закрыть

Прямой эфир

Конференция Видеотехнологии для бизнеса 2019


Logitech - простые и надежные решения для видеоконференций. Подробнее: www.logitech.com

15 октября 2019

Спецпроекты

«Касперский» нашел умный троян, умеющий читать защищенные соединения

3043
Безопасность Администратору Стратегия безопасности Пользователю
«Лаборатория Касперского» обнаружила троянец, который модифицирует генератор псевдослучайных чисел в браузерах, применяемый при TLS-подключениях, чтобы «маркировать» потенциально интересные соединения.

Эксклюзивный клуб

«Лаборатория Касперского» опубликовала анализ вредоносной программы Reductor, уникального троянца, способного маркировать исходящие TLS-соединения и манипулировать сертификатами безопасности. Судя по описанию, Reductor использует четыре сертификата, якобы выпущенные PayPal (ie-paypal), GeoTrust и Verisign.

«В апреле 2019 г. мы обнаружили новый вредонос, который компрометирует зашифрованные веб-соединения весьма впечатляюющим образом. Анализ вредоносной программы позволил нам подтвердить, что у её операторов есть ограниченный контроль над сетевым каналом жертвы, так что они могут подменять легитимные инсталляторы различных программ заражёнными «на лету». Это делает акторов членами чрезвычайно эксклюзивного клуба: лишь у очень немногих других есть сравнимые с этим возможности», - говорится в публикации в Securelist.

Reductor обладает типичными функциями троянца для удалённого управления заражённой системой (RAT): он может загружать, выкачивать и запускать файлы. Особый интерес, однако, вызывает способность троянца «манипулировать цифровыми сертификатами и маркировать исходящий TLS-траффик с помощью уникальных идентификаторов хоста».

Взломать для маркировки

И это достигается весьма и весьма своеобразным способом.

Авторы вредоносной программы проанализировали исходный код Firefox и двоичный код Chrome, и написали «патч», который меняет манеру функционирования генератора псевдослучайных чисел; браузеры используют этот генератор для создания уникальных последовательностей символов, обозначающих клиента (поле «client random»), при первоначальном установлении TSL-соединения.

kkasper600.jpg
«Лаборатория Касперского» обнаружила троян, способный декодировать TLS-трафик, то есть расшифровывать защищённые соединения

Reductor добавляет к client random ещё и зашифрованные уникальные идентификаторы на базе используемого ПО и оборудования. Перехват самих пакетов не осуществляется.

Для модификации генератора псевдослучайных чисел разработчики использовали маленький дизассемблер длин инструкций Intel.

Чтобы определить, какие из начальных TSL-соединений («рукопожатий») могут представлять интерес для операторов вредоноса, им сначала необходимо расшифровать поле «client hello». А следовательно, каким-то образом иметь доступ к трафику жертвы.

«Reductor сам не себе не производит атак «человек посередине» (MitM). Однако изначально мы предположили, что устанавливаемые [вредоносом] сертификаты могут способствовать MitM-атакам на TLS-трафик», - говорится в публикации Securelist. В тех сэмплах, которые экспертам удалось изучить никаких MitM-функций не было. «Самому по себе Reductor и не обязательно производить MitM-атаки, - полагает Алексей Водясов, эксперт по информационной безопасности компании SEC Consult Services. - На примере разработок Equation мы уже наблюдали, как различные функции выполнялись отдельными специализированными программами. Не исключено, что Reductor - это только часть куда более широкого и многофункционального кибершпионского арсенала».

В самой «Лаборатории Касперского» полагают, что Reductor может открывать возможности для последующих MitM-атак.

«Помимо того, что вредоносная программа Reductor патчит библиотеки браузеров, чтобы маркировать трафик, она еще и устанавливает свой сертификат на зараженную машину, что по логике вещей может дать возможность проводить атаки типа MitM. Возможное продолжение атаки, которое мы не можем пока подтвердить, заключается в том, что, скорее всего, у атакующих есть возможность перехватывать весь трафик жертвы и пропускать его через себя, - пояснил корреспонденту CNews руководитель российского исследовательского центра «Лаборатории Касперского», Юрий Наместников, отметив также, что вредоносная программа маркирует весь HTTPS-трафик с браузеров зараженного компьютера».

Перехват в полёте

По мнению авторов публикации Securelist, Reductor также позволяет инфицировать инсталляторы других программ дополнительными троянцами прямо во время их скачивания жертвой. По-видимому, это означает, что к этому моменту операторы уже обеспечивают себе устойчивое присутствие в заражённой инфраструктуре.

Что же касается атрибуции, то, по мнению экспертов «Лаборатории Касперского», за Reductor стоит известная своим новаторством APT-группировка Turla. Об это свидетельствует, в частности, то, что жертвами атак становятся организации, которые и раньше представляли особый интерес для операторов Turla.

Кроме того, эксперты «Лаборатории» усмотрели большую степень сходства между Reductor и троянцем COMPfun, известным с 2014 г. По-видимому, авторами обеих вредоносных программ являются одни и те же люди.



Взгляд месяца

Цифровизация электросетей реализуется преимущественно на отечественных технологиях

Игорь Маковский

генеральный директор «Россети Центр»

Тема месяца

Обзор: Телеком 2019

Рейтинги CNews

Крупнейшие телекоммуникационные компании России 2019 Крупнейшие поставщики ИТ в телеком 2019