Campaña maliciosa para infectar usuarios con torrents con puerta trasera
Investigadores de ESET desean realizar una conducta maliciosa en Corea del Sur para distribuir un backdoor a los Torrents
Los fanáticos de coreana TV serán los que ataquen una campaña activa que promueve malware en sitios de torrents, usando películas y programas de TV de Corea del Sur como señuelo. El malware permite al atacante conectar la computadora comprometida a una botnet y controlar la forma del control remoto.
El malware es una versión modificada de una puerta trasera disponible en el estilo público de GoBot2. Las modificaciones realizadas al código son principalmente las específicas de evacuación para Corea del Sur, las cuales se describen en detalle en este artículo. Debido a que la campaña está claramente enfocada en Corea del Sur, hemos llamado a esta variante de Win64/GoBot2 como GoBotKR.
Siguiendo la telemetría de ESET, GoBotKR está activo desde marzo de 2018. Las cifras de los detectives son de ciencia, Corea del Sur ha sido la más afectada (80%), seguida de China (10%) y Taiwán (5%).
GoBotKR ha estado promocionando los sitios de torrents de Corea del Sur y China, transmitiendo videos y programas de televisión locales, así como otros jugadores.
Los atacantes de esta campaña intentan involucrarse en el uso de malware en el contenido de los torrents y la colonia de archivos maliciosos que tienen números, extensiones e íconos de compromisos. Nuestro análisis muestra que los torrents que usan una descripción del programa del juego y la TV generalmente contienen los siguientes tipos de archivo:
- El archivo MP4 está esperando
- Un archivo malicioso ejecutable con un archivo PMA con un número de archivo que imita varios instaladores de código
- Un archivo LNK malicioso con un nombre e ícono que imita un archivo de video pendiente
La Figura 1 muestra el contenido de torrents de esta campaña maliciosa.
Figura 1. Contenido de algunos torrents que entregan el malware (el video MP4 no se muestra en la segunda captura de pantalla); El malware fue ejecutado por un archivo LNK con un número de archivo y un ícono comprometido.
Entonces, comp cómo se compromete exactamente a perder usuarios?
Abra el formulario directamente en el archivo MP4 sin provocar ninguna acción maliciosa. El problema está en el archivo MP4, pero hay una diferencia en un directorio diferente y lo que los usuarios pueden encontrar en el ejemplo del archivo LNK, que es malo. Se agregó el hecho de que la extensión del archivo LNK normalmente no tiene que usarse en el Explorador de Windows, que se puede encontrar en la segunda captura de imagen en la Figura 1 (en el archivo con el número de núcleo). el usuario caigan en el trueque.
Haga clic en el archivo LNK para descargar el malware. Sin embargo, también puede abrir el archivo de archivo (en este caso, un video), puede llevar a los pequeños al mismo tiempo para averiguar qué se puede hacer.
También es posible cambiar el nombre del archivo malicioso EXE a un archivo PMA para evitar cualquier daño potencial. También tenemos esta técnica técnica usando juegos así como con números de archivo y extensiones relevantes para juegos.
Gracias a nuestra inversión, podemos ver los nombres de los archivos que se utilizarán para los ejecutivos malintencionados. starcodec.pma, WedCodec.pma y Códec.pma (frase de una película/programa de televisión) y fuga.dll (frase del juego). El nombre “starcodec” tiene la legitimidad del paquete de código central de Starcodec.
GoBotKR se creó sobre la base de un GoBot2 de puerta trasera, que está disponible públicamente desde marzo de 2017. Tiene la versión original ya que la versión modificada está escrita en GoLang, también conocido como Go. Si utiliza un lenguaje que es relativamente común para el malware, todavía ofrece nuevas variantes de malware en GoLang, tratando de resolver los problemas que pueden analizar los analistas del volumen natural de sus ejecutivos compatibles.
La funcionalidad de GoBotKR está solo en el medio con el código para la publicación de GoBot2, con solo algunas modificaciones. En general, el malware no es del todo completo en términos de tecnología y la implementación es muy delicada. Las funciones de la alcaldía se implementaron con el uso de bibliotecas GoLang y ejecutando comandos de Windows (como cmd, ipconfig, netsh, apagado, inicio, información del sistema, taskkill, ver, whoami y wmic) y utilidades de terceros como los clientes BitTorrent y uTorrent.
Información reconocida
En última instancia, los actores detrás de GoBotKR están construyendo un arranque rojo que se puede usar para implementar ataques DDoS de varios tipos (por ejemplo, SYN Flood, UDP Flood o Slowloris). Para obtener más información, adelante, GoBotKR primero reconsidera la información del sistema sobre la computadora comprometida, incluye la configuración de configuración, información sobre la versión del sistema operativo, las versiones de CPU y GPU, así como una lista de software antivirus instalado.
Esta información se proporciona a un servidor C&C, la ayuda de los atacantes para determinar qué bots deben usarse en ataques respetables. Todos los ejecutivos de C&C que extrajeron las muestras de malware analizadas fueron asignados a Corea del Sur y registrados con la persona.
Comandos de bots
Un enlace que establece la comunicación con el servidor de C&C, el servidor instruye a la computadora para que proporcione controles intermedios de puerta trasera. En este sentido, GoBotKR apoya las funciones de un estándar botánico, que en su mayor parte es muy importante por sus tres principios:
- permitir el uso de una computadora comprometida
- permitir que los controladores funcionen e incluirlos
- Descargar la detección y uso del usuario
Estos son los equipos soportados:
- conducir a un ataque DDoS en una vida específica
- acceder a una URL
- Ejecutar un archivo, comandar un script
- actualizar, finalizar autodesinstalarse
- iniciar/iniciar/cerrar la sesión del ordenador
- cambiar la página de inicio en IE
- cambiar el fondo de la pantalla
- Siembra de torrents
- Copie automáticamente las funciones AutoRun conectadas y configuradas
- Autocopia servicios de moqueta pública en la web (Dropbox, OneDrive, Google Drive)
- ejecutar un servidor proxy inverso
- ejecutar un servidor HTTP
- cambiar la configuración del cortafuegos, editar el archivo del host, abrir un puerto
- activar/desactivar el Administrador de Tareas
- habilitar / deshabilitar los editores de registro de Windows
- habilitar / deshabilitar el Símbolo del Sistema (Símbolo del sistema)
- matar un proceso
- viento oculto un proceso
Oye de comandos que son de particular interés: la semana de los torrents y lo que quieres aprender de los ataques DDoS.
El comando "torrents" permitirá a los atacantes usar cualquier computadora que use las utilidades para compilar los archivos de las utilidades usando los programas BitTorrent y uTorrent, incluidas las instalaciones instaladas en el sistema. Esto puede usarse como un mecanismo para distribuir el malware tanto como sea posible.
El comando "conducir al ataque de DDoS" permitirá a los atacantes detener a la pandilla de la pandilla policial para bloquear la disponibilidad de servicios específicos, como sitios web. Próximo análisis, esta es la principal oferta de la botnet GoBotKR.
En esta sección, utilizamos las técnicas de evacuación utilizadas por el GoBotKR de puerta trasera. Si tiene muchas técnicas y establecimientos en el código público disponibles para el público, los autores de GoBotKR también podrán conocer los detalles de Corea del Sur. Esta es nuestra muestra de que los atacantes personalizaron el malware para una audiencia específica, al mismo tiempo que contrataron una experiencia adicional para perpetuarse sin ser detectados durante la campaña.
Técnicas de tomate GoBot2
El código GoBot2 ha adoptado las siguientes técnicas para detectar el uso de detección y antianálisis de GoBotKR:
- El malware instala las instancias de estar en el sistema. La segunda instancia (watchdog) supervisa a la primera instancia y está activa y toma la instalación y la elimina. sistema.
- El malware utiliza soluciones técnicas para eludir las soluciones antivirus (asignando grandes porciones de memoria y recuperando la ejecución de la carga útil maliciosa para evitar los motores de las soluciones antivirus que emulan el código que restringe las restricciones).
- El malware puede detectar aspectos específicos de seguridad y análisis, como depuradores. En el caso de detectar alguna de las hernias, se finaliza de esta forma.
- El malware finaliza automáticamente solo la información de IP de las víctimas para sugerir una distinción de organizaciones que forman parte de la lista negra (por ejemplo, Amazon, BitDefender, Cisco, ESET). En este sentido, utilizamos sitios web que brindan información externa para consultar información de IP y buscar cadenas duras en esta información (por ejemplo, "nube", "Cisco", "Microsoft"), en un lugar para usar funciones API.
Modificaciones específicas de Corea del Sur en GoBotKR
Los autores de GoBotKR agregan tres nuevas técnicas de evacuación relacionadas con el foco en Corea del Sur:
- Como se explica en la sección frontal, el malware utiliza la información IP del equipo comprometido para detectarlo y se ubica en una de las organizaciones que forman parte de la lista negra. En GoBot2, Amazon Web Services determina la dirección IP de vida en dnsDynamic y comienza la respuesta. En las muestras de GoBotKR que analizamos, esta URL se vuelve a enyesar con las plataformas online Naver y Daum de Corea del Sur.
- GoBotKR presenta una nueva técnica de evacuación que escapa a los procesos de ejecución en el sistema comprometido para detectar productos antivirus seleccionados (enumerados en la Tabla 1). Si se detecta alguno de estos productos, el malware se autofinalizará y eliminará parte de la actividad del host. La lista de procesos detectados incluye productos AhnLab, una comparativa de la seguridad de Corea del Sur.
| Subcadena de nombre de proceso | Empresa asociada / producto |
|---|---|
| V3Lite | AhnLab, seguridad en Internet V3 |
| Clínica V3 | AhnLab, seguridad en Internet V3 |
| RwVnSvc | Herramienta antiransomware AhnLab |
| Donde | kaspersky |
| kavsvc | kaspersky |
| avp | kaspersky |
| Avast | Avast |
| McUICnt | McAfee |
| 360 | 360 Seguridad Total |
| kxe | KingSoft Antivirus |
| kwsproteger | Kingsoft Internet Seguridad |
| BitDefender | BitDefender |
| Avira | Avira |
| ByteFence | ByteFence |
Tabla 1. Lista de productos de seguridad detectados por GoBotKR
- El malware intenta detecta herramientas analíticas que se detectan en el sistema. Finalizar automáticamente y detectar a otra persona. La lista se menciona internamente como "ahnNames", que se puede encontrar en otras referencias a AhnLab.
Figura 2. La lista negra que contiene el malware de los procesos de ejecución se denomina internamente “ahnNames”
Además de las referencias hacia AhnLab, las técnicas de defensa descritas en los puntos 2) y 3) fueron añadidas al código fuente como un archivo llamado AhnLab.go, de acuerdo con los metadatos que obtuvimos del malware.
Debido a que el malware se está propagando a través de torrents, muchas de las muestras están rotas o incompletas. Sin embargo, podemos recuperar los servidores C&C y la información de la versión interna.
De eso vimos el malware por ejemplo, encontramos muestras con versiones internas 2.0, 2.3, 2.4 y 2.5. Cada una de estas versiones tiene algunas diferencias técnicas importantes o diferencias en la implementación. La versión difiere de lo que se usa en el código de GoBot2, donde se usa el número interno "ArchDuke".
La Tabla 2 enumera las diferentes versiones de GoBotKR detectadas por los sistemas ESET desde mayo de 2018 al momento de escribir este artículo. La línea de tiempo presenta la versión interna del malware y los problemas de detección, por los que han estado luchando las marcas de tiempo de PE.
| visto por primera vez | Versión interna | Funcionalidad vinculada a Corea del Sur | servidor de mando y control |
|---|---|---|---|
| mayo 2018 | 2.0 | No | https: // jtbcsupport[.]sitio: 7777 / |
| julio 2018 | 2.0 | sí | https: // jtbcsupport[.]sitio: 7777 / |
| agosto 2018 | 2.0 | sí | https: // higamebit[.]com: 6446 / |
| septiembre de 2018 | 2.3 | sí | https: // reino[.]sitio: 6556 / |
| septiembre de 2018 | 2.3 | sí | https: // juego de bits[.]com: 6446 / |
| septiembre de 2018 | 2.3 | sí | https: // higamebit[.]com: 6446 / |
| septiembre de 2018 | 2.3 | sí | https: // hola[.]sitio: 6446 / |
| ene 2019 | 2.4 | sí | https: // reino[.]sitio: 6556 / |
| ene 2019 | 2.5 | sí | https: // reino[.]sitio: 6556 / |
Tabla 2. Cronología de la versión de GoBotKR
Como puede ver en el tablero, los ejemplos de malware detectados en mayo de 2018 no estarán personalizados para las lentes de Corea del Sur y, por una buena razón, son idénticos al código de GoBot2. Sin embargo, podremos encontrar la mayor cantidad de clientes nuevos gracias al servidor C&C.
Si quieres saber cómo utilizar esta campaña de malware, te recomendamos que analices tu equipo con una solución de seguridad segura. Los productos de detección y bloqueo de ESET son malware con número de detección Win64/GoBot2. Puede usar el escaneo gratuito de ESET para verificar la presencia de esta memoria de la computadora y eliminar todo lo que se detecte. Los clientes existentes de ESET están automáticamente protegidos.
El contenido de la distribución pirateada de los sitios de torrents es un vector conocido por promover todo tipo de malware. Para evitar ataques similares en el futuro, especialmente en las condiciones funerarias oficiales. Asimilación, antes de la ejecución de los archivos archivados, las pretensiones de ampliación coinciden con los tipos de archivos. Para mantener una computadora segura, le recomendamos que actualice el software que usa en su forma regular y que use un software que tenga una buena reputación.
Números de detección de ESET
Win64 / GoBot2
servidores C&C
jtbcsupport[.]sitio
reino[.]sitio
higamebit[.]com
bitgamego[.]com
hola[.]sitio
SHA-1
Tenga en cuenta que las muestras de malware pueden corromperse por naturaleza a través de su mecanismo de distribución (torrents).
Versión 2.0
038C69021F4091F0B1BE3F059FCDC1C4FA8885D2
092A4F085A01E0D61418114726B9F9EF9F4683C3
11953296BBC2B26303DED2F92FB8677BD8320326
11BF60CC2B8AC0321635834820460824D76965DE
275EE3BD90996EF54DB5931CBDF35B059D379E0E
424215E74EA64FC3A55FE9C94B74AFC4EA593699
4899912880FF7B881145B72A415C7662625E062E
6560BD68CD0CA0402AB28D8ABE52909EB2BA1E10
6A58E32DFF59BAEE432E5D351EAD7C7CB939CCB7
6BE3A40D89DDCDCFA37926A29CE5BCC5FF182D12
77EAE50B8C424338C2987D6DFF52CE0F0BBBD98F
A04EB443942DD3906A883119429BF09A3601B3E0
A61D72BA8AE6A216F1D5013A05CEA8D4F96E81E1
B60DA1F89313751FAA21DD394D6D862CC8C2DBE4
B7CEAE53118890011B695E358633CCD35E8CD577
BDBA27E525D6DC698C1CF90B07F4FB85956E9C28
C31955C4D3C38591BBC8A2089F23B5558146267B
D688A58001E41A8CA22EABCA309DA9FCD2910CB3
DD18D7B0ADE5E65EFDE920C9261E8890B4105B75
E0046D91BED1B3A09243C43760599DC9D8F99953
E00F1BB85A277A8C1ED081642EF76413B2FF7EA9
EA968D757281E6BB5D9334E7F2C9ECDA69EA15A9
F9C40789C780174F6BB377AE46F49B94E402AE77
FFF263FA9E16F7945BCE21D0F6C11C75DAA241D8
Versión 2.3
018927A35B2CEC08D5493CB75BAA62D6956D0109
063C462E98453AD6E4091A5AB35613CAF19DF415
082A026BD14F69AF46641ABF20520B3D2D0D6E6A
084A7E6B7DD955554FCED021DF58458C7E66EBB2
097248EB38277DA879F5D606179C746DB6BB2C54
0DBA9DDBBB12FA4FE22CD4EE16EF8DCC73B7D295
0E9D0C1A82DFB53DF9BB8B75D3A90B2236704498
0F4BB3FC6771D306565E1002B3327A9F2AED92AF
14129424593DC8B1865F491A9CA92BE753B2A7F0
16703AE741257EAF2EC76E097D17F379E3FCB29D
1BE6DB3F30B41A8777819C9D04056923C74E052E
1C4FDDDBB8402D3A1E70E5DCD4C0187C6F55ABA3
1F966B8540CF9716640DF39FA0B97FBA62200C1F
1FCE2D1735C226DC688EC191B18EF773D0B51830
2145B398927E056AFEA963CCEE39D60760F4FD21
2172B67E6E17944C74468634C1BB52269187D633
227198CB1BB02601E6E707892DC50CB9F11D1C62
25E43D900CD7AA89A209F97CC8B1E718B2E98F6B
2B0D9C7D0D9C847822283EBCB7D4E650A5DC8104
2C4B970778D8F4441EB93DA34A279E7A678E370A
2F6320819D541AE804873EA5AD3E93C0B21028F3
2F635862C92A31CE39F87262D77FC022810F40D3
31AE67F632FC6B278BD6D50D298585BF53A844DB
3356BFD26189533E8E77BFC6E59A5ED25F6BE1E2
354D5135660292C9D4DD5C394ECAAC5DC3719D8A
37902317F4B751C80C4404F6FC6A831602B9B540
3918E9F79C154F6031DA52A21F1F7477715B28BC
3B0B403BAFC72FD86EEC6474886AA7233083888F
3DD1A7A8533676FD471C69AD39DCEE0FBBE7E1FD
4186AECA8B229B51EFD559E7B839E669374673AD
426D064FDBB9AFB694F67F37942BBBD0C2E4AD69
42C4F415580B0EB17E139E92A2DA111BF6CCAF7F
446C3F1EFB3A44FEA98F23AEBBC925DD0C330BE6
4596E0D116A511E204A57877538EA26D174E269E
46D398B78C2DFF0118100B6507F049E867E5195F
4709995AC0FB5F32129AAD235755A8BEB9B355ED
47918740BA72FD3857F209069D6674AF8EFD411B
49A56E7A0BCF3538555078BFFA7DDBB60ADF0DDE
4C3D825798056EEF7E3FE33BDA777F9E70D4E7D4
4F4781B24879DF51652DF3FB24F156F76F78B376
4F6E7EA69CD44E5065EAD8655BC4105375D33A06
5B96C0349C07D6B37F1D3EC9F792CB5848FC48C6
5CD88B03821C3B84D7397D166233A15C0041B38B
5D93972D0352DF08DC06FF5AF120B328654B272F
5E7BEB4E8A35B234D263DDE0AED33C6C9A0D1D57
60CA70EDA899EE58AD419F513F5FB279B89C87A4
60D3445A6A15C8396356AC6F9807965A8E7BFA67
60F638CAD3116DB2FE580C31800A66836D534986
64FC3A6B5F0FA745D66DC66ED2FBC75A7C71C747
660C360B3DF4354FDAFA6454B7E19588FFE296E1
6D90CC4FF3A7F91FDFD904E73CDE3351F14EA828
6FC19EB46CAFC1A18F99119EB7353DE116F1BDFD
718957E417194A6EBD3B55C77AB3EB405E30257B
734F33BCDBF062DDEA90B2B89AF5DC4F0B292594
7688C3DCD43605BDC5E3AED03F6D87E18AEAC9AC
779366C5B356383A2286441EB84140C13000510C
7CD7334FC7CE9701A7C4FE091CC3EC01D07363D9
7DF8023457D50FF9F66CDB4C914206A163BD1713
7F95715B0BF80B7BBECC757D613084D76334101C
830F1387DFEC3D7F8D5678EED8A7C45C76B5DBE6
8368E9DEAE2F880D37232E57240CA893472C8BD3
8AFECBF940273C979D01856E1332EFF6EFE24D09
900E1C9666EECACA47DD59D908EED5480CF92953
9166AB0420C9223F23AC5C4EC5503F75505E5770
94D723C409EF4C4308113F3DBB3CB7E1084C3E12
966B722D6180AC774CFF51CFD20A1C1B966E3F43
98826BC207F1914867572561B4E0643DBE8FD8E4
9DD65F76AAF739AEF7EB9D4601ED366B3B48B121
9E6E772E41F452ED695310BCFA2B88429F12100A
9EDA0E8C2F0EDE283DC1457E4967002BDF3D376F
A9A0A33466B54A5617F986F6B160E10C5B8D81DA
AEF7725E9B945C7BCCCD7A23B1C1C1E40EEAC774
B052FC4D36F40C225397127EFB31628E8B96DC48
B563B60ED58C99199CCAB44496F858A5D42E54E7
B56A6FB4EC95793407752294782EF914EF497C8F
B57736D4F14F4E157D23C14E627A817A03C2DE24
B703848F4BC390E3E9516E3E4C746AD7C616FF96
B8F46453C1E5C03DAD1C07AB8705BE3E4F4224D2
BB7438119A8A2F79CF06BDAA14D8CACA57E05B17
BB89551AA131832395B1589C0E25D3F013A22A24
BCD2027681DD5628F0741B79B1D7C2AC4573D8E2
BD3859586D4C1701498EEFD05BB2E016848CE95D
BF42743314770340DDB5C80F22F39C6E07F74252
BFCB367868E4CFBA880E41B37241E089382F424C
C0B5CE4D03AED769DCCD5BA2BB5296C7D9F55F68
C13BED8DADA964EBF2A88786715FF83F0A1A8BCA
CBA77FE9FA0759AE0CD073D3B126F73BEB340814
CC98D9E90B7DA6E314434A246653B718ABF72FBB
CD880876565DF58EAFC033C0D207E2B2613F8C0D
CE1B68F65E2CC9A060996E58101B80C907C63377
D1D603E24FD82B6BE32B99A25A86F6CD46F3A8AF
D7423A1F56FFF460031419856FE4F7C557E1A2BF
D8ACB99F04A5EC3E355B947885E02977D6C37AF0
DA6603AC6CB47A3C448CB232EB0116BD62C7B7E4
DD1E3544F8363517556A91EBA40E85EE3638528E
DE5F6E4F559BD9FD716271AA35AFF961DF620B84
DEEC9543303C8211AD2C781F4AA936EFC191F64F
DFF022EC8223676E0D792DD126EE91B0D3059C4C
E22D6F80F0FA05446D3AF7D57EB920BA89DBEE9E
E31ABA7D0BBE49F7E66BD04379BC4837A7C91E46
E3204213E526C6ED3F8BE49D8E493DB5E92EC52A
E51519CF8C9522B4266D7CFC7125AF111DB259E7
E6AB36FE3BBDE63B28BFDF27D8890048FEA1E66D
E95A1D9E57821EBA66B421A587A014EB297DE69F
EA2BB07BB8AD5BFE1F0E92AD7B64D960600924C9
EBB140CDF75386E0FA7746910EB6596323184A7F
EDFA500254F315407783F302E85A27D8C802E4F8
EE8198049EBE16E2BA86163361FE4B5F7768FA2E
F0C6B2DEAB37A6BF78E4DF66FC4DD538F5658F6A
F15ED7BE791A2DD2446A7EF5DF748ACB474C0E98
F3DD44C8FC41D466685D8F3B9D3EA59C479230B6
F8353AB3D4D6575FD68BE1ECCF6446A5100925C9
FA22EB25A1FCBD26D5E6B88B464B61BCC4B303C2
FAEE079AABB92B4C887BA3FBEE4D1D63732D72A3
FD37E55481C7941B420950B0979586BDE2BA6B8A
FFD169CBB8E6DC9F1465AC82DDDC4C99AB59C619
Versión 2.4
896FB40BACBF8B51A06AAF49523DE720D1C21D53
A997A5316D4936F70CDF697DF7E65796CE11B607
Versiónonorte 2.5
27ED3426EA5DB2843B312E476FFFCF41BA4FDD31
C4074FCC7A600707ADCAF3DD5C0931E6CBF01B48
Registrar valores
El uso del registro por parte de GoBotKR es un subeslavo [HKCUSOFTWARE] con un número variable de una lista de códigos duros que tiene un número máximo de números de software en la capital.
Se utilizan los siguientes valores de registro:
IDENTIFICACIÓN
INSTALAR EN PC
NOMBRE
VERSIÓN
REMASTER
ÚLTIMO
VERDOC
| Táctico | IDENTIFICACIÓN | Nombre | Descripción |
|---|---|---|---|
| Acceso inicial | T1189 | Compromiso de conducción | GoBotKR se ha distribuido a través de sitios web de intercambio de archivos de torrents a víctimas de Corea del Sur, utilizando juegos o series de televisión/películas coreanas como señuelo. |
| Ejecución | T1059 | Interfaz de línea de comandos | Usos de GoBotKR cmd.exe para ejecutar comandos. |
| T1064 | secuencias de comandos | GoBotKR puede descargar y ejecutar scripts. | |
| T1204 | Ejecución de usuario | GoBotKR hace que su malware se parezca al contenido de torrent que el usuario pretendía descargar, para atraer al usuario a hacer clic en él. | |
| Persistencia | T1060 | Claves de ejecución del registro/carpeta de inicio | GoBotKR se instala bajo las claves de ejecución del registro para establecer la persistencia. |
| T1053 | Tarea programada | GoBotKR programa una tarea que agrega una clave de ejecución del registro para establecer la persistencia del malware. | |
| Escalada de privilegios | T1088 | Omitir el control de cuentas de usuario | GoBotKR intenta eludir el UAC mediante el secuestro del registro. |
| Evasión de defensa | T1140 | Desofuscar / Decodificar archivos o información | GoBotKR ha utilizado base64 para ofuscar cadenas, comandos y archivos. |
| T1089 | Deshabilitar herramientas de seguridad | GoBotKR puede usar netsh para agregar excepciones a la regla del cortafuegos local. | |
| T1158 | Archivos y directorios ocultos | GoBotKR se almacena en un archivo con atributos ocultos y del sistema. | |
| T1070 | Eliminación en el indicador Host | GoBotKR elimina el identificador de zona de los ADS (flujos de datos alternativos) del archivo para ocultar el hecho de que el archivo se ha descargado de Internet. | |
| T1036 | enmascarado | GoBotKR utiliza nombres de archivos y nombres de claves de registro asociados con software legítimo. | |
| T1112 | Modificar registro | GoBotKR almacena sus datos de configuración en claves de registro.
GoBotKR puede modificar las claves de registro para deshabilitar el Administrador de tareas, el Editor de registro y el Símbolo del sistema. |
|
| T1027 | Archivos o información ofuscados | GoBotKR usa base64 para ofuscar cadenas, comandos y archivos | |
| T1108 | Acceso redundante | GoBotKR instala una segunda copia de sí mismo en el sistema, que supervisa y reinstala la copia principal si se ha eliminado. | |
| T1497 | Virtualización / Evasión Sandbox | GoBotKR realiza varias comprobaciones en la máquina comprometida para evitar que se emule o se ejecute en un entorno limitado. | |
| Descubrimiento | T1063 | Descubrimiento de software de seguridad | GoBotKR comprueba los procesos asociados con los productos de seguridad y las herramientas de depuración, y finaliza automáticamente si detecta alguno. Puede enumerar el software antivirus instalado usando el comando wmic. |
| T1082 | Descubrimiento de información del sistema | Usos de GoBotKR wmic, información del sistema y ver comandos para recopilar información sobre el sistema y el software instalado. | |
| T1016 | Descubrimiento de la configuración de la red del sistema | Usos de GoBotKR netsh y ipconfig para recopilar información sobre la configuración de la red. Ha utilizado los portales Naver y Daum para obtener la dirección IP del cliente. | |
| T1033 | Propietario del sistema/Detección de usuarios | Usos de GoBotKR quién soy para obtener información sobre el usuario victimizado. Ejecuta pruebas para determinar el nivel privilegiado del usuario comprometido. | |
| T1124 | Descubrimiento de la hora del sistema | GoBotKR puede obtener la fecha y hora del sistema comprometido. | |
| Movimiento lateral | T1105 | Copia remota de archivos | GoBotKR intenta copiarse a sí mismo en las carpetas públicas de los servicios de almacenamiento en la nube (Google Drive, Dropbox, OneDrive).
También es capaz de propagarse instruyendo a la máquina comprometida para que genere torrents con el archivo malicioso. |
| T1091 | Replicación a través de medios extraíbles | GoBotKR puede colocarse en medios extraíbles y depende de Autorun para ejecutar el archivo malicioso cuando un usuario abre los medios extraíbles en otro sistema. | |
| Colección | T1113 | La captura de pantalla | GoBotKR es capaz de capturar capturas de pantalla. |
| Comando y control | T1090 | Proxy de conexión | GoBotKR se puede utilizar como servidor proxy. |
| T1132 | Codificación de datos | La comunicación con el servidor C&C está codificada en base64. | |
| T1105 | Copia remota de archivos | GoBotKR puede descargar archivos adicionales y actualizarse. | |
| T1071 | Protocolo de capa de aplicación estándar | GoBotKR usa HTTP o HTTPS para C&C. | |
| T1065 | Puerto de uso poco común | GoBotKR utiliza puertos no estándar, como 6446, 6556 y 7777, para C&C. | |
| Impacto | T1499 | Denegación de servicio de punto final | GoBotKR se ha utilizado para ejecutar ataques DDoS de punto final, por ejemplo, TCP Flood o SYN Flood. |
| T1498 | Denegación de servicio de red | GoBotKR se ha utilizado para ejecutar la red DDoS. | |
| T1496 | Secuestro de recursos | GoBotKR puede usar el ancho de banda de la red de la computadora comprometida para generar torrents o ejecutar DDoS. |
Deja una respuesta