Pull to refresh
0

Win32/Gapz: последний эпизод

Reading time 3 min
Views 6K
Сегодня мы публикуем последнюю часть анализа буткита Win32/Gapz, а также хотим представить PDF, который содержит анализ этой интересной угрозы со всеми техническими подробностями. На его анализ ушло несколько месяцев интенсивного реверса. В Gapz мы увидели, что разработчики подобного рода угроз вышли на новый уровень сложности. Мы также считаем, что Win32/Gapz, на самом деле, представляет из себя наиболее сложный буткит из всех, что мы видели прежде. Подробный технический анализ этой угрозы вы можете найти в нашем PDF-документе Mind the Gapz: The most complex bootkit ever analyzed?.

Наши коллеги Евгений Родионов и Александр Матросов провели анализ кода Win32/Gapz, начиная с декабря 2012 года. В ходе этого анализа обнаруживалось все больше и больше интересных подробностей об этой угрозе.



Мы уже писали о Gapz ранее:

Win32/Gapz имеет достаточно низкий уровень распространенности (с начала его первого обнаружения мы фиксировали менее ста активных семплов). Большинство таких обнаружений было в России. Все известные C&C-панели были уже закрыты на момент начала анализа в декабре 2012 года. Домены для загрузки дополнительной полезной нагрузки были зарегистрированы через сервис DynDNS. Ниже приведен список таких URL, которые были найдены в дроппере после распаковки:
  • hxxp://xpiracyrt.is-into-cars.com/apps/32.lz
  • hxxp://retguard.is-into-cars.com/apps/32.lz
  • hxxp://soparesolv.is-into-cars.com/apps/32.lz
  • hxxp://xpiracyrt.is-into-cars.com/upds/7/1/upd.lz
  • hxxp://retguard.is-into-cars.com/upds/7/1/upd.lz
  • hxxp://soparesolv.is-into-cars.com/upds/7/1/upd.lz

Модификация Win32/Gapz.C, которая содержит функционал по заражению MBR, отправляет отладочную информацию процесса заражения по следующему IP-адресу:



Хостинг для этого IP-адреса расположен в Германии и, на момент публикации, все еще находится в режиме онлайн.



Мы обнаружили, что этот IP связан с несколькими доменами: meetafora.ru, sukarabotay.com. Оба этих домена были зарегистрированы в 2011 году, а срок их действия истекает в середине 2013 года. Сейчас этот IP уже прекратил принятие отладочной информации от бота.

Во всех модификациях Gapz, которые содержали буткит, адреса дополнительных C&C были извлечены из конфигурационного файла, который хранится в скрытой FS. Этот файл внедрен в главный kernel-mode компонент, находящийся на скрытом диске. Домены C&C генерируются как домены третьего уровня (изменяемая составляющая – домен третьего уровня) с помощью динамического DNS сервиса strangled.net (используется в Win32/Gapz.A).



Пример сетевого взаимодействия с таким доменом представлен ниже.



Модификация Win32/Gapz.C использует другую схему генерации доменов:



Взаимодействие с сетью в режиме ядра основано на ручной реализации стека TCP/IP и HTTP-протокола для того, чтобы обойти проверку с использованием локальных IPS/IDS. Полную информацию по реализации стека, см. здесь.

Мы полагаем, что семейство Win32/Gapz является наиболее сложным буткитом из всех, которые мы видели прежде. Ниже приведена таблица сравнений возможностей Gapz с другими видными представителями буткитов:



Hidden File System Reader с поддержкой FS Gapz

Для оказания помощи специалистам по безопасности и АВ-ресерчерам, которые сталкиваются с Gapz, мы обновили наш инструмент Hidden File System Reader с требованиями для этого буткита. Теперь он также может сохранять компоненты скрытой FS от Gapz. Утилиту вы можете скачать здесь.

Tags:
Hubs:
+11
Comments 1
Comments Comments 1

Articles

Information

Website
www.esetnod32.ru
Registered
Founded
Employees
1,001–5,000 employees
Location
Словакия