Анализ работы антивирусных лабораторий
TRANSCRIPT
![Page 1: Анализ работы антивирусных лабораторий](https://reader035.vdocument.in/reader035/viewer/2022062300/5551a75ab4c905013a8b54a8/html5/thumbnails/1.jpg)
WHOAMI
Markov Pavel:Found zero-day in Windows (execute arbitrary
code by manipulating with folder settings)
Just a developer
Agievich Igor:
Found vulnerability in Outpost Security Suite (2012), VirtualBox (2011), vBulletin (2005-2006)
Not even a developer :)
![Page 2: Анализ работы антивирусных лабораторий](https://reader035.vdocument.in/reader035/viewer/2022062300/5551a75ab4c905013a8b54a8/html5/thumbnails/2.jpg)
С чего всё началосьНашей командой создавалось корпоративное приложение
для синхронизации данных с облаком
![Page 3: Анализ работы антивирусных лабораторий](https://reader035.vdocument.in/reader035/viewer/2022062300/5551a75ab4c905013a8b54a8/html5/thumbnails/3.jpg)
Состав приложения
Клиентское ПО. Его задача - синхронизировать данные (файлы, переписку) с облаком. Загружать обновления, логировать возникшие ошибки (сбор информации о системе, код ошибки и отправка на веб-сервер).
Скрипты web-сервера. Задача – управлять потоком данных от клиентов, и так же логирование ошибок. Логирование ошибок включало в себя проверку корректности HTTP-запроса в соответствии с правилами и сохранение тела ошибочного запроса.
![Page 4: Анализ работы антивирусных лабораторий](https://reader035.vdocument.in/reader035/viewer/2022062300/5551a75ab4c905013a8b54a8/html5/thumbnails/4.jpg)
Через некоторое время в логах сервера
Remote IP: 109.74.154.83
User-agent : Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322; .NET CLR 2.0.50727)
![Page 5: Анализ работы антивирусных лабораторий](https://reader035.vdocument.in/reader035/viewer/2022062300/5551a75ab4c905013a8b54a8/html5/thumbnails/5.jpg)
Пробиваем данные о подозрительном IP
General Information
Hostname
109-74-154-83.ptr.eset.com
IP
109.74.154.83
Preferable MX
a.mx.eset.com
![Page 6: Анализ работы антивирусных лабораторий](https://reader035.vdocument.in/reader035/viewer/2022062300/5551a75ab4c905013a8b54a8/html5/thumbnails/6.jpg)
Другие записи логов
Remote IP: 193.71.68.2
User-agent : Mozilla/5.0 (Windows; U; Windows NT 6.1; ru; rv:1.9.2.4) Gecko/20100513 Firefox/3.6.4
Nslookup
nslookup 193.71.68.2
Non-authoritative answer:
2.68.71.193.in-addr.arpa name = norman.norman.no
![Page 7: Анализ работы антивирусных лабораторий](https://reader035.vdocument.in/reader035/viewer/2022062300/5551a75ab4c905013a8b54a8/html5/thumbnails/7.jpg)
Следующий лог
Remote IP: 150.70.172.108User-agent : Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)HTTP_X_FORWARDED_FOR : 150.70.172.108
Делаем привычный запрос nslookup
$ nslookup 150.70.172.108
Non-authoritative answer:108.172.70.150.in-addr.arpa name = 150-70-172-108.trendmicro.com
![Page 8: Анализ работы антивирусных лабораторий](https://reader035.vdocument.in/reader035/viewer/2022062300/5551a75ab4c905013a8b54a8/html5/thumbnails/8.jpg)
И опять trendmicro
Remote IP: 150.70.64.197
User-agent : Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)
HTTP_X_FORWARDED_FOR : 150.70.64.197
Обратите внимание: в HTTP-запросах заполнены только поля User-agent. И, иногда, HTTP_ACCEPT или HTTP_ACCEPT_LANGUAGE. Чего маловато для настоящих браузеров.
![Page 9: Анализ работы антивирусных лабораторий](https://reader035.vdocument.in/reader035/viewer/2022062300/5551a75ab4c905013a8b54a8/html5/thumbnails/9.jpg)
Что всё это значит?
Кто-то взломал сети антивирусников и использует их как прокси
Антивирус (или средство автоматического анализа сэмплов) логирует запросы подозрительного ПО к удаленным серверам
На этом этапе наши идеи носят характер научного тыка и не сильно подкреплены доказательной базой. Но и история на этом не заканчивается.
![Page 10: Анализ работы антивирусных лабораторий](https://reader035.vdocument.in/reader035/viewer/2022062300/5551a75ab4c905013a8b54a8/html5/thumbnails/10.jpg)
Логи ошибок от клиентского ПО
Результаты выполнения команд: ipconfig,dir C:, dir D:, systeminfo, tasklist (для упрощения воссоздания окружения при отлове бага).
Результат ipconfig с одного из клиентов:
Ethernet adapter Local Area Connection:
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : VMware Accelerated AMD PCNet Adapter
Physical Address. . . . . . . . . : 00-50-56-8E-01-10
![Page 11: Анализ работы антивирусных лабораторий](https://reader035.vdocument.in/reader035/viewer/2022062300/5551a75ab4c905013a8b54a8/html5/thumbnails/11.jpg)
Результат dir C: с другого клиента
Directory of c:\
04/16/2010 12:25 0 AUTOEXEC.BAT
04/16/2010 12:25 0 CONFIG.SYS
04/16/2010 12:27 <DIR> Documents and Settings
04/12/2012 13:17 459,982 A0iYkCc.exe
04/16/2010 12:27 <DIR> Program Files
12/11/2011 13:02 <DIR> WINDOWS
3 File(s) 459,982 bytes
3 Dir(s) 8,396,890,112 bytes free
![Page 12: Анализ работы антивирусных лабораторий](https://reader035.vdocument.in/reader035/viewer/2022062300/5551a75ab4c905013a8b54a8/html5/thumbnails/12.jpg)
Результат systeminfoНазвание ОС: Microsoft Windows XP Professional
Версия ОС: 5.1.2600 Service Pack 3 Build 2600
Дата установки: 2010-4-29, 5:35:19
Изготовитель системы: Red Hat
Модель системы: KVM
Тип системы: X86-based PC
Процессор(ы): [01]: x86 Family 6 Model 6 Stepping 3 AuthenticAMD ~2608 Mhz
Версия BIOS: QEMU - 1
![Page 13: Анализ работы антивирусных лабораторий](https://reader035.vdocument.in/reader035/viewer/2022062300/5551a75ab4c905013a8b54a8/html5/thumbnails/13.jpg)
Результат tasklistSystem Idle Process 0 Console 0 28 K
Running NT AUTHORITY\SYSTEM
python.exe 1776 Console 0 4,412 K Running Admintrator
pythonw.exe 1820 Console 0 6,352 K Running Admintrator
hookanaapp.exe 1316 Console 0 5,048 K Running Admintrator
![Page 14: Анализ работы антивирусных лабораторий](https://reader035.vdocument.in/reader035/viewer/2022062300/5551a75ab4c905013a8b54a8/html5/thumbnails/14.jpg)
Ещё из логов в тот же день
Remote IP: 69.164.111.198
User-agent : Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; WOW64; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; MDDC
whois возвращает строчку
OrgName: Sungard Network Solutions, Inc.
Вот их сайт: http://www.sungard.com
![Page 15: Анализ работы антивирусных лабораторий](https://reader035.vdocument.in/reader035/viewer/2022062300/5551a75ab4c905013a8b54a8/html5/thumbnails/15.jpg)
Неведома зверушка из Германии
Remote IP: 91.20.15.86
User-agent : Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727)
Из whois:
person: Security Team
remarks: * Hack Attacks, Illegal Activity, Violation, Scans, Probes, etc.
![Page 16: Анализ работы антивирусных лабораторий](https://reader035.vdocument.in/reader035/viewer/2022062300/5551a75ab4c905013a8b54a8/html5/thumbnails/16.jpg)
С чего такой интерес со стороны А\В лабораторий?
Функционал ПО, который может оказаться подозрительным:
1. Сбор информации о системе
2. Реализация удалённого обновления (download and exec — как зловред)
![Page 17: Анализ работы антивирусных лабораторий](https://reader035.vdocument.in/reader035/viewer/2022062300/5551a75ab4c905013a8b54a8/html5/thumbnails/17.jpg)
Выводы
1. Антивирусные лаборатории используют различные среды виртуализации при автоматическом детектировании подозрительного ПО. Также совершают автоматический запрос к серверам управления прямо из своих сетей, без использования VPN/прокси.
2. HTTP-запросы делаются не настоящим браузером. Это всё может вовремя предупредить владельцев ботнета и привести к своевременному переводу работающей части бот-сети на другой сервер управления.
3. Некоторые антивирусные лаборатории передают информацию о подозрительном ПО каким-то сторонним организациям, вроде “Sungard Network Solutions”.
![Page 18: Анализ работы антивирусных лабораторий](https://reader035.vdocument.in/reader035/viewer/2022062300/5551a75ab4c905013a8b54a8/html5/thumbnails/18.jpg)
Вопросы?
twitter: @shanker_sec
http://habrahabr.ru/users/shanker