Технічна інформація

Шкідливе програмне забезпечення

DIRTYMOE - модульна шкідлива програма відома більше 5 років. Створює технічні можливості для віддаленого доступу до комп'ютера та, здебільшого, використовується для проведення DDoS-атак та майнінгу (але не виключно). Зазвичай, первинне ураження здійснюється в результаті запуску популярного програмного забезпечення, що містить MSI-інсталятор. Бекдор оснащено руткітом, що не дозволяє видалити компоненти з файлової системи та реєстру операційної системи в штатному режимі.

DIRTYMOE має функціонал для саморозповсюдження шляхом підбору автентифікаційних даних і/або експлуатації ряду вразливостей як у відношенні комп'ютерів, що знаходяться в локальній обчислювальній мережі, так і ЕОМ за переліком IP-адрес, який формується за окремим алгоритмом в залежності від "зовнішньої" IP-адреси об'єкту ураження.

З метою забезпечення відмовостійкості для комунікації з управляючою інфраструктурою використовується, щонайменше, три способи, один з яких полягає в отриманні значень A-записів для статично визначених доменних імен з використанням як локального так і зовнішніх DNS-серверів: 8.8.8.8, 1.1.1.1, 114.114.114.114, 119.29.29.29. При цьому, IP-адреси, що зберігаються в реєстрі операційної системи, а також ті, що отримуються в результаті DNS-запитів - обфусковані.

За період моніторингу (20-31 січня 2024 року) виявлено 486 IP-адрес проміжних управляючих серверів, переважна більшість яких належать (скомпрометованому) обладнанню, що знаходиться в Китаї. Протягом доби додається близько 20 нових IP-адрес.


Пошук ознак ураження

1. Дослідити мережеві з'єднання за переліком IP-адрес, наведених в додатку. Зазвичай вихідні підключення здійснюються на "високі" (10000+) мережеві порти.

2. За допомогою штатної утиліти regedit.exe перевірити значення в реєстрі операційної системи за ключами (Рис.1):

- для WindowsXP: HKEY_LOCAL_MACHINE\ControlSet001\Services\AC0[0-9]
- для Windows7:  HKEY_LOCAL_MACHINE\Software\Microsoft\DirectPlay8\Direct3D
3. З використанням штатної утиліти Event Viewer в журналі "Application" (джерело: "MsiInstaller") дослідити записи з ідентифікаторами подій 1040 і 1042 (Рис.3).

4. Візуально оглянути каталог "C:\Program Files" на предмет наявності папок з довільно згенерованою назвою, наприклад: "C:\Program Files\dvhvA".

5. Постійність запуску шкідливої програми забезпечується шляхом створення сервісу. В свою чергу, файли бекдору та модулів зберігаються в типових каталогах (перелік нижче). Разом з тим, застосування руткіту перешкоджає виявленню і/або видаленню шкідливої програми безпосередньо з ураженої ЕОМ.

HKEY_LOCAL_MACHINE\System\ControlSet001\services\MsXXXXXXXXApp
C:\Windows\System32\MsXXXXXXXXApp.dll
C:\Windows\AppPatch\DBXXXXXXXXMK.sdb
C:\Windows\AppPatch\RCXXXXXXXXMS.sdb
C:\Windows\AppPatch\TKXXXXXXXXMS.sdb
* XXXXXXXX - довільно згенерована послідовність в діапазоні [A-F0-9]{8} (приклад: "MsBA4B6B3AApp.dll")



Знезараження

Для видалення шкідливої програми можливо скористатися, щонайменше, двома способами.

1. Завантажити з офіційного вебсайту виробника (Просмотр ссылок доступен только зарегистрированным пользователям) програмний продукт "Avast Free Antivirus", встановити на ЕОМ та в режимі "SMART" ініціювати сканування. Цей процес також потребуватиме подальшого перезавантаження ЕОМ та продовження сканування, під час якого буде виявлено та видалено модулі (Рис.4).

2. Завантажити уражену ЕОМ з LiveUSB (або підключити жорсткий диск ураженої ЕОМ до іншої ЕОМ) та в ручному режимі здійснити видалення файлу "MsXXXXXXXXApp.dll" та модулів (".sdb"), після чого, завантаживши ЕОМ в штатному режимі, видалити службу з реєстру. Приклад монтування жорсткого диску ураженої ЕОМ та проведення відповідних маніпуляцій наведено нижче.



("sda" - підключений диск ураженої ЕОМ; "sda2" - системний розділ диску ураженої ЕОМ)

# lsblk
NAME  MAJ:MIN RM  SIZE RO TYPE MOUNTPOINT
...
sda   8:0  0  465.8G 0 disk       
├─sda1  8:1  0  100M   0 part
├─sda2  8:2  0  172.7G 0 part 
└─sda3  8:3  0  293G   0 part
...
(визначення розділів на диску за допомогою "fdisk"; "/dev/sda2" - системний розділ диску  ураженої ЕОМ; зміщення 206848 сектори)

# fdisk -lu /dev/sda
...
Device   Boot   Start     End       Sectors    Size   Id  Type
/dev/sda1 *     2048      206847    204800     100M   7   HPFS/NTFS/exFAT
/dev/sda2       206848    362371071 362164224  172.7G 7   HPFS/NTFS/exFAT
/dev/sda3       362371072 976771071 614400000  293G   7   HPFS/NTFS/exFAT
(монтування в режимі "read-write" системного розділу диску з урахуванням зміщення)

# mount -orw,offset=$((512*206848)) /dev/sda /mnt/
(перевірка вмісту каталогу "C:\Windows\AppPatch" для пошуку модулів)

# ls -lat /mnt/Windows/AppPatch/
(перевірка вмісту каталогу "C:\Windows\System32" для пошуку файлу бекдору)

# ls -lat --time=ctime /mnt/Windows/System32/Ms*
(видалення модулів та файлу бекдору)

# rm -rf /mnt/Windows/AppPatch/RC2EE39E00MS.sdb
# rm -rf /mnt/Windows/AppPatch/DB2EE39E00MK.sdb
# rm -rf /mnt/Windows/AppPatch/TK2EE39E00MS.sdb
# rm -rf /mnt/Windows/System32/Ms2EE39E00App.dll
(розмонтування системного розділу)

# umount /mnt/


ВАЖЛИВО: В будь-якому з випадків, з метою уникнення повторного інфікування через механізм саморозповсюдження бекдору, перш ніж виконати будь-які з вищеперелічених дій необхідно увімкнути штатний мережевий екран операційної системи ("Брендмауер") та створити правило для блокування вхідних інформаційних потоків на мережеві порти: 135, 137, 139, 445.