Gauss: Abnorme Verteilung
Durch große am 9. August 2012. 17:01
Publikationen
Tweet
Cyber-Spionage Cyber-Waffe Duqu Flamme Gauss Stuxnet Gezielte Angriffe
Inhalt
Einführung
Zusammenfassung
Infektion-Statistik
Betriebssystem-Statistik
Architektur
Vergleich mit Flamme
Wmiqry32/Wmihlp32.dll aka ShellHW
Installation
Betrieb
Dskapi.ocx
USB-Nutzlast
. thumbs.db-Datei
Smdk.ocx
McDmn.ocx
Lanhlp32.ocx
Devwiz.ocx
WinShell.ocx
Windig.ocx
Gauss C
Gauss C2 Domains im Überblick:
DNS-Balancing
Timeline
Liste "Dateien"
Abschluss
Sie können die PDF-Version dieses Artikels herunterladen hier .
Einführung
Bei der Analyse der Flamme-Malware, die wir im Mai 2012 erkannt, identifiziert
die Experten von Kaspersky Lab einige unverwechselbare Merkmale aus der Flamme
der Module. Auf der Grundlage dieser Features, entdeckten wir, dass im Jahr
2009, die erste Variante des Stuxnet-Wurms ein Modul, das geschaffen wurde
enthalten, basiert auf der Flamme-Plattform. Dies bedeutet, dass gab es
irgendeine Form der Zusammenarbeit zwischen den Gruppen, die die Flamme
entwickelt und Tilded (Stuxnet/Duqu) Plattformen.
Basierend auf den Ergebnissen einer detaillierten Analyse der Flamme, weiter
haben wir aktiv nach neuen, unbekannten Komponenten zu suchen. Eine tiefer
gehende Analyse durchgeführt im Juni 2012 führte zur Entdeckung einer neuen,
bislang unbekannte Malware-Plattform, die eine modulare Struktur, die ähnlich
der Flamme, ein ähnlicher Code-Basis und System für die Kommunikation mit C & C
verwendet, Server, sowie zahlreiche andere Ähnlichkeiten mit Flamme.
Unserer Meinung nach all dies eindeutig anzeigt, dass die neue Plattform die wir
entdeckt und die wir 'Gauß,' genannt ist ein weiteres Beispiel für eine
Cyber-Spionage-Toolkit basierend auf der Flamme-Plattform.
Gauss ist ein Projekt im Jahr 2011-2012 in die gleiche Richtung wie die
Flamme-Projekt entwickelt. Die Malware wurde aktiv verteilt im Nahen Osten für
mindestens die letzten 10 Monate. Die größte Anzahl von Gauss-Infektionen
verzeichnet im Libanon, im Gegensatz zur Flamme, die hauptsächlich im Iran
verbreitet.
Gauss soll funktional, sammeln so viele Informationen über infizierte Systeme
wie möglich, sowie über Anmeldeinformationen für verschiedene Bankensysteme und
soziales Netzwerk, e-Mail und IM-Konten zu stehlen. Der Gauss-Code enthält
Befehle zum Abfangen von Daten, die für das Arbeiten mit mehreren libanesischen
Banken - zum Beispiel, Bank von Beirut, Byblos Bank und Fransabank.
Merkwürdigerweise sind mehrere Gauss-Module nach berühmten Mathematiker benannt.
Die Plattform umfasst Module, die von den Namen zu gehen, 'Gauß', 'Lagrange',
'Godel', 'Anpassen', 'Kurt' (in eine offensichtliche Anspielung auf Godel). Das
Gauß-Modul ist verantwortlich für das Sammeln der kritischsten, weshalb wir
beschlossen, das gesamte Toolkit nach es zu benennen.
Gauss ist eine viel breitere Bedrohung als Flamme. Jedoch haben wir keine
Selbstreplikation-Funktionalität in den Modulen gefunden, die wir bisher gesehen
haben, die offen, die Frage nach seiner ursprünglichen Angriffsmethode lässt.
Zusammenfassung
Stammen Sie die ersten bekannten Gauß Infektionen bis September-Oktober 2011.
Während dieser Zeit verändert die Gauss-Autoren verschiedene Module mehrere
Male. Sie änderten auch Befehl Serveradressen. In der Mitte Juli 2012, wenn wir
bereits entdeckt hatte, Gauss und studierten es, ging die Kommando-Server
offline.
Gauss soll Informationen sammeln und senden Sie die Daten an die Kommando-und
Kontroll-Server zusammengestellt. Informationen werden gesammelt, mit
verschiedenen Modulen, von die jeder seine eigene einzigartige Funktionalität
hat:
Injektion von eigenen Modulen in verschiedenen Browsern um Benutzersitzungen
abzufangen und zu stehlen Passwörter, Cookies und Browser-Verlauf.
Sammeln Informationen über Netzwerkverbindungen des Computers.
Sammeln Informationen über Prozesse und Ordner.
Sammeln Informationen über das BIOS, CMOS-RAM.
Sammeln Informationen über lokale, Netzwerk und Wechsellaufwerke.
Infizieren USB-Laufwerke mit einem Spion-Modul um Informationen von anderen
Computern zu stehlen.
Installieren die benutzerdefinierte Palida schmale Schriftart (Ziel unbekannt).
Des gesamten Toolkits laden und Betrieb zu gewährleisten.
Interaktion mit dem Führungs- und Server, senden die Informationen
zusammengestellt, zusätzliche Module herunterladen.
Das Spion-Modul, das funktioniert auf USB-Laufwerke verwendet ein.LNK ausnutzen
dieser Sicherheitsanfälligkeit CVE-2010-2568 . Der Exploit ist ähnlich wie in
der Stuxnet-Wurm verwendet, aber es ist effektiver. Das Modul Masken der
Trojaner-Dateien auf dem USB-Laufwerk ohne Verwendung eines Treibers. Es nicht
das System infizieren: Informationen extrahiert daraus über ein Spion-Modul (32
oder 64-Bit) und auf dem USB-Laufwerk gespeichert.
Infektion-Statistik
Wir begannen unsere Untersuchung Gauss in Anfang Juni 2012. Basierend auf Daten,
die durch das Kaspersky Security Network, bemerkten wir sofort, dass der
Trojaner erschien in drei bestimmten Ländern im Nahen Osten verbreitet.
Weitere Beobachtung später bestätigt diese drei-Länder-Konzentration. Ab 31.
Juli 2012 haben wir gezählt, rund 2500 einzigartige PCs, auf welche Dateien von
der Gauss Auflistung gefunden worden.
Die meisten infizierten Länder
Die höchste Zahl der Infektionen wird im Libanon, mit mehr als 1600 betroffenen
Computer aufgezeichnet. Der Gauss-Code (winshell.ocx) enthält direkte Befehle
zum Arbeiten mit libanesische Banken - einschließlich Bank von Beirut, Byblos
Bank und Fransabank erforderliche Daten abfangen.
In Israel und den palästinensischen Gebieten wurden 750 Vorfälle festgestellt.
Land |
Unique User |
Libanon |
1660 |
Israel |
483 |
Palästinensische Gebiete |
261 |
USA |
43 |
Vereinigte Arabische Emirate |
11 |
Deutschland |
5 |
Ägypten |
4 |
Katar |
4 |
Jordanien |
4 |
Saudi-Arabien |
4 |
Syrien |
4 |
Land Unique User
Libanon 1660
Israel 483
Palästinensische Gebiete 261
USA 43
Vereinigte Arabische Emirate 11
Deutschland 5
Ägypten 4
Katar 4
Jordanien 4
Saudi-Arabien 4
Syrien 4
Top 10 infizierten Länder
Wie in der obigen Tabelle, mit Ausnahme von den USA und Deutschland, ersichtlich
fand alle Vorfälle im Nahen Osten. Allerdings glauben wir, dass in den meisten
Fällen im Zusammenhang mit den USA und Deutschland, die die betroffenen Benutzer
tatsächlich im Nahen Osten auch waren - mit VPNs (oder das Tor-Netzwerk
Anonymität).
Alles in allem haben wir Vorfälle in 25 Ländern auf der ganzen Welt verzeichnet;
jedoch wurden in allen Ländern außerhalb der Top 10 nur ein oder zwei
Ereignissen erfasst:
Infizierte Benutzer insgesamt
Bezüglich der Verbreitung von Gauß verwendete Mechanismus lassen Sie uns die
gewonnenen Daten mit mehr Fragen offen als gelöst. Die Gesamtzahl der
Infektionen (ca. 2500), die wir entdeckt haben könnte in Wirklichkeit nur einen
kleinen Teil der Zehntausende von Infektionen, sein, da unsere Statistik nur
Anwender von Kaspersky Lab Produkten abdecken.
Wenn wir die Zahl der Infektionen mit denen anderer Programme früher entdeckt
Gauß, die gemeinsame Komponenten oder Strukturen haben vergleichen, erhalten wir
die folgenden Abbildungen:
Name |
Vorfälle (KL Stats) |
Vorfälle (ca.) |
Stuxnet |
Mehr als 100 000 |
Mehr als 300 000 |
Gauss |
~ 2500 |
? |
Flamme |
~ 700 |
~ 5000-6000 |
Duqu |
~ 20 |
~ 50-60 |
Name Vorfälle (KL Stats) Vorfälle (ca.)
Stuxnet Mehr als 100 000 Mehr als 300 000
Gauss ~ 2500 ?
Flamme ~ 700 ~ 5000-6000
Duqu ~ 20 ~ 50-60
Gauss hat in der Region seit mindestens 10 Monaten verbreitet Verlauf es
Tausende von Systemen infiziert hat. Einerseits ist dies eine ungewöhnlich hohe
Anzahl für gezielte Angriffe ähnlich Duqu (es ist möglich, dass solch eine hohe
Anzahl von Vorfällen aufgrund des Vorhandenseins von einem Wurm in eines der
Gauss-Module, die wir noch nicht kennen). Die Infektionen wurden jedoch
überwiegend innerhalb der Grenzen einer eher geringen geographischen Region.
Wenn die Malware die Fähigkeit hatte, wahllos - beispielsweise auf einem
USB-Stick verteilt, wie der Fall mit Stuxnet - Infektionen würden in viel
größerer Anzahl in anderen Ländern wurden Fehler ermittelt.
Betriebssystem-Statistik
Gauss wurde für 32-Bit-Versionen des Windows-Betriebssystems entwickelt. Einige
Module funktionieren nicht unter Windows 7 SP1.
OS |
% von gesamt |
Windows 7 |
34,87 |
XP Professional SP2 |
26,40 |
XP Professional SP3 |
17,92 |
Windows 7 SP1 |
10,77 |
Windows 7-Startseite |
2,15 |
Vista Home SP1 |
1,71 |
Vista-Startseite |
1,22 |
Windows 7 Home SP1 |
0,88 |
Vista Home SP2 |
0,83 |
Vista |
0,64 |
VistaSP2 |
0,39 |
XP Home Edition |
0,39 |
VistaSP1 |
0,34 |
Andere |
1,47 |
OS % von gesamt
Windows 7 34,87
XP Professional SP2 26,40
XP Professional SP3 17,92
Windows 7 SP1 10,77
Windows 7-Startseite 2,15
Vista Home SP1 1,71
Vista-Startseite 1,22
Windows 7 Home SP1 0,88
Vista Home SP2 0,83
Vista 0,64
VistaSP2 0,39
XP Home Edition 0,39
VistaSP1 0,34
Andere 1,47
Gibt es eine separate Spion-Modul, das auf USB-Laufwerken (siehe Beschreibung
des dskapi.ocx) und dient zum Sammeln von Informationen von 64-Bit-Systemen.
Architektur
Gauss ist ein modulares System. Die Anzahl und Kombination der Module können von
einem infizierten System ändern. Im Rahmen unserer Forschung entdeckten wir die
folgenden Module:
Modulname |
Lage |
Beschreibung |
Kosmos |
%system32%devwiz.ocx |
Sammelt Informationen über CMOS, BIOS |
Kurt, Godel |
%system32%dskapi.ocx |
Infiziert USB-Laufwerke mit Daten-Diebstahl-Modul |
Schneider |
%system32%lanhlp32.ocx |
Sammelt Informationen über Netzwerkschnittstellen |
McDomain |
%system32%mcdmn.ocx |
Sammelt Informationen über die Domäne des Benutzers |
UsbDir |
%system32%smdk.ocx |
Sammelt Informationen über Laufwerke Computers |
Lagrange |
%system32%windig.ocx |
Installiert eine benutzerdefinierte Schriftart
"Palida schmal" |
Gauss |
%system32%WinShell.ocx |
Browser-Plugins, die Passwörter und Cookies sammeln
installiert |
ShellHW |
"%system32%wbemwmiqry32.ocx |
Hauptmodul Loader und Kommunikation |
Modulname Lage Beschreibung
Kosmos %system32%devwiz.ocx Sammelt Informationen über CMOS, BIOS
Kurt, Godel %system32%dskapi.ocx Infiziert USB-Laufwerke mit
Daten-Diebstahl-Modul
Schneider %system32%lanhlp32.ocx Sammelt Informationen über
Netzwerkschnittstellen
McDomain %system32%mcdmn.ocx Sammelt Informationen über die Domäne des Benutzers
UsbDir %system32%smdk.ocx Sammelt Informationen über Laufwerke Computers
Lagrange %system32%windig.ocx Installiert eine benutzerdefinierte Schriftart
"Palida schmal"
Gauss %system32%WinShell.ocx Browser-Plugins, die Passwörter und Cookies sammeln
installiert
ShellHW "%system32%wbemwmiqry32.ocx
%system32%wbemwmihlp32.ocx
" Hauptmodul Loader und Kommunikation
Die Konfiguration einer bestimmten Kombination von Modulen für jedes System wird
in einen speziellen Registrierungsschlüssel beschrieben. Diese Technik, als auch
die Konfigurationsstruktur selbst, ist ähnlich wie in Stuxnet/Duqu (Speichern
der Konfiguration in der Windows-Registrierung) und Flame
(Konfigurationsstruktur) verwendet. Flamme speichert seine Konfiguration in das
Hauptmodul (mssecmgr.ocx).
Wir haben eine besondere Entdeckung-Routine, die uns geholfen haben, entdecken
verschiedene Gauss-Konfigurationen, die auf der Grundlage von
Registrierungseinstellungen auf infizierten Rechnern. Wir erkannt um 1700 solche
Konfigurationen insgesamt, die ein Bild der Module Vermehrung offenbart:
Modul "Die Anzahl der PCs, die mit dem Modul
(definiert in der Config)
Module |
"Number of PC with the module |
UsbDir |
1655 |
Godel |
1220 |
Gauss |
858 |
Gauss_1.1 |
510 |
Kurt (aka Godel) |
433 |
Gauss 1.0.8 |
318 |
Tailor |
28 |
McDomain 1.2 |
5 |
Cosmos |
5 |
Lagrange |
3 |
"
UsbDir 1655
Godel 1220
Gauss 858
Gauss_1.1 510
Kurt (aka Godel) 433
Gauss 1.0.8 318
Schneider 28
McDomain 1.2 5
Kosmos 5
Lagrange 3
Sie sehen drei Module, die in den meisten Fällen - Gauss, Godel und UsbDir
verwendet werden.
Einige Beispiele für verschiedene Konfigurationen:
Wie bereits erwähnt, waren wir nicht in der Lage zu entdecken, der
ursprünglichen Infektion-Vektor und die Dropper-Datei, die Gauss im System
installiert. In allen Systemen, die wir untersucht haben, beschäftigten wir uns
mit einer Reihe von Modulen, die bereits installiert wurde. Es ist möglich, dass
während der anfänglichen Infektion, nur die ShellHW-Komponente installiert ist,
installiert die dann die anderen Modulen.
ShellHW (Datei namens ' wmiqry32.dll'/'wmihlp32.dll') ist die wichtigste
Komponente der Malware, die sicherstellt, dass alle anderen Gauss-Module geladen
werden, wenn die Malware gestartet wird und ordnungsgemäß.
Vergleich mit Flamme
Wie oben erwähnt, gibt es erhebliche Ähnlichkeiten im Code und Architektur
zwischen Gauß und Flamme. In der Tat ist es vor allem aufgrund dieser
Ähnlichkeiten, dass Gauss entdeckt wurde. Wir erstellt die folgende Tabelle für
ein besseres Verständnis dieser Tatsachen und der Nachweis der "Verwandtschaft"
zwischen den zwei Angriffs-Plattformen:
Feature |
Flame |
Gauss |
Modular architecture |
Yes |
Yes |
Using kernel drivers |
No |
No |
.OCX files extensions |
Yes |
Yes |
Configuration settings |
Predefined in main body |
Stored in registry |
DLL injections |
Yes |
Yes |
Visual C++ |
Yes |
Yes |
Encryption methods |
XOR |
XOR |
Using USB as storage |
Yes (hub001.dat) |
Yes (.thumbs.db) |
Embedded LUA scripting |
Yes |
No |
Browser history/cookies stealer |
Yes (soapr32/nteps32) |
Yes (winshell) |
CVE2010-2568 (.LNK exploit) |
Yes (target.lnk) |
Yes (target.lnk) |
C&C communication |
https |
https |
Log files/stolen data stored in %temp% |
Yes |
Yes |
Zlib compression of collected data |
Yes |
Yes |
Feature Flamme Gauss
Modulare Architektur Ja Ja
Kerneltreiber verwenden Nein Nein
.OCX-Dateien-Erweiterungen Ja Ja
Konfigurationseinstellungen Im Hauptteil vordefiniert In Registrierung
gespeichert
DLL-Injektionen Ja Ja
Visual C++ Ja Ja
Verschlüsselungsmethoden XOR XOR
Mit USB-Speicher Ja (hub001.dat) Ja (. thumbs.db)
Eingebettete LUA scripting Ja Nein
Browser History/Cookies stealer Ja (soapr32/nteps32) Ja (Winshell)
CVE2010-2568 (.LNK-Exploit) Ja (target.lnk) Ja (target.lnk)
C & C-Kommunikation HTTPS HTTPS
Log-Dateien/gestohlen-Daten gespeichert unter %Temp% Ja Ja
Zlib-Komprimierung der gesammelten Daten Ja Ja
Neben den oben genannten Merkmalen gibt es erhebliche Ähnlichkeiten in den
Betrieb der Flamme und Gauss-C & C Server. Die relevante Analyse wird im
Abschnitt C & C-Kommunikation bereitgestellt.
Es gibt mehr Gemeinsamkeiten in den Code und die Daten der Module:
C++ Runtime Type Information (RTTI) Strukturen werden codiert, um den Namen der
standard-Bibliothek-Klassen zu verbergen. Die kodierten Namen finden Sie im
Flamme und Gauss-Module, d.h. die erste RTTI-Struktur enthält den Namen
'AVnxsys_uwip', die am ehesten auf die 'AVtype_info'-Klasse gehört.
Die meisten der Flamme und Gauss-Module enthalten Dutzende von
Objekt-Initialisierungsfunktionen, die String-Objekte von verschlüsselten Daten
zu konstruieren. Das Layout dieser Funktionen ist nahezu identisch.
String Entschlüsselungsroutinen ('GetDecryptedStrings' in
Initialisierungsfunktionen verwendet) sind sehr ähnlich, obgleich nicht
identisch, da das Layout der verschlüsselte Saiten halten Strukturen geändert
wurde.
Wmiqry32/Wmihlp32.dll aka ShellHW
Installiert von: Unbekannte Dropper
Arbeitet in zwei Modi: Installation und Normalbetrieb.
File names |
"%system32%wbemwmiqry32.dll |
Some known MD5 |
"C3B8AD4ECA93114947C777B19D3C6059 |
Image Size |
258 048 bytes |
Number of resources |
7 |
Resources |
121, 131, 141, 151, 161, 171, 181 |
Date of compilation |
"Jun 1 2011 |
Related files |
"%temp%~shw.tmp |
Dateinamen "%system32%wbemwmiqry32.dll
%system32%wbemwmihlp32.dll
"
Einige bekannte MD5 "C3B8AD4ECA93114947C777B19D3C6059
08D7DDB11E16B86544E0C3E677A60E10
055AE6B8070DF0B3521D78E1B8D2FCE4
FA54A8D31E1434539FBB9A412F4D32FF
01567CA73862056304BB87CBF797B899
23D956C297C67D94F591FCB574D9325F"
Bildgröße 258 048 Bytes
Anzahl der Ressourcen 7
Ressourcen 121, 131, 141, 151, 161, 171, 181
Datum der Kompilierung "1. Juni 2011
16. Juli 2011
18. Juli 2011
Sep 28 2011
20. Oktober 2011
"
Zugehörige Dateien "%temp%~shw.tmp
%Temp%~STM.tmp
"
Installation
Das Modul prüft, ob es von "lsass.exe" Prozess geladen wurde, und wenn es
stimmt, mit der Installation fährt.
Es schreibt sich in Dateien: % system32%wbemwmiqry32.dll,
%system32%wbemwmihlp32.dll und ändert die Systemregistrierung statt
%system32%wbemwbemsvc.dll-Datei geladen werden.
Um dies zu erreichen, schreibt sie den folgenden Registrierungswert:
[HKCRCLSID {7C857801-7381-11CF-884D-00AA004B2E24} InProcServer32]
Standard = %system32%wbemwmihlp32.dll
Betrieb
Das Modul wird automatisch in die Prozesse geladen, die wbemsvc.dll verwenden.
Beim Laden in "svchost.exe", die mit wurde '-k Netsvc' Parameter, es beginnt
seine Haupt-Thread.
Das Modul erstellt 'ShellHWStop', 'GlobalShellHWDetectionEvent'-Veranstaltungen,
Mutex 'ShellHWDetectionMutex'.
Der Haupt-Thread beendet wird, wenn die folgenden Prozesse bei dessen Start
gefunden wurden:
LMon.exe |
sagui.exe |
RDTask.exe |
kpf4gui.exe |
ALsvc.exe |
pxagent.exe |
fsma32.exe |
licwiz.exe |
SavService.exe |
prevxcsi.exe |
alertwall.exe |
livehelp.exe |
SAVAdminService.exe |
csi-eui.exe |
mpf.exe |
lookout.exe |
savprogress.exe |
lpfw.exe |
mpfcm.exe |
emlproui.exe |
savmain.exe |
outpost.exe |
fameh32.exe |
emlproxy.exe |
savcleanup.exe |
filemon.exe |
AntiHook.exe |
endtaskpro.exe |
savcli.exe |
procmon.exe |
xfilter.exe |
netguardlite.exe |
backgroundscanclient.exe |
Sniffer.exe |
scfservice.exe |
oasclnt.exe |
sdcservice.exe |
acs.exe |
scfmanager.exe |
omnitray.exe |
sdcdevconx.exe |
aupdrun.exe |
spywaretermin |
onlinent.exe |
sdcdevconIA.exe |
sppfw.exe |
spywat~1.exe |
opf.exe |
sdcdevcon.exe |
spfirewallsvc.exe |
ssupdate.exe |
pctavsvc.exe |
configuresav.exe |
fwsrv.exe |
terminet.exe |
pctav.exe |
alupdate.exe |
opfsvc.exe |
tscutynt.exe |
pcviper.exe |
InstLsp.exe |
uwcdsvr.exe |
umxtray.exe |
persfw.exe |
CMain.exe |
dfw.exe |
updclient.exe |
pgaccount.exe |
CavAUD.exe |
ipatrol.exe |
webwall.exe |
privatefirewall3.exe |
CavEmSrv.exe |
pcipprev.exe |
winroute.exe |
protect.exe |
Cavmr.exe |
prifw.exe |
apvxdwin.exe |
rtt_crc_service.exe |
Cavvl.exe |
tzpfw.exe |
as3pf.exe |
schedulerdaemon.exe |
CavApp.exe |
privatefirewall3.exe |
avas.exe |
sdtrayapp.exe |
CavCons.exe |
pfft.exe |
avcom.exe |
siteadv.exe |
CavMud.exe |
armorwall.exe |
avkproxy.exe |
sndsrvc.exe |
CavUMAS.exe |
app_firewall.exe |
avkservice.exe |
snsmcon.exe |
UUpd.exe |
blackd.exe |
avktray.exe |
snsupd.exe |
cavasm.exe |
blackice.exe |
avkwctrl.exe |
procguard.exe |
CavSub.exe |
umxagent.exe |
avmgma.exe |
DCSUserProt.exe |
CavUserUpd.exe |
kpf4ss.exe |
avtask.exe |
avkwctl.exe |
CavQ.exe |
tppfdmn.exe |
aws.exe |
firewall.exe |
Cavoar.exe |
blinksvc.exe |
bgctl.exe |
THGuard.exe |
CEmRep.exe |
sp_rsser.exe |
bgnt.exe |
spybotsd.exe |
OnAccessInstaller.exe |
op_mon.exe |
bootsafe.exe |
xauth_service.exe |
SoftAct.exe |
cmdagent.exe |
bullguard.exe |
xfilter.exe |
CavSn.exe |
VCATCH.EXE |
cdas2.exe |
zlh.exe |
Packetizer.exe |
SpyHunter3.exe |
cmgrdian.exe |
adoronsfirewall.exe |
Packetyzer.exe |
wwasher.exe |
configmgr.exe |
scfservice.exe |
zanda.exe |
authfw.exe |
cpd.exe |
scfmanager.exe |
zerospywarele.exe |
dvpapi.exe |
espwatch.exe |
dltray.exe |
zerospywarelite_installer.exe |
clamd.exe |
fgui.exe |
dlservice.exe |
Wireshark.exe |
sab_wab.exe |
filedeleter.exe |
ashwebsv.exe |
tshark.exe |
SUPERAntiSpyware.exe |
firewall.exe |
ashdisp.exe |
rawshark.exe |
vdtask.exe |
firewall2004.exe |
ashmaisv.exe |
Ethereal.exe |
asr.exe |
firewallgui.exe |
ashserv.exe |
Tethereal.exe |
NetguardLite.exe |
gateway.exe |
aswupdsv.exe |
Windump.exe |
nstzerospywarelite.exe |
hpf_.exe |
avastui.exe |
Tcpdump.exe |
cdinstx.exe |
iface.exe |
avastsvc.exe |
Netcap.exe |
cdas17.exe |
invent.exe |
|
Netmon.exe |
fsrt.exe |
ipcserver.exe |
|
CV.exe |
VSDesktop.exe |
ipctray.exe |
LMon.exe sagui.exe RDTask.exe kpf4gui.exe
ALsvc.exe pxagent.exe fsma32.exe licwiz.exe
SavService.exe prevxcsi.exe alertwall.exe LiveHelp.exe
SAVAdminService.exe CSI-eui.exe MPF.exe Lookout.exe
savprogress.exe lpfw.exe mpfcm.exe emlproui.exe
savmain.exe Outpost.exe fameh32.exe emlproxy.exe
savcleanup.exe Filemon.exe AntiHook.exe endtaskpro.exe
savcli.exe procmon.exe xfilter.exe netguardlite.exe
backgroundscanclient.exe Sniffer.exe scfservice.exe oasclnt.exe
sdcservice.exe ACS.exe scfmanager.exe OmniTray.exe
sdcdevconx.exe aupdrun.exe spywaretermin
atorshield.exe onlinent.exe
sdcdevconIA.exe sppfw.exe Spywat ~ 1.exe OPf.exe
sdcdevcon.exe spfirewallsvc.exe ssupdate.exe pctavsvc.exe
configuresav.exe fwsrv.exe terminet.exe pctav.exe
alupdate.exe opfsvc.exe tscutynt.exe pcviper.exe
InstLsp.exe uwcdsvr.exe umxtray.exe persfw.exe
CMain.exe DFW.exe updclient.exe pgaccount.exe
CavAUD.exe iPatrol.exe WEBWALL.exe privatefirewall3.exe
CavEmSrv.exe pcipprev.exe WinRoute.exe Protect.exe
Cavmr.exe prifw.exe apvxdwin.exe rtt_crc_service.exe
Cavvl.exe tzpfw.exe as3pf.exe schedulerdaemon.exe
CavApp.exe privatefirewall3.exe AVAS.exe SDTrayApp.exe
CavCons.exe pfft.exe avcom.exe SiteAdv.exe
CavMud.exe armorwall.exe avkproxy.exe sndsrvc.exe
CavUMAS.exe app_firewall.exe avkservice.exe snsmcon.exe
UUpd.exe blackd.exe avktray.exe snsupd.exe
cavasm.exe BlackICE.exe avkwctrl.exe procguard.exe
CavSub.exe umxagent.exe avmgma.exe DCSUserProt.exe
CavUserUpd.exe kpf4ss.exe avtask.exe avkwctl.exe
CavQ.exe tppfdmn.exe AWS.exe Firewall.exe
Cavoar.exe blinksvc.exe bgctl.exe THGuard.exe
CEmRep.exe sp_rsser.exe bgnt.exe SpybotSD.exe
OnAccessInstaller.exe op_mon.exe BootSafe.exe xauth_service.exe
SoftAct.exe cmdagent.exe BullGuard.exe xfilter.exe
CavSn.exe VCATCH.EXE cdas2.exe ZLH.exe
Packetizer.exe SpyHunter3.exe cmgrdian.exe adoronsfirewall.exe
Packetyzer.exe wwasher.exe ConfigMgr.exe scfservice.exe
zanda.exe authfw.exe CPD.exe scfmanager.exe
zerospywarele.exe dvpapi.exe espwatch.exe dltray.exe
zerospywarelite_installer.exe clamd.exe fgui.exe dlservice.exe
Wireshark.exe sab_wab.exe filedeleter.exe ashwebsv.exe
tshark.exe SUPERAntiSpyware.exe Firewall.exe ashdisp.exe
rawshark.exe VDTask.exe firewall2004.exe ashmaisv.exe
Ethereal.exe ASR.exe firewallgui.exe ashserv.exe
Tethereal.exe NetguardLite.exe Gateway.exe aswupdsv.exe
Windump.exe nstzerospywarelite.exe hpf_.exe avastui.exe
Tcpdump.exe cdinstx.exe iface.exe avastsvc.exe
Netcap.exe cdas17.exe invent.exe
Netmon.exe fsrt.exe ipcserver.exe
CV.exe VSDesktop.exe ipctray.exe
Das Modul liest den Wert 'SOFTWAREMicrosoftWindowsCurrentVersionReliability'
'TimeStampForUI'. Es ist eine verschlüsselte Konfigurationsdatei. Die
Konfigurationsdatei enthält die Liste der zusätzliche Module, ihre Namen, DLL
exportiert Namen zu rufen und den Speicherort der die Module zusätzliche
Dateien.
Gauss ShellNotifyUser ShellNotifyUserEx SetWindowEvent InitShellEx
%systemroot%system32winshell.ocx %temp%ws1bin.dat Godel InitCache RevertCache
ValidateEntry CreateEntry %windir%system32dskapi.ocx %temp%~gdl.tmp UsbDir
InitCache RevertCache ValidateEntry CreateEntry %windir%system32smdk.ocx
%temp%~mdk.tmp
String-Werte von Config-Datei (Beispiel)
Jedes Modul wird geladen, und die Ausfuhr, die Funktionen, als aufgerufen werden
in der Konfiguration angegeben.
Die meisten Aktionen werden in einer verschlüsselten (mit XOR) Datei '%
temp%~shw.tmp' protokolliert.
Stichprobe von entschlüsselt "~ shw.tmp"
Nach dem Laden zusätzliche Module, es versucht, die gleichen Berechtigungen wie
"explorer.exe" zu erwerben und dann beginnt der C & C Interaktion Schleife.
Vor der Kommunikation mit der C & C, wird alle Informationen aus den anderen
Modulen-Log-Dateien in die ~shw.tmp-Datei kopiert. Pfade zu den Logdateien
stammen aus der TimeStampForUI-Konfigurationsdatei.
Infolgedessen wird die ~shw.tmp in diesem Stadium eine universal Containerdatei
mit den gestohlenen Daten.
Durch den Zugriff auf URLs, die in ihrer Ressource 161 angegebenen überprüft
Internet-Verbindung (Https).
Anschließend wird eine Https-Verbindung mit www.google.com oder
www.update.windows.com überprüft. Wenn 200 OK "empfangen wird in seiner Antwort
sendet eine Anfrage mit der Proxy-Server-Parameter die Datei prefs.js des
Mozilla Firefox Browsers entnommen.
Wenn eine Internetverbindung verfügbar ist, es verbindet sich mit der C &
C-Servern, die in Ressource 131 angegeben sind:
Verbindung mit WinInet-API aufgebaut und wird in zwei Phasen durchgeführt:
GET-Anfrage an den Server. Die Antwort vom Server wird voraussichtlich neue
Module, Befehle oder Konfigurationsdaten enthalten.
1 |
GET [C&C domain]/userhome.php?sid=[random string]==&uid=VfHx8fHx8fHx8fHx8fHx8fHx8fE= |
1 GET [C & Amp;C domain]/userhome.php?sid=[random Zeichenfolge] == & Amp; Uid =
VfHx8fHx8fHx8fHx8fHx8fHx8fE =
POST-Anforderung an den Server mit dem Inhalt der Datei "~ shw.tmp" enthält alle
Daten aus den infizierten Computer.
Die Antwort vom Server wird mithilfe von XOR und 0xACDC als Schlüssel
entschlüsselt. Exfiltrated-Daten mit Zlib komprimiert.
Das C & C Routine Verbindung wird gesteuert durch einen DWORD-Wert, der aus dem
Registrierungswert gelesen wird:
[HKLMSOFTWAREMicrosoftWindowsCurrentVersionReliability]
ShutdownIntervalSnapshotUI
Der anfängliche Wert des Leistungsindikators wird von Ressource 181 gelesen und
gleich 56. Der Zähler wird verringert, jedes Mal, wenn das Modul nicht zum
Herstellen einer Verbindung mit der C & C Server oder zu den Servern in
Ressource angegebenen 161 und es wird erneut auf den Anfangswert nach jeder
erfolgreichen Anbindung an das C & C Server. Das Modul beendet die C & C
Verbindung Schleife, wenn der Wert des Leistungsindikators wird gleich NULL.
Resource |
Description |
121 |
3 DWORDs, related to list of AVs |
131 |
Hostnames and URLs of C&C servers |
141 |
List of AVs, firewalls, etc. |
151 |
Additional configuration DWORDs |
161 |
Hostnames and URLs of legitimate sites to check Internet connection |
171 |
String with cryptic identifiers |
181 |
DWORD, number of attempts to connect to the C&C before giving up |
Ressource Beschreibung
121 3 DWORDs, mit Bezug zu Liste der AVs
131 Hostnamen und URLs von C & C-Servern
141 Liste der AVs, Firewalls usw..
151 Zusätzliche Konfiguration DWORDs
161 Hostnamen und URLs von seriösen Websites, Internet-Anschluss zu überprüfen
171 String mit kryptischen IDs
181 DWORD-Wert Anzahl der Verbindungsversuche mit der C & C bevor aufgegeben
Dateiversion: 2001.12.4414.320 Produktversion: 5.1.2600.5788 Datei OS:
WINDOWS32-Dateityp: DLL Datei Untertyp: unbekannte Sprache/Codepage: 1033/1200
CompanyName: Microsoft Corporation FileDescription: WMI-COM-Helper-FileVersion:
2001.12.4414.320 LegalCopyright: Copyright (C) Microsoft Corp. 1995-1999
LegalTrademarks: Microsoft (r) ist ein eingetragenes Warenzeichen der Microsoft
Corporation. Windows(TM) ist ein Warenzeichen von Microsoft Corporation
ProductName: WMI-COM-Dienste helfen ProductVersion: 05.01.2600.5788
Versionsinfo 'wmiqry32.dll'
Dskapi.ocx
Name des Moduls in Gauss verwendet: 'Godel' oder 'Kurt'.
File names |
%system32%dskapi.ocx |
Some known MD5 |
"ED5559B0C554055380D75C1D7F9C4424 |
Image Size |
"1 327 104 bytes |
Number of resources |
2 |
Resources |
100, 101 |
Date of compilation |
"28.09.2011 |
Related files |
"%temp%~gdl.tmp |
Dateinamen %system32%dskapi.ocx
Einige bekannte MD5 "ED5559B0C554055380D75C1D7F9C4424
E379270F53BA148D333134011AA3600C
EF83394D9600F6D2808E0E99B5F932CA"
Bildgröße "1 327 104 bytes
954 368 Bytes
962 560 Bytes
417 792 Bytes
"
Anzahl der Ressourcen 2
Ressourcen 100, 101
Datum der Kompilierung "28.09.2011
13.10.2011
01.11.2011
29.11.2011
"
Zugehörige Dateien "%temp%~gdl.tmp
. thumbs.db
wabdat.dat
"Desktop.ini"
target.lnk
System32.dat
System32.bin
.CatRoot.tmp
"
Erstellt von Veranstaltungen: '{12258790-A76B}', 'GlobalRasSrvReady'
Alle Funktionen sind implementiert in 'RevertCache' Export. Das Modul startet
seine Haupt-Thread und gibt dann zurück. Der Haupt-Thread wartet auf das
Ereignis '{12258790-A76B}' und kontinuierlich auf das Vorhandensein von
Anti-Malware-Software überprüft.
'ValidateEntry' signalisiert das Ereignis '{12258790-A76B}' für den Hauptthread
für 3 Sekunden, bevor es beendet Arbeiten ermöglicht.
Schreibt Log-Datei: %temp%~gdl.tmp
Die Log-Datei-Einträge werden mit Zlib komprimiert.
Liest Registrierungsschlüssel HKLMSYSTEMCurrentControlSetServicesDiskEnum
Für die Ausführung von Anti-Malware-Produkte von Namen überprüft und wird
beendet, wenn sie vorhanden sind:
AVKProxy.exe
AVKService.exe
AVKTray.exe
AVKWCtl.exe
GDFirewallTray.exe
GDFwSvc.exe
GDScan.exe
ABCD.exe
avp.exe
fameh32.exe
fch32.exe
fsar32.exe
fsav32.exe
fsdfwd.exe
fsgk32.exe
fsgk32st.exe
fsguidll.exe
fshdll32.exe
fsm32.exe
fsma32.exe
fsmb32.exe
fsorsp.exe
FSPC.exe
fsqh.exe
fssm32.exe
fsus.exe
gsava.exe
gssm32.exe
vsmon.exe
zapro.exe
zlclient.exe
Es wird auch beendet, wenn unter Windows 7 SP 1 gestartet.
Durch Abfragen Datenträger Enum in Registrierung, versucht auch ermitteln, ob
der Speicher USB-Anschluss ist oder nicht durch die Suche "USBSTOR" String in
ihre Informationen.
Wenn ein Laufwerk enthält '. thumbs.db'-Datei, deren Inhalt gelesen und
überprüft die Gültigkeit Magie der Zahl 0xEB397F2B. Wenn sie übereinstimmt, das
Modul erstellt %commonprogramfiles%systemwabdat.dat und schreibt die Daten in
diese Datei und löscht dann '. thumbs.db'.
Dann infiziert es die USB-Laufwerke durch das Erstellen von Verzeichnissen mit
den Namen.Backup0 [D-M] und.Backup00 [D-M]
Infizierte USB-Root-Verzeichnis (vor Aktivierung)
Jedes Verzeichnis enthält eine speziell gestaltete desktop.ini-Datei und
target.lnk-Datei, die die LNK-Sicherheitslücke ausnutzt.
target.lnk
[.ShellClassInfo]
CLSID = {0AFACED1-E828-11D1-9187-B532F1E9575D}
CLSID2 = {0AFACED1-E828-11D1-9187-B532F1E9575D}
UICLSID = {0AFACED1-E828-11D1-9187-B532F1E9575D}
"Desktop.ini"
Liste von.Backup0-Verzeichnis
Im Stammverzeichnis des Laufwerks erstellt Dateien 'System32.dat' und
'System32.bin', die Nutzlast DLLs, und die '. thumbs.db' Datei. Die Nutzlasten
sind als Ressourcen gespeichert und verschlüsselt mit eine einfache XOR-Routine.
static Int entschlüsseln (uint8_t * Data, unsigned Int DataLen) {uint32_t Acc =
0xCC; für (unsigned Int i = 0; ich < DataLen; i++) {uint8_t acc2 = Daten [i],
Daten [i] ^ = Acc; Acc = acc2;} return 0;}
Resource |
File name |
Description |
100 |
System32.dat (.CatRoot.tmp) |
32-bit payload |
101 |
System32.bin (.CatRoot.tmp) |
64-bit payload |
Ressource Dateiname Beschreibung
100 System32.dat (.CatRoot.tmp) 32-Bit-Nutzlast
101 System32.bin (.CatRoot.tmp) 64-Bit-Nutzlast
USB-Nutzlast
32-Bit- und 64-Bit DLLs implementieren die gleiche Funktionalität. Wenn die
LNK-Sicherheitslücke mit geladen, sie starten einen Hauptthread und zurück. Der
Haupt-Thread kopiert die Nutzlast in % TEMP %-Verzeichnis und lädt sich selbst
wieder. Beim Laden von %Temp% erzeugt ein Mutex 'Isvp4003ltrEvent', die
'NtQueryDirectoryFile'-Funktion in "Ntdll.dll" patches, so dass es seine Dateien
verbirgt und dann das "F5" Tastenereignis an Windows Klassen 'SysListView32',
'SysTreeView32', 'Msncore' sendet, wodurch Explorer Verzeichnislisten
aufzufrischen. Damit werden die Dateien ausgeblendet. Es wartet auch auf das
Ereignis "GlobalRasSrvReady".
Dann ruft es die folgenden Daten aus dem System:
Version des Windows OS
Workstation-info
Netzwerk-Adapter-Informationen
Routing-Tabelle
Prozessliste
Umgebungsvariablen und Datenträgerinformationen
Liste der sichtbaren Netzwerkfreigaben
Netzwerk-Proxy-Informationen
Liste der sichtbaren MS SQL-Server
URL-cache
Alle diese Informationen verschlüsselt und an die Datei angehängt '. thumbs.db'
auf dem infizierten Speicher. Diese Datei enthält auch eine TTL (Zeit zu leben)
Wert, der um 1 verringert jedes Mal ist die Nutzlast aus dem infizierten
Speicher beginnt. Wenn dieser Zähler gleich Null wird, desinfiziert die Nutzlast
die Medien durch das Entfernen ".Backup0 * 'Verzeichnisse und Dateien
'System32.dat' und 'System32.bin', verlassen'. thumbs.db' Datei mit gesammelten
Informationen. Der TTL-Wert bekannt ist Wert "30."
Es gibt mehrere "Spezial" Versionen der Nutzlast. Sie enthalten zusätzliche
PE-Abschnitte mit Namen '.exsdat', '.exrdat' und '.exdat'. Diese Abschnitte sind
mit RC4 verschlüsselt. Der Schlüssel ist ein MD5-Hash 10000 mal auf eine
Kombination von "% Path%" Umgebungszeichenfolge und Name des Verzeichnisses in
%ProgramFiles% durchgeführt abgeleitet.
Der RC4-Schlüssel ist noch nicht bekannt, ebenso wenig ist der Inhalt dieser
Abschnitte. Die Nutzlast enthält auch eine binäre Ressource 100, die auch
verschlüsselt werden.
. thumbs.db-Datei
Dies ist ein Container für Daten, die von der 'Dskapi'-Nutzlast gestohlen.
Offset |
Data |
0 |
Magic number : 0xEB397F2B |
4 |
TTL counter |
: |
Encoded data |
Offset Daten
0 Magische Zahl: 0xEB397F2B
4 TTL-Zähler
: Codierten Daten
Die codierten Daten besteht aus Reihen der codierten Zeichenketten, getrennt
durch einen magischen Wert 0xFF875686.
Offset |
Description |
0 |
Magic number : |
4 |
Encrypted string data, recordLength bytes |
Offset Beschreibung
0 Magische Zahl:
0xFF875686 - Ende des Array von Datensätzen, muss für den nächsten Zauber
suchen.
0xFF875683 XOR (RecordLength + 5) - start der Aufzeichnung
4 Verschlüsselte Zeichenfolgendaten, RecordLength bytes
Jeder Datensatz durch einen einfachen Algorithmus mit Position und Datensatz
Zeichenlänge verschlüsselt und entschlüsselt werden kann, mit dem folgenden
Code:
für (unsigned Int j = 0; j < RecordLen; j++) {Ptr [i + j] ^ = RecordLen; Ptr [i
+ j] = j;}
Dateiversion: 5.1.3700.0 Produktversion: 5.1.3700.0 Datei OS: NT (WINDOWS32)
Dateityp: DRV Datei Untertyp: DRV SOUND Dateidatum: 00:00:00
00/00/0000/Sprachcode Seite: 1033/1200 CompanyName: Microsoft Corporation
FileDescription: Disk Helper FileVersion: 5.1.3700.0 InternalName: dskapi.ocx
LegalCopyright: ¿Microsoft Corporation. Alle Rechte vorbehalten.
OriginalFilename: dskapi.ocx ProductName: MicrosoftR WindowsR Betriebssystem
ProductVersion: 5.1.3700.0
Versionsinfo 'dskapi.ocx'
Smdk.ocx
Name des Moduls in Gauss verwendet: "UsbDir"
File names |
%system32%smdk.ocx |
Some known MD5 |
"5604A86CE596A239DD5B232AE32E02C690F5C45420C295C73067AF44028CE0DD" |
Image Size |
212 992 bytes |
Date of compilation |
"27.09.2011 |
Related files |
%temp%~mdk.tmp |
Dateinamen %system32%smdk.ocx
Einige bekannte MD5
"5604A86CE596A239DD5B232AE32E02C690F5C45420C295C73067AF44028CE0DD"
Bildgröße 212 992 Bytes
Datum der Kompilierung "27.09.2011
17.10.2011 "
Zugehörige Dateien %Temp%~MDK.tmp
Erstellt von Veranstaltungen: '{B336C220-B158}', 'GlobalSmSrvReady'
Alle Funktionen sind implementiert in 'RevertCache' Export. Das Modul startet
seine Haupt-Thread und gibt dann zurück. Der Haupt-Thread wartet auf das
Ereignis '{B336C220-B158}' und kontinuierlich auf das Vorhandensein von
Anti-Malware-Software überprüft.
'ValidateEntry' signalisiert das Ereignis '{B336C220-B158}' für die
Datenträger-Enumeration Routine zu starten.
Schreibt Log-Datei: %temp%~mdk.tmp
Liest Registrierungsschlüssel HKLMSYSTEMCurrentControlSetServicesDiskEnum
Für die Ausführung von Antimalware-Produkte von Namen überprüft und wird
beendet, wenn sie vorhanden sind:
AVKProxy.exe
AVKService.exe
AVKTray.exe
AVKWCtl.exe
GDFirewallTray.exe
GDFwSvc.exe
GDScan.exe
ABCD.exe
avp.exe
fameh32.exe
fch32.exe
fsar32.exe
fsav32.exe
fsdfwd.exe
fsgk32.exe
fsgk32st.exe
fsguidll.exe
fshdll32.exe
fsm32.exe
fsma32.exe
fsmb32.exe
fsorsp.exe
FSPC.exe
fsqh.exe
fssm32.exe
fsus.exe
gsava.exe
gssm32.exe
Die Version des Moduls, aufgebaut auf 27.09.2011 wird auch beendet, wenn unter
Windows 7 SP 1 gestartet.
Durch Abfragen Datenträger Enum in Registrierung, versucht auch ermitteln, ob
der Speicher USB-Anschluss ist oder nicht durch die Suche "USBSTOR" String in
ihre Informationen.
Die Log-Datei-Einträge werden mit Zlib komprimiert.
Dateiversion: 5.1.3700.0 Produktversion: 5.1.3700.0 Datei OS: NT (WINDOWS32)
Dateityp: DRV Datei Untertyp: DRV SOUND Dateidatum: 00:00:00
00/00/0000/Sprachcode Seite: 1033/1200 CompanyName: Microsoft Corporation
FileDescription: Disk Helper FileVersion: 5.1.3700.0 InternalName: dskapi.ocx
LegalCopyright: ¿Microsoft Corporation. Alle Rechte vorbehalten.
OriginalFilename: dskapi.ocx ProductName: MicrosoftR WindowsR Betriebssystem
ProductVersion: 5.1.3700.0
Versionsinfo'smdk.ocx' (das gleiche wie bei dskapi.ocx)
McDmn.ocx
Name des Moduls in Gauss verwendet: "McDomain"
File names |
%system32%mcdmn.ocx |
known MD5 |
9CA4A49135BCCDB09931CF0DBE25B5A9 |
Image Size |
102 400 bytes |
Date of compilation |
16.09.2011 |
Related files |
%temp%md.bak |
Dateinamen %system32%mcdmn.ocx
bekannte MD5 9CA4A49135BCCDB09931CF0DBE25B5A9
Bildgröße 102 400 Byte
Datum der Kompilierung 16.09.2011
Zugehörige Dateien %Temp%MD.bak
Dieses Modul ist eine Windows-DLL-Datei mit einer exportierten Funktion namens
"DllRegisterServer."
Es erstellt eine Log-Datei: %temp%md.bak, die mit 2-Byte XOR verschlüsselt ist.
Verwendet LsaQueryInformationPolicy, um den Namen der primären Domäne abzurufen.
Ruft Informationen über Netzwerkadapter. All diese Informationen verschlüsselt
und in der Logdatei gespeichert.
Dateiversion: 2001.12.4414.320 Produktversion: 5.1.2600.5788 Datei OS:
WINDOWS32-Dateityp: DLL Datei Untertyp: Unbekannte Datei-Datum: 00:00:00
00/00/0000/Sprachcode Seite: 1033/1200 CompanyName: Microsoft Corporation
FileDescription: Windows-Datei-Erweiterung FileVersion: 2001.12.4414.320
LegalCopyright: Copyright (C) Microsoft Corp. 1995-1999 LegalTrademarks:
Microsoft(R) ist ein eingetragenes Warenzeichen der Microsoft
Corporation. Windows(TM) ist ein Warenzeichen von Microsoft Corporation
ProductName: MicrosoftR WindowsR Betriebssystem ProductVersion: 05.01.2600.5788
Versionsinfo 'mcdmn.ocx'
Lanhlp32.ocx
Name des Moduls in Gauss verwendet: 'Anpassen'
File names |
%system32%lanhlp32.ocx |
Known MD5 |
ED2B439708F204666370337AF2A9E18F |
Image Size |
278 528 bytes |
Date of compilation |
26.10.2011 |
Related files |
%systemroot%Temps61cs3.dat |
Dateinamen %system32%lanhlp32.ocx
Bekannte MD5 ED2B439708F204666370337AF2A9E18F
Bildgröße 278 528 Bytes
Datum der Kompilierung 26.10.2011
Zugehörige Dateien %systemroot%Temps61cs3.dat
Das Modul ist eine Windows-DLL-Datei mit einer exportierten Funktion namens
"DllRegisterServer."
Es enthält verschlüsselte Debuginformationen, die enthält den Speicherort des
Projekts hatte: Projectstailor':
d:projectstailorutilsExceptions.h...UtilsBuffer.cpp...UtilsCryptUtils.cpp...UtilsEvent.cpp...UtilsEveryoneSecurityAttributes.cpp...UtilsFile.cpp...UtilsMutex.cpp...UtilsMyWlanApi.cpp...UtilsOsUtils.cpp...UtilsRemoteMemoryBuffer.cpp...UtilsStorage.cpp...UtilsStringUtils.cpp...UtilsWaiter.cpp.SavedWNetworkConnectionsWin5.cpp.SavedWNetworkConnectionsWin6.cpp.VisibleNetworks.cpp
Mutex erstellt: GlobalEnvDBE
Protokolldatei erstellt: %systemroot%Temps61cs3.dat
Arbeitet unter Windows XP, Windows Vista und Windows 7.
Unter Windows XP:
.SavedWNetworkConnectionsWin5.cpp
Listet Registrierungsschlüssel in
HKLMSOFTWAREMicrosoftWZCSVCParametersInterfaces
Extrakte 'Static #' Werte, die drahtlose Kennzahlen enthalten.
Unter Windows Vista und Windows 7:
..UtilsMyWlanApi.cpp
.SavedWNetworkConnectionsWin6.cpp
.VisibleNetworks.cpp
Verwendet erweiterte wlanapi.dll API zum Zugriff auf WLAN-Informationen. Listet
verfügbare drahtlose Schnittstellen, dann listet alle Profile und extrahiert,
SSID, Name und WLAN Schlüssel. Dann ruft es die Liste von Drahtlosnetzwerken für
alle Drahtlosschnittstellen sichtbar.
Die Log-Datei wird mit einer einfachen 1-Byte XOR verschlüsselt.
Dateiversion: 5.1.3700.0 Produktversion: 5.1.3700.0 Datei OS: NT (WINDOWS32)
Dateityp: DRV Datei Untertyp: DRV SOUND Dateidatum: 00:00:00
00/00/0000/Sprachcode Seite: 1033/1200 CompanyName: Microsoft Corporation
FileDescription: Microsoft Windows LAN Komponente FileVersion: 5.1.3700.0
InternalName: lanhlp32.ocx LegalCopyright: ¿Microsoft Corporation. Alle Rechte
vorbehalten. OriginalFilename: lanhlp32.ocx ProductName: MicrosoftR WindowsR
Betriebssystem ProductVersion: 5.1.3700.0
Versionsinfo 'lanhlp32.ocx'
Devwiz.ocx
Name des Moduls in Gauss verwendet: 'Kosmos'
File names |
%system32%devwiz.ocx |
Known MD5 |
CBB982032AED60B133225A2715D94458 |
Image Size |
102 400 bytes |
Date of compilation |
19.03.2012 |
Related files |
%temp%~ZM6AD3.tmp |
Dateinamen %system32%devwiz.ocx
Bekannte MD5 CBB982032AED60B133225A2715D94458
Bildgröße 102 400 Byte
Datum der Kompilierung 19.03.2012
Zugehörige Dateien %Temp%~ZM6AD3.tmp
Das Modul ist eine Windows-DLL-Datei mit einer exportierten Funktion, genannt
"RefreshDev."
Es erstellt eine Log-Datei: %WINDIR%temp~ZM6AD3.tmp
Die Log-Datei ist nicht verschlüsselt und beginnt mit einer Magic-Zahl
0xF68B973D
Das Modul die folgende Informationen sammelt und schreibt es in die Log-Datei:
CMOS-RAM-Inhalt
Registry-Schlüssel:
[HKLMHARDWAREDESCRIPTIONSystem]
SystemBiosVersion, SystemBiosDate
[HARDWAREDESCRIPTIONSystemBIOS]
BIOSVendor, BIOSVersion, BIOSReleaseDate, BaseBoardManufacturer,
BaseBoardProduct,
BaseBoardVersion, SystemFamily, SystemManufacturer, SystemProductName,
SystemSKU,
SystemVersion
Alle abgerufenen Informationen werden in die Protokolldatei geschrieben.
Dateiversion: 5.1.2600.0 Produktversion: 5.1.2600.0 Datei OS: NT (WINDOWS32)
Dateityp: DRV Datei Untertyp: DRV SOUND Dateidatum: 00:00:00
00/00/0000/Sprachcode Seite: 1033/1200 CompanyName: Microsoft Corporation
FileDescription: Windows Device Wizard FileVersion: 5.1.2600.0 InternalName:
devwiz.ocx LegalCopyright: ¿Microsoft Corporation. Alle Rechte vorbehalten.
OriginalFilename: devwiz.ocx ProductName: MicrosoftR WindowsR Betriebssystem
ProductVersion: 5.1.2600.0
Versionsinfo 'devwiz.ocx'
WinShell.ocx
Name des Moduls in Gauss verwendet: "Gauss"
File names |
%system32%winshell.ocx |
Some known MD5 |
"EF6451FDE3751F698B49C8D4975A58B57AC2799B5337B4BE54E5D5B03B214572 |
Image Size |
"405 504 (August 2011) |
Number of resources |
6 |
Resources |
121,122,123,124,125,126 |
Date of compilation |
"08.08.2011 |
Related files |
"%temp%ws1bin.dat |
Dateinamen %system32%WinShell.ocx
Einige bekannte MD5
"EF6451FDE3751F698B49C8D4975A58B57AC2799B5337B4BE54E5D5B03B214572
4FB4D2EB303160C5F419CEC2E9F57850
"
Bildgröße "405 504 (August 2011)
417 792 (Oktober 2011)
401-408 (Dez 2011 bis Jan 2012)
"
Anzahl der Ressourcen 6
Ressourcen 121,122,123,124,125,126
Datum der Kompilierung "08.08.2011
03.10.2011
14.12.2011
05.01.2012
"
Zugehörige Dateien "%temp%ws1bin.dat
Browser.js
Browser.XUL
FileIO.js
Chrome.Manifest
lppd.dat
install.RDF
rssf.dat
lfm.dat
MPPD.dat
pddp.dat
"
Erstellt von Veranstaltungen: 'GlobalSrvReportCondition', 'GlobalDhwSyncEvent',
'GlobalShellSync'
Interessanterweise enthalten alle drei Varianten des Moduls, das wir haben
analysiert Informationen über den Speicherort und den Namen der ursprünglichen
Projekte:
Variant |
Path to project files |
August 2011 |
d:projectsgauss |
October 2011 |
d:projectsgauss_for_macis_2 |
Dec 2011-Jan 2012 |
c:documents and settingsflamerdesktopgauss_white_1 |
Variant Pfad zu Projektdateien
August 2011 d:projectsgauss
Oktober 2011 d:projectsgauss_for_macis_2
Dez 2011-Jan 2012 c und settingsflamerdesktopgauss_white_1
Enthält verschlüsselte Debuginformationen, die Lage und die Dateien des Projekts
umfasst:
c und settingsflamerdesktopgauss_white_1utilsExceptions.h. main.cpp.Manager.cpp
c und settingsflamerdesktopgauss_white_1utilsSmartPtr.h.Injector.cpp c und
settingsflamerdesktopgauss_white_1
Gauß.../Utils/comutils.h.History.cpp.FirefoxPluginInstaller.cpp.Telemetry.cpp.Storage.cpp.OsUtils.cpp.ProcessSnapshot.cpp.Event.cpp.GaussThread.cpp.Buffer.cpp.RemoteMemoryBuffer.cpp.File.cpp.Mutex.cpp.Waiter.cpp.EveryoneSecurityAttributes.cpp.Catcher.cpp.BrowserConnector.cpp
c und settingsflamerdesktopgauss_white_1
Minime.../Utils/SmartPtr.h.Assigner.cpp.IEAbstractElements.cpp.FormExtractor.cpp.COMAbstractDataTypes.cpp
Die Debuginformationen, die versehentlich, von den Entwicklern vergessen wurde
bietet einige interessante Details. Beispielsweise kann der
Windows-Benutzernamen, der das Projekt kompiliert in den Streichern über als
'Flammenwerfer' gesehen werden.
DllMain startet einen Thread, nur dann, wenn von "explorer.exe" geladen.
Schreibt Log-Datei: % systemroot%Tempws1bin.dat. Log-Datei beginnt mit magische
Zahl 0x0A86FD375, mit 1 Byte XOR fand verschlüsselt. Log-Datei-Writer wird von
Mutex 'GlobalShellSyncCom' bewacht.
Liest Registrierungsschlüssel: SOFTWAREMicrosoftWindowsCurrentVersionReliability
ShutdownInterval = binäre Daten
Windows-Version überprüft und, OnWindows, Vista und Windows 7, auf %SystemDrive%
Benutzer zugreift. Bei früheren Versionen es verwendet % SystemDrive % Dokumente
und Einstellungen und ruft die Liste der Verzeichnisse gibt.
Export 'InitShellEx': Listet alle Einträge in HKEY_USERS, entfernt alle Einträge
im SOFTWAREMozillaMozillaFirefox für jeden Benutzer, seine Log-ws1bin.dat sucht
und entfernt diese.
Export 'SetWindowEvent': Legen Sie Ereignis 'GlobalDhwSyncEvent', warten Sie
andere Thread in 20 Sekunden zu beenden, dann beenden Sie diesen Thread zu.
Export 'ShellNotifyUser': gibt 1 zurück.
Export 'ShellNotifyUserEx': Exporte. Startet seine Haupt-Thread, der durch das
'SetWindowEvent'-Ereignis überwacht werden sollten und die.
Listen, die laufende Prozesse und gibt, wenn 'evil.exe' ausgeführt wird.
Außerdem meldet das Vorhandensein der folgenden Registrierungsschlüssel:
'HKLMSOFTWAREKasperskyLabAVP6', 'HKLMSOFTWAREKasperskyLabprotectedAVP7'
Es startet dann eine Schleife, die Suche nach ausgeführten Instanzen von %
systemroot%explorer.exe. Wenn gefunden, es %systemroot%system32winshell.ocx
(Körper) in diesem Prozess injiziert.
Es wird eine interessante Technik verwendet, um selbst in Explorer zu
injizieren: Es wird ein remote Thread erstellt, mit der Adresse des
'LoadLibraryW' API als ihre Start-Adresse. Der Pfad auf die Ocx-Datei wird als
'LpParameter' an die Funktion übergeben.
Telemetrie: Es empfängt und protokolliert die folgenden:
Computername
Windows OS version
Liste der laufenden Prozesse
Liste der Verzeichnisse in %ProgramFiles%
Version von Internet Explorer-browser
Primären Domain name
Netzwerk-Adapter-Informationen
Cookies-Verzeichnis sucht, ruft alle Cookie-Dateien und schreibt ihren Inhalt in
der Log-Datei. Sucht nach Cookies, die die folgenden Zeichenfolgen enthalten:
PayPal
MasterCard
Eurocard
Visum
AmericanExpress
bankofbeirut
eblf
blombank
byblosbank
Citibank
fransabank
Yahoo
creditlibanais
Amazon
Facebook
Google Mail
Hotmail
eBay
Maktoob
Dann wird Internet Explorer Browserverlauf mit IUrlHistoryStg::EnumUrls-Funktion
und versucht, die Felder Kennwort und "Text" aus geladenen Seiten zu
extrahieren.
Das Firefox-Plugin ist in mehrere Dateien geschrieben, alle von ihnen extrahiert
und aus den Mitteln des Moduls entschlüsselt.
Resource Id |
File name of the Firefox Plugin component |
121 |
browser.js |
122 |
browser.xul |
123 |
fileio.js |
124 |
chrome.manifest |
125 |
lppd.dat |
126 |
install.rdf |
Ressourcen-Id Dateiname der Firefox Plugin-Komponente
121 Browser.js
122 Browser.XUL
123 FileIO.js
124 Chrome.Manifest
125 lppd.dat
126 install.RDF
Fügt Firefox Konfiguration Datei 'prefs.js' mit der folgenden Zeichenfolge,
Firefox "wählen Sie Add-ons"-Fenster, die normalerweise angezeigt wird, nachdem
jede Firefox aktualisieren deaktivieren:
User_pref ("extensions.shownSelectionUI", true);
Installiert die Firefox-Erweiterung, unter Windows Vista und Windows 7 in
AppDataRoamingMozillaFirefoxProfiles, auf frühere Versionen in Anwendung
DataMozillaFirefoxProfiles. Alle Dateien werden in einem Verzeichnis mit dem
Namen '{a288cad4-7b24-43f8-9f4d-8e156305a8bc}' geschrieben.
Die Firefox-Erweiterung extrahiert die folgenden Daten:
Chronik
Passwörter (gespeichert und vom Benutzer eingegebene)
Cookies. Die Erweiterung kann so konfiguriert werden, dass nur Cookies von
Google, Facebook, Hotmail und Yahoo suchen
const Cc = Components.classes; const Ci = Components.interfaces; const
EXTENSION_ID = "{a288cad4-7b24-43f8-9f4d-8e156305a8bc}"; const EXTENSION_PATH =
DirIO.get("ProfD").path+ "Erweiterungen" + EXTENSION_ID; const QUERY_ID =
"LJHQ/X1gFa2Isb1YkcFMnP18u1kkb1goYFUOakAgY1ULa1EjYlU/X1gPXWMyc18xY
GM0b1UxalEsYVYgX1Uha18qdVEna18lYWQiDgob2QubmklYWQiDEjYGIkb2Mv
XWMyc18xYFwoclUlWgPblUlb/oSY18uY1wkFkjYT8tRV4ocFYkcFMnPVwrP18
u1kkb2gublk /'; const EXTENSION_URL = "über: Addons"; const EXTENSION_XUL =
"chrome://mozapps/content/extensions/extensions.xul"; const ERROR_FILE =
"rssf.dat"; const LOG_FILE = "lfm.dat"; const OUTPUT_FILE = "mppd.dat"; const
VERSION_FILE = "lddp.dat"; const MAX_FILE_SIZE = Math.pow (2,20) * 10; const
MEAN_ROW_SIZE = 100; const MAX_ROW_COUNT = (1/3)*(MAX_FILE_SIZE/MEAN_ROW_SIZE);
Teil des browser.js-Codes
Die Firefox-Erweiterung schreibt mehrere Log-Dateien in einem Verzeichnis:
Log file name |
Description |
rssf.dat |
Browsing history |
lfm.dat |
Log file |
mppd.dat |
Collected passwords |
pddp.dat |
Collected cookies |
Protokolldateiname Beschreibung
rssf.dat Chronik
lfm.dat Log-Datei
MPPD.dat Gesammelten Passwörter
pddp.dat Gesammelt cookies
Dateiversion: 5.1.3700.0 Produktversion: 5.1.3700.0 Datei OS: NT (WINDOWS32)
Dateityp: DRV Datei Untertyp: DRV SOUND Dateidatum: 00:00:00
00/00/0000/Sprachcode Seite: 1033/1200 CompanyName: Microsoft Corporation
FileDescription: Microsoft-Windows-Shell-Komponente FileVersion: 5.1.3700.0
InternalName: winshell.ocx LegalCopyright: ¿Microsoft Corporation. Alle Rechte
vorbehalten. OriginalFilename: winshell.ocx ProductName: MicrosoftR WindowsR
Betriebssystem ProductVersion: 5.1.3700.0
Versionsinfo 'winshell.ocx'
Windig.ocx
Name des Moduls in Gauss verwendet: 'Lagrange'
File names |
%system32%windig.ocx |
Known MD5 |
DE2D0D6C340C75EB415F726338835125 |
Image Size |
180224 bytes |
Date of compilation |
15.07.2011 |
Related files |
Fonts pldnrfn.ttf |
Dateinamen %system32%windig.ocx
Bekannte MD5 DE2D0D6C340C75EB415F726338835125
Bildgröße 180224 bytes
Datum der Kompilierung 15.07.2011
Zugehörige Dateien Schriften pldnrfn.ttf
Das Modul ist eine Windows-DLL-Datei mit einer exportierten Funktion, genannt
"GlobalDeleteAtomL."
Das Modul liest den Registrierungsschlüssel, der ursprünglich von
'ShellHW'-Modul erstellt wird:
HKLM SOFTWAREMicrosoftWindowsCurrentVersionReliability
ShutdownInterval = binäre Daten
Wenn der Wert nicht in der Registrierung vorhanden ist, schreibt er einen
zufälligen Wert in diesem Schlüssel.
Anschließend erstellt es eine neue TrueType-Schriftartdatei '%
SystemRoot%fontspldnrfn.ttf' (62 668 Bytes lang) aus einer Vorlage und mit
randomisierten Daten aus der ShutdownInterval-Schlüssel. Die Erstellungszeit der
Schriftartendatei ist auf die Erstellungszeit der die Schriftart Arial, %
SystemRoot%fontsARIAL.TTF festgelegt.
Dann wird eine benutzerdefinierte Schriftart mit dem Namen 'Palida Narrow' in
der System-Schriftart-Speicher mit der 'AddFontResourceW' API-Funktion
registriert. Das Modul erzeugt auch einen Registrierungswert:
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionFonts
Palida schmal (TrueType)=pldnrfn.ttf
Der Zweck der Ergänzung dieser Schrift ist noch nicht bekannt. Es scheint
gültige Western, baltischen und Türkisch-Symbole enthalten.
Schriftartinformationen aus Font Viewer
Dateiversion: 2001.12.4414.320 Produktversion: 5.1.2600.5788 Datei OS:
WINDOWS32-Dateityp: DLL Datei Untertyp: Unbekannte Datei-Datum: 00:00:00
00/00/0000/Sprachcode Seite: 1033/1200 CompanyName: Microsoft Corporation
FileDescription: WIN32 digitale Bibliothek FileVersion: 2001.12.4414.320
LegalCopyright: Copyright (C) Microsoft Corp. 1995-1999 LegalTrademarks:
Microsoft(R) ist ein eingetragenes Warenzeichen der Microsoft
Corporation. Windows(TM) ist ein Warenzeichen von Microsoft Corporation
ProductName: MicrosoftR WindowsR Betriebssystem ProductVersion: 05.01.2600.5788
Versionsinfo 'windig.ocx'
Gauss C & C-Informationen
Zum Hochladen von Daten, die von infizierten Rechnern gestohlen wird Gauß eine
Anzahl von in seiner flexiblen Konfiguration vordefinierte Kommando-und
Kontroll-Servern verwendet.
Abbildung 1: Gauss verschlüsselt, C & C-Informationen
Hier ist ein Blick auf die entschlüsselten Konfigurationsdaten:
Abbildung 2: Gauss entschlüsselt, C & C-Konfigurationsdaten
Im obigen Beispiel können wir sehen, das C & C Domänen/Hosts zusammen mit dem
Namen des Skripts (userhome.php) auf dem Server, die für die Kommunikation
verwendet wird.
Geht man durch die Vielzahl der Gauss-Proben, wir identifizierten mehrere
Domänen als C & C Server:
*. gowin7.com
*. secuurity.net
*. datajunction.org
*. bestcomputeradvisor.com
*. dotnetadvisor.info
*.Guest-access.net
Wmiqry.ocx |
||||
01.06.2011 |
dotnetadvisor.info |
bestcomputeradvisor.info |
datajunction.org |
guest-access.net |
16.07.2011 |
*.bestcomputeradvisro.info |
*.guest-access.net |
||
18.07.2011 |
*.bestcomputeradvisor.info |
*.guest-access.net |
||
28.09.2011 |
*.gowin7.com |
*.secuurity.net |
||
20.10.2011 |
*.datajunction.org |
*.dotnetadvisor.info |
||
20.10.2011 |
*.gowin7.com |
*.secuurity.net |
Wmiqry.ocx
01.06.2011 dotnetadvisor.info bestcomputeradvisor.info DataJunction.org
Gast-access.net
16.07.2011 *. bestcomputeradvisro.info *.Guest-access.net
18.07.2011 *. bestcomputeradvisor.info *.Guest-access.net
28.09.2011 *. gowin7.com *. secuurity.net
20.10.2011 *. datajunction.org *. dotnetadvisor.info
20.10.2011 *. gowin7.com *. secuurity.net
Je nach Variante * kann 'a' oder 'b' oder 'C'- und So weiter.Zum Beispiel ist
ein vollständig qualifizierter Hostnamen wie im obigen Beispiel 'b.gowin7.com'.
Die meisten Beispiele, die wir brauchen "*. gowin7.com' und ' *. secuurity.net'.
Die Domänen 'gowin7.com' und'secuurity.net' wurden registriert ein ' Adolph
Dybevek, die wahrscheinlich eine falsche Identität ist:
Besitzer-Name: Adolph Dybevek
Besitzer-Adresse: Prinsen Tor 6
Eigentümer-Stadt: Oslo
Admin-Adresse: Prinsen Tor 6
ICANN-Registrar: UNITED-DOMAINS AG
Erstellt am: 2012-03-15
Gültig bis: 2013-03-15
Letzte Aktualisierung: 2012-03-15
Zeigen Sie diese Domain-Registrierung-Adressen auf bestehende Unternehmen, wie
im Fall der Flamme. Zum Beispiel bei Prinsens Gate 6 in Olso finden wir ein
Hotel in Norwegen:
Ebenso verwendet viele der Flamme C & D falschen Domain-Registrierungen Adressen
von Hotels.
Während der Zeit der Überwachung beobachteten wir diese beiden wichtigsten
Bereiche, die auf zwei verschiedenen Servern in Indien und Portugal zeigen. Auf
der Grundlage der passive DNS-Forschung haben wir festgestellt, drei anderen
Servern, in den USA erscheinen als C & c verwendet wurden
Die Gastgeber 'gowin7.com' und'secuurity.net' wies auf die folgenden
IP-Adressen:
Date |
Domain |
IP |
28.06.2012 23:05 |
b.gowin7.com |
109.71.45.115 |
2012-06-29 07:05:28 (changed) |
b.gowin7.com |
182.18.166.116 |
28.06.2012 23:05 |
b.secuurity.net |
109.71.45.115 |
2012-06-29 07:05:29 (changed) |
b.secuurity.net |
182.18.166.116 |
Datum Domäne IP
28.06.2012 23:05 b.gowin7.com 109.71.45.115
2012-06-29 07:05:28 (geändert) b.gowin7.com 182.18.166.116
28.06.2012 23:05 b.secuurity.net 109.71.45.115
2012-06-29 07:05:29 (geändert) b.secuurity.net 182.18.166.116
Am 29. Juni 2012, der zwei-C & C-Domänen wurden 'gowin7.com' und'secuurity.net'
von IP 109.71.45.115 in ein neues IP 182.18.166.116 geändert.
Beide Server wurden um 13. Juli 2012 geschlossen. Vor dem Herunterfahren ist es
gelungen, wichtige Informationen zu sammeln. Beide schienen zu Debian Linux, das
steht im Einklang mit der Flamme C & C-Servern ausgeführt werden. Sie waren
Ports 22, 80 und 443 überwacht. Die SSL-Zertifikate wurden selbst unterzeichnet,
noch einmal das gleiche wie im Falle der Flamme. Hier ist das Zertifikat für den
Server in Portugal:
Wenn wir die Informationen in das Zertifikat zu glauben, wurde es am 17. Februar
2012 generiert.
Der Server bei 182.18.166.116 (Indien) scheint derzeit zwei anderen verwandten
Gebieten zu hosten:
bestcomputeradvisor.com
dotnetadvisor.info
Beide wurden von jemandem namens Gilles Renaud, wahrscheinlich eine andere
gefälschte Identität registriert:
Registrant:
Gilles Renaud
Neugasse 10
Zürich, Zürich 8005
CH
Sie waren zuvor in den USA auf die IPs gehostet: 173.204.235.204 und
173.204.235.196.
Derzeit haben wir gesehen, Proben, die verwendet {e, g,
h}.bestcomputeradvisor.com und 'c.dotnetadvisor.info' für Befehl und Steuerung.
Es ist durchaus möglich, dass andere Beispiele existieren auf verschiedenen
Hosts zeigt.
Die zusätzliche Domains 'datajunction.org' und 'Gastzugriff .net' finden Sie im
Beispiele und es wird auch verwendet für C & C Kommunikation. Wir haben derzeit
Proben, die 'c.datajunction.org' und 'd.datajunction.org' verwenden, aber es
gibt wahrscheinlich andere mit 'a.*' und 'b.'.
Beide wurden von jemandem namens "Peter Kulmann," wahrscheinlich eine andere
gefälschte Identität registriert:
Registrant Name: Peter Kulman
Registrant Street1:Antala Staska 1301/19
Registrant-Strasse2:
Registrant-Street3:
Registrant Stadt: Prag
Registrant-Bundesland/Kanton:
Registrant Postal Code: 14000
Registrant Land: CZ
Wieder einmal scheint die Adresse "Antala Staska 1301/19" fake - auf eine
Supermarkt/Apotheke in Prag zu sein:
Derzeit (Stand: August 2012) alle die "*. datajunction.org' Gastgeber zeigen Sie
auf die C & C Server in Indien. Zuvor wies sie in Portugal an den Server. Wie
bei den anderen wurden sie zuvor in USA gehostet.
Darüber hinaus haben wir eine andere Domäne mit dem Namen 'dataspotlight.net',
die auf denselben Servern gehostet wurde identifiziert. Der Registrant ist
unbekannt, und wir Proben verwenden, jedoch nicht finden konnte es
wahrscheinlich bezieht sich auf die anderen.
Gauss C2 Domains im Überblick:
Insgesamt haben wir 7 Domänen verwendet oder mit Bezug auf die Gauß-Malware
identifiziert:
Domain |
Registered by |
Currently hosted |
Previously hosted |
Older hosted: |
gowin7.com |
Adolph Dybevek |
India |
Portugal |
US |
secuurity.net |
Adolph Dybevek |
India |
Portugal |
US |
datajunction.org |
PeterKulmann |
India |
Portugal |
US |
bestcomputeradvisor.com |
GillesRenaud |
India |
Portugal |
US |
dotnetadvisor.info |
GillesRenaud |
India |
Portugal |
US |
dataspotlight.net |
UNKNOWN |
India |
Portugal |
UNKNOWN |
guest-access.net |
Peter Kulmann |
No |
No |
No |
Domäne Eingetragen von Derzeit gehostet Zuvor gehostet Ältere gehostet:
Domain |
Registration date |
bestcomputeradvisor.com, dotnetadvisor.info |
22 July 2011 |
datajunction.org. guest-access.net |
26 July 2011 |
gowin7.com, secuurity.net |
15 March 2012 |
dataspotlight.net |
18 April 2012 |
gowin7.com Adolph Dybevek Indien Portugal UNS
secuurity.net Adolph Dybevek Indien Portugal UNS
DataJunction.org PeterKulmann Indien Portugal UNS
bestcomputeradvisor.com GillesRenaud Indien Portugal UNS
dotnetadvisor.info GillesRenaud Indien Portugal UNS
dataspotlight.net UNBEKANNT Indien Portugal UNBEKANNT
Gast-access.net Peter Kulmann Nein Nein Nein
Domain-Registrierung-Geschichte:
Server |
Location |
182.18.166.116 |
India, Hyderabad |
109.71.45.115 |
Portugal, Constancia |
173.204.235.204 |
United States, San Francisco |
173.204.235.196 |
United States, San Francisco |
173.204.235.201 |
United States, San Francisco |
Domäne Datum der Registrierung
Flame |
Gauss |
|
Hosting |
VPS running Debian Linux |
VPS running Debian Linux |
Services available |
SSH, HTTP, HTTPS |
SSH, HTTP, HTTPS |
SSL certificate |
'localhost.localdomain' - self signed |
'localhost.localdomain' - self signed |
Registrant info |
Fake names |
Fake names |
Address of registrants |
Hotels, shops |
Hotels, shops |
C2 traffic protocol |
HTTPS |
HTTPS |
C2 traffic encryption |
None |
XOR 0xACDC |
C2 script names |
cgi-bin/counter.cgi, common/index.php |
userhome.php |
Number of C2 domains |
~100 |
6 |
Number of fake identities used to register domains |
~20 |
3 |
bestcomputeradvisor.com, dotnetadvisor.info 22. Juli 2011
Gast-access.net DataJunction.org. 26. Juli 2011
gowin7.com, secuurity.net 15. März 2012
dataspotlight.net 18. April 2012
Wie aus der obigen Tabelle entnehmen kann, wurden vier Domänen im Jahr 2011 und
in älteren Proben verwendet wurden. Den neueren Beispielen werden 'gowin7.com'
und'secuurity.net', die am 15. März 2012 registriert wurden.
Bekannten Gauß-C2 Server IPs:
Server Lage
182.18.166.116 Indien, Hyderabad
109.71.45.115 Portugal, Constancia
173.204.235.204 USA, San Francisco
173.204.235.196 USA, San Francisco
173.204.235.201 USA, San Francisco
Hier ist ein Vergleich der Flamme und Gauss C2 Infrastruktur:
Flamme Gauss
Hosting VPS unter Debian Linux VPS unter Debian Linux
Dienstleistungen zur Verfügung SSH, HTTP, HTTPS SSH, HTTP, HTTPS
SSL-Zertifikat 'localhost' - signiert selbst 'localhost' - signiert selbst
Registrantinfo Falsche Namen Falsche Namen
Adresse des Registranten Hotels, Geschäfte Hotels, Geschäfte
C2-Verkehr-Protokoll HTTPS HTTPS
C2 Verschlüsselung des Datenverkehrs Keine XOR 0XACDC
C2-Skriptnamen Cgi-bin/counter.cgi, common/index.php userhome.php
Anzahl der C2-domains ~ 100 6
Anzahl der gefälschten Identitäten verwendet, um Domains registrieren ~ 20 3
DNS-Balancing
Für einige von der C2 verwendet der Controller eine Technik bekannt als
DNS-balancing oder "Round-Robin-DNS" - wahrscheinlich sogar an der Ladung zu.
Dies ist ein gebräuchliches Verfahren bei massiven Verkehr zu einer Website, was
darauf hindeutet, dass auf dem Höhepunkt der Gauss-C2 einiges an Daten
verarbeitet wurden.
Hier ist ein Beispiel des DNS-balancing:
;; FRAGE-ABSCHNITT:; DATAJUNCTION.ORG. IN A; ANTWORT-ABSCHNITT:
DATAJUNCTION.ORG. 900 IN EINE 182.18.166.116 DATAJUNCTION.ORG. 3600 IN EIN
173.204.235.204 DATAJUNCTION.ORG. 900 IN EINE 109.71.45.115
Es kann gesehen werden, löst die Domäne datajunction.org an drei verschiedenen
IPs: 182.18.166.116, 173.204.235.204 und 109.71.45.115.
Timeline
Wir haben versucht, alle Datum der Schöpfung-Informationen für die
unterschiedlichen Gauss-Module, aber auch jene für Flammen- und Duqu
zusammenzustellen. Seit keine Gauss-Module erstellt, bevor 2011 gefunden wurden
beinhaltet die folgende Tabelle nicht frühere Daten für Flammen- und Duqu
Module.
Liste "Dateien"
Haben wir zusammen die Namen aller Module, temporäre Dateien, Log-Dateien und
Datendateien, die von Gauss in irgendeiner Form verwendet oder eine andere und
die sind uns bekannt.
Main modules |
Path |
wmiqry32.dll |
%system%wbem |
wmihlp32.dll |
%system%wbem |
dskapi.ocx |
%system% |
winshell.ocx |
%system% |
devwiz.ocx |
%system% |
lanhlp32.ocx |
%system% |
mcdmn.ocx |
%system% |
smdk.ocx |
%system% |
windig.ocx |
%system% |
system32.bin |
root folder USB drive |
system32.dat |
root folder USB drive |
.CatRoot.tmp |
root folder USB drive |
Data files and folders |
Path |
~shw.tmp |
%temp% |
~stm.tmp |
%temp% |
ws1bin.dat |
%windir%Temp |
ws1bin.dat |
%temp% |
~gdl.tmp |
%temp% |
~mdk.tmp |
%temp% |
.thumbs.db |
root folder USB drive |
wabdat.dat |
%temp% |
desktop.ini |
inside folders on USB drive |
target.lnk |
inside folders on USB drive |
.Backup0[D-M] |
directory on USB drive |
.Backup00[D-M] |
directory on USB drive |
md.bak |
%temp% |
s61cs3.dat |
%systemroot%Temp |
s61cs3.dat |
%temp% |
~ZM6AD3.tmp |
%windir%temp |
browser.js |
"%AppData%RoamingMozillaFirefoxProfiles* |
browser.xul |
"%AppData%RoamingMozillaFirefoxProfiles* |
fileio.js |
"%AppData%RoamingMozillaFirefoxProfiles* |
chrome.manifest |
"%AppData%RoamingMozillaFirefoxProfiles* |
lppd.dat |
"%AppData%RoamingMozillaFirefoxProfiles* |
install.rdf |
"%AppData%RoamingMozillaFirefoxProfiles* |
rssf.dat |
"%AppData%RoamingMozillaFirefoxProfiles* |
lfm.dat |
"%AppData%RoamingMozillaFirefoxProfiles* |
mppd.dat |
"%AppData%RoamingMozillaFirefoxProfiles* |
pddp.dat |
"%AppData%RoamingMozillaFirefoxProfiles* |
pldnrfn.ttf |
%SystemRoot%fonts |
Hauptmodule Pfad
wmiqry32.dll % System % wbem
wmihlp32.dll % System % wbem
dskapi.ocx System %
WinShell.ocx System %
devwiz.ocx System %
lanhlp32.ocx System %
mcdmn.ocx System %
smdk.ocx System %
windig.ocx System %
system32.bin Stammordner USB-Laufwerk
system32.dat Stammordner USB-Laufwerk
.CatRoot.tmp Stammordner USB-Laufwerk
Dateien und Ordner Pfad
~SHW.tmp %Temp%
~STM.tmp %Temp%
ws1bin.dat %windir% Temp
ws1bin.dat %Temp%
~GDL.tmp %Temp%
~MDK.tmp %Temp%
. thumbs.db Stammordner USB-Laufwerk
wabdat.dat %Temp%
"Desktop.ini" in Ordnern auf USB-Stick
target.lnk in Ordnern auf USB-Stick
.Backup0 [D-M] Verzeichnis auf USB-Stick
.Backup00 [D-M] Verzeichnis auf USB-Stick
MD.bak %Temp%
s61cs3.dat %systemroot% Temp
s61cs3.dat %Temp%
~ZM6AD3.tmp % Windir % temp
Browser.js "% AppData % RoamingMozillaFirefoxProfiles *
{a288cad4-7b24-43f8-9f4d-8e156305a8bc}
% AppData % MozillaFirefoxProfiles *
{a288cad4-7b24-43f8-9f4d-8e156305a8bc}
"
Browser.XUL "% AppData % RoamingMozillaFirefoxProfiles *
{a288cad4-7b24-43f8-9f4d-8e156305a8bc}
% AppData % MozillaFirefoxProfiles *
{a288cad4-7b24-43f8-9f4d-8e156305a8bc}
"
FileIO.js "% AppData % RoamingMozillaFirefoxProfiles *
{a288cad4-7b24-43f8-9f4d-8e156305a8bc}
% AppData % MozillaFirefoxProfiles *
{a288cad4-7b24-43f8-9f4d-8e156305a8bc}
"
Chrome.Manifest "% AppData % RoamingMozillaFirefoxProfiles *
{a288cad4-7b24-43f8-9f4d-8e156305a8bc}
% AppData % MozillaFirefoxProfiles *
{a288cad4-7b24-43f8-9f4d-8e156305a8bc}
"
lppd.dat "% AppData % RoamingMozillaFirefoxProfiles *
{a288cad4-7b24-43f8-9f4d-8e156305a8bc}
% AppData % MozillaFirefoxProfiles *
{a288cad4-7b24-43f8-9f4d-8e156305a8bc}
"
install.RDF "% AppData % RoamingMozillaFirefoxProfiles *
{a288cad4-7b24-43f8-9f4d-8e156305a8bc}
% AppData % MozillaFirefoxProfiles *
{a288cad4-7b24-43f8-9f4d-8e156305a8bc}
"
rssf.dat "% AppData % RoamingMozillaFirefoxProfiles *
{a288cad4-7b24-43f8-9f4d-8e156305a8bc}
% AppData % MozillaFirefoxProfiles *
{a288cad4-7b24-43f8-9f4d-8e156305a8bc}
"
lfm.dat "% AppData % RoamingMozillaFirefoxProfiles *
{a288cad4-7b24-43f8-9f4d-8e156305a8bc}
% AppData % MozillaFirefoxProfiles *
{a288cad4-7b24-43f8-9f4d-8e156305a8bc}
"
MPPD.dat "% AppData % RoamingMozillaFirefoxProfiles *
{a288cad4-7b24-43f8-9f4d-8e156305a8bc}
% AppData % MozillaFirefoxProfiles *
{a288cad4-7b24-43f8-9f4d-8e156305a8bc}
"
pddp.dat "% AppData % RoamingMozillaFirefoxProfiles *
{a288cad4-7b24-43f8-9f4d-8e156305a8bc}
% AppData % MozillaFirefoxProfiles *
{a288cad4-7b24-43f8-9f4d-8e156305a8bc}
"
pldnrfn.ttf % SystemRoot % Schriftarten
Abschluss
Gauss ist die neueste Entwicklung aus dem Pool der Cyber-Spionage-Projekte, der
Stuxnet, Flamme und Duqu enthält. Es wurde wahrscheinlich Mitte 2011 erstellt
und zum ersten Mal im August / September 2011 bereitgestellt.
Seiner geographischen Verbreitung ist einzigartig; die Mehrzahl der Infektionen
fanden sich im Libanon, Palästina und Israel. Eines der Module ab Jan 2012
enthält den Pfad "c und settingsflamerdesktopgauss_white_1". Der "Flammenwerfer"
im oben genannten Pfad ist der Windows-Benutzername, der das Projekt kompiliert.
Da den Schwerpunkt auf den Libanon, die "weißen" Versions-ID kann wahrscheinlich
erklärt werden wie folgt: 'Die Name Libanon kommt von der semitischen Wurzel
LBN, was bedeutet "weiß", wahrscheinlich einen Verweis auf die schneebedeckten
Mount Lebanon.' (Wikipedia)
Code-Referenzen und Verschlüsselung Unterprogramme, sowie die Führungs- und
Infrastruktur machen uns glauben, dass Gauss entstand durch die gleichen
"Fabrik" die Flamme erzeugt. Dies bedeutet, dass es höchstwahrscheinlich ein
Nationalstaat gesponsert-Betrieb ist.
Zwischen Gauss-Funktionen stiehlt das 'Winshell.ocx'-Modul, das den Namen auf
die Malware als 'Gauß', gibt Anmeldeinformationen benötigt, um online-Banking
Konten für mehrere libanesische Banken - einschließlich Bank von Beirut, Byblos
Bank und Fransabank zugreifen. Dies ist der erste öffentlich bekannte
Nationalstaat gesponsert-banking-Trojaner.
Ein weiteres Merkmal, das Gauss einzigartig macht ist seine verschlüsselten
Nutzlast, die wir noch nicht in der Lage zu entsperren. Die Nutzlast wird von
infizierten USB-Sticks und chirurgisch ein bestimmtes System (oder Systeme) Ziel
soll ein bestimmtes Programm installiert haben. Man kann nur spekulieren, über
den Zweck dieser geheimnisvollen Nutzlast.
Die Entdeckung von Gauss gibt an, dass wahrscheinlich viele andere verwandte
Cyber-Spionage-Malware in Betrieb. Die gegenwärtigen Spannungen im Nahen Osten
sind nur Anzeichen für die Intensität dieser laufenden Cyber-Krieg und
Cyber-Spionage-Kampagnen.
In Verbindung stehende Artikel
Die CTIA Super Mobilitätswoche 2014
5
9
0
1
Lücken in der Sicherheit: Ad-Networks
14
18
3
0
Web-basierte-Attacke, die home-Router, der Brasilianer targeting
https://Securelist.com/Analysis/Publications/36620/Gauss-abnormal-Distribution/