Технічна інформаціяШкідливе програмне забезпеченняDIRTYMOE - модульна шкідлива програма відома більше 5 років. Створює технічні можливості для віддаленого доступу до комп'ютера та, здебільшого, використовується для проведення DDoS-атак та майнінгу (але не виключно). Зазвичай, первинне ураження здійснюється в результаті запуску популярного програмного забезпечення, що містить MSI-інсталятор. Бекдор оснащено руткітом, що не дозволяє видалити компоненти з файлової системи та реєстру операційної системи в штатному режимі.
DIRTYMOE має функціонал для саморозповсюдження шляхом підбору автентифікаційних даних і/або експлуатації ряду вразливостей як у відношенні комп'ютерів, що знаходяться в локальній обчислювальній мережі, так і ЕОМ за переліком IP-адрес, який формується за окремим алгоритмом в залежності від "зовнішньої" IP-адреси об'єкту ураження.
З метою забезпечення відмовостійкості для комунікації з управляючою інфраструктурою використовується, щонайменше, три способи, один з яких полягає в отриманні значень A-записів для статично визначених доменних імен з використанням як локального так і зовнішніх DNS-серверів: 8.8.8.8, 1.1.1.1, 114.114.114.114, 119.29.29.29. При цьому, IP-адреси, що зберігаються в реєстрі операційної системи, а також ті, що отримуються в результаті DNS-запитів - обфусковані.
За період моніторингу (20-31 січня 2024 року) виявлено 486 IP-адрес проміжних управляючих серверів, переважна більшість яких належать (скомпрометованому) обладнанню, що знаходиться в Китаї. Протягом доби додається близько 20 нових IP-адрес.
Пошук ознак ураження1. Дослідити мережеві з'єднання за переліком IP-адрес, наведених в додатку. Зазвичай вихідні підключення здійснюються на "високі" (10000+) мережеві порти.
2. За допомогою штатної утиліти regedit.exe перевірити значення в реєстрі операційної системи за ключами (Рис.1):
- для WindowsXP: HKEY_LOCAL_MACHINE\ControlSet001\Services\AC0[0-9]
- для Windows7: HKEY_LOCAL_MACHINE\Software\Microsoft\DirectPlay8\Direct3D
3. З використанням штатної утиліти Event Viewer в журналі "Application" (джерело: "MsiInstaller") дослідити записи з ідентифікаторами подій 1040 і 1042 (Рис.3).
4. Візуально оглянути каталог "C:\Program Files" на предмет наявності папок з довільно згенерованою назвою, наприклад: "C:\Program Files\dvhvA".
5. Постійність запуску шкідливої програми забезпечується шляхом створення сервісу. В свою чергу, файли бекдору та модулів зберігаються в типових каталогах (перелік нижче). Разом з тим, застосування руткіту перешкоджає виявленню і/або видаленню шкідливої програми безпосередньо з ураженої ЕОМ.
HKEY_LOCAL_MACHINE\System\ControlSet001\services\MsXXXXXXXXApp
C:\Windows\System32\MsXXXXXXXXApp.dll
C:\Windows\AppPatch\DBXXXXXXXXMK.sdb
C:\Windows\AppPatch\RCXXXXXXXXMS.sdb
C:\Windows\AppPatch\TKXXXXXXXXMS.sdb
* XXXXXXXX - довільно згенерована послідовність в діапазоні [A-F0-9]{8} (приклад: "MsBA4B6B3AApp.dll")
ЗнезараженняДля видалення шкідливої програми можливо скористатися, щонайменше, двома способами.
1. Завантажити з офіційного вебсайту виробника (
Просмотр ссылок доступен только зарегистрированным пользователям) програмний продукт "Avast Free Antivirus", встановити на ЕОМ та в режимі "SMART" ініціювати сканування. Цей процес також потребуватиме подальшого перезавантаження ЕОМ та продовження сканування, під час якого буде виявлено та видалено модулі (Рис.4).
2. Завантажити уражену ЕОМ з LiveUSB (або підключити жорсткий диск ураженої ЕОМ до іншої ЕОМ) та в ручному режимі здійснити видалення файлу "MsXXXXXXXXApp.dll" та модулів (".sdb"), після чого, завантаживши ЕОМ в штатному режимі, видалити службу з реєстру. Приклад монтування жорсткого диску ураженої ЕОМ та проведення відповідних маніпуляцій наведено нижче.
("sda" - підключений диск ураженої ЕОМ; "sda2" - системний розділ диску ураженої ЕОМ)
# lsblk
NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT
...
sda 8:0 0 465.8G 0 disk
├─sda1 8:1 0 100M 0 part
├─sda2 8:2 0 172.7G 0 part
└─sda3 8:3 0 293G 0 part
...
(визначення розділів на диску за допомогою "fdisk"; "/dev/sda2" - системний розділ диску ураженої ЕОМ; зміщення 206848 сектори)
# fdisk -lu /dev/sda
...
Device Boot Start End Sectors Size Id Type
/dev/sda1 * 2048 206847 204800 100M 7 HPFS/NTFS/exFAT
/dev/sda2 206848 362371071 362164224 172.7G 7 HPFS/NTFS/exFAT
/dev/sda3 362371072 976771071 614400000 293G 7 HPFS/NTFS/exFAT
(монтування в режимі "read-write" системного розділу диску з урахуванням зміщення)
# mount -orw,offset=$((512*206848)) /dev/sda /mnt/
(перевірка вмісту каталогу "C:\Windows\AppPatch" для пошуку модулів)
# ls -lat /mnt/Windows/AppPatch/
(перевірка вмісту каталогу "C:\Windows\System32" для пошуку файлу бекдору)
# ls -lat --time=ctime /mnt/Windows/System32/Ms*
(видалення модулів та файлу бекдору)
# rm -rf /mnt/Windows/AppPatch/RC2EE39E00MS.sdb
# rm -rf /mnt/Windows/AppPatch/DB2EE39E00MK.sdb
# rm -rf /mnt/Windows/AppPatch/TK2EE39E00MS.sdb
# rm -rf /mnt/Windows/System32/Ms2EE39E00App.dll
(розмонтування системного розділу)
# umount /mnt/
ВАЖЛИВО: В будь-якому з випадків, з метою уникнення повторного інфікування через механізм саморозповсюдження бекдору, перш ніж виконати будь-які з вищеперелічених дій необхідно увімкнути штатний мережевий екран операційної системи ("Брендмауер") та створити правило для блокування вхідних інформаційних потоків на мережеві порти: 135, 137, 139, 445.