootkit классифицируется как один из самых сложных банковских троянов, когда-либо созданных. В его основе лежат сложные механизмы защиты от проникновения и персистенции, а также такие сложные методы, как динамические веб-инъекции.

С момента своего первоначального обнаружения в 2014 году Gootkit использовался в многочисленных атаках на банковские счета по всей Европе, некоторые из которых были очень разрушительными.

Известно, что Gootkit поражает наиболее распространенные веб-браузеры, а именно IE, Firefox и Chrome. Интересно, что этот троян написан в основном с использованием языка программирования node.js - не самый лучший выбор для большинства операторов. Более того, в то время как многие подобные вредоносные программы в значительной степени используют утечку исходного кода старых образцов, этот вирус, похоже, был написан почти на 100% с нуля.

Общее описание Gootkit

Корни этой вредоносной программы уходят в далекий 2010 год, когда впервые было зафиксировано то, что можно назвать предшественником Gootkit. Классифицированный в то время как похититель информации, не представляющий значительной опасности, Gootkit с тех пор превратился в полноценный банковский вирус.

Вредоносная программа в ее нынешней форме трояна была задокументирована с 2014 года и участвовала в атаках, направленных как на частных, так и на корпоративных жертв в Европе, в основном на банки Франции и Англии. Однако, по сообщениям, атакам также подверглись испанские и итальянские банки.

В отличие от некоторых других троянов, Gootkit не доступен для продажи в Интернете. Его код не был разглашен, а все атаки с использованием этой вредоносной программы осуществляла русскоязычная группа хакеров.

Создатели трояна Gootkit применили некоторые из самых современных трюков для защиты от вторжений, чтобы полезная нагрузка оставалась скрытой как можно дольше и не позволила исследователям кибербезопасности провести успешный анализ. Состоящий из двух основных частей - дроппера и самого трояна - вирус выполняет проверку в песочнице на каждом этапе своего жизненного цикла. Это означает, что и дроппер, и собственно троян имеют уникальные процедуры защиты от вторжения.

Как только дроппер попадает на машину, он проводит начальную проверку виртуальной машины, убеждаясь, что вредоносная программа не запускается в виртуальной среде. Это достигается путем проверки значения процессора системы в реестре Windows, проверяя наличие определенных имен виртуальных серверов. Кроме того, проверяется BIOS, чтобы найти любые значения, которые могут указывать на то, что вредоносная программа была запущена на виртуальной машине. Если вредоносная программа обнаруживает, что она запущена не на реальной машине, она прекращает все действия и подключается к серверу управления, чтобы внести в черный список конечную точку, на которой она была запущена.

Однако если начальная проверка пройдена, загрузчик устанавливает основной исполняемый файл Gootkit, который, в свою очередь, повторяет некоторые из предыдущих проверок и добавляет несколько новых. В одной из новых проверок вредоносная программа проверяет белый список имен, допустимых для процессора, чтобы определить, что имя ВМ отсутствует в списке. После этой проверки вредоносная программа сканирует жесткие диски IDE/SCSI на предмет обнаружения значений VMWare, VBOX или SONI.

Такие тщательные проверки виртуальных машин - не единственный "домкрат в рукаве", который есть у Gootkit в плане уклонения. Чтобы повысить процент успешных установок, создатели вредоносной программы часто вносят изменения в общий троян, меняя целевые процессы для инъекций и типы файлов исполняемого файла.

Например, вместо запуска .exe-файла некоторые образцы Gootkit загружают DLL непосредственно в целевой процесс. Более того, в то время как большинство вредоносных программ выбирают процесс explorer.exe в качестве цели для инъекций, Gootkit вместо этого выбирает процесс service host (svchost). Предположительно, это сделано для того, чтобы еще больше избежать обнаружения, поскольку внедрение в процесс с несколькими экземплярами позволяет Gootkit легче скрыться.

Помимо передовых методов защиты от обнаружения, вредоносная программа Gootkit использует не менее сложные методы сохранения, чтобы гарантировать, что ее удаление с зараженной машины окажется как можно более сложным. Вредоносная программа предоставляет два основных механизма сохранения, которые используются в зависимости от доступных системных прав. При запуске из учетной записи администратора Gootkit может имитировать службу Windows со случайным именем, что помогает запутать пользователей. Таким образом, он может запускаться до того, как жертва войдет в систему, и продолжать работать даже после выхода из системы.

Однако если вирус запускается из учетной записи пользователя с наименьшими привилегиями, он записывает себя как запланированную задачу со случайным именем. Эта задача запрограммирована на выполнение каждую минуту и при каждой загрузке, что гарантирует, что вредоносная программа останется на машине после сканирования антивирусным ПО и перезагрузки системы.

Процесс выполнения Gootkit

Gootkit часто попадает в систему как вложение в электронное письмо в виде файла Microsoft Word. После того как пользователь открывает вредоносный файл, он запускает Powershell для загрузки основной полезной нагрузки.

Следует отметить, что в некоторых случаях Gootkit откладывает выполнение, помещая себя в запланированные задачи. После начала выполнения основной полезной нагрузки Gootkit распаковывает и запускает себя. Этот процесс обеспечивает основную вредоносную деятельность - кражу личной информации, загрузку других вредоносных программ, захват видео рабочего стола жертвы, перехват банковских учетных данных, загрузку ключей, подключение к C2-серверам и так далее.

Распространение троянского загрузчика Gootkit

Gootkit использует несколько векторов атак для заражения своих жертв, включая популярные наборы эксплойтов, такие как Neutrino и Angler, что позволяет вредоносной программе проникать на машины с неактуальными операционными системами.

Второй используемый вектор атаки - спам по электронной почте, когда Gootkit доставляется пользователям в виде вредоносного вложения. Социальная инженерия используется для того, чтобы убедить пользователя загрузить вредоносный файл.

Как избежать заражения Gootkit?

Чтобы значительно снизить риск заражения вредоносным ПО, таким как Gootkit, можно следовать нескольким правилам безопасности в Интернете. Например, пользователям рекомендуется устанавливать самые свежие обновления ОС и обновлять приложения, которые они используют регулярно.

В то же время те приложения, которые открываются редко, следует удалить с компьютера. Кроме того, рекомендуется отключить рекламу в браузере и избегать посещения подозрительных веб-сайтов. Кроме того, если на работе используется личный почтовый ящик, а не корпоративный, пользователю следует воздерживаться от отправки конфиденциальной информации на этот личный адрес электронной почты и с него.

Следует отметить, что открытие вложений в подозрительных электронных письмах всегда сопряжено с высоким риском заражения. Поэтому пользователи никогда не должны запускать подозрительные программы, загруженные из писем, отправленных с нераспознанных адресов.

Заключение

Хотя на долю Gootkit приходится ничтожно малый процент от общего числа атак финансового вредоносного ПО, этот троян следует считать чрезвычайно опасным. Благодаря своим сложным функциям защиты от настойчивости и вторжения, он способен на потенциально очень опасные атаки.

Более того, наблюдая за развитием трояна на протяжении многих лет, можно предположить, что его эволюция будет продолжаться. Киберпреступники, стоящие за этой вредоносной программой, будут продолжать разрабатывать способы обхода современных решений безопасности.

Поделиться с друзьями
SEC-1275-1