Crisis — Hacking Team

Многие антивирусные конторы называют Crisis по-разному. Symantec пошел на поводу у злоумышленников и использует наименование Crisis, как и было задумано. Kaspersky Lab называет эту вредоносную программу Morcut, Microsoft на пару с Eset — Boychi. Или вот компания Dr.Web — имя, выбранное ими, DaVinci, не случайно. Сотрудники Intego утверждают, что Crisis является частью системы удаленного управления DaVinci, разработанной компанией Hacking Team (www.hackingteam.it) из города Милана, Италия. Сами Hacking Team позиционируют свой продукт как средство слежения, разработанное для использования правительствами и правоохранительными органами различных государств. Ценник потрясает воображение — целых 200 килоевро! В цену заложены обязательства по постоянному обновлению и поддержке продукта, пока конечная цель атаки по получению нужной информации не будет достигнута. Конкурентом на этом поприще является контора Gamma International (www.gammagroup.com) из Великобритании со своим продуктом FinFisher, под который даже собственный сайт запилили (www.finfisher.com). В то же время эксперты Kaspersky Lab утверждают: никаких конкретных доказательств, что Crisis разрабатывали в Hacking Team, нет. Ну а лишних 200 тысяч евро, чтобы проверить, кто там и что разрабатывал, у нас в редакции не лежит.

При анализе Crisis выявилось большое количество багов проектирования. Например, инсталлятор проверял, не установлен ли уже Crisis в систему. Для этого производилось обращение к специально созданному руткитом символьному устройству /dev/pfCPU. Фишка в том, что руткит, по своей сути, должен скрывать все свои проявления в системе, в том числе не светиться /dev/pfCPU, а использовать другие пути выявления своей запущенной копии. Вот такой простенький код для демаскирования файлов после Crisis.

Еще баг — руткит скрывал себя в списке процессов ядра, но не подправлял их общее количество. Ну и наконец, для связи со своим командным центром он использовал жестко заданный в конфигурационном блоке данных сервер с IP-адресом 176.58.100.37. Канал передачи шифровался, однако никакой авторизации при обмене данными с С&С не было предусмотрено вообще! Исследователь внутренностей OS X под псевдонимом reverser провел некоторые изыскания и выяснил, что, если взять тушку Crisis и выдрать из нее конфиг, не составляет большого труда поменять адрес С&С на свой, зашифровать все обратно и внедрить конфиг на место. Правда, возникают трудности с управляющим центром. Для того чтобы его получить, нужно либо ломать сервак и сливать все скрипты с него, либо «немножко» отреверсить Crisis и написать свою версию. В любом случае это получится дешевле 200 тысяч евро. Кстати, на сайте reverser (reverse.put.as) можно найти массу интересной информации на английском языке, касающейся исследований malware под OS X.

Заключение

Думаю, к этому моменту ты уже убедился, что компьютеры Mac не обладают абсолютным иммунитетом к вредоносным программам. Конечно, по сравнению с объемом вредоносного ПО для Windows количество зловредов для OS X пока незначительно. Но и масштабы распространенности платформы Mac несопоставимы с Windows. Со стороны пользователей Mac было бы наивно полагать, что они защищены от атак malware на все сто. Как показала практика, здесь тоже есть чем поживиться. Речь идет не только о массовых угрозах, таких как полумилионный ботнет FlashFake, принесший хозяевам некоторое количество зеленых бумажек путем монетизации сервиса BlackSeo и кликанья по рекламным баннерам. Тут вам и целевые атаки на конкретные цели, и шпионские схемы мониторинга пользователей отдельно взятых стран. Спрос есть, деньги солидные, за них можно и под OS X писать. Таким образом, угрозы для Mac вполне реальны, и в дальнейшем их число, скорее всего, будет только расти. Следите за нашими публикациями!