Раскрыт механизм распространения Flame через систему обновления Windows

10/06/2012 19:11

Специалисты антивирусной компании Symantec проанализировали работу очередных компонентов ("SNACK", "MUNCH" и "GADGET") многомодульного трояна Flame (W32.Flamer). Эти модули отвечали за один из способов распространения трояна, который продолжил удивлять своей интеграцией со службами ОС Windows. Напомним, что ранее эксперты компании Microsoft обнаружили в трояне Flame механизмы подписания вредоносного кода с использованием сертификатов службы терминалов Microsoft. Специалистам Symantec удалось раскрыть один из способов применения этих сертификатов для распространения трояна Flame через службу Автоматического обновления, а именно протокол Web Proxy Auto-Discovery Protocol (WPAD). Протокол WPAD предназначен для упрощения настройки сети в ОС Windows, путем автоматического поиска настроек прокси-сервера в локальной сети. С целью заботы о пользователях или специально для трояна Flame, разработчики Microsoft оставили эту функцию включенной по умолчанию. Система Автоматического обновления использует данный протокол для соединения с источником обновления, которыми могут выступать не только сервера Microsoft, но и локальные Windows Server Update Services (WSUS). Именно этой особенностью и воспользовались разработчики трояна Flame, организовав MITM-атаку на систему получения обновлений компании Microsoft. Суть атаки заключалась в следующем. Инфицированная система при помощи модуля "SNACK" производила мониторинг NetBIOS-трафика сети на факт обнаружения в ней WPAD-запроса. В случае обнаружения такого запроса, троян отправлял ответ, содержащий файл конфигурации "wpad.dat". Файл конфигурации указывал на то, что инфицированный трояном компьютер является прокси-сервером, через который необходимо производить все запросы. Далее, модуль "MUNCH", совмещающий в себе функции прокси-сервера и веб-сервера, анализировал поступающие запросы на совпадение запрашиваемых адресов и адресов серверов обновления Microsoft. Если такое совпадение было обнаружено, модуль "GADGET" предоставлял загрузчик трояна Flame (с динамическим названием файла) в качестве очередного критического обновления Windows, подписанного скомпрометированными сертификатами Microsoft. После успешной загрузки, система Автоматического обновления выполняла этот вредоносный код. В результате запуска загрузчика, происходил сбор информации о системе и ее настройках, включая информацию о часовом поясе и языке. После этого, данная информация отправлялась в управляющий центр, а загрузочный модуль переходил в режим ожидания очередных команд. Как правило, далее происходила загрузка и установка трояна в систему. Компания Microsoft, 3 июня 2012 года, отозвала 3 скомпрометированные цифровые подписи, а 8 июня 2012 года, выпустила очередное обновление Windows Server Update Services 3.0 Service Pack 2, которое должно обезопасить каналы получения обновлений в корпоративных сетях.
Подробности