Seguridad

Campaña de ataque de nueva tecnología de comunicación de Cranefly

Pantalla con advertencia de código de programa de secuencia de comandos de malware detectado.Imagen: James-Thew/Adobe Stock

Una nueva publicación de la compañía de software de Broadcom, Symantec, reveló detalles de un nuevo método utilizado por los actores de amenazas de Cranefly para comunicarse con su malware en campañas en curso.

El malware Geppei recibe comandos de los archivos de registro de IIS

Symantec descubrió un implante no informado previamente llamado Trojan.Geppei en varias víctimas de la campaña. El malware utiliza PyInstaller, una herramienta conocida para compilar código Python en ejecutables.

La forma en que el malware Geppei se comunica con sus controladores es completamente nueva: utiliza archivos de registro del servidor web de Internet Information Services. Se activa cuando el malware encuentra cadenas específicas como «Wrde», «Exco» o «Cllo» en los archivos de registro de IIS. Estas cadenas no existen en los registros regulares de IIS. Por lo tanto, la presencia de tales cadenas en cualquier archivo de registro de IIS es un fuerte indicador de un ataque que utiliza el malware Geppei.

VER: Política de seguridad de dispositivos móviles (Tecnopedia Premium)

Los atacantes pueden inyectar comandos en los archivos de registro de IIS utilizando URL virtuales o incluso URL inexistentes porque IIS registra errores 404 de forma predeterminada. La cadena «Wrde» activa el algoritmo de descifrado a pedido:

obtener [dummy string]escribir[passed string to wrde()]escribir[dummy string]

Extraiga una cadena que se vea así:
w+1+C:\\inetpub\\wwwroot\\test\\backdoor.ashx
Luego guarde el archivo .ashx en esa ubicación y dispare. Actúa como una puerta trasera para acceder al sistema infectado.

LEER  ¿Quieres convertirte en un hacker ético?Tome estos cursos de seguridad cibernética

Si el malware Geppei analiza la cadena «Exco» en un archivo de registro de IIS, descifra la cadena pasada como parámetro:

obtener [dummy string]Concejo ejecutivo[passed string to exco()]Concejo ejecutivo[dummy string]

Esta cadena será ejecutada como un comando por la función os.system(). La cadena «Exco» puede ser una abreviatura de «ejecutar comando».

La última cadena que activa el malware Geppei es «Cllo». Llama a una función clear() para eliminar una herramienta de piratería llamada sckspy.exe. Esta herramienta deshabilita el registro de eventos para el Administrador de control de servicios. La función también intenta eliminar cualquier línea en los archivos de registro de IIS que contengan comandos o rutas a archivos .ashx maliciosos.

Los investigadores mencionaron que la función no verifica todas las líneas del archivo de registro, lo que resulta en una limpieza incompleta. Si se llama a wrde() con la opción «r», se eliminará el archivo .ashx malicioso desechado.

más herramientas

Hasta ahora, Symantec solo ha encontrado dos tipos diferentes de puertas traseras instaladas a través de la función «Wrde».

Informes de seguridad de lectura obligada

El primero fue detectado como «Hacktool.Regeorg», que es un malware conocido. Consiste en un shell web capaz de crear proxies SOCKS. Los investigadores han visto dos versiones diferentes de Regeorg en uso.

El segundo se llama «Trojan.Danfuan». Según los investigadores, este es un tipo de malware nunca antes visto, un DynamicCodeCompiler que compila y ejecuta el código C# recibido. Se basa en la tecnología de compilación dinámica .NET, no creada en el disco duro, sino creada en la memoria. El propósito de este malware es actuar como una puerta trasera.

La herramienta sckspy.exe utilizada por Geppei también es una herramienta no documentada previamente.

¿Quién es Hefei?

Cranefly revela otro alias en una publicación de Mandiant: UNC3524. Mandiant expuso a este actor de amenazas como correos electrónicos dirigidos a empleados enfocados en el desarrollo corporativo, fusiones y adquisiciones, y grandes transacciones corporativas.

El informe de Mandiant también menciona el uso de la herramienta Regeorg. La herramienta es pública, pero los actores de amenazas utilizaron una versión poco conocida del shell web que estaba muy ofuscado para evadir la detección. La NSA también informó que esta versión está siendo utilizada por el actor de amenazas APT28. Esta información aún no es suficiente para hacer ninguna atribución.

Sin duda, Cranefly pone una A mayúscula en la categoría de amenazas persistentes avanzadas. Demuestran una experiencia desapercibida al instalar puertas traseras en dispositivos poco comunes, como balanceadores de carga, controladores de punto de acceso inalámbrico o arreglos NAS que funcionan sin herramientas de seguridad. También parecen estar usando malware patentado, que es otra señal de un actor de amenazas estructurado y eficiente, y son conocidos por ser longevos, pasar al menos 18 meses en la red de una víctima y volver a atacarlos tan pronto como lo hacen. se detectan empresa de.

Cómo detectar esta amenaza

Como se mencionó anteriormente, cualquier ocurrencia de las cadenas «Wrde», «Exco» o «Cllo» en los archivos de registro de IIS debe ser altamente sospechosa e investigada, ya que puede revelar una infección por Geppei. El tráfico saliente de direcciones IP desconocidas también debe analizarse e investigarse.

Mandiant también mencionó que los actores de la amenaza usaron otra pieza de malware llamada «QUIETEXIT», que se basa en el software de servidor-cliente Dropbear SSH de código abierto. Por lo tanto, la búsqueda de tráfico SSH en puertos que no sean el puerto 22 también puede ser útil para detectar la actividad de Cranefly.

Según lo informado por Mandiant, QUIETEXIT también se puede encontrar en los hosts buscando cadenas específicas. También proporcionan dos comandos grep a continuación para ayudar a detectar QUIETEXIT:

grep «\x48\x8b\x3c\xd3\x4c\x89\xe1\xf2\xae» -rs /

grep ‘\xDD\xE5\xD5\x97\x20\x53\x27\xBF\xF0\xA2\xBA\xCD\x96\x35\x9A\xAD\x1C\x75\xEB\x47’ -rs /

Finalmente, mirar los argumentos de la línea de comando en la carpeta rc.local puede ayudar a detectar la actividad de Cranefly:

grep-e»-[Xx] -pags [[:digit:]{2,6}]»-rs/etc.

Por supuesto, se aplica el consejo habitual, ya que aún se desconoce el vector de compromiso inicial. Todo el firmware, los sistemas operativos y el software siempre deben mantenerse actualizados y parcheados para evitar vulnerabilidades comunes. Las soluciones de seguridad deben implementarse en los hosts, utilizando la autenticación de múltiples factores cuando sea posible.

Divulgación: Trabajo para Trend Micro, pero las opiniones expresadas en este artículo son mías.

LEER  SoloKeys Solo V2 es la forma rápida y fácil de aumentar su seguridad personal en línea

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba