Další vývoj operace Windigo

Operace Windigo byla odhalena. Ale znamená to její konec? Bohužel, téměř jistě ne. Okolnosti nasvědčují tomu, že o operaci Windigo ještě uslyšíme. V tomto článku se dozvíte, proč mám tento názor.

Nebezpečí operace Windigo stále trvá

Nebezpečnost operace Windigo nelze považovat za zažehnané. Autoři útoku Windigo již v minulosti více než jednou reagovali na odhalení komponenty, a vytvořili její novou verzi, která je proti dříve popsané ochraně odolná. Dokázali takto reagovat v horizontu dvou měsíců. Je velice pravděpodobné, že se pokusí svoji aktuální základnu 10.000 napadených serverů ochránit, a znovu rozšířit pomocí nových verzí škodlivých modulů, pro které stávající detekční postupy nebudou fungovat. Nejspíše na tom již intenzivně pracují.

Chcete důkazy?

Reakce skupiny odpovědné za operaci Windigo na publikované informace

Na konci dubna 2013 skupina Sucuri a společnost ESET zveřejnili analýzu tehdejší verze Linux/Cdorked. Zároveň zveřejnili program v C, který detekoval kód Linux/Cdorked v paměti serveru a také vypsal jeho konfiguraci, která byla přítomná pouze v operační paměti. Na disku nebyla zapsána. V červnu vypustili útočníci novou verzi Linux/Cdorked, kterou nebylo možné pomocí tohoto postupu detekovat.

Za další případ můžeme označit informace, které zveřejnila na konci února 2013 společnost cPanel po napadení jejích serverů. Jejich součástí jsou i projevy napadení modulem Linux/Ebury, detekované pomocí sledování síťové komunikace, s použitím programu TCPdump. Tentýž měsíc také zveřejnila skupina CERT-Bund informace o Linux/Ebury a upozornila nejen národní týmy CERT, ale také poskytovatele napadených hostingů.

V dubnu reagovali útočníci novou verzí Linux/Ebury, provedli její aktualizaci na většině napadených serverů na verzi 1.3.2. Tato verze nejen lépe skrývá servery, které sbírají přístupové informace napadených serverů, ale také zastavuje komunikaci, pokud zaznamená síťové zařízení v promiskuitním módu. (To je známkou spuštěné paketové analýzy.)

Z tohoto důvodu je v současnosti doporučována pro účely detekce tohoto napadení paketová analýza bez přepnutí síťového rozhraní do promiskuitního módu:

$ tcpdump -p

Stačí? Já osobně považuji za prokázané, že útočná skupina stojící za operací Windigo reaguje na publikovaná zjištění. A to v horizontu dvou měsíců.

Poprvé bylo veřejně a podrobně referováno o spojení Linux/Ebury a Linux/Cdorked 5. února 2014 zde. Jsou to právě dva měsíce. Co myslíte, mají útočníci už na většině napadených serverů, které zatím nebyly vyčištěny, aktualizované varianty škodlivých kódů? Pořád jste zcela klidní?

Změny v následujících variantách Linux/Ebury a Linux Cdorked

Následující řádky vycházejí pouze z mých úvah.

Odhaduji, že se útočníci zaměří na vylepšení ukrytí jejich škodlivých kódů a činností. Moc široký prostor ke zlepšením již nemají. Předpokládám následující dva směry:

1. Odstranění možnosti rychlé a jednoduché detekce napadení.

Předpokládám, že bleskurychle zmizí parametr -G z infikované verze SSH Linux/Ebury. Identifikace pomocí něho je rychlá a jednoznačná. Pokud bude v budoucnu nutná detekce pomocí komplexu indicií napadení, aktualizovaný kontrolní skript na operaci Windigo se stane prakticky již nezbytným pomocníkem.

Je dokonce možné, že dojde i k určité randomizaci kódu. Tím by se stala detekce napadení pomocí kontrolních součtů programů prakticky zcela neúčinnou.

2. Sledování promiskuitního módu rozhraní bude rozšířeno.

Je pravděpodobné, že pro ztížení detekce pomocí sledování komunikace, bude fragment kódu pro detekci promiskuitního režimu síťových rozhraní aplikován i na další útočné komponenty.

Relativně snadno také může být rozšířen o sledování spouštění programů pro paketovou analýzu, jako jsou WireShark, NetCat a TCPdump. Nebo jejich modifikaci takovým způsobem, aby při spuštění útočnému kódu zaslaly signál, že je třeba ukončit dočasně činnost.

Je to sice již méně elegantní, než sledování promiskuitního módu síťových zařízení, ale nepříjemné by to bylo až dost.

Analýzu síťového provozu by pak bylo nutné provádět na jiném počítači, optimálně na výchozí bráně napadeného systému. To nemusí být vždy schůdné. Představte si jen, jak tento postup realizujete na zahostovaném virtuálním serveru.

Na závěr

Připravuji pro vás další díly seriálu o operaci Windigo. Nejdříve ale připravím vylepšenou verzi Kontrolního skriptu na operaci Windigo.

Pokud chcete o nových verzích kontrolního skriptu a mých článcích na toto téma dostávat informaci emailem, registrujte se k odběru novinek o operaci Windigo.

Těším se na vaše připomínky a na shledanou příště.

 

Napsat komentář

Vaše emailová adresa nebude zveřejněna.