Kako se malver Powerliks krije od antivirusa

Opisi virusa, 05.08.2014, 09:18 AM

Stručnjaci nemačkog proizvođača antivirusa kompanije G Data otkrili su novi malver nazvan Powerliks koji pokušava da izbegne detekciju i analizu tako što radi samo iz system registryja ne kreirajući fajlove na disku.

Ovakav koncept malvera koji postoji samo u memoriji sistema bez fajlova na disku nije nov, ali su takvi malveri retki zato što oni obično ne preživljavaju ponovna pokretanja sistema, kada se memorija očisti.

To nije slučaj sa malverom Powerliks, koji ima nešto drugačiji pristup koji mu obezbeđuje opstanak.

U fajlu koji započinje sve zlonamerne aktivnosti na sistemu sačuvan je ceo kod koji je neophodan za napad, koji šifrovan i sakriven, čeka da bude izvršen. Da bi se obavile zlonamerne aktivnosti, napadači idu korak po korak u dubinu koda. Izvršavanje ovih koraka jedan za drugim podseća na ruske lutke babuške (matrjoške).

Napad počinje emailom sa maliciozno izmenjenim Microsoft Word dokumentom u prilogu. U slučaju koji su analizirali u G Data, napadači su koristili ranjivost CVE-2012-0158 u MS Office i nekoliko drugih Microsoftovih proizvoda. Iako propust nije nov, mnogi korisnici koriste neažurirane verzije softvera koje mogu biti kompromitovane na ovaj način.

Kada se fajl pokrene, kreira se kodirani autostart ključ u registryju. Tehnika kodiranja koju koristi malver je zapravo Microsoftova a služi da zaštiti Microsoftov izvorni kod od izmena.

Da bi izbegao detekciju sistemskih alata, registry ključ se sakriva tako što nijedan karakter u nazivu ključa nije ASCII karakter. Registry Editor ne može da čita ne-ASCII karaktere i zbog toga ne može da otvori ključ, pa se pojavljuje poruka o grešci. Tako ni korisnik takođe ne može da vidi ključ.

Kreiranjem autostart ključa, napadači mogu biti sigurni da ponovno pokretanje sistema neće ukloniti malver sa računara.

Dekodiranje ključa otkriva dva koda: jedan koji proverava da li napadnuti računar ima instaliran Windows PowerShell, i drugi, Base64-encoded PowerShell skiptu za pozivanje i izvršavanje shellcodea.

Shellcode izvršava payload, koji pokušava da se poveže sa udaljenim C&C serverom za komandu i kontrolu da bi dobio instrukcije. Postoji nekoliko IP adresa za C&C servere i sve su hardkodovane.

Malver je teško otkriti uobičajenim zaštitnim mehanizmima jer ne kreira nijedan fajl na disku.

“Da bi se sprečili napadi kao što je ovaj, antivirusna rešenja moraju ili da uhvate fajl (početni Word dokument) pre nego što bude izvršen (ako postoji), po mogućstvu i pre nego što dođe do email inboxa korisnika. Ili, kao sledeća linija odbrane, oni (antivirusna rešenja) treba da otkriju exploit, ili kao poslednji korak, nadzorom registryja mora se otkriti neobično ponašanje, blokirati odgovarajući procesi i upozoriti korisnik”, kažu iz G Data.

Malver Powerliks je veoma moćan i može preuzeti bilo koji payload, a razmere štete koju može prouzrokovati Powerliks mogu biti velike. Powerliks može instalirati spyware na zaraženom računaru da bi prikupljao privatne podatke ili poslovna dokumenta. On može instalirati i bankarskog trojanca a posledica toga može biti krađa novca sa računa korisnika. Malver može instalirati bilo koji štetan program u zavisnosti od potreba napadača. Powerliks se može koristiti i u bot mrežama i tako iskoristiti za zarađivanje novca od prevara sa oglasima.

Više tehničkih detalja o malveru Powerliks možete naći na blogu kompanije G Data.