Wirus z chmury: Zimowe usprawnienia w dostarczaniu trojanów

Podczas szczytu epidemii trojanów Emotet i Danabot kwestią szczególnie zaskakującą nie była złożoność samego wirusa, ale banalność kampanii. Emotet przychodził mailem, treść wiadomości mówiła o bliżej nieokreślonej "fakturze", a załącznik był plikiem VBS. Mimo to, trojan ten zwerbował armię komputerów i stanowił realne zagrożenie. Najwyraźniej tyle wystarczyło…

(fot. Image by Gerd Altmann, Pixabay)
(fot. Image by Gerd Altmann, Pixabay)
Kamil J. Dudek

Zasięg kampanii tego rodzaju zmniejszył się, gdy nawet operatorzy lokalnych, małych serwerów pocztowych zaczęli wycinać VBS z załączników, a opiekunowie stacji roboczych – wyłączać obsługę skryptów. Również antywirusy zaczęły być o wiele bardziej podejrzliwe względem cudacznych plików wykonywalnych z poczty. Pierwszy krok infekcji musiał więc stać się mniej oczywisty. Widzimy dziś na tym polu progres względem ostatnich lat. Ale wciąż nieco zaskakuje, że przy takiej złożoności trojanów, infekcje zaczynają się od tak marnych sztuczek.

Wirus z chmury

Nowa kampania idzie z duchem czasu. Jako, że przez rok pracy zdalnej wielu użytkowników nauczyło się udostępniać chmurowe pliki celem współpracy, zamiast rozsyłać je mailem i generować setki kopii, złośliwe maile zaczynają prowadzić na dysk OneDrive zamiast załączać plik bezpośrednio. Ma to kilka zalet (z perspektywy przestępców) o których warto wspomnieć.

Defender już radzi sobie z zagrożeniem (fot. Kamil Dudek)
Defender już radzi sobie z zagrożeniem (fot. Kamil Dudek)

OneDrive skanuje pliki antywirusowo "po swojej stronie" i robi to w bardziej dogłębny sposób, niż lokalny Windows Defender, z oczywistych powodów (skala). Dlatego pliki pochodzące z OneDrive'a są uznawane za bezpieczne przez domniemanie: ufa się im bardziej niż plikom "po prostu" pobranym z internetu. Ponadto, linki udostępniania Dropbox, Google Drive i OneDrive itd. chwilowo przestały masowo lądować w spamie. Upływający w realiach pracy zdalnej rok 2020 wymusił wzrost zaufania do udostępnianych tą drogą plików.

Link z maila jest łączem bezpośrednim do pliku, a nie do strony z widokiem udostępnionego katalogu. Pozwala to w dalszym ciągu dokonywać bezpośredniej interakcji z plikiem bez konieczności załączania go do maila. Przy okazji nie wysyła ofiary na stronę z detalicznymi informacjami o zasobie udostępnionym. To korzystne przy rozsyłaniu wirusów, owe informacje muszą wszak wyglądać podejrzanie. Lepiej się nimi nie chwalić, jeżeli ktoś ma się nabrać.

Obraz płyty

Sam plik jest z kolei archiwum w formacie… ISO. To interesujący, choć zrozumiały wybór. ISO nie jest "wykonywalne", więc przechodzi przez filtry pobierania. Jest możliwe do przeskanowania przez antywirusy, ale są one mniej skore do prób usuwania wirusów z wnętrza ISO niż z wnętrza ZIP ze względu na ryzyko uszkodzenia struktury. Antywirusy mogą być więc nieco zbyt wyrozumiałe względem obrazów ISO, a jednocześnie system Windows dostarcza rozbudowaną ich obsługę, w postaci m.in. natywnego montowania.

Zagrożenie jest wariantem znanym od dawna, acz z nowym nośnikiem (fot. Kamil Dudek)
Zagrożenie jest wariantem znanym od dawna, acz z nowym nośnikiem (fot. Kamil Dudek)

Podesłanie złośliwego pliku ISO, który zostanie zamontowany (i przez to zablokowany przed usunięciem) w systemie doprowadzi do stanu, w którym payload wirusa będzie jednocześnie łatwo dostępny i trudny do usunięcia. Teraz przestępcy muszą zadbać o to, by wirus nie był wykrywalny od razu ("z definicji") a jedynie potencjalnie, w przypadku wykonania podejrzanych czynności (behawioralnie/chmurowo). Zamontowane ISO nie zostanie też poddane kwarantannie…

Na zamówienie

Wreszcie, przychodzi kolej na samego wirusa. Tutaj także wprowadzono pewne innowacje, złośliwy kod stał się modularny. Sens podziału złośliwego pliku na moduły jest następujący: jeżeli plik dostarcza dekompresor i pewien dziwaczny plik, to sam z siebie jest "niewinny". Plik ten nie wykonuje żadnych złośliwych operacji poza składaniem payloadu. Czyli de facto niewiele się różni od programów do archiwizacji, przynajmniej pod tym względem. Dopóki więc nie zostanie zidentyfikowany konkretną definicją, nie jest natychmiastowym podejrzanym.

(fot. Kamil Dudek)
(fot. Kamil Dudek)

Taka struktura pozwala też na "komercjalizację": dekoder i iniektor mogą być takie same, a payload zmienny. Wskazują na to wpisy w encyklopediach antywirusowych. Wyszukiwanie informacji na temat iniektora TestProj.dll (swoją drogą jest to nazwa mająca na celu utrudnianie wyszukiwania, bo jest generyczna dla projektów Visual Studio) dostarcza dowody. Dr. Web pisze, że wykorzystano go do złodzieja haseł, F-Secure pokazuje także ransomware.

Jak zwykle, bardzo wyraźny jest rosnący poziom złożoności: unowocześniona, ale dalej oczywista kampania mailowa, nieoczywisty, ale łatwo wykrywalny nośnik oraz mocno zawiły, nieodczytywalny i złośliwy rdzeń. Taki podział również wskazuje na biznesowe podejście do tworzenia wirusów: różne "komórki" mają różny poziom umiejętności, co zapewne ma swoje odzwierciedlenie w kosztach.

Jedno się, mimo wszystko, nie zmienia: wystarczy tylko trochę uwagi, by całkowicie uniknąć zagrożenia.

Programy

Zobacz więcej
Wybrane dla Ciebie
Komentarze (56)