«Касперский» нашел умный троян, умеющий читать защищенные соединения

«Лаборатория Касперского» обнаружила троянец, который модифицирует генератор псевдослучайных чисел в браузерах, применяемый при TLS-подключениях, чтобы «маркировать» потенциально интересные соединения.

Эксклюзивный клуб

«Лаборатория Касперского» опубликовала анализ вредоносной программы Reductor, уникального троянца, способного маркировать исходящие TLS-соединения и манипулировать сертификатами безопасности. Судя по описанию, Reductor использует четыре сертификата, якобы выпущенные PayPal (ie-paypal), GeoTrust и Verisign.

«В апреле 2019 г. мы обнаружили новый вредонос, который компрометирует зашифрованные веб-соединения весьма впечатляюющим образом. Анализ вредоносной программы позволил нам подтвердить, что у её операторов есть ограниченный контроль над сетевым каналом жертвы, так что они могут подменять легитимные инсталляторы различных программ заражёнными «на лету». Это делает акторов членами чрезвычайно эксклюзивного клуба: лишь у очень немногих других есть сравнимые с этим возможности», — говорится в публикации в Securelist.

Reductor обладает типичными функциями троянца для удалённого управления заражённой системой (RAT): он может загружать, выкачивать и запускать файлы. Особый интерес, однако, вызывает способность троянца «манипулировать цифровыми сертификатами и маркировать исходящий TLS-траффик с помощью уникальных идентификаторов хоста».

Взломать для маркировки

И это достигается весьма и весьма своеобразным способом.

Авторы вредоносной программы проанализировали исходный код Firefox и двоичный код Chrome, и написали «патч», который меняет манеру функционирования генератора псевдослучайных чисел; браузеры используют этот генератор для создания уникальных последовательностей символов, обозначающих клиента (поле «client random»), при первоначальном установлении TSL-соединения.

«Лаборатория Касперского» обнаружила троян, способный декодировать TLS-трафик, то есть расшифровывать защищённые соединения

Reductor добавляет к client random ещё и зашифрованные уникальные идентификаторы на базе используемого ПО и оборудования. Перехват самих пакетов не осуществляется.

Для модификации генератора псевдослучайных чисел разработчики использовали маленький дизассемблер длин инструкций Intel.

Чтобы определить, какие из начальных TSL-соединений («рукопожатий») могут представлять интерес для операторов вредоноса, им сначала необходимо расшифровать поле «client hello». А следовательно, каким-то образом иметь доступ к трафику жертвы.

«Reductor сам не себе не производит атак «человек посередине» (MitM). Однако изначально мы предположили, что устанавливаемые [вредоносом] сертификаты могут способствовать MitM-атакам на TLS-трафик», — говорится в публикации Securelist. В тех сэмплах, которые экспертам удалось изучить никаких MitM-функций не было. «Самому по себе Reductor и не обязательно производить MitM-атаки, — полагает Алексей Водясов, эксперт по информационной безопасности компании SEC Consult Services. — На примере разработок Equation мы уже наблюдали, как различные функции выполнялись отдельными специализированными программами. Не исключено, что Reductor — это только часть куда более широкого и многофункционального кибершпионского арсенала».

В самой «Лаборатории Касперского» полагают, что Reductor может открывать возможности для последующих MitM-атак.

«Помимо того, что вредоносная программа Reductor патчит библиотеки браузеров, чтобы маркировать трафик, она еще и устанавливает свой сертификат на зараженную машину, что по логике вещей может дать возможность проводить атаки типа MitM. Возможное продолжение атаки, которое мы не можем пока подтвердить, заключается в том, что, скорее всего, у атакующих есть возможность перехватывать весь трафик жертвы и пропускать его через себя, — пояснил корреспонденту CNews руководитель российского исследовательского центра «Лаборатории Касперского», Юрий Наместников, отметив также, что вредоносная программа маркирует весь HTTPS-трафик с браузеров зараженного компьютера».

Перехват в полёте

По мнению авторов публикации Securelist, Reductor также позволяет инфицировать инсталляторы других программ дополнительными троянцами прямо во время их скачивания жертвой. По-видимому, это означает, что к этому моменту операторы уже обеспечивают себе устойчивое присутствие в заражённой инфраструктуре.

Что же касается атрибуции, то, по мнению экспертов «Лаборатории Касперского», за Reductor стоит известная своим новаторством APT-группировка Turla. Об это свидетельствует, в частности, то, что жертвами атак становятся организации, которые и раньше представляли особый интерес для операторов Turla.

Кроме того, эксперты «Лаборатории» усмотрели большую степень сходства между Reductor и троянцем COMPfun, известным с 2014 г. По-видимому, авторами обеих вредоносных программ являются одни и те же люди.

Источник: www.cnews.ru

 

Опубликовал | 2019-10-08T18:42:11+00:00 Октябрь 8th, 2019|Безопасность|Комментарии к записи «Касперский» нашел умный троян, умеющий читать защищенные соединения отключены

Об авторе:

×