Похищение учетных данных

Злоумышленники часто идут на всевозможные ухищрения, чтобы похитить учетные данные. Особенно это относится к трем видам вредоносного ПО.

Программы, которые похищают учетные данные пользователя в момент, когда тот входит в систему.

Программы, которые копируют информацию, хранящуюся в Windows (пароли, хеши и т. д.), для непосредственного использования или дальнейшей расшифровки.

Программы, которые записывают нажатия клавиш.

В данном разделе мы рассмотрим каждую из этих разновидностей вредоносного ПО.

Перехват GINA

В Windows XP для хищения учетных данных используется прием, состоящий в перехвате GINA (graphical identification and authentication — графическая идентификация и аутентификация). Система GINA создавалась для того, чтобы позволить сторонним приложениям адаптировать под себя процесс входа в систему, добавляя поддержку таких технологий, как аппаратная радиочастотная идентификация (radio-frequency identification, RFID) на основе маркеров или смарт-карт. Авторы вредоносного ПО пользуются этой возможностью для загрузки кода, который крадет учетные данные.

GINA реализуется в виде DLL под названием msgina.dll и загружается программой Winlogon во время входа в систему. Winlogon также поддерживает сторонние плагины, загружая их перед GINA DLL (как при атаке посредника). Для удобства Windows предоставляет следующую ветвь реестра, где Winlogon может найти и загрузить сторонние DLL:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GinaDLL

Когда-то мы нашли там зараженный файл fsgina.dll, который оказался перехватчиком GINA.

На рис. 11.2 показан пример того, как данные для входа в систему попадают к вредоносной библиотеке, проходя от Winlogon к msgina.dll. Вредоносу (fsgina.dll) удается перехватить всю учетную информацию, которую пользователь вводит во время аутентификации. Он может записать ее на диск или передать по сети.

Рис. 11.2. Вредоносная библиотека fsgina.dll притаилась между системными файлами Windows, чтобы перехватывать данные

Поскольку библиотека fsgina.dll перехватывает поток взаимодействия между Winlogon и GINA, она должна передать его дальше в msgina.dll, чтобы система продолжила нормально функционировать. Для этого вредоносу приходится экспортировать все функции, которые требуются системе GINA, — их насчитывается больше 15, и большинство из них имеют префикс Wlx. Очевидно, что при обнаружении в DLL множества экспортных функций, которые начинаются с Wlx, можно с большой долей вероятности предположить, что это перехватчик GINA.

Большинство этих экспортных вызовов обращаются к реальным функциям внутри msgina.dll. В случае с fsgina.dll это относится ко всем функциям, кроме

WlxLoggedOutSAS. В листинге 11.1 показан экспорт WlxLoggedOutSAS в fsgina.dll.

Листинг 11.1. Экспортная функция WlxLoggedOutSAS в GINA DLL, с помощью которой записываются похищенные учетные данные

Учетная информация сразу же передается в файл msgina.dll с помощью вызова, обозначенного как Call_msgina_dll_function . Эта функция динамически находит и запускает вызов WlxLoggedOutSAS из msgina.dll, который указывается в виде аргумента. Вызов в строке выполняет запись данных. В качестве аргументов он принимает учетную информацию, строку форматирования, с помощью которой эта информация будет выводиться, и имя файла для записи. В итоге сведения о любом успешном входе в систему сохраняются в файл %SystemRoot%\system32\drivers\ tcpudp.sys. Этот файл содержит имя пользователя, домен и два пароля — текущий и старый.

Сохранение хешей

Вредоносное ПО в Windows часто сохраняет системные хеши, чтобы получить доступ к учетным данным. После сохранения злоумышленники пытаются расшифровать эти хеши в автономном режиме или использовать их для атаки типа pass-the-hash. В ходе этой атаки хеши LM и NTLM применяются для удаленной NTLM-аутентификации, что не требует их расшифровки и получения соответствующего пароля.

Для сохранения хешей существуют программные пакеты Pwdump и Pass-the- Hash (PSH), которые распространяются бесплатно. Поскольку оба этих инструмента имеют открытый исходный код, на их основе создано множество вредоносного ПО.

У большинства антивирусов предусмотрены сигнатуры для стандартных скомпилированных версий этих утилит, поэтому злоумышленники часто пытаются скомпилировать собственные их вариации, чтобы избежать обнаружения. Примеры, приводимые в этой главе, являются разновидностями pwdump и PSH, с которыми мы сталкивались в реальных условиях.

Pwdump — это набор программ, которые выводят из диспетчера учетных записей безопасности (security account manager, SAM) хеши в формате LM i NTLM, принадлежащие локальным пользователям. Pwdump внедряет DLL внутрь процесса LSASS (local security authority subsystem service — сервер проверки подлинности локальной системы безопасности), более известного как lsass.exe. О внедрении DLL мы поговорим в главе 12, а пока что вам стоит знать лишь о том, что это прием, посредством которого вредоносное ПО выполняет библиотеки внутри других процессов, пользуясь всеми их привилегиями. Инструменты для сохранения хешей часто атакуют процесс lsass.exe, потому что он обладает достаточными привилегия­ми и доступом ко многим полезным API-функциям.

Стандартная версия Pwdump использует библиотеку lsaext.dll. При внедрении ее в lsass.exe она вызывает функцию GetHash, которая экспортируется из lsaext.dll, чтобы выполнить извлечение хешей. При этом используются недокументированные функции Windows, которые позволят получить порядковые номера всех пользователей в системе и незашифрованные хеши паролей каждого из них.

Столкнувшись с вариацией Pwdump, нужно проанализировать ее библиотеки, чтобы понять, как происходит сохранение хешей. Первым делом следует обратить внимание на экспортные функции. Из Pwdump по умолчанию экспортируется вызов GetHash, но злоумышленники могут легко поменять его имя, чтобы сделать его менее узнаваемым. Затем стоит попытаться определить функции, которые применяются в экспортных вызовах. Многие из них могут находиться динамически, поэтому в экспортных вызовах часто встречается многократное использование операции GetProcAddress.

В листинге 11.2 показан код экспортной функции GrabHash из DLL одной из версий Pwdump. Поскольку библиотека внедряется в lsass.exe, перед использованием многих символов ей сначала приходится находить их в ручном режиме.

Листинг 11.2. Уникальные АPI-вызовы, которые используются экспортной функцией GrabHash в одном из вариантов Pwdump

Влистинге 11.2 показан код получения дескрипторов библиотек samsrv.dll

иadvapi32.dll с помощью вызова LoadLibrary. Файл samsrv.dll содержит API для простого доступа к SAM, а файл advapi32.dll был найден для доступа к функциям, которые не импортированы в lsass.exe. Динамическая библиотека данной вариации Pwdump использует дескрипторы этих библиотек для поиска множества функций. Пять самых важных из них показаны в листинге (обратите внимание на вызовы GetProcAddress и их аргументы).

Из samsrv.dll импортируются такие интересные вызовы, как SamIConnect,

SamrQueryInformationUser и SamIGetPrivateData. Вызов SamIConnect впоследствии используется для подключения к SAM, после чего для каждого пользователя в системе вызывается функция SamrQueryInformationUser.

Хеши извлекаются с использованием вызова SamIGetPrivateData, а затем расшифровываются с помощью функций SystemFunction025 и SystemFunction027,

импортированных из advapi32.dll (строки и ). Ни одна из API-функций в этом листинге не описана в официальной документации.

PSH Toolkit содержит программы, которые создают дампы хешей. Самый популярный из этих дампов известен под названием whosthere-alt. В нем хранится содержимое SAM, полученное путем внедрения DLL в lsass.exe. При этом, если сравнивать с Pwdump, используется совершенно другой набор API-функций. В листинге 11.3 показан код версии whosthere-alt, которая экспортирует функцию с именем TestDump.

Листинг 11.3. Уникальные API-вызовы, которые используются экспортной функцией TestDump

версии whosthere-alt

Поскольку данная библиотека внедряется в lsass.exe, ее функция TestDump создает дамп хеша. Она динамически загружает файл secur32.dll и находит в нем вызов LsaEnumerateLogonSessions , чтобы получить список локальных уникальных идентификаторов (locally unique identifiers, LUID). В этом списке содержатся имена и домены, которые указывались при каждом входе в систему. Библиотека перебирает их, чтобы получить доступ к учетной информации. Для этого с помощью вызова GetModuleHandle она ищет внутри msv1_0.dll неэкспортированную функцию, NlpGetPrimaryCredential, которая позволяет создавать дампы хешей NT и LM.

ПРИМЕЧАНИЕ

Понимать, как вредонос добывает хеши, очень важно, но еще важнее определить, что он с этими хешами делает: сохраняет на диск, загружает на сайт или использует в атаке типа pass-the-hash? Эти подробности могут быть очень важны, поэтому, прежде чем браться за идентификацию низкоуровневых методик создания дампов, следует определить общую функциональность кода.

Кейлогеры

Кейлогеры — это классический вид вредоносов для хищения учетных данных. Они записывают нажатия клавиш, позволяя злоумышленнику наблюдать за вводом имени пользователя и пароля. Для Windows существует множество разновидностей кейлогеров.

Кейлогеры в пространстве ядра

Кейлогеры этого вида сложно обнаружить с помощью пользовательских программ. Они часто входят в состав руткитов и могут действовать как драйверы клавиатуры, что позволяет им захватывать нажатия клавиш и обходить приложения и системы защиты, работающие в режиме пользователя.

Кейлогеры в пользовательском режиме

Кейлогеры, работающие в пользовательском пространстве, обычно используют Windows API и реализованы путем перехвата или опроса. При перехвате Windows API уведомляет вредонос о нажатии каждой клавиши — с помощью функции SetWindowsHookEx. Метод опроса использует функции GetAsyncKeyState

и GetForegroundWindow из Windows API, чтобы постоянно опрашивать состояние клавиш.

Кейлогеры, занимающиеся перехватом, пользуются стандартной для Windows функцией SetWindowsHookEx. Для ее вызова кейлогер может распространяться в виде исполняемого файла; он также может включать в себя библиотеку для сохранения

нажатий, которую можно автоматически внедрить во множество системных процессов. Мы еще вернемся к функции SetWindowsHookEx в главе 12.

Прежде всего нас интересуют опрашивающие кейлогеры, которые используют вызовы GetAsyncKeyState и GetForegroundWindow. Функция GetAsyncKeyState

определяет, является ли клавиша нажатой, и если да, то нажимали ли ее после последнего вызова GetAsyncKeyState. Функция GetForegroundWindow определяет активное окно — то, которое находится в фокусе: так кейлогер может узнать, какое приложение использует ввод с клавиатуры (например, Блокнот или Internet Explorer).

На рис. 11.3 проиллюстрирована типичная циклическая структура, которую можно найти в опрашивающих кейлогерах. Сначала делается вызов GetForegroundWindow, который записывает активное окно. Затем внутренний цикл перебирает список клавиш, определяя состояние каждой из них с помощью функции GetAsyncKeyState. Если клавиша нажата, программа проверяет состояние Shift и Caps Lock, чтобы узнать, как правильно записать нажатие. По завершении внутреннего цикла опять вызывается функция GetForegroundWindow, чтобы проверить, находится ли пользователь в том же окне. Этот процесс повторяется достаточно быстро, успевая за пользовательским вводом (кейлогер может использовать вызов Sleep, чтобы не потреблять слишком много ресурсов).

Рис. 11.3. Циклическая структура кейлогера

на основе функций GetAsyncKeyState и GetForegroundWindow

В листинге 11.4 показана та же циклическая структура в дизассемблированном виде.

Листинг 11.4. Ассемблерный код кейлогера на основе функций GetAsyncKeyState

и GetForegroundWindow

Перед входом во внутренний цикл программа вызывает GetForegroundWindow. Цикл начинается в строке , сразу же проверяя состояние клавиши Shift с помощью GetKeyState. Эта функция позволяет быстро проверить, нажата ли клавиша, но, в отличие от GetAsyncKeyState, она не помнит, была ли та нажата с момента предыдущего вызова. Затем в строке кейлогер индексирует массив клавиш на клавиатуре, используя регистр EBX. Нажатие новой клавиши записывается, но перед этим вызов GetKeyState проверяет, активизирован ли режим Caps Lock. В конце EBX инкрементируется , чтобы можно было проверить следующую клавишу в списке. После проверки 92 клавиш (368 / 4) внутренний цикл завершается, но только для того, чтобы начаться вновь после очередного вызова GetForegroundWindow.

Идентификация кейлогеров по их строкам

Чтобы распознать возможности кейлогера внутри вредоноса, можно проверить импортируемые им API-функции, но вы также можете поискать индикаторы среди его строк. Второй способ может оказаться особенно полезным, если вредонос обфусцирует свой импорт или использует разновидность кейлогера, с которой вы ранее не сталкивались. Например, ниже приводится список строк из кейлогера, описанного в предыдущем разделе:

[Up]

[Num Lock] [Down] [Right] [UP] [Left] [PageDown]