Утечка исходных текстов Carberp — это большой удар по безопасности пользователей

    Уже не является секретом тот факт, что полные исходные тексты известного банковского вредоносного ПО Carberp утекли в паблик. Около 5GB исходных текстов оказались в поле зрения фактически любого желающего. Архив включает в себя:

    • Исходный текст буткита, km драйверов и всего что работает в km.
    • Билдер дропперов.
    • Плагины.
    • Веб-инжекты.
    • LPE эксплойты.
    • Огромное количество другой полной и необходимой информации, чтобы начать свой собственный проект по разработке вредоносного кода.

    Как и в случае с Zeus, история началась с того, что архив с текстами был выставлен на продажу на нескольких подпольных форумах. Ниже представлен пост с объявлением с одного из форумов. Первоначально информация о том, что исходные тексты Carberp были выставлены на продажу была опубликована Trusteer 18-го июня, т. е. около недели назад. При этом указывалось, что цена архива составляет $50,000. Но позже на одном из форумов появилась информация, что тексты продаются по очень низкой цене, всего лишь $5,000. Архив включает в себя тексты вредоносного кода и купленные сторонние наработки с 2008 г.



    Нам удалось получить архив с исходными текстами Carberp и мы можем констатировать тот факт, что утечка исходных текстов Carberp является самой крупной вообще из тех, что были раньше среди вредоносных программ. При этом в этот показатель входит как количество возможностей самого вредоносного кода, которые описываются включенными текстами, их степенью детальности, а также деструктивности, которую могут нанести клоны, основанные на этих исходных текстах.





    Один из модераторов kernelmode.info, EP_X0FF собрал статистику по семействам вредоносных программ, функционал которых описан утекшими текстами. Этот список действительно впечатляет(!): Ursnif, Rovnix, Alureon, Phdet, Zeus, Vundo, SpyEye. Все эти семейства вредоносных программ очень хорошо известны ресерчерам и получили большое распространение.



    Поясним, что Carberp изначально не имел своей bootkit-составляющей до 2011 г., когда разработчиками был куплен фреймворк Rovnix (одно из первых семейств буткитов, которое использовало метод заражения VBR, что позволяло загружать свой драйвер на x64 платформах в обход ограничений ОС). Код Rovnix и история включения его исходных текстов в Carberp были детально описаны нашим коллегой Александром Матросовым здесь. Мы также составляли полный отчет об эволюции Carberp, в котором можно было отследить этапы развития вредоносного кода.

    Многие издания и АВ-вендоры напишут или уже написали об инциденте, связанном с утечкой исходных текстов Carberp, так как это действительно громкий инцидент, который может повлечь за собой неприятные последствия. Имеется в виду факт появления клонов как самого банковского вредоносного ПО Carberp, буткит-платформы Rovnix, так и другого вредоносного кода, который может быть создан по оказавшимся в паблике исходным текстам вредоносного кода.

    Update: после небольшой инспекции кода мы также выяснили, что архив содержит часть текстов известного Stoned bootkit и Sinowal bootkit.



    Комментарий Peter Kruse из CSIS: (для threatpost)
    The package also include the Carberp bootkit along with other source codes for what seems to be e.g. Stoned bootkit, Citadel, Ursnif etc. The package is currently undergoing deeper analysis. We also found several text files containing apparently private chats and various usernames and passwords for several FTP servers. This also needs to be investigated further.
    ESET NOD32
    84.71
    Company
    Share post

    Comments 106

      +2
        +12
        Лучше уж так. И архив, и пароль, без регистрации и смс.
          0
          ну так на экспе и архив на мультиаплоде и пароль в теме тоже есть.
          вообще это знак. ждем новую малварь с кучей 0деев на борту и по цене в полтинник К «неправославных шекелей» + огромное множество говнокопипастов с сабжа по 100 уе за пучек.
            0
            Возможно, но для просмотра темы требуется регистрация. А после регистрации, как часто бывает, «написать не меньше ХХ постов».

            А архив действительно интересен, чувствую много времени понадобится, чтобы его целиком изучить.
            0
            Что-то пароль не особо то и подходит. Так что…
              0
              Отлично подходит. Находил пароль на каком то сайте — он не подходил. Взял из твиттера — нормально.
                +4
                Между K и O три пробела. Кавычки тоже не нужно копировать.
                  0
                  Между K и O три пробела.


                  Ах вот оно как, спасибо.
            +14
            Дурацкий вопрос. Наличие исходников зловреда разве не упростит создание сигнатур для АВ вендоров?
              +1
              То, что аверы будут лучше палить малварь – не говорит о том, что школьники не начнут копипастить с новым названием. Есть прецеденты, когда продукт, который палится на протяжении более двух лет, все еще продается, и используется.
                +4
                Копипастить и чуть-чуть там менять против современных антивирусов не поможет.
                  –1
                  Аргументировать не?
                    +1
                    Вы правы, современные антивирусы анализируют в том числе поведение, и дополнительно имеют эвристические модули, так что по быстрому код поправить не получится.

                    В тоже время для серьёзной разработки данные сырцы могут дать много полезного, и в них будет можно много чего подсмотреть.
                +6
                Я полагаю, антивирусные компании могли себе позволить потратить $50k и раньше.
                –4
                Как страшно жить. Хорошо, что я сижу под Ubuntu и не являюсь сисадмином, да и жене на ноут поставил Ubuntu. Насколько я понимаю, Carberp — чисто виндовская пакость, хотя и использует потенциально кроссплатформенный Java-exploit.
                  +12
                  Наивно думать, что вас эта проблема обойдет. Руткитов под линух вполне достаточно и количество будет расти.
                    +4
                    Согласен. Но пока, кажется, бояться рано, т.к. десктопная доля Linux не очень торопится расти. А так подобные фразы последние лет 15 время от времени доводится слышать, да и про руткиты читать, но вот на практике с пользовательского компа под Linux глистов гнать пока ни разу не приходилось. С целенаправленно взломанными серверами сталкивался, но вот чтобы просто во время web-browsing'а пользователь Linux'а нахватался глистов — ни разу в жизни не наблюдал.
                      +1
                      … в конце концов, создание malware нынче — бизнес, и «обслуживать» столь малый «сектор рынка», как десктопный линух, киберпреступным элементам пока всё ещё не особо выгодно.
                        –2
                        Если на десктопном линухе есть доступ к онлайн-банкингу, то вполне себе выгодно. Пользователи же учаться даже на чужих ошибках, значит надо следовать за ними — на линух и мак.
                          0
                          На fishing обычно попадается сравнительно небольшой процент юзеров. Десктопных линуксоидов 1-2%, причём в своём большинстве это люди более технически подкованные, чем пользователи Windows, соответственно, какие-нибудь 1-5% из них таки попадутся на фальшивую ссылку. Итого получаем, что надо тратить средства на разработку malware, на которую клюнет максимум 0.05% пользователей. Трудозатраты на разработку примерно такие же, как в случае Windows, если не больше, а практический выход в тысячи раз меньше. Стоит ли овчинка выделки?
                            –2
                            Не обязательно фишинг. Что если это будет троян?
                            Что если на счете у юр.лица будет несколько миллионов рублей? Вполне себе реальная ситуация. Несколько млн. стоят выделки.
                              0
                              И куда эти миллионы пойдут? И куда будет смотреть финмониторинг и операционист, который подпишет платежку?
                              Сильно большие суммы как правило защищаются еще и со стороны банка. Не то, чтобы это был повод расслабится, но просто для понимания того, что масштаб украденного зависит от размера счета нелинейно.
                                0
                                Я не знаю, куда смотрел мониторинг и что там защищал банк, но я лично знаю человека столкнувшегося с подобной проблемой. Со счета ушла довольно крупная сумма. Банку было вообще насрать на проблемы.
                                Но видимо, проще закрыть глаза.

                                  0
                                  Мне сто раз звонили операционисты с вопросами мол у вас тут нетипичная операция проходит, всё ли нормально. Брату тоже звонят периодически. Когда в банке работал помню была такая тема, что большие суммы специально медленно пересылали, чтобы дать клиенту одуматься… С другой стороны знаю один банк, мои партнеры с ним работают — там вообще никто ничего не смотрит, и не отслеживает. Но это карманный банк, там вообще всё забавно. Вроде и банк, а вроде и офисы аффилированных компаний. Там счета только у тех кто входит в холдинг, у их партнеров и иногда у случайных клиентов ибо никто ж не будет говорить о том, что банк карманный. Правда там платежи наружу идут ой как долго.
                                    0
                                    Вот не позвонили. Может так было задумано да и банк был крупный. Еще был опыт, когда другой довольно крупный банк ответил, что не обязан следить за платежами. «Отключайте БК, привозите платежки сами». Да и дырку размером с тоннель не хотел фиксить. Проще кормить штат своих «разработчиков», чем закупить современную систему.

                                    И еще — не задумывались, почему в зарубежных банках есть калькуляторы пин-кодов, а в российских их нет или встречаются редко? Потому, что никому не нужен лишний геморрой. Да и стоимость обслуживания возрастает.

                                    А по теме можно почитать материалы с group-ib.ru и ветки на http://www.banki.ru/
                                      0
                                      Есть такое, слышал что в РФ такое чаще чем у нас. Может быть и вправду есть существенная разница в банках РФ и Украины, в конце концов технологически банковская система у нас более развита, так что я не удивлюсь если окажется что у вас и с безопасностью похуже.
                                      Вообще я сторонник токенов, и если на фирме обороты в миллион, то нужно обязательно знать своих операционистов в лицо, и подкармливать их шоколадом, и включать смс-информирование.
                                      ПЫСЫ: и да, знаю пару случаев когда денежку таки возвращали назад.
                                        0
                                        С токенами тоже интересная тема была на тех же banki.ru, когда левая платежка формировалась и подписывалась в токене удаленно на машине главбуха. Да и конфеты не обязывают, к сожалению.
                                          0
                                          А что делал токен в машине главбуха? Да еще и с введенным пином?
                                          Подписал и вынул. В идеале токен с кнопкой или с пинклавиатурой.
                                          Конфеты не обязывают, но помогают… Сильно знаете ли помогает.
                            –2
                            Проблема в том, что ни линухе нет доступа к онлайн банкингу, обычно. Так что если им активно пользуешься, то линух не катит.
                              +2
                              Довольно активно пользуюсь онлайн-банкингом, проблем с ним под Linux'ом не замечал. Конечно, это в случае, когда всё происходит через браузер, но мне как-то клиент-серверные банковские системы пока были без особой надобности.
                                +3
                                Ну это для частных лиц. Для того же ИП уже нужен драйвер электронного ключа и куча всякой шняги которые только под винду.
                                  0
                                  С такими штуками, к счастью, не особо работал. Но мне кажется, что fishing в основном как раз ориентирован на частных лиц.
                                    0
                                    В сбере не надо никаких ключей, например, у них СМСки приходят.
                                      +2
                                      Для юрлиц? вы уверены?
                                        0
                                        Да, для юрлиц. Старая система с толстым клиентом вообще к IP и MAC-адресу привязана, сейчас всех переводят на эту упрощённую.
                                          0
                                          О, интересно. А как они без цифровой подписи работают тогда? Ведь все платежки получаются ничем официально не подтвержденные.
                                            0
                                            К сожалению или к счастью наше законодательство так устроено, что даже если у тебя есть ЭЦП выпущенная банком для клиент-банка и у тебя стырили эту ЭЦП и потом стырили деньги, то банк оказывается в пролете, то есть рано или поздно в результате судебных тяжб суд обяжет банк вернуть сворованные деньги. Таких прецедентов было по стране много и в своем большинстве клиенты выигрывали.
                                            Поэтому некоторые банки и не парятся относительно ЭЦП, есть она или нет, все равно ты в пролете в случае аварии…
                                              0
                                              Есть там цифровая подпись конечно, и комплект одноразовых ключей на скрэтч карте, скорее всего. А на толстом клиенте еще и ключ амикон есть.
                                              Как привязать пользователя по МАК адресу после НАТтинга это мне не представить, а по айпи привязывают только по заявлению клиента.
                                              Но они используют что-нибудь типа крипто про/арм, для которых линуховых версий нет, кажется.
                              –1
                              Ничего, это «кажется» проходит быстро. Пусть и болезненно иногда.
                                +5
                                Пока вот сколько лет пользуюсь Linux'ом — всё никак не проходит. Быстро — это ещё 5 лет к этим 15? Ещё 10? 15?
                                (поправка: Linux'ом пользуюсь с конца 1995 года, но как-то, кажется, этак до 1998 и разговоров про вирусняк под Linux особо не было)
                                  0
                                  Думаю года два-три и начнется веселье. Резкий всплеск популярности зверья для серверного linux начался примерно 3 года назад. До этого заражения были единичными, сейчас они типовые.
                                    0
                                    Я думаю, всплеск будет после того, как подрастёт популярность линуха на десктопах, до тех пор особых причин вроде бы нет. Сейчас же вроде как sweet spot — по крайней мере, для таких пользователей, как я: на рынке много оборудования, которое без проблем работает с Linux'ом, софта, нужного для моей работы, тоже хватает с избытком, при этом юзеров, идеально подходящих на роль мишени для malware, пока не очень много.
                                      0
                                      А что думаете насчет OpenBSD? Вроде, у них все хорошо с безопасностью, если верить их сайту :)
                                        +1
                                        Я не секурист, у меня другая специализация. OpenBSD поставили безопасность во главу угла. Пока не будет найдена новая парадигма безопасности — OpenBSD будет оставаться самой безопасной средой в силу своей паранойяльности. Минус в том, что удобство и безопасность обратно пропорциональны, а значит, пользоваться openbsd практически невозможно. Так что вирусы и писать под нее не будут.
                                  0
                                  На домашних линух компах я и сам не видел пакостей, а вот серваки заражаются всяким калом очень активно. Скриптовые языки для пакостей просто манна небесная! Да и башик сегодня отличный.
                                    –1
                                    Ну, я как раз про пользовательские компьютеры, заражение в процессе веб-браузинга и просмотра почты. На серверах-то я и сам видел, куда ж без этого.
                            • UFO just landed and posted this here
                                +2
                                Я уверен, он может и в суд подать за утечку.
                                  +1
                                  Объектами авторских прав являются произведения науки, литературы и искусства независимо от достоинств и назначения произведения, а также от способа его выражения:

                                  К объектам авторских прав также относятся программы для ЭВМ, которые охраняются как литературные произведения.
                                  • UFO just landed and posted this here
                                      0
                                      Они же не софт воруют.
                                  +2
                                  Для меня почему-то самые интересные новости из мира IT — это когда утекают какие-нибудь интересные исходники:) Жду когда появится какой-нибудь CodeLeaks, куда хакеры и программеры со всего мира будут сливать все самое интересное.
                                    0
                                    codeleaks.net
                                    Правда, на китайском.
                                    p.s. похоже на блог, но мало-ли
                                      0
                                      Похоже, ещё не все знают об en.pudn.com — кладезь раритетных и очень ценных исходников.
                                      0
                                      Сейчас начнется засилие школобилдеров) аля pinch reloaded
                                        +2
                                        Самое веселое, что отношение к разработке имеет один из хабраюзеров — airog
                                          +5
                                          Если участие подтверждаемое, то этот хабраюзер практически готовый кандидат на отсидку, к слову.
                                            –3
                                            Я думаю информации из архива хватит для подтверждения
                                              0
                                              В любом случае то что человек разрабатывал инструмент, не значит, что он им пользовался для совершения противозаконных действий.
                                                0
                                                Плюс комментарии в коде не являются подтверждением чьей бы то ни было личности — или же /* Bublik and logan proudly present some malware */ теперь достаточно, чтобы кого-то посадить? :)
                                                  0
                                                  Если вы внимательно изучите файлы из архива, то можете поменять свое мнение
                                                    +1
                                                    Я не претендую на правоту, а уж тем более не являюсь судом, поэтому я не буду писать кого стоит посадить и по какой статье.
                                                    Но исходя из логов переписки можно сделать вывод что в 2011 году, этого человека нашли на какой-то фриланс-бирже и предложили поддерживать уже готовые исходники. Да и вы верите в то, что буткит и юзермодная чать это дело одного и того же человека?

                                                    Забавно наблюдать как люди готовы линчевать, только от того что нашли имя человека в коментариях.

                                                    Помнится в одном из троянов была такая строка:
                                                    Coded by BRIAN KREBS for personal use only. I love my job & wife
                                                    Это же не означает что Брайан Кребс автор этого трояна.
                                                      +13
                                                      А еще он наверняка педофил и в бога не верит.
                                                      • UFO just landed and posted this here
                                                        • UFO just landed and posted this here
                                                        +3
                                                        Никто не говорит о линчевании. Я вообще против наказания разработчиков вируса, я за наказание его пользователей. Нельзя наказывать мастера, делающего молотки за то, что этим молотком кому-то проломили голову. Однако УК достаточно подробно описывает санкции, в том числе, для создателей зловредных программ. При этом степень вмененности создателя выясняет суд, и я не думаю, что наш, самый гуманный в мире суд, будет вникать в такие тонкости.

                                                        Хотя, российское правосудие вещь абсолютно непредсказуемая, и что будет в результате — никто не знает.
                                                          0
                                                          Разработка зловредов всё же сродни изготовлению оружия или наркотиков. Ударить молотком по голове — это нецелевое использование, недокументированная фича.
                                                            0
                                                            Отсюда следует очевидный вывод — нельзя наказывать производителей чего-либо (над оружием массового поражения надо хорошо подумать), нужно наказывать тех, кто противоправно применяет (разумеется, права не должны нарушать права других, например так называемое «авторское право», которое по своей сути противоправно, так как нарушает сразу несколько прав: право на свободу слова, на свободу экономической деятельности и т. д.).

                                                            Ждём обзор исходников.
                                                    0
                                                    УК РФ 273 думает иначе
                                                      –2
                                                      Откуда:
                                                      Украина, Херсонская обл., Херсон
                                                        –2
                                                        Я не силен в юридических нюансах, но есть вероятность, что Россия может попросить выдать его и тут ему 273 УК предьявят
                                                          0
                                                          Да кого выдать? Хабраюзера, о котором все, что известно — это его юзернейм и, возможно, фейковый город? :)
                                                            +1
                                                            Попросят Хабр выдать айпишник.
                                                              –10
                                                              Здесь был комментарий.

                                                                –10
                                                                И здесь тоже.
                                                                • UFO just landed and posted this here
                                                                    +2
                                                                    Раскрытие личных данных третьим лицам, зачем вы это делаете? Ваш комментарий вполне мог ограничиться фразой:
                                                                    Если погуглить, то может найти и другую информацию. Даже о месте жительства человека

                                                                +2
                                                                Информация перекликается с новостью В Украине арестованы разработчики трояна Carberp

                                                                оттуда: «Это были программисты, работавшие удаленно в Киеве, Запорожье, Львове, Херсоне и Одессе. Как правило, они не знали друг друга, каждый отвечал за свою часть разработки программного модуля. Потом данные передавались на главный сервер в Одессе, там же работал главный организатор — 28-летний гражданин России», — пояснил представитель СБУ. По его словам, основной ошибкой группировки был системный характер преступлений.
                                                              +4
                                                              Если такой инструмент предназначен для них, то это само по себе противозаконное действие.
                                                                +1
                                                                А это уже зависит от статьи местного УК. Начиная с «приготовления к преступлению» вплоть до прямого запрета «изготовления» и «хранения».
                                                                  0
                                                                  И даже покушения на изготовление.
                                                          +2
                                                            +5
                                                            Берём блокнот, ручку и начинаем переписывать IP пиров…
                                                              0
                                                              Там все очень предсказуемо: Россия, Украина, США, белорусский ip даже вижу. Гэбне придется покататься )
                                                              +1
                                                              Гм, 404…
                                                                0
                                                                Ну значит и на TPB есть цензура:)
                                                                Гуглите, оно есть на других торрентах. То, что попало в сеть один раз, остается там навсегда.
                                                                  +1
                                                                  Magnet-ссылка: http://tinyurl.com/carberp-sources

                                                                  Хм, а мой аккаунт удалили…
                                                                    0
                                                                    Аккаунт это такое, главное, чтобы Вас теперь не удалили… )
                                                                      0
                                                                      Ах, бросьте. Вот, например, статья 273 УК РФ наказывает за создание, использование вредоносного ПО, а также за «распространение таких программ или машинных носителей с такими программами». Бинарный файл с расширением .rar и неизвестным паролем вредоносным ПО не является, как и машинным носителем. Максимум — учебный материал в форме исходных кодов, и то — если вы знаете пароль. Вы вот пароль знаете? :)
                                                                        0
                                                                        Если не ошибаюсь, в ранних комментариях говорят, что пароль не проблема. Сам не пробовал.
                                                                          0
                                                                          Бинарный файл с расширением .rar и неизвестным паролем вредоносным ПО не является

                                                                          Это вы так решили?
                                                                          Закон считает несколько по другому
                                                                          Программой для ЭВМ является представленная в объективной форме совокупность данных и команд, предназначенных для функционирования ЭВМ и других компьютерных устройств в целях получения определенного результата
                                                                          и ничего не говорит про расширения и пароли.
                                                                            0
                                                                            Т.е. чтобы подтвердить или опровергнуть то, является ли (возможно) шифрованный (возможно) .rar-архив программой или нет, нужно просто его запустить. Если запустить не выходит — это не программа, т.к. не содержит команды для функционирования ЭВМ для получения определенного результата — результата нет.

                                                                            А то так можно дойти до того, что .mp3-файл — это тоже программа, и запись шума с орбитального телескопа — тоже.
                                                                              0
                                                                              Нет, нужно проанализировать содержимое — если там есть (в любом виде — шифрованном, сжатом или ещё каком) совокупность команд и данных с определенным результатом, то это программа (ну или их набор, или программа и куча левых данных).
                                                                                0
                                                                                Дайте мне любой файл на ваше усмотрение, и я докажу, что он является вредоносной программой — я просто найду такой XOR-ключ, который на выходе после расшифровывания даст экземпляр того же carberp.

                                                                                Никакая экспертиза не может доказать, что за информация находится в шифрованном виде, т.к. факт шифрования в принципе недоказуем. В сжатом, в еще каком, но не в шифрованном.
                                                                                  0
                                                                                  Факт и, иногда, алгоритм шифрования может определяться по косвенным признакам. Ключ — техническими или оперативными методами.

                                                                                  Если в Англии (если не ошибаюсь) сажают за отказ выдать ключ, то уж факт шифрования они как-то устанавливают. И это при их правосудии, а при нашем и простой белый шум за шифр выдадут (а если очень надо — и запишут) и представят его как признак сокрытия улик.
                                                                                    0
                                                                                    :(
                                                                                      0
                                                                                      Ну когда HASP-ключик записали как флешку, то я уже не удивлюсь
                                                                                    • UFO just landed and posted this here
                                                                                        +2
                                                                                        Даже у пустого файла есть имя, которое можно считать повторяющимся до тех пор, пока не закончится ключ. Можно, например, расшифровать «somefile.dat» при помощи этого:
                                                                                        Скрытый текст
                                                                                        -----BEGIN XOR KEY-----
                                                                                        UAYDBgocCAAOWBIAFwYCSw5XZgxAEEEZEgYDTQ8H
                                                                                        GEVPFgYXX08ODQcbTE9PFgYCKDJERR1JHBdHChUS
                                                                                        W00kRSckTDFrLEE8Mi0/IDQrTCd5JSk1Oy4lRVxa
                                                                                        MAsMTVpUAQoZEBQHTFUVRBx+
                                                                                        -----END XOR KEY-----
                                                                                        
                                                                                        0
                                                                                        мимо
                                                                            0
                                                                            Зачем гуглить если вверху есть ссылка на меге =)
                                                                        +8
                                                                        Отличный материал для учебы и саморазвития. Зловредов писать совершенно необязательно, но очень увлекательно посмотреть «как это сделано».
                                                                          +10
                                                                          Было бы интересно посмотреть результаты анализа от PVS-Studio.
                                                                            –2
                                                                            Да, было бы интересно.Вообще, PVS-Studio достойная программа.
                                                                              +2
                                                                              Ага, вот здесь у вас переполнение буфера, вот там, там и там — используется неинициализированная переменная со стека, дальше вообще непойми что. Этот код будет чаще падать в коре, чем работать, скажет ПВС студия. :)

                                                                              На самом деле, код самого эксплойта не обязан иметь уязвимости, которыми он пользуется, так что вряд ли что интересное найдется.
                                                                                +3
                                                                                Чтобы написать эксплоит для зараженных машин? :)

                                                                              Only users with full accounts can post comments. Log in, please.