Історії про те, як антивірусні компанії обчислюють вірусів, завжди викликають непідробний інтерес у найрізноманітнішої аудиторії. Навіть незважаючи на те, що в більшості випадків такого роду викриття відбуваються тому, що вірмейкеров десь фундаментально накосячілі. Так вийшло і на цей раз, причому автор трояна не те щоб підставився сам, але знатно спалив своїх клієнтів, на радість фахівцям з інформаційної безпеки. Власне, випадок, про який піде мова, наочно ілюструє, як проводяться розслідування подібних інцидентів і яку інформацію можна отримати, звернувши увагу на незначні, здавалося б, деталі.
Почалося все з того, що до нас в вірлаб надійшло кілька семплів троянця-Стілер, що відрізняються один від одного низкою технічних деталей, але явно створених одним і тим же автором. Трой мав стандартний для подібного софта набір функцій: пошук і збір збережених паролів і файлів cookies з браузерів, копіювання текстових файлів, картинок і документів за списком, крадіжка паролів з FTP-клієнтів, а також учеток від «Телеграма» і клієнта Steam. Все, що нажито непосильною працею, Стілер пакував в архів і заливав в хмарне сховище: в одній з версій - на Яндекс.Діск, в більш пізніх модифікаціях - на pCloud.
Кажуть, здоровий сміх продовжує життя. Якщо це насправді так, то, аналізуючи отримані зразки Стілер, вірусні аналітики явно виграли пару-трійку додаткових років
Одна з ранніх редакцій трояна поширювалася через відеохостинг YouTube - по посиланнях в коментарях, залишених з декількох фейковий акаунтів. При цьому ролики присвячувалися використання чітів і трейнерів в популярних іграх, а по посиланнях нібито можна було скачати ці програми. Тобто кампанія, по всій видимості, була розрахована на гравців-чітера, а однією з цілей імовірно був угон акаунтів Steam. Посилання на шкідливий софт також активно рекламувалися в твіттері.
Ще одна модифікація трояна була багатокомпонентної: крім основного шпигунського модуля, в його складу входив написаний на Go сканер, який визначав шлях до встановлених в системі браузерам, і окрема утиліта, запаковує крадені файли в архів і заливала їх в хмару. Дроппер троя був виконаний на AutoIt, що само по собі доставило дослідникам окремий ні з чим не порівнянний фан. Для поширення цього трояна лиходії придумали досить оригінальний метод: вони зв'язувалися з власниками популярних Telegram-каналів, яким пропонували прорекламувати програму для підключення до Telegram одночасно з декількох акаунтів. Додаток можна було протестувати - для цього потенційній жертві надсилали посилання на виконуваний файл, в якому ховався троян.
Що ж стосується самих Стілер, то все без винятку досліджені нами семпли виявилися написані на Python і сконвертовані в виконуваний файл за допомогою py2exe. При цьому код троянів виявився кривої, як фруктовий нiж, і такий же тупий. Взяти, приміром, пітоновскую функцію os.listdir (), що повертає список рядків, кожна з яких представляє собою ім'я директорії. Зазвичай отримані значення цієї функції Парс в циклі. Однак автор трояна для чогось формував зі списку рядок з пробілами-розділювачами і шукав в ній потрібні входження за заданим шаблоном з використанням регулярного виразу:
steam = os.listdir (steampath) steam = '' .join (steam) .decode ( 'utf-8') ssfnfiles = findall ( '(ssfn \\ d +)', steam)
Кажуть, здоровий сміх продовжує життя. Якщо це насправді так, то, аналізуючи отримані зразки Стілер, вірусні аналітики явно виграли пару-трійку додаткових років, бо дивитися без сміху на подібний чудовий код просто неможливо:
if score is 0: pass if score is not 0: exit (1)
По всій видимості, автори вірусів поки ще не освоїв складну синтаксичну конструкцію if score! = 0: exit (1) або замість рук у нього з плечей ростуть лапки. Друге, втім, пізніше повністю підтвердилося.
При компіляції скрипта інтерпретатор Python зберігає в байт-коді ім'я вихідного сценарію. Це ім'я, отримане нами з файлами, виявилося досить характерним: enotproject. А в Дроппер, написаному на AutoIt, зберігся навіть шлях до папки з файлами проекту: \ Users \ User \ Desktop \ Racoon Stealer \ build \. Нетривалий гуглеж за ключовими словами «Єнот» і «Racoon Stealer» привів нас на сторінку Lolzteam, де користувач під ніком «Єнот Погроміст» продає всім бажаючим ті самі трояни, а також проводить майстер-класи з написання Стілер на Python.
Наш «Єнот» виявився непростим звіром: до всього іншого він ще і відеоблогер, автор каналу про розробку шкідливого ПО, і власник аккаунта на Гітхабе, куди він викладає трояни власного виготовлення у вигляді початкових кодів.
Оскільки «Єнот» наслідив в Мережі неабияк, завдяки його відеороликів і іншої викладеної в паблік інформації аналітики дуже швидко встановили кілька технічних доменів, з яких він роздавав свій шкідливий софт, і три використовуваних їм особистих адреси електронної пошти. На просторах інтернету також був знайдений номер мобільного телефону «Єнота Погроміста», а до нього виявився прив'язаний аккаунт Telegram, який він використовує для зворотного зв'язку. Зібрана воєдино інформація про семплах Стілер, відеороликах, доменах і адресах поштових скриньок утворила ось таку схему зв'язків вирусописатели і задіяних їм технічних засобів.
Але найсмішніше крилося в коді троянів. Клієнтам, яким «Єнот» продавав свої Стілер, пропонувалося зареєструвати аккаунт в хмарному сховищі pCloud, куди троян самостійно завантажував запаковані в архів файли з зараженого комп'ютера. При цьому логін і пароль від кожного аккаунта своїх клієнтів «Єнот Погроміст» завбачливо зашив в тіло самих Стілер практично у відкритому вигляді, завдяки чому витягти їх звідти можна без жодних зусиль.
Ну і самі покупці троянів в більшості своїй відрізнялися високим інтелектом, незвичайний розум і диявольською кмітливістю: багато хто з них запускали Стілер на своїх особистих машинах (ймовірно, в тестових цілях), завдяки чому їх персональні файли виявилися залиті в хмарне сховище, до якого стараннями « єнота »може отримати доступ будь-хто. Не кажучи вже про те, що деякі особливо обдаровані гуманоїди використовували в якості логіна на pCloud свої особисті адреси електронної пошти, прив'язані до реальних сторінках в соціальних мережах. Так, і, зрозуміло, пароль у них теж скрізь однаковий.
Дивно, скільки відомостей про себе люди добровільно залишають в Мережі.
Оскільки «Єнот Погроміст» люб'язно злив нам приватну інформацію про своїх клієнтів, було б нерозумно не поцікавитися, чим вони займаються у вільний від покупки троянів час. Виявилося, що багато хто з них користуються і іншими Стілер, в достатку продаються на відповідних форумах. Від виявлених нами відомостей потягнулися ниточки до різних мережевих ресурсів: одна за одною відшукувалися особисті сторінки в соцмережах, канали на YouTube, поштові адреси, номери мобільних телефонів, ідентифікатори електронних гаманців в платіжних системах ... Деякі клієнти «Єнота» володіють веб-сайтами - завдяки службі Whois вдалося з'ясувати імена адміністраторів використовуваних ними доменів. У одного «грізного хакера» до всього іншого виявився електронний щоденник, якими зараз користуються всі школярі.
Таким чином, всі покупці єнотова Стілер були нами в найкоротші терміни обчислені, деанонімізіровани, на кожного складено докладне досьє і складено в акуратненьку папочку. Єноти іноді бувають вкрай корисні в справі боротьби з кіберзлочинністю.
Загалом, друзі, для того щоб обчислити автора вірусів, іноді досить простий уважності до дрібниць - завдяки цьому деколи вдається провести велику і успішне розслідування.
