скобок. В последней строке файла .reg содержится имя и значение параметра для данного ключа. В этом листинге добавляется параметр MaliciousValue, который автоматически запускает файл C:\Windows\evil.exe при каждой загрузке ОС.

API для работы с сетью

Для выполнения «грязной» работы вредоносное ПО обычно использует функции сетевого взаимодействия, которые в избытке присутствуют в Windows API. Создание сетевых сигнатур является сложной задачей, которой мы полностью посвятим главу 14. Здесь же мы попытаемся научить вас распознавать и понимать распространенные сетевые функции, чтобы вы могли определить, чем занимаются вредоносные программы, которые их используют.

Сокеты Беркли

Из всех сетевых механизмов Windows во вредоносном ПО чаще всего применяются сокеты Беркли, которые по своей функциональности почти идентичны в Windows-

иUNIX-системах.

ВWindows сетевые функции сокетов Беркли реализованы в библиотеках семейства Winsock — в основном в ws2_32.dll. Наиболее распространенными среди этих функций являются socket, connect, bind, listen, accept, send и recv — их описание приводится в табл. 7.2.

Таблица 7.2. Сетевые функции сокетов Беркли

ПРИМЕЧАНИЕ

Прежде чем использовать любую сетевую функцию, необходимо сделать вызов WSAStartup, чтобы выделить ресурсы для сетевых библиотек. Если во время отладки вы ищете код, который инициировал сетевое соединение, имеет смысл поставить точку останова на функции WSAStartup, таккак вслед за ней должно начаться сетевое взаимодействие.

У сетевого приложения всегда есть две стороны: серверная, которая держит сокет открытым в ожидании входящих соединений, и клиентская, которая подключается к ожидающему сокету. Вредонос может находиться на любой из них.

Если вы имеете дело с клиентским приложением, которое подключается к удаленному сокету, вслед за функцией socket должен последовать вызов connect, а потом, в случае необходимости, send и recv. Если речь идет о службе, которая отслеживает входящие соединения, порядок вызова функций будет таким: socket, bind, listen и accept (дальше могут последовать send и recv, если это необходимо). Такой принцип работы свойственен как вредоносным, так и обычным программам.

В листинге 7.3 показан пример приложения с серверным сокетом.

ПРИМЕЧАНИЕ

В этом примере опущена обработка ошибок и подготовка параметров. Реальный код пестрел бы вызовами WSAGetLastError и функциями обработки ошибок.

Листинг 7.3. Простая программа с серверным сокетом

Сначала WSAStartup инициализирует систему сокетов Win32, а затем функция socket создает сокет. Функция bind закрепляет сокет за портом, вызов listen подготавливает сокет к прослушиванию, а accept приостанавливает работу до тех пор, пока не примет соединение от удаленного сокета.

Помимо Winsock API существует более высокоуровневый интерфейс под названием WinINet API, функции которого хранятся в файле Wininet.dll. Если программа импортирует функции из этой библиотеки, она использует высокоуровневые интерфейсы для работы с сетью.

WinINet API реализует на прикладном уровне такие протоколы, как HTTP и FTP. Понять, что делает вредоносная программа, можно по тому, какие соединения она открывает.

InternetOpen используется для инициализации интернет-соединения.

InternetOpenUrl используется для подключения к URL (это может быть как HTTP-страница, так и FTP-ресурс).

InternetReadFile работает по тому же принципу, что и ReadFile, позволяя программе считывать данные из файла, загруженного по сети.

Вредоносное ПО может применять WinINet API для подключения к удаленному серверу и получения дальнейших инструкций.

Отслеживание запущенной вредоносной программы

Помимо переходов и вызова инструкций, видимых в IDA Pro, существует множество способов, с помощью которых вредоносная программа может передавать выполнение. Аналитик безопасности должен уметь определять, каким образом вредонос инициирует выполнение внешнего кода. Первым и самым распространенным способом доступа к коду, находящемуся за пределами файла, является использование библиотек DLL.

Библиотеки DLL

Библиотеки динамической компоновки являются современной технологией распределения кода между несколькими приложениями. DLL — это исполняемый файл, который сам не запускается, но экспортирует функции, доступные для использования в других программах.

До изобретения DLL обычно применялись статические библиотеки — они существуют и по сей день, но используются намного реже. Главным преимуществом DLL перед статической библиотекой является возможность разделения между выполняющимися процессами. Например, если статическая библиотека используется одновременно двумя приложениями, она будет занимать в памяти вдвое больше места, поскольку ее нужно будет загрузить два раза.

Еще один большой плюс динамических библиотек состоит в том, что при дистрибуции исполняемого файла можно использовать DLL, которые точно присутствуют

в системе, без необходимости их дублировать. Это помогает обычным разработчикам и авторам вредоносного ПО минимизировать размер программных пакетов.

DLL также является полезным механизмом повторного использования кода. Например, большие технологичные компании выносят в динамические библиотеки функциональность, общую для многих их приложений. Затем, во время дистрибуции, в программный пакет попадает главный исполняемый файл и DLL, которые он использует. Это позволяет хранить общий код в единой библиотеке и распространять его только в случае необходимости.

Как авторы вредоносного ПО используют DLL

Авторы вредоносов используют DLL тремя способами.

Для хранения зараженного кода. Иногда разработчики вредоносной программы предпочитают хранить зараженный код в DLL, а не в самом исполняемом файле. Некоторые вредоносы присоединяются к другим процессам, но любой процесс может иметь лишь один файл .exe. Иногда DLL используются для загрузки во внешние процессы.

Путем использования системных библиотек. Почти все вредоносные программы используют основные DLL, которые можно найти в любой системе Windows. Системные библиотеки содержат функции, необходимые для взаимодействия с ОС. То, как вредоносный код использует такие DLL, может стать отличным источником информации для аналитика безопасности. Импорты функций, которые рассматривались в этой и самой первой главе, берутся из системных библиотек. Мы будем продолжать описывать функции из разных DLL и то, как они используются во вредоносном ПО.

Путем использования сторонних библиотек. Вредоносный код может использовать и сторонние библиотеки для взаимодействия с другими программами. Если вредонос импортирует функции из сторонней DLL, из этого можно сделать вывод, что он обращается к соответствующей программе для достижения своих целей. Например, он может использовать библиотеки Mozilla Firefox для подключения к серверу, вместо того чтобы делать это напрямую через Windows API. Вредоносное ПО может также распространяться вместе с видоизмененной библиотекой DLL, чтобы использовать те ее возможности, которые отсутствуют на компьютере жертвы, — например, чтобы получить доступ к криптографическим функциям, поставляемым в виде DLL.

Базовая структура динамической библиотеки

Внутри DLL выглядят почти так же, как .exe-файлы. Они имеют формат PE, и только один флаг отличает их от обычных исполняемых файлов. DLL обычно имеют больше экспортных и меньше функций импорта. В остальном они идентичны файлам .exe.

Главной функцией в DLL является DllMain. Она не имеет метки и не экспортируется, но ее указывают в PE-заголовке в качестве точки входа. Библиотека уведомляется каждый раз, когда ее загружают или выгружают, а также при создании нового или завершении имеющегося потока. Это уведомление выглядит как вызов функции DLLMain и позволяет DLL управлять любыми ресурсами, относящимися к отдельным процессам или потокам.

Большинство библиотек не обладают ресурсами для отдельных потоков, поэтому они игнорируют соответствующие вызовы DLLMain. Но если таковые ресурсы присутствуют, это может послужить ценной информацией о назначении DLL.

Процессы

Вредоносное ПО также может выполнять код вне текущей программы, создавая новые или модифицируя имеющиеся процессы. Процесс — это программа, которую выполняет Windows. Он управляет собственными ресурсами, такими как открытые дескрипторы или память, и состоит из одного или нескольких потоков, которые выполняются центральным процессором. Традиционные вредоносные программы имеют собственный, независимый процесс, однако в наши дни зараженный код все чаще выполняется в рамках других процессов.

Windows использует процессы в качестве контейнеров для управления ресурсами и изолирует с их помощью разные программы. В системе Windows в любой момент можно найти 20–30 активных процессов, которые разделяют одни и те же ресурсы: ЦПУ, файловую систему, память и оборудование. Если бы всем программам приходилось заниматься управлением общими ресурсами самостоятельно, их написание было бы крайне сложным. ОС позволяет обращаться к ресурсам, не мешая другим процессам. Такая модель повышает стабильность, предотвращая ошибки и сбои, вызванные тем, что одна программа влияет на другую.

Одним из ресурсов, который особенно важно разделять на уровне ОС, является память. Чтобы достичь такого разделения, каждый процесс получает адресное пространство, отдельное от остальных процессов; это совокупность адресов памяти, которые доступны процессу.

Если программе понадобится дополнительная память, ОС выделит ее и передаст процессу адрес, по которому он может к ней обращаться. Процессы могут разделять адресное пространство, и они часто этим пользуются. Например, два разных процесса могут хранить информацию по адресу 0x00400000 без каких-либо конфликтов. Дело в том, что для одного и того же адреса могут использоваться разные участки оперативной памяти.

Адреса памяти, как и обычные почтовые адреса, имеют смысл только в определенном контексте. Например, номер дома и название улицы не помогут вам узнать конкретное местоположение, если не указать индекс почтового отделения. Точно так же адрес 0x0040A010 не скажет вам о том, где именно хранятся данные, если вы не знаете, о каком процессе идет речь. Обращаясь по адресу 0x0040A010, вредонос

затрагивает только то, что хранится там в контексте процесса, в котором он выполняется. Другие программы, которые выполняются в системе и используют этот адрес, останутся нетронутыми.

Создание нового процесса

Чаще всего для создания новых процессов во вредоносном ПО используется функция CreateProcess. Она принимает множество аргументов, а вызывающий код получает тесный контроль над процедурой создания. Например, с помощью этой функции вредонос может создать процесс, в котором будет выполняться его код: таким образом он сможет обойти локальные брандмауэры и другие механизмы безопасности. Точно так же он мог бы создать экземпляр Internet Explorer и использовать его для доступа к зараженному содержимому.

Вредоносные программы часто применяют CreateProcess для создания простой удаленной командной оболочки посредством лишь одного вызова. Один из аргументов этой функции, структура STARTUPINFO, содержит дескриптор стандартных потоков ввода, вывода и ошибок процесса. Вредоносный код может привязать эти значения к сокету. В результате все, что будет записано в стандартный вывод, попадет в сокет, что позволит злоумышленнику запустить командную оболочку удаленно, используя лишь функцию CreateProcess.

В листинге 7.4 показано, как с помощью CreateProcess можно создать простую удаленную командную оболочку. Данный код должен предварительно открыть сокет, связанный с удаленным компьютером. Дескриптор сокета хранится в стеке и входит в структуру STARTUPINFO. Затем делается вызов CreateProcess, после которого весь ввод и вывод процесса будет проходить через сокет.

Листинг 7.4. Пример кода с вызовом CreateProcess

В первой строке переменная SocketHandle перемещается со стека в регистр EAX (дескриптор сокета инициализируется за пределами этой функции). Структура lpStartupInfo хранит стандартный вывод , стандартный ввод и стандартный поток ошибок , которые будут использоваться в новом процессе. Все три значения этой структуры, , и , привязываются к сокету. Переменная dword_403098 позволяет получить доступ к командной строке будущей программы; в определенный момент она попадает в стек в качестве аргумента . Вызов CreateProcess имеет десять аргументов, но все они, кроме lpCommandLine, lpProcessInformation

иlpStartupInfo, равны либо 0, либо 1. Некоторые из них представляют значения NULL и другие флаги, но с точки зрения анализа безопасности они нам не интересны.

Вызов CreateProcess создаст новый процесс, весь ввод и вывод которого будет перенаправлен в сокет. Чтобы найти удаленный узел, нужно определить, где этот сокет был инициализирован (этот код не включен в листинг 7.4). Чтобы понять, какая программа будет запущена, нам необходимо перейти по адресу dword_403098, воспользовавшись IDA Pro, и посмотреть, какая строка там хранится.

Вредоносное ПО часто создает новые процессы путем сохранения одной программы внутри другой (в ее разделе ресурсов). В главе 1 мы говорили о том, что раздел ресурсов PE-файла может хранить в себе любой другой файл. Вредоносные программы иногда помещают туда исполняемые файлы. При запуске приложение извлекает дополнительный файл из своего PE-заголовка, записывает его на диск

изатем запускает с помощью вызова CreateProcess. То же самое можно делать с DLL

идругим исполняемым кодом. В таких случаях вам следует открыть программу в утилите Resource Hacker (см. главу 1) и сохранить встроенный исполняемый файл на диск для дальнейшего анализа.

Потоки

Процессы являются исполняемыми контейнерами, но на самом деле система Windows выполняет потоки — независимые цепочки инструкций, которые выполняются процессором без ожидания других потоков. Процесс может содержать один или несколько потоков, выполняющих какую-то часть его кода. Все потоки внутри процесса имеют общее адресное пространство, но каждому из них выделяются отдельные регистры и стек.

Контекст потока

Во время выполнения поток получает полный контроль над ЦПУ или его ядром, а другие потоки не могут повлиять на состояние этого процессора или ядра. Когда поток меняет значение регистра, он не затрагивает остальные потоки. Прежде чем переключиться на другой поток, ОС сохраняет все значения процессора в структуру, которую называют контекстом потока. Затем система загружает в процессор контекст нового потока и начинает его выполнение.

Встроке листинга 7.5 код обращается к локальной переменной (esp+58h)

исохраняет ее в EDX, после чего помещает EDX в стек. Если между этими инструкциями запустить другой код, который изменяет EDX, значение EDX окажется некорректным и наша программа выполнится неправильно. Если же использовать переключение контекста, значение EDX будет сохранено в контексте потока. Когда поток возобновит работу и выполнит инструкцию push, его контекст будет восстановлен и EDX опять будет иметь корректное значение. Так потоки не могут изменять регистры и флаги друг друга.

Создание потока

Для создания новых потоков используется функция CreateThread. Вызывающий ее код указывает начальный адрес, который часто называют функцией start. Выполнение начинается с этого адреса и продолжается, пока функция не вернет результат, хотя делать это ей не обязательно, так как поток может завершиться вместе с процессом. Помимо кода, который вызывает CreateThread, вам необходимо также проанализировать функцию start.

Вызывающий код может указать функцию начала потока и аргумент, который будет ей передан. Это может быть любое значение в зависимости от функции start.

Вредоносное ПО может использовать вызов CreateThread несколькими способами.

С помощью CreateThread можно загрузить в процесс новую зараженную библио­ теку, если в качестве начального адреса указать местоположение LoadLibrary. В этом случае в CreateThread в качестве аргумента передается название библиотеки, которую нужно загрузить. Новый DLL-файл загрузится в память процесса, после чего будет вызвана функция DllMain.

Вредонос может создать два новых потока для ввода и вывода: один будет прослушивать сокет или канал, направляя результат в стандартный ввод процесса, а другой — считывать стандартный вывод и отправлять его в сокет или канал. Целью вредоноса будет передача всей информации в единый сокет или канал, что позволит ему легко взаимодействовать с запущенным приложением.

В листинге 7.6 показано, как распознать вторую методику, определив два вызова CreateThread, находящихся рядом друг с другом (здесь показаны только системные вызовы ThreadFunction1 и ThreadFunction2). Этот код дважды вызывает функцию CreateThread. В качестве аргументов передаются значения lpStartAddress, что позволяет нам понять, где нужно искать код, который будет выполнен при запуске этих потоков.

Листинг 7.6. Главная функция в примере с потоками