Урядова команда реагування на комп’ютерні надзвичайні події України CERT-UA попереджає про кампанію зловмисного програмного забезпечення PurpleFox, яке заразило щонайменше 2000 комп’ютерів у країні.
Точний вплив цієї широко поширеної інфекції й те, чи вона вплинула на державні організації або комп’ютери звичайних людей, не визначено, але команда CERT-UA поділилася детальною інформацією щодо того, як знайти зараження та видалити зловмисне програмне забезпечення.
DIRTYMOE – модульна шкідлива програма, відома більш ніж 5 років. Вона створює технічні можливості для віддаленого доступу до комп’ютера і здебільшого використовується для проведення DDoS-атак та майнінгу (але не виключно).
Зазвичай первинне ураження здійснюється в результаті запуску популярного програмного забезпечення, яке містить MSI-інсталятор. Бекдор оснащено руткітом, що не дозволяє видалити компоненти з файлової системи та реєстру операційної системи в штатному режимі.
DIRTYMOE має функціонал для саморозповсюдження шляхом підбору автентифікаційних даних та/або експлуатації низки вразливостей як щодо комп’ютерів, які знаходяться в локальній обчислювальній мережі, так і ЕОМ за переліком IP-адрес, що формується за окремим алгоритмом залежно від зовнішньої IP-адреси об’єкта ураження.
З метою забезпечення відмовостійкості для комунікації з управляючою інфраструктурою використовується щонайменше три способи, один із яких полягає в отриманні значень A-записів для статично визначених доменних імен з використанням як локального, так і зовнішніх DNS-серверів: 8.8.8.8, 1.1.1.1, 114.114.114.114, 119.29.29.29.
При цьому IP-адреси, які зберігаються в реєстрі операційної системи, а також ті, що отримуються в результаті DNS-запитів, обфусковані.
За період моніторингу (20-31 січня 2024 року) було виявлено 486 IP-адрес проміжних управляючих серверів, переважна більшість яких належить скомпрометованому обладнанню, що знаходиться в Китаї. Протягом доби додається приблизно 20 нових IP-адрес.
Команда CERT-UA використовувала IoC, якими користуються Avast і TrendMicro, щоб ідентифікувати зараження шкідливим програмним забезпеченням PurpleFox на українських комп’ютерах, відстежуючи активність за ідентифікатором «UAC-0027».
«У межах детального вивчення кіберзагрози було проведено дослідження отриманих зразків шкідливих програм, встановлено особливості функціонування інфраструктури управляючих серверів та виявлено понад 2000 уражених ЕОМ в українському сегменті мережі Інтернет», – йдеться у повідомленні.
Агентство рекомендує ізолювати системи, які працюють із застарілими версіями ОС і програмним забезпеченням, використовуючи VLAN або фізичну сегментацію мережі з фільтрацією вхідних/вихідних повідомлень, щоб запобігти поширенню.
Щоб виявити зараження PurpleFox, користувачам рекомендується зробити наступне:
1. Дослідити мережеві з’єднання за переліком IP-адрес, наведених у застосунку. Зазвичай вихідні підключення здійснюються на «високі» (10000+) мережеві порти.
2. За допомогою штатної утиліти regedit.exe перевірити значення в реєстрі операційної системи за ключами:
для WindowsXP: HKEY_LOCAL_MACHINE\ControlSet001\Services\AC0[0-9] - для Windows7: HKEY_LOCAL_MACHINE\Software\Microsoft\DirectPlay8\Direct3D
3. З використанням штатної утиліти Event Viewer у журналі Application (джерело: MsiInstaller) дослідити записи з ідентифікаторами подій 1040 і 1042.
4. Візуально оглянути каталог C:\Program Files на предмет наявності папок із довільно згенерованою назвою. Наприклад, C:\Program Files\dvhvA.
5. Постійність запуску шкідливої програми забезпечується шляхом створення сервісу. Своєю чергою файли бекдору та модулів зберігаються у типових каталогах (перелік нижче). Водночас застосування руткіту перешкоджає виявленню та/або видаленню шкідливої програми безпосередньо з ураженої ЕОМ.
HKEY_LOCAL_MACHINE\System\ControlSet001\services\MsXXXXXXXXApp C:\Windows\System32\MsXXXXXXXXApp.dll C:\Windows\AppPatch\DBXXXXXXXXMK.sdb C:\Windows\AppPatch\RCXXXXXXXXMS.sdb C:\Windows\AppPatch\TKXXXXXXXXMS.sdb
* XXXXXXXX – довільно згенерована послідовність у діапазоні [A-F0-9]{8} (приклад: MsBA4B6B3AApp.dll)
Для видалення шкідливої програми можливо скористатися щонайменше двома способами:
1. Завантажити з офіційного вебсайту виробника (https://www.avast.ua/) програмний продукт Avast Free Antivirus, встановити його на ЕОМ та в режимі SMART ініціювати сканування. Цей процес також потребуватиме подальшого перезавантаження ЕОМ і продовження сканування, під час якого буде виявлено та видалено модулі.
2. Завантажити уражену ЕОМ з LiveUSB (або підключити жорсткий диск ураженої ЕОМ до іншої ЕОМ) та в ручному режимі здійснити видалення файлу MsXXXXXXXXApp.dll і модулів (.sdb). Після цього, завантаживши ЕОМ у штатному режимі, видалити службу з реєстру. Приклад монтування жорсткого диску ураженої ЕОМ і проведення відповідних маніпуляцій наведено нижче.
(sda – підключений диск ураженої ЕОМ; sda2 – системний розділ диску ураженої ЕОМ)
# lsblk NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT ... sda 8:0 0 465.8G 0 disk ├─sda1 8:1 0 100M 0 part ├─sda2 8:2 0 172.7G 0 part └─sda3 8:3 0 293G 0 part ...
(визначення розділів на диску за допомогою fdisk; /dev/sda2 – системний розділ диску ураженої ЕОМ; зміщення 206848 сектори)
# fdisk -lu /dev/sda ... Device Boot Start End Sectors Size Id Type /dev/sda1 * 2048 206847 204800 100M 7 HPFS/NTFS/exFAT /dev/sda2 206848 362371071 362164224 172.7G 7 HPFS/NTFS/exFAT /dev/sda3 362371072 976771071 614400000 293G 7 HPFS/NTFS/exFAT
(монтування в режимі read-write системного розділу диску з урахуванням зміщення)
# mount -orw,offset=$((512*206848)) /dev/sda /mnt/
(перевірка вмісту каталогу C:\Windows\AppPatch для пошуку модулів)
# ls -lat /mnt/Windows/AppPatch/
(перевірка вмісту каталогу C:\Windows\System32 для пошуку файлу бекдору)
# ls -lat --time=ctime /mnt/Windows/System32/Ms*
(видалення модулів та файлу бекдору)
# rm -rf /mnt/Windows/AppPatch/RC2EE39E00MS.sdb # rm -rf /mnt/Windows/AppPatch/DB2EE39E00MK.sdb # rm -rf /mnt/Windows/AppPatch/TK2EE39E00MS.sdb # rm -rf /mnt/Windows/System32/Ms2EE39E00App.dll
(розмонтування системного розділу)
# umount /mnt/
Важливо. У будь-якому з випадків з метою уникнення повторного інфікування через механізм саморозповсюдження бекдору перш ніж виконати будь-які з перелічених дій необхідно увімкнути штатний мережевий екран операційної системи («Брендмауер») і створити правило для блокування вхідних інформаційних потоків на мережеві порти 135, 137, 139, 445.
Нагадаємо, що минулого тижня українські державні компанії Нафтогаз, Укрпошта й Укртрансбезпека повідомили про збої у роботі своїх ІТ-систем.