Det er selvfølgeligt noget skidt, men det virker næsten elegant. Righard Zwienenberg fra sikkerhedsfirmaet ESET er ved at gennemgå anatomien i det malwareprojekt, der har fået navnet projekt Windigo, på Copenhagen CyberCrime Conference 2014. Det skabte tidligere på året en del opmærksomhed, da det kom frem, at 25.000 unix-baserede servere var blevet inficeret med malware i forbindelse med en større hackeroperation, der daterer sig helt tilbage til 2011.
Serverne blev brugt til at udsende spam og som en del af den it-mæssige infrastruktur for Windigo og de stadig ukendte bagmænd. Og var der tale om webservere, fik de installeret særlig malware, så besøgende på serveren kunne risikere at blive sendt videre til sider, der inficerede klientmaskinen med yderligere malware. Der blandt andet udsendte spam.
Hackeroperationen kan spores helt tilbage til 2011, men først i 2013 begyndte omfanget at gå op for sikkerhedsforskere og først i 2014 er den ved at være lukket ned. Der er dog stadig et ukendt antal inficerede servere, og så er der en latent risiko for, at dem, der står bag Windigo, lancerer en ny hacker-kampagne på baggrund af de login-oplysninger, de har fået skrabet til sig med Windigo.
Under sin præsentation, bladrer Righard Zwienenberg gennem flere slides, der viser en øjensynligt nøje tilrettelagt it-infrastruktur over, hvordan Windigos interne kommunikationsmekanismer fungerer på flere niveauer.
Windigo består af adskillige dele. Og faktisk var det først et stykke henne i researchfasen, at det gik op for analytikerne hos ESET, at de enkelte stykker malware var en del af den samme infrastruktur.
Den centrale komponent i Windigo kaldes Ebury. Det er intet mindre end et SSH-rootkit. Nogen Version2-læsere vil vide, at SSH er en protokol, som typisk bruges til at opnå fjernadgang til eksempelvis en Unix-baseret webserver. Når først serveren er inficeret med Ebury, så kan Windigos bagmænd opsnappe alle login-oplysninger fra den. Ebury er kompatibel med flere Unix-lignende systemer, så ikke bare Linux, men også FreeBSD og Solaris har kunnet inficeres.
Det vil sige også til andre servere, som den inficerede servere måtte koble videre til. Hvorefter det er muligt for bagmændene at inficere de andre servere og så fremdeles.
Login-oplysningerne bliver sendt videre til bagmændene i særlige DNS-lignende pakker. Udover at nappe brugernavn og password, opsnapper Ebury også private nøgler på serveren. Og så efterlader Ebury en bagdør, så angriberne stadig kan komme ind på serveren, selvom brugernavn og password bliver udskiftet.
For at inficere servere med Ebury i første omgang har bagmændene opsnappet brugernavn og kodeord – eksempelvis ved at installere en keylogger på en administrators klientmaskine.
Ebury blev registreret i november 2011 af Steinar H. Gunderson. I april 2013 bliver et andet stykke malware rettet med Linux-servere, specifikt webservere registreret. Det drejer sig om Cdorked, der har til formål at inficere flere forskellige typer webservere blandt andet Apache. Når en webserver bliver inficeret, kan den blandt andet bruges til at omdirigere besøgende til en ondsindet side, der har til formål at installere malware på deres computer.
I starten lignede det to separate tilfælde, forklarer Righard Zwienenberg. Men en nærmere gennemgang afslørede, at der var en sammenhæng. Blandt andet var der en lighed i de krypteringsalgoritmer, som Ebury og Cdorked anvender.
Forskerne fandt frem til, at når Ebury inficerer et system, så bliver systemet også inficeret med Cdorked, såfremt, der er tale om en webserver. Og er der ej tale om en webserver, bliver den inficerede server blandt andet brugt til udsendelse af spam. Det sker i øvrigt ved at installere et andet stykke ondsindet software på serveren kaldet Calfbot, som er skrevet i Perl.
Sikkerhedsforskerne kunne i øvrigt koble Calfbot-softwaren til både Ebury og Cdorked, fordi det viste sig, at perl-scriptet anvender en lignende, hjemmestrikkede krypteringsalgoritme, som de øvrige elementer.
En anden del af den severrettede side af Windigo kaldes for Onimiki. Det er målrettet Linux DNS-servere, og kan bruges til at omdirigere domænenavne med et særligt mønster til en vilkårlig ip-adresse.
Udover de server-rettede dele af Windigo er der flere stykker malware rettet mod Windows-maskiner involveret. De bliver eksempelvis forsøgt installeret, når en intetanende klient kobler op til en inficeret webserver, og i stedet bliver omdirigeret til en side med den ondsindede software.
Windigo er lavet til at gå under sikkerhedseksperternes radar. Eksempelvis læser Calfbot sig ind i hukommelsen, og sletter sig selv fra disken. Også private nøgler høstet af Ebury ligger i hukommelsen på serveren, hvorfra de kan hentes af bagmændene. Det vil sige, at de ikke efterlader spor på harddisken.
Bagmændene giver sig i øvrigt til kende over for inficerede via særlige koder. Herefter kan de sende kommandoer til serveren og eksempelvis få den til at vise opsnappede brugeroplysninger.
Der er et hav af andre finurligheder at nævne omkring Windigo, som det er muligt at dykke ned i her.
Mens forskerne ved ESET har arbejdet med at optrævle og offentliggøre deres fund i forhold til Windigo, så har bagmændene utvivlsomt læst med. Dels har de været hurtigt ude med opdateringer af de forskellige elementer, efterhånden som det blev muligt at detektere dem.
Kat og mus
Eksempelvis kunne et mere end 3 megabyte stort element i hukommelsen på inficerede servere til at begynde med afsløre, om de var inficerede. Elementet havde Unix-rettighederne 666. Men bagmændene ændrede det med en opdatering til 600, så rettighedsindstillingerne ikke i sig selv kunne bruges som en indikator.
Det kan selvfølgelig være en tilfældighed, men i dag er Righard Zwienenberg ikke i tvivl om, at bagmændene nøje har fulgt folkene ved ESETS arbejde. Pludseligt gemte der sig nemlig en personlig hilsen til sikkerhedsfirmaet i noget af malwaren, hvor der stod noget i retning af ‘Hej Eset, godt arbejde’.
»Det er interessant, fordi vi ved, de faktisk læser vores materiale. De nye versioner (af malwaren, red.), hvor de hele tiden tilpasser sig og forsøger at omgå de indikatorer, vi har fundet frem til, det kunne have været et tilfælde – uden den besked,« siger Righard Zwienenberg i et interview med Version2 efter præsentationen om projekt Windigo.
Men hvem i alverden har udtænkt sådan et system?
»Det her er ikke bygget over en nat. Det er gjort grundigt. Det kan man se ud af alle de forskellige komponenter, brugen af kryptografi og den måde, det hele passer sammen på. Det er ikke et enmandsjob klaret på uge. Det er et stort projekt,« siger Righard Zwienenberg.
Umiddelbart fremstår Windigos primære formål til at være udsendelse af spam og lokke brugere ind i forskellige reklamenetværk med det formål at tjene penge til bagmændene. Men der er noget, der ikke rigtigt passer ind i det billede, mener Righard Zwienenberg. For selvom Windigo-nettet havde kapacitet til at udsende rigtigt meget spam, så sendte inficerede maskiner ‘kun’ 3.000 beskeder om dagen. Og det kunne have været langt mere, påpeger Zwienenberg.
»Vi ved ikke, hvad de har været ude på med Windigo. Er det bare at kompromittere systemer og stjæle login-oplysninger? Det kan have været en shotguns-tilgang, hvor de inficere så mange linux-servere som muligt i håbet om at få fat på en bestemt server,« siger han.
Windigos advancerede struktur med mange komponenter og gennemgående brug af kryptering kunne lede tankerne i retning af, at det faktisk er en stat, der står bag udviklingen. Men det tvivler Righard Zwienenberg på. For så ville der ikke være udsendt spam-beskeder, påpeger han. Og heller ikke som camouflage, da spam-beskederne i høj grad er med til at rette opmærksomheden mod et system som Windigo.
Men …
»Det er virkeligt højt-profilerede folk, der har lavet det her. Virkeligt gode programmører,« siger han.
På retur
I dag er Windigo på retur. Det sker i kølvandet på opdateret sikkerhedssoftware, som kan spotte Windigo-inficerede maskiner. Men det er ikke nok, at en maskine er renset, påpeger Zwienenberg. Login-data skal skiftes, da det netop er dem, bagmændene har opsamlet.
På den næstsidste slide i Righard Zwienenbergs præsentation stod der i øvrigt ‘what if???’ Det dækker over, at ESET og de øvrige organisationer, der har arbejdet med optrævlingen af Windigo, aldrig er nået frem til bagmændene. Og Righard Zwienenberg spekulerer i den forbindelse over, om Windigo måske i virkeligheden bare er en lille del af et endnu mere omfattende netværk – altså en slags toppen af isbjerget. På samme måde, som Ebury og Cdorked viste sig blot at være enkeltdele i Windigo. Og den tanke er skræmmende, fortæller Righard Zwienenberg.
»Hvis det er sandt, ja! Tænk på, at i starten detekterede vi bare Cdork. Da vikombinerede informationerne, så vi et større billede.«
Der er mere læsestof at dykke ned i om om Windigo her (PDF).
Leave a Reply