Специалисти по информационна защита и сигурност от Fireeye съобщават за регистрацията на нова атака с опасна зловредна програма, насочена към компании от финансовия сектор. Атаката се предполага, че идва от рускоговоряща киберпрестъпна групировка с оглед на езика, използван от инструментите, включени в нея. Особеното на тази програма е, че тя започва действието си преди процеса по стартиране на операционната система. Използването на зловредните програми с т.нар. „буткит” (от англ.: boot – комп. „стартирам”) функционалности от киберпрестъпни групи не е често. Този тип зловредни програми са особено ефективни и носещи голяма полза на престъпни групи, поради това че са трудни за засичане от традиционните програми за защита, които започват да действат след стартиране на системата и се запазват, даже след премахването на операционната система.
Конкретната зловредна програма е част от Nemesis, цялостен пакет с инструменти, използван от киберпрестъпна групировка, кръстена от Fireeye FIN1. В комплекта са включени различни функционалности, като възможност за снимане на екрана, регистрация на натисканите клавиши, кражбата на пароли и друг тип информация. Конкретният буткит, засечен от Fireye се инсталира във VBR (Volume Boot Record) сектора на диска.
„В Windows, MBR (Master Boot Record) секторът е критично важен за процеса по стартиране на системата. Той съхранява информация за диска, в това число неговия номер и разположение на всеки от разделите по него, както и малко количество код, използван при процеса на стартиране. Този код търси основния (primary) активен дял и предава контрола на VBR сектора на дяла”, обясняват от Fireeye. Той (VBR сектора) е разположен в първия сектор на отделния дял, като съдържа машинен код, който е специфичен за операционната система или програма на конкретния дял на диска, Fireeye обясняват.
За успеха на атаката на Nemesis ключова роля играе BOOTRASH елемента от комплекта, посредством който програмата създава своя собствена виртуална файлова система, която съхранява компонентите на Nemesys в неразпределено пространство между отделните дискови дялове. След това програмата поема контрол над VBR сектора като презаписва кода в него. Именно този код отговаря за стартирането на Nemesis, като след това буткитът пресича някои от стартиращите процеси и инжектира свои компоненти в ядрото на Windows.
Използването на буткит програми е известно и преди. Пример за това са зловредни програми от семейството на TDL4 (или Olmarik), Necurs, Rovnix, KINS и Carberp, а освен за кражба на финансови данни, специалистите по интернет сигурност са регистрирали използването на буткит малуер и от кибершпионски групировки.
Пълният доклад на Fireeye може да откриете тук.