El nuevo rootkit CosmicStrand apunta a las placas foundation Gigabyte y ASUS


Concepto de rootkit con una persona masculina encapuchada sin rostro, imagen iluminada en rojo y azul de bajo perfil y efecto de falla digital
Imagen: Adobe Inventory

El malware existe en diferentes sabores. La mayoría de las veces, el malware consiste en archivos maliciosos almacenados en los sistemas operativos de las computadoras, como cualquier otro archivo, y que se ejecutan como software package con o sin privilegios elevados. Cuando se encuentran, generalmente se pueden eliminar fácilmente del sistema de archivos o eliminar cuando se reinstala el sistema operativo. Sin embargo, los rootkits son un malware diferente.

¿Qué son los rootkits?

Los rootkits están diseñados para brindar acceso a una computadora y posiblemente enmascarar otro program malicioso que se ejecute en ella. Algunos rootkits tampoco residen en el sistema de archivos recurring del sistema operativo, sino en otros lugares, como el firmware. Los rootkits a menudo también se ejecutan a nivel de kernel, en lugar del nivel de application recurring.

Se necesita mucho más esfuerzo para desarrollar una pieza de malware de este tipo, en comparación con el malware recurring, porque se enfrenta a muchos más desafíos técnicos y de programación.

Nuevo investigar de Kaspersky expone un rootkit denominado CosmicStrand, que se encuentra en silencio en el Interfase Extensible de Firmware Unificado (UEFI) de equipos específicos.

Según Kaspersky, el rootkit se encuentra en las imágenes de firmware de las placas foundation Gigabyte o ASUS. Las imágenes de firmware infectadas están relacionadas con diseños que utilizan el conjunto de chips H81, lo que sugiere que puede existir una vulnerabilidad común que permitió a los atacantes inyectar el rootkit en la imagen de firmware.

¿Cómo funciona CosmicStrand?

Las imágenes de firmware afectadas se han modificado para ejecutar el código malicioso al iniciar el sistema. Se activa una larga cadena de ejecución para descargar e implementar contenido malicioso dentro del kernel del sistema operativo Windows en la máquina afectada. El punto de entrada inicial para el firmware se ha parcheado para redirigir a la ejecución del código agregado en la sección .reloc.

El firmware se está modificando con un parche automático, según los investigadores, lo que significa que los atacantes tenían acceso previo a la computadora de la víctima para extraer el firmware, inyectar el código malicioso y luego sobrescribir el firmware de la placa foundation.

Dado que el objetivo de este rootkit es permitir la ejecución de código malicioso a nivel del kernel del sistema operativo, la cadena de infección es muy compleja, mucho más que cualquier infección de malware recurring. El código UEFI se ejecuta antes de que se cargue el sistema Home windows, lo que significa que el atacante tiene que encontrar de alguna manera una forma de pasar el código malicioso al sistema operativo antes de que se inicie, mientras que el código UEFI habrá terminado.

El atacante logra esto configurando múltiples ganchos en sucesión, lo que permite que el código malicioso se ejecute después de que se haya iniciado el sistema operativo (Figura A).

Figura A

Infografía de la cadena de rootkits CosmicStrand.
Imagen: Kaspersky. Cadena de infección desde el arranque UEFI hasta el sistema operativo en ejecución

Durante la cadena de infección, el rootkit se encarga de desactivar Protección de parches de kernel (KPP), también conocido como PatchGuard, un mecanismo de seguridad de Windows de 64 bits que evita modificaciones en las estructuras clave del kernel de Home windows en la memoria.

Al ultimate del arranque del sistema operativo, el rootkit CosmicStrand asigna un búfer en el espacio de direcciones del núcleo y asigna un shellcode allí, antes de ejecutarlo.

VER: Política de seguridad de dispositivos móviles (Premium de TechRepublic)

La carga útil maliciosa a nivel de kernel

El shellcode ejecutado por el rootkit espera un nuevo subproceso en winlogon.exe y luego ejecuta una devolución de llamada en este contexto, que tiene muchos privilegios. Luego duerme durante 10 minutos antes de probar la conectividad a Online. Esa prueba se realiza a través de la interfaz del dispositivo de transporte en lugar de utilizar las funciones habituales de la API de alto nivel, y envía una solicitud de DNS al servidor DNS de Google o a uno personalizado ubicado en China.

Si la conectividad a World wide web está disponible, el shellcode recupera la carga útil last en un servidor C2 update.bokts[.]com. Se espera que la carga útil de CosmicStrand se reciba en fragmentos de 528 bytes siguiendo una estructura unique, probablemente para derrotar a las herramientas de análisis automatizadas.

Kaspersky no pudo recuperar esa última carga útil, pero los investigadores encontraron una muestra de modo de usuario en la memoria de una de las computadoras infectadas que pudieron analizar. Esa muestra, que se cree que está vinculada con CosmicStrand, crea un usuario llamado «aaaabbbb» en la máquina de destino y agrega ese usuario al grupo de administradores locales.

Una amenaza de larga duración dirigida a individuos

Kaspersky descubrió versiones anteriores del rootkit que llegaron a otro servidor C2 para obtener un shellcode adicional. Es posible que estas versiones anteriores se hayan utilizado entre finales de 2016 y mediados de 2017, mientras que la última versión estuvo activa en 2020. También se ha publicado una versión anterior del rootkit. analizado por Qihoo360 en 2017.

El análisis de los datos relacionados con ambos servidores C2 encontrados por los investigadores indica que los dominios tenían una vida útil prolongada y se resolvieron en diferentes direcciones IP durante períodos de tiempo limitados, fuera de los cuales el rootkit no habría estado operativo.

Con respecto a los objetivos de la amenaza CosmicStrand, Kaspersky señaló que todas las víctimas en su telemetría parecen ser particulares que usan la versión gratuita de su producto, ubicado en China, Vietnam, Irán y Rusia.

Possible actor de amenazas chino

Según Kaspersky, varios datos llevan a creer que «CosmicStrand fue desarrollado por un actor de amenazas de habla china o aprovechando los recursos comunes compartidos entre los actores de amenazas de habla china».

MisReyes botnet utiliza una serie de patrones de código también observados en CosmicStrand, que se cree que fue desarrollado por actores de amenazas de habla china. Ambas amenazas también comparten etiquetas idénticas cuando asignan memoria en modo kernel y generan paquetes de crimson de la misma manera. El código hash de API utilizado en ambos también es idéntico y solo se ha encontrado en otros dos rootkits según Kaspersky. MoonBounce y x Talkertambién vinculado a actores de amenazas de habla china.

VER: Violación de contraseña: por qué la cultura pop y las contraseñas no se mezclan (PDF gratuito) (República Tecnológica)

¿Cómo detectar los rootkits?

Los rootkits son particularmente difíciles de detectar, especialmente cuando usan capacidades de hardware que están fuera del sistema operativo, como es el caso del rootkit CosmicStrand.

El computer software de seguridad que escanea la actividad de la computadora en los niveles más bajos puede detectar actividad inusual de rootkits y detectarla con éxito.

Otra forma de detectarlo es a través de todos los sistemas que no están infectados por el rootkit pero que están conectados a la misma purple: es posible detectar la actividad maliciosa en la pink como cualquier otro malware utilizando Sistemas de Detección de Intrusos/Sistemas de Detección de Prevención ( IDS/IPS).

Si se sospecha que una computadora está ejecutando un rootkit UEFI, los respondedores de incidentes pueden verificar el firmware en busca de anomalías. Un firmware que muestra un hash diferente al proporcionado por el proveedor probablemente esté comprometido.

Finalmente, debe entenderse que incluso si los archivos maliciosos se eliminan del sistema operativo Windows, el rootkit los reinstalará en cada arranque. Es necesario instalar una versión limpia y segura del firmware para reemplazar la maliciosa.

Divulgación: Trabajo para Craze Micro, pero las opiniones expresadas en este artículo son mías.



Enlace a la noticia unique