Szpiegowski trojan infekuje komputery z Windowsem, Linuksem i macOS-em
Tworzenie multiplatformowego złośliwego oprogramowania nie jestłatwe – w końcu zazwyczaj wykorzystuje ono specyficzne dla danegosystemu luki, więc im większa uniwersalność, tym mniejszaskuteczność. Tymczasem okazuje się, że Dark Caracal,cyberprzestępcza grupa, stojąca za realizowanymi na globalną skalęoperacjami szpiegowskimi, stworzyła sprawne narzędzie zdalnegodostępu, które działa nie tylko na Windowsie, ale też macOS-ie,Linuksie, a nawet Solarisie.
25.01.2018 15:38
CrossRAT, bo pod taką nazwą zaprezentowali go badacze zElectronic Frontier Foundation i firmy Lookout, jest trojanemzawierającym klienta zdalnego dostępu (RAT), pozwalającego narobienie zrzutów ekranów, uruchamianie własnego kodu,manipulowanie systemem plików, a nawet ukrycie się na stałe wzainfekowanym systemie.
Jak to możliwe, by takie narzędzie działało na czterechróżnych systemach? No cóż, podziękujmy Javie – to dzięki niejCrossRAT jest tak uniwersalny. Dzięki staraniomPatricka Wardle’a, byłego hakera NSA, wiemy jednak że nie całykod jest niezależny od systemu. Zdekompilował on trojana,rozprowadzanego jako plik hmar6.jar i znalazł elementy działającetylko w konkretnym środowisku, uruchamiane po jego wykryciu.
Szkodnik po uruchomieniu nie tylko sprawdza wersję systemu,kernela i architektury, ale też w wypadku Linuksa dostępną wersjęsystemd, by na tej podstawie odkryć, z którą dystrybucją ma doczynienia.Tylko w taki sposób można ukryć w atakowanym systemieszkodnika na stałe.
Mimo tej wieloaspektowości działania trojana, programyantywirusowe kiepsko sobie radzą z jego wykrywaniem. W momenciepierwszego przetestowania hmar6.jar w serwisie VirusTotal, wykryłygo tylko dwa silniki, Microsoftu i Trend Micro – i to mimo tego, żeto dopiero wersja 0.1 szkodnika.
W tej wczesnej wersji Wardle znalazł też mechanizmy, które niesą jeszcze wykorzystywane. W przyszłości CrossRAT może stać sięteż keyloggerem: wykorzystując już w nim obecną bibliotekęjnativehook będzie nasłuchiwał wydarzeń klawiatury i myszy.
Uważni Czytelnicy pewnie jednak drapią się po głowie – jakdochodzi do infekcji tym multiplatformowym szkodnikiem, skorouruchamianie aplikacji Javy nie jest czymś oczywistym dlaużytkowników? Według badaczy, Dark Caracal sprawnie radzi sobie zespołeczną inżynierią, nie potrzebuje żadnych exploitów 0-day.Namawia po prostu ofiary poprzez grupy na Facebooku czy wiadomościrozsyłane przez WhatsApp do instalacji ich oprogramowania zkontrolowanych przez nich stron internetowych. Podobno bardzoskutecznie.
Jak się zabezpieczyć przed CrossRatem?
Wygląda na to, że nie można specjalnie liczyć naoprogramowanie antywirusowe. Należy więc samodzielnie sprawdzić,czy czasem w systemie nie pojawiły się jego wpisy w mechanizmachzarządzania rozruchem:
- Windows: zainfekowane systemy mogą mieć w kluczu Rejestru\tHKCU\Software\Microsoft\Windows\CurrentVersion\Run\ wpisy\tzawierające takie frazy jak java, -jar czy mediamgrs.jar.
- Linux: w katalogu /usr/var\tmoże pojawić się plik mediamgrs.jar, w pliku ~/.config/autostart\tmożemy też znaleźć plik nazywający się mediamgrs.desktop.
- macOS: tu mediamgrs.jar\tmoże być przechowywany w /Library, mogą też pojawić się\tagenty uruchomienia (mediamgrs.plist) w /Library/LaunchAgents lub\t/Library/LaunchAgents. Oczywiście macOS jest stosunkowo odporny,\tod lat system ten nie zawiera już domyślnie Javy, więc jeśli\tnigdy nie instalowaliście jej środowiska uruchomieniowego, to i\tCrossRAT się nie uruchomi. Patrick Wardle proponuje też swoje\tnarzędzie BlockBlock(https://objective-see.com/products/blockblock.html),\tktóre ostrzega użytkownika, gdy coś wpisze się w proces\trozruchowy macOS-a.