Άλλη μια επιτυχία για τον Έλληνα ανεξάρτητο Ερευνητή ασφάλειας, που τις τελευταίες εβδομάδες προβαίνει σε συνεχείς ανακοινώσεις, αναλύοντας malware που λαμβάνει από πλήθος πηγών, συμπεριλαμβανομένων εταιρικών honeypots τόσο από Ελλάδα αλλά κυρίως από το εξωτερικό! Θα λέγαμε μάλιστα, ότι ο ερευνητής έχει κηρύξει “άτυπο” πόλεμο στους δημιουργούς malware και ιδιαιτέρως σε αυτούς που χρησιμοποιούν έτοιμα εργαλεία για να υποκλέπτουν πληροφορίες ανυποψίαστων θυμάτων και να δημοσιοποιούν προσωπικά τους δεδομένα στο διαδίκτυο.
Ο Έλληνας ερευνητής κακόβουλου λογισμικού (malware analyst) Παναγιώτης Ουρανός δεν πραγματοποιεί μόνο εις βάθος ανάλυση με τεχνικές αντίστροφης μηχανικής λογισμικού. Προχωρώντας ένα βήμα πιο πέρα, προσδιορίζει τους δημιουργούς κακόβουλου λογισμικού και σε μερικές περιπτώσεις εντοπίζει/ενημερώνει ακόμα και εταιρείες/οργανισμούς ή ιδιώτες που έχουν στοχοποιήθει από τους hackers-βιομηχανικούς κατασκόπους.
Το ερευνητικό αντικείμενο του κ. Ουρανού, δεν περιορίζεται μόνο στην Ελλάδα αλλά και σε κακόβουλο λογισμικό που στοχοποιεί εταιρείες/οργανισμούς του εξωτερικού. Δεν είναι τυχαίο ότι ήδη στο εξωτερικό υπάρχουν αναφορές από ειδησεογραφικά πρακτορεία του εξωτερικού για τον εξέχων τρόπο εργασίας του Έλληνα ερευνητή.
Σύμφωνα με επικοινωνία που επιδίωξε και πέτυχε το SecNews ,ο κ. Ουρανός επιτυγχάνει τα άκρως εντυπωσιακά του αποτελέσματα όπως δήλωσε χρησιμοποιώντας το παρακάτω περιβάλλον εργασίας:
[blockquote]Η ανάλυση πραγματοποιείται σε ελεγχόμενο περιβάλλον VM με ή χωρίς Internet gateway κατά περίπτωση, σε συνδυασμό με εργαλεία monitoring αλλά και εργαλεία reverse engineering όπως το IDA και OllyDbg. Επιπροσθέτως γίνεται χρήση Python για αυτοματοποίηση των διαδικασιών και inline ASM δυναμικά στον OllyDbg για τα hooks.[/blockquote]
Και φυσικά … άπειρες ώρες και απεριόριστη υπομονή θα προσθέσει η συντάκτης του άρθρου….
Το νέο malware
Το νέο Malware που αναλύθηκε από τον ερευνητή ,δεν έχει εμφανίσει εκτενή διάδοση μέχρι τις στιγμές που γράφονται αυτές οι γραμμές.Το συγκεκριμένο καταφθάνει μέσω ηλεκτρονικού μηνύματος στο mailbox του ανυποψίαστου χρήστη. Πιο συγκεκριμένα, εμφανίζει ένα εικονίδιο PDF ενώ στην πραγματικότητα πρόκειται για εκτελέσιμο αρχείο (.exe file). Ο ανυποψίαστος χρήστης λαμβάνει το μήνυμα με εμφαινόμενη διεύθυνση προέλευσης άτομο που γνωρίζει. Ο στοχοποιούμενος χρήστης, θεωρεί ότι πρόκειται για επισυναπτόμενο PDF όποτε και το εκτελεί με ολέθριες φυσικά συνέπειες
Αυτή την στιγμή το sampe και ο κώδικας του κακόβουλου εκτελέσιμου έχει υποβληθεί ήδη στις μηχανές ανίχνευσης απειλών και είναι εντοπίσιμο από την πλειονότητα των Antivirus.
Η ανάλυση
Ο κ. Ουρανός με εξειδικευμένα εργαλεία προχώρησε στην πλήρη αποκρυπτογράφηση του κακόβουλου λογισμικού. Την πλήρη ανάλυση μπορείτε να δείτε [εδώ]
Όπως διαπίστωσε, η κακόβουλη καμπάνια είχε δομηθεί πάνω σε προυπάρχοντα εργαλεία τα οποία είχαν αγοραστεί από hacking forums σε χαμηλές τιμές 30-50$ (crypters/fudders).
Εν συνεχεία τα εργαλεία αυτά χρησιμοποιήθηκαν για την κρυπτογράφηση ενός Stealer, λογισμικού δηλαδή που υποκλέπτει κωδικούς e-mail, κωδικούς Social networks, πληκτρισμούς (keystrokes/keylogger), κωδικούς στον browser κ.α. Το εν λόγω λογισμικό Stealer διαδίδει τον εαυτό του μέσω ηλεκτρονικής αλληλογραφίας σε άλλα θύματα και επιπλέον αποστέλλει τα ευρήματα από κάθε τερματικό-στόχο σε ηλεκτρονική διεύθυνση του δράστη-ηλεκτρονικού κατασκόπου.
Hacking the Hackers ή με άλλα λόγια … εντοπίζοντας το δράστη
Ο κ. Ουρανός προχώρησε την ανάλυση του ένα βήμα πιο πέρα. Προσδιόρισε με ακρίβεια τον δράστη/χρήστη προέλευσης της επίθεσης και απέκτησε πρόσβαση στον λογαριασμό e-mail που χρησιμοποιούσε για την άντληση πληροφοριών από τους στόχους του!!!
Κατά την ανάλυση λογισμικού και αφού με τεχνικές προγραμματιστικής αντιστροφής παρέκαμψε όλων των ειδών τις κρυπτογραφήσεις που είχε πραγματοποιήσει ο δράστης προσδιόρισε (κρυπτογραφημένα) τους κωδικούς πρόσβασης που χρησιμοποιούσε για την αποστολή των emails.
Με χρήση πρόσθετων τεχνικών αποκρυπτογράφησε το AES encrypted hash που εντόπισε στον κώδικα του λογισμικού και είχε πλέον στην διάθεσή του τα credentials (username+κωδικό πρόσβασης) του e-mail στο οποίο αποστέλλονταν τα στοιχεία υποκλοπής από τα ανυποψίαστα θύματα του βιομηχανικού κατασκόπου.
Η πρόσβαση στο mailbox του επιτιθέμενου πραγματοποιήθηκε, όπως μας ενημερώνει ο ερευνητής μέσω Proxy στο ΠΑΚΙΣΤΑΝ. Και αυτό διότι φαίνεται ότι ο δράστης βρίσκεται πιθανότατα σε αυτή την χώρα και η Google δεν επέτρεπε πρόσβαση από χώρα διαφορετικής αυτής.
Εντός του Mailbox δεν εντοπίστηκαν αρκετά στοιχεία επίθεσης κάτι που κίνησε ιδιαίτερα την περιέργεια του ερευνητή.Με μια προσεκτικότερη ματιά διαπίστωσε ότι τα e-mails προωθούνταν σε άλλο λογαριασμό e-mail yahoo για τελική απόθεση και δυσκολία εντοπισμού του δράστη.
Παρ’ολα αυτά ο ερευνητής εντόπισε πλήθος στοχοποιημένων εταιρειών και ιδιωτών στα διεγραμμένα e-mails του εν λόγω λογαριασμού.
Τελικές παρατηρήσεις
Είναι εμφανές ότι με την πολυεπίπεδη ανάλυση που πραγματοποίησε ο ανεξάρτητος ερευνητής κ. Παναγιώτης Ουρανός, προσφέρει πρώτης τάξεως πληροφόρηση για τις εταιρείες Antivirus αλλά και των ειδικών ασφάλειας (it security experts). Σύμφωνα με διασταυρωμένες πληροφορίες του SecNews, το εν λόγω κακόβουλο λογισμικό δεν είχε μέχρι στιγμής υψηλή διάδοση στην Ελλάδα ενώ οι δημιουργοί του φαίνονται να προέρχονται από το Ηνωμένο Βασίλειο αλλά και το Πακιστάν/Αφγανιστάν. Οι εταιρείες που είχαν στοχοποιηθεί όπως είμαστε σε θέση να γνωρίζουμε, αφορούσαν εμπορικές εταιρείες, φαρμακευτικές εταιρείες αλλά και κυβερνητικούς οργανισμούς κοινής ωφέλειας.
Όπως αναφέρει και στα συμπεράσματά του ο ερευνητής, οι δημιουργοί χρησιμοποίησαν εργαλεία “από το ράφι” που κυκλοφορούν ευρέως και είναι δυνατόν να αγοραστούν από τον καθένα σε ανοιχτά open forums έναντι ευτελούς ποσού.
Ελπίζουμε τέτοια παραδείγματα σαν του κ. Ουρανού να ακολουθήσουν και λοιποί ειδικοί ασφάλειας και αναλυτές, που γνωρίζουμε ότι δραστηριοποιούνται στον Ελλαδικό χώρο. Τέτοιες εξειδικευμένες αναλύσεις, με διεθνή προβολή, προβάλουν την χώρα μας στον τομέα της ηλεκτρονικής ασφάλειας συστημάτων, αποδεικνύοντας περίτρανα ότι ΔΕΝ αποτελούμε τους ουραγούς στην υιοθέτηση τεχνολογιών.
Η συντακτική ομάδα του SecNews ευχαριστεί τον κ. Παναγιώτη Ουρανό για την αποκλειστική, έγκυρη και αναλυτική ενημέρωση
