Aumente las defensas de seguridad contra el malware Kwampirs RAT con una nueva lista de COI


ReversingLabs realizó un análisis forense de los ataques del troyano de acceso remoto para comprender la estructura de management de malware.

ReversingLabs ha analizado las pistas de los ataques del troyano de acceso remoto (RAT) de Kwampirs para ayudar a las compañías de computer software a defender a sus organizaciones contra este malware.

Las empresas deben proteger su entorno de desarrollo de program y asegurarse de que sus proveedores no se vean comprometidos, afirmó la empresa de seguridad en «Desempaquetar Kwampirs RAT: de la caza de amenazas a la inteligencia de amenazas«Tomislav Peričin, arquitecto jefe de software program y cofundador de ReversingLabs, escribió el análisis.

La compañía de seguridad utilizó las migas de pan que quedan en la configuración de la pink para documentar la infraestructura de crimson de malware que apoyó el ataque llevado a cabo por el grupo Orangeworm. Symantec Identificó por primera vez a los piratas informáticos y su arma preferida en 2018. En ese mismo año, Symantec también informó que El malware Kwampirs se encontró en muchos sistemas hospitalarios., incluidas las máquinas de rayos X y MRI, y en dispositivos que los pacientes usan para completar formularios de consentimiento.

El FBI advirtió recientemente que los ataques que emplean a Kwampirs ahora han evolucionado para apuntar a compañías en el sector de ICS (Sistemas de Control Industrial), y especialmente en el sector de energía.

VER: Ciberseguridad: pongámonos tácticos (PDF gratis)

«Se cree que las empresas de la cadena de suministro de software están dirigidas a fin de obtener acceso a los socios y / o clientes estratégicos de la víctima, incluidas las entidades que respaldan los Sistemas de Handle Industrial para la generación, transmisión y distribución de energía global», dijo el FBI en una notificación de la industria privada. según lo informado por ZDNet a principios de febrero.

Además de los ataques contra los proveedores de computer software de la cadena de suministro, el FBI dijo que el mismo malware también se usó en ataques contra compañías de salud, energía y financieras.

ReversingLabs afirma que desde el punto de vista del análisis de amenazas, la parte más importante de este malware es su configuración porque es esencialmente un troyano de acceso remoto.

ReversingLabs comenzó con disponible públicamente Reglas de YARA para Kwampirs y comparó esa información con todas las muestras recolectadas por la Plataforma Titanium en los últimos 90 días. Aquí está lo que encontraron.

Entendiendo el ataque

ReversingLabs recopiló muestras de datos de los ataques de Kwampirs para escribir un analizador de configuración de malware confiable que extraiga las configuraciones de red de las muestras.

Cada una de las muestras de Kwampirs recopiladas por ReversingLabs vino con un conjunto de 200 URL de servidor de handle. Las operaciones maliciosas generalmente se llevan a cabo en campañas que comparten la misma infraestructura de servidor de control.

ReversingLabs estaba buscando particularmente las URL de comando y regulate (C2). Estas URL son interesantes debido a cómo el malware encuentra servidores C2 activos. Cada muestra viene con una lista codificada de 200 URL a las que Kwampirs intenta acceder en orden secuencial. Las ubicaciones C2 están en forma de nombres de dominio o direcciones IP. El malware utiliza la primera URL activa que encuentra como servidor C2.

Debido a que la configuración de malware está oculta en el instalador que coloca la DLL en el
sistema, se debe crear un desempacador para usar con el analizador. Este desempacador descompone el componente de instalación y extrae la DLL, permitiendo que el analizador recopile el C2 necesario
información.

Utilizando estos dos métodos, ReversingLabs identificó 1.586 URL. El análisis de estas URL reveló que algunos de los cuentagotas usaban la misma carga útil, a pesar de que sus hashes eran diferentes. La única diferencia entre los archivos era una cadena de 64 bytes utilizada para la generación aleatoria de nombres de archivos. ReversingLabs sugiere que esto significa que «las nuevas muestras de cuentagotas vistas recientemente en la nube están recién compiladas, a pesar de que usan las antiguas cargas útiles de DLL».

Comprender el diseño de malware

El siguiente paso en el análisis RAT de Kwampirs fue agrupar muestras de datos en campañas para comprender cómo se llevó a cabo el ataque. Los ataques de malware a menudo vienen en oleadas y usan la misma estructura de servidor de handle. ReversingLabs pudo organizar los archivos de datos de muestra en grupos mediante el uso de dos metadatos: información de encabezado enriquecida y la marca de tiempo de compilación del archivo.

Los metadatos de encabezado enriquecido contienen información sobre los procesos de compilación y enlace. En este caso, el encabezado enriquecido mostró que todas las muestras se compilaron con Visual Studio 2010. Las marcas de tiempo no se correlacionaron con su primera aparición, que fue en mayo de 2015 y posteriores. De hecho, todos parecían haber sido compilados unos años antes de su aparición en la nube, lo que probablemente significa que las muestras fueron compiladas en una máquina digital con marcas de tiempo deliberadamente inexactas.

Un análisis posterior confirmó que la mayoría de las campañas estaban conectadas por uno o varios dominios de control.

Mejorando las defensas de seguridad

ReversingLabs creó una lista de indicadores de compromiso (COI) basado en este análisis de RAT de Kwampirs. Las empresas pueden usar estos IOC para crear nuevas reglas de detección de intrusos y firewall de bloqueo y para buscar en los registros SIEM los puntos finales infectados.

En un informe de 2018 sobre Kwampirs, Symantec declaró que una vez dentro de la pink de una víctima, Kwampirs se propaga copiando a sí mismo a través de los recursos compartidos de la crimson. Symantec especula que esta táctica funciona mejor en entornos que ejecutan sistemas operativos más antiguos como Windows XP, como la industria de la salud.

Ver también

«data-credit =» iStock / Jirsak «rel =» noopener noreferrer nofollow «>malware-skull.jpg "src =" https://tr3.cbsistatic.com/hub/i/r/2016/07/28/1471dc02-f9cc-4e85-b5bd-f3cbac97af83/resize/770x/f40d5a1cebff9ccb6c66c7af78416b33/malware-skull .jpg

iStock / Jirsak



Enlace a la noticia original