WinDealer: шпион с нестандартной доставкой

Наши эксперты изучили зловред WinDealer от APT-группировки LuoYu.

APT-группировка LuoYu распространяет и контролирует вредоносное ПО WinDealer при помощи атаки man-on-the-side.

Эксперты «Лаборатории Касперского» тщательно исследовали вредоносное ПО WinDealer, созданное APT-группировкой LuoYu. Самая интересная находка заключается в том, что злоумышленники, по всей видимости, освоили метод атаки man-on-the-side и успешно применяют его как для доставки зловреда, так и для связи командных серверов с уже зараженными компьютерами.

Что такое атака man-on-the-side и для чего она используется авторами WinDealer

Атака типа man-on-the-side подразумевает, что злоумышленник каким-то образом частично контролирует канал связи, что позволяет ему читать передаваемую информацию и внедрять собственную в чужой обмен данными.

На практике это может применяться следующим образом: злоумышленники перехватывают запрос на обновление совершенно легитимной программы и подсовывают ей вместо настоящего файла измененный, содержащий зловред. Именно так, по всей видимости, WinDealer чаще всего и распространяется.

Похожую уловку злоумышленники используют и для обеспечения безопасного процесса управления зараженным компьютером. Чтобы экспертам было сложнее вычислить командный сервер, в зловреде не прописан его точный адрес. Вместо этого он обращается к случайному IP-адресу из определенного диапазона, а атакующие перехватывают запрос и отвечают на него. В отдельных случаях WinDealer пытается обращаться по адресу, который в принципе не может существовать, но благодаря методу man-on-the-side получает ответ.

По мнению наших экспертов, для того чтобы этот трюк можно было успешно провернуть атакующим необходим постоянный доступ к роутерам целой подсети или же к каким-то продвинутым инструментам на уровне интернет-провайдеров.

За кем охотится WinDealer

Подавляющее большинство целей WinDealer находится в Китае: это иностранные дипломатические организации, члены академического сообщества, или компании задействованные в оборонном, логистическом или телекоммуникационном бизнесе. Впрочем, иногда заражение инструментами APT-группировки LuoYu регистрируется и в других странах: Германии, Австрии, США, Чешской Республике, России и Индии. В последние месяцы злоумышленники также стали интересоваться другими странами Восточной Азии и их китайскими представительствами.

Чем опасен WinDealer

Подробный технический анализ как самого зловреда, так и методов его доставки можно найти в посте на сайте Securelist. Вкратце, WinDealer обладает функциональностью современного шпионского ПО. Он умеет:

  • манипулировать файлами и файловой системой (открывать, записывать и удалять файлы, cобирать данные о директориях и диске);
  • собирать информацию об аппаратном обеспечении, сетевой конфигурации, процессах, раскладке клавиатур, установленных приложениях;
  • скачивать и закачивать произвольные файлы;
  • исполнять произвольные команды;
  • проводить поиск по текстовым файлам и документам MS Office;
  • делать снимки рабочего стола;
  • сканировать локальную сеть;
  • поддерживать функцию бэкдора;
  • собирать данные о доступных сетях Wi-Fi (эта функция присутствовала как минимум в одном из обнаруженных нашими экспертами вариантах зловреда).

Как оставаться в безопасности

К сожалению, от атак типа man-on-the-side крайне сложно защититься на сетевом уровне. В теории может помочь постоянная связь через VPN, однако она доступна не везде.  Поэтому для того, чтобы исключить заражение шпионским ПО, необходимо чтобы каждое устройство, имеющее доступ к Интернету, было обеспечено надежным защитным продуктом. Кроме того, решения класса EDR могут помочь выявить аномалии и остановить атаку на раннем этапе.

Советы