De Agent.BTZ a ComRAT v4: un viaje de diez años


Turla ha actualizado su puerta trasera ComRAT y ahora usa la interfaz web de Gmail para Comando y Control

Los investigadores de ESET han encontrado una nueva versión de una de las familias de malware más antiguas administradas por el grupo Turla, ComRAT. Turla, también conocida como Snake, es un grupo de espionaje infame que ha estado activo durante más de diez años. Hemos previamente describió muchas campañas atribuidas a este grupo.

ComRAT, también conocido como Agent.BTZ y para sus desarrolladores como Chinch, es un troyano de acceso remoto (RAT) que se hizo infame después de su uso en una violación del ejército de los EE. UU. en 2008. La primera versión de este malware, probablemente lanzado en 2007, exhibió capacidades de gusano al extenderse a través de unidades extraíbles. De 2007 a 2012, se lanzaron dos nuevas versiones principales de la RAT. Curiosamente, ambos emplearon la conocida clave Turla XOR:

1dM3uu4j7Fw4sjnbcwlDqet4F7JyuUi4m5Imnxl1pzxI6as80cbLnmz54cs5Ldn4ri3do5L6gs923HL34x2f5cvd0fk6c1a0s

Hasta mediados de 2017, los desarrolladores de Turla hicieron algunos cambios en ComRAT, pero estas variantes aparentemente todavía se derivaron de la misma base de código.

Luego, en 2017, notamos que se había lanzado una versión muy diferente de ComRAT. Esta nueva versión utilizaba una base de código completamente nueva y era mucho más compleja que sus predecesoras. Estas son las principales características de esta familia de malware:

  • ComRAT v4 se vio por primera vez en 2017 y se sabe que todavía está en uso en enero de 2020.
  • Identificamos al menos tres objetivos: dos Ministerios de Relaciones Exteriores y un parlamento nacional.
  • ComRAT se usó para exfiltrar documentos sensibles. Los operadores utilizaron servicios de nube pública como OneDrive y 4shared para filtrar datos.
  • ComRAT es una puerta trasera compleja desarrollada en C ++.
  • ComRAT utiliza un sistema de archivos virtual FAT16 formateado en FAT16.
  • ComRAT se implementa utilizando métodos de acceso existentes, como la puerta trasera PowerStallion PowerShell.
  • ComRAT tiene dos canales de comando y control
    • HTTP: utiliza exactamente el mismo protocolo que ComRAT v3
    • Correo electrónico: utiliza la interfaz web de Gmail para recibir comandos y filtrar datos
  • ComRAT puede realizar muchas acciones en las computadoras comprometidas, como la ejecución de programas adicionales o la extracción de archivos.

Atribución a Turla

Según la victimología y los TTP, creemos que ComRAT es utilizado exclusivamente por Turla. Hay algunos elementos que vinculan ComRAT v4 a Turla:

  • Utiliza el mismo nombre interno, Chinch, que las versiones anteriores.
  • Utiliza el mismo protocolo C&C personalizado sobre HTTP que ComRAT v3
  • Una parte de la infraestructura de red se comparte con otra familia de malware de Turla, Mosquito
  • Fue arrojado por, o ha caído otro, Turla familias de malware:
    • Un cargador PowerShell personalizado
    • La puerta trasera de PowerStallion
    • La puerta trasera RPC

Información sobre la actividad del atacante

Durante nuestra investigación, pudimos obtener información sobre lo que los operadores de Turla estaban haciendo en las máquinas comprometidas.

El uso principal de ComRAT es robar documentos confidenciales. En un caso, sus operadores incluso implementaron un ejecutable .NET para interactuar con la base de datos central de MS SQL Server de la víctima que contiene los documentos de la organización. La Figura 1 es el comando SQL redactado.

Figura 1. Comando SQL para volcar documentos de la base de datos central (parcialmente redactado)

Estos documentos se comprimieron y se filtraron a un proveedor de almacenamiento en la nube como OneDrive o 4shared. El almacenamiento en la nube se monta utilizando el comando net use como se muestra en la Figura 2.

Figura 2. Comando para montar una carpeta OneDrive usando uso neto (parcialmente redactado)

Además del robo de documentos, los operadores también ejecutan muchos comandos para recopilar información sobre los grupos o usuarios de Active Directory, la red o las configuraciones de Microsoft Windows, como las políticas de grupo. La Figura 3 es una lista de comandos ejecutados por los operadores de Turla.

Figura 3. Reconocimiento básico de la máquina comprometida

Finalmente, también notamos que los operadores de Turla son conscientes e intentan evadir el software de seguridad. Por ejemplo, extraen regularmente archivos de registro relacionados con la seguridad para comprender si se han detectado sus muestras de malware. Esto muestra el nivel de sofisticación de este grupo y su intención de permanecer en las mismas máquinas durante mucho tiempo.

Análisis técnico

Según su marca de tiempo de compilación, que probablemente sea genuina, la primera muestra conocida de ComRAT v4 se compiló en abril de 2017. La iteración más reciente de la puerta trasera que hemos visto fue, según nuestro conocimiento, compilada en noviembre de 2019.

Basado en la telemetría de ESET, creemos que ComRAT se instala utilizando un punto de apoyo existente, como credenciales comprometidas o mediante otra puerta trasera de Turla. Por ejemplo, hemos visto ComRAT instalado por PowerStallion, su puerta trasera basada en PowerShell que describimos en 2019.

El instalador de ComRAT es un script de PowerShell que crea una tarea programada de Windows y llena un valor del Registro con la carga útil cifrada.

ComRAT v4 tiene varios componentes:

  • un orquestador, inyectado en explorer.exe. Controla la mayoría de las funciones de ComRAT, incluida la ejecución de comandos de puerta trasera.
  • un módulo de comunicación (una DLL), inyectado en el navegador predeterminado por el orquestador. Se comunica con el orquestador utilizando una tubería con nombre.
  • un sistema de archivos FAT16 virtual, que contiene la configuración y los archivos de registro.

La Figura 4 es una descripción general de la arquitectura de ComRAT.

Figura 4. Resumen de la arquitectura ComRAT

ComRAT v4 tiene dos canales diferentes de C&C: HTTP (conocido internamente como legado), que (sorpresa sorpresa) usa el protocolo HTTP, y correo electrónico (conocido internamente como correo), que usa la interfaz web de Gmail.

En el último modo y utilizando cookies almacenadas en la configuración, se conecta a la interfaz web de Gmail para verificar la bandeja de entrada y descargar archivos adjuntos de correo específicos que contienen comandos cifrados. Los operadores de malware envían estos comandos desde otra dirección, generalmente alojados en un proveedor de correo electrónico gratuito diferente, como GMX.

Un análisis técnico detallado de todos los componentes de ComRAT está disponible en el papel blanco.

Conclusión

ComRAT v4 es una familia de malware totalmente renovada lanzada en 2017. Sus desarrolladores se inspiraron en otras puertas traseras de Turla, como Snake, para construir una pieza de malware muy compleja.

Su característica más interesante es el uso de la interfaz de usuario web de Gmail para recibir comandos y filtrar datos. Por lo tanto, puede omitir algunos controles de seguridad porque no depende de ningún dominio malicioso. También notamos que esta nueva versión abandonó el uso del secuestro de objetos COM por persistencia, el método que le dio al malware su nombre común.

Encontramos indicios de que ComRAT v4 todavía estaba en uso a principios de 2020, lo que demuestra que el grupo Turla sigue siendo muy activo y una gran amenaza para diplomáticos y militares.

Se puede encontrar una lista completa y completa de Indicadores de Compromiso (IoC) y muestras en el papel blanco y en nuestro repositorio GitHub.

Para un análisis detallado de la puerta trasera, consulte nuestro documento técnico. Para cualquier consulta o para realizar presentaciones de muestras relacionadas con el tema, contáctenos en hazardintel@eset.com.

Técnicas MITRE ATT y CK

Táctica Carné de identidad Nombre Descripción
Ejecución T1086 Potencia Shell Se utiliza un script de PowerShell para instalar ComRAT.
Persistencia T1053 Tarea programada ComRAT utiliza una tarea programada para iniciar su cargador de PowerShell.
Evasión de defensa T1027 Archivos o información ofuscados El orquestador ComRAT se almacena cifrado y solo se descifra en la ejecución.
T1055 Inyección de proceso El orquestador ComRAT se inyecta en explorer.exe . La DLL de comunicación se inyecta en el navegador predeterminado.
T1112 Modificar registro El orquestador ComRAT se almacena cifrado en el Registro.
Descubrimiento T1016 Descubrimiento de configuración de red del sistema Los operadores ejecutan ipconfig y nbstat .
T1033 Propietario del sistema / descubrimiento de usuarios Los operadores ejecutan usuario de red .
T1069 Descubrimiento de grupos de permisos Los operadores ejecutan grupo / dominio neto .
T1082 Descubrimiento de información del sistema Los operadores ejecutan información del sistema .
T1083 Descubrimiento de archivos y directorios Los operadores enumeran el contenido de varios directorios. Ejemplo: dir / og-d "% userprofile% AppData Roaming Microsoft Windows Recent *. *" .
T1087 Descubrimiento de cuenta Los operadores ejecutan usuario de red y grupo neto .
T1120 Descubrimiento de dispositivos periféricos Los operadores ejecutan fsutil fsinfo drives para enumerar las unidades conectadas.
T1135 Descubrimiento de redes compartidas Los operadores ejecutan vista neta .
Colección T1213 Datos de repositorios de información Los operadores utilizan una herramienta personalizada para filtrar documentos de una base de datos central interna.
Comando y control T1024 Protocolo criptográfico personalizado ComRAT utiliza RSA y AES para cifrar los datos de C&C.
T1043 Puerto de uso común ComRAT utiliza los puertos 80 y 443.
T1071 Protocolo de capa de aplicación estándar ComRAT usa HTTP y HTTPS.
T1102 Servicio web ComRAT se puede controlar a través de la interfaz de usuario web de Gmail.
Exfiltración T1002 Datos comprimidos Los documentos están comprimidos en un archivo RAR.
T1022 Datos cifrados El archivo RAR está encriptado con una contraseña.
T1048 Exfiltración sobre protocolo alternativo Los datos se filtran al almacenamiento en la nube, montados localmente utilizando el uso neto mando.








Enlace a la noticia original