Chủ Nhật, 12 tháng 8, 2012

Gauss: Trinh sát KGM của nhà nước quốc gia gặp Trojan ngân hàng.


Gauss: Nation-state cyber-surveillance meets banking Trojan
GReAT
Kaspersky Lab Expert
Posted August 09, 13:00  GMT
Bài được đưa lên Internet ngày: 09/08/2012
Lời người dịch: Bổ sung vào kho vũ khí KGM với những Stuxnet, Duqu và Flame, lần này là Gauss, “Gauss là một Trojan ngân hàng do nhà nước bảo trợ mang một đầu đạn hạt nhân với sứ mệnh chưa được rõ”. Ngoài việc ăn cắp các dạng dữ liệu khác nhau từ các máy Windows bị lây nhiễm, nó cũng còn bao gồm trọng tải được mã hóa mà sẽ được kích hoạt trong các cấu hình hệ thống đặc thù nhất định. Điều khác biệt, đây là lần đầu tiên, một vũ khí KGM do nhà nước bảo trợ, lại dành cho việc theo dõi, giám sát, ăn cắp thông tin ủy quyền đăng nhập của các tài khoản ngân hàng trực tuyến. Mục đích ăn cắp tiền từ các tài khoản đó được loại trừ, vì nó không xứng tầm của một vũ khí nhà nước bảo trợ. Nó lây nhiễm cho hơn 2.500 máy tính cá nhân, chủ yếu ở Li băng, Israel và các vùng lãnh thổ Palestin. Giống như Stuxnet, Duqu hay Flame, virus Gauss đương nhiên và mặc định dành cho Windows. Bạn có thể tải về tài liệu kỹ thuật ở đây.
Introduction
Giới thiệu
Gauss là chiến dịch trinh sát KGM gần đây nhất trong cuộc trường chinh của Stuxnet, Duqu và Flame.
Nó có lẽ được tạo ra vào giữa năm 2011 và được triển khai lần đầu tiên vào tháng 08-09/2011.
Gauss đã được phát hiện trong quá trình nỗ lực đang diễn ra được Liên đoàn Viễn thông Quốc tế ITU (International Telecommunications Union) khởi xướng, sau khi phát hiện ra Flame. Nỗ lực này nhằm vào việc giảm nhẹ những rủi ro mà các vũ khí KGM đặt ra, là một thành phần chủ chốt trong việc đạt được toàn bộ mục tiêu KGM hòa bình toàn cầu.
Trong 140 trang hoặc ít hơn, “Gauss là một Trojan ngân hàng do nhà nước bảo trợ mang một đầu đạn hạt nhân với sứ mệnh chưa được rõ”. Ngoài việc ăn cắp các dạng dữ liệu khác nhau từ các máy Windows bị lây nhiễm, nó cũng còn bao gồm trọng tải được mã hóa mà sẽ được kích hoạt trong các cấu hình hệ thống đặc thù nhất định.
Giống hệt như Duqu đã dựa vào nền tảng “Tilded” trong đó Stuxnet đã được phát triển, Gauss dựa vào nền tảng của “Flame”. Nó chia sẻ một số chức năng với Flame, như các thủ tục con gây lây nhiễm cho các đầu USB.
Trong phần các câu hỏi - đáp thường gặp này, chúng tôi trả lời một số câu hỏi chính về chiến dịch này. Bổ sung thêm vào điều này, chúng ta cũng đưa ra một tài liệu kỹ thuật đầy đủ (phiên bản HTMLPDF) về các chức năng của phần mềm độc hại này.
Gauss is the most recent cyber-surveillance operation in the Stuxnet, Duqu and Flame saga.
It was probably created in mid-2011 and deployed for the first time in August-September 2011.
Gauss was discovered during the course of the ongoing effort initiated by the International Telecommunications Union (ITU), following the discovery of Flame. The effort is aimed at mitigating the risks posed by cyber-weapons, which is a key component in achieving the overall objective of global cyber-peace.
In 140 chars or less, “Gauss is a nation state sponsored banking Trojan which carries a warhead of unknown designation”. Besides stealing various kinds of data from infected Windows machines, it also includes an unknown, encrypted payload which is activated on certain specific system configurations.
Just like Duqu was based on the “Tilded” platform on which Stuxnet was developed, Gauss is based on the “Flame” platform. It shares some functionalities with Flame, such as the USB infection subroutines.
In this FAQ, we answer some of the main questions about this operation. In addition to this, we are also releasing a full technical paper (HTML version and PDF version) about the malware’s functionalities.
Gauss là gì? Tên của nó từ đâu mà tới?
Gauss là một bộ công cụ gián điệp KGM phức tạp được chính một vài tác nhân đứng đằng sau nền tảng phần mềm độc hại Flame tạo ra. Nó được phân chia cao độ thành các module và hỗ trợ các chức năng mới có thể được triển khai từ xa từ những người vận hành ở dạng các trình cài cắm. Các trình cài cắm được biết hiện hành thực hiện các chức năng sau:
  • Chặn lấy các mật khẩu và cookie của trình duyệt.
  • Thu thập và gửi các dữ liệu cấu hình hệ thống cho những kẻ tấn công.
  • Gây lây nhiễm cho các đầu USB bằng một module ăn cắp dữ liệu.
  • Liệt kê nội dung các ổ đĩa và thư mục của hệ thống.
  • Ăn cắp các thông tin ủy nhiệm đối với hàng loạt các hệ thống ngân hàng tại Trung Đông.
  • Thâm nhập thông tin các tài khoản đối với mạng xã hội, các tài khoản thư điện tử và chat.
Các module có các tên nội bộ dường như để tưởng nhớ tới các nhà toán học và triết học nổi tiếng như Kurt Godel, Johann Carl Friedrich GaussJoseph-Louis Lagrange.
Module có tên “Gauss” là quan trọng nhất trong phần mềm độc hại này khi mà nó triển khai các khả năng ăn cắp dữ liệu và chúng tôi vì thế đã đặt tên cho bộ công cụ của phần mềm này theo thành phần quan trọng nhất của nó.
What is Gauss? Where does the name come from?
Gauss is a complex cyber-espionage toolkit created by the same actors behind the Flame malware platform. It is highly modular and supports new functions which can be deployed remotely by the operators in the form of plugins. The currently known plugins perform the following functions:
  • Intercept browser cookies and passwords.
  • Harvest and send system configuration data to attackers.
  • Infect USB sticks with a data stealing module.
  • List the content of the system drives and folders
  • Steal credentials for various banking systems in the Middle East.
  • Hijack account information for social network, email and IM accounts.
The modules have internal names which appear to pay tribute to famous mathematicians and philosophers, such as Kurt Godel, Johann Carl Friedrich Gauss and Joseph-Louis Lagrange.
The module named “Gauss” is the most important in the malware as it implements the data stealing capabilities and we have therefore named the malware toolkit by this most important component.
Kiến trúc của Gauss
Bổ sung thêm, các tác giả đã quên loại bỏ các thông tin gỡ rối các lỗi từ một vài ví dụ của Gauss, có chứa các đường dẫn nơi mà dự án được đặt. Các đường dẫn đó là:


Biến thể
Đường dẫn tới các tệp của dự án
Tháng 08/2011
d:\projects\gauss
Tháng 10/2011
d:\projects\gauss_for_macis_2
Th 12/2011-01/2012
c:\documents and settings\flamer\desktop\gauss_white_1
Một người lưu ý ngay lập tức “projects\gauss” (các dự án\gauss).
Về các phần “trắng” - chúng tôi tin tưởng đây là một tham chiếu tới Li băng, quốc gai với hầu hết các lây nhiễm của Gauss. Theo Wikipedia, “Cái tên Li băng tới từ gốc LBN của ngôn ngữ Semit, nghĩa là “trắng”, có khả năng một tham chiếu tới đỉnh băng tuyết Núi của Li băng”.
Gauss đã được phát hiện như thế nào? Và khi nào?
Gauss đã được phát hiện trong quá trình điều tra đang diễn ra được Liên đoàn Viễn thông Quốc tế ITU ( International Telecommunication Union) khởi xướng, là một phần của nỗ lực bền vững làm giảm nhẹ những rủi ro do các mối đe dọa KGM đang nổi lên đặt ra, và để đảm bảo hòa bình KGM.
Như một phần của nỗ lực đó, chúng tôi đã tiếp tục phân tích các thành phần còn chưa rõ của Flame để xác định liệu họ có phát hiện ra những liên can, những điều tương tự hay manh mối nào mà các chương trình độc hại mới đã từng hoạt động tích cực hay không.
Trong quá trình phân tích, chúng tôi đã phát hiện ra một module gián điệp KGM riêng rẽ mà nó dường như tương tự như Flame, nhưng với sự phân phối địa lý khác. Ban đầu, chúng tôi đã không chú ý nhiều tới nó vì nó từng bị nhiều sản phẩm chống phần mềm độc hại tìm ra. Tuy nhiên, chúng tôi đã phát hiện ra sau đó vài module nữa, bao gồm một số module đã không được dò tìm ra, và dựa vào một xem xét kỹ lưỡng, chúng tôi đã lưu ý thấy những sự tương đồng rõ ràng với Flame. Tiếp sau các phân tích chi tiết của chúng tôi hồi tháng 6 và 7/2012, chúng tôi đã khẳng định gốc gác của mã nguồn và các tác giả là y hệt như với Flame.
Gauss Architecture
In addition, the authors forgot to remove debugging information from some of the Gauss samples, which contain the paths where the project resides. The paths are:

Variant
Path to project files
August 2011
d:\projects\gauss
October 2011
d:\projects\gauss_for_macis_2
Dec 2011-Jan 2012
c:\documents and settings\flamer\desktop\gauss_white_1
One immediately notices “projects\gauss”.
In regards to the “white” part - we believe this is a reference to Lebanon, the country with the most Gauss infections. According to Wikipedia, “The name Lebanon comes from the Semitic root LBN, meaning "white", likely a reference to the snow-capped Mount Lebanon.” http://en.wikipedia.org/wiki/Lebanon#Etymology
How was Gauss discovered? And when?
Gauss was discovered during the course of the ongoing investigation initiated by the International Telecommunication Union (ITU), which is part of a sustained effort to mitigate the risks posed by emerging cyber-threats, and ensure cyber-peace.
As part of the effort we continued to analyze the unknown components of Flame to determine if they revealed any similarities, correlations or clues regarding new malicious programs that were actively operating.
During the course of the analysis, we discovered a separate cyber-espionage module which appeared similar to Flame, but with a different geographical distribution. Originally, we didn’t pay much attention to it because it was already detected by many anti-malware products. However, we later discovered several more modules, including some which were not detected, and upon a closer look, we noticed the glaring similarities to Flame. Following our detailed analysis in June and July 2012, we confirmed the origin of the code and the authors as being the same as Flame.
Gauss được tạo ra khi nào và nó đã hoạt động được bao lâu rồi? Nó vẫn còn hoạt động chứ?
Dựa vào những phân tích của chúng tôi và các dấu thời gian từ các module của phần mềm độc hại được thu thập, chúng tôi tin tưởng hoạt động của Gauss đã bắt đầu đâu đó khoảng tháng 8, tháng 9/2011. Điều này đặc biệt thú vị vì khoảng tháng 9/2011, CrySyS Lab tại Hungary đã công bố phát hiện ra Duqu. Chúng tôi không biết liệu những người đứng sau Duqu đã có chuyển sang Gauss khi đó hay không nhưng chúng tôi hoàn toàn chắc chắn chúng có liên quan tới nhau: Gauss có liên quan tới Flame, Flame có liên quan tới Stuxnet, Stuxnet có liên quan tới Duqu. Vì thế, Gauss có liên quan tới Duqu.
Kể từ tháng 5/2012, hơn 2.500 lây nhiễm đã được hệ thống an ninh dựa vào đám mây của Kaspersky Lab ghi nhận, với tổng số các nạn nhân của Gauss được ước tính có lẽ là khoảng hàng chục ngàn.
Hạ tầng chỉ huy và kiểm soát của Gauss (C&C) đã bị sập vào tháng 7/2012. Hiện tại, phần mềm độc hại này đang ở trong tình trạng ngủ đông, chờ cho các máy chủ C&C của nó hoạt động trở lại.
When was Gauss created and how long has it been operational? Is it still active?
Based on our analysis and the timestamps from the collected malware modules, we believe the Gauss operation started sometime around August-September 2011. This is particularly interesting because around September 2011, the CrySyS Lab in Hungary announced the discovery of Duqu. We do not know if the people behind Duqu switched to Gauss at that time but we are quite sure they are related: Gauss is related to Flame, Flame is related to Stuxnet, Stuxnet is related to Duqu. Hence, Gauss is related to Duqu.
Since late May 2012, more than 2,500 infections were recorded by Kaspersky Lab’s cloud-based security system, with the estimated total number of victims of Gauss probably being in tens of thousands.
The Gauss command-and-control (C&C) infrastructure was shutdown in July 2012. At the moment, the malware is in a dormant state, waiting for its C&C servers to become active again.
Cơ chế gây lây nhiễm của phần mềm độc hại này là thế nào? Nó có các khả năng tự động nhân bản (sâu) hay không?
Giống hệt như trường hợp của Flame, chúng tôi còn chưa biết các nạn nhân bị lây nhiễm với Gauss như thế nào. Có khả năng cơ chế đó là y hệt như của Flame và chúng tôi còn chưa tìm ra được nó; hoặc nó có thể đang sử dụng một phương pháp khác. Chúng tôi còn chưa thấy bất kỳ khả năng tự lan truyền nào trong Gauss, nhưng số lượng lớn các nạn nhân mà Flame có thể chỉ ra một tính năng lan truyền chậm. Điều này có thể được triển khai bằng một trình cài cắm mà chúng tôi còn chưa thấy.
Điều quan trọng phải nhớ là Gauss gây lây nhiễm cho các đầu USB bằng một thành phần ăn cắp dữ liệu mà lợi dụng chỗ bị tổn thương y hệt .LNK (CVE-2010-2568) được Stuxnet và Flame khai thác. Cùng lúc, quá trình gây lây nhiễm cho các đầu USB là thông minh và hiệu quả hơn. Gauss có khả năng “gỡ bỏ việc lây nhiễm” ổ đĩa theo những hoàn cảnh tình huống nhất định, và sử dụng các phương tiện có khả năng tháo lắp được để lưu giữ các thông tin thu thập được trong một tệp ẩn. Khả năng thu thập thông tin trong một tệp ẩn trong các ổ USB cũng tồn tại trong Flame. Một thành phần thú vị khác của Gauss là sự cài đặt một phông tùy biến gọi là Palida Narrow. Mục đích của sự cài đặt phông này hiện còn chưa rõ.
What is the infection mechanism for this malware? Does it have self-replicating (worm) capabilities?
Just like in the case of Flame, we still do not know how victims get infected with Gauss. It is possible the mechanism is the same as Flame and we haven’t found it yet; or it may be using a different method. We have not seen any self-spreading (worm) capabilities in Gauss, but the higher number of victims than Flame might indicate a slow spreading feature. This might be implemented by a plugin we have not yet seen.
It’s important to mention that Gauss infects USB sticks with a data stealing component that takes advantage of the same .LNK (CVE-2010-2568) vulnerability exploited by Stuxnet and Flame. At the same time, the process of infecting USB sticks is more intelligent and efficient. Gauss is capable of “disinfecting” the drive under certain circumstances, and uses the removable media to store collected information in a hidden file. The ability to collect information in a hidden file on USB drives exists in Flame as well. Another interesting component of Gauss is the installation of a custom font called Palida Narrow. The purpose of this font installation is currently unknown.
Có những chỗ bị tổn thương ngày số 0 (zero-day vulnerabilities) nào không?
Chúng tôi còn chưa thấy bất kỳ lỗi ngày số 0 nào hoặc những khai thác dạng của Flame theo “chế độ ông Trời” (God mode) trong Gauss. Tuy nhiên, vì cơ chế gây lây nhiễm còn chưa rõ, có khả năng phân biệt được rằng một khai thác còn chưa rõ đang được sử dụng.
Nên được lưu ý rằng đa số các nạn nhân của Gauss chạy Windows 7, nó sẽ bị hỏng đối với khai thác .LNK được Stuxnet sử dụng. Vì thế, chúng tôi không thể khẳng định chắc chắn rằng không có các lỗi ngày số 0 trong Gauss.
Có bất kỳ tải trọng đặc biệt hay bom thời gian nào trong Gauss hay không?
Có. Tải trọng ăn cắp dữ liệu có trong USB của Gauss gồm vài phần được mã hóa mà sẽ được giải mã bằng một khóa có nguồn gốc từ các thuộc tính nhất định của hệ thống. Những phần này được mã hóa bằng một chuỗi môi trường và tên của thư mục trong %PROGRAMFILES%. Khóa RC4 và các nội dung của các phần đó còn chưa được rõ - nên chúng tôi không biết mục đích của tải trọng ẩn dấu này.
Chúng tôi vẫn còn đang phân tích các nội dung của các khối bí ẩn được mã hóa đó và đang cố gắng phá được sơ đồ mã hóa. Nếu bạn là nhà mật mã học cấp thế giới trong thách thức này, xin gửi cho chúng tôi một thư điện tử tới theflame@kaspersky.com.
Are there any zero-day (or known) vulnerabilities included?
We have not (yet) found any zero-days or “God mode” Flame-style exploits in Gauss. However, because the infection mechanism is not yet known, there is the distinct possibility that an unknown exploit is being used.
It should be noted that the vast majority of Gauss victims run Windows 7, which should be prone to the .LNK exploit used by Stuxnet. Therefore, we cannot confirm for sure that there are no zero-days in Gauss.
Is there any special payload or time bomb inside Gauss?
Yes, there is. Gauss’ USB data stealing payload contains several encrypted sections which are decrypted with a key derived from certain system properties. These sections are encrypted with an RC4 key derived from a MD5 hash performed 10000 times on a combination of a “%PATH%” environment string and the name of the directory in %PROGRAMFILES%. The RC4 key and the contents of these sections are not yet known - so we do not know the purpose of this hidden payload.
We are still analyzing the contents of these mysterious encrypted blocks and trying to break the encryption scheme. If you are world class cryptographer interested in this challenge, please drop us an e-mail at theflame@kaspersky.com
Sự khác biệt này với Trojan cửa hậu thông thường là gì? Liệu nó có tạo ra những điều đặc biệt mới hay thú vị hay không?
Sau khi xem xét Stuxnet, Duqu và Flame, chúng tôi có thể nói với sự chắc chắn mức độ cao rằng Gauss tới từ cùng 'nhà máy' hoặc 'các nhà máy' y hệt. Tất cả các bộ công cụ tấn công đó đại diện cho sự cao cấp của các hoạt động gián điệp KGM và chiến tranh KGM được nhà nước bảo trợ, xác định khá nhiều cho ý nghĩa của “phần mềm độc hại tinh vi phức tạp”.
Kiến trúc phân thành các module một cách cao độ của Gauss gợi cho chúng ta nhớ về Duqu - nó sử dụng một thiết lập đăng ký được mã hóa để lưu giữ các thông tin trong đó các trình cài cắm sẽ tải lên; được thiết kế để nằm đằng sau các bộ dò tìm radar, tránh các chương trình an ninh và giám sát và thực hiện các chức năng giám sát hệ thống một cách chi tiết cao độ. Bổ sung thêm, Gauss có chứa một tải trọng cho 64 bit, cùng với các trình cài cắm trình duyệt tương thích với Firefox được thiết kế để ăn cắp và giám sát các dữ liệu từ các khách hàng của vài ngân hàng ở Li băng: Bank of Beirut, EBLF, BlomBank, ByblosBank, FransaBank và Credit Libanais. Hơn nữa, nó nhằm vào những người sử dụng của Citibank và PayPal.
Đây thực sự là lần đầu tiên chúng tôi đã quan sát thấy một chiến dịch gián điệp KGM của nhà nước quốc gia với một thành phần Trojan ngân hàng. Không rõ liệu những người vận hành có thực sự đang chuyển tiền từ các tài khoản ngân hàng của các nạn nhân hay liệu họ đơn giản có đang giám sát các nguồn tài chính / cấp vốn cho các mục đích đặc biệt hay không.
Gauss phức tạp thế nào? Nó có bất kỳ đặc tính, chức năng hay hành vi đáng chú ý nào mà phân biệt nó với các phần mềm gián điệp hay các Trojan ăn cắp thông tin thường thấy hay không?
So sánh với Flame, thì Gauss là ít phức tạp hơn. Nó thiếu kiến trúc theo module dựa vào LUA nhưng nó lại rất mềm dẻo. So với các Trojan ngân hàng khác, thì nó dường như được tinh chỉnh tốt, theo nghĩa là nó không nhằm vào hàng trăm định chế tài chính, mà vào một danh sách có lựa chọn các định chế tài chính trực tuyến.
How is this different from the typical backdoor Trojan? Does it do specific things that are new or interesting?
After looking at Stuxnet, Duqu and Flame, we can say with a high degree of certainty that Gauss comes from the same “factory” or “factories.” All these attack toolkits represent the high end of nation-state sponsored cyber-espionage and cyberwar operations, pretty much defining the meaning of “sophisticated malware.”
Gauss’ highly modular architecture reminds us of Duqu -- it uses an encrypted registry setting to store information on which plugins to load; is designed to stay under the radar, avoid security and monitoring programs and performs highly detailed system monitoring functions. In addition, Gauss contains a 64-bit payload, together with Firefox-compatible browser plugins designed to steal and monitor data from the clients of several Lebanese banks: Bank of Beirut, EBLF, BlomBank, ByblosBank, FransaBank and Credit Libanais. In addition, it targets users of Citibank and PayPal.
This is actually the first time we’ve observed a nation-state cyber-espionage campaign with a banking Trojan component. It is not known whether the operators are actually transferring funds from the victim’s bank accounts or whether they are simply monitoring finance/funding sources for specific targets.
How sophisticated is Gauss? Does it have any notable characteristics, functions or behaviors that separate it from common spyware or info-stealing Trojans?
Compared to Flame, Gauss is less sophisticated. It lacks the modular LUA-based architecture but it is nevertheless quite flexible. Compared to other banking Trojans, it appears to have been fine-tuned, in the sense that it doesn’t target hundreds of financial institutions, but a select list of online banking institutions.
Điều gì là độc nhất vô nhị về Gauss, hoặc về kỹ thuật hay vận hành, mà phân biệt được nó với Flame, Duqu và Stuxnet?
Đặc tính chủ chốt của Gauss là chức năng Trojan ngân hàng trực tuyến. Khả năng ăn cắp các ủy quyền ngân hàng trực tuyến là thứ gì đó chúng ta chưa từng thấy trước đó trong các cuộc tấn công của các phần mềm độc hại do nhà nước bảo trợ.
Có bao nhiêu máy tính bị lây nhiễm? Có bao nhiêu nạn nhân được thấy?
Mạng An ninh dựa vào đám mây của Kaspersky (KSN) đã ghi nhận được hơn 2.500 máy bị lây nhiễm. Con số này thấp hơn so với của Stuxnet nhưng cao hơn đáng kể so với các trường hợp của Flame và Duqu.
Tổng số các lây nhiễm mà chúng tôi đã dò tìm thấy có thể trong thực tế chỉ là một phần nhỏ của hàng ngàn các lây nhiễm, vì các số thống kê của chúng tôi chỉ đề cập tới những người sử dụng các sản phẩm của Kaspersky Lab.
What is unique about Gauss, either technically or operationally, that differentiates it from Flame, Duqu and Stuxnet?
The key characteristic of Gauss is the online banking Trojan functionality. The ability to steal online banking credentials is something we haven’t previously seen in nation-state sponsored malware attacks.
How many infected computers are there? How many victims have you seen? The cloud-based Kaspersky Security Network (KSN) has recorded more than 2,500 infected machines. This is lower than Stuxnet but significantly higher than in the Flame and Duqu cases.
The overall number of infections that we’ve detected could in reality just be a small portion of tens of thousands of infections, since our statistics only cover users of Kaspersky Lab products.
Geographical Comparison of Infected Machines for Duqu, Flame and Gauss
Các nạn nhân nằm ở đâu (theo phân bố địa lý)?
Đa số các nạn nhân của Gauss nằm ở Li băng. Cũng có các nạn nhân tại Israel và Palestin. Bổ sung thêm, có một ít nạn nhân tại Mỹ , UAE, Qatar, Jordan, Đức và Ai Cập.
Where are the victims located (geographic distribution)?
The vast majority of Gauss victims are located in Lebanon. There are also victims in Israel and Palestine. In addition to these, there are a few victims in the U.S., UAE, Qatar, Jordan, Germany and Egypt.
3 quốc gia hàng đầu bị lây nhiễm Gauss
Top Three Countries Infected with Gauss
Gauss có nhằm vào bất kỳ dạng công nghiệp cụ thể nào không?
Gauss không nhằm vào các doanh nghiệp hoặc một nền công nghiệp cụ thể nào. Nó có thể được mô tả tốt nhất như một chiến dịch trinh sát KGM cao cấp chống lại các cá nhân bị nhắm đích / đặc thù.
Liệu đây có là một cuộc tấn công do nhà nước bảo trợ hay không?
Đúng, có đủ bằng chứng rằng điều này có liên quan chặt chẽ tới Flame và Stuxent, mà chúng là các cuộc tấn công do nhà nước bảo trợ. Chúng ta có bằng chứng rằng Gauss đã được tạo ra từ cùng y hệt 'nhà máy' (hoặc các nhà máy) mà đã sản xuất ra Stuxnet, Duqu và Flame.
Bằng việc xem xét Flame, Gauss, Stuxnet và Duqu, chúng ta có thể vẽ ra được “bức tranh lớn” sau về mối quan hệ giữa chúng:
Is Gauss targeting any specific type of industry?
Gauss doesn’t target businesses or a specific industry. It can best be described as a high-end cyber-surveillance operation against specific/targeted individuals.
Is this a nation-state sponsored attack?
Yes, there is enough evidence that this is closely related to Flame and Stuxnet, which are nation-state sponsored attacks. We have evidence that Gauss was created by the same “factory” (or factories) that produced Stuxnet, Duqu and Flame.
By looking at Flame, Gauss, Stuxnet and Duqu, we can draw the following “big picture” of the relationship between them:
Có bao nhiêu máy chủ chỉ huy và kiểm soát? Bạn có tiến hành phân tích pháp lý các máy chủ đó không?
Trong quá trình phân tích Gauss, chúng tôi đã xác định vài miền và 5 máy chủ chỉ huy - kiểm soát khác nhau đang được sử dụng để tìm lấy các dữ liệu được thu thập từ các máy tính bị lây nhiễm.
Đây cũng là lần đầu tiên chúng tôi quan sát thấy sử dụng “Round-robin DNS” trong các họ phần mềm độc hại đó, có khả năng chỉ ra lượng dữ liệu cao hơn nhiều đã đang được xử lý. Round-robin DNS hoặc việc cân bằng tải DNS là một kỹ thuật được sử dụng để phân phối các tải trọng cao giữa các máy chủ web khác nhau.
Chúng tôi hiện vẫn còn đang điều tra hạ tầng C&C của Gauss. Nhiều chi tiết hơn có sẵn trong tài liệu kỹ thuật đầy đủ.
Ông có đào hố chôn các máy chủ C&C đó không?
Chúng tôi chưa. Chúng tôi bây giờ đang trong quá trình làm việc với vài tổ chức để điều tra các máy chủ C&C đó.
Kích cỡ của Gauss thế nào? Có bao nhiêu module?
Module “tàu mẹ” của Gauss hơn 200KB một chút. Nó có khả năng tải các trình cài cắm khác cùng tới khoảng 2MB mã nguồn. Điều này là vào khoảng 1/3 kích cỡ module chính mssecmgr.ocx của Flame. Tất nhiên, có thể có những module mà chúng tôi còn chưa phát hiện ra - được sử dụng trong các vùng địa lý khác hoặc trong các trường hợp cụ thể khác.
How many command and control servers are there? Did you do forensic analysis of these servers?
In the process of analyzing Gauss, we identified several command-and-control domains and 5 different servers being used to retrieve data harvested from infected machines.
This is also the first time we observe the use of “Round-robin DNS” in these malware families, possibly indicating the much higher volume of data were being processed. Round-robin DNS or DNS Balancing is a technique used to distribute high workloads between different web servers.
We are currently still investigating the Gauss C2 infrastructure. More details are available in the full technical paper.
Did you sinkhole the command and control servers?
We have not. We are now in the process of working with several organizations to investigate the C2 servers.
What is the size of Gauss? How many modules does it have?
The Gauss “mother-ship” module is a little over 200K. It has the ability to load other plugins which altogether count for about 2MB of code. This is about one-third of the main Flame module mssecmgr.ocx.Of course, there may be modules which we haven’t discovered yet - used in other geographical regions or in other specific cases.
Kaspersky Lab có dò tìm ra được phần mềm độc hại này không? Làm thế nào tôi biết được nếu máy tính của tôi bị lây nhiễm?
Có, Kaspersky Lab dò tìm ra được phần mềm độc hại này như là Trojan. Win32.Gauss.
Kaspersky Lab có đang làm việc với bất kỳ tổ chức chính phủ nào hay nhóm quốc tế nào như là một phần của điều tra và các nỗ lực giải lây nhiễm hay không?
Kaspersky Lab đang làm việc chặt chẽ với ITU để thông báo cho các quốc gia bị lây nhiễm và hỗ trợ giải nhiễm.
Kaspersky Lab đã liên hệ với các nạn nhân bị lây nhiễm Gauss chưa?
Chúng tôi không có thông tin để xác định các nạn nhân và khả năng để thông báo cho họ. Thay vào đó, chúng tôi đang đưa ra các định nghĩa dò tìm và loại bỏ và chúng tôi đang làm việc với các cơ quan tuân thủ pháp luật, các CERT và các tổ chức quốc tế khác để phát ra những cảnh báo về các lây nhiễm đó.
Vì sao nó tập trung vào việc duyệt các ủy quyền ngân hàng, lịch sử, các thông tin card mạng, giao diện mạng và BIOS? Điều quan trọng của mối quan tâm này là gì?
Chúng tôi không có câu trả lời nhất quyết nào cho điều này. Giả thiết là những kẻ tấn công có quan tâm trong việc có được các hồ sơ nạn nhân và các máy tính của họ. Các ủy quyền ngân hàng, ví dụ, có thể được sử dụng để giám sát cân bằng thu chi trong các tài khoản của nạn nhân - hoặc, chúng có thể được sử dụng để trực tiếp ăn cắp tiền. Chúng tôi tin tưởng lý thuyết việc Gauss được sử dụng để ăn cắp tiền được sử dụng để cung cấp tài chính cho các dự án khác như Flame và Stuxnet là không hợp với ý tưởng của các cuộc tấn công mà nhà nước bảo trợ.
Vì sao những kẻ tấn công lại nhằm vào các ủy quyền ngân hàng? Liệu họ có sử dụng nó để ăn cắp tiền hay giám sát các giao dịch bên trong các tài khoản hay không?
Điều này còn chưa rõ. Tuy nhiên, khó để tin rằng một nhà nước quốc gia có thể dựa vào những kỹ thuật như vậy để cung cấp tài chính cho hoạt động gián điệp KGM và chiến tranh KGM được.
Does Kaspersky Lab detect this malware? How do I know if my machine is infected?
Yes, Kaspersky Lab detects this malware as Trojan.Win32.Gauss
Is Kaspersky Lab working with any government organizations or international groups as part of the investigation and disinfection efforts?
Kaspersky Lab is working closely with the International Telecommunication Union (ITU) to notify affected countries and to assist with disinfection.
Did Kaspersky Lab contact the victims infected with Gauss?
We do not have information to identify the victims and the capability to notify them. Instead, we are releasing detection and removal definitions and we are working with law enforcement agencies, CERTs and other international organizations to broadcast warnings about the infections.
Why was it focusing on browsing history, banking credentials, BIOS and network card/interface information? What is the significance or interest?
We do not have a definitive answer for this. The presumption is that the attackers are interested in profiling the victims and their computers. Banking credentials, for instance, can be used to monitor the balance on the victim’s accounts - or, they can be used to directly steal money. We believe the theory that Gauss is used to steal money which are used to finance other projects such as Flame and Stuxnet is not compatible with the idea of nation-state sponsored attacks.
Why were the attackers targeting banking credentials? Were they using it to steal money or to monitor transactions inside accounts?
This is unknown. However, it is hard to believe that a nation state would rely on such techniques to finance a cyber-war/cyber-espionage operation.
Các dạng dữ liệu nào đã bị trích lọc?
Hạ tầng của Gaus từng bị đánh sập trước khi chúng tôi có được cơ hội phân tích một lây nhiễm sống động và thấy chính xác được có bao nhiêu và dạng dữ liệu nào đã bị ăn cắp. Vì thế, những nghiên cứu của chúng tôi thuần túy dựa vào việc phân tích mã nguồn.
Các dữ liệu được chi tiết hóa trong máy bị lây nhiễm cũng được gửi tới những kẻ tấn công, bao gồm những đặc thù của các giao diện mạng, các ổ đĩa và thậm chí thông tin về BIOS của máy tính. Module Gauss cũng có khả năng ăn cắp các ủy quyền truy cập đối với một loạt các hệ thống và các phương pháp thanh toán của ngân hàng trực tuyến.
Điều quan trọng để chỉ ra rằng hạ tầng C&C của Gauss đang sử dụng Round - Robin DNS - nghĩa là, có thể đưa ra một ý tưởng về lượng dữ liệu bị các trình cài cắm của Gauss ăn cắp.
Liệu có thành phần theo thời gian sống TTL (Time - to – Live) được xây dựng sẵn giống như của Flame và Duqu hay không?
Khi Gauss gây lây nhiemx cho một bộ nhớ USB, nó thiết lập một cờ nhất định thành “30”. Cờ TTL này tăng từ từ từng chút một mỗi lần tải trọng được thực hiện từ bộ nhớ USB đó. Một khi nó đạt tới 0, chì tải trọng ăn cắp dữ liệu sẽ tự xóa khỏi đầu USB đó. Điều này chắc chắn là các đầu USB bị lây nhiễm Gauss sẽ không sống sót được. Nó có thể đủ lâu đối với các kết quả trong dò tìm.
Ngôn ngữ lập trình nào được sử dụng? LUA? OOC?
Giống hệt như Flame, Gauss được lập trình bằng C++. Chúng chia sẻ khá nhiều mã nguồn, có lẽ các thư liện mức thấp được sử dụng trong các dự án đó. Các thư viện chung này làm việc với các chuỗi và các tác vụ điều khiển dữ liệu khác. Chúng tôi chưa thấy bất kỳ mã nguồn LUA nào trong Gauss.
Đâu là sự khác biệt trong sự truyền giống giữa các mạng bên trong Gauss và Flame?
Một trong những cơ chế lan truyền phổ biến của Flame là bằng việc thủ vai Windows Update (chương trình cập nhật của Windows) và thực hiện một cuộc tấn công người-giữa-đường chống lại các nạn nhân. Chúng tôi còn chưa thấy bất kỳ mã nguồn nào như vậy trong Gauss, chúng tôi cũng chưa xác định được một cơ chế lan truyền nào trong mạng. Chúng tôi vẫn còn đang nghiên cứu tình huống và sẽ cập nhật hỏi đáp thường gặp này với những phát hiện tiếp theo.
What kinds of data was being exfiltrated?
The Gauss infrastructure was shut down before we had the chance to analyze a live infection and to see exactly how much and what kind of data was stolen. So, our observations are purely based on analyzing the code.
Detailed data on the infected machine is also sent to the attackers, including specifics of network interfaces, computer’s drives and even information about BIOS. The Gauss module is also capable of stealing access credentials for various online banking systems and payment methods.
It’s important to point out that the Gauss C2 infrastructure is using Round Robin DNS - meaning, they were ready to handle large amounts of traffic from possibly tens of thousands of victims. This can offer an idea on the amount of data stolen by Gauss’ plugins.
Is there a built in Time-to-Live (TTL) component like Flame and Duqu had?
When Gauss infects an USB memory stick, it sets a certain flag to “30”. This TTL (time to live) flag is decremented every time the payload is executed from the stick. Once it reaches 0, the data stealing payload cleans itself from the USB stick. This makes sure that sticks with Gauss infections do not survive ItW for long enough to results in detection.
What programming language was used? LUA? OOC?
Just like Flame, Gauss is programmed in C++. They share a fair deal of code, probably low level libraries which are used in both projects. These common libraries deal with strings and other data manipulation tasks. We did not find any LUA code in Gauss.
What is the difference in the propagation between Gauss and Flame inside networks?
One of the known spreading mechanisms of Flame was by impersonating Windows Update and performing a man-in-the-middle attack against the victims. We haven’t found any such code in Gauss yet, neither we have identified a local network spreading mechanism. We are still investigating the situation and will update the FAQ with further findings.
Liệu các máy chủ C&C đã có kết nối tới bất kỳ máy chủ C&C nào của Flame hoặc liệu Gauss có hạ tầng C&C của riêng nó hay không?
Gauss đã sử dụng một hạ tầng C&C riêng biệt với Flame. Ví dụ, Flame đã sử dụng khoảng 100 miền cho các C&C của nó, trong khi Gauss sử dụng chỉ nửa tá. Đây là một so sánh các hạ tầng C&C của Gauss và Flame:


 
Flame
Gauss
Đặt chỗ - Hosting
VPS chạy Debian Linux
VPS chạy Debian Linux
Services available
SSH, HTTP, HTTPS
SSH, HTTP, HTTPS
Chứng chỉ SSL
'localhost.localdomain' - tự ký
'localhost.localdomain' - tự ký
Thông tin đăng ký
Các tên giả
Các tên giả
Địa chỉ những người đăng ký
Các khách sạn, cửa hàng
Các khách sạn, cửa hàng
Giao thức giao thông của C&C
HTTPS
HTTPS
Mã hóa giao thông của C&C
Không
XOR 0xACDC
Các tên script của C&C
cgi-bin/counter.cgi, common/index.php
userhome.php
Số lượng miền C&C
~100
6
Số lượng các nhận diện giả được sử dụng để đăng ký các miền
~20
3
Did the command and control servers connect to any of Flame’s or does Gauss have its own C2 infrastructure?
Gauss used a separate C2 infrastructure from Flame. For instance, Flame used about 100 domains for its C2s, while Gauss uses only half a dozen. Here’s a comparison and Gauss and Flame’s C2 infrastructures:

 
Flame
Gauss
Hosting
VPS running Debian Linux
VPS running Debian Linux
Services available
SSH, HTTP, HTTPS
SSH, HTTP, HTTPS
SSL certificate
'localhost.localdomain' - self signed
'localhost.localdomain' - self signed
Registrant info
Fake names
Fake names
Address of registrants
Hotels, shops
Hotels, shops
C2 traffic protocol
HTTPS
HTTPS
C2 traffic encryption
None
XOR 0xACDC
C2 script names
cgi-bin/counter.cgi, common/index.php
userhome.php
Number of C2 domains
~100
6
Number of fake identities used to register domains
~20
3

Tôi nên làm gì nếu tôi thấy một sự lây nhiễm và tôi có thiện chí đóng góp cho nghiên cứu của bạn bằng việc cung cấp những mẫu ví dụ về phần mềm độc hại này?
Xin hãy liên hệ với chúng tôi tại địa chỉ theflame@kaspersky.com mà chúng tôi đã thiết lập trước đó cho các nạn nhân của các cuộc tấn công KGM đó.
Bạn có thể tải về phiên bản PDF của tài liệu kỹ thuật đầy đủ ở đây.
What should I do if I find an infection and am willing to contribute to your research by providing malware samples?
Please contact us at the address “theflame@kaspersky.com” which we have previously setup for victims of these cyber attacks.
You can download PDF version of full technical paper here.
Dịch: Lê Trung Nghĩa

Không có nhận xét nào:

Đăng nhận xét

Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.