Nuevo backdoor de TeleBots: primera evidencia que relaciona Industria con NotPetya

Un análisis realizado por investigadores de ESET sobre una puerta trasera utilizada recientemente por TeleBots, el grupo detrás del brote masivo de ransomware NotPetya, reveló fuertes similitudes con la puerta trasera principal utilizada por Industroyer, lo que confirma la presencia de una conexión que se rumoreaba que existía, pero que hasta ahora no existía. se había probado.

Entre los incidentes de ciberseguridad relacionados con malware más importantes de los últimos años está el ataque contra la red eléctrica de Ucrania (el cual derivó en apagones sin precedentes durante dos años seguidos) y el devastador brote del ransomware NotPetya. A continuación, lo invitamos a observar detenidamente la relación entre estos dos importantes incidentes.

El primer apagón de la historia provocado por malware tuvo lugar en diciembre de 2015 y fue provocado por el paquete de herramientas maliciosas con características APT conocido como BlackEnergy. Los investigadores de ESET han estado siguiendo la actividad del grupo detrás de BlackEnergy tanto antes como después del evento histórico. Después del apagón de 2015, el grupo parece haber dejado de usar BlackEnergy activamente y se ha convertido en lo que llamamos TeleBots.

Es importante aclarar que cuando nos referimos a “grupos APT” establecemos conexiones en base a indicadores técnicos, tales como similitudes de código, infraestructura compartida de C&C, cadenas de ejecución de malware, entre otras características. En general, no estamos directamente involucrados en la investigación e identificación de quienes desarrollan malware y/o implementan o interactúan con ellos. Dado que el término "grupo APT" suele estar más asociado con los indicadores de malware mencionados anteriormente y se usa con frecuencia simplemente para categorizar, quedamos al margen de la especulación con respecto a la atribución de los ataques a países o gobiernos.

Dicho esto, hemos observado y documentado vínculos entre el ataque de BlackEnergy (no solo los realizados contra la red eléctrica ucraniana, sino contra varios sectores y objetivos de gran valor) y una serie de campañas, principalmente contra el sector financiero ucraniano, por parte de la Grupo TeleBots. En junio de 2017, cuando muchas grandes corporaciones de todo el mundo se vieron afectadas por el ransomware Diskcoder.C (también conocido como Petya y NotPetya), descubrimos que el brote comenzó a propagarse desde las empresas que habían sido afectadas por la puerta trasera TeleBots, como resultado de haber comprometido un popular software financiero MEDoc.

Entonces, ¿cómo es que Industroyer, el sofisticado malware que provocó el apagón de diciembre de 2016, tiene que ver con todo esto? Poco después de que informamos públicamente nuestro hallazgo, algunas empresas de seguridad y empresas de medios comenzaron a especular que Industroyer fue creado por el grupo BlackEnergy/Telebots. Sin embargo, ninguna evidencia concreta había sido divulgada públicamente hasta ahora.

En abril de 2018, descubrimos una nueva actividad del grupo TeleBots: un intento de implementar una nueva puerta trasera, detectada por ESET como Win32/Exaramel. Nuestro análisis sugiere que esta puerta trasera de TeleBot es una versión mejorada de la puerta trasera de Industroyer: la primera prueba que faltaba.

Analisis del backdoor ganar32/Exaramel

El backdoor Exaramel es inicialmente desplegado por un cuentagotas. Los metadatos en este cuentagotas sugieren que la puerta trasera se compila con Microsoft Visual Studio justo antes de implementarse en la computadora de la víctima.

Imagen 1. PE timestamp en el dropper del backdoor Win32/Exaramel.

Una vez ejecutado, el cuentagotas muestra el binario de puerta trasera de Exaramel dentro del directorio del sistema de Windows y crea e inicia un servicio de Windows llamado wsmproav con la descripción “Windows Check AV”. El nombre del archivo y la descripción del servicio de Windows están codificados en el cuentagotas.

Imagen 2. Detalles de configuración en el registro de servicios de Windows creado por el backdoor Win32/Exaramel.

Además, el cuentagotas escribe la configuración del backdoor, dentro del registro de Windows, en formato XML.

Imagen 3. Configuración XML del backdoor Win32/Exaramel.

La configuración contiene varios bloques:

Intervalo: tiempo utilizado para la función "dormir", en milisegundos

Servidores – lista de servidores de comando y control (C&C)

Check – sitio web utilizado para determinar si el host tiene disponible una conexión a Internet

Proxy - servidor proxy en la red host

Almacenamiento: ruta utilizada para almacenar archivos programados para ser filtrados

Como puede ver en la primera línea de la configuración, los atacantes agrupan sus objetivos de ataque según la solución de seguridad que utilizan. Un comportamiento similar se puede encontrar en el conjunto de herramientas de Industroyer, específicamente, algunas puertas traseras de Industroyer pasan por los servicios antivirus (desplegados bajo el número de avtask.exe) y utilizaron la misma forma de agrupación.

Otra cosa interesante es que el backdoor utiliza servidores C&C con nombres de dominio que imitan dominios que pertenecen a ESET. En este sentido, además de esetsmart[.]organización en la configuración del backdoor, encontramos otro dominio similar: um10eset[.]neto, el cual fue utilizado por la versión recientemente descubierta del Malware de Telebots para Linux. Es importante mencionar que estos servidores controlados por atacantes no tienen relación con la infraestructura de servidores legítimos de ESET. Hasta el momento no hemos visto que Exaramel use dominios que se hicieran pasar por otras compañías de seguridad.

Una vez que se ejecuta la puerta trasera, se conecta al servidor C&C y recibe los comandos para ejecutarse. Aquí hay una lista de comandos disponibles:

  • Ejecutar procesos
  • Ejecutar procesos como usuario de Windows especifica
  • Escribir datos en un archivo ubicado en una ruta específica
  • Copiar archivos dentro de un subdirectorio de almacenamiento (Upload file)
  • Ejecutar comando de shell
  • Ejecutar comando de shell de un usuario específico de Windows
  • Ejecutar código VBS utilizando MSScriptControl.ScriptControl.1

El código de bucle de comandos y la implementación de los primeros seis comandos son muy similares a los que se encuentran en una puerta trasera utilizada en el conjunto de herramientas de Industroyer.

Imagen 4. Comparación entre el código de descompilación del backdoor Win32/Exaramel (a la izquierda) y el backdoor Win32/Industroyer (a la derecha).

Ambas familias de malware utilizan un archivo de informe para almacenar los resultados destacados de los comandos de shell ejecutados y los procesos iniciados. En el caso de la puerta trasera Win32/Industroyer, el archivo de informe se almacena en una carpeta temporal con un número de archivo aleatorio. En el caso de la puerta trasera Win32/Exaramel, el archivo de informe se llama informe.txt y su ruta de almacenamiento se define en el archivo de configuración del backdoor.

Con el objetivo de redirigir un estándar saliente (stdout) y un estándar de error (stderr) al archivo de informe, ambos backdoors establecen parámetros hStdOutput y hStdError para una manipulación del archivo de informe. Esta es otra similitud en el diseño entre esta familia de malware.

Imagen 5. Comparación entre el código descompilado del backdoor Win32/Exaramel (en la parte superior) y el backdoor Win32/Industroyer (en la parte inferior).

Si los operadores de malware quieren exfiltrar archivos de la computadora de una víctima, solo necesitan copiar esos archivos en el subdirectorio de datos de la ruta de almacenamiento definida en la configuración. Una vez que la puerta trasera esté a punto de establecer una nueva conexión con el servidor C&C, comprimirá y cifrará automáticamente todos esos archivos antes de enviarlos.

La principal diferencia entre el backdoor utilizado por Industroyer y este nuevo backdoor de TeleBots es que este último utiliza el formato XML para la comunicación y configuración en lugar de un formato binario personalizado.

Herramientas maliciosas para robar contraseñas

Junto con el backdoor Exaramel, este grupo utiliza algunas de sus herramientas antiguas, incluidas algunas para robar contraseñas (conocidas internamente por atacantes como CredRaptor o PAI) y Mimikatz ligeramente modificado.

CredRaptor, la herramienta de robo de contraseñas conocida desde 2016, se ha mejorado ligeramente. A diferencia de las versiones anteriores, recopile contraseñas guardadas no solo de los navegadores, sino también de Outlook y varios clientes FTP. Aquí hay una lista de las características que tiene:

  • FTP de BitKinex
  • Cliente FTP a prueba de balas
  • FTP clásico
  • Taza de café
  • FTP central
  • Editor del sitio web de Cryer
  • LindoFTP
  • Gerente de FAR
  • ArchivoZilla
  • FlashFXP
  • Fragata3
  • Comandante FTP
  • Explorador FTP
  • Navegador FTP
  • Google Chrome
  • Internet Explorer 7-11
  • Mozilla Firefox
  • Ópera
  • Perspectivas 2010, 2013, 2016
  • FTP inteligente
  • Cliente FTP SoftX
  • Comandante total
  • TurboFTP
  • Bóveda de Windows
  • WinSCP
  • WS_FTPClient

Estas mejoras permanentes a los atacantes recopilan credenciales de webmasters para sitios webs y credenciales para servidores en infraestructuras internas. Una vez que logan el acceso a estos servidores, los atacantes podridan plantar adicionales adicionales allí. Con frecuencia, estos servidores funcionan con sistemas operativos diferentes a Windows, por lo que los atacantes deben adaptar sus puertas traseras.

De hecho, durante nuestra respuesta a incidentes, descubrimos un backdoor para Linux utilizado por TeleBots, el cual nombramos Linux/Exaramel.A.

Análisis del backdoor Linux/Exaramel

El backdoor está escrito en el lenguaje de programación Go y compilado como un binario ELF en 64-bit. Los atacantes pueden desplegar la puerta trasera en un directorio elegido bajo cualquier nombre.

Si los atacantes ejecutan la puerta trasera con la cadena "ninguno" como argumento en la línea de comando, entonces intenta usar mecanismos de persistencia con el objetivo de iniciarse automáticamente después del reinicio. Si la puerta trasera no se ejecuta con la cuenta raíz, use el archivo crontab. Igualmente, soportará diferentes sistemas en eso de Linux. Determinará cuál sistema en eso es el que está actualmente en uso mediate la execución del commando:

cadenas /sbin/init | awk 'match($0, /(upstart|systemd|sysvinit)/){ print substr($0, RSTART, RLENGTH); exit; }'

Según los resultados de este comando, use las siguientes ubicaciones codificadas para la persistencia:

Sistema de inicio Ubicación
sysvinit /etc/init.d/syslogd
advenedizo /etc/init/syslogd.conf
sistemad /etc/systemd/system/syslogd.servicio

Durante el inicio, la puerta trasera intenta abrir un archivo de configuración que se almacena en el mismo directorio que la puerta trasera con el nombre config.json. Si este archivo de configuración no existe, se crea un nuevo archivo. La configuración se cifra con la clave s0m3t3rr0r a través del algoritmo RC4.

Imagen 6. Configuración de descifrado JSON del backdoor Linux/Exaramel.

El backdoor se conecta al servidor C&C hardcodeado (por defecto es 176.31.225[.]204 según la muestra que hemos visto hasta la fecha) o al servidor C&C listado en los archivos de configuración Hospedadores.La comunicación se envía a través de HTTPS. La puerta trasera admite los siguientes comandos:

Dominio Objetivo
Actualización de la aplicación Se actualiza a una versión más nueva
Eliminar aplicación Se borra solo del sistema
Aplicación.SetProxy Establece el proxy en la configuración
App.SetServer Actualiza el servidor C&C en la configuración
Aplicación. Establecer tiempo de espera Establece el valor de tiempo de espera (tiempo entre conexiones al servidor C&C)
IO.WriteFile Descarga un archivo desde un servidor remoto
IO.ReadFile Carga un archivo desde el disco local al servidor C&C
OS.ShellExecute Ejecuta un comando de shell

Conclusión

El descubrimiento de Exaramel muestra que el grupo TeleBots sigue activo en 2018 y que los atacantes siguen trabajando para mejorar sus herramientas y tácticas.

La fuerte similitud a nivel de código entre Exaramel y el backdoor principal Industroyer es la primera evidencia que se presenta públicamente y que vincula a Industroyer con TeleBots, y por tanto a NotPetya con BlackEnergy. Si bien siempre se debe tener en cuenta la posibilidad de una falsa advertencia (o la coincidencia de que el código sea compartido con otro actor del ciberdelito) al momento de realizar una atribución de esta naturaleza, en este caso la consideramos improbable.

Asimismo, es de especial interés que los atacantes comenzaron a utilizar dominios con temática de ESET en sus operaciones. Debe tenerse en cuenta que estos dominios fueron utilizados por ciberdelincuentes con el objetivo de ocultar la actividad maliciosa de su red de defensores, y que de ninguna manera existe relación con la infraestructura del servidor de ESET. La lista de dominios legítimos utilizados por los productos de ESET se puede encontrar aquí.

Debería tenerse presente que estos backdoor Exaramel para Windows y Linux fueron descubiertos en una organización y no en una industria. ESET compartió sus hallazgos previamente con las autoridades de investigación de Ucrania y gracias a esta cooperación pudo localizar y prevenir el ataque satisfactoriamente. Igualmente, los investigadores de ESET seguirán monitoreando la actividad de este grupo.

Indicadores de compromiso (IoC)

Nombres de detección de ESET
Troyano Win32/Exaramel
Troyano Win32/Agent.TCD
Troyano Linux/Agent.EJ
Linux/Exaramel.Un troyano
Troyano Win32/PSW.Agent.OEP
Aplicación Win32/RiskWare.Mimikatz.Z
Aplicación Win64/Riskware.Mimikatz.AI
HASHES SHA-1
Puerta trasera TeleBots Win32/Exaramel
65BC0FF4D4F2E20507874F59127A899C26294BC7
3120C94285D3F86A953685C189BADE7CB575091D
Ladrón de contraseñas
F4C4123849FDA08D1268D45974C42DEB2AAE3377
970E8ACC97CE5A8140EE5F6304A1E7CB56FA3FB8
DDDF96F25B12143C7292899F9D5F42BB1D27CB20
64319D93B69145398F9866DA6DF55C00ED2F593E
1CF8277EE8BF255BB097D53B338FC18EF0CD0B42
488111E3EB62AF237C68479730B62DD3F52F8614
Mimikatz
458A6917300526CC73E510389770CFF6F51D53FC
CB8912227505EF8B8ECCF870656ED7B8CA1EB475
Linux/Exaramel
F74EA45AD360C8EF8DB13F8E975A5E0D42E58732
servidores C&C
um10eset[.]red (IP: 176.31.225.204)
esetsmart[.]org (IP: 5.133.8.46)

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Subir
error: Content is protected !!