Sirefef, czyli wykańczamy 13-letniego trojana

Botnet ZeroAccess (znany również jako Sirefef lub ZAccess) po raz pierwszy pojawił się latem 2011 roku i w ciągu dwóch lat stał się jednym z największych botnetów w sieci Orange. Czemu wspominamy go po 13 latach? Okazuje się bowiem, że w naszej wciąż są – czy raczej były – zainfekowane hosty!

Kluczową cechą botnetu Sirefef (w tekście będziemy używać nazwy pod którą widnieje w CyberTarczy) jest (czy w zasadzie było) wykorzystywanie przez niego komunikacji typu peer-to-peer w połączeniach do serwerów C2. Pozwala to oszustom na wysoki stopień dostępności i redundancję, w sytuacji, gdy nie istnieje jeden centralny serwer Command&Control.

Niechciane reklamy i kryptowaluty

Sirefef zaprojektowano głównie do dostarczania na zainfekowane komputery oprogramowania adware i koparek kryptowalut. Moduły adware nawiązują połączenia do stron reklamowych i generują sztuczne kliknięcia na reklamach, symulując działanie użytkowników. Koparki kryptowalut natomiast wykorzystują zasoby sprzętowe zainfekowanego urządzenia do pozyskiwania kryptowalut na konto portfela przestępcy.

Od kilku lat botnet Sirefef można by już określić mianem martwego. Choć potrafił korzystać z niezliczonej ilości serwerów C2, obecnie korzysta tylko z jednego. Jeśli jesteś adminem i chcesz sprawdzić, czy w Twojej sieci nie ma kogoś zainfekowanego – szukaj ruchu do IP 208.100.26.240.

I do tego adresu właśnie usiłowała się (oczywiście nieświadomie) dostać spora grupa klientów usług Orange Polska. Jeśli znajdowaliście się w grupie zainfekowanych trojanem Sirefef i macie internet z Orange Polska – już o tym wiecie. W ostatnich dniach próbując połączyć się z internetem widzieliście stronę CyberTarczy, informującą o infekcji. Statystyki wskazują na to, że kampania przyniosła efekt i znaczna część z Was pozbyła się paskudztwa ze swoich komputerów!

Nawet jednak jeśli było Cię w tej grupie – nie zaszkodzi sprawdzić, jak czuje się Twoja domowa sieć. W tym celu wejdź na stronę CyberTarczy i zobacz, czy masz się czego obawiać – nawet jeśli to nie Sirefef.

Sirefef – techniczny rzut okiem

Jak działał Sirefef w momencie infekcji? wykorzystuje technikę Process Hollowing do podmiany wartości legalnego sterownika z podstawionym. Wybiera losowo jeden z sterowników startowych systemu i zastępuje go złośliwym, ustawiając jego długość na taką samą, jak oryginału. W efekcie podczas uruchamiania systemu operacyjnego ładowany jest sterownik złośliwy, by w następnym kroku… załadować oryginalny (niezainfekowany) sterownik ze swojego prywatnego magazynu aktywów. Ostatecznie złośliwe oprogramowanie zmienia połączenie bazy danych wejścia/wyjścia (I/O) w taki sposób, aby zastąpić oryginalny sterownik, dzięki czemu oryginalny sterownik działa normalnie.

Może się więc okazać, że – jeśli trafimy na wyjątkowo uporczywy kod ZeroAccess/Sirefef, persystencja będzie tak głęboka, że do usunięcia zagrożenia niezbędne będzie zainstalowanie systemu operacyjnego od nowa… Mamy nadzieję, że w przypadku tych, z Was, których ostrzegła CyberTarcza, tak nie było.