Az amerikai Symantec infobiztonsági cég nemrég kivizsgált egy bejelentést, amely a Mandiant Corp. digitális helyszínelő laborjából érkezett, egy APT típusú, fejlett és hosszan tartó kibertámadást végrehajtó számítógépes kártevővel kapcsolatban.
A Norton antivírus termékek gyártója szerint az adott fertőzés a 2011. október óta ismert Ascesso/Hikit trójai hátsóajtó kódok családjába sorolható – de a Mandiant által észlelt újabb változat olyan speciális jellemzőkkel rendelkezik, amelyek valóban egy célzott, fejlett és hosszú időtartamú APT-támadásban való felhasználásra utalnak.
A kártevőhöz tartozó, PE formátumú, futtatható fájlok fejléc-időbélyegzőinek vizsgálata megmutatja, hogy nem egy éjszaka alatt összedobott programkódról van szó, a támadók mintegy 6 hónapon keresztül tökéletesítették az egyébként csak szűk körben felhasználható trójai hátsóajtó fertőzést:
- 2011. április 18: három különböző kernel-meghajtó fordítási dátuma
- 2011. április 27: hátsóajtó vezérlésére használható kliens, hacker-eszköz
- 2011. június 20: jogosulatlan DLL-telepítést végző kód
- 2011. október 23: egy kernel-meghajtó program újrafordítása
Jelenleg nem teljesen ismert, hogy a Hikit fertőzés-láncolat kiinduló pontja, a veszélyes .DLL fájlt telepítő „dropper” kód mit tartalmazott és miként került az áldozatok gépeire. Az APT-támadók többnyire megtévesztéssel élnek, pl. személyre szabott címzésű és témájú, de hamis feladójú, célzott adathalász levelet küldenek, amely veszélyes fájlt tartalmaz. Ennek a trükknek az alkalmazása a Hikit esetén, mint majd látni fogjuk, a célba vett gépek speciális szerepköre miatt nem valószínű.
A Mandiant cég elemzése szerint jelen esetben a támadók már korábban jogosulatlan rendszergazdai hozzáférést szereztek valahogyan az Active Directory-hoz. Ennek a teljes hatáskörű fióknak a segítségével a hackerek képesek voltak kicserélni a domén gépein a sérült kezű emberek gépelését megkönnyítő, ritkán használt sethc.exe fájlt a cmd.exe szabványos parancssorra – így az RDP távoli asztal bejelentkezéssel visszaélve rendszer-szintű változtatásokat végezhettek a kiszemelt Windows célpontokon.
Az új APT trójai által megtámadott rendszerekben az Oracle cég adatbázis-kezelő termékeire utaló, megtévesztő oci.dll névvel telepített kártékony fájl valósította meg a hátsóajtó funkciót – de a programok felhasználói engedély nélküli, rejtett futtatásához a modern Windows kiadásokban digitális aláírásra van szükség. A Hikit két certifikáttal is rendelkezik, a 32/64 bites processzorok utasítás-készleteire lefordított DLL-példányoknak megfelelően, bár közülük az egyik önaláírt, ezért érvénytelen, míg a másik lopott és 2011. nov. 28-án lejárt.
Két hálózati világ határán
Amennyiben az oci.dll fájlnak sikerül lefutnia, akkor az telepíti a rendszerbe a hálózati adatforgalom lehallgatására alkalmas W7fw.sys meghajtó-programot – majd vár és még tovább várakozik. A Hikit ugyanis nem alkalmaz hagyományos, ún. C&C típusú botnet-vezérlő szerver-kapcsolatot, talán mert a támadók nem merték megkockáztatni, hogy a célpontba sikeresen bejutott, célzott kártevő egy előzmények nélküli, kimenő hálózati csomaggal felhívja magára a figyelmet.
Az új APT-hátsóajtó akkor aktivizálódik, ha a támadók távolról, egy bizonyos egyedi letöltési helyre hivatkozó HTTP GET utasítással megszólítják. Ez a jellemző meglepte a víruselemzőket, mert a vállalati-intézményi gépek legtöbbje átjárószintű hálózati tűzfalak mögött található és azokhoz ilyen külső kéréssel nem lehet hozzáférni. A Mandiant szerint a Hikit éppen ezért valódi APT fenyegetés, mivel célzottan támadja azokat a többnyire szerver célú gépeket, amelyek a céges informatikában elterjedt, ún. demilitarizált zónában (DMZ) találhatók.A tűzfalaknál használt DMZ láb egy logikai felosztás olyan céges erőforrások elhelyezésére, amelyek általában korlátozott kétirányú hozzáférést igényelnek a nyilvánosan elérhető net felől. Ilyenek például a webszerverek, az aktív webportálok háttér-kiszolgálásához szükséges adatbázis-másolatok, illetve a távmunkásokat fogadó VPN- és terminál-kapcsolati szerverek. Amennyiben ezen gépek valamelyikét sikerül megfertőzni, a távoli hackerek TCP 80/443 portokon érkező, rejtett utasítása célt érhet.
Ezen új felismerés nyomán a Hikit működésének vizsgálata, illetve a hozzá kapcsolódó APT támadás elkövetői utáni nyomozás tovább folytatódik — írja a vírushiradó.hu.