Как ЦРУ вызывало дождь: использование Rain Maker для сбора сведений с закрытых объектов

    Нашумевшая новость об утечке архива ЦРУ чаще всего преподносилась в контексте того, что спецслужба США могла подслушать, подсмотреть, узнать о нас с телефонов, компьютеров и даже телевизоров. Предлагаем вашему вниманию информацию об одном из их проектов с необычным названием Rain Maker. Он представляет собой набор утилит, направленный на скрытый сбор информации на исследуемом объекте, не подключенном к сети Интернет. Агент получает специальную флешку с музыкой и portable VLC-плеером, подключает ее к компьютеру жертвы и спокойно работает под современные хиты. Закончив работу, передает флешку со скрытыми на ней и зашифрованными данными координатору, который отправляет ее в центр на расшифровку. Как это реализовано технически?


    * Из архива ЦРУ к этому проекту. У агентов тоже есть юмор!

    Запуск вредоносного ПО


    Пропустим этап специальной подготовки флешки (его мы раскроем чуть позже) и начнем с того, что происходит, когда пользователь запускает vlc.exe с этого носителя.

    Первым делом плеер читает файл со своим xml-манифестом, чтобы понять, есть ли какие-то дополнительные зависимости, которые нужно подгрузить. Там заранее прописан вызов якобы стандартной библиотеки psapi.dll (process status application programming interface), но запускается ее аналог-заглушка, которая потом перенаправляет запросы в оригинальную библиотеку. Кроме важной функции перенаправления, заглушка определяет, нужно ли активировать основной функционал шпионской программы или все же выдавать себя не стоит. Для этого осуществляется проверка факта запуска файла именно с «подготовленной» флешки (а не с другого носителя) за счет сверки зашитого серийного номера тома диска и номера носителя, на котором исполняется программа. Таким образом, «шпион» не раскроет себя, если его куда-то перенесут.

    Как обеспечивается persistense


    Этот пример интересен еще и тем, что для загрузки payload, обеспечения persistense у ЦРУ есть большие наработки. Не нужно каждый раз думать, как это делать, — есть специальная библиотека и даже рекомендации по обеспечению устойчивости вредоноса к обнаружению. Например, дается совет использовать стандартные функции для загрузки библиотеки LoadLibrary, а загрузчик должен корректно обрабатывать все exit-статусы в соответствии с MSDN. Выполнение таких правил требует времени и бывает, что такие вещи просто игнорируются blackhat-разработчиками.

    Тем не менее, атаки такого типа известны. Описание принципа реализации такой side-by-side атаки доступно тут. Есть шанс, что если бы реальный файл этого ПО попал в песочницу, то он был бы раскрыт. Однако еще есть человеческий фактор: обратил бы администратор внимание на рекомендацию от песочницы?

    Если dll-заглушка была запущена с правильного носителя, то она преобразует серийный номер в AES-ключ и расшифровывает основную библиотеку Rain Maker DLL и загружает ее в отдельном потоке в рамках основного процесса VLC. Более того, заглушка устанавливает mutex в ОС, чтобы основной payload не запускался несколько раз во избежание ошибок в его работе.

    Сбор данных


    Новая часть вредоносного ПО, только что созданная из «ниоткуда», проверяет, как давно она запускалась на этом компьютере, запрашивая его имя и текущее время, и сравнивая md5-хэш имени с сохраненными. Если не прошло 7 дней, то искать новых файлов программа на компьютере не будет, если она не запускалась или уже давно не работала (7 и более дней), то перейдет к следующим шагам. Хранит сведения программа скрытно в NTFS-потоках. Данная техника не нова, но эффективна, тем более, что, судя по всему, в ЦРУ уже написаны библиотеки по работе с ними — нужно просто вызвать правильную функцию DTNtfsAds_BK(wchar_t* filenameToAppendADS), подключив заранее библиотеку, так что разработчику в команде даже не нужно думать, как ее использовать. Это лишний раз подтверждается простотой руководства для новичков. Данные пишутся в поток [буква_диска_подмонтированной_флешки]:\\:$DataIdN.

    Как только программа определила, что места на диске достаточно, чтобы исключить переполнение флешки и не помешать слушать музыку агенту, она начинает сбор файлов по заранее зашитой в нее конфигурации. Например, настроить пакет перед заливкой можно было так:

    RainMakerConfigurator.exe -t TargetDirectories.txt -e *.docx;*.doc;*.xls;*.xlsx;*.pdf; -f 23 -vlc E:\vlc-2.1.5\vlc.exe -r plugins\access\customplugins.dat -p RainMaker_PubKey.pem
    

    Где:
    -t TargetDirectories.txt — список директорий на целевом компьютере, где искать файлы
    -e *.docx;*.doc;*.xls;*.xlsx;*.pdf — типы файлов для копирования
    -f 23 — процент свободного места, который должен оставаться на флешке
    -vlc E:\vlc-2.1.5\vlc.exe — исполняемый файл VLC, в который зашивается вредонос
    -r plugins\access\customplugins.dat — место хранения шифрованного контейнера с данными
    -p RainMaker_PubKey.pem — путь к сертификату, открытым ключом которого будут защищены данные в контейнере до момента передачи носителя обратно в ЦРУ и их расшифровки с помощью закрытого ключа, который агенту не выдается.

    Резюме


    Таким образом, сведения о том, какие файлы были собраны и каково их содержимое, остаются закрытыми до момента расшифровки и не защищаются от раскрытия, в случае если носитель окажется в чужих руках или данные с носителя будут скопированы на другой носитель. Скорее всего, такой вектор атаки использовался для сбора сведений в закрытых сетях, где нет доступа в сеть Интернет. К сожалению, проверить правдивость данных, опубликованных в архиве Wikileaks нет возможности, тем более, что исходных кодов инструмента никто не опубликовал, однако описание сценария атаки с «внутреннего портала ЦРУ» выглядит довольно правдоподобно, и его стоит рассматривать как актуальный способ проникновения для таких специфических объектов.

    Юрий Сергеев, Центр информационной безопасности компании «Инфосистемы Джет».
    Инфосистемы Джет
    Системный интегратор

    Comments 36

      0
      В ЦРУ умеют использовать авторан с флешек для запуска троянов?
      Или я не понимаю всей серьёзности показного вектора атаки?
        0
        В данном случае, судя по описанию, либо агент сам запускал плеер с флешки (пришел подрядчик, хочет послушать музыку), либо носители использовали в рамках социальной инженерии (тот же подрядчик, например, дает сотрудникам заказчика послушать музыку со своей флешки).
          0

          Наверное послушать музыку с помощью плеера записанного на флешке, а не просто послушать музыку со своей флешки.
          Наверное формат музыки не поддерживается стандартным ПО, типа FLAC...

            0
            То есть всё ещё страшней, даже автоматизации нет.
              +5

              В каком смысле — страшнее? Лично мне кажется, что тут ЦРУ все делало технически правильно, потому что зачастую остаться вне подозрений важнее чем получить данные. Пока ты вне подозрений — количество попыток не ограничено.

                +1
                Да. Тоже понравилась логика.
                Это не вирус и не троян — у него нет задачи распространяться. Наоборот, он неплохо защищен от копирования.
                  0
                  это как раз троян :-)
                  самостоятельно распространяться у трояна задачи обычно и нет :-)
                  +2
                  Скажем так я ожидал прочитав кусок заголовка «Rain Maker для сбора сведений с закрытых объектов» и ЦРУ я ожидал увидеть какое то хитрое решение, с использованием не документированных возможностей. Какую нибудь систему для передачи информации путём модулирования работы ШИМа подсветки монитора, ну или типа того.
                  А не как что приходит понимаешь ли агент(на закрытый объект), садится за комп вставляет флешку запускает с неё экзешник(всё ещё на закрытом объекте) чтобы якобы послушать музыку(меломан хренов со своей музыкой на флешке) при помощи VLC(честно я не знаю как там у них а, но за свою жизнь я видел крайне мало случаев использования данного плеера для прослушивания музыки). В которой настроил копирование файлов по маске.
                  PS. Извините я наверно сильно зажрался, но просто не впечатлило, хотя может при этом и неплохо работает.
                    +3

                    Я тоже ожидал хитрых решений. Но разве вы не видите, что описанное тут решение, хоть и не столь хитрое — очень изящное?


                    Флешка — совершенно не подозрительная. Если ее заметит охрана и отберет — всегда есть отмазка: попросту забыл ее в кармане. Даже если флешку не отдадут, а будут изучать — то практически любая проверка покажет, что там музыка и совершенно обычный плеер. И даже если после проверки ее не отдадут — не страшно, это расходный материал.


                    И, к слову, не обязательно ее проносить самому. Можно случайно "потерять" ее в доме "друга", а через неделю спросить его, не находил ли "друг" флешку с музыкой. Или можно придумать что-то еще. В конце концов, социальная инженерия — это основная специальность агентов ЦРУ.

                      +1
                      Про последний абзац, учитывая что никакой функции вируса/трояна нет. Друг должен найти флешку, и пожелать воспользоватся плеером, причём на работе ну маловероятно.
                        0

                        Почему маловероятно-то? Надо просто выбрать друга — меломана, который слабо знаком с ИБ. И часть музыки должна быть в формате, который виндовым Media Player не воспроизводится.

                          0
                          Странное сочетание меломан и пользуется Media Player. И понесет чужую флешку на работу а не скопирует себе. Но всякое конечно бывает…
                            0

                            Так надо по дороге на работу ее подбрасывать. А Media Player он в этом гипотетическом случае не то чтобы пользуется, просто другого плеера на рабочем компе не стоит :)

                              +4
                              Я думаю, речь идет не о музыке: исламисты обожают слушать проповеди/песнопения/наставления. Передаются эти вещи как раз-таки из рук в руки.

                              Использование конкретного плеера можно замотивировать либо наличием плейлистов либо наличием титров/аудиодорожек либо удобной локализацией под родной язык.
                                0

                                Нет, это мною в виду не имелось. Но тоже является возможным вариантом.

                          +2
                          Да, в этом и фишка. Все максимально просто и фунционально. Нет никакого rocket science, но при этом антивирус этот софт не должен задетектить. Были бы исходные коды, можно было бы оценить их качество, а так судя по документации инструмент точно использовали, есть User Guide, Developer Notes, вышло несколько версий софта.
                      0
                      Авторан для флешек можно отключить.
                  +5

                  Ну если агент может вставить флешку и запустить с неё exe, то значит, что в организации нет службы безопасности. А если нет службы безопасности, то зачем все так усложнять?

                    0
                    Думаю речь идет не всегда про агента а скорее социальную инженерию
                    Если Вы смотрели недавний сериал Мистер Робот, то там как раз разыгран подобный случай.
                    Для попаданию в закрытую базу полицейского управления хакеры разбросали вокруг здания флешки,
                    загрузив которую глупый сотрудник и позволил бы им попасть в закрытую сеть и скачать что нужно пока
                    идет проигрывание музыки.
                      0
                      Этот тот веселый сериал для детей, где в начале чувак
                      — блэчит ИЗ ДОМА
                      — а потом в приступе паники сверлит жесткие диски дрелью???

                      Хороший пример, показательный)
                  • UFO just landed and posted this here
                      0

                      Во-первых, агент — специалист по людям, а не по компьютерам.
                      Во-вторых, плеер еще можно запустить незаметно, если повезет. А искать вручную значит сидеть за компом.
                      В-третьих, если флешку с файлами досмотрят на выходе — агент будет провален. А флешку с музыкой можно с извинениями отдать охране.

                      • UFO just landed and posted this here
                          –2
                          Расскажу вам про DLP которые делают скриншоты, журналирование и теневое копирование фаловых операци со съемными носителями.
                      0
                      Вначале подумал, что будут говорить про Rainmeter.
                        +3
                        почему-то вспомнилось:
                        Уважаемый получатель, Вы только что получили вирус «ТАЛИБАН». Поскольку мы в Афганистане не так уж и продвинуты в технологиях — этот вирус следует исполнять вручную. Пожалуйста, перешлите это письмо всем, кого знаете, и уничтожьте все файлы на Вашем жестком диске собственноручно. Большое спасибо за помощь. Абдулла, хакер из Талибана.

                        сорри за оффтопик
                          –1
                          Нда. Перевести proxy хоть попытались (хоть и неудачно — какая заглушка? посредник же!), то «живучести» и «вредоносному коду» повезло меньше…
                            0
                            Учитывая, что компьютеры хранящие более менее важную информацию серьёзно ограничивают подключение внешних устройств, а особо параноидальные даже физически устраняют USB-порты встаёт вопрос: какова целевая аудитория и информация для сего «шедевра»?
                            Или топ службы тоже балуются кардингом, а может и стимом не брезгуют?)) Хотя, в прочем, такой обвес вполне сгодится на пополнение своей же медиатеки, что бы в следующий раз агенту было, что нового послушать…
                              0
                              Не все далеко не все. Многие специалисты старой закалки полагают, что простого отключения от сети хватит. Да и много ли молодых или компетентных CISO в этой стране и других странах 2 и 3 мира?
                                +1
                                Ну да… Мы же палкой землю копаем. Весело. По телевизору " русские хакеры ", которые все и вся ломают, здесь уже страна 3 мира оказывается… Думаю истина где-то по середине. Но факты, остаются фактами. Сомнительно в этом контексте вообще употребление слова «специалист» тогда, или Вы имели ввиду специалистов по уборке помещений? А много их или мало… повторю — там где действительно что-то интересное хранится существуют административные меры, режимные мероприятия и прочее. И спрашивать, что там и кто полагает не станут. Скажут как надо и будь добр. Или не будь, но тогда жди когда по шапке получишь.
                                  –1
                                  «Специалистов» таких обычно и не спрашивают. В таких местах, где есть важная информация есть административные меры и прочие режимные мероприятия.
                                  И считают они отключение провода или не считают — ни кто и слушать не станет.
                                  Не все далеко не все

                                  Это уже абсурд, если рассматривать комментарий Beowulf в контексте статьи, то он безусловно прав, в любом гос. учреждении, где есть хоть сколько-нибудь важная информация, делается именно так, как и описано в комментарии, а в некоторых, если вы просто попытаетесь воткнуть флешку в usb, то через пару минут уже будете отвечать на нелицеприятные вопросы.
                                  А в коммерции покушаться на мелкую фирму никто не будет, а крупные защищают не хуже гос. учреждений, а иногда и лучше.
                                0
                                Автор, на каком говносайте отрыли эту КДПВ-гифку? Имейте уважение к читателю.
                                0
                                Software restriction policies появились в XP 15 лет назад, да кому это интересно при настройке ИБ в организации?

                                Заголовок
                                  +1
                                  Исходя из:
                                  К сожалению, проверить правдивость данных, опубликованных в архиве Wikileaks нет возможности

                                  Это остается всего лишь очередной догадкой.
                                  Ах да и еще одно, этому РэйнМейкеру далеко до СтаксНета, который в свое время приостановил ядерную программу Ирана, а попалился только из-за спешки израильских спецслужб.
                                    0
                                    Нормальный узкоспециализированных инструмент.

                                    1. Тебя вербуют, дают денег или идеологически обрабатывают, выдают задание вынести определённые документы.
                                    2. Новоявленный шпион и предатель родины немножко очкует, да и вообще в ИТ не силён, просто имет --доступ--.
                                    3. Ему говорят донт ворри май рашён френд, держи специальную флешку, которая сделает все за тебя. Ты главное сиди и наслаждайся мьюзик.

                                    Only users with full accounts can post comments. Log in, please.