Subj, комплект исходных текстов бота Gozi ISFB (a.k.a Ursnif) опубликован в открытом доступе и доступен всем желающим. Вредоносная программа Ursnif является достаточно серьезным инструментом для работы с http и https трафиком на компьютере жертвы, она содержит в себе 32-битный и 64-битный компоненты полезной нагрузки для внедрения их в различные работающие процессы таких веб-браузеров как Google Chrome, Microsoft Internet Explorer, Mozilla Firefox, а также привилегированный процесс диспетчера сервисов Services.exe.



Ursnif начал активно использоваться киберпреступниками еще пять лет назад, а самые первые его версии вышли в свет еще в 2008 г. Злоумышленники активно использовали набор эксплойтов Blackhole exploit kit для распространения дропперов трояна. Недавно мы писали, что сам автор Blackhole получил семь лет тюрьмы. Gozi или Ursnif использовался злоумышленниками как похититель различной информации на системе жертвы, включая, учетные данные таких сервисов как FTP, Telnet, POP3, и IMAP.

Комплект исходных текстов содержит достаточно подробное описание выполняемых ботом функций, а также предназначение его различных компонентов и файлов. Операторы управляют Ursnif посредством командного C&C-сервера, передавая ему соответствующие инструкции. Передаваемые боту файлы конфигурации и наборы команд подписываются с использованием асимметричного алгоритма RSA. В случае неверной подписи таких файлов, бот отбрасывает присланные ему данные.


Рис. Информация о части проекта Ursnif из файла Readme.

Бот использует шифрование файлов дропперов, а также файлов DLL, используемых в качестве полезной нагрузки, что усложняет их анализ антивирусными аналитиками. В качестве примера можно привести следующие файлы Gozi.

Файл дроппера ссылка.
Расшифрованное тело дроппера ссылка.
Извлеченный файл 32-битной DLL ссылка.
Извлеченный файл 64-битной DLL ссылка.

Gozi использует следующий доверенный раздел системного реестра для регистрации полезной нагрузки HKLM\System\CurrentControlSet\Session Manager\AppCertDlls. Он также перехватывает ряд системных функций различных библиотек Windows для получения контроля за системными функциями:

  • CreateProcessAsUser(A/W)
  • CreateProcess(A/W)
  • CryptGetUserKey
  • InternetReadFile
  • HttpSendRequest(A/W)
  • InternetReadFileEx(A/W)
  • InternetCloseHandle
  • InternetQueryDataAvailable

Так как Gozi внедряется в процесс Windows Explorer, он может контролировать оттуда создание всех интересующих его процессов, включая, вышеупомянутые веб-браузеры за счет перехвата функций CreateProcess и CreateProcessAsUser. Пример такого перехвата показан ниже на рисунке.


Рис. Часть исходного кода функции-перехвата kernel32!CreateProcess. Присутствие макроса _KERNEL_MODE_INJECT говорит о возможной руткит-составляющей бота.


Рис. Информация о сборке проекта.

По данным исследователей IBM Security, на базе исходных текстов Gozi уже создан гибрид этой вредоносной программы с трояном Nymaim, подробнее об этом можно прочитать здесь. Антивирусные продукты ESET обнаруживают Gozi как Win32/PSW.Papras.

Комментарии (9)


  1. NeoCode
    17.04.2016 22:54

    Раз утекли, то вы бы хоть ссылку на скачивание сразу давали:)
    Или это нельзя по каким-нибудь законам или правилам?


    1. qw1
      17.04.2016 22:57

      httрs://гитхаб/defure/ISFB


  1. d_olex
    17.04.2016 23:00
    +6

    Отсутствующая ссылка на исходники о которых идет речь в посте: https://github.com/gbrindisi/malware/tree/master/windows/gozi-isfb


  1. ruzzz
    18.04.2016 01:10

    А на самом интересном, оказался болт.


  1. dirtyHabrBobr
    18.04.2016 09:08

    компоненты полезной нагрузки

    блестящий перевод для payload;
    в описании вируса — вообще феерично.


    1. zag2art
      18.04.2016 09:32
      +3

      насколько помню, payload всегда так переводили


    1. EndUser
      18.04.2016 10:57
      +5

      Этот же термин используется для бомбардировщиков и баллистических ракет.


    1. lostpassword
      18.04.2016 13:12
      +1

      А вы как бы перевели?


    1. teecat
      18.04.2016 14:18

      Для баллистических ракет у нас в институте боеголовки называли аналогично