14:00
21/3/2012

Jako pierwsi w Polsce mamy przyjemność poninformować, że dziś o 14:00 ESET postanowił ujawnić informacje na temat ciekawego botnetu, który został namierzony na początku tego roku. Botnet miał swoje C&C (czyli centrum zarządzania) w …rządowej domenie Gruzji.

Win32/Georbot

Oto kilka ciekawych faktów dotyczących botnetu Win32/Georbot pochodzących z nadesłanego nam przez ESET raportu:

  • Centrum sterowania zlokalizowane między innymi w rządowej domenie Gruzji (gov.ge). Nie oznacza to, że rząd Gruzji musi mieć z tym coś wspólnego, ale interesujące jest to, że jeśli bot nie znajdzie żadnego żywego C&C, to próbuje odwołać się do pewnej rządowej gruzińskiej domeny, skąd pobiera informacje o działających C&C.
  • Atakowanie przede wszystkim gruzińskich internautów. Bot przed infekcją sprawdza, czy ofiara jest w strefie czasowej (UTC+3 lub UTC+4). Infekcja botem następuje poprzez odwiedzenie strony internetowej — ESET nie ujawnia z jakich podatności korzysta Georbot.
  • Ręczna obfuskacja kodu. Większość dzisiejszego malwareu jest obfuskowana automatycznie, przede wszystkim packerami. Georbot ma obfuskowane nawet URL-e, adresy IP, ładowane DLL-ki oraz wywołania Windows API.

Win32/Georbot potrafi przeprowadzać ataki DDoS, wykradać certyfikaty (klucze prywatne) oraz konfigi RDP, skanować lokalną sieć ofiary, przesyłać dowolne pliki z dysku ofiary na zewnętrzne serwery i oczywiście standardowo: robić screenshoty, podpinać się pod webcam i mikrofon. Ale co ciekawe — wszystkie te komendy są aktywowane RĘCZNIE i wysyłane indywidualnie do WYBRANYCH hostów.

Najciekawsza funkcja Win32/Georbot

Jednak najciekawszą funkcją bota (i zarazem najczęściej używaną) jest wyszukiwanie na dysku ofiary plików Microsoft Worda oraz przeszukiwanie ich pod kątem konkretnych słów kluczowych. Oto, jakie zestawy słów kluczowych były wyszukiwane:

ministr,service,secret,top,agent,contact,army,USA,
Russia,Georgia,major,colonel,FBI,CIA,phone,number,
east,program

ministr service secret Russia Geo Euro weapon USA
Americ top colonel major serg soldie contact telephone
Cauca FBI CIA FSB KGB army name surname important

ministry,secret,plan,scheme,fsb,fbi,cia,kgb,captain,
colonel,leutenant,plan,phone,contact,number,russia,
georgia,usa,europe,major,general,top,interest,photo,
build,sphere

…to raczej nie pozostawia wielu wątpliwości, jaki jest cel botnetu Win32/Georbot. Zwróćcie uwagę, że szukano angielskich, a nie nie gruzińskich słów.

Powyższe “poszukiwane frazy”, jak i to, że na pierwsze ślady bota można było trafić już w 2010 roku pochodzą z panelu sterowania botem, do którego udało się dotrzeć analitykom ESET-u.

Win32_Georbot_panel

Panel Win32/Georbot

Z panelu i historii upgrade’ów bota wynika, że bot jest często uaktualniany, głównie są to jednak zmiany typowo kosmetyczne i polegają na uniknięciu wykrycia przez antywirusy.

Wątpliwości co do “rządowości”

ESET wspomina, że gruziński CERT oraz gruzińskie ministerstwo sprawiedliwości wiedzieli o tym zagrożeniu od 2011 roku, a z analitykami ESET-u współpracowali bez przeszkód. Firma twierdzi także, że malware jest za mało skomplikowany, żeby być finansowany przez rząd. Pracownicy ESET-u obstawiają, że jest to twór grupy, która trudni się wykradaniem i sprzedażą informacji. Kto wie, może to wewnętrzny projekt STRATFOR-u? :)

Aktualizacja 18.00
ESET udostępnił już publicznie PDF-a z pełnym raportem w sprawie Georbota.

Przeczytaj także:



59 komentarzy

Dodaj komentarz
  1. Co to znaczy C&C?

  2. Command Center ? ;)

  3. SUPER CIEKAWA SPRAWA :) Niebezpiecznik++

  4. taki command center dla botnetu

    • Command Center to masz w Red Alert ;)

    • @uname: lepiej wroc do tych swoich gierek, dzieciaczku…

    • @belzebub,

      Nie Zaprzeczysz!, Nie obrazisz!, Nie wyskoczysz!, bo żeś chłystek i tyle, nie ubliżając oczywiście!

      Pozdrawiam Świadomych :) I Dzieci Które Mają Dzieci I Wyzywają od dzieci!

  5. Jedno hasło google -> wikipedia:
    Command and control (Internet), server used as a command and control point by a botnet operator

    so hard?

  6. I git :) Szukają szpiegów w swoim kraju ;p

  7. Oczywiście Command&Conquer

  8. Opisano jak dochodzi do zarażenia? Jak botnet się powiększa?

    • Niestety nie. Wiadomo tylko, że via ramkę na stronach internetowych — możliwe są więc ataki drive-by-download.

  9. No i poszły w pi**u kontakty z centralą FBI/CIA. Wszystko- hasła, loginy, nawet numery telefonów i adresy. A tak uważałem. Nawet hasło na pocztę w wp.pl ostatnio zmieniłem (bo miałem takie samo od 3 lat). Zdekonspirowali.

  10. a kto pamięta “komą ę konker”?;)

  11. STRATFOR też chyba mógłby rzucić trochę więcej monet na taki projekt. Poza tym, jako globalna organizacja, czemu mieliby się ograniczać tylko do Gruzji/Kaukazu? Niemniej jednak ciekawy projekt i humanistyczne pytanie co jego autor miał na myśli;)

  12. No i na pewno ludzie, którzy mogą mieć coś tajnego do przekazania, coś, czego Gruziński rząd nie powinien widzieć przechowują to na dysku w plikach Worda…

  13. Gruzini nie gęsi i swój botnet mają :) nice :)

    • Gęsi mają swój botnet?

    • No właśnie nie mają, bo nie są Gruzinami.

    • @Polinik Skoro: A) Gruzini mają botnet B) Gruzini nie są gęsiami Więc odpowiedź brzmi: “Prawdopodobnie nie” ;)

    • @Polinik zastanów się jeszcze raz

    • ..ale jeśli Gruzin waży tyle, co gęś, to znaczy, że jest zrobiony z drewna, czyli jest czarownikiem?

    • @troll mózg…. rozje**** %D

    • czekaj czekaj… Monty Python :)

    • Ni!

  14. top->interest->photo->build->sphere wiedzac ze to pewnie nie tylko luźny ciag wyrazow ale prawdopodobnie jest za tym jakiś ciąg myślowy prowadzacy od jednego słowa do nastepnego, interesującym staje się pytanie o jaką sferyczną strukturę może chodzić…

  15. IMHO “coś” stoi za nieujawnieniem metody infekowania. Ok – drive by download, ale czego konkretnie? Czy, aby “czegoś” co “ktoś” mógł by chcieć pobrać, aby tego “ktosia” potem, właśnie, ręcznie inwigilować zwracając/odwracając swoim/swoją pochodzeniem/nieskompikowanością uwagę na “coś +1”?

  16. Widzisz cale życie w nieświadomości ;)

  17. Gdyby to miał finansować gruziński rząd, to raczej botnet miałby zestaw haseł w cyrylicy, żeby szpiegować Rosjan.

  18. Jakoś w ten STRATFOR nie wierzę – to thinktank a nie organizacja wywiadowcza sensu stricte, więcej wyciągną z otwartych źródeł. A czemu akurat Gruzja/Kaukaz? A kto powiedział, że Gruzja? GMT+3 i 4 to strefy w których znajdują się Moskwa, Bagdad i kilka innych ciekawych miejsc (niestety Izrael nie). GMT+4 pokrywa Iran (choć mają własną strefę czasową IRT UTC +3:30) Pytanie czy botnet zaraża również tą strefę?

    Powodów może być kilka. Ktoś im się tam zgubił/chcą kogoś znaleźć. Zamiast wykorzystywać normalne metody operacyjne, taniej jest podłączyć wszystko pod botnet i tak go/to znaleźć. Choć czas trwania przedsięwzięcia jest zbyt długi. Chyba, że szukają prewencyjnie. Prewencja jest drugim rozwiązaniem od jakiegoś czasu (eufemizm) w rejonie jest gorąco jeśli ktoś tam współpracuje z NATO/CIA/WielkimZłymZachodem lub spiskuje przeciwko Mateczce Rosji i chce wspierać Czeczenów lub islamskich separatystów z regionu robi to raczej po angielsku. Inna sprawa, że może to też być prowokacja. A może Irańczycy szukają u siebie kreta który przekazuje na zachód informacje o ich programie atomowym? Ech szkoda, że boom na powieści szpiegowskie się już skończył.

  19. Powinni to zalegalizować.

  20. patrze na tego screena i powiem Wam, ze panel wyglada jakby go zrobił 16 latek na lekcjach informatyki. Nie wygląda to zbytnio profesjonalnie. Samo opisane działanie również nie jest zbytnio wymyślne. No i ostatecznie już jest wykrywalny, a raczej zdemaskowany więc… słabo. Polacy potarfią lepiej IMO :)

    • Ja też najwięcej pracy poświęciłbym na C&C – miałby AJAXA, RESTfull API, jQueryUI i hakerską muzyczkę.

    • sam jestes IMO lol zal

    • @pielgrzym co kto lubi :]
      @troll antypolak ?

    • @troll: IMO=In My Opinion.

    • @Mistiqe: nie karmić troli, to nie jest gatunek ginący.

      Prosty panel jest prostszy do implementacji, tu nie jest potrzebna przezroczystość i pełna paleta kolorów. Mnie zastanawia jak długo to coś istnieje w necie, bo wcześniej czy później każdy atak zostanie wykryty… a chłopcy starali się ukryć jak najdłużej.

    • Polacy potrafią? Jakby polskie służby zamówiły coś takiego, to komputer ofiary musiałby mieć .NET, MS Access oraz IE 9 a CC dodatkowo Silverlight do prezentacji wyników.

  21. Zastanawiam się, czy mamy jakiś dobry sposób na przełożenie “obfuscation” na nasz język ;) Jakieś propozycje oprócz “zaciemnienia”? Przychodzą mi do głowy tylko opisowe rozwiązania. A niestety czasem trzeba mówić bardziej po ludzku w przekazywaniu tego typu nowinek osobom zarządzającym…

    • może zagmatwany( pogmatwany), zawiły, powikłany?

    • hehe, właśnie miałem zadać to pytanie, bo we tym momencie w artykule na stronie CERT-u natknąłem się na czasownik “zdeobfuskuje” i delikatnie się podłamałem :)

      http://www.cert.pl/news/5086

      Zdaje się że parę razy trafiło mi się przeczytać o “zaciemnianiu kodu”, “zaciemniać kod” i to imho chyba całkiem w porządku tłumaczenie.

    • ale co zrobić z “deobfuskacją”? ;)

    • Zaciemnianie kodu jest ok, używana jest tez spolszczona forma “obfuskacja”… Może i wygląda brzydko, ale pewnie się zadomowi. Podobnie było kiedyś z “interfejsem”.

      Postawię za to piwo każdemu, kto zaproponuje sensowny i zgrabny odpowiednik “eskejpowania”.

    • @steppe: Może dwuwyrazowo: zmniejszenie czytelności/przejrzystości? Do propozycji kreta można jeszcze dorzucić zamazanie, mącenie, zawikłanie — ale to wszystko raczej potoczne.

    • Wielokrotna dychotomizacja kodu? :)

    • @troll : eskejpowanie -> wycofywać się (eskejpujemy stąd !) xD
      Czekam na piwo :D

      //wycieczka osobista…

      //komentarz nie na temat…

      //wulgaryzmy….

    • Już kiedyś proponowałem “gmatwanie kodu”, “odgmatwanie kodu”, ale kto by mnie tam słuchał koptoka głupiego.

  22. obfuscation -> obfuskacja – zawoalowanie kodu

    • zawoalowanie – podoba mie sie ;)

    • Tak, tylko że “zawoalowanie” to jest okrycie czymś.

    • Toż kod jest przedstawiony niejawnie, czyli jest zakryty…

  23. eskejpowanie to wykrzaczanie

  24. […] prywatność czy wolność nie mają żadnego znaczenia. Znane są przypadki niemieckich czy gruzińskich manewrów rządowych, warto zwrócić uwagę, że infekowane były tylko zamknięte systemy […]

  25. […] na gruzińskich serwisach informacyjnych złośliwe oprogramowanie (które Niebezpiecznik już w marcu opisywał, wskazując na możliwe powiązania z […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: