12/03/2018

Slingshot APT: jazda na sprzętowym koniu trojańskim

Biznes MŚP

Jedną z największych rewelacji ujawnionych przez naszych badaczy podczas tegorocznego wydarzenia Kaspersky Security Analyst Summit (SAS) był raport na temat wysoce wyszukanej kampanii cyberszpiegowskie o nazwie Slingshot.

Wektor ataku

Zacznijmy od wyjaśnienia, w jaki sposób infekowało wspomniane zagrożenie. Jak pokazało nasze badanie, było to dosyć unikatowe działanie: po zhakowaniu routerów firmy MikroTik urządzenia te pobierały i uruchamiały różne pliki bibliotek DLL. Atakujący włamywali się do nich, dodając szkodliwe biblioteki DLL do innych legalnych pakietów innych bibliotek DLL. Zainfekowana biblioteka DLL pobierała również różne szkodliwe pliki, które także były przechowywane w routerze.

Oczywiście wykryty problem zgłosiliśmy producentowi routera — firmie MikroTik — która wyeliminowała już problem. Jednak według naszych ekspertów MikroTik nie jest jedyną marką wykorzystywaną przez aktorów Slingshota, więc zhakowanych urządzeń może być znacznie więcej.

Inną ciekawostką dotyczącą zagrożenia Slingshot jest sposób, w jaki uruchamia ono szkodliwe oprogramowanie w trybie jądra. W zaktualizowanych systemach operacyjnych jest to niemal niemożliwe do wykonania, lecz wspomniany szkodliwy program wyszukuje komputery, na których znajdują się podpisane dziurawe sterowniki, i uruchamia na nich własny kod.

Szkodliwe narzędzia

Wśród wykorzystywanych przez Slingshota złośliwych programów znajdowały się dwa majstersztyki: moduł trybu jądra o nazwie Cahnadr oraz moduł trybu użytkownika, GollumApp.

Działając w trybie jądra, moduł Cahnadr umożliwiał atakującym przejęcie całkowitej kontroli nad zainfekowanym komputerem. Co więcej, w przeciwieństwie do większości szkodliwych programów, które próbują działać w trybie jądra, mógł on wykonać kod bez wywoływania niebieskiego ekranu. Z kolei drugi moduł, GollumApp, jest jeszcze bardziej wyrafinowany.

Dzięki wspomnianym modułom Slingshot może gromadzić zrzuty ekranu, dane z klawiatury, dane przesyłane przez sieć, hasła, inną aktywność na komputerze, informacje ze schowka i wiele więcej. A wszystko to bez konieczności wykorzystywania luk dnia zerowego (przynajmniej nasi eksperci nie znaleźli przykładów używania ich przez Slingshota).

Mechanizm zapobiegający wykryciu

Slingshot stanowi duże zagrożenie, ponieważ jego autorzy wykorzystują wiele trików, aby uniknąć wykrycia jego obecności na zainfekowanym sprzęcie. Gdy dostrzeże oznaki wskazujące na przeprowadzanie analizy kryminalistycznej, potrafi zamknąć wiele swoich komponentów. Co więcej, zagrożenie to używa własnego szyfrowanego systemu plików zapisanego na nieużywanej części dysku twardego. Więcej informacji na temat zagrożenia Slingshot znajduje się w naszym serwisie SecureList.

Jak sobie radzić z atakami APT, takimi jak Slingshot?

Jeśli posiadasz router MikroTik i oprogramowanie zarządzające WinBox, pobierz najnowszą wersję programu i zaktualizuj system operacyjny routera do najnowszej wersji. Pamiętaj, że taka aktualizacja chroni Cię tylko przed jednym wektorem ataku, a nie przed atakami APT ogólnie.

Aby zabezpieczyć swoją firmę przed wyrafinowanymi atakami ukierunkowanymi, zastosuj podejście strategiczne. W tym miejscu proponujemy platformę Threat Management and Defense. W jej skład wchodzi platforma Kaspersky Anti Targeted Attack, oferowany przez Kaspersky Lab nowy produkt Kaspersky Endpoint Detection and Response, a także usługi eksperckie.

Kaspersky Anti Targeted Attack umożliwia znajdowanie anomalii w ruchu sieciowym, izolowanie podejrzanych procesów, a także wyszukiwanie powiązań między zdarzeniami. Kaspersky Endpoint Detection and Response służy do gromadzenia i wizualizacji zgromadzonych danych. Z kolei nasze usługi eksperckie są pomocne w przypadku wystąpienia szczególnie trudnych incydentów, do szkoleń pracowników centrum monitorującego i ogólnego zwiększania świadomości pracowników firmy. Szerszy opis tego rozwiązania znajduje się tutaj.