RATKing: nueva campaña con troyanos de acceso remoto
A finales de mayo, descubrimos una campaña para distribuir malware troyano de acceso remoto (RAT), programas que permiten a los atacantes controlar de forma remota un sistema infectado.
El grupo que examinamos se distinguió por el hecho de que no seleccionó ninguna familia de RAT específica para la infección. Se detectaron varios troyanos en ataques dentro de la campaña (todos los cuales estaban ampliamente disponibles). Con esta característica, el grupo nos recordó al rey rata, un animal mítico formado por roedores con colas entrelazadas.
El original está extraído de la monografía de K. N. Rossikov “Ratones y roedores parecidos a ratones, los más importantes económicamente” (1908)
En honor a esta criatura, llamamos al grupo que estamos considerando RATKing. En esta publicación, entraremos en detalles sobre cómo los atacantes llevaron a cabo el ataque, qué herramientas utilizaron y también compartiremos nuestras opiniones sobre la atribución de esta campaña.
Progreso del ataque
Todos los ataques de esta campaña se realizaron según el siguiente algoritmo:
El usuario recibió un correo electrónico de phishing con un enlace a Google Drive.
Usando el enlace, la víctima descargó un script VBS malicioso que especificaba una biblioteca DLL para cargar la carga útil final en el registro de Windows e inició PowerShell para ejecutarlo.
La biblioteca DLL inyectó la carga útil final (de hecho, una de las RAT utilizadas por los atacantes) en el proceso del sistema y registró un script VBS en ejecución automática para poder afianzarse en la máquina infectada.
La carga útil final se ejecutó en un proceso del sistema y le dio al atacante la capacidad de controlar la computadora infectada.
Esquemáticamente se puede representar así:
A continuación, nos centraremos en las tres primeras etapas, ya que estamos interesados en el mecanismo de entrega del malware. No describiremos en detalle el mecanismo de funcionamiento del malware en sí. Están ampliamente disponibles, ya sea vendidos en foros especializados o incluso distribuidos como proyectos de código abierto, y por lo tanto no son exclusivos del grupo RATKing.
Análisis de etapas de ataque.
Etapa 1. Correo electrónico de phishing
El ataque comenzó cuando la víctima recibió una carta maliciosa (los atacantes utilizaron diferentes plantillas con texto; la siguiente captura de pantalla muestra un ejemplo). El mensaje contenía un enlace a un repositorio legítimo. drive.google.com, que supuestamente conducía a una página de descarga de documentos PDF.
Ejemplo de correo electrónico de phishing
Pero en realidad lo que se cargó no fue un documento PDF, sino un script VBS.
Cuando hizo clic en el enlace del correo electrónico en la captura de pantalla anterior, apareció un archivo llamado Cargo Flight Details.vbs. En este caso, los atacantes ni siquiera intentaron disfrazar el archivo como un documento legítimo.
Al mismo tiempo, como parte de esta campaña, descubrimos un script llamado Cargo Trip Detail.pdf.vbs. Ya podría pasar por un PDF legítimo porque Windows oculta las extensiones de archivo de forma predeterminada. Es cierto que en este caso aún podría despertar sospechas su icono, que correspondía al script VBS.
En este punto, la víctima podría reconocer el engaño: basta con mirar más de cerca los archivos descargados por un segundo. Sin embargo, en este tipo de campañas de phishing, los atacantes suelen confiar en un usuario distraído o apresurado.
Etapa 2. Operación del script VBS
El script VBS, que el usuario podía abrir sin darse cuenta, registraba una biblioteca DLL en el registro de Windows. El guión estaba ofuscado: las líneas que contenía estaban escritas como bytes separados por un carácter arbitrario.
Ejemplo de escritura ofuscada
El algoritmo de desofuscación es bastante simple: cada tercer carácter se excluye de la cadena ofuscada, después de lo cual el resultado se decodifica desde base16 a la cadena original. Por ejemplo, del valor 57Q53s63t72s69J70r74e2El53v68m65j6CH6Ct (resaltado en la captura de pantalla anterior) la línea resultante fue WScript.Shell.
Para desofuscar cadenas, utilizamos la función de Python:
def decode_str(data_enc):
return binascii.unhexlify(''.join([data_enc[i:i+2] for i in range(0, len(data_enc), 3)]))
A continuación, en las líneas 9 y 10, resaltamos el valor cuya desofuscación resultó en un archivo DLL. Fue él quien se lanzó a la siguiente etapa utilizando PowerShell.
Cadena con DLL ofuscada
Cada función en el script VBS se ejecutó a medida que se desofuscaban las cadenas.
Después de ejecutar el script, se llamó a la función. wscript.sleep — se utilizó para realizar ejecución diferida.
A continuación, el script trabajó con el registro de Windows. Usó tecnología WMI para esto. Con su ayuda, se creó una clave única y el cuerpo del archivo ejecutable se escribió en su parámetro. Se accedió al registro a través de WMI usando el siguiente comando:
Una entrada realizada en el registro mediante un script VBS.
Etapa 3. Operación de la biblioteca DLL
En la tercera etapa, la DLL maliciosa cargó la carga útil final, la inyectó en el proceso del sistema y aseguró que el script VBS se iniciara automáticamente cuando el usuario iniciara sesión.
Ejecutar a través de PowerShell
La DLL se ejecutó usando el siguiente comando en PowerShell:
recibió datos de valor de registro con nombre rnd_value_name — estos datos eran un archivo DLL escrito en la plataforma .Net;
cargó el módulo .Net resultante en la memoria del proceso powershell.exe usando la función [System.Threading.Thread]::GetDomain().Load()(descripción detallada de la función Load() disponible en el sitio web de Microsoft);
realizó la función GUyyvmzVhebFCw]::EhwwK() - con él comenzó la ejecución de la biblioteca DLL - con parámetros vbsScriptPath, xorKey, vbsScriptName. Parámetro xorKey almacenó la clave para descifrar la carga útil final y los parámetros vbsScriptPath и vbsScriptName fueron transferidos para registrar un script VBS en ejecución automática.
Descripción de la biblioteca DLL
En forma descompilada, el gestor de arranque tenía este aspecto:
Cargador en forma descompilada (la función con la que comenzó la ejecución de la biblioteca DLL está subrayada en rojo)
El gestor de arranque está protegido por el protector .Net Reactor. La utilidad de4dot hace un excelente trabajo al eliminar este protector.
Este cargador:
inyectó la carga útil en el proceso del sistema (en este ejemplo, svchost.exe);
Agregué un script VBS para ejecución automática.
Inyección de carga útil
Veamos la función que llamó el script de PowerShell.
Función llamada por script de PowerShell
Esta función realizó las siguientes acciones:
descifró dos conjuntos de datos (array и array2 en la captura de pantalla). Originalmente fueron comprimidos usando gzip y cifrados con el algoritmo XOR con la clave xorKey;
datos copiados en áreas de memoria asignadas. Datos de array - al área de memoria señalada intPtr (payload pointer en la captura de pantalla); datos de array2 - al área de memoria señalada intPtr2 (shellcode pointer en la captura de pantalla);
llamada la función CallWindowProcA(descripción Esta función está disponible en el sitio web de Microsoft) con los siguientes parámetros (los nombres de los parámetros se enumeran a continuación, en la captura de pantalla están en el mismo orden, pero con valores de trabajo):
lpPrevWndFunc - puntero a datos de array2;
hWnd — puntero a una cadena que contiene la ruta al archivo ejecutable svchost.exe;
Msg - puntero a datos de array;
wParam, lParam — parámetros del mensaje (en este caso, estos parámetros no se utilizaron y tenían valores de 0);
creó un archivo %AppData%MicrosoftWindowsStart MenuProgramsStartup<name>.urlDonde <name> - estos son los primeros 4 caracteres del parámetro vbsScriptName (en la captura de pantalla, el fragmento de código con esta acción comienza con el comando File.Copy). De esta manera, el malware agregaba un archivo URL a la lista de archivos de ejecución automática cuando el usuario iniciaba sesión y, por lo tanto, se adjuntaba a la computadora infectada. El archivo URL contenía un enlace al script:
Para comprender cómo se llevó a cabo la inyección, desciframos las matrices de datos. array и array2. Para hacer esto utilizamos la siguiente función de Python:
def decrypt(data, key):
return gzip.decompress(
bytearray([data[i] ^ key[i % len(key)] for i in range(len(data))])[4:])
Como resultado, descubrimos que:
array era un archivo PE: esta es la carga útil final;
array2 era el código shell necesario para realizar la inyección.
Shellcode de una matriz array2 pasado como valor de función lpPrevWndFunc en una función CallWindowProcA. lpPrevWndFunc — función de devolución de llamada, su prototipo se ve así:
Entonces cuando ejecutas la función CallWindowProcA con parametros hWnd, Msg, wParam, lParam Se ejecuta el código shell de la matriz. array2 con argumentos hWnd и Msg. hWnd es un puntero a una cadena que contiene la ruta al archivo ejecutable svchost.exeY Msg — puntero a la carga útil final.
El shellcode recibió direcciones de función de kernel32.dll и ntdll32.dll basado en valores hash de sus nombres e inyectado la carga útil final en la memoria del proceso svchost.exeutilizando la técnica Process Hollowing (puedes leer más sobre esto en este статье). Al inyectar el código shell:
creó un proceso svchost.exe en estado suspendido usando la función CreateProcessW;
luego ocultó la visualización de la sección en el espacio de direcciones del proceso svchost.exe usando la función NtUnmapViewOfSection. Así, el programa liberó la memoria del proceso original. svchost.exepara luego asignar memoria para la carga útil en esta dirección;
Memoria asignada para la carga útil en el espacio de direcciones del proceso. svchost.exe usando la función VirtualAllocEx;
Inicio del proceso de inyección.
escribió el contenido de la carga útil en el espacio de direcciones del proceso svchost.exe usando la función WriteProcessMemory (como en la captura de pantalla siguiente);
reanudó el proceso svchost.exe usando la función ResumeThread.
Completando el proceso de inyección.
malware descargable
Como resultado de las acciones descritas, se instaló uno de varios programas maliciosos de clase RAT en el sistema infectado. La siguiente tabla enumera el malware utilizado en el ataque, que podemos atribuir con confianza a un grupo de atacantes, ya que las muestras accedieron al mismo servidor de comando y control.
Ejemplos de malware distribuido con el mismo servidor de control
Aquí cabe destacar dos cosas.
En primer lugar, el hecho mismo de que los atacantes utilizaron varias familias de RAT diferentes a la vez. Este comportamiento no es típico de grupos cibernéticos conocidos, que a menudo utilizan aproximadamente el mismo conjunto de herramientas que les resultan familiares.
En segundo lugar, RATKing utilizó malware que se vende en foros especializados a bajo precio o incluso es un proyecto de código abierto.
Al final del artículo se proporciona una lista más completa del malware utilizado en la campaña, con una advertencia importante.
Sobre el grupo
No podemos atribuir la campaña maliciosa descrita a ningún atacante conocido. Por ahora, creemos que estos ataques fueron llevados a cabo por un grupo fundamentalmente nuevo. Como escribimos al principio, lo llamamos RATKing.
Para crear el script VBS, el grupo probablemente utilizó una herramienta similar a la utilidad VBS-Crypter del desarrollador NYAN-x-CAT. Esto se indica por la similitud del script que crea este programa con el script de los atacantes. Específicamente, ambos:
realizar una ejecución retrasada utilizando la función Sleep;
utilizar WMI;
registrar el cuerpo del archivo ejecutable como parámetro de clave de registro;
ejecute este archivo usando PowerShell en su propio espacio de direcciones.
Para mayor claridad, compare el comando de PowerShell para ejecutar un archivo del registro, que es utilizado por un script creado con VBS-Crypter:
Tenga en cuenta que los atacantes utilizaron otra utilidad de NYAN-x-CAT como una de las cargas útiles: LimaRAT.
Las direcciones de los servidores C&C indican otra característica distintiva de RATKing: el grupo prefiere los servicios DNS dinámicos (consulte la lista de C&C en la tabla IoC).
COI
La siguiente tabla proporciona una lista completa de scripts VBS que probablemente puedan atribuirse a la campaña descrita. Todos estos scripts son similares y realizan aproximadamente la misma secuencia de acciones. Todos ellos inyectan malware de clase RAT en un proceso confiable de Windows. Todos ellos tienen direcciones C&C registradas mediante servicios de DNS dinámico.
Sin embargo, no podemos afirmar que todos estos scripts fueron distribuidos por los mismos atacantes, con la excepción de muestras con las mismas direcciones C&C (por ejemplo, kimjoy007.dyndns.org).