Mikroceen: espionaje de puerta trasera apalancada en redes de alto perfil en Asia Central


Los investigadores de ESET analizan una puerta trasera desplegada en ataques contra múltiples agencias gubernamentales y organizaciones importantes que operan en dos sectores críticos de infraestructura en Asia

En este blog conjunto con colegas investigadores de Avast, proporcionamos un análisis técnico de una RAT constantemente desarrollada que se ha utilizado en varias campañas dirigidas contra sujetos públicos y privados desde finales de 2017. Observamos múltiples instancias de ataques que involucran esta RAT, y todas ellas ocurrieron en Asia Central. Entre los temas seleccionados se encontraban varias compañías importantes en las industrias de telecomunicaciones y gas, y entidades gubernamentales.

Además, conectamos los puntos entre la última campaña y tres informes publicados anteriormente: Kaspersky’s Microcina contra personal militar ruso, BYEBY de Palo Alto Networks contra el gobierno bielorruso y el punto de control Panda vicioso contra el sector público mongol. Además, analizamos otro malware que normalmente formaba parte del conjunto de herramientas del atacante junto con la RAT. Elegimos el nombre Mikroceen para cubrir todas las instancias de la RAT, en reconocimiento del informe inicial de Kaspersky sobre la familia. La falta de ortografía es intencional, para evitar lo establecido noción microbiológica, pero también para tener al menos un acuerdo fonémico.

Agrupamiento

Primero, analicemos la agrupación de Mikroceen, que es una RAT simple, y muestremos nuestras razones para pensar que los informes de Kaspersky, Palo Alto Networks y Checkpoint escriben sobre la misma familia específica de malware (entre otras herramientas maliciosas mencionadas). La Figura 1 proporciona una comparación del bucle de descifrado que se utiliza para los datos de configuración que consisten en el dominio C&C, un nombre y una contraseña asociados con cada muestra de la RAT. El bucle es prácticamente el mismo y se implementa en tres copias seguidas. Checkpoint también discutió las similitudes de los encabezados HTTP en las secciones de datos entre BYEBY y Vicious Panda, y un mensaje de registro compartido V09SS0lO que base64 decodifica a TRABAJAR EN. La cadena codificada también está presente en Microcin.

Figura 1. Parte del código utilizado para descifrar datos internos; el nombre de la DLL exportada se encuentra en la parte inferior

En la sección Arsenal de los atacantes a continuación también comparamos las gramáticas de comandos de las características de RAT y los mensajes de error típicos que se registran durante la ejecución con sus instancias anteriores. Para respaldar la evidencia, el proveedor preferido de la infraestructura de los atacantes y el malware más típico encontrado simultáneamente en las redes comprometidas. Todas estas pistas deberían evocar una fuerte confianza de que es la misma familia de malware.

Cronología y victimología

La Figura 2 esboza la evolución de cómo se rastreó la amenaza a tiempo. Como mencionamos anteriormente, la región de Asia Central se unió a Rusia, Bielorrusia y Mongolia como áreas con víctimas de intrusiones de Mikroceen. Estas víctimas no eran usuarios de escritorio, sino puntos finales en redes corporativas donde se espera un mayor nivel de seguridad.

Figura 2. Cronología de eventos relacionados con Mikroceen

Figura 3. Las campañas recientes en Asia Central rodeadas de las reportadas anteriormente

Arsenal de los atacantes

Describamos las herramientas que usaron los atacantes en su campaña en Asia Central. Desafortunadamente, no pudimos descubrir cómo entraron en las redes comprometidas.

RAT (puerta trasera del lado del cliente)

Una vez que los intrusos establecen un punto de apoyo en una máquina víctima, el código de la Figura 4 sirve para instalar la RAT en el sistema. Tenga en cuenta el parámetro inicio = auto, que establece la persistencia del malware después de un reinicio.

Figura 4. Código de lote de instalación

Como mencionamos anteriormente, cada bot viene con datos de configuración: C&C, nombre del cliente y contraseña del cliente. El nombre del bot aparece en la interfaz del lado del servidor. Lo que es bastante inusual es que un operador necesita autenticarse ingresando la contraseña del cliente para controlarlo. Solo podemos especular sobre el propósito, pero podría servir como protección contra la toma de control de botnets, en caso de que un actor en competencia o la policía confisque su infraestructura. Entonces, vemos que se puso cierto esfuerzo en la seguridad de la conexión cliente-servidor. Además, el cliente puede conectarse directamente al servidor de C&C o enrutar el tráfico a través de un proxy, lo que podría ser útil, especialmente en redes corporativas. La conexión está asegurada por un certificado y esta es una característica que distingue a Mikroceen de la legión de puertas traseras que hemos visto anteriormente.

Mikroceen utiliza las mismas características básicas que ya describió Palo Alto Networks sobre BYEBY. La gramática de los comandos es bastante específica, porque cada comando se trunca a 6 letras y luego se codifica en base64. Eso da como resultado una palabra incomprensible de 8 letras en el código. Mientras que en casos anteriores la codificación era sencilla, en la campaña en Asia Central se agregó una capa de encriptación desconocida adicional. La conexión de las palabras de 8 letras con los comandos en ese caso se realizó por acuerdo en el nivel de código.

Mando Microcina, BYEBY, Vicious Panda Mikroceen
¡Hola! aGVsbG8h AmbZDkEx
BUENO POR R09PREJZ eYTS5IwW
ADIOS QllFIEJZ bo7aO8Nb
DISCON RElTQ09O 6GEI6owo
LISTA D TElTVCBE Ki0Swb7I
STARTC U1RBUlRD h71RBG8X
COMAN Q09NTUFO 5fdi2TfG
TRANSF + (CARGAR, DESCARGAR) VFJBTlNG + (VVBMT0FE, RE9XTkxP) J8AoctiB + (QHbU0hQo, hwuvE43y)
EJECUTAR RVhFQ1VU gRQ7mIYr

Tabla 1. Gramática de comandos de varias instancias de la RAT

Durante la ejecución, el cliente registra los mensajes de depuración en un archivo temporal. Esto varía entre varias instancias de Mikroceen. La Tabla 2 proporciona una comparación de estos mensajes de un caso a otro y proporciona evidencia adicional que vincula las instancias de Mikroceen.

Microcina ADIOS Panda vicioso Mikroceen
32 bits 64 bits
Carpeta % CSIDL_COMMON_DOCUMENTS% %TEMPERATURA% % CSIDL_COMMON_DOCUMENTS% %TEMPERATURA% %TEMPERATURA%
Nombre del archivo 7B296FB0.CAB vmunisvc.cab 5E8C6FF0.CAB 7B296FB0.CAB W52G86ST.TMP
Palabras clave en main V09SS0lO
U3RhcnQ =
V09SS0lO
U3RhcnQ =
V09SS0lO
U3RhcnQ =
V09SS0lO GvFa8Sei
Palabra clave en conectar ZGlyZWN0 ZGlyZWN0 ZGlyZWN0 wfZ155bJ wfZ155bJ

Tabla 2. Mensajes de registro en un archivo temporal

Malware que se produce simultáneamente

Los informes anteriores siempre mencionan un amplio arsenal de herramientas que se utilizan en los ataques. En nuestro caso, fue lo mismo, no solo Mikroceen, sino también otro malware. Estas son las tres herramientas más importantes que observamos en las redes comprometidas.

Movimiento lateral a través de Mimikatz

Los atacantes utilizaron su implementación de Mimikatz, entregada a través de un mecanismo de dos etapas: la primera etapa era un cuentagotas que generalmente se llamaba installer.exe o Yokel64.exe, que dejó caer la carga principal con un nombre indicativo externo de DLL mktz64.dll En la segunda etapa. Si bien Mikroceen nunca ha venido con información de depuración, aquí podemos ver la cadena E: 2018_ MimHash mimikatz Bin mktzx64.pdb

Figura 5. Una cadena PDB en la carga útil de Mimikatz

Mimikatz es un proyecto de código abierto del investigador de seguridad francés Benjamin Delpy, desarrollado desde 2007. Es una herramienta robusta que, entre otras cosas, puede omitir varios esquemas de autenticación de Windows, básicamente mediante el volcado de datos de credenciales de la base de datos de la cuenta de seguridad local de Windows. Es utilizado principalmente por los equipos rojos en seguridad de TI, pero también se usa de manera indebida en todo el espectro de actores de APT, p. Grupo Lázaro, Telebots, Okrum etc. Después de ejecutarlo en un entorno virtual de prueba, su salida es (los espacios incorrectos antes de las comas están en el original):

Movimiento lateral a través de WMI

Los atacantes usan una herramienta adicional para propagarse en la red de alojamiento. Esta vez aprovechan el Instrumental de administración de Windows (WMI). Todos los datos relevantes son necesarios como el nombre del archivo, ya que durante la ejecución espera @@,,,.exe. En el primer paso, se establece una consola para una computadora remota, donde la conexión se identifica mediante y autenticado con (, ) Posteriormente, la seguridad del proxy se establece en el nivel estricto, lo que significa que los argumentos de cada llamada a procedimiento remoto se cifran y se permite el acceso del servidor a los recursos locales. Luego, WMI se usa nuevamente para recuperar el Clase Win32_Process, que a su vez se utiliza para crear un proceso con parámetros dados. Cuando todo el trabajo está hecho, la herramienta termina por sí misma.

Gh0st RAT

Esta infame, vieja rata fue creado alrededor de 2008. En este caso, se encontró como rastls.dll en los sistemas comprometidos, mientras que el nombre de la DLL exportada suele ser svchost.dll. Intenta conectarse con https: //yuemt.zzux (.) com: 443, que se resuelve en una dirección IP en China. Esta es una excepción sin explicación, porque el servidor no pertenece a ninguno de los proveedores de C&C utilizados por Mikroceen. Desde nuestro punto de vista, parece redundante usar esta puerta trasera adicional, cuya capacidad es totalmente proporcionada por Mikroceen.

Para reconocer esta puerta trasera, uno observa la cuerda Gh0st dentro del binario La cadena de caracteres uwqixgze} se utiliza como marcador de posición para el dominio de C&C.

Figura 6. Malware Gh0st RAT (fragmento)

Panel C&C (interfaz del lado del servidor)

Los informes anteriores ya mencionan la pobre seguridad operativa de los atacantes (Kaspersky y Checkpoint observaron sus directorios abiertos), y los actores detrás continúan filtrando herramientas que no necesariamente se aprovechan del lado de las víctimas. Pudimos obtener una versión anterior del panel de control de RAT. En la parte inferior de la Figura 7 hay una interfaz gráfica a través de la cual se ordenan todos los bots. Es muy minimalista, lo que puede deberse a una versión anterior de 2017, pero aún así, simplemente compárelo con el panel de más de 10 años de Gh0st RAT. No ha mejorado mucho desde entonces, visual o funcionalmente, por lo que la introducción de conexiones SSL parece ser el cambio principal entre los proyectos (el cuadro de texto para "Nombre CN" en la figura). Parece que los operadores de la botnet son clientes contentos de los servicios de Vultr, una empresa secundaria de Choopa LLC, ya que su infraestructura operativa está alojada principalmente allí, y esto también fue observado en la campaña de Vicious Panda por Checkpoint. Este es un proveedor a prueba de balas, documentado por investigadores de Cisco ya en 2015.


Figura 7. Interfaces para controlar bots: Gh0st RAT (2008) frente a la interfaz de Mikroceen (2017)

Conclusión

Hemos presentado el análisis de una implementación personalizada de un modelo cliente-servidor desarrollado con fines de espionaje. Los desarrolladores de malware pusieron un gran esfuerzo en la seguridad y la solidez de la conexión con sus víctimas y los operadores lograron penetrar redes corporativas de alto perfil. Además, tienen un conjunto de herramientas más grande de herramientas de ataque a su disposición y sus proyectos están en constante desarrollo, principalmente visibles como variaciones en la ofuscación.

Indicadores de compromiso (IoC)

Aquí están los hash de las muestras descritas en el artículo. Se pueden encontrar IoC adicionales recopilados de los ataques en GitHub de ESET o GitHub de Avast.

SHA Marca de tiempo Descripción Nombre de detección de ESET
d215bb8af5581b31f194248fc3bd13d999a5991c 2016-06-29 00:34:42 Microcina (Kaspersky)
7771e1738fc2e4de210ac06a5e62c534
Win32 / Mikroceen.A
7a63fc9db2bc1e9b1ef793723d5877e6b4c566b8 2017-07-06 08:15:31 BYEBY (PANW) 383a2d8f421ad2f243cbc142e9715c78f867a114b037626c2097cb3e070f67d6 Win32 / Mikroceen.B
2f80f51188dc9aea697868864d88925d64c26abc 2017-01-28 11:33:43 Panda vicioso (punto de control) Win32 / Mikroceen.C
302cf1a90507efbded6b8f53e380591a3eaf6dcb 2019-04-25 01:15:40 Mikroceen de 32 bits Win32 / Mikroceen.H
21ffd24b8074d7cffdf4cc339d1fa8fe892eba27 2018-12-10 07:46:25 Mikroceen de 64 bits Win64 / Mikroceen.C
5192023133dce042da8b6220e4e7e2e0dcb000b3 2019-03-11 12:14:09 Mimikatz Win64 / Riskware.Mimikatz.AQ
c18602552352fee592972603262fe15c2cdb215a 2015-03-16 03:29:39 Movimiento lateral a través de WMI Win32 / HackTool.Agent.NEZ
4de4b662055d3083a1bccf2bc49976cdd819bc01 2015-12-31 03:10:15 Gh0st RAT Win32 / Farfli.CSY

Referencias

Técnicas MITRE ATT y CK

Táctica CARNÉ DE IDENTIDAD Nombre Descripción
Ejecución T1035 Ejecución de servicio La RAT está configurada para ejecutarse como un servicio al inicio a través de sc.exe.
T1059 Interfaz de línea de comandos La RAT puede ejecutar una línea de comando.
T1064 Scripting Los atacantes utilizaron scripts por lotes para la instalación y ejecución de malware.
T1105 Copia remota de archivos La RAT puede descargar archivos a la máquina de la víctima.
T1106 Ejecución a través de API La RAT lanza la consola de Windows a través de Proceso de creación.
Persistencia T1050 Nuevo servicio La RAT se ejecuta automáticamente.
Evasión de defensa T1136 Disfraces La RAT se disfraza de varios tipos de servicios legítimos.
T1140 Desobuscar / decodificar archivos o información Los comandos de la RAT y algunos de sus componentes están codificados / encriptados.
Descubrimiento T1082 Descubrimiento de información del sistema La RAT envía información, como la versión del sistema operativo que se mostrará, en el panel del operador.
T1016 Descubrimiento de configuración de red del sistema La RAT recopila información de red, incluida la dirección IP del host y la información de proxy.
T1033 Propietario del sistema / descubrimiento de usuarios La RAT envía información, como el nombre de usuario que se mostrará, en el panel del operador.
Acceso de credenciales T1103 Descarga de credenciales Mimikatz se usa en el ataque.
Comando y control T1032 Protocolo criptográfico estándar La RAT usa SSL para encriptar las comunicaciones C2.
T1043 Puerto de uso común La RAT usa el puerto 443.
T1071 Protocolo de capa de aplicación estándar La RAT utiliza la implementación Schannel de SSL.
T1001 Ofuscación de datos La interfaz de RAT controla al cliente con comandos ofuscados.
T1030 Conexión Proxy La RAT tiene una opción de proxy que enmascara el tráfico entre el malware y los operadores remotos.
Exfiltración T1041 Exfiltración sobre el canal de comando y control El operador de la RAT puede descargar cualquier archivo deseado de una víctima.
Colección T1113 La captura de pantalla La RAT puede capturar la pantalla de la víctima.








Enlace a la noticia original