Онлайн-сканер вирусов VirusTotal помогал хакерам отладить вредоносные коды

Бесплатная онлайн-служба VirusTotal, запущенная в 2004 году компанией Hispasec Sistemas в Испании и приобретенная Google в 2012, содержит в совокупности больше трех дюжин антивирусных сканеров, разработанных Symantec, Kaspersky Lab, F-Secure и другими. Любой, кто найдет или получит подозрительный файл, может загрузить его в этот сервис, чтобы проверить, как отреагируют на содержимое сканеры.

Но средство, предназначенное для защиты от хакеров, одновременно, не желая того, предоставляет им полезный инструмент для отладки и совершенствования их программ – возможность модифицировать код снова и снова, пока он не научится обманывать самые лучшие антивирусы 2015 года по версии http://basetop.ru. Рейтинг таковых хоть и растет из года в год, однако и вирусные программы развиваются не хуже.

Специалисты давно высказывали предположения о таком использовании антивирусного сайта хакерами и спецслужбами разных государств, но это были только подозрения.

Теперь Брэндон Диксон (Brandon Dixon), независимый эксперт компьютерной безопасности, нашел подобному веские доказательства. Он проводил на этом сервисе свои исследования в течение многих лет и, анализируя данные, связанные с каждым загруженным файлом, смог идентифицировать несколько хакерских команд, когда они использовали VirusTotal для отладки вредоносного кода.

Исследователю удалось сделать такое потому, что каждый файл оставляет след в базе метаданных, доступной специалистам в области безопасности – пользователям VirusTotal расширенного уровня.

Данные включают имя и точное время получения файла, хеш IP-адреса источника и страну, которой принадлежит этот адрес. Хотя IP-адрес замаскирован хешем, данная информация помогает связать все файлы с одним человеком, если он при загрузке не изменяет адрес компьютера. Большинство групп, не осведомленные о факте наблюдения, применяли небольшое количество машин и не маскировали их IP-адреса.

При помощи созданного им аналитического алгоритма Диксон определил паттерны и выделил среди файлов несколько кластеров, каждый из которых принадлежал какой-то одной группе хакеров. В том числе удалось обнаружить две известные команды кибершпионов, базирующихся, как можно предположить, в Китае.

Согласно рейтингу хакеров, опубликованному на http://basetop.ru, один из самых продуктивных вирусописателей – скандально известная команда Comment Crew, она же APT1, действующая с 2006 года. За это время группа, возможно, поддерживаемая спецслужбами Китая, похитила терабайт данных, принадлежащих Coca-Cola, RSA и сотне других компаний и правительственных учреждений.

Позже группа сосредоточилась на критической инфраструктуре США, нацеливаясь на компанию Telvent, которая создает программы для управления электро-, газо- и водопроводными сетями.

Другая кибербанда (скорее всего, тоже китайская), известная исследователям безопасности как NetTraveler, взламывала компьютеры правительственных, дипломатических и военных учреждений в течение десятилетия.

На протяжении долгого времени Диксон смотрел на то, как нападавшие модифицировали и развивали свой код, меняли местами команды, применяли различные методы упаковки и шифрования, стремясь сократить число реагирующих сканеров. Исследователь мог даже в некоторых случаях угадать, когда злоумышленники перешли в наступление, – код, который он видел ранее, вновь появлялся на VirusTotal, загруженный туда подвергшимися нападению пользователями.

А NetTraveler однажды даже загрузила на проверку файлы, украденные с машин своих жертв. Диксон думает, что, по иронии судьбы, хакеры, возможно, боялись заразить свои компьютеры вирусом, поэтому проверяли добычу.

До сих пор Диксон не разглашал никаких сведений о своей работе, зная, что это заставило бы киберпреступников изменить тактику и затруднило сбор информации о них. Он решил обнародовать свои исследования и опубликовать код алгоритма после того, как большинство хакеров внезапно поумнели и перешли к использованию уникальных IP-адресов. Скорее всего, это связано с участившимися замечаниями экспертов по компьютерной безопасности о возможности использования сайта как инструмента тестирования троянов.

В архиве VirusTotal теперь достаточно данных, чтобы другие исследователи могли провести собственное расследование и, более чем вероятно, обнаружить хакерские группы и заготовки вирусов, пропущенные Диксоном.

Поскольку деятельность хакеров на Google VirusTotal выставлена на всеобщее обозрение, они хоть и продолжат использовать сайт, но применят специальные способы маскировки, затрудняющие отслеживание. Однако у антивирусных компаний теперь есть подтверждение, что часть кода, загруженного на сайт, принадлежит вирусам, только готовящимся к нападению. Это даст возможность опередить злоумышленников – искать паттерны и сигнатуры заранее, чтобы выпустить обновления защитных механизмов перед тем, как вредоносный код начнет распространяться.

31.03	37-й IT talk »
17.11	MBLTdev #2 »
16.11	GeekWeek-2015 »