Gauss: Abnorme Verteilung
Durch große am 9. August 2012. 17:01
Publikationen
 
Tweet
Cyber-Spionage Cyber-Waffe Duqu Flamme Gauss Stuxnet Gezielte Angriffe
Inhalt
Einführung
Zusammenfassung
Infektion-Statistik
Betriebssystem-Statistik
Architektur
Vergleich mit Flamme
Wmiqry32/Wmihlp32.dll aka ShellHW
Installation
Betrieb
Dskapi.ocx
USB-Nutzlast
. thumbs.db-Datei
Smdk.ocx
McDmn.ocx
Lanhlp32.ocx
Devwiz.ocx
WinShell.ocx
Windig.ocx
Gauss C
Gauss C2 Domains im Überblick:
DNS-Balancing
Timeline
Liste "Dateien"
Abschluss
Sie können die PDF-Version dieses Artikels herunterladen hier .

Einführung

Bei der Analyse der Flamme-Malware, die wir im Mai 2012 erkannt, identifiziert die Experten von Kaspersky Lab einige unverwechselbare Merkmale aus der Flamme der Module. Auf der Grundlage dieser Features, entdeckten wir, dass im Jahr 2009, die erste Variante des Stuxnet-Wurms ein Modul, das geschaffen wurde enthalten, basiert auf der Flamme-Plattform. Dies bedeutet, dass gab es irgendeine Form der Zusammenarbeit zwischen den Gruppen, die die Flamme entwickelt und Tilded (Stuxnet/Duqu) Plattformen.
Basierend auf den Ergebnissen einer detaillierten Analyse der Flamme, weiter haben wir aktiv nach neuen, unbekannten Komponenten zu suchen. Eine tiefer gehende Analyse durchgeführt im Juni 2012 führte zur Entdeckung einer neuen, bislang unbekannte Malware-Plattform, die eine modulare Struktur, die ähnlich der Flamme, ein ähnlicher Code-Basis und System für die Kommunikation mit C & C verwendet, Server, sowie zahlreiche andere Ähnlichkeiten mit Flamme.
Unserer Meinung nach all dies eindeutig anzeigt, dass die neue Plattform die wir entdeckt und die wir 'Gauß,' genannt ist ein weiteres Beispiel für eine Cyber-Spionage-Toolkit basierend auf der Flamme-Plattform.
Gauss ist ein Projekt im Jahr 2011-2012 in die gleiche Richtung wie die Flamme-Projekt entwickelt. Die Malware wurde aktiv verteilt im Nahen Osten für mindestens die letzten 10 Monate. Die größte Anzahl von Gauss-Infektionen verzeichnet im Libanon, im Gegensatz zur Flamme, die hauptsächlich im Iran verbreitet.
Gauss soll funktional, sammeln so viele Informationen über infizierte Systeme wie möglich, sowie über Anmeldeinformationen für verschiedene Bankensysteme und soziales Netzwerk, e-Mail und IM-Konten zu stehlen. Der Gauss-Code enthält Befehle zum Abfangen von Daten, die für das Arbeiten mit mehreren libanesischen Banken - zum Beispiel, Bank von Beirut, Byblos Bank und Fransabank.
Merkwürdigerweise sind mehrere Gauss-Module nach berühmten Mathematiker benannt. Die Plattform umfasst Module, die von den Namen zu gehen, 'Gauß', 'Lagrange', 'Godel', 'Anpassen', 'Kurt' (in eine offensichtliche Anspielung auf Godel). Das Gauß-Modul ist verantwortlich für das Sammeln der kritischsten, weshalb wir beschlossen, das gesamte Toolkit nach es zu benennen.
Gauss ist eine viel breitere Bedrohung als Flamme. Jedoch haben wir keine Selbstreplikation-Funktionalität in den Modulen gefunden, die wir bisher gesehen haben, die offen, die Frage nach seiner ursprünglichen Angriffsmethode lässt.

Zusammenfassung

Stammen Sie die ersten bekannten Gauß Infektionen bis September-Oktober 2011. Während dieser Zeit verändert die Gauss-Autoren verschiedene Module mehrere Male. Sie änderten auch Befehl Serveradressen. In der Mitte Juli 2012, wenn wir bereits entdeckt hatte, Gauss und studierten es, ging die Kommando-Server offline.
Gauss soll Informationen sammeln und senden Sie die Daten an die Kommando-und Kontroll-Server zusammengestellt. Informationen werden gesammelt, mit verschiedenen Modulen, von die jeder seine eigene einzigartige Funktionalität hat:
Injektion von eigenen Modulen in verschiedenen Browsern um Benutzersitzungen abzufangen und zu stehlen Passwörter, Cookies und Browser-Verlauf.
Sammeln Informationen über Netzwerkverbindungen des Computers.
Sammeln Informationen über Prozesse und Ordner.
Sammeln Informationen über das BIOS, CMOS-RAM.
Sammeln Informationen über lokale, Netzwerk und Wechsellaufwerke.
Infizieren USB-Laufwerke mit einem Spion-Modul um Informationen von anderen Computern zu stehlen.
Installieren die benutzerdefinierte Palida schmale Schriftart (Ziel unbekannt).
Des gesamten Toolkits laden und Betrieb zu gewährleisten.
Interaktion mit dem Führungs- und Server, senden die Informationen zusammengestellt, zusätzliche Module herunterladen.
Das Spion-Modul, das funktioniert auf USB-Laufwerke verwendet ein.LNK ausnutzen dieser Sicherheitsanfälligkeit CVE-2010-2568 . Der Exploit ist ähnlich wie in der Stuxnet-Wurm verwendet, aber es ist effektiver. Das Modul Masken der Trojaner-Dateien auf dem USB-Laufwerk ohne Verwendung eines Treibers. Es nicht das System infizieren: Informationen extrahiert daraus über ein Spion-Modul (32 oder 64-Bit) und auf dem USB-Laufwerk gespeichert.

Infektion-Statistik

Wir begannen unsere Untersuchung Gauss in Anfang Juni 2012. Basierend auf Daten, die durch das Kaspersky Security Network, bemerkten wir sofort, dass der Trojaner erschien in drei bestimmten Ländern im Nahen Osten verbreitet.
Weitere Beobachtung später bestätigt diese drei-Länder-Konzentration. Ab 31. Juli 2012 haben wir gezählt, rund 2500 einzigartige PCs, auf welche Dateien von der Gauss Auflistung gefunden worden.

Die meisten infizierten Länder
Die höchste Zahl der Infektionen wird im Libanon, mit mehr als 1600 betroffenen Computer aufgezeichnet. Der Gauss-Code (winshell.ocx) enthält direkte Befehle zum Arbeiten mit libanesische Banken - einschließlich Bank von Beirut, Byblos Bank und Fransabank erforderliche Daten abfangen.
In Israel und den palästinensischen Gebieten wurden 750 Vorfälle festgestellt.

Land Unique User
Libanon 1660
Israel 483
Palästinensische Gebiete 261
USA 43
Vereinigte Arabische Emirate 11
Deutschland 5
Ägypten 4
Katar 4
Jordanien 4
Saudi-Arabien 4
Syrien 4
Top 10 infizierten Länder
Wie in der obigen Tabelle, mit Ausnahme von den USA und Deutschland, ersichtlich fand alle Vorfälle im Nahen Osten. Allerdings glauben wir, dass in den meisten Fällen im Zusammenhang mit den USA und Deutschland, die die betroffenen Benutzer tatsächlich im Nahen Osten auch waren - mit VPNs (oder das Tor-Netzwerk Anonymität).
Alles in allem haben wir Vorfälle in 25 Ländern auf der ganzen Welt verzeichnet; jedoch wurden in allen Ländern außerhalb der Top 10 nur ein oder zwei Ereignissen erfasst:

Infizierte Benutzer insgesamt
Bezüglich der Verbreitung von Gauß verwendete Mechanismus lassen Sie uns die gewonnenen Daten mit mehr Fragen offen als gelöst. Die Gesamtzahl der Infektionen (ca. 2500), die wir entdeckt haben könnte in Wirklichkeit nur einen kleinen Teil der Zehntausende von Infektionen, sein, da unsere Statistik nur Anwender von Kaspersky Lab Produkten abdecken.
Wenn wir die Zahl der Infektionen mit denen anderer Programme früher entdeckt Gauß, die gemeinsame Komponenten oder Strukturen haben vergleichen, erhalten wir die folgenden Abbildungen:

Name Vorfälle (KL Stats) Vorfälle (ca.)
Stuxnet Mehr als 100 000 Mehr als 300 000
Gauss ~ 2500 ?
Flamme ~ 700 ~ 5000-6000
Duqu ~ 20 ~ 50-60
Gauss hat in der Region seit mindestens 10 Monaten verbreitet Verlauf es Tausende von Systemen infiziert hat. Einerseits ist dies eine ungewöhnlich hohe Anzahl für gezielte Angriffe ähnlich Duqu (es ist möglich, dass solch eine hohe Anzahl von Vorfällen aufgrund des Vorhandenseins von einem Wurm in eines der Gauss-Module, die wir noch nicht kennen). Die Infektionen wurden jedoch überwiegend innerhalb der Grenzen einer eher geringen geographischen Region. Wenn die Malware die Fähigkeit hatte, wahllos - beispielsweise auf einem USB-Stick verteilt, wie der Fall mit Stuxnet - Infektionen würden in viel größerer Anzahl in anderen Ländern wurden Fehler ermittelt.

Betriebssystem-Statistik

Gauss wurde für 32-Bit-Versionen des Windows-Betriebssystems entwickelt. Einige Module funktionieren nicht unter Windows 7 SP1.

OS % von gesamt
Windows 7 34,87
XP Professional SP2 26,40
XP Professional SP3 17,92
Windows 7 SP1 10,77
Windows 7-Startseite 2,15
Vista Home SP1 1,71
Vista-Startseite 1,22
Windows 7 Home SP1 0,88
Vista Home SP2 0,83
Vista 0,64
VistaSP2 0,39
XP Home Edition 0,39
VistaSP1 0,34
Andere 1,47
Gibt es eine separate Spion-Modul, das auf USB-Laufwerken (siehe Beschreibung des dskapi.ocx) und dient zum Sammeln von Informationen von 64-Bit-Systemen.

Architektur

Gauss ist ein modulares System. Die Anzahl und Kombination der Module können von einem infizierten System ändern. Im Rahmen unserer Forschung entdeckten wir die folgenden Module:

Modulname Lage Beschreibung
Kosmos %system32%devwiz.ocx Sammelt Informationen über CMOS, BIOS
Kurt, Godel %system32%dskapi.ocx Infiziert USB-Laufwerke mit Daten-Diebstahl-Modul
Schneider %system32%lanhlp32.ocx Sammelt Informationen über Netzwerkschnittstellen
McDomain %system32%mcdmn.ocx Sammelt Informationen über die Domäne des Benutzers
UsbDir %system32%smdk.ocx Sammelt Informationen über Laufwerke Computers
Lagrange %system32%windig.ocx Installiert eine benutzerdefinierte Schriftart "Palida schmal"
Gauss %system32%WinShell.ocx Browser-Plugins, die Passwörter und Cookies sammeln installiert
ShellHW "%system32%wbemwmiqry32.ocx
%system32%wbemwmihlp32.ocx
" Hauptmodul Loader und Kommunikation
Die Konfiguration einer bestimmten Kombination von Modulen für jedes System wird in einen speziellen Registrierungsschlüssel beschrieben. Diese Technik, als auch die Konfigurationsstruktur selbst, ist ähnlich wie in Stuxnet/Duqu (Speichern der Konfiguration in der Windows-Registrierung) und Flame (Konfigurationsstruktur) verwendet. Flamme speichert seine Konfiguration in das Hauptmodul (mssecmgr.ocx).
Wir haben eine besondere Entdeckung-Routine, die uns geholfen haben, entdecken verschiedene Gauss-Konfigurationen, die auf der Grundlage von Registrierungseinstellungen auf infizierten Rechnern. Wir erkannt um 1700 solche Konfigurationen insgesamt, die ein Bild der Module Vermehrung offenbart:

Modul "Die Anzahl der PCs, die mit dem Modul
(definiert in der Config)

"
UsbDir 1655
Godel 1220
Gauss 858
Gauss_1.1 510
Kurt (aka Godel) 433
Gauss 1.0.8 318
Schneider 28
McDomain 1.2 5
Kosmos 5
Lagrange 3
Sie sehen drei Module, die in den meisten Fällen - Gauss, Godel und UsbDir verwendet werden.
Einige Beispiele für verschiedene Konfigurationen:

Wie bereits erwähnt, waren wir nicht in der Lage zu entdecken, der ursprünglichen Infektion-Vektor und die Dropper-Datei, die Gauss im System installiert. In allen Systemen, die wir untersucht haben, beschäftigten wir uns mit einer Reihe von Modulen, die bereits installiert wurde. Es ist möglich, dass während der anfänglichen Infektion, nur die ShellHW-Komponente installiert ist, installiert die dann die anderen Modulen.

ShellHW (Datei namens ' wmiqry32.dll'/'wmihlp32.dll') ist die wichtigste Komponente der Malware, die sicherstellt, dass alle anderen Gauss-Module geladen werden, wenn die Malware gestartet wird und ordnungsgemäß.

Vergleich mit Flamme

Wie oben erwähnt, gibt es erhebliche Ähnlichkeiten im Code und Architektur zwischen Gauß und Flamme. In der Tat ist es vor allem aufgrund dieser Ähnlichkeiten, dass Gauss entdeckt wurde. Wir erstellt die folgende Tabelle für ein besseres Verständnis dieser Tatsachen und der Nachweis der "Verwandtschaft" zwischen den zwei Angriffs-Plattformen:

Feature Flamme Gauss
Modulare Architektur Ja Ja
Kerneltreiber verwenden Nein Nein
.OCX-Dateien-Erweiterungen Ja Ja
Konfigurationseinstellungen Im Hauptteil vordefiniert In Registrierung gespeichert
DLL-Injektionen Ja Ja
Visual C++ Ja Ja
Verschlüsselungsmethoden XOR XOR
Mit USB-Speicher Ja (hub001.dat) Ja (. thumbs.db)
Eingebettete LUA scripting Ja Nein
Browser History/Cookies stealer Ja (soapr32/nteps32) Ja (Winshell)
CVE2010-2568 (.LNK-Exploit) Ja (target.lnk) Ja (target.lnk)
C & C-Kommunikation HTTPS HTTPS
Log-Dateien/gestohlen-Daten gespeichert unter %Temp% Ja Ja
Zlib-Komprimierung der gesammelten Daten Ja Ja
Neben den oben genannten Merkmalen gibt es erhebliche Ähnlichkeiten in den Betrieb der Flamme und Gauss-C & C Server. Die relevante Analyse wird im Abschnitt C & C-Kommunikation bereitgestellt.
Es gibt mehr Gemeinsamkeiten in den Code und die Daten der Module:
C++ Runtime Type Information (RTTI) Strukturen werden codiert, um den Namen der standard-Bibliothek-Klassen zu verbergen. Die kodierten Namen finden Sie im Flamme und Gauss-Module, d.h. die erste RTTI-Struktur enthält den Namen 'AVnxsys_uwip', die am ehesten auf die 'AVtype_info'-Klasse gehört.

Die meisten der Flamme und Gauss-Module enthalten Dutzende von Objekt-Initialisierungsfunktionen, die String-Objekte von verschlüsselten Daten zu konstruieren. Das Layout dieser Funktionen ist nahezu identisch.

String Entschlüsselungsroutinen ('GetDecryptedStrings' in Initialisierungsfunktionen verwendet) sind sehr ähnlich, obgleich nicht identisch, da das Layout der verschlüsselte Saiten halten Strukturen geändert wurde.

Wmiqry32/Wmihlp32.dll aka ShellHW
Installiert von: Unbekannte Dropper
Arbeitet in zwei Modi: Installation und Normalbetrieb.

Dateinamen "%system32%wbemwmiqry32.dll
%system32%wbemwmihlp32.dll
"
Einige bekannte MD5 "C3B8AD4ECA93114947C777B19D3C6059
08D7DDB11E16B86544E0C3E677A60E10
055AE6B8070DF0B3521D78E1B8D2FCE4
FA54A8D31E1434539FBB9A412F4D32FF
01567CA73862056304BB87CBF797B899
23D956C297C67D94F591FCB574D9325F"
Bildgröße 258 048 Bytes
Anzahl der Ressourcen 7
Ressourcen 121, 131, 141, 151, 161, 171, 181
Datum der Kompilierung "1. Juni 2011
16. Juli 2011
18. Juli 2011
Sep 28 2011
20. Oktober 2011
"
Zugehörige Dateien "%temp%~shw.tmp
%Temp%~STM.tmp
"
Installation

Das Modul prüft, ob es von "lsass.exe" Prozess geladen wurde, und wenn es stimmt, mit der Installation fährt.
Es schreibt sich in Dateien: % system32%wbemwmiqry32.dll, %system32%wbemwmihlp32.dll und ändert die Systemregistrierung statt %system32%wbemwbemsvc.dll-Datei geladen werden.
Um dies zu erreichen, schreibt sie den folgenden Registrierungswert:
[HKCRCLSID {7C857801-7381-11CF-884D-00AA004B2E24} InProcServer32]
Standard = %system32%wbemwmihlp32.dll

Betrieb

Das Modul wird automatisch in die Prozesse geladen, die wbemsvc.dll verwenden. Beim Laden in "svchost.exe", die mit wurde '-k Netsvc' Parameter, es beginnt seine Haupt-Thread.
Das Modul erstellt 'ShellHWStop', 'GlobalShellHWDetectionEvent'-Veranstaltungen, Mutex 'ShellHWDetectionMutex'.
Der Haupt-Thread beendet wird, wenn die folgenden Prozesse bei dessen Start gefunden wurden:

LMon.exe sagui.exe RDTask.exe kpf4gui.exe
ALsvc.exe pxagent.exe fsma32.exe licwiz.exe
SavService.exe prevxcsi.exe alertwall.exe LiveHelp.exe
SAVAdminService.exe CSI-eui.exe MPF.exe Lookout.exe
savprogress.exe lpfw.exe mpfcm.exe emlproui.exe
savmain.exe Outpost.exe fameh32.exe emlproxy.exe
savcleanup.exe Filemon.exe AntiHook.exe endtaskpro.exe
savcli.exe procmon.exe xfilter.exe netguardlite.exe
backgroundscanclient.exe Sniffer.exe scfservice.exe oasclnt.exe
sdcservice.exe ACS.exe scfmanager.exe OmniTray.exe
sdcdevconx.exe aupdrun.exe spywaretermin
atorshield.exe onlinent.exe
sdcdevconIA.exe sppfw.exe Spywat ~ 1.exe OPf.exe
sdcdevcon.exe spfirewallsvc.exe ssupdate.exe pctavsvc.exe
configuresav.exe fwsrv.exe terminet.exe pctav.exe
alupdate.exe opfsvc.exe tscutynt.exe pcviper.exe
InstLsp.exe uwcdsvr.exe umxtray.exe persfw.exe
CMain.exe DFW.exe updclient.exe pgaccount.exe
CavAUD.exe iPatrol.exe WEBWALL.exe privatefirewall3.exe
CavEmSrv.exe pcipprev.exe WinRoute.exe Protect.exe
Cavmr.exe prifw.exe apvxdwin.exe rtt_crc_service.exe
Cavvl.exe tzpfw.exe as3pf.exe schedulerdaemon.exe
CavApp.exe privatefirewall3.exe AVAS.exe SDTrayApp.exe
CavCons.exe pfft.exe avcom.exe SiteAdv.exe
CavMud.exe armorwall.exe avkproxy.exe sndsrvc.exe
CavUMAS.exe app_firewall.exe avkservice.exe snsmcon.exe
UUpd.exe blackd.exe avktray.exe snsupd.exe
cavasm.exe BlackICE.exe avkwctrl.exe procguard.exe
CavSub.exe umxagent.exe avmgma.exe DCSUserProt.exe
CavUserUpd.exe kpf4ss.exe avtask.exe avkwctl.exe
CavQ.exe tppfdmn.exe AWS.exe Firewall.exe
Cavoar.exe blinksvc.exe bgctl.exe THGuard.exe
CEmRep.exe sp_rsser.exe bgnt.exe SpybotSD.exe
OnAccessInstaller.exe op_mon.exe BootSafe.exe xauth_service.exe
SoftAct.exe cmdagent.exe BullGuard.exe xfilter.exe
CavSn.exe VCATCH.EXE cdas2.exe ZLH.exe
Packetizer.exe SpyHunter3.exe cmgrdian.exe adoronsfirewall.exe
Packetyzer.exe wwasher.exe ConfigMgr.exe scfservice.exe
zanda.exe authfw.exe CPD.exe scfmanager.exe
zerospywarele.exe dvpapi.exe espwatch.exe dltray.exe
zerospywarelite_installer.exe clamd.exe fgui.exe dlservice.exe
Wireshark.exe sab_wab.exe filedeleter.exe ashwebsv.exe
tshark.exe SUPERAntiSpyware.exe Firewall.exe ashdisp.exe
rawshark.exe VDTask.exe firewall2004.exe ashmaisv.exe
Ethereal.exe ASR.exe firewallgui.exe ashserv.exe
Tethereal.exe NetguardLite.exe Gateway.exe aswupdsv.exe
Windump.exe nstzerospywarelite.exe hpf_.exe avastui.exe
Tcpdump.exe cdinstx.exe iface.exe avastsvc.exe
Netcap.exe cdas17.exe invent.exe
Netmon.exe fsrt.exe ipcserver.exe
CV.exe VSDesktop.exe ipctray.exe
Das Modul liest den Wert 'SOFTWAREMicrosoftWindowsCurrentVersionReliability' 'TimeStampForUI'. Es ist eine verschlüsselte Konfigurationsdatei. Die Konfigurationsdatei enthält die Liste der zusätzliche Module, ihre Namen, DLL exportiert Namen zu rufen und den Speicherort der die Module zusätzliche Dateien.

Gauss ShellNotifyUser ShellNotifyUserEx SetWindowEvent InitShellEx %systemroot%system32winshell.ocx %temp%ws1bin.dat Godel InitCache RevertCache ValidateEntry CreateEntry %windir%system32dskapi.ocx %temp%~gdl.tmp UsbDir InitCache RevertCache ValidateEntry CreateEntry %windir%system32smdk.ocx %temp%~mdk.tmp
 
String-Werte von Config-Datei (Beispiel)

Jedes Modul wird geladen, und die Ausfuhr, die Funktionen, als aufgerufen werden in der Konfiguration angegeben.
Die meisten Aktionen werden in einer verschlüsselten (mit XOR) Datei '% temp%~shw.tmp' protokolliert.

Stichprobe von entschlüsselt "~ shw.tmp"
Nach dem Laden zusätzliche Module, es versucht, die gleichen Berechtigungen wie "explorer.exe" zu erwerben und dann beginnt der C & C Interaktion Schleife.
Vor der Kommunikation mit der C & C, wird alle Informationen aus den anderen Modulen-Log-Dateien in die ~shw.tmp-Datei kopiert. Pfade zu den Logdateien stammen aus der TimeStampForUI-Konfigurationsdatei.
Infolgedessen wird die ~shw.tmp in diesem Stadium eine universal Containerdatei mit den gestohlenen Daten.
Durch den Zugriff auf URLs, die in ihrer Ressource 161 angegebenen überprüft Internet-Verbindung (Https).

Anschließend wird eine Https-Verbindung mit www.google.com oder www.update.windows.com überprüft. Wenn 200 OK "empfangen wird in seiner Antwort sendet eine Anfrage mit der Proxy-Server-Parameter die Datei prefs.js des Mozilla Firefox Browsers entnommen.
Wenn eine Internetverbindung verfügbar ist, es verbindet sich mit der C & C-Servern, die in Ressource 131 angegeben sind:

Verbindung mit WinInet-API aufgebaut und wird in zwei Phasen durchgeführt:
GET-Anfrage an den Server. Die Antwort vom Server wird voraussichtlich neue Module, Befehle oder Konfigurationsdaten enthalten.

GET [C&C domain]/userhome.php?sid=[random string]==&uid=VfHx8fHx8fHx8fHx8fHx8fHx8fE=

1 GET [C & Amp;C domain]/userhome.php?sid=[random Zeichenfolge] == & Amp; Uid = VfHx8fHx8fHx8fHx8fHx8fHx8fE =
POST-Anforderung an den Server mit dem Inhalt der Datei "~ shw.tmp" enthält alle Daten aus den infizierten Computer.
Die Antwort vom Server wird mithilfe von XOR und 0xACDC als Schlüssel entschlüsselt. Exfiltrated-Daten mit Zlib komprimiert.
Das C & C Routine Verbindung wird gesteuert durch einen DWORD-Wert, der aus dem Registrierungswert gelesen wird:
[HKLMSOFTWAREMicrosoftWindowsCurrentVersionReliability]

ShutdownIntervalSnapshotUI

Der anfängliche Wert des Leistungsindikators wird von Ressource 181 gelesen und gleich 56. Der Zähler wird verringert, jedes Mal, wenn das Modul nicht zum Herstellen einer Verbindung mit der C & C Server oder zu den Servern in Ressource angegebenen 161 und es wird erneut auf den Anfangswert nach jeder erfolgreichen Anbindung an das C & C Server. Das Modul beendet die C & C Verbindung Schleife, wenn der Wert des Leistungsindikators wird gleich NULL.

Ressource Beschreibung
121 3 DWORDs, mit Bezug zu Liste der AVs
131 Hostnamen und URLs von C & C-Servern
141 Liste der AVs, Firewalls usw..
151 Zusätzliche Konfiguration DWORDs
161 Hostnamen und URLs von seriösen Websites, Internet-Anschluss zu überprüfen
171 String mit kryptischen IDs
181 DWORD-Wert Anzahl der Verbindungsversuche mit der C & C bevor aufgegeben
Dateiversion: 2001.12.4414.320 Produktversion: 5.1.2600.5788 Datei OS: WINDOWS32-Dateityp: DLL Datei Untertyp: unbekannte Sprache/Codepage: 1033/1200 CompanyName: Microsoft Corporation FileDescription: WMI-COM-Helper-FileVersion: 2001.12.4414.320 LegalCopyright: Copyright (C) Microsoft Corp. 1995-1999 LegalTrademarks: Microsoft (r) ist ein eingetragenes Warenzeichen der Microsoft
Corporation. Windows(TM) ist ein Warenzeichen von Microsoft Corporation ProductName: WMI-COM-Dienste helfen ProductVersion: 05.01.2600.5788
Versionsinfo 'wmiqry32.dll'
Dskapi.ocx
Name des Moduls in Gauss verwendet: 'Godel' oder 'Kurt'.

Dateinamen %system32%dskapi.ocx
Einige bekannte MD5 "ED5559B0C554055380D75C1D7F9C4424
E379270F53BA148D333134011AA3600C
EF83394D9600F6D2808E0E99B5F932CA"
Bildgröße "1 327 104 bytes
954 368 Bytes
962 560 Bytes
417 792 Bytes
"
Anzahl der Ressourcen 2
Ressourcen 100, 101
Datum der Kompilierung "28.09.2011
13.10.2011
01.11.2011
29.11.2011
"
Zugehörige Dateien "%temp%~gdl.tmp
. thumbs.db
wabdat.dat
"Desktop.ini"
target.lnk
System32.dat
System32.bin
.CatRoot.tmp
"
Erstellt von Veranstaltungen: '{12258790-A76B}', 'GlobalRasSrvReady'
Alle Funktionen sind implementiert in 'RevertCache' Export. Das Modul startet seine Haupt-Thread und gibt dann zurück. Der Haupt-Thread wartet auf das Ereignis '{12258790-A76B}' und kontinuierlich auf das Vorhandensein von Anti-Malware-Software überprüft.
'ValidateEntry' signalisiert das Ereignis '{12258790-A76B}' für den Hauptthread für 3 Sekunden, bevor es beendet Arbeiten ermöglicht.
Schreibt Log-Datei: %temp%~gdl.tmp
Die Log-Datei-Einträge werden mit Zlib komprimiert.
Liest Registrierungsschlüssel HKLMSYSTEMCurrentControlSetServicesDiskEnum
Für die Ausführung von Anti-Malware-Produkte von Namen überprüft und wird beendet, wenn sie vorhanden sind:
AVKProxy.exe
AVKService.exe
AVKTray.exe
AVKWCtl.exe
GDFirewallTray.exe
GDFwSvc.exe
GDScan.exe
ABCD.exe
avp.exe
fameh32.exe
fch32.exe
fsar32.exe
fsav32.exe
fsdfwd.exe
fsgk32.exe
fsgk32st.exe
fsguidll.exe
fshdll32.exe
fsm32.exe
fsma32.exe
fsmb32.exe
fsorsp.exe
FSPC.exe
fsqh.exe
fssm32.exe
fsus.exe
gsava.exe
gssm32.exe
vsmon.exe
zapro.exe
zlclient.exe
Es wird auch beendet, wenn unter Windows 7 SP 1 gestartet.
Durch Abfragen Datenträger Enum in Registrierung, versucht auch ermitteln, ob der Speicher USB-Anschluss ist oder nicht durch die Suche "USBSTOR" String in ihre Informationen.
Wenn ein Laufwerk enthält '. thumbs.db'-Datei, deren Inhalt gelesen und überprüft die Gültigkeit Magie der Zahl 0xEB397F2B. Wenn sie übereinstimmt, das Modul erstellt %commonprogramfiles%systemwabdat.dat und schreibt die Daten in diese Datei und löscht dann '. thumbs.db'.
Dann infiziert es die USB-Laufwerke durch das Erstellen von Verzeichnissen mit den Namen.Backup0 [D-M] und.Backup00 [D-M]

Infizierte USB-Root-Verzeichnis (vor Aktivierung)
Jedes Verzeichnis enthält eine speziell gestaltete desktop.ini-Datei und target.lnk-Datei, die die LNK-Sicherheitslücke ausnutzt.

target.lnk
[.ShellClassInfo]
CLSID = {0AFACED1-E828-11D1-9187-B532F1E9575D}
CLSID2 = {0AFACED1-E828-11D1-9187-B532F1E9575D}
UICLSID = {0AFACED1-E828-11D1-9187-B532F1E9575D}

"Desktop.ini"

Liste von.Backup0-Verzeichnis
Im Stammverzeichnis des Laufwerks erstellt Dateien 'System32.dat' und 'System32.bin', die Nutzlast DLLs, und die '. thumbs.db' Datei. Die Nutzlasten sind als Ressourcen gespeichert und verschlüsselt mit eine einfache XOR-Routine.
static Int entschlüsseln (uint8_t * Data, unsigned Int DataLen) {uint32_t Acc = 0xCC; für (unsigned Int i = 0; ich < DataLen; i++) {uint8_t acc2 = Daten [i], Daten [i] ^ = Acc; Acc = acc2;} return 0;}

Ressource Dateiname Beschreibung
100 System32.dat (.CatRoot.tmp) 32-Bit-Nutzlast
101 System32.bin (.CatRoot.tmp) 64-Bit-Nutzlast
 
USB-Nutzlast
32-Bit- und 64-Bit DLLs implementieren die gleiche Funktionalität. Wenn die LNK-Sicherheitslücke mit geladen, sie starten einen Hauptthread und zurück. Der Haupt-Thread kopiert die Nutzlast in % TEMP %-Verzeichnis und lädt sich selbst wieder. Beim Laden von %Temp% erzeugt ein Mutex 'Isvp4003ltrEvent', die 'NtQueryDirectoryFile'-Funktion in "Ntdll.dll" patches, so dass es seine Dateien verbirgt und dann das "F5" Tastenereignis an Windows Klassen 'SysListView32', 'SysTreeView32', 'Msncore' sendet, wodurch Explorer Verzeichnislisten aufzufrischen. Damit werden die Dateien ausgeblendet. Es wartet auch auf das Ereignis "GlobalRasSrvReady".
Dann ruft es die folgenden Daten aus dem System:
Version des Windows OS
Workstation-info
Netzwerk-Adapter-Informationen
Routing-Tabelle
Prozessliste
Umgebungsvariablen und Datenträgerinformationen
Liste der sichtbaren Netzwerkfreigaben
Netzwerk-Proxy-Informationen
Liste der sichtbaren MS SQL-Server

URL-cache

Alle diese Informationen verschlüsselt und an die Datei angehängt '. thumbs.db' auf dem infizierten Speicher. Diese Datei enthält auch eine TTL (Zeit zu leben) Wert, der um 1 verringert jedes Mal ist die Nutzlast aus dem infizierten Speicher beginnt. Wenn dieser Zähler gleich Null wird, desinfiziert die Nutzlast die Medien durch das Entfernen ".Backup0 * 'Verzeichnisse und Dateien 'System32.dat' und 'System32.bin', verlassen'. thumbs.db' Datei mit gesammelten Informationen. Der TTL-Wert bekannt ist Wert "30."
Es gibt mehrere "Spezial" Versionen der Nutzlast. Sie enthalten zusätzliche PE-Abschnitte mit Namen '.exsdat', '.exrdat' und '.exdat'. Diese Abschnitte sind mit RC4 verschlüsselt. Der Schlüssel ist ein MD5-Hash 10000 mal auf eine Kombination von "% Path%" Umgebungszeichenfolge und Name des Verzeichnisses in %ProgramFiles% durchgeführt abgeleitet.
Der RC4-Schlüssel ist noch nicht bekannt, ebenso wenig ist der Inhalt dieser Abschnitte. Die Nutzlast enthält auch eine binäre Ressource 100, die auch verschlüsselt werden.
. thumbs.db-Datei
Dies ist ein Container für Daten, die von der 'Dskapi'-Nutzlast gestohlen.

Offset Daten
0 Magische Zahl: 0xEB397F2B
4 TTL-Zähler
: Codierten Daten
Die codierten Daten besteht aus Reihen der codierten Zeichenketten, getrennt durch einen magischen Wert 0xFF875686.

Offset Beschreibung

0 Magische Zahl:
0xFF875686 - Ende des Array von Datensätzen, muss für den nächsten Zauber suchen.
0xFF875683 XOR (RecordLength + 5) - start der Aufzeichnung
4 Verschlüsselte Zeichenfolgendaten, RecordLength bytes
Jeder Datensatz durch einen einfachen Algorithmus mit Position und Datensatz Zeichenlänge verschlüsselt und entschlüsselt werden kann, mit dem folgenden Code:
für (unsigned Int j = 0; j < RecordLen; j++) {Ptr [i + j] ^ = RecordLen; Ptr [i + j] = j;}
Dateiversion: 5.1.3700.0 Produktversion: 5.1.3700.0 Datei OS: NT (WINDOWS32) Dateityp: DRV Datei Untertyp: DRV SOUND Dateidatum: 00:00:00 00/00/0000/Sprachcode Seite: 1033/1200 CompanyName: Microsoft Corporation FileDescription: Disk Helper FileVersion: 5.1.3700.0 InternalName: dskapi.ocx LegalCopyright: ¿Microsoft Corporation. Alle Rechte vorbehalten. OriginalFilename: dskapi.ocx ProductName: MicrosoftR WindowsR Betriebssystem ProductVersion: 5.1.3700.0
Versionsinfo 'dskapi.ocx'
Smdk.ocx
Name des Moduls in Gauss verwendet: "UsbDir"

Dateinamen %system32%smdk.ocx
Einige bekannte MD5 "5604A86CE596A239DD5B232AE32E02C690F5C45420C295C73067AF44028CE0DD"
Bildgröße 212 992 Bytes
Datum der Kompilierung "27.09.2011
17.10.2011 "
Zugehörige Dateien %Temp%~MDK.tmp
Erstellt von Veranstaltungen: '{B336C220-B158}', 'GlobalSmSrvReady'
Alle Funktionen sind implementiert in 'RevertCache' Export. Das Modul startet seine Haupt-Thread und gibt dann zurück. Der Haupt-Thread wartet auf das Ereignis '{B336C220-B158}' und kontinuierlich auf das Vorhandensein von Anti-Malware-Software überprüft.
'ValidateEntry' signalisiert das Ereignis '{B336C220-B158}' für die Datenträger-Enumeration Routine zu starten.
Schreibt Log-Datei: %temp%~mdk.tmp
Liest Registrierungsschlüssel HKLMSYSTEMCurrentControlSetServicesDiskEnum
Für die Ausführung von Antimalware-Produkte von Namen überprüft und wird beendet, wenn sie vorhanden sind:
AVKProxy.exe
AVKService.exe
AVKTray.exe
AVKWCtl.exe
GDFirewallTray.exe
GDFwSvc.exe
GDScan.exe
ABCD.exe
avp.exe
fameh32.exe
fch32.exe
fsar32.exe
fsav32.exe
fsdfwd.exe
fsgk32.exe
fsgk32st.exe
fsguidll.exe
fshdll32.exe
fsm32.exe
fsma32.exe
fsmb32.exe
fsorsp.exe
FSPC.exe
fsqh.exe
fssm32.exe
fsus.exe
gsava.exe
gssm32.exe
Die Version des Moduls, aufgebaut auf 27.09.2011 wird auch beendet, wenn unter Windows 7 SP 1 gestartet.
Durch Abfragen Datenträger Enum in Registrierung, versucht auch ermitteln, ob der Speicher USB-Anschluss ist oder nicht durch die Suche "USBSTOR" String in ihre Informationen.
Die Log-Datei-Einträge werden mit Zlib komprimiert.
Dateiversion: 5.1.3700.0 Produktversion: 5.1.3700.0 Datei OS: NT (WINDOWS32) Dateityp: DRV Datei Untertyp: DRV SOUND Dateidatum: 00:00:00 00/00/0000/Sprachcode Seite: 1033/1200 CompanyName: Microsoft Corporation FileDescription: Disk Helper FileVersion: 5.1.3700.0 InternalName: dskapi.ocx LegalCopyright: ¿Microsoft Corporation. Alle Rechte vorbehalten. OriginalFilename: dskapi.ocx ProductName: MicrosoftR WindowsR Betriebssystem ProductVersion: 5.1.3700.0
 
Versionsinfo'smdk.ocx' (das gleiche wie bei dskapi.ocx)

McDmn.ocx

Name des Moduls in Gauss verwendet: "McDomain"

Dateinamen %system32%mcdmn.ocx
bekannte MD5 9CA4A49135BCCDB09931CF0DBE25B5A9
Bildgröße 102 400 Byte
Datum der Kompilierung 16.09.2011
Zugehörige Dateien %Temp%MD.bak
Dieses Modul ist eine Windows-DLL-Datei mit einer exportierten Funktion namens "DllRegisterServer."
Es erstellt eine Log-Datei: %temp%md.bak, die mit 2-Byte XOR verschlüsselt ist.
Verwendet LsaQueryInformationPolicy, um den Namen der primären Domäne abzurufen. Ruft Informationen über Netzwerkadapter. All diese Informationen verschlüsselt und in der Logdatei gespeichert.
Dateiversion: 2001.12.4414.320 Produktversion: 5.1.2600.5788 Datei OS: WINDOWS32-Dateityp: DLL Datei Untertyp: Unbekannte Datei-Datum: 00:00:00 00/00/0000/Sprachcode Seite: 1033/1200 CompanyName: Microsoft Corporation FileDescription: Windows-Datei-Erweiterung FileVersion: 2001.12.4414.320 LegalCopyright: Copyright (C) Microsoft Corp. 1995-1999 LegalTrademarks: Microsoft(R) ist ein eingetragenes Warenzeichen der Microsoft
Corporation. Windows(TM) ist ein Warenzeichen von Microsoft Corporation ProductName: MicrosoftR WindowsR Betriebssystem ProductVersion: 05.01.2600.5788
Versionsinfo 'mcdmn.ocx'
Lanhlp32.ocx
Name des Moduls in Gauss verwendet: 'Anpassen'

Dateinamen %system32%lanhlp32.ocx
Bekannte MD5 ED2B439708F204666370337AF2A9E18F
Bildgröße 278 528 Bytes
Datum der Kompilierung 26.10.2011
Zugehörige Dateien %systemroot%Temps61cs3.dat
Das Modul ist eine Windows-DLL-Datei mit einer exportierten Funktion namens "DllRegisterServer."
Es enthält verschlüsselte Debuginformationen, die enthält den Speicherort des Projekts hatte: Projectstailor':
d:projectstailorutilsExceptions.h...UtilsBuffer.cpp...UtilsCryptUtils.cpp...UtilsEvent.cpp...UtilsEveryoneSecurityAttributes.cpp...UtilsFile.cpp...UtilsMutex.cpp...UtilsMyWlanApi.cpp...UtilsOsUtils.cpp...UtilsRemoteMemoryBuffer.cpp...UtilsStorage.cpp...UtilsStringUtils.cpp...UtilsWaiter.cpp.SavedWNetworkConnectionsWin5.cpp.SavedWNetworkConnectionsWin6.cpp.VisibleNetworks.cpp
Mutex erstellt: GlobalEnvDBE
Protokolldatei erstellt: %systemroot%Temps61cs3.dat
Arbeitet unter Windows XP, Windows Vista und Windows 7.
Unter Windows XP:
.SavedWNetworkConnectionsWin5.cpp
Listet Registrierungsschlüssel in HKLMSOFTWAREMicrosoftWZCSVCParametersInterfaces
Extrakte 'Static #' Werte, die drahtlose Kennzahlen enthalten.
Unter Windows Vista und Windows 7:
..UtilsMyWlanApi.cpp
.SavedWNetworkConnectionsWin6.cpp
.VisibleNetworks.cpp
Verwendet erweiterte wlanapi.dll API zum Zugriff auf WLAN-Informationen. Listet verfügbare drahtlose Schnittstellen, dann listet alle Profile und extrahiert, SSID, Name und WLAN Schlüssel. Dann ruft es die Liste von Drahtlosnetzwerken für alle Drahtlosschnittstellen sichtbar.
Die Log-Datei wird mit einer einfachen 1-Byte XOR verschlüsselt.
Dateiversion: 5.1.3700.0 Produktversion: 5.1.3700.0 Datei OS: NT (WINDOWS32) Dateityp: DRV Datei Untertyp: DRV SOUND Dateidatum: 00:00:00 00/00/0000/Sprachcode Seite: 1033/1200 CompanyName: Microsoft Corporation FileDescription: Microsoft Windows LAN Komponente FileVersion: 5.1.3700.0 InternalName: lanhlp32.ocx LegalCopyright: ¿Microsoft Corporation. Alle Rechte vorbehalten. OriginalFilename: lanhlp32.ocx ProductName: MicrosoftR WindowsR Betriebssystem ProductVersion: 5.1.3700.0
Versionsinfo 'lanhlp32.ocx'

Devwiz.ocx

Name des Moduls in Gauss verwendet: 'Kosmos'

Dateinamen %system32%devwiz.ocx
Bekannte MD5 CBB982032AED60B133225A2715D94458
Bildgröße 102 400 Byte
Datum der Kompilierung 19.03.2012
Zugehörige Dateien %Temp%~ZM6AD3.tmp
Das Modul ist eine Windows-DLL-Datei mit einer exportierten Funktion, genannt "RefreshDev."
Es erstellt eine Log-Datei: %WINDIR%temp~ZM6AD3.tmp
Die Log-Datei ist nicht verschlüsselt und beginnt mit einer Magic-Zahl 0xF68B973D
Das Modul die folgende Informationen sammelt und schreibt es in die Log-Datei:
CMOS-RAM-Inhalt
Registry-Schlüssel:
[HKLMHARDWAREDESCRIPTIONSystem]
SystemBiosVersion, SystemBiosDate
[HARDWAREDESCRIPTIONSystemBIOS]
BIOSVendor, BIOSVersion, BIOSReleaseDate, BaseBoardManufacturer, BaseBoardProduct,
BaseBoardVersion, SystemFamily, SystemManufacturer, SystemProductName, SystemSKU,
SystemVersion
Alle abgerufenen Informationen werden in die Protokolldatei geschrieben.
Dateiversion: 5.1.2600.0 Produktversion: 5.1.2600.0 Datei OS: NT (WINDOWS32) Dateityp: DRV Datei Untertyp: DRV SOUND Dateidatum: 00:00:00 00/00/0000/Sprachcode Seite: 1033/1200 CompanyName: Microsoft Corporation FileDescription: Windows Device Wizard FileVersion: 5.1.2600.0 InternalName: devwiz.ocx LegalCopyright: ¿Microsoft Corporation. Alle Rechte vorbehalten. OriginalFilename: devwiz.ocx ProductName: MicrosoftR WindowsR Betriebssystem ProductVersion: 5.1.2600.0
Versionsinfo 'devwiz.ocx'

WinShell.ocx

Name des Moduls in Gauss verwendet: "Gauss"

Dateinamen %system32%WinShell.ocx
Einige bekannte MD5 "EF6451FDE3751F698B49C8D4975A58B57AC2799B5337B4BE54E5D5B03B214572
4FB4D2EB303160C5F419CEC2E9F57850
"
Bildgröße "405 504 (August 2011)
417 792 (Oktober 2011)
401-408 (Dez 2011 bis Jan 2012)
"
Anzahl der Ressourcen 6
Ressourcen 121,122,123,124,125,126
Datum der Kompilierung "08.08.2011
03.10.2011
14.12.2011
05.01.2012
"
Zugehörige Dateien "%temp%ws1bin.dat
Browser.js
Browser.XUL
FileIO.js
Chrome.Manifest
lppd.dat
install.RDF
rssf.dat
lfm.dat
MPPD.dat
pddp.dat
"
Erstellt von Veranstaltungen: 'GlobalSrvReportCondition', 'GlobalDhwSyncEvent', 'GlobalShellSync'
Interessanterweise enthalten alle drei Varianten des Moduls, das wir haben analysiert Informationen über den Speicherort und den Namen der ursprünglichen Projekte:

Variant Pfad zu Projektdateien
August 2011 d:projectsgauss
Oktober 2011 d:projectsgauss_for_macis_2
Dez 2011-Jan 2012 c und settingsflamerdesktopgauss_white_1
Enthält verschlüsselte Debuginformationen, die Lage und die Dateien des Projekts umfasst:
c und settingsflamerdesktopgauss_white_1utilsExceptions.h. main.cpp.Manager.cpp c und settingsflamerdesktopgauss_white_1utilsSmartPtr.h.Injector.cpp c und settingsflamerdesktopgauss_white_1
Gauß.../Utils/comutils.h.History.cpp.FirefoxPluginInstaller.cpp.Telemetry.cpp.Storage.cpp.OsUtils.cpp.ProcessSnapshot.cpp.Event.cpp.GaussThread.cpp.Buffer.cpp.RemoteMemoryBuffer.cpp.File.cpp.Mutex.cpp.Waiter.cpp.EveryoneSecurityAttributes.cpp.Catcher.cpp.BrowserConnector.cpp c und settingsflamerdesktopgauss_white_1
Minime.../Utils/SmartPtr.h.Assigner.cpp.IEAbstractElements.cpp.FormExtractor.cpp.COMAbstractDataTypes.cpp
Die Debuginformationen, die versehentlich, von den Entwicklern vergessen wurde bietet einige interessante Details. Beispielsweise kann der Windows-Benutzernamen, der das Projekt kompiliert in den Streichern über als 'Flammenwerfer' gesehen werden.
DllMain startet einen Thread, nur dann, wenn von "explorer.exe" geladen.
Schreibt Log-Datei: % systemroot%Tempws1bin.dat. Log-Datei beginnt mit magische Zahl 0x0A86FD375, mit 1 Byte XOR fand verschlüsselt. Log-Datei-Writer wird von Mutex 'GlobalShellSyncCom' bewacht.
Liest Registrierungsschlüssel: SOFTWAREMicrosoftWindowsCurrentVersionReliability
ShutdownInterval = binäre Daten
Windows-Version überprüft und, OnWindows, Vista und Windows 7, auf %SystemDrive% Benutzer zugreift. Bei früheren Versionen es verwendet % SystemDrive % Dokumente und Einstellungen und ruft die Liste der Verzeichnisse gibt.
Export 'InitShellEx': Listet alle Einträge in HKEY_USERS, entfernt alle Einträge im SOFTWAREMozillaMozillaFirefox für jeden Benutzer, seine Log-ws1bin.dat sucht und entfernt diese.
Export 'SetWindowEvent': Legen Sie Ereignis 'GlobalDhwSyncEvent', warten Sie andere Thread in 20 Sekunden zu beenden, dann beenden Sie diesen Thread zu.
Export 'ShellNotifyUser': gibt 1 zurück.
Export 'ShellNotifyUserEx': Exporte. Startet seine Haupt-Thread, der durch das 'SetWindowEvent'-Ereignis überwacht werden sollten und die.
Listen, die laufende Prozesse und gibt, wenn 'evil.exe' ausgeführt wird.
Außerdem meldet das Vorhandensein der folgenden Registrierungsschlüssel: 'HKLMSOFTWAREKasperskyLabAVP6', 'HKLMSOFTWAREKasperskyLabprotectedAVP7'
Es startet dann eine Schleife, die Suche nach ausgeführten Instanzen von % systemroot%explorer.exe. Wenn gefunden, es %systemroot%system32winshell.ocx (Körper) in diesem Prozess injiziert.
Es wird eine interessante Technik verwendet, um selbst in Explorer zu injizieren: Es wird ein remote Thread erstellt, mit der Adresse des 'LoadLibraryW' API als ihre Start-Adresse. Der Pfad auf die Ocx-Datei wird als 'LpParameter' an die Funktion übergeben.
Telemetrie: Es empfängt und protokolliert die folgenden:
Computername
Windows OS version
Liste der laufenden Prozesse
Liste der Verzeichnisse in %ProgramFiles%
Version von Internet Explorer-browser
Primären Domain name
Netzwerk-Adapter-Informationen
Cookies-Verzeichnis sucht, ruft alle Cookie-Dateien und schreibt ihren Inhalt in der Log-Datei. Sucht nach Cookies, die die folgenden Zeichenfolgen enthalten:
PayPal
MasterCard
Eurocard
Visum
AmericanExpress
bankofbeirut
eblf
blombank
byblosbank
Citibank
fransabank
Yahoo
creditlibanais
Amazon
Facebook
Google Mail
Hotmail
eBay
Maktoob
Dann wird Internet Explorer Browserverlauf mit IUrlHistoryStg::EnumUrls-Funktion und versucht, die Felder Kennwort und "Text" aus geladenen Seiten zu extrahieren.
Das Firefox-Plugin ist in mehrere Dateien geschrieben, alle von ihnen extrahiert und aus den Mitteln des Moduls entschlüsselt.

Ressourcen-Id Dateiname der Firefox Plugin-Komponente
121 Browser.js
122 Browser.XUL
123 FileIO.js
124 Chrome.Manifest
125 lppd.dat
126 install.RDF
 
Fügt Firefox Konfiguration Datei 'prefs.js' mit der folgenden Zeichenfolge, Firefox "wählen Sie Add-ons"-Fenster, die normalerweise angezeigt wird, nachdem jede Firefox aktualisieren deaktivieren:
User_pref ("extensions.shownSelectionUI", true);
Installiert die Firefox-Erweiterung, unter Windows Vista und Windows 7 in AppDataRoamingMozillaFirefoxProfiles, auf frühere Versionen in Anwendung DataMozillaFirefoxProfiles. Alle Dateien werden in einem Verzeichnis mit dem Namen '{a288cad4-7b24-43f8-9f4d-8e156305a8bc}' geschrieben.
Die Firefox-Erweiterung extrahiert die folgenden Daten:
Chronik
Passwörter (gespeichert und vom Benutzer eingegebene)
Cookies. Die Erweiterung kann so konfiguriert werden, dass nur Cookies von Google, Facebook, Hotmail und Yahoo suchen
const Cc = Components.classes; const Ci = Components.interfaces; const EXTENSION_ID = "{a288cad4-7b24-43f8-9f4d-8e156305a8bc}"; const EXTENSION_PATH = DirIO.get("ProfD").path+ "Erweiterungen" + EXTENSION_ID; const QUERY_ID = "LJHQ/X1gFa2Isb1YkcFMnP18u1kkb1goYFUOakAgY1ULa1EjYlU/X1gPXWMyc18xY
GM0b1UxalEsYVYgX1Uha18qdVEna18lYWQiDgob2QubmklYWQiDEjYGIkb2Mv
XWMyc18xYFwoclUlWgPblUlb/oSY18uY1wkFkjYT8tRV4ocFYkcFMnPVwrP18
u1kkb2gublk /'; const EXTENSION_URL = "über: Addons"; const EXTENSION_XUL = "chrome://mozapps/content/extensions/extensions.xul"; const ERROR_FILE = "rssf.dat"; const LOG_FILE = "lfm.dat"; const OUTPUT_FILE = "mppd.dat"; const VERSION_FILE = "lddp.dat"; const MAX_FILE_SIZE = Math.pow (2,20) * 10; const MEAN_ROW_SIZE = 100; const MAX_ROW_COUNT = (1/3)*(MAX_FILE_SIZE/MEAN_ROW_SIZE);
 
Teil des browser.js-Codes

Die Firefox-Erweiterung schreibt mehrere Log-Dateien in einem Verzeichnis:

Protokolldateiname Beschreibung
rssf.dat Chronik
lfm.dat Log-Datei
MPPD.dat Gesammelten Passwörter
pddp.dat Gesammelt cookies
 
Dateiversion: 5.1.3700.0 Produktversion: 5.1.3700.0 Datei OS: NT (WINDOWS32) Dateityp: DRV Datei Untertyp: DRV SOUND Dateidatum: 00:00:00 00/00/0000/Sprachcode Seite: 1033/1200 CompanyName: Microsoft Corporation FileDescription: Microsoft-Windows-Shell-Komponente FileVersion: 5.1.3700.0 InternalName: winshell.ocx LegalCopyright: ¿Microsoft Corporation. Alle Rechte vorbehalten. OriginalFilename: winshell.ocx ProductName: MicrosoftR WindowsR Betriebssystem ProductVersion: 5.1.3700.0
 
Versionsinfo 'winshell.ocx'
Windig.ocx
Name des Moduls in Gauss verwendet: 'Lagrange'

Dateinamen %system32%windig.ocx
Bekannte MD5 DE2D0D6C340C75EB415F726338835125
Bildgröße 180224 bytes
Datum der Kompilierung 15.07.2011
Zugehörige Dateien Schriften pldnrfn.ttf
Das Modul ist eine Windows-DLL-Datei mit einer exportierten Funktion, genannt "GlobalDeleteAtomL."
Das Modul liest den Registrierungsschlüssel, der ursprünglich von 'ShellHW'-Modul erstellt wird:
HKLM SOFTWAREMicrosoftWindowsCurrentVersionReliability
ShutdownInterval = binäre Daten
Wenn der Wert nicht in der Registrierung vorhanden ist, schreibt er einen zufälligen Wert in diesem Schlüssel.
Anschließend erstellt es eine neue TrueType-Schriftartdatei '% SystemRoot%fontspldnrfn.ttf' (62 668 Bytes lang) aus einer Vorlage und mit randomisierten Daten aus der ShutdownInterval-Schlüssel. Die Erstellungszeit der Schriftartendatei ist auf die Erstellungszeit der die Schriftart Arial, % SystemRoot%fontsARIAL.TTF festgelegt.
Dann wird eine benutzerdefinierte Schriftart mit dem Namen 'Palida Narrow' in der System-Schriftart-Speicher mit der 'AddFontResourceW' API-Funktion registriert. Das Modul erzeugt auch einen Registrierungswert:
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionFonts
Palida schmal (TrueType)=pldnrfn.ttf
Der Zweck der Ergänzung dieser Schrift ist noch nicht bekannt. Es scheint gültige Western, baltischen und Türkisch-Symbole enthalten.

Schriftartinformationen aus Font Viewer
Dateiversion: 2001.12.4414.320 Produktversion: 5.1.2600.5788 Datei OS: WINDOWS32-Dateityp: DLL Datei Untertyp: Unbekannte Datei-Datum: 00:00:00 00/00/0000/Sprachcode Seite: 1033/1200 CompanyName: Microsoft Corporation FileDescription: WIN32 digitale Bibliothek FileVersion: 2001.12.4414.320 LegalCopyright: Copyright (C) Microsoft Corp. 1995-1999 LegalTrademarks: Microsoft(R) ist ein eingetragenes Warenzeichen der Microsoft
Corporation. Windows(TM) ist ein Warenzeichen von Microsoft Corporation ProductName: MicrosoftR WindowsR Betriebssystem ProductVersion: 05.01.2600.5788
 
Versionsinfo 'windig.ocx'
Gauss C & C-Informationen
Zum Hochladen von Daten, die von infizierten Rechnern gestohlen wird Gauß eine Anzahl von in seiner flexiblen Konfiguration vordefinierte Kommando-und Kontroll-Servern verwendet.

Abbildung 1: Gauss verschlüsselt, C & C-Informationen
Hier ist ein Blick auf die entschlüsselten Konfigurationsdaten:

Abbildung 2: Gauss entschlüsselt, C & C-Konfigurationsdaten
Im obigen Beispiel können wir sehen, das C & C Domänen/Hosts zusammen mit dem Namen des Skripts (userhome.php) auf dem Server, die für die Kommunikation verwendet wird.
Geht man durch die Vielzahl der Gauss-Proben, wir identifizierten mehrere Domänen als C & C Server:
*. gowin7.com
*. secuurity.net
*. datajunction.org
*. bestcomputeradvisor.com
*. dotnetadvisor.info
*.Guest-access.net

Wmiqry.ocx
01.06.2011 dotnetadvisor.info bestcomputeradvisor.info DataJunction.org Gast-access.net
16.07.2011 *. bestcomputeradvisro.info *.Guest-access.net
18.07.2011 *. bestcomputeradvisor.info *.Guest-access.net
28.09.2011 *. gowin7.com *. secuurity.net
20.10.2011 *. datajunction.org *. dotnetadvisor.info
20.10.2011 *. gowin7.com *. secuurity.net
Je nach Variante * kann 'a' oder 'b' oder 'C'- und So weiter.Zum Beispiel ist ein vollständig qualifizierter Hostnamen wie im obigen Beispiel 'b.gowin7.com'.
Die meisten Beispiele, die wir brauchen "*. gowin7.com' und ' *. secuurity.net'. Die Domänen 'gowin7.com' und'secuurity.net' wurden registriert ein ' Adolph Dybevek, die wahrscheinlich eine falsche Identität ist:
Besitzer-Name: Adolph Dybevek
Besitzer-Adresse: Prinsen Tor 6
Eigentümer-Stadt: Oslo
Admin-Adresse: Prinsen Tor 6
ICANN-Registrar: UNITED-DOMAINS AG
Erstellt am: 2012-03-15
Gültig bis: 2013-03-15
Letzte Aktualisierung: 2012-03-15
Zeigen Sie diese Domain-Registrierung-Adressen auf bestehende Unternehmen, wie im Fall der Flamme. Zum Beispiel bei Prinsens Gate 6 in Olso finden wir ein Hotel in Norwegen:

Ebenso verwendet viele der Flamme C & D falschen Domain-Registrierungen Adressen von Hotels.
Während der Zeit der Überwachung beobachteten wir diese beiden wichtigsten Bereiche, die auf zwei verschiedenen Servern in Indien und Portugal zeigen. Auf der Grundlage der passive DNS-Forschung haben wir festgestellt, drei anderen Servern, in den USA erscheinen als C & c verwendet wurden
Die Gastgeber 'gowin7.com' und'secuurity.net' wies auf die folgenden IP-Adressen:

Datum Domäne IP
28.06.2012 23:05 b.gowin7.com 109.71.45.115
2012-06-29 07:05:28 (geändert) b.gowin7.com 182.18.166.116
28.06.2012 23:05 b.secuurity.net 109.71.45.115
2012-06-29 07:05:29 (geändert) b.secuurity.net 182.18.166.116
Am 29. Juni 2012, der zwei-C & C-Domänen wurden 'gowin7.com' und'secuurity.net' von IP 109.71.45.115 in ein neues IP 182.18.166.116 geändert.
Beide Server wurden um 13. Juli 2012 geschlossen. Vor dem Herunterfahren ist es gelungen, wichtige Informationen zu sammeln. Beide schienen zu Debian Linux, das steht im Einklang mit der Flamme C & C-Servern ausgeführt werden. Sie waren Ports 22, 80 und 443 überwacht. Die SSL-Zertifikate wurden selbst unterzeichnet, noch einmal das gleiche wie im Falle der Flamme. Hier ist das Zertifikat für den Server in Portugal:

Wenn wir die Informationen in das Zertifikat zu glauben, wurde es am 17. Februar 2012 generiert.
Der Server bei 182.18.166.116 (Indien) scheint derzeit zwei anderen verwandten Gebieten zu hosten:
bestcomputeradvisor.com
dotnetadvisor.info
Beide wurden von jemandem namens Gilles Renaud, wahrscheinlich eine andere gefälschte Identität registriert:
Registrant:
Gilles Renaud
Neugasse 10
Zürich, Zürich 8005
CH
Sie waren zuvor in den USA auf die IPs gehostet: 173.204.235.204 und 173.204.235.196.
Derzeit haben wir gesehen, Proben, die verwendet {e, g, h}.bestcomputeradvisor.com und 'c.dotnetadvisor.info' für Befehl und Steuerung. Es ist durchaus möglich, dass andere Beispiele existieren auf verschiedenen Hosts zeigt.
Die zusätzliche Domains 'datajunction.org' und 'Gastzugriff .net' finden Sie im Beispiele und es wird auch verwendet für C & C Kommunikation. Wir haben derzeit Proben, die 'c.datajunction.org' und 'd.datajunction.org' verwenden, aber es gibt wahrscheinlich andere mit 'a.*' und 'b.'.
Beide wurden von jemandem namens "Peter Kulmann," wahrscheinlich eine andere gefälschte Identität registriert:
Registrant Name: Peter Kulman
Registrant Street1:Antala Staska 1301/19
Registrant-Strasse2:
Registrant-Street3:
Registrant Stadt: Prag
Registrant-Bundesland/Kanton:
Registrant Postal Code: 14000
Registrant Land: CZ
Wieder einmal scheint die Adresse "Antala Staska 1301/19" fake - auf eine Supermarkt/Apotheke in Prag zu sein:

Derzeit (Stand: August 2012) alle die "*. datajunction.org' Gastgeber zeigen Sie auf die C & C Server in Indien. Zuvor wies sie in Portugal an den Server. Wie bei den anderen wurden sie zuvor in USA gehostet.
Darüber hinaus haben wir eine andere Domäne mit dem Namen 'dataspotlight.net', die auf denselben Servern gehostet wurde identifiziert. Der Registrant ist unbekannt, und wir Proben verwenden, jedoch nicht finden konnte es wahrscheinlich bezieht sich auf die anderen.
Gauss C2 Domains im Überblick:
Insgesamt haben wir 7 Domänen verwendet oder mit Bezug auf die Gauß-Malware identifiziert:

Domäne Eingetragen von Derzeit gehostet Zuvor gehostet Ältere gehostet:

gowin7.com Adolph Dybevek Indien Portugal UNS
secuurity.net Adolph Dybevek Indien Portugal UNS
DataJunction.org PeterKulmann Indien Portugal UNS
bestcomputeradvisor.com GillesRenaud Indien Portugal UNS
dotnetadvisor.info GillesRenaud Indien Portugal UNS
dataspotlight.net UNBEKANNT Indien Portugal UNBEKANNT
Gast-access.net Peter Kulmann Nein Nein Nein
 
Domain-Registrierung-Geschichte:

Domäne Datum der Registrierung

bestcomputeradvisor.com, dotnetadvisor.info 22. Juli 2011
Gast-access.net DataJunction.org. 26. Juli 2011
gowin7.com, secuurity.net 15. März 2012
dataspotlight.net 18. April 2012
Wie aus der obigen Tabelle entnehmen kann, wurden vier Domänen im Jahr 2011 und in älteren Proben verwendet wurden. Den neueren Beispielen werden 'gowin7.com' und'secuurity.net', die am 15. März 2012 registriert wurden.
Bekannten Gauß-C2 Server IPs:

Server Lage
182.18.166.116 Indien, Hyderabad
109.71.45.115 Portugal, Constancia
173.204.235.204 USA, San Francisco
173.204.235.196 USA, San Francisco
173.204.235.201 USA, San Francisco
Hier ist ein Vergleich der Flamme und Gauss C2 Infrastruktur:

Flamme Gauss
Hosting VPS unter Debian Linux VPS unter Debian Linux
Dienstleistungen zur Verfügung SSH, HTTP, HTTPS SSH, HTTP, HTTPS
SSL-Zertifikat 'localhost' - signiert selbst 'localhost' - signiert selbst
Registrantinfo Falsche Namen Falsche Namen
Adresse des Registranten Hotels, Geschäfte Hotels, Geschäfte
C2-Verkehr-Protokoll HTTPS HTTPS
C2 Verschlüsselung des Datenverkehrs Keine XOR 0XACDC
C2-Skriptnamen Cgi-bin/counter.cgi, common/index.php userhome.php
Anzahl der C2-domains ~ 100 6
Anzahl der gefälschten Identitäten verwendet, um Domains registrieren ~ 20 3
DNS-Balancing
Für einige von der C2 verwendet der Controller eine Technik bekannt als DNS-balancing oder "Round-Robin-DNS" - wahrscheinlich sogar an der Ladung zu. Dies ist ein gebräuchliches Verfahren bei massiven Verkehr zu einer Website, was darauf hindeutet, dass auf dem Höhepunkt der Gauss-C2 einiges an Daten verarbeitet wurden.
Hier ist ein Beispiel des DNS-balancing:
;; FRAGE-ABSCHNITT:; DATAJUNCTION.ORG. IN A; ANTWORT-ABSCHNITT: DATAJUNCTION.ORG. 900 IN EINE 182.18.166.116 DATAJUNCTION.ORG. 3600 IN EIN 173.204.235.204 DATAJUNCTION.ORG. 900 IN EINE 109.71.45.115
Es kann gesehen werden, löst die Domäne datajunction.org an drei verschiedenen IPs: 182.18.166.116, 173.204.235.204 und 109.71.45.115.

Timeline

Wir haben versucht, alle Datum der Schöpfung-Informationen für die unterschiedlichen Gauss-Module, aber auch jene für Flammen- und Duqu zusammenzustellen. Seit keine Gauss-Module erstellt, bevor 2011 gefunden wurden beinhaltet die folgende Tabelle nicht frühere Daten für Flammen- und Duqu Module.

Liste "Dateien"
Haben wir zusammen die Namen aller Module, temporäre Dateien, Log-Dateien und Datendateien, die von Gauss in irgendeiner Form verwendet oder eine andere und die sind uns bekannt.

Hauptmodule Pfad
wmiqry32.dll % System % wbem
wmihlp32.dll % System % wbem
dskapi.ocx System %
WinShell.ocx System %
devwiz.ocx System %
lanhlp32.ocx System %
mcdmn.ocx System %
smdk.ocx System %
windig.ocx System %
system32.bin Stammordner USB-Laufwerk
system32.dat Stammordner USB-Laufwerk
.CatRoot.tmp Stammordner USB-Laufwerk
Dateien und Ordner Pfad
~SHW.tmp %Temp%
~STM.tmp %Temp%
ws1bin.dat %windir% Temp
ws1bin.dat %Temp%
~GDL.tmp %Temp%
~MDK.tmp %Temp%
. thumbs.db Stammordner USB-Laufwerk
wabdat.dat %Temp%
"Desktop.ini" in Ordnern auf USB-Stick
target.lnk in Ordnern auf USB-Stick
.Backup0 [D-M] Verzeichnis auf USB-Stick
.Backup00 [D-M] Verzeichnis auf USB-Stick
MD.bak %Temp%
s61cs3.dat %systemroot% Temp
s61cs3.dat %Temp%
~ZM6AD3.tmp % Windir % temp
Browser.js "% AppData % RoamingMozillaFirefoxProfiles *
{a288cad4-7b24-43f8-9f4d-8e156305a8bc}
% AppData % MozillaFirefoxProfiles *
{a288cad4-7b24-43f8-9f4d-8e156305a8bc}
"
Browser.XUL "% AppData % RoamingMozillaFirefoxProfiles *
{a288cad4-7b24-43f8-9f4d-8e156305a8bc}
% AppData % MozillaFirefoxProfiles *
{a288cad4-7b24-43f8-9f4d-8e156305a8bc}
"
FileIO.js "% AppData % RoamingMozillaFirefoxProfiles *
{a288cad4-7b24-43f8-9f4d-8e156305a8bc}
% AppData % MozillaFirefoxProfiles *
{a288cad4-7b24-43f8-9f4d-8e156305a8bc}
"
Chrome.Manifest "% AppData % RoamingMozillaFirefoxProfiles *
{a288cad4-7b24-43f8-9f4d-8e156305a8bc}
% AppData % MozillaFirefoxProfiles *
{a288cad4-7b24-43f8-9f4d-8e156305a8bc}
"
lppd.dat "% AppData % RoamingMozillaFirefoxProfiles *
{a288cad4-7b24-43f8-9f4d-8e156305a8bc}
% AppData % MozillaFirefoxProfiles *
{a288cad4-7b24-43f8-9f4d-8e156305a8bc}
"
install.RDF "% AppData % RoamingMozillaFirefoxProfiles *
{a288cad4-7b24-43f8-9f4d-8e156305a8bc}
% AppData % MozillaFirefoxProfiles *
{a288cad4-7b24-43f8-9f4d-8e156305a8bc}
"
rssf.dat "% AppData % RoamingMozillaFirefoxProfiles *
{a288cad4-7b24-43f8-9f4d-8e156305a8bc}
% AppData % MozillaFirefoxProfiles *
{a288cad4-7b24-43f8-9f4d-8e156305a8bc}
"
lfm.dat "% AppData % RoamingMozillaFirefoxProfiles *
{a288cad4-7b24-43f8-9f4d-8e156305a8bc}
% AppData % MozillaFirefoxProfiles *
{a288cad4-7b24-43f8-9f4d-8e156305a8bc}
"
MPPD.dat "% AppData % RoamingMozillaFirefoxProfiles *
{a288cad4-7b24-43f8-9f4d-8e156305a8bc}
% AppData % MozillaFirefoxProfiles *
{a288cad4-7b24-43f8-9f4d-8e156305a8bc}
"
pddp.dat "% AppData % RoamingMozillaFirefoxProfiles *
{a288cad4-7b24-43f8-9f4d-8e156305a8bc}
% AppData % MozillaFirefoxProfiles *
{a288cad4-7b24-43f8-9f4d-8e156305a8bc}
"
pldnrfn.ttf % SystemRoot % Schriftarten
Abschluss
Gauss ist die neueste Entwicklung aus dem Pool der Cyber-Spionage-Projekte, der Stuxnet, Flamme und Duqu enthält. Es wurde wahrscheinlich Mitte 2011 erstellt und zum ersten Mal im August / September 2011 bereitgestellt.
Seiner geographischen Verbreitung ist einzigartig; die Mehrzahl der Infektionen fanden sich im Libanon, Palästina und Israel. Eines der Module ab Jan 2012 enthält den Pfad "c und settingsflamerdesktopgauss_white_1". Der "Flammenwerfer" im oben genannten Pfad ist der Windows-Benutzername, der das Projekt kompiliert. Da den Schwerpunkt auf den Libanon, die "weißen" Versions-ID kann wahrscheinlich erklärt werden wie folgt: 'Die Name Libanon kommt von der semitischen Wurzel LBN, was bedeutet "weiß", wahrscheinlich einen Verweis auf die schneebedeckten Mount Lebanon.' (Wikipedia)
Code-Referenzen und Verschlüsselung Unterprogramme, sowie die Führungs- und Infrastruktur machen uns glauben, dass Gauss entstand durch die gleichen "Fabrik" die Flamme erzeugt. Dies bedeutet, dass es höchstwahrscheinlich ein Nationalstaat gesponsert-Betrieb ist.
Zwischen Gauss-Funktionen stiehlt das 'Winshell.ocx'-Modul, das den Namen auf die Malware als 'Gauß', gibt Anmeldeinformationen benötigt, um online-Banking Konten für mehrere libanesische Banken - einschließlich Bank von Beirut, Byblos Bank und Fransabank zugreifen. Dies ist der erste öffentlich bekannte Nationalstaat gesponsert-banking-Trojaner.
Ein weiteres Merkmal, das Gauss einzigartig macht ist seine verschlüsselten Nutzlast, die wir noch nicht in der Lage zu entsperren. Die Nutzlast wird von infizierten USB-Sticks und chirurgisch ein bestimmtes System (oder Systeme) Ziel soll ein bestimmtes Programm installiert haben. Man kann nur spekulieren, über den Zweck dieser geheimnisvollen Nutzlast.
Die Entdeckung von Gauss gibt an, dass wahrscheinlich viele andere verwandte Cyber-Spionage-Malware in Betrieb. Die gegenwärtigen Spannungen im Nahen Osten sind nur Anzeichen für die Intensität dieser laufenden Cyber-Krieg und Cyber-Spionage-Kampagnen.

In Verbindung stehende Artikel
Die CTIA Super Mobilitätswoche 2014
5
9
0
1
Lücken in der Sicherheit: Ad-Networks
14
18
3
0
Web-basierte-Attacke, die home-Router, der Brasilianer targeting

https://Securelist.com/Analysis/Publications/36620/Gauss-abnormal-Distribution/