Eine neue Backdoor-Familie installiert sich über Java-Exploit

Originalartikel von Maharlito Aquino, Threat Research

Eine neue Backdoor-Familie ist aktiv. Der Namen der Hintertürschädlinge BLYPT stammt daher, dass sie Binary Large Objects (Blob) in der Registry speichern und Verschlüsselung anwenden. Der Backdoor wird über Java-Exploits entweder als Drive-by-Download oder über kompromittierte Websites eingeschleust.

Die Bedrohung betrifft Java 6-Nutzer, die keine Patches mehr von Oracle erhalten. Trend Micros Nachforschungen zeigen, dass die Server hinter diesen Angriffen vor allem in Rumänien und in der Türkei stehen. Derzeit treffen die Angriffe in erster Linie die Nutzer in den Vereinigten Staaten, und zwar nicht die Unternehmen sondern die Verbraucher.

Verbreitung und Installation

Ein Beispielfall zeigt, dass ein Java-Exploit zur Verbreitung des Angriffs genutzt wurde. JAVA_EXPLOYT.HI kann Zufallscode ausführen und nutzt die Sicherheitslücke CVE-2013-1493 aus, die im März einen Patch erhalten hat.

Die Angreifer nutzen den Exploit, um einen Installer herunterzuladen (~tmp{random values}.tmp), der seinerseits die BLYPT-Hauptkomponente herunterlädt und auf dem betroffenen System installiert. Es geht um logo32.png oder logo64.png, je nachdem ob es sich um eine 32-Bit- oder 64-Bit-Version von Windows handelt. Der Installer versucht, alle drei Sekunden Verbindung zu drei Servern aufzunehmen, bis er die Backdoor-Komponente erfolgreich heruntergeladen hat. Er wiederholt den Versuch 32 Mal.

Die Trend Micro-Sicherheitsforscher haben aufgrund des Dateinamens für die gespeicherte BLYPT-Hauptkomponente zwei Varianten ausgemacht. Beide werden im Verzeichnis %App Data%\Microsoft\Crypto\RSA gespeichert, die eine als NTCRYPT{random values}.TPL und die andere als CERTV{random values}.TPL. Für beide Varianten (BKDR_BLYPT.A, BKDR_BLYPT.B und BKDR64_BLYPT.B) gibt es 32- und 64-Bit-Versionen und ihr Verhalten ist nahezu gleich.

Bild 1. Verlauf der Infektion mit BKDR_BLYPT

Die Varianten unterscheiden sich durch den Ort, wo die C&C-Serverinformationen gespeichert werden. Die NTCRYPT{random values}.TPL-Varianten selbst enthalten keine C&C-Informationen, stattdessen speichert der Installer diese Daten in der Registry; die der BLYPT-Backdoor nutzt. Die CERTV{random values}.TPL-Varianten wiederum betten die C&C-Serverinformationen in die Datei selbst ein. In beiden Fällen werden die C&C-Informationen in der Registry unter dem Key HKEY_CURRENT_USER\Software\Microsoft\SystemCertificates\CA\Certificates\
5A82739996ED9EBA18F1BBCDCCA62D2C1D670C\Blob
gespeichert.

Das gilt nicht für die Formatierung. Wird die erste Variante entschlüsselt, liegen die Informationen in Klartext im folgenden Format vor:

<ip1>#:<port1>#:#:<server page1>#;<ip2>#:<port2>#:#:<server page2 >#;<ipN>#:<portN>#:#:<server pageN>#;

Die zweite Variante speichert ihre Informationen im Binärformat, und das sieht decodiert folgendermaßen aus:

struct
{
DWORD ip;
WORD  port;
} cncServer;

cncServer cncList[];

Raw Data Format Example:
<(DWORD)ip1><(WORD)port1><(DWORD)ip2><(WORD)port2><(DWORD)ipN><(WORD)portN>

Beide Varianten verschlüsseln ihre Informationen vermutlich mit (arc4) und verwenden “http://microsoft.com” für die Entschlüsselung.

Der Installer liefert sofort Feedback über den Status des Installs, indem er auf eine URL http://{malicious server}/index.aspx?info=<status keyword> auf einem bösartigen Server zugreift. Das Status-Schlüsselwort kann eines der folgenden sein:

  • startupkey_%d where %d = RegCreateKeyW return
  • reuse
  • configkey_%d where %d = RegCreateKeyA return
  • configkeyvalue_%d where %d = RegSetValueExA return
  • tserror_4_%d where %d = GetLastError from call to connect
  • createproc_%d where %d = GetLastError from call to CreateProcessW
  • reusereboot_%d_%d_%d

 C&C Serverzuordnung

Trend Micro hat die Konfigurationsdateien der Schadsoftware decodiert und konnte somit die Verteilung der C&C-Server für diese Bedrohung sehen:

 Bild 2. Verteilung der BLYPT C&C-Server

 Weitere Verhaltensweisen

Neben den bereits erwähnten C&C-Informationen speichert BLYPT weitere Informationen als eingebettete “Blobs” in der Registry. Dazu gehören die folgenden:


Die von BLYPT verwendeten Blobs

Als Backdoor erlaubt BLYPT einem Angreifer, Befehle an ein betroffenes System zu senden. Dazu gehören

  • aktualisierte DLL-Binaries erhalten,
  • aktualisierte Konfigurationen erhalten,
  • HTTP-Request-Befehle wie:
    • Senden eines GET-Requests an http://103.31.186.19:1000/FetchIP.aspx (um die öffentliche IP von der betroffenen Maschine zu erhalten)

Trend Micros Smart Protection Network schützt Nutzer vor dieser Gefahr, denn der Zugriff auf die damit in Verbindung stehenden Sites wird blockiert.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*