🐤 📏 🎳 पावरप्लेडर 64-बिट नए एलपीई कारनामों के साथ अपडेट किया गया 🧒🏻 👩🏼‍🚀 🐶

कुछ महीने पहले हमने पॉवरलॉडर के बारे में लिखा था । यह दुर्भावनापूर्ण कोड explorer.exe के संदर्भ में एक दिलचस्प विशेषाधिकार वृद्धि पद्धति का उपयोग करता है। PowerLoader स्रोत जो सार्वजनिक रूप से उपलब्ध कराए गए हैं, उनका उपयोग अन्य मैलवेयर परिवारों में भी किया जाता है। उदाहरण के लिए, Win32 / Gapz बूटकिट ड्रॉपर इस PowerLoader कोड पर आधारित हैं। अगस्त में, हमने 64-बिट ओएस (ईएसईटी द्वारा विन 64 / वैबुस्की ए के रूप में पाया गया) के लिए पॉवरलॉडर का एक नया संशोधन खोजा। यह संशोधन प्रणाली में अपने विशेषाधिकारों को बढ़ाने के लिए तीन कारनामों का उपयोग करता है (स्थानीय Privelege वृद्धि): MS13-053 (CVE-2013-3660), MS12-041 (CVE-2012-1864), और MS12-042 (CVE-2012-0217) । इस तरह के कारनामों का उपयोग पहले पॉवरलॉडर के नमूनों या संबंधित परिवारों में नहीं देखा गया था। अलेक्जेंडर मैट्रोसोव ने इस मैलवेयर का विश्लेषण किया।

Win64 / Vabushky मैलवेयर इस बात का एक अच्छा उदाहरण है कि कैसे जल्दी से हमलावर Carberp स्रोतों का उपयोग करके अपनी परियोजनाओं को अपडेट करते हैं । नए PowerLoader से दो 64-बिट कारनामों (CVE-2012-1864 और CVE-2012-0217) Carberp स्रोत कोड पर आधारित हैं। यह भी ध्यान देने योग्य है कि अप्रैल 2013 में जनता के लिए उपलब्ध पावरप्लेडर कोड ने इसके आधार पर ड्रॉपरों के प्रसार की एक नई लहर को उकसाया।

Win64 / Vabushky ड्रॉपर MPRESS का उपयोग करके पैक किया जाता है क्योंकि यह पैकर उन कुछ स्वतंत्र रूप से वितरित उत्पादों में से एक है जो 64-बिट PE32 + फ़ाइलों का समर्थन करता है। अनपैक करने के बाद, ड्रॉपर मूल PE32 + हेडर को संकलन समय के साथ पुनः प्राप्त करता है।

सभी फाइलों में अगस्त की शुरुआत में संकलित एक पेलोड शामिल है। PowerLoader के इस संस्करण की निर्यात तालिका में, आप पुराने संस्करण की तुलना में परिवर्तन देख सकते हैं।

Explorer.exe में कोड इंजेक्ट करने के बाद, PowerLoader विश्वसनीय प्रक्रियाओं के संदर्भ में निम्नलिखित कारनामों को निष्पादित करने का प्रयास करता है।

सुरक्षा उत्पादों में उपयोग किए जाने वाले कुछ प्रकार के सैंडबॉक्स को बायपास करने के लिए एक समान कारनामे का उपयोग किया जा सकता है, क्योंकि ये कारनाम कानूनी Win32 API का उपयोग करके उपयोगकर्ता मोड से कर्नेल ऑब्जेक्ट के प्रत्यक्ष हेरफेर का उपयोग करते हैं।

CVE-2013-3660

मार्च में, Google सुरक्षा दल Tavis Ormandy (@taviso) के एक शोधकर्ता ने भेद्यता CVE-2013-3660 की खोज की, जिसे जुलाई बुलेटिन MS13-053 द्वारा बंद कर दिया गया था। हमने इस शोषण के 64-बिट संस्करण का अवलोकन नहीं किया, जब तक कि नया पॉवरलॉडर संशोधन दिखाई नहीं दिया, जबकि PoC x86 संस्करण जनता के लिए उपलब्ध है।

शोषण किए जाने से पहले, शोषण कोड GDI ऑब्जेक्ट्स के साथ काम करने के तथ्य को छिपाने के लिए एक दूसरा डेस्कटॉप ऑब्जेक्ट ( user32! CreateDesktopA ) बनाता है।

मुख्य ऑपरेटिंग कोड नीचे दिए गए चित्र में दिखाया गया है।

NT! NtQueryIntervalProfile के साथ निष्पादित होने वाला शेल कोड निम्नानुसार है।

यह ऑपरेटिंग कोड 64-बिट विंडोज 8 में काम नहीं करता है, क्योंकि यह इंटेल एसएमईपी (पर्यवेक्षक मोड निष्पादन सुरक्षा) हार्डवेयर तकनीक को बायपास करने में सक्षम नहीं है, जो नया ओएस सॉफ्टवेयर का समर्थन करता है। SMEP कर्नेल मोड में उपयोगकर्ता पता स्थान कोड के पृष्ठों के निष्पादन को रोकता है और विंडोज 8 के 64-बिट संस्करण में ROP का उपयोग करके बाईपास किया जा सकता है । हालाँकि, Intel ने पहले ही SMAP (सुपरवाइजर मोड एक्सेस प्रिवेंशन) नामक एक अन्य सुरक्षा तकनीक की घोषणा की है, जो मेमोरी पेजों तक पहुंच पर अतिरिक्त प्रतिबंध लगाती है। इन दोनों SMAP और SMEP तकनीकों को कर्नेल-मोड NULL पॉइंटर डेरेफेरेंस भेद्यता के शोषण को रोकने के लिए डिज़ाइन किया गया है, लेकिन SMAP अभी तक विंडोज पर समर्थित नहीं है।

CVE-2012-0217 और CVE-2012-1864

इन भेद्यताओं के लिए शोषण कोड लीक किए गए कार्बप स्रोतों पर आधारित है। कार्बेर ग्रंथों के सार्वजनिक रूप से उपलब्ध होने से पहले हमने CVE-2012-1864 ITW के 64-बिट संस्करणों का अवलोकन नहीं किया। ऑपरेशन कोड CVE-2012-0217, जो जनता के लिए उपलब्ध है, OS के 64-बिट संस्करणों पर महत्वपूर्ण रूप से काम नहीं करता है। Carberp ग्रंथों में शोषण निष्पादन योग्य फ़ाइलों का निरीक्षण करने के बाद, यह पाया गया कि उन्होंने बिल्ड निर्देशिकाओं के लिए एक ही रास्ता इंगित किया था।

इससे पता चलता है कि शोषण एक ही प्रणाली और संभवतः एक व्यक्ति द्वारा विकसित किए गए थे। शोषण कोड CVE-2012-0217 सार्वजनिक रूप से उपलब्ध PoC से काफी अलग है, जो परिचालन क्षमताओं को प्रदर्शित करता है। Carberp ग्रंथों का शोषण संस्करण अधिक स्थिर है और 64-बिट OS का समर्थन करता है। CVE-2012-0217 के इन शोषण संस्करणों के कोड ब्लॉक में मैच नीचे दिखाए गए हैं (PowerLoader से कोड बाईं ओर इंगित किया गया है)।

पहली नज़र में, वे बहुत समान लगते हैं। मुख्य अंतर केवल अतिरिक्त डिबग-कोड में पाए जाते हैं, जो कि पॉवरलॉडर संशोधन में शामिल नहीं है। इसके अलावा, ऑपरेशन को और अधिक स्थिर बनाने के लिए इसमें कई तरीके हैं।

यह कोड ऑपरेशन के दौरान कई थ्रेड्स द्वारा 100% CPU उपयोग से बचने के लिए nt! HalDispatchTable में संशोधन प्रदान करता है।

CVE-2012-1864 का शोषण भी नए पॉवरलॉडर संशोधन तक सार्वजनिक रूप से उपलब्ध नहीं था। अजीमुथ सुरक्षा से तारजेई मांड (उर्फ @ कर्नेलपूल) द्वारा भेद्यता की खोज की गई थी। जून 2012 में RECON सम्मेलन में अपनी रिपोर्ट " स्मैश द एटम" में भेद्यता का विवरण सार्वजनिक किया गया था, लेकिन शोषण कोड को जनता के लिए प्रकाशित नहीं किया गया था। PowerLoader से शोषण कोड अधिक अनुकूलित दिखता है और इसमें कोई डीबगिंग जानकारी नहीं होती है। नीचे इस शोषण के विभिन्न संस्करणों में अंतर हैं, दूसरे स्क्रीनशॉट में पॉवरलॉडर का एक संस्करण है, जिसमें डिबगिंग जानकारी का कोई आउटपुट नहीं है।

CVE-2012-0217 और CVE-2012-1864 कमजोरियों के लिए ये दोनों कारनामें सुरक्षा उत्पादों में सैंडबॉक्स बाईपास के अच्छे उदाहरण हैं। एक्सप्लॉइट मानक WinAPI का उपयोग करके उपयोगकर्ता मोड से कर्नेल मोड ऑब्जेक्ट में हेरफेर कर सकते हैं। इन प्रकार की कमजोरियों का उपयोग करके सैंडबॉक्स बाईपास का एक अच्छा विवरण प्रस्तुतिकरण "एप्लीकेशन सैंडबॉक्स: ए पेन-टेस्टर के परिप्रेक्ष्य" में प्रदान किया गया है ।

पेलोड

PowerLoader कोड को सफलतापूर्वक निष्पादित करने और विशेषाधिकार बढ़ाने के बाद, Win64 / Vabushky.A ransomware को उपयोगकर्ता के कंप्यूटर पर डाउनलोड किया जाता है। रैनसमवेयर फ़ाइल को बूटलोडर द्वारा वर्तमान विशेषाधिकारों को अधिकतम करने के लिए, अर्थात सिस्टम के बाद उठाया जाता है। Win64 / Vabushky ड्रॉपर एक वैध स्व-निर्मित प्रमाण पत्र के साथ एक चाल का उपयोग करता है और स्थानीय भंडारण में इसके बाद के खसरा CA, यानी ROOT CA और TrustedPublisher के रूप में स्थापना। निम्न कोड इस तकनीक को प्रदर्शित करता है।

यह चाल कोई नई बात नहीं है और पहले से ही मैंडेट के विश्लेषण में "द हिकिट" रूटकिट: एडवांस्ड और पर्सिस्टेंट अटैक "का उल्लेख किया गया है। इसके अलावा, इंस्टॉलेशन प्रक्रिया के दौरान, दुर्भावनापूर्ण कोड परीक्षण-हस्ताक्षर मोड को सक्रिय करने के लिए बूट कॉन्फ़िगरेशन डेटा (BCD) डेटा को संशोधित करता है, जो आपको अहस्ताक्षरित ड्राइवरों को डाउनलोड करने की अनुमति देता है। निम्न आंकड़ा रजिस्ट्री कुंजियों को दिखाता है जिसमें ड्राइवर स्थापित है।

अगला कदम सिस्टम को ब्लॉक करने के लिए सिस्टम में एक दुर्भावनापूर्ण ड्राइवर को स्थापित करना है और एक निश्चित कवर के साथ एक स्क्रीन प्रदर्शित करना है, जो कि उन यूआरएल में से एक से डाउनलोड किया जाता है जो कोड में ही हार्डवेअर हैं।

दुर्भावनापूर्ण प्रोग्राम की सभी क्रियाओं के बाद, उपयोगकर्ता को एक बंद डेस्कटॉप प्राप्त होता है।

Win64 / Vabushky Microsoft CryptoAPI का उपयोग करके उपयोगकर्ता फ़ाइलों को एन्क्रिप्ट करता है। एन्क्रिप्शन के बाद .crypted एक्सटेंशन को फाइल में जोड़ा जाता है। ड्राइवर कोड मानक स्क्रीन लॉक तकनीक का उपयोग करता है और विस्तृत चर्चा के लायक नहीं है।

निष्कर्ष

Win64 / Vabushky ड्रॉपर PowerLoader कोड के एक दिलचस्प संशोधन का उपयोग करता है। यह Carberp स्रोतों से 64-बिट OS के लिए LPE कारनामों का उपयोग करता है। Win64 / Vabushky द्वारा निकाले गए सभी मॉड्यूल और घटक विशेष रूप से विंडोज के 64-बिट संस्करण के लिए उपयोग किए जाते हैं। इसके अलावा, CVE-2013-3660 विंडोज 8 के 32-बिट संस्करण को संचालित कर सकता है, जो इसे सार्वभौमिक बनाता है। उसी समय, विंडोज 8 में इंटेल एसएमईपी की सीमाओं और इसके समर्थन के कारण, ऑपरेटिंग कोड ओएस के 64-बिट संस्करण के लिए काम नहीं कर सकता है। इस प्रकार, विंडोज 8 में अतिरिक्त सुरक्षा तंत्र प्रदान करने के लिए Microsoft के प्रयास वास्तव में उचित हैं यदि उपयोगकर्ता शोषण कार्यों से सुरक्षित है।

पावरप्लेडर 64-बिट नए एलपीई कारनामों के साथ अपडेट किया गया

More articles: