Malware Plead distribuyó ataques medianos de Man in the Middle a nivel de enrutador
Los investigadores de ESET Los investigadores que atacaron su malware distribuido se declaran culpables de enrutadores comprometidos y ataques de Man in the Middle Hands usando el software ASUS WebStorage
En julio de 2018, encontraremos que la puerta trasera Plead tiene la marca digital de un código de empresa certificado asociado con D-Link Corporation. Recientemente hemos detectado una nueva actividad relacionada con el malware y una posible conexión con un software lanzado por ASUS Cloud Corporation.
El malware Plead es un backdoor que, basado en Trend Micro, se utiliza en los ataques liderados por BlackTech, un grupo que se dedica principalmente al espionaje en Asia.
En este artículo se describe la nueva actividad detectada por ESET en Taiwán, donde el malware Plead siempre se ha implementado de forma permanente.
En las finales de abril de 2019, los observadores de ESET observaron que el sistema de telemetría de múltiples intenciones mostraba malware Plead pero de una manera poco habitual, ya que el backdoor fue creado y ejecutado por un proceso legítimo nombrado AsusWSPanel.exe. Este proceso apoya al cliente de Windows para un servicio de alojamiento en el sitio ASUS WebStorage. Como puede ver en la Figura 1, el archivo ejecutable tiene la marca digital de ASUS Cloud Corporation.
Figura 1. Certificado del código de empresa de AsusWSPanel.exe
Todos los maestros de Plead presentan el siguiente número de archivo Actualización de Asus Webstorage.exe [sic]. Nuestra inversión confirma que el módulo AsusWSPanel.exe ASUS WebStorage puede crear archivos con el nombre del archivo en el proceso de actualización de software, que se puede encontrar en la Figura 2.
Figura 2. Código de compilación del cliente ASUS WebStorage
Hay varias explicaciones que se pueden utilizar para comprender lo que un software legítimo puede crear y ejecutar el malware Plead.
Una cadena de la administración ofrece las más desafortunadas oportunidades para comprometer la forma del silencio y una gran cantidad de espacios en blanco al mismo tiempo: esta es la razón por la cual la cantidad de ataques de la cadencia del ministro es incremental. En los últimos años, investigadores de ESET analizaron los casos de MEDoc, Elmedia Player, VestaCP, Statcounter y la Industria de los Videojuegos.
Para los investigadores de malware, pero siempre es un detector y confirma un ataque por una cadencia determinada, que muchas veces no tienen suficientes elementos que estén protegidos como evidencia para intentar el ataque.
Cuando pensamos en la posibilidad de un ataque al firewall del ASUS WebStorage, tenemos la oportunidad de conocer los siguientes puntos:
- ASUS WebStorage Binaries proporcionó información sobre el último mecanismo de actualización
- Actualmente, no sabemos cómo usar los servidores ASUS WebStorage para usar utilidades como servidores C&C o para proporcionar servicios binarios maliciosos.
- Ataques que usan malware que opera de forma independiente en un lugar para incorporar funcionalidad maliciosa en un software legítimo
En su mayor parte, consideramos las hipótesis probables de un posible ataque de la cadena de la administración; también tenemos una pista de cuánto podemos completar.
El software ASUS WebStorage es vulnerable a un ataque de hombre en el medio (MitM), que se traduce al español, significa ataque de hombre en el medio o ataque de intermediario. Se dice que la actualización de software se solicita y transfiere mediante HTTP. Una vez que una actualización es descargada y está pronta para ser ejecutada, el software no valida su autenticidad antes de ejecutarla. Entonces, el proceso de actualización es interceptado por los atacantes, esta es la capacidad de implicar una actualización maliciosa.
Los investigadores de ESET están familiarizados con los casos en los que se introdujo malware en medio del ataque de un hombre en el nivel medio de un ISP, como un incendio, por ejemplo, los casos de FinFisher, StrongPity2 y el mosquito Turla.
Tras una inversión de Trend Micro, los Plead Attacks contra malware comprometen enrutadores vulnerables e incluyen el uso de usuarios como servidores C&C para malware.
Nuestra inversión se basa en la oficina del alcalde de las organizaciones afectadas que trabajan en los enrutadores. Además, los paneles de administración de estos enrutadores son accesibles desde Internet. En su mayor parte, creamos un ataque de Man in the Middle a nivel de enrutador es el escenario que se presenta como el más probable.
Como pensó de antemano, el software ASUS WebStorage proporciona una actualización del uso de HTTP. En concreto, dotar de seguridad al servidor. actualización.asuswebstorage.com, el que envió un formato XML. Los elementos más importantes de la solución XML son el guía y el Enlace. El elemento guía contiene la versión real disponible, pero el elemento Enlace Contiene la URL de descarga de la actualización. El proceso de actualización es simple: verifique el software e instale la versión anterior a la última versión. En el caso de este mar, solo hay unos pocos binarios que utilizan la URL proporcionada, que se puede ver en la Figura 3.
Figura 3. Una comunicación legítima que dura una revisión de la actualización del software ASUS WebStorage
Por cierto, los atacantes pueden activar la actualización mediana de la devolución de estos elementos utilizando sus datos propietarios. Es precisamente el escenario que se observa realmente en la forma de activación. Como puede ver en la Figura 4, los ataques insertaron una nueva URL, la que le dio un archivo malicioso en un domino gov.tw comprometido.
Figura 4. Una captura capturada la última vez que se realizó una actualización maliciosa del software ASUS WebStorage
La ilustración de la Figura 5 muestra claramente que la secuencia de comandos es principalmente útil para insertar cargas útiles maliciosas en especificaciones blancas específicas para enrutadores comprometidos.
Figura 5. Escenario de ataque Man in the Middle
El modelo Plead se descarga en la primera descarga. Se ha descargado una cuenta, descárguela del archivo fav.ico del servidor, use el nombre del servidor oficial ASUS WebStorage oficial: actualización.asuswebstorage.com.ssmailer[.]com
El archivo contiene una imagen en formato PNG además de los datos utilizados por el malware, que se ubicarán justo antes de los datos PNG. La figura 6 representa la secuencia de detalles que busca el malware y utiliza los siguientes 512 bytes como la clave de dígitos RC4 con la aleta para descifrar el resto de los datos.
Figura 6. Datos útiles para el malware Plead en el archivo PNG descargado
Los datos contienen un PE binario para Windows, que se puede soltar y ejecutar utilizando uno de los números de archivo y rutas absolutas:
- %APPDATA%MicrosoftWindowsMenú InicioProgramasInicioslui.exe
- %APPDATA%MicrosoftWindowsMenú InicioProgramasInicioctfmon.exe
- % TEMP% DEV[4_random_chars].TMP
Para escribir al principio del menú del menú Inicio, el malware logra persistencia - se carga a la hora de registrarse en el sistema.
El cuentagotas ejecutable es un cargador de la segunda fase de la cual se especifica y se ejecuta el código de shell del PE recurrente y se ejecuta en la memoria. Este shellcode carga una DLL de terceros que se puede usar para proporcionar un módulo adicional para un servidor C&C y un ejecutable. La tercera fase de DLL y el módulo de descarga son analizados por JPCERT y publicados en una publicación de blog (refiriéndose a todos como "TSCookie").
Los atacantes buscan constantemente nuevas formas de implementación en el malware. Estamos observando que la cadena de administración y ataques de Man in the Middle est se utiliza cada vez con más frecuencia por varios atacantes en distintas partes del mundo.
Esta es la razón por la cual es muy importante que los desarrolladores de software solo puedan monitorear el fondo de sus entradas en busca de posibles intrusiones, pero también es importante implementar mecanismos para actualizar los productos relevantes que puedan resistir los ataques de Man. la mitad.
Presentado en esta publicación, los investigadores de ESET notificaron en ASUS Cloud Corporation.
Para consultar el mensaje relacionado con una muestra relacionada con este tema, comuníquese con la siguiente oficina del director: [email protected].
| Nombres de detección de ESET |
|---|
| Troyano Win32 / Plead.AP |
| Troyano Win32 / Plead.AC |
| Alegar muestras (SHA-1) |
|---|
| 77F785613AAA41E4BF5D8702D8DFBD315E784F3E |
| 322719458BC5DFFEC99C9EF96B2E84397285CD73 |
| F597B3130E26F184028B1BA6B624CF2E2DECAA67 |
| servidores C&C |
|---|
| actualización.asuswebstorage.com.ssmailer[.]com |
| www.google.com.dns-informe[.]com |
| Táctico | IDENTIFICACIÓN | Nombre | Descripción |
|---|---|---|---|
| Ejecución | T1203 | Explotación para la ejecución del cliente | El grupo BlackTech explota un mecanismo de actualización vulnerable en el software ASUS WebStorage para implementar el malware Plead en algunas redes. |
| Persistencia | T1060 | Claves de ejecución del registro/carpeta de inicio | El malware de alegato podría soltar un cargador de segunda etapa en la carpeta de inicio del menú Inicio. |
| Evasión de defensa | T1116 | Firma de código | Algunas muestras de malware Plead están firmadas con certificados robados. |
| T1027 | Archivos o información ofuscados | El malware Plead encripta sus cargas útiles con el algoritmo RC4. | |
| Acceso a Credenciales | T1081 | Credenciales en archivos | BlackTech puede implementar un módulo que roba las credenciales del navegador y los clientes de correo electrónico de la víctima. |
| Descubrimiento | T1083 | Descubrimiento de archivos y directorios | Plead malware permite a los atacantes obtener una lista de archivos. |
| T1057 | Descubrimiento de procesos | Plead malware permite a los atacantes obtener una lista de procesos en ejecución en un sistema. | |
| Comando y control | T1105 | Copia remota de archivos | Plead malware permite a los atacantes cargar y descargar archivos desde su C&C. |
| T1071 | Protocolo de capa de aplicación estándar | Plead malware usa HTTP para comunicarse con su C&C. | |
| exfiltración | T1041 | Exfiltración sobre el canal de comando y control | La exfiltración de datos se realiza utilizando el canal ya abierto con el servidor C&C. |
Deja una respuesta