, 2022/3/22
A Deep Instinct munkatársai azt állítják, hogy tanulmányozták az Arid Viper kiberbűnözői kör által használt malware Go-written változatát. A 2015-ben alapított Deep Instinct azt mondja, hogy mély tanulást használ a rosszindulatú programok felismerésére és blokkolására.
Egy mélytanulási modell képzése során, amely a Go nyelven írt szoftveres kártevők azonosítására összpontosít, a kutatók felfedeztek egy, a programozási nyelvvel épített futtatható fájlt, elküldték a VirusTotal weboldalra, és azt találták, hogy csak hat biztonsági szolgáltató jelölte meg a bináris fájlt rosszindulatúnak.
A további vizsgálatok két hasonló, Go-val írt bináris programot fedeztek fel.
Ezekből a programokból, mint mondták, világossá vált, hogy a csapat a Micropsia egy változatával állt szemben. Ezt a kártevőt 2017-ben azonosították, és kizárólag az Arid Viper, egy fejlett tartós fenyegetés (APT) csoport használja, amelyről úgy vélik, hogy Gázában székel, és APT-C-23 néven ismert. A Deep Instinct a Go-written malware-t Arid Gopher-nek nevezte el.
"Ez az új variáns még fejlesztés alatt áll; mindhárom fájl közös alapvonalon osztozik, de mindegyik fájl egyedi kódot tartalmaz, amely nincs jelen a többi fájlban" - írták Simon Kenin és Asaf Gilboa, a Deep Instinct kutatói egy hétfői elemzésükben. "A fő implantátum mellett a vizsgálatunk feltárt egy 'segítő' kártevőt, amely szintén Go nyelven íródott, valamint egy második lépcsős kártevőt, amelyet a C2 [command-and-control] szerverről töltöttek le".
Az Arid Gopher lényegében ugyanazzal a funkcionalitással rendelkezik, mint az Arid Viper; egyszerűen csak Go nyelven íródott. "Mi is így hoztuk kapcsolatba az Arid Viperrel" - mondta Moshe Hayun, a Deep Instinct fenyegetésfelderítő csoportjának vezetője a The Register című lapnak. "Kódhasonlóságokat és funkcionális hasonlóságokat használtunk. Így jöttünk rá, hogy ez ugyanaz a szereplő, a dekompilálót, a reverse engineeringet használva, és megvizsgálva a funkcionalitásokat és azt, hogy miként csinál dolgokat"."
Kenin elmondta a The Register-nek, hogy a kód Go nyelven történő megírása valószínűleg a felderítés megkerülésének módja volt. Nem szokatlan, hogy a fenyegető csoportok váltogatják a használt programozási nyelvet, hogy a rosszindulatú szoftverek ne kerüljenek a figyelem középpontjába. A Deep Instinct februárban kiadott 2022-es kiberfenyegetettségi jelentésében azt írta, hogy 2021-ben azt látta, hogy a bandák a régebbi nyelvektől, mint a C és a C++, az újabbakra, köztük a Pythonra és a Go-ra váltottak, amelyek könnyen megtanulhatók.
A vírusirtó motorok nem ismerhetik az ezeken az újabb nyelveken előállított futtatható programok szerkezetét vagy identitását; egy C++ nyelven készült bináris program lehet, hogy szerepel a rosszindulatú programok adatbázisában, de egy Go nyelven átírt bináris program nem, így a készítői több időt nyerhetnek a felderítés elkerülésére. Az is lehet, hogy a kiberbűnözők csak lépést tartanak a szoftverfejlesztési trendekkel, eszközökkel és könyvtárakkal. Az Arid Viper esetében a kiagyalók számos programozási nyelvet használtak, a Pascaltól és a Delphitől a C++-on és a Pythonon át a Go-ig.
Ami nem változott, az a kártevő működése vagy a célja. "Az APT-k egyetlen célja, hogy fontos eszközökbe szivárogjanak be" - mondta Hayun. "Nem tudom, hogy láttam-e már APT-t ennyi nyelvről átültetni, mint a Delphi [és] Pascal, de a Go malware most egyfajta trend, mert ez egy új nyelv, sok nyílt forráskódú könyvtárral rendelkezik, sok könyvtárral, mint például segédfunkciókkal, hogy információkat gyűjtsön az áldozat számítógépeiről és hasonlókkal. Nem tudom, mennyire egyedi.
Az APT-k is ezt csinálják. A modelljeik több nyelven is elérhetőek.
Nem emlékszem, hogy bárki APT pontosan ezeket a nyelveket használta volna, vagy átültette volna Go nyelvre." A Deep Instinct szerint az Arid Viper kártevője Microsoft Windows-t futtató számítógépeket céloz meg, és elsősorban a Közel-Keleten használták, különös tekintettel a palesztin célpontokra. A kutatók szerint a múltban a Hamászhoz is kapcsolódott. Létezik egy Android-törzs is, amelyet nyilvánvalóan izraeli célpontok ellen használnak, és tavaly a Facebook-tulajdonos Meta kiadott egy jelentést [PDF], amely azonosította az Arid Viper által kifejlesztett iOS csúnyaságot.
A Deep Instinct felvázolta az általa felfedezett Arid Gopher-változatokat. Az Arid Gopher V1 Go 1.16.5gs nyelven íródott, és a GitHubról elérhető könyvtárak kódját tartalmazza, ami a kutatók szerint "időt takarít meg a szerzőnek azzal, hogy nem kell egyes funkciókat a semmiből megírnia". Ez némi legitimitást is ad, mivel ezek a könyvtárak nem rosszindulatúak, de a malware szerzője rosszindulatú célokra visszaél a könyvtárak képességeivel".
Az Arid Gopher V2 változatának két változata is létezik, amelyeket az év eleje óta használnak. Mindkét minta Go 1.17.4 nyelven íródott, és a GitHubról származó nyilvános könyvtárak egy részét használja, amelyek a V1-ben is megtalálhatóak. A kettő közötti legfontosabb különbség a jóindulatú dokumentumok tartalma, amelyeket az áldozat asztalára mentenek, írta a csapat. A variánsokat .xz RAR-archívumokban küldik el e-mailben a célpontoknak, és hosszú fájlnévvel csomagolják ki, hogy remélhetőleg eltűnjön a szem elől az .exe kiterjesztésük.
Sikeres futtatásuk után megfertőzik a gazdaszámítógép Windows PC-jét, hátsó ajtót nyitnak egy parancsvezérlő szerverre, hogy további utasításokat kapjanak, majd egy csalárd dokumentumot dobnak az asztalra és megjelenítik azt, hogy az áldozat azt higgye, hogy egyszerűen csak egy csatolt Word-fájlt mentett és nyitott meg, nem pedig kártevőt. A változatok folytatják azt is, hogy az Arid Viper népszerű tévéműsorok szereplőinek neveit használja a tartománynevekben. A V1-ben a Grace Fraser nevet használják egy domain névben. Grace Fraser az HBO The Undoing című sorozatának egyik szereplője.
A V2-ben egy használt név Pam Beesly, a The Office című sitcom szereplője. Gilboa és Kenin azt állítják, hogy a mélytanulás előnyhöz juttatja őket a rivális kiberbiztonsági szolgáltatókkal szemben a rosszindulatú kódok felkutatásában. A kutatók azt írták, hogy egyes versenytársak kézzel hangolt heurisztikákra, vagyis a klasszikus gépi tanulási modellekbe táplált, kézzel kiválasztott jellemzőkre támaszkodnak annak megállapításakor, hogy egy fájl rosszindulatú vagy legitim. Más módszerek közé tartozik a programok futtatása egy homokozóban, hogy több információhoz jussanak.
A Deep Instinct ehelyett a modelleket úgy képzi ki, hogy menet közben tanuljanak. "A kutatók manuálisan nézik át a mintákat, majd frissítik az aláírásmechanizmusukat" - mondta Hayun. "Mi ezt egy kicsit másképp csináljuk. Hatalmas mennyiségű adatot veszünk, így nagyon nagy a valószínűsége, hogy a mélytanulási modelljeink már láttak valami hasonlót.
"Azt mondják: 'Láttam valami hasonlót. Tudom, hogy ez és ez és ez növeli annak a valószínűségét, hogy valami rosszindulatú", így a következő alkalommal, amikor valami kicsit hasonló kerül a modellbe, azt fogja mondani: "Láttam valami hasonlót, mint ez". A legmagasabb minőséget fogom adni neki, hogy ez legyen rosszindulatú"."