You do surprise me.exe: Неожиданный исполняемый файл в браузере Hola

В ходе проверки, связанной с тестированием сертифицированного приложения AppEsteem для Windows, специалисты Sophos X-Ops недавно обнаружили неожиданный исполняемый файл, поставляемый вместе с браузером Hola (версия 1.251.91.0). Исполняемый файл me.exe не был указан в списке сертифицированных компонентов и, по всей видимости, является криптомайнером.

После того, как проблема была выявлена в рамках программы сертификации, компания Hola сообщила, что исправила свой конвейер доставки, устранив условие, которое приводило к включению необъявленного компонента в состав Hola Browser.

Неожиданный гость

Тесты AppEsteem для сертифицированных приложений Windows — это довольно рутинная, но важная процедура проверки, призванная гарантировать, что поставляемые бинарные файлы соответствуют заявленному, сертифицированному набору параметров и надлежащим образом классифицируются поставщиками решений в области безопасности.

Основанная в 2016 году, организация AppEsteem сертифицирована AMTSO и ведет составленный на основе отраслевых данных список допустимых и недопустимых моделей поведения программного обеспечения. Она сертифицирует продукты, которые не ведут себя обманным или злонамеренным образом, и указывает на продукты, которые это делают.

AppEsteem проводит периодические тесты, в ходе которых сертифицированные продукты проверяются на соответствие стандартам безопасности нескольких независимых поставщиков. Sophos — один из нескольких поставщиков, участвующих в этих тестах. В ходе одного из таких тестов следующие хеши были признаны сертифицированными для установщика браузера Hola:

• SHA256: 174086534a2de730058465a4a4e231ce3778ab17ebebfd7f62b3bf9750bc7bdb
• SHA1: 8046735d354814bf9ef9a053cb9cad8cfec261f2
• MD5: 8462f61e68b37d220eab2462b3cbcec8

Компания AppEsteem сертифицировала продукт после проверки его на отсутствие каких-либо неожиданных или нежелательных действий.

Однако, при тестировании с использованием нескольких продуктов безопасности, мы (и несколько других поставщиков) обнаружили один из компонентов, записанных на диск — C:Program FilesHolame.exe — как потенциально нежелательное приложение (PUA).

В ходе первоначального исследования этой двоичной системы мы выявили ряд потенциальных проблем:

• Файл не был указан в списке сертифицированных компонентов.
• Это не было подписано кодом.
• Отсутствовала отметка времени.
• Он содержал зашифрованный код.
• Оно обладало возможностью записи в память.

В отдельности эти характеристики не обязательно указывают на злой умысел, но в совокупности они точно описывают тот тип артефакта, который не должен появляться в каталоге сертифицированного приложения.

Наличие бинарного файла в указанной директории указывало на проблему в конвейере разработки – особенно учитывая, что AppEsteem не обнаруживал этот файл во всех тестах сторонних разработчиков. Это исключало простое объяснение «исправленной полезной нагрузки установщика», предполагая вместо этого вариативность пути доставки: что-то зависящее от канала сборки, упаковки, загрузки после установки, поведения CDN и/или конфигурации конвейера выпуска.

Иными словами, сертификация подтвердила работоспособность одного снимка Hola Browser, но конвейер обработки данных предоставил больше, чем этот снимок, по крайней мере в некоторых случаях, что указывает на проблему с целостностью цепочки поставок.

Мы передали этот вопрос в AppEsteem, и от них мы получили подтверждение, что Hola подтвердила, что файл me.exe не должен был поставляться их установщиком.

Мы обратились к компании Hola за комментариями. Ави Раз Коэн, генеральный директор Hola, ответил следующим образом:

«Наша внутренняя система мониторинга безопасности обнаружила аномальную активность в конвейере распространения обновлений, и мы немедленно приняли меры. Мы также благодарны Sophos X-Ops и AppEsteem, чье независимое сертификационное тестирование выявило и передало на рассмотрение аналогичную проблему. Такая совместная работа в сфере безопасности приносит пользу как поставщикам, так и исследователям и конечным пользователям, и мы высоко ценим их усердие. После обнаружения нашей первоочередной задачей было остановить затронутый конвейер доставки и удалить нежелательное программное обеспечение из нашей инфраструктуры и со всех затронутых устройств. Мы относимся к целостности нашего конвейера распространения с предельной серьезностью, и наличие любого незаявленного компонента, независимо от его происхождения, для нас неприемлемо. Мы привлекли независимую компанию по кибербезопасности Sygnia для проведения тщательного криминалистического расследования наряду с нашей собственной внутренней проверкой. Результаты Sygnia подтвердили наши собственные: это был компрометационный инцидент в цепочке поставок, и, что особенно важно, никакие пользовательские данные не были получены, украдены или скомпрометированы на каком-либо этапе этого инцидента, затронувшего 0,1% пользователей. С тех пор мы полностью восстановили наш конвейер распространения». Мы внедрили усовершенствованный конвейер обработки данных, расширенную проверку цифровой подписи кода, а также ужесточили контроль доступа и внедрили непрерывный мониторинг всей нашей инфраструктуры. Эти меры призваны гарантировать, что пользователям будут доставляться только заявленные, сертифицированные и подписанные компоненты. Мы благодарим Sophos, AppEsteem и всё сообщество исследователей в области безопасности за их постоянную бдительность. Это сотрудничество делает программную экосистему безопаснее для всех.

Вот он, мой сайт.exe

Помимо результатов исследования AppEsteem, мы зафиксировали тот же аномальный артефакт в нашей телеметрии (SHA256: e3541caf708c075f0bb22fc68b03acd8457fea7cf0732ea935b1eb016d1c7721) и сохранили его для анализа.

Этот исполняемый файл, по всей видимости, является криптомайнером. Он выполняет исключение из списка программ Windows Defender и содержит несколько строк, относящихся к деятельности по криптомайнингу:

• “killed orphan miner pid %d”
• «Пользователь активен, майнер остановлен»
• “m/cmd/xmrig-idle” (путь к модулю Go, указывающий на майнер на основе XMRig)

При запуске с правами администратора исполняемый файл копирует себя в C:Program FilesHolaHolaMonitorService.exe и создает службу с именем hola_monitor_svc , настроенную на автоматический запуск и работу, когда хост находится в режиме ожидания.

Для защиты этого исполняемого файла используется Sophos Troj/GoMiner-B .

Обновление конвейера

После того, как мы подняли этот вопрос перед AppEsteem, а AppEsteem, в свою очередь, передала его Hola, AppEsteem сообщила нам, что Hola исправила свой конвейер доставки.

Такой исход является наилучшим возможным решением в подобных случаях: предполагаемая проблема с целостностью была выявлена, подтверждена и устранена на более раннем этапе, прежде чем она могла перерасти в нечто более серьезное.

Одна из причин, почему сертификационные тесты — и расследование любых неожиданных результатов, возникающих в ходе них, — так важны, заключается в том, что конвейеры должны поставлять только заявленные, сертифицированные и подписанные компоненты, а результирующие параметры установки должны быть согласованы между запусками тестов и путями развертывания.

Если одно или несколько из этих условий нарушены, возможно, что-то пошло не так, и требуется эскалация конфликта.

Программы отраслевой сертификации играют важную роль в выявлении подобных проблем. При обнаружении неожиданных артефактов приоритетной задачей является быстрое расследование и устранение первопричины, как это и произошло в данном случае.

Благодарности

Компания Sophos X-Ops выражает благодарность всем заинтересованным сторонам за сотрудничество и своевременные действия в ходе этого инцидента.