* Из архива ЦРУ к этому проекту. У агентов тоже есть юмор!
Запуск вредоносного ПО
Пропустим этап специальной подготовки флешки (его мы раскроем чуть позже) и начнем с того, что происходит, когда пользователь запускает vlc.exe с этого носителя.
Первым делом плеер читает файл со своим xml-манифестом, чтобы понять, есть ли какие-то дополнительные зависимости, которые нужно подгрузить. Там заранее прописан вызов якобы стандартной библиотеки psapi.dll (process status application programming interface), но запускается ее аналог-заглушка, которая потом перенаправляет запросы в оригинальную библиотеку. Кроме важной функции перенаправления, заглушка определяет, нужно ли активировать основной функционал шпионской программы или все же выдавать себя не стоит. Для этого осуществляется проверка факта запуска файла именно с «подготовленной» флешки (а не с другого носителя) за счет сверки зашитого серийного номера тома диска и номера носителя, на котором исполняется программа. Таким образом, «шпион» не раскроет себя, если его куда-то перенесут.
Как обеспечивается persistense
Этот пример интересен еще и тем, что для загрузки payload, обеспечения persistense у ЦРУ есть большие наработки. Не нужно каждый раз думать, как это делать, — есть специальная библиотека и даже рекомендации по обеспечению устойчивости вредоноса к обнаружению. Например, дается совет использовать стандартные функции для загрузки библиотеки LoadLibrary, а загрузчик должен корректно обрабатывать все exit-статусы в соответствии с MSDN. Выполнение таких правил требует времени и бывает, что такие вещи просто игнорируются blackhat-разработчиками.
Тем не менее, атаки такого типа известны. Описание принципа реализации такой side-by-side атаки доступно тут. Есть шанс, что если бы реальный файл этого ПО попал в песочницу, то он был бы раскрыт. Однако еще есть человеческий фактор: обратил бы администратор внимание на рекомендацию от песочницы?
Если dll-заглушка была запущена с правильного носителя, то она преобразует серийный номер в AES-ключ и расшифровывает основную библиотеку Rain Maker DLL и загружает ее в отдельном потоке в рамках основного процесса VLC. Более того, заглушка устанавливает mutex в ОС, чтобы основной payload не запускался несколько раз во избежание ошибок в его работе.
Сбор данных
Новая часть вредоносного ПО, только что созданная из «ниоткуда», проверяет, как давно она запускалась на этом компьютере, запрашивая его имя и текущее время, и сравнивая md5-хэш имени с сохраненными. Если не прошло 7 дней, то искать новых файлов программа на компьютере не будет, если она не запускалась или уже давно не работала (7 и более дней), то перейдет к следующим шагам. Хранит сведения программа скрытно в NTFS-потоках. Данная техника не нова, но эффективна, тем более, что, судя по всему, в ЦРУ уже написаны библиотеки по работе с ними — нужно просто вызвать правильную функцию DTNtfsAds_BK(wchar_t* filenameToAppendADS), подключив заранее библиотеку, так что разработчику в команде даже не нужно думать, как ее использовать. Это лишний раз подтверждается простотой руководства для новичков. Данные пишутся в поток [буква_диска_подмонтированной_флешки]:\\:$DataIdN.
Как только программа определила, что места на диске достаточно, чтобы исключить переполнение флешки и не помешать слушать музыку агенту, она начинает сбор файлов по заранее зашитой в нее конфигурации. Например, настроить пакет перед заливкой можно было так:
RainMakerConfigurator.exe -t TargetDirectories.txt -e *.docx;*.doc;*.xls;*.xlsx;*.pdf; -f 23 -vlc E:\vlc-2.1.5\vlc.exe -r plugins\access\customplugins.dat -p RainMaker_PubKey.pem
Где:
-t TargetDirectories.txt — список директорий на целевом компьютере, где искать файлы
-e *.docx;*.doc;*.xls;*.xlsx;*.pdf — типы файлов для копирования
-f 23 — процент свободного места, который должен оставаться на флешке
-vlc E:\vlc-2.1.5\vlc.exe — исполняемый файл VLC, в который зашивается вредонос
-r plugins\access\customplugins.dat — место хранения шифрованного контейнера с данными
-p RainMaker_PubKey.pem — путь к сертификату, открытым ключом которого будут защищены данные в контейнере до момента передачи носителя обратно в ЦРУ и их расшифровки с помощью закрытого ключа, который агенту не выдается.
Резюме
Таким образом, сведения о том, какие файлы были собраны и каково их содержимое, остаются закрытыми до момента расшифровки и не защищаются от раскрытия, в случае если носитель окажется в чужих руках или данные с носителя будут скопированы на другой носитель. Скорее всего, такой вектор атаки использовался для сбора сведений в закрытых сетях, где нет доступа в сеть Интернет. К сожалению, проверить правдивость данных, опубликованных в архиве Wikileaks нет возможности, тем более, что исходных кодов инструмента никто не опубликовал, однако описание сценария атаки с «внутреннего портала ЦРУ» выглядит довольно правдоподобно, и его стоит рассматривать как актуальный способ проникновения для таких специфических объектов.
Юрий Сергеев, Центр информационной безопасности компании «Инфосистемы Джет».
Комментарии (36)
badfiles
28.03.2017 17:49+5Ну если агент может вставить флешку и запустить с неё exe, то значит, что в организации нет службы безопасности. А если нет службы безопасности, то зачем все так усложнять?
LODIII
29.03.2017 00:00Думаю речь идет не всегда про агента а скорее социальную инженерию
Если Вы смотрели недавний сериал Мистер Робот, то там как раз разыгран подобный случай.
Для попаданию в закрытую базу полицейского управления хакеры разбросали вокруг здания флешки,
загрузив которую глупый сотрудник и позволил бы им попасть в закрытую сеть и скачать что нужно пока
идет проигрывание музыки.
whiplash
29.03.2017 13:24Этот тот веселый сериал для детей, где в начале чувак
— блэчит ИЗ ДОМА
— а потом в приступе паники сверлит жесткие диски дрелью???
Хороший пример, показательный)
Crandel
28.03.2017 21:37-1Может вопрос покажется странным, но что мешает агенту вручную поискать все файлы и скопировать их на флешку, раз он может ее вставить?
mayorovp
28.03.2017 22:00Во-первых, агент — специалист по людям, а не по компьютерам.
Во-вторых, плеер еще можно запустить незаметно, если повезет. А искать вручную значит сидеть за компом.
В-третьих, если флешку с файлами досмотрят на выходе — агент будет провален. А флешку с музыкой можно с извинениями отдать охране.Crandel
28.03.2017 22:06-2Где написано, что агент — специалист по людям?
Если он слушает музыку, значит сидит больше пяти минут за компом.
Скрыть файлы на флешке вообще не проблемаNikobraz
29.03.2017 09:37-2Расскажу вам про DLP которые делают скриншоты, журналирование и теневое копирование фаловых операци со съемными носителями.
Alex_Mukh
28.03.2017 22:50+3почему-то вспомнилось:
Уважаемый получатель, Вы только что получили вирус «ТАЛИБАН». Поскольку мы в Афганистане не так уж и продвинуты в технологиях — этот вирус следует исполнять вручную. Пожалуйста, перешлите это письмо всем, кого знаете, и уничтожьте все файлы на Вашем жестком диске собственноручно. Большое спасибо за помощь. Абдулла, хакер из Талибана.
сорри за оффтопик
dmitryredkin
28.03.2017 23:30-1Нда. Перевести proxy хоть попытались (хоть и неудачно — какая заглушка? посредник же!), то «живучести» и «вредоносному коду» повезло меньше…
Beowulf
29.03.2017 07:47Учитывая, что компьютеры хранящие более менее важную информацию серьёзно ограничивают подключение внешних устройств, а особо параноидальные даже физически устраняют USB-порты встаёт вопрос: какова целевая аудитория и информация для сего «шедевра»?
Или топ службы тоже балуются кардингом, а может и стимом не брезгуют?)) Хотя, в прочем, такой обвес вполне сгодится на пополнение своей же медиатеки, что бы в следующий раз агенту было, что нового послушать…Nikobraz
29.03.2017 09:40Не все далеко не все. Многие специалисты старой закалки полагают, что простого отключения от сети хватит. Да и много ли молодых или компетентных CISO в этой стране и других странах 2 и 3 мира?
Beowulf
29.03.2017 18:48+1Ну да… Мы же палкой землю копаем. Весело. По телевизору " русские хакеры ", которые все и вся ломают, здесь уже страна 3 мира оказывается… Думаю истина где-то по середине. Но факты, остаются фактами. Сомнительно в этом контексте вообще употребление слова «специалист» тогда, или Вы имели ввиду специалистов по уборке помещений? А много их или мало… повторю — там где действительно что-то интересное хранится существуют административные меры, режимные мероприятия и прочее. И спрашивать, что там и кто полагает не станут. Скажут как надо и будь добр. Или не будь, но тогда жди когда по шапке получишь.
den_golub
29.03.2017 18:51-1«Специалистов» таких обычно и не спрашивают. В таких местах, где есть важная информация есть административные меры и прочие режимные мероприятия.
И считают они отключение провода или не считают — ни кто и слушать не станет.
Не все далеко не все
Это уже абсурд, если рассматривать комментарий Beowulf в контексте статьи, то он безусловно прав, в любом гос. учреждении, где есть хоть сколько-нибудь важная информация, делается именно так, как и описано в комментарии, а в некоторых, если вы просто попытаетесь воткнуть флешку в usb, то через пару минут уже будете отвечать на нелицеприятные вопросы.
А в коммерции покушаться на мелкую фирму никто не будет, а крупные защищают не хуже гос. учреждений, а иногда и лучше.
Chupakabra303
29.03.2017 08:40Автор, на каком говносайте отрыли эту КДПВ-гифку? Имейте уважение к читателю.
kirion
29.03.2017 09:52+3Об этом примечании в начале поста. Эта гифка залита ЦРУшниками в описание к проекту Rain Maker (см. внизу attachments). Юмор у них такой.
на предыдущей версии странице она же
yosemity
29.03.2017 13:28Software restriction policies появились в XP 15 лет назад, да кому это интересно при настройке ИБ в организации?
Заголовок
alexoron
29.03.2017 18:32+1Исходя из:
К сожалению, проверить правдивость данных, опубликованных в архиве Wikileaks нет возможности
Это остается всего лишь очередной догадкой.
Ах да и еще одно, этому РэйнМейкеру далеко до СтаксНета, который в свое время приостановил ядерную программу Ирана, а попалился только из-за спешки израильских спецслужб.
Spewow
31.03.2017 06:09Нормальный узкоспециализированных инструмент.
1. Тебя вербуют, дают денег или идеологически обрабатывают, выдают задание вынести определённые документы.
2. Новоявленный шпион и предатель родины немножко очкует, да и вообще в ИТ не силён, просто имет --доступ--.
3. Ему говорят донт ворри май рашён френд, держи специальную флешку, которая сделает все за тебя. Ты главное сиди и наслаждайся мьюзик.
VBKesha
В ЦРУ умеют использовать авторан с флешек для запуска троянов?
Или я не понимаю всей серьёзности показного вектора атаки?
itsecurity
В данном случае, судя по описанию, либо агент сам запускал плеер с флешки (пришел подрядчик, хочет послушать музыку), либо носители использовали в рамках социальной инженерии (тот же подрядчик, например, дает сотрудникам заказчика послушать музыку со своей флешки).
pnetmon
Наверное послушать музыку с помощью плеера записанного на флешке, а не просто послушать музыку со своей флешки.
Наверное формат музыки не поддерживается стандартным ПО, типа FLAC...
VBKesha
То есть всё ещё страшней, даже автоматизации нет.
mayorovp
В каком смысле — страшнее? Лично мне кажется, что тут ЦРУ все делало технически правильно, потому что зачастую остаться вне подозрений важнее чем получить данные. Пока ты вне подозрений — количество попыток не ограничено.
Valery35
Да. Тоже понравилась логика.
Это не вирус и не троян — у него нет задачи распространяться. Наоборот, он неплохо защищен от копирования.
Busla
это как раз троян :-)
самостоятельно распространяться у трояна задачи обычно и нет :-)
VBKesha
Скажем так я ожидал прочитав кусок заголовка «Rain Maker для сбора сведений с закрытых объектов» и ЦРУ я ожидал увидеть какое то хитрое решение, с использованием не документированных возможностей. Какую нибудь систему для передачи информации путём модулирования работы ШИМа подсветки монитора, ну или типа того.
А не как что приходит понимаешь ли агент(на закрытый объект), садится за комп вставляет флешку запускает с неё экзешник(всё ещё на закрытом объекте) чтобы якобы послушать музыку(меломан хренов со своей музыкой на флешке) при помощи VLC(честно я не знаю как там у них а, но за свою жизнь я видел крайне мало случаев использования данного плеера для прослушивания музыки). В которой настроил копирование файлов по маске.
PS. Извините я наверно сильно зажрался, но просто не впечатлило, хотя может при этом и неплохо работает.
mayorovp
Я тоже ожидал хитрых решений. Но разве вы не видите, что описанное тут решение, хоть и не столь хитрое — очень изящное?
Флешка — совершенно не подозрительная. Если ее заметит охрана и отберет — всегда есть отмазка: попросту забыл ее в кармане. Даже если флешку не отдадут, а будут изучать — то практически любая проверка покажет, что там музыка и совершенно обычный плеер. И даже если после проверки ее не отдадут — не страшно, это расходный материал.
И, к слову, не обязательно ее проносить самому. Можно случайно "потерять" ее в доме "друга", а через неделю спросить его, не находил ли "друг" флешку с музыкой. Или можно придумать что-то еще. В конце концов, социальная инженерия — это основная специальность агентов ЦРУ.
VBKesha
Про последний абзац, учитывая что никакой функции вируса/трояна нет. Друг должен найти флешку, и пожелать воспользоватся плеером, причём на работе ну маловероятно.
mayorovp
Почему маловероятно-то? Надо просто выбрать друга — меломана, который слабо знаком с ИБ. И часть музыки должна быть в формате, который виндовым Media Player не воспроизводится.
VBKesha
Странное сочетание меломан и пользуется Media Player. И понесет чужую флешку на работу а не скопирует себе. Но всякое конечно бывает…
mayorovp
Так надо по дороге на работу ее подбрасывать. А Media Player он в этом гипотетическом случае не то чтобы пользуется, просто другого плеера на рабочем компе не стоит :)
Alex_Mukh
Я думаю, речь идет не о музыке: исламисты обожают слушать проповеди/песнопения/наставления. Передаются эти вещи как раз-таки из рук в руки.
Использование конкретного плеера можно замотивировать либо наличием плейлистов либо наличием титров/аудиодорожек либо удобной локализацией под родной язык.
mayorovp
Нет, это мною в виду не имелось. Но тоже является возможным вариантом.
kirion
Да, в этом и фишка. Все максимально просто и фунционально. Нет никакого rocket science, но при этом антивирус этот софт не должен задетектить. Были бы исходные коды, можно было бы оценить их качество, а так судя по документации инструмент точно использовали, есть User Guide, Developer Notes, вышло несколько версий софта.
Pycz
Авторан для флешек можно отключить.