Gauss:
Nation-state cyber-surveillance meets banking Trojan
GReAT
Kaspersky Lab Expert
Kaspersky Lab Expert
Posted August 09, 13:00
GMT
Tags: Internet
Banking, Duqu,
Targeted
Attacks, Cyber
weapon, Cyber
espionage, Stuxnet,
Gauss,
Flame
Bài
được đưa lên Internet ngày: 09/08/2012
Lời
người dịch: Bổ sung vào kho vũ khí KGM với những
Stuxnet, Duqu và Flame, lần này là Gauss, “Gauss
là một Trojan ngân hàng do nhà nước bảo trợ mang một
đầu đạn hạt nhân với sứ mệnh chưa được rõ”.
Ngoài việc ăn cắp các dạng dữ liệu khác nhau từ các
máy Windows
bị lây nhiễm, nó cũng còn bao gồm trọng tải được mã
hóa mà sẽ được kích hoạt trong các cấu hình hệ thống
đặc thù nhất định. Điều khác biệt, đây là lần đầu
tiên, một vũ khí KGM do nhà
nước bảo trợ, lại dành
cho việc theo dõi, giám sát, ăn cắp thông tin ủy quyền
đăng nhập của các tài khoản ngân hàng trực tuyến.
Mục đích ăn cắp tiền từ các tài khoản đó được
loại trừ, vì nó không xứng tầm của một vũ khí nhà
nước bảo trợ. Nó lây nhiễm cho hơn 2.500 máy tính cá
nhân, chủ yếu ở Li băng, Israel và các vùng lãnh thổ
Palestin. Giống như Stuxnet, Duqu
hay Flame, virus Gauss đương nhiên và mặc định dành cho
Windows. Bạn có thể tải về
tài liệu kỹ thuật ở
đây.
Introduction
Giới
thiệu
Gauss là chiến dịch
trinh sát KGM gần đây nhất trong cuộc trường chinh của
Stuxnet, Duqu và Flame.
Nó có lẽ được tạo
ra vào giữa năm 2011 và được triển khai lần đầu tiên
vào tháng 08-09/2011.
Gauss đã được phát
hiện trong quá trình nỗ lực đang diễn ra được Liên
đoàn Viễn thông Quốc tế ITU (International
Telecommunications Union) khởi xướng, sau khi phát hiện
ra Flame. Nỗ lực này nhằm vào việc giảm nhẹ những rủi
ro mà các vũ khí KGM đặt ra, là một thành phần chủ
chốt trong việc đạt được toàn bộ mục tiêu KGM hòa
bình toàn cầu.
Trong 140 trang hoặc ít
hơn, “Gauss là một Trojan ngân hàng do
nhà nước bảo trợ mang một đầu đạn hạt nhân với
sứ mệnh chưa được rõ”. Ngoài việc ăn cắp các dạng
dữ liệu khác nhau từ các máy Windows bị lây nhiễm, nó
cũng còn bao gồm trọng tải được mã hóa mà sẽ được
kích hoạt trong các cấu hình hệ thống đặc thù nhất
định.
Giống hệt như Duqu
đã dựa vào nền tảng “Tilded” trong đó Stuxnet đã
được phát triển, Gauss dựa vào nền tảng của “Flame”.
Nó chia sẻ một số chức năng với Flame, như các thủ
tục con gây lây nhiễm cho các đầu USB.
Trong phần các câu
hỏi - đáp thường gặp này, chúng tôi trả lời một số
câu hỏi chính về chiến dịch này. Bổ
sung thêm vào điều này, chúng ta cũng đưa ra một tài
liệu kỹ thuật đầy đủ (phiên bản HTML
và PDF)
về các chức năng của phần mềm độc hại này.
Gauss
is the most recent cyber-surveillance operation in the Stuxnet, Duqu
and Flame saga.
It
was probably created in mid-2011 and deployed for the first time in
August-September 2011.
Gauss
was discovered during the course of the ongoing effort initiated by
the International Telecommunications
Union (ITU), following the discovery of Flame. The effort is
aimed at mitigating the risks posed by cyber-weapons, which is a key
component in achieving the overall objective of global cyber-peace.
In
140 chars or less, “Gauss is a nation state sponsored banking
Trojan which carries a warhead of unknown designation”. Besides
stealing various kinds of data from infected Windows machines, it
also includes an unknown, encrypted payload which is activated on
certain specific system configurations.
Just
like Duqu was based on the “Tilded” platform on which Stuxnet was
developed, Gauss is based on the “Flame” platform. It shares some
functionalities with Flame, such as the USB infection subroutines.
In
this FAQ, we answer some of the main questions about this operation.
In addition to this, we are also releasing a full technical paper
(HTML
version and PDF
version) about the malware’s functionalities.
Gauss
là gì? Tên của nó từ đâu mà tới?
Gauss là một bộ công
cụ gián điệp KGM phức tạp được chính một vài tác
nhân đứng đằng sau nền tảng phần mềm độc hại
Flame tạo ra. Nó được phân chia cao độ thành các module
và hỗ trợ các chức năng mới có thể được triển
khai từ xa từ những người vận hành ở dạng các trình
cài cắm. Các trình cài cắm được biết hiện hành thực
hiện các chức năng sau:
- Chặn lấy các mật khẩu và cookie của trình duyệt.
- Thu thập và gửi các dữ liệu cấu hình hệ thống cho những kẻ tấn công.
- Gây lây nhiễm cho các đầu USB bằng một module ăn cắp dữ liệu.
- Liệt kê nội dung các ổ đĩa và thư mục của hệ thống.
- Ăn cắp các thông tin ủy nhiệm đối với hàng loạt các hệ thống ngân hàng tại Trung Đông.
- Thâm nhập thông tin các tài khoản đối với mạng xã hội, các tài khoản thư điện tử và chat.
Các module có các tên
nội bộ dường như để tưởng nhớ tới các nhà toán
học và triết học nổi tiếng như Kurt Godel, Johann Carl
Friedrich Gauss và Joseph-Louis Lagrange.
Module
có tên “Gauss” là quan trọng nhất trong phần mềm độc
hại này khi mà nó triển khai các khả năng ăn cắp dữ
liệu và chúng tôi vì thế đã đặt tên cho bộ công cụ
của phần mềm này theo thành phần quan trọng nhất của
nó.
What
is Gauss? Where does the name come from?
Gauss
is a complex cyber-espionage toolkit created by the same actors
behind the Flame malware platform. It is highly modular and supports
new functions which can be deployed remotely by the operators in the
form of plugins. The currently known plugins perform the following
functions:
- Intercept browser cookies and passwords.
- Harvest and send system configuration data to attackers.
- Infect USB sticks with a data stealing module.
- List the content of the system drives and folders
- Steal credentials for various banking systems in the Middle East.
- Hijack account information for social network, email and IM accounts.
The
modules have internal names which appear to pay tribute to famous
mathematicians and philosophers, such as Kurt Godel, Johann Carl
Friedrich Gauss and Joseph-Louis Lagrange.
The
module named “Gauss” is the most important in the malware as it
implements the data stealing capabilities and we have therefore named
the malware toolkit by this most important component.
Kiến
trúc của Gauss
Bổ sung thêm, các tác
giả đã quên loại bỏ các thông tin gỡ rối các lỗi từ
một vài ví dụ của Gauss, có chứa các đường dẫn nơi
mà dự án được đặt. Các đường dẫn đó là:
Biến thể
Đường dẫn tới các tệp của dự án
Tháng 08/2011
d:\projects\gauss
Tháng 10/2011
d:\projects\gauss_for_macis_2
Th 12/2011-01/2012
c:\documents and
settings\flamer\desktop\gauss_white_1
Một người lưu ý
ngay lập tức “projects\gauss” (các dự án\gauss).
Về các phần “trắng”
- chúng tôi tin tưởng đây là một tham chiếu tới Li
băng, quốc gai với hầu hết các lây nhiễm của Gauss.
Theo Wikipedia, “Cái tên Li băng tới từ gốc LBN của
ngôn ngữ Semit, nghĩa là “trắng”, có khả năng một
tham chiếu tới đỉnh băng tuyết Núi của Li băng”.
Gauss
đã được phát hiện như thế nào? Và khi nào?
Gauss đã được phát
hiện trong quá trình điều tra đang diễn ra được Liên
đoàn Viễn thông Quốc tế ITU ( International
Telecommunication Union) khởi xướng, là một phần của nỗ
lực bền vững làm giảm nhẹ những rủi ro do các mối
đe dọa KGM đang nổi lên đặt ra, và để đảm bảo hòa
bình KGM.
Như một phần của
nỗ lực đó, chúng tôi đã tiếp tục phân tích các thành
phần còn chưa rõ của Flame để xác định liệu họ có
phát hiện ra những liên can, những điều tương tự hay
manh mối nào mà các chương trình độc hại mới đã từng
hoạt động tích cực hay không.
Trong quá trình phân
tích, chúng tôi đã phát hiện ra một module gián điệp
KGM riêng rẽ mà nó dường như tương tự như Flame, nhưng
với sự phân phối địa lý khác. Ban đầu, chúng tôi đã
không chú ý nhiều tới nó vì nó từng bị nhiều sản
phẩm chống phần mềm độc hại tìm ra. Tuy nhiên, chúng
tôi đã phát hiện ra sau đó vài module nữa, bao gồm một
số module đã không được dò tìm ra, và dựa vào một
xem xét kỹ lưỡng, chúng tôi đã lưu ý thấy những sự
tương đồng rõ ràng với Flame. Tiếp sau các phân tích
chi tiết của chúng tôi hồi tháng 6 và 7/2012, chúng tôi
đã khẳng định gốc gác của mã nguồn và các tác giả
là y hệt như với Flame.
Gauss
Architecture
In
addition, the authors forgot to remove debugging information from
some of the Gauss samples, which contain the paths where the project
resides. The paths are:
Variant
Path to
project files
August 2011
d:\projects\gauss
October 2011
d:\projects\gauss_for_macis_2
Dec 2011-Jan
2012
c:\documents
and settings\flamer\desktop\gauss_white_1
One
immediately notices “projects\gauss”.
In
regards to the “white”
part - we believe this is a reference to Lebanon, the country with
the most Gauss infections. According to Wikipedia, “The
name Lebanon comes from the Semitic root LBN, meaning "white",
likely a reference to the snow-capped Mount Lebanon.”
http://en.wikipedia.org/wiki/Lebanon#Etymology
Gauss
was discovered during the course of the ongoing investigation
initiated by the International Telecommunication Union (ITU), which
is part of a sustained effort to mitigate the risks posed by emerging
cyber-threats, and ensure cyber-peace.
As
part of the effort we continued to analyze the unknown components of
Flame to determine if they revealed any similarities, correlations or
clues regarding new malicious programs that were actively operating.
During
the course of the analysis, we discovered a separate cyber-espionage
module which appeared similar to Flame, but with a different
geographical distribution. Originally, we didn’t pay much attention
to it because it was already detected by many anti-malware products.
However, we later discovered several more modules, including some
which were not detected, and upon a closer look, we noticed the
glaring similarities to Flame. Following our detailed analysis in
June and July 2012, we confirmed the origin of the code and the
authors as being the same as Flame.
Gauss
được tạo ra khi nào và nó đã hoạt động được bao
lâu rồi? Nó vẫn còn hoạt động chứ?
Dựa vào những phân
tích của chúng tôi và các dấu thời gian từ các module
của phần mềm độc hại được thu thập, chúng tôi tin
tưởng hoạt động của Gauss đã bắt đầu đâu đó
khoảng tháng 8, tháng 9/2011. Điều này đặc biệt thú vị
vì khoảng tháng 9/2011, CrySyS Lab tại Hungary đã công bố
phát hiện ra Duqu. Chúng tôi không biết liệu những người
đứng sau Duqu đã có chuyển sang Gauss khi đó hay không
nhưng chúng tôi hoàn toàn chắc chắn chúng có liên quan
tới nhau: Gauss có liên quan tới Flame, Flame có liên quan
tới Stuxnet, Stuxnet có liên quan tới Duqu. Vì thế, Gauss có
liên quan tới Duqu.
Kể từ tháng 5/2012,
hơn 2.500 lây nhiễm đã được hệ thống an ninh dựa vào
đám mây của Kaspersky Lab ghi nhận, với tổng số các nạn
nhân của Gauss được ước tính có lẽ là khoảng hàng
chục ngàn.
Hạ tầng chỉ huy và
kiểm soát của Gauss (C&C) đã bị sập vào tháng
7/2012. Hiện tại, phần mềm độc hại này đang ở trong
tình trạng ngủ đông, chờ cho các máy chủ C&C của
nó hoạt động trở lại.
When
was Gauss created and how long has it been operational? Is it still
active?
Based
on our analysis and the timestamps from the collected malware
modules, we believe the Gauss operation started sometime around
August-September 2011. This is particularly interesting because
around September 2011, the CrySyS Lab in Hungary announced the
discovery of Duqu. We do not know if the people behind Duqu switched
to Gauss at that time but we are quite sure they are related: Gauss
is related to Flame, Flame is related to Stuxnet, Stuxnet is related
to Duqu. Hence, Gauss is related to Duqu.
Since
late May 2012, more than 2,500 infections were recorded by Kaspersky
Lab’s cloud-based security system, with the estimated total number
of victims of Gauss probably being in tens of thousands.
The
Gauss command-and-control (C&C) infrastructure was shutdown in
July 2012. At the moment, the malware is in a dormant state, waiting
for its C&C servers to become active again.
Cơ
chế gây lây nhiễm của phần mềm độc hại này là thế
nào? Nó có các khả năng tự động nhân bản (sâu) hay
không?
Giống hệt như trường
hợp của Flame, chúng tôi còn chưa biết các nạn nhân bị
lây nhiễm với Gauss như thế nào. Có khả năng cơ chế
đó là y hệt như của Flame và chúng tôi còn chưa tìm ra
được nó; hoặc nó có thể đang sử dụng một phương
pháp khác. Chúng tôi còn chưa thấy bất kỳ khả năng tự
lan truyền nào trong Gauss, nhưng số lượng lớn các nạn
nhân mà Flame có thể chỉ ra một tính năng lan truyền
chậm. Điều này có thể được triển khai bằng một
trình cài cắm mà chúng tôi còn chưa thấy.
Điều quan trọng phải
nhớ là Gauss gây lây nhiễm cho các đầu USB bằng một
thành phần ăn cắp dữ liệu mà lợi dụng chỗ bị tổn
thương y hệt .LNK (CVE-2010-2568) được Stuxnet và Flame khai
thác. Cùng lúc, quá trình gây lây nhiễm cho các đầu USB
là thông minh và hiệu quả hơn. Gauss có khả năng “gỡ
bỏ việc lây nhiễm” ổ đĩa theo những hoàn cảnh tình
huống nhất định, và sử dụng các phương tiện có khả
năng tháo lắp được để lưu giữ các thông tin thu thập
được trong một tệp ẩn. Khả năng thu thập thông tin
trong một tệp ẩn trong các ổ USB cũng tồn tại trong
Flame. Một thành phần thú vị khác của Gauss là sự cài
đặt một phông tùy biến gọi là Palida Narrow. Mục đích
của sự cài đặt phông này hiện còn chưa rõ.
What
is the infection mechanism for this malware? Does it have
self-replicating (worm) capabilities?
Just
like in the case of Flame, we still do not know how victims get
infected with Gauss. It is possible the mechanism is the same as
Flame and we haven’t found it yet; or it may be using a different
method. We have not seen any self-spreading (worm) capabilities in
Gauss, but the higher number of victims than Flame might indicate a
slow spreading feature. This might be implemented by a plugin we have
not yet seen.
It’s
important to mention that Gauss infects USB sticks with a data
stealing component that takes advantage of the same .LNK
(CVE-2010-2568) vulnerability exploited by Stuxnet and Flame. At the
same time, the process of infecting USB sticks is more intelligent
and efficient. Gauss is capable of “disinfecting” the drive under
certain circumstances, and uses the removable media to store
collected information in a hidden file. The ability to collect
information in a hidden file on USB drives exists in Flame as well.
Another interesting component of Gauss is the installation of a
custom font called Palida Narrow. The purpose of this font
installation is currently unknown.
Có
những chỗ bị tổn thương ngày số 0 (zero-day
vulnerabilities) nào không?
Chúng tôi còn chưa
thấy bất kỳ lỗi ngày số 0 nào hoặc những khai thác
dạng của Flame theo “chế độ ông Trời” (God mode)
trong Gauss. Tuy nhiên, vì cơ chế gây lây nhiễm còn chưa
rõ, có khả năng phân biệt được rằng một khai thác
còn chưa rõ đang được sử dụng.
Nên được lưu ý
rằng đa số các nạn nhân của Gauss chạy Windows 7, nó sẽ
bị hỏng đối với khai thác .LNK được Stuxnet sử dụng.
Vì thế, chúng tôi không thể khẳng định chắc chắn
rằng không có các lỗi ngày số 0 trong Gauss.
Có
bất kỳ tải trọng đặc biệt hay bom thời gian nào trong
Gauss hay không?
Có. Tải trọng ăn
cắp dữ liệu có trong USB của Gauss gồm vài phần được
mã hóa mà sẽ được giải mã bằng một khóa có nguồn
gốc từ các thuộc tính nhất định của hệ thống.
Những phần này được mã hóa bằng một chuỗi môi
trường và tên của thư mục trong %PROGRAMFILES%. Khóa RC4
và các nội dung của các phần đó còn chưa được rõ -
nên chúng tôi không biết mục đích của tải trọng ẩn
dấu này.
Chúng tôi vẫn còn
đang phân tích các nội dung của các khối bí ẩn được
mã hóa đó và đang cố gắng phá được sơ đồ mã hóa.
Nếu bạn là nhà mật mã học cấp thế giới trong thách
thức này, xin gửi cho chúng tôi một thư điện tử tới
theflame@kaspersky.com.
Are
there any zero-day (or known) vulnerabilities included?
We
have not (yet) found any zero-days or “God mode” Flame-style
exploits in Gauss. However, because the infection mechanism is not
yet known, there is the distinct possibility that an unknown exploit
is being used.
It
should be noted that the vast majority of Gauss victims run Windows
7, which should be prone to the .LNK exploit used by Stuxnet.
Therefore, we cannot confirm for sure that there are no zero-days in
Gauss.
Is
there any special payload or time bomb inside Gauss?
Yes,
there is. Gauss’ USB data stealing payload contains several
encrypted sections which are decrypted with a key derived from
certain system properties. These sections are encrypted with an RC4
key derived from a MD5 hash performed 10000 times on a combination of
a “%PATH%” environment string and the name of the directory in
%PROGRAMFILES%. The RC4 key and the contents of these sections are
not yet known - so we do not know the purpose of this hidden payload.
We
are still analyzing the contents of these mysterious encrypted blocks
and trying to break the encryption scheme. If you are world class
cryptographer interested in this challenge, please drop us an e-mail
at theflame@kaspersky.com
Sự
khác biệt này với Trojan cửa hậu thông thường là gì?
Liệu nó có tạo ra những điều đặc biệt mới hay thú
vị hay không?
Sau
khi xem xét Stuxnet, Duqu và Flame, chúng tôi có thể nói với
sự chắc chắn mức độ cao rằng Gauss tới từ cùng 'nhà
máy' hoặc 'các nhà máy' y hệt. Tất cả các bộ công cụ
tấn công đó đại diện cho sự cao cấp của các hoạt
động gián điệp KGM và chiến tranh KGM được nhà nước
bảo trợ, xác định khá nhiều cho ý nghĩa của “phần
mềm độc hại tinh vi phức tạp”.
Kiến
trúc phân thành các module một cách cao độ của Gauss gợi
cho chúng ta nhớ về Duqu - nó sử dụng một thiết lập
đăng ký được mã hóa để lưu giữ các thông tin trong
đó các trình cài cắm sẽ tải lên; được thiết kế để
nằm đằng sau các bộ dò tìm radar, tránh các chương
trình an ninh và giám sát và thực hiện các chức năng
giám sát hệ thống một cách chi tiết cao độ. Bổ sung
thêm, Gauss có chứa một tải trọng cho 64 bit, cùng với
các trình cài cắm trình duyệt tương thích với Firefox
được thiết kế để ăn cắp và giám sát các dữ liệu
từ các khách hàng của vài ngân hàng ở Li băng: Bank of
Beirut, EBLF, BlomBank, ByblosBank, FransaBank và Credit Libanais.
Hơn nữa, nó nhằm vào những người sử dụng của
Citibank và PayPal.
Đây thực sự là lần
đầu tiên chúng tôi đã quan sát thấy một chiến dịch
gián điệp KGM của nhà nước quốc gia với một thành
phần Trojan ngân hàng. Không rõ liệu những người vận
hành có thực sự đang chuyển tiền từ các tài khoản
ngân hàng của các nạn nhân hay liệu họ đơn giản có
đang giám sát các nguồn tài chính / cấp vốn cho các mục
đích đặc biệt hay không.
Gauss phức tạp thế
nào? Nó có bất kỳ đặc tính, chức năng hay hành vi đáng
chú ý nào mà phân biệt nó với các phần mềm gián điệp
hay các Trojan ăn cắp thông tin thường thấy hay không?
So sánh với Flame, thì
Gauss là ít phức tạp hơn. Nó thiếu kiến trúc theo module
dựa vào LUA nhưng nó lại rất mềm dẻo. So với các
Trojan ngân hàng khác, thì nó dường như được tinh chỉnh
tốt, theo nghĩa là nó không nhằm vào hàng trăm định chế
tài chính, mà vào một danh sách có lựa chọn các định
chế tài chính trực tuyến.
How
is this different from the typical backdoor Trojan? Does it do
specific things that are new or interesting?
After
looking at Stuxnet, Duqu and Flame, we can say with a high degree of
certainty that Gauss comes from the same “factory” or
“factories.” All these attack toolkits represent the high end of
nation-state sponsored cyber-espionage and cyberwar operations,
pretty much defining the meaning of “sophisticated malware.”
Gauss’
highly modular architecture reminds us of Duqu -- it uses an
encrypted registry setting to store information on which plugins to
load; is designed to stay under the radar, avoid security and
monitoring programs and performs highly detailed system monitoring
functions. In addition, Gauss contains a 64-bit payload, together
with Firefox-compatible browser plugins designed to steal and monitor
data from the clients of several Lebanese banks: Bank of Beirut,
EBLF, BlomBank, ByblosBank, FransaBank and Credit Libanais. In
addition, it targets users of Citibank and PayPal.
This
is actually the first time we’ve observed a nation-state
cyber-espionage campaign with a banking Trojan component. It is not
known whether the operators are actually transferring funds from the
victim’s bank accounts or whether they are simply monitoring
finance/funding sources for specific targets.
How
sophisticated is Gauss? Does it have any notable characteristics,
functions or behaviors that separate it from common spyware or
info-stealing Trojans?
Compared
to Flame, Gauss is less sophisticated. It lacks the modular LUA-based
architecture but it is nevertheless quite flexible. Compared to other
banking Trojans, it appears to have been fine-tuned, in the sense
that it doesn’t target hundreds of financial institutions, but a
select list of online banking
institutions.
Điều
gì là độc nhất vô nhị về Gauss, hoặc về kỹ thuật
hay vận hành, mà phân biệt được nó với Flame, Duqu và
Stuxnet?
Đặc
tính chủ chốt của Gauss là chức năng Trojan ngân hàng
trực tuyến. Khả năng ăn cắp các ủy quyền ngân hàng
trực tuyến là thứ gì đó chúng ta chưa từng thấy trước
đó trong các cuộc tấn công của các phần mềm độc hại
do nhà nước bảo trợ.
Có
bao nhiêu máy tính bị lây nhiễm? Có bao nhiêu nạn nhân
được thấy?
Mạng
An ninh dựa vào đám mây của Kaspersky (KSN) đã ghi nhận
được hơn 2.500 máy bị lây nhiễm. Con số này thấp hơn
so với của Stuxnet nhưng cao hơn đáng kể so với các
trường hợp của Flame và Duqu.
Tổng số các lây
nhiễm mà chúng tôi đã dò tìm thấy có thể trong thực
tế chỉ là một phần nhỏ của hàng ngàn các lây nhiễm,
vì các số thống kê của chúng tôi chỉ đề cập tới
những người sử dụng các sản phẩm của Kaspersky Lab.
What
is unique about Gauss, either technically or operationally, that
differentiates it from Flame, Duqu and Stuxnet?
The
key characteristic of Gauss is the online banking Trojan
functionality. The ability to steal online banking credentials is
something we haven’t previously seen in nation-state sponsored
malware attacks.
How
many infected computers are there? How many victims have you seen?
The cloud-based Kaspersky Security Network (KSN) has recorded
more than 2,500 infected machines. This is lower than Stuxnet but
significantly higher than in the Flame and Duqu cases.
The
overall number of infections that we’ve detected could in reality
just be a small portion of tens of thousands of infections, since our
statistics only cover users of Kaspersky Lab products.
Geographical
Comparison of Infected Machines for Duqu, Flame and Gauss
Các
nạn nhân nằm ở đâu (theo phân bố địa lý)?
Đa số các nạn nhân
của Gauss nằm ở Li băng. Cũng có các nạn nhân tại
Israel và Palestin. Bổ sung thêm, có một ít nạn nhân tại
Mỹ , UAE, Qatar, Jordan, Đức và Ai Cập.
Where
are the victims located (geographic distribution)?
The
vast majority of Gauss victims are located in Lebanon. There are also
victims in Israel and Palestine. In addition to these, there are a
few victims in the U.S., UAE, Qatar, Jordan, Germany and Egypt.
3 quốc gia hàng đầu
bị lây nhiễm Gauss
Top
Three Countries Infected with Gauss
Gauss
có nhằm vào bất kỳ dạng công nghiệp cụ thể nào
không?
Gauss không nhằm vào
các doanh nghiệp hoặc một nền công nghiệp cụ thể nào.
Nó có thể được mô tả tốt nhất như một chiến dịch
trinh sát KGM cao cấp chống lại các cá nhân bị nhắm
đích / đặc thù.
Liệu
đây có là một cuộc tấn công do nhà nước bảo trợ
hay không?
Đúng, có đủ bằng
chứng rằng điều này có liên quan chặt chẽ tới Flame
và Stuxent, mà chúng là các cuộc tấn công do nhà nước
bảo trợ. Chúng ta có bằng chứng rằng Gauss đã được
tạo ra từ cùng y hệt 'nhà máy' (hoặc các nhà máy) mà
đã sản xuất ra Stuxnet, Duqu và Flame.
Bằng việc xem xét
Flame, Gauss, Stuxnet và Duqu, chúng ta có thể vẽ ra được
“bức tranh lớn” sau về mối quan hệ giữa chúng:
Is
Gauss targeting any specific type of industry?
Gauss
doesn’t target businesses or a specific industry. It can best be
described as a high-end cyber-surveillance operation against
specific/targeted individuals.
Is
this a nation-state sponsored attack?
Yes,
there is enough evidence that this is closely related to Flame and
Stuxnet, which are nation-state sponsored attacks. We have evidence
that Gauss was created by the same “factory” (or factories) that
produced Stuxnet, Duqu and Flame.
By
looking at Flame, Gauss, Stuxnet and Duqu, we can draw the following
“big picture” of the relationship between them:
Có
bao nhiêu máy chủ chỉ huy và kiểm soát? Bạn có tiến
hành phân tích pháp lý các máy chủ đó không?
Trong quá trình phân
tích Gauss, chúng tôi đã xác định vài miền và 5 máy chủ
chỉ huy - kiểm soát khác nhau đang được sử dụng để
tìm lấy các dữ liệu được thu thập từ các máy tính
bị lây nhiễm.
Đây cũng là lần đầu
tiên chúng tôi quan sát thấy sử dụng “Round-robin
DNS” trong các họ phần mềm độc hại đó, có khả
năng chỉ ra lượng dữ liệu cao hơn nhiều đã đang được
xử lý. Round-robin DNS hoặc việc cân bằng tải DNS là một
kỹ thuật được sử dụng để phân phối các tải trọng
cao giữa các máy chủ web khác nhau.
Chúng tôi hiện vẫn
còn đang điều tra hạ tầng C&C của Gauss. Nhiều chi
tiết hơn có sẵn trong tài
liệu kỹ thuật đầy đủ.
Ông
có đào hố chôn các máy chủ C&C đó không?
Chúng tôi chưa. Chúng
tôi bây giờ đang trong quá trình làm việc với vài tổ
chức để điều tra các máy chủ C&C đó.
Kích
cỡ của Gauss thế nào? Có bao nhiêu module?
Module “tàu mẹ”
của Gauss hơn 200KB một chút. Nó có khả năng tải các
trình cài cắm khác cùng tới khoảng 2MB mã nguồn. Điều
này là vào khoảng 1/3 kích cỡ module chính mssecmgr.ocx
của Flame. Tất nhiên, có thể có những module mà chúng
tôi còn chưa phát hiện ra - được sử dụng trong các
vùng địa lý khác hoặc trong các trường hợp cụ thể
khác.
How
many command and control servers are there? Did you do forensic
analysis of these servers?
In
the process of analyzing Gauss, we identified several
command-and-control domains and 5 different servers being used to
retrieve data harvested from infected machines.
This
is also the first time we observe the use of “Round-robin
DNS” in these malware families, possibly indicating the much
higher volume of data were being processed. Round-robin DNS or DNS
Balancing is a technique used to distribute high workloads between
different web servers.
We
are currently still investigating the Gauss C2 infrastructure. More
details are available in the
full technical
paper.
Did
you sinkhole the command and control servers?
We
have not. We are now in the process of working with several
organizations to investigate the C2 servers.
What
is the size of Gauss? How many modules does it have?
The
Gauss “mother-ship” module is a little over 200K. It has the
ability to load other plugins which altogether count for about 2MB of
code. This is about one-third of the main Flame module
mssecmgr.ocx.Of course, there may be modules which we haven’t
discovered yet - used in other geographical regions or in other
specific cases.
Kaspersky
Lab có dò tìm ra được phần mềm độc hại này không?
Làm thế nào tôi biết được nếu máy tính của tôi bị
lây nhiễm?
Có,
Kaspersky Lab dò tìm ra được phần mềm độc hại này như
là Trojan. Win32.Gauss.
Kaspersky
Lab có đang làm việc với bất kỳ tổ chức chính phủ
nào hay nhóm quốc tế nào như là một phần của điều
tra và các nỗ lực giải lây nhiễm hay không?
Kaspersky Lab đang làm
việc chặt chẽ với ITU để thông báo cho các quốc gia
bị lây nhiễm và hỗ trợ giải nhiễm.
Kaspersky
Lab đã liên hệ với các nạn nhân bị lây nhiễm Gauss
chưa?
Chúng tôi không có
thông tin để xác định các nạn nhân và khả năng để
thông báo cho họ. Thay vào đó, chúng tôi đang đưa ra các
định nghĩa dò tìm và loại bỏ và chúng tôi đang làm
việc với các cơ quan tuân thủ pháp luật, các CERT và
các tổ chức quốc tế khác để phát ra những cảnh báo
về các lây nhiễm đó.
Vì
sao nó tập trung vào việc duyệt các ủy quyền ngân hàng,
lịch sử, các thông tin card mạng, giao diện mạng và
BIOS? Điều quan trọng của mối quan tâm này là gì?
Chúng tôi không có
câu trả lời nhất quyết nào cho điều này. Giả thiết
là những kẻ tấn công có quan tâm trong việc có được
các hồ sơ nạn nhân và các máy tính của họ. Các ủy
quyền ngân hàng, ví dụ, có thể được sử dụng để
giám sát cân bằng thu chi trong các tài khoản của nạn
nhân - hoặc, chúng có thể được sử dụng để trực
tiếp ăn cắp tiền. Chúng tôi tin tưởng lý thuyết việc
Gauss được sử dụng để ăn cắp tiền được sử dụng
để cung cấp tài chính cho các dự án khác như Flame và
Stuxnet là không hợp với ý tưởng của các cuộc tấn
công mà nhà nước bảo trợ.
Vì
sao những kẻ tấn công lại nhằm vào các ủy quyền ngân
hàng? Liệu họ có sử dụng nó để ăn cắp tiền hay
giám sát các giao dịch bên trong các tài khoản hay không?
Điều này còn chưa
rõ. Tuy nhiên, khó để tin rằng một nhà nước quốc gia
có thể dựa vào những kỹ thuật như vậy để cung cấp
tài chính cho hoạt động gián điệp KGM và chiến tranh
KGM được.
Does
Kaspersky Lab detect this malware? How do I know if my machine is
infected?
Yes,
Kaspersky Lab detects this malware as Trojan.Win32.Gauss
Is
Kaspersky Lab working with any government organizations or
international groups as part of the investigation and disinfection
efforts?
Kaspersky
Lab is working closely with the International Telecommunication Union
(ITU) to notify affected countries and to assist with disinfection.
Did
Kaspersky Lab contact the victims infected with Gauss?
We
do not have information to identify the victims and the capability to
notify them. Instead, we are releasing detection and removal
definitions and we are working with law enforcement agencies, CERTs
and other international organizations to broadcast warnings about the
infections.
Why
was it focusing on browsing history, banking credentials, BIOS and
network card/interface information? What is the significance or
interest?
We
do not have a definitive answer for this. The presumption is that the
attackers are interested in profiling the victims and their
computers. Banking credentials, for instance, can be used to monitor
the balance on the victim’s accounts - or, they can be used to
directly steal money. We believe the theory that Gauss is used to
steal money which are used to finance other projects such as Flame
and Stuxnet is not compatible with the idea of nation-state sponsored
attacks.
Why
were the attackers targeting banking credentials? Were they using it
to steal money or to monitor transactions inside accounts?
This
is unknown. However, it is hard to believe that a nation state would
rely on such techniques to finance a cyber-war/cyber-espionage
operation.
Các
dạng dữ liệu nào đã bị trích lọc?
Hạ tầng của Gaus
từng bị đánh sập trước khi chúng tôi có được cơ
hội phân tích một lây nhiễm sống động và thấy chính
xác được có bao nhiêu và dạng dữ liệu nào đã bị ăn
cắp. Vì thế, những nghiên cứu của chúng tôi thuần túy
dựa vào việc phân tích mã nguồn.
Các dữ liệu được
chi tiết hóa trong máy bị lây nhiễm cũng được gửi tới
những kẻ tấn công, bao gồm những đặc thù của các
giao diện mạng, các ổ đĩa và thậm chí thông tin về
BIOS của máy tính. Module Gauss cũng có khả năng ăn cắp
các ủy quyền truy cập đối với một loạt các hệ
thống và các phương pháp thanh toán của ngân hàng trực
tuyến.
Điều quan trọng để
chỉ ra rằng hạ tầng C&C của Gauss đang sử dụng
Round - Robin DNS - nghĩa là, có thể đưa ra một ý tưởng
về lượng dữ liệu bị các trình cài cắm của Gauss ăn
cắp.
Liệu
có thành phần theo thời gian sống TTL (Time - to – Live)
được xây dựng sẵn giống như của Flame và Duqu hay
không?
Khi Gauss gây lây
nhiemx cho một bộ nhớ USB, nó thiết lập một cờ nhất
định thành “30”. Cờ TTL này tăng từ từ từng chút
một mỗi lần tải trọng được thực hiện từ bộ nhớ
USB đó. Một khi nó đạt tới 0, chì tải trọng ăn cắp
dữ liệu sẽ tự xóa khỏi đầu USB đó. Điều này chắc
chắn là các đầu USB bị lây nhiễm Gauss sẽ không sống
sót được. Nó có thể đủ lâu đối với các kết quả
trong dò tìm.
Ngôn
ngữ lập trình nào được sử dụng? LUA? OOC?
Giống hệt như Flame,
Gauss được lập trình bằng C++. Chúng chia sẻ khá nhiều
mã nguồn, có lẽ các thư liện mức thấp được sử
dụng trong các dự án đó. Các thư viện chung này làm
việc với các chuỗi và các tác vụ điều khiển dữ
liệu khác. Chúng tôi chưa thấy bất kỳ mã nguồn LUA nào
trong Gauss.
Đâu
là sự khác biệt trong sự truyền giống giữa các mạng
bên trong Gauss và Flame?
Một trong những cơ
chế lan truyền phổ biến của Flame là bằng việc thủ
vai Windows Update (chương trình cập nhật của Windows) và
thực hiện một cuộc tấn công người-giữa-đường
chống lại các nạn nhân. Chúng tôi còn chưa thấy bất
kỳ mã nguồn nào như vậy trong Gauss, chúng tôi cũng chưa
xác định được một cơ chế lan truyền nào trong mạng.
Chúng tôi vẫn còn đang nghiên cứu tình huống và sẽ cập
nhật hỏi đáp thường gặp này với những phát hiện
tiếp theo.
What
kinds of data was being exfiltrated?
The
Gauss infrastructure was shut down before we had the chance to
analyze a live infection and to see exactly how much and what kind of
data was stolen. So, our observations are purely based on analyzing
the code.
Detailed
data on the infected machine is also sent to the attackers, including
specifics of network interfaces, computer’s drives and even
information about BIOS. The Gauss module is also capable of stealing
access credentials for various online banking systems and payment
methods.
It’s
important to point out that the Gauss C2 infrastructure is using
Round Robin DNS - meaning, they were ready to handle large amounts of
traffic from possibly tens of thousands of victims. This can offer an
idea on the amount of data stolen by Gauss’ plugins.
Is
there a built in Time-to-Live (TTL) component like Flame and Duqu
had?
When
Gauss infects an USB memory stick, it sets a certain flag to “30”.
This TTL (time to live) flag is decremented every time the payload is
executed from the stick. Once it reaches 0, the data stealing payload
cleans itself from the USB stick. This makes sure that sticks with
Gauss infections do not survive ItW for long enough to results in
detection.
What
programming language was used? LUA? OOC?
Just
like Flame, Gauss is programmed in C++. They share a fair deal of
code, probably low level libraries which are used in both projects.
These common libraries deal with strings and other data manipulation
tasks. We did not find any LUA code in Gauss.
What
is the difference in the propagation between Gauss and Flame inside
networks?
One
of the known spreading mechanisms of Flame was by impersonating
Windows Update and performing a man-in-the-middle attack against the
victims. We haven’t found any such code in Gauss yet, neither we
have identified a local network spreading mechanism. We are still
investigating the situation and will update the FAQ with further
findings.
Liệu
các máy chủ C&C đã có kết nối tới bất kỳ máy
chủ C&C nào của Flame hoặc liệu Gauss có hạ tầng
C&C của riêng nó hay không?
Gauss
đã sử dụng một hạ tầng C&C riêng biệt với Flame.
Ví dụ, Flame đã sử dụng khoảng 100 miền cho các C&C
của nó, trong khi Gauss sử dụng chỉ nửa tá. Đây là một
so sánh các hạ tầng C&C của Gauss và Flame:
Flame
Gauss
Đặt chỗ - Hosting
VPS chạy Debian Linux
VPS chạy Debian Linux
Services available
SSH, HTTP, HTTPS
SSH, HTTP, HTTPS
Chứng chỉ SSL
'localhost.localdomain' - tự ký
'localhost.localdomain' - tự ký
Thông tin đăng ký
Các tên giả
Các tên giả
Địa chỉ những người đăng ký
Các khách sạn, cửa hàng
Các khách sạn, cửa hàng
Giao thức giao thông của C&C
HTTPS
HTTPS
Mã hóa giao thông của C&C
Không
XOR 0xACDC
Các tên script của C&C
cgi-bin/counter.cgi, common/index.php
userhome.php
Số lượng miền C&C
~100
6
Số lượng các nhận diện giả được
sử dụng để đăng ký các miền
~20
3
Did
the command and control servers connect to any of Flame’s or does
Gauss have its own C2 infrastructure?
Gauss
used a separate C2 infrastructure from Flame. For instance, Flame
used about 100 domains for its C2s, while Gauss uses only half a
dozen. Here’s a comparison and Gauss and Flame’s C2
infrastructures:
Flame
Gauss
Hosting
VPS running
Debian Linux
VPS running
Debian Linux
Services
available
SSH, HTTP,
HTTPS
SSH, HTTP,
HTTPS
SSL
certificate
'localhost.localdomain'
- self signed
'localhost.localdomain'
- self signed
Registrant
info
Fake names
Fake names
Address of
registrants
Hotels, shops
Hotels, shops
C2 traffic
protocol
HTTPS
HTTPS
C2 traffic
encryption
None
XOR 0xACDC
C2 script
names
cgi-bin/counter.cgi,
common/index.php
userhome.php
Number of C2
domains
~100
6
Number of fake
identities used to register domains
~20
3
Tôi nên làm gì nếu
tôi thấy một sự lây nhiễm và tôi có thiện chí đóng
góp cho nghiên cứu của bạn bằng việc cung cấp những
mẫu ví dụ về phần mềm độc hại này?
Xin hãy liên hệ với
chúng tôi tại địa chỉ “theflame@kaspersky.com”
mà chúng tôi đã thiết lập trước đó cho các nạn nhân
của các cuộc tấn công KGM đó.
Bạn có thể tải về
phiên bản PDF của tài liệu kỹ thuật đầy đủ ở
đây.
What
should I do if I find an infection and am willing to contribute to
your research by providing malware samples?
Please
contact us at the address “theflame@kaspersky.com”
which we have previously setup for victims of these cyber attacks.
You
can download PDF version of full technical paper here.
Dịch: Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.