Zebrocy: análisis de los comandos utilizados por el patio trasero de Sednit

Investigadores de ESET analizan que vive un momento en que un equipo de víctimas está corrigiendo un nuevo backdoor interpretado por el infame grupo de APT Sednit

¿Qué sucede cuvando una víctima comprometida por un backdoor y su operador lo está controlando? Es una pregunta difícil que no es posible responder de manera completa con solo aplicar el código de ingeniería inversa. En este artículo analizamos algunos comandos enviados por nuestros operadores en forma de ataques.

El grupo Sednit, también conocido como APT28, Fancy Bear, Sofacy o STRONTIUM, opera desde 2014 y ha ocupado los títulos con la frecuencia de los últimos años.

Recientemente, hemos dado a conocer la existencia de un rootkit UEFI, lomado LoJax, el único atribuido al grupo Sednit. Esta es la primera asociación asociada con el grupo APT y refleja que Sednit ha tenido acceso a herramientas sofisticadas para ayudar en las operaciones de espionaje.

Hace tres años, el grupo Sednit lanzó nuevos componentes realizados en diversas variantes del Mediterráneo Oriental y Asia Central. Ahí, el número y variedad de componentes se ha incrementado drásticamente. Los investigadores de ESET, así como otros colegas de otras empresas, han documentado estos componentes. Sin embargo, en este artículo se nos escapa que está más allá del compromiso, es necesario; lo que los operadores realizan una vez que el sistema de una víctima está eliminado el backdoor.

A fines de agosto de 2018, el grupo Sednit lanzó una campaña de spear phishing (realizada) en la que distribuyó URL de distribución que liberaron la primera fase de los componentes de Zebrocy. En el pasado, Sednit usaba una técnica similar a las campañas de phishing. sin embargo, es inusual que el grupo de utilidades tenga la técnica para ingresar a uno de los componentes del malware directo. Preferiblemente utilizar exploits para entrar y ejecutar el malware de la primera fase, mientras que en esta campaña el grupo se dedica de lleno al uso de técnicas de ingeniería social para enfrascarse en las victorias de la primera parte de la cadena. La captura de imagen en la Figura 1 de las estadísticas de los Beatles para la URL que se utilizó en esta campaña.

Figura 1. Estadísticas de URL de los Beatles

Este enlace registra alrededor de 20 clics en la última semana que creó la URL, y esto presumiblemente descargó el archivo. Tengamos en cuenta que esto puede significar menos de 20 potenciales de vida, y que vida puede significar que se ha hecho clic en la URL de los dos, incluso más, debido a que no se esperaba que el resultado se describiera como continuo. .

Los datos de telemetría de ESET indican que esta URL distribuirá el medio de corrección del phishing selectivo, pero no contaminará una muestra de las historias corregidas. La URL contiene un enlace a una URL basada en una IP que se ha pagado.

Desafortunadamente, sin el mensaje del correo, no sabemos si hay alguna instrucción para el usuario, si hay alguna otra ingeniería social, o si se apoya solamente en la curiosidad de la víctima. El archivo contiene los archivos; el primero es un ejecutable, el segundo es un documento PDF utilizado como secuela.

Figura 2. Archivos extraídos del archivo (Google Translate Trailer (CATALOG - (2018) .exe "y" Order 97.pdf "en ucraniano)

Tenga en cuenta que hay un error tipográfico en el número de archivo ejecutable; ya que debería ser “DOVIDNIK” en lugar de “DOVIDNIK”. Cuando se ejecuta un binario, resulta que hay un diálogo que solicita un anticonceptivo. El resultado de la validación de la anticoncepción siempre será erróneo, pero la validez del dispositivo no es válida, el documento PDF utilizado como está abierto. Este documento aún está disponible, pero está descargado, la calidad está escrita en Delphi, funcionando continuamente en el segundo plano. La dirección IP también se usa en la URL codificada en el primer binario de descarga.

El descargador Phase-1 descargó y lanzó un nuevo descargador, escrito en C ++, pero muy diferente de otros descargadores de Zebrocy. Una vez maś, este downloader es tan simple como los otros downloaders de Zebrocy. Crear una identificación y descarga un nuevo e interesante backdoor (esta vez) escrito en Delphi.

Como explicamos en nuestro artículo más reciente sobre Zebrocy, la configuración del backdoor se conserva en la sección recurrente y se divide en cuatro blobs de cifrados, codificados en hexadecimal. Estos blobs contienen diferentes partes de configuración.

Figura 3. Resumen de la sección recurrente

Un enlace que proporciona información básica sobre el nuevo sistema de compromiso, los operadores pueden controlar la puerta trasera y comunicarse inmediatamente con los comandantes.

Por cierto, el tiempo que transcurre entre el momento en que la víctima corre el downloader y que los operadores envían los primeros comandos es solo de unos pocos minutos.

En esta sección describimos con más detalles los comandos que los operadores operan manualmente en la parte posterior del backdoor Delphi.

Los comandos disponibles se encuentran en la configuración de uno de los blobs inferiores (el bloque “coma” en la Figura 3). El número de comandos soportados es incremental con el tiempo de transferencia, contacto con más de 30 en la última versión del backdoor. Como no identificamos a un usuario en el orden en que se introducen sus comandos, creemos que los operadores se ejecutan manualmente.

El ejemplo de un puesto de mando con información de reconocimiento sobre la computadora y la oficina de entrada:

Comandos Argumentos
CAPTURA DE PANTALLA Ninguna
SYS_INFO Ninguna
OBTENER_RED Ninguna
ESCANEAR_TODO Ninguna

Los comandos anteriores se están ejecutando actualmente, los operadores están conectados a una nueva puerta trasera activada. No presenta ningún argumento i son bastante fáciles de entender. Otros comandos que se han visto y que se han lanzado desde entonces que son puertas traseras están activados, se enumeran a continuación:

Comandos Argumentos
REG_GET_KEYS_VALUES HKEY_CURRENT_USER
Software Microsoft Windows Versión actual
DESCARGAR_DÍA (30) c: *. doc; *. docx; *. xls; *. xlsx; *. ppt; *. pptx; *. rtf; *. tif; *. tiff; *. jpg; *. jpeg;
* .bmp; *. rar; *. zip; *. pdf; *. KUM; *. kum; *. tlg; *. TLG; *. sbx; *. crf; *. hse; *. hsf; *. lhz;

d: *. doc; *. docx; *. xls; *. xlsx; *. ppt; *. pptx; *. rtf; *. tif; *. tiff; *. jpg; *. jpeg;
* .bmp; *. rar; *. zip; *. pdf; *. KUM; *. kum; *. tlg; *. TLG; *. sbx; *. crf; *. hse; *. hsf; *. lhz;

DESCARGAR_DÍA (1)
c: *. doc; *. docx; *. xls; *. xlsx; *. ppt; *. pptx; *. rtf; *. tif; *. tiff; *. jpg * .jpeg
* .bmp * .rar; *. zip; *. pdf; *. KUM; *. kum; *. tlg; *. TLG; *. sbx; *. crf; *. hse; *. hsf;

d: *.doc; *.docx; *.xls; *.xlsx; *.ppt; *.pptx; *.rtf; *.tif; *.tiff; *.jpg * .jpeg
* .bmp * .rar; *. zip; *. pdf; *. KUM; *. kum; *. tlg; *. TLG; *. sbx; *. crf; *. hse; *. hsf;

CMD_EXECUTE echo% APPDATA%
ipconfig / all
netstat-aon
CMD_EXECUTE proceso wmic obtener Caption, ExecutablePath
consulta de registro
"HKCUSoftwareMicrosoftWindowsCurrentVersionRun"/s

Aquellos que ya han leído nuestros artículos anteriores sobre Zebrocy notarán que, más o menos, el mismo tipo de información es enviada una y otra vez en etapas anteriores. Esta información se solicita al acta del compromiso inicial y la cantidad de datos con los que el operador debe ser el mejor.

Con la búsqueda final se incluyó más información, cada período de tiempo, los operadores de Zebrocy suben y utilizan dumpers en las computadoras de las víctimas. Los dumpers actuales presentan una serie de similitudes con aquellos que se utilizaban mayoritariamente para el grupo. En este caso, existen navegadores como Yandex, Chromium, 7Star Browser (navegador basado en Chromium) y CentBrowser, así como otras versiones de Microsoft Outlook desde 1997 hasta 2016.

Dominio Argumentos
CARGAR_Y_EJECUTAR_ARCHIVO C:ProgramDataOfficeMSmsoffice.exe
[…]
4D5A9000…

Estos son los registros de archivos creados que indican la presencia o ausencia de bases de datos potenciales para dumpear.

Dominio Argumentos
DESCARGAR_LISTA C:ProgramDataOfficeMSout.txt
C:ProgramDataOfficeMStext.txt

Los siguientes dumpers contienen las siguientes rutas cuando existen bases de datos para dumpers.

% LOCALAPPDATA% Yandex YandexBrowser Datos de usuario Predeterminado Datos de inicio de sesión no encontrados
% LOCALAPPDATA% Chromium Datos de usuario Predeterminado Datos de inicio de sesión no encontrado
% LOCALAPPDATA% 7Star 7Star Datos de usuario Predeterminado Datos de inicio de sesión no encontrados
% LOCALAPPDATA% CentBrowser Datos de usuario Predeterminado Datos de inicio de sesión no encontrados

Estos dumpers se retiran rápidamente de un lugar donde quería trabajar. Además, la puerta trasera contiene una lista de números de archivo relacionados con credenciales de software que se pueden muestrear (números de base de datos):

clave3.db Claves privadas de Firefox (ahora llamadas key4.db)
cert8.db Base de datos de certificados de Firefox
inicios de sesión.json Base de datos de contraseñas cifradas de Firefox
cuenta.cfn ¡El murciélago! (cliente de correo electrónico) credenciales de la cuenta
varita.dat Base de datos de contraseñas de Opera

Los operadores se preocupan por recuperar las bases de datos y están presentes en las cuentas informáticas.

Dominio Argumentos

DESCARGAR_LISTA
% APPDATA% El Murciélago! Cuenta.CFN
% APPDATA% ¡El Murciélago! [REDACTED] Cuenta.CFN

Los operadores recuperaron estos archivos en la máquina usando el comando DOWNLOAD_LIST. Este comando puede ser utilizado ya que los operadores están a cargo de la presentación de archivos interesantes en la computadora.

Finalmente, dependiendo de lo interesante que sea ganar, los operadores de malware pueden enviar otro backdoor personalizado. Esta puerta trasera es utilizada por el comando CMD_EXECUTE.

Dominio Argumentos
CMD_EXECUTE

Aquí hay gente interesante. En primer lugar, use el objeto COM para hacer que el malware persista en el sistema, incluida la puerta trasera personalizada instalada solo por un par de horas. En segundo lugar, la cadena codificada en hexadecimal es el C&C utilizado para la puerta trasera personalizada, pero la puerta trasera en Delphi el C&C está incrustada en la configuración.

Los dos backdoors en Delphi son bastante similares, pero contienen estas definiciones interesantes:

puerta trasera Delphi Puerta trasera de Delphi descargada
Versión del compilador Delphi 14,0-15,0 32,0
32/64 bits 32 bits 64 bits
Configuración de ubicación sección de recursos sin configuración (C&C se pasa como argumento)
Número de comandos 5 3
Algoritmo de cifrado AES BCE costumbre
Toda la vida en la computadora unos pocos días unas pocas horas

Una vez maś, no queda muy claro cuál es el propósito de este backdoor personalizado. La tasa de detección es definitivamente comparable a la puerta trasera "habitual". El breve periodo de tiempo en el que el backdoor se encuentra dentro del sistema de forma operativa dificulta su recuperación. Una vez que sus operadores completan sus acciones malintencionadas, rapidamente lo eliminan.

Observa los comandos utilizados en la forma de activación por parte de los operadores de este backdoor y los más interesantes. Hay una cantidad considerable de información en el espacio en blanco de compromiso y no importa lo ocupado que esté con la duplicación de datos. Debe mostrar una gran ruptura entre la estrategia de desarrollo y el hecho de que los operadores se dieron cuenta en la práctica. Estos backdoors con configuraciones y módulos personales son inmanejables de manera muy despreocupada, lo que es un indicio de medidas de precaución para no tener que lidiar con investigadores.

El ejemplo de una línea de comando es el mismo y se ejecuta en un período de tiempo muy corto, que es otra razón: ¿Está automatizado?

URL de distribución
http://45.124.132[.]127 / DOVIDNIK - (2018) .zip
servidor de mando y control
http://45.124.132[.]127 / action-center / centerforserviceandaction / service-and-action.php
SHA-1 Nombres de detección de ESET
48f8b152b86cama027b9152725505fbf4a24a39fd Win32 / TrojanDownloader.Sednit.CMT
1e9f40ef81176190e1ed9a0659473b2226c53f57 Win32 / HackTool.PSWDump.D
bfa26857575c49abb129aac87207f03f2b062e07 Win32 / PSW.Agente.OGE
Táctico IDENTIFICACIÓN Nombre Descripción
Acceso inicial T1192 Enlace de pesca submarina Correos electrónicos de spearphishing que usan un servicio de acortador de URL para engañar a la víctima para que haga clic en un enlace a un archivo zip que contiene archivos maliciosos.
Ejecución T1204 Ejecución de usuario Engaña a los usuarios para que ejecuten un ejecutable con un icono que parece un documento de Microsoft Word.
T1085 Rundll32 rundll32.exe se ha utilizado para ejecutar una nueva DLL maliciosa descargada.
T1047 Instrumentación de Administración Windows Comandos WMI para recopilar detalles del host de la víctima.
T1053 Tarea programada Programar tareas para ejecutar binarios maliciosos.
Persistencia T1060 Claves de ejecución del registro/carpeta de inicio Clave de registro HKCU Software Microsoft CurrentVersion Run utilizada para la persistencia.
T1122 Secuestro del modelo de objetos componentes Secuestro COM para persistencia.
Evasión de defensa T1107 Eliminación de archivos Elimina archivos (binarios y archivos creados) después de su uso.
T1089 Deshabilitar herramientas de seguridad Mata procesos
Descubrimiento T1012 Registro de consultas Enumeración de claves de registro
T1057 Descubrimiento de procesos Enumera los procesos en ejecución
T1082 Descubrimiento de información del sistema Usos información del sistema comando para recopilar información sobre la víctima.
T1083 Descubrimiento de archivos y directorios Usos eco ENV Comando para listar el contenido de un directorio.
Recopilación T1005 Datos del sistema local Analiza los archivos que coinciden con las extensiones enumeradas en el malware.
T1039 Datos de la unidad compartida de red Enumera las unidades remotas y locales y luego filtra los archivos que coinciden con extensiones específicas.
T1025 Datos de medios extraíbles Enumera las unidades remotas y locales y luego filtra los archivos que coinciden con extensiones específicas.
T1074 Datos por etapas Crea un archivo que contiene la ruta de todos los archivos para exfiltrar.
T1056 Captura de entrada Función de registro de teclas.
T1113 La captura de pantalla Función de captura de pantalla.
exfiltración T1020 Exfiltración automatizada Prepare automáticamente un archivo con todas las rutas de archivo para recuperarlo y enviarlo.
T1022 Datos encriptados Los datos enviados están codificados en hexadecimal, encriptados con un algoritmo conocido o personalizado uno.
T1041 Exfiltración sobre el canal de comando y control Los datos se extraen a un servidor C&C.
Comando y control T1043 Puerto de uso común Los descargadores y puertas traseras usan los puertos 80 o 443 para comunicarse con el servidor C&C.
T1024 Protocolo criptográfico personalizado Los datos enviados están codificados en hexadecimal, encriptados con AES o un algoritmo personalizado.
T1132 Codificación de datos Los datos enviados están codificados en hexadecimal, encriptados con un algoritmo conocido o uno personalizado.
T1001 Ofuscación de datos Los datos enviados están codificados en hexadecimal, encriptados con un algoritmo conocido o uno personalizado.
T1008 Canales alternativos Un servidor C&C alternativo está incrustado en la configuración.
T1079 Cifrado multicapa Los datos enviados están codificados en hexadecimal, encriptados con un algoritmo conocido o uno personalizado.
T1071 Protocolo de capa de aplicación estándar HTTP, HTTPS se utilizan para comunicarse.
T1032 Protocolo criptográfico estándar Los datos enviados están codificados en hexadecimal, encriptados con un algoritmo conocido o uno personalizado.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Subir
error: Content is protected !!