A hIstórIA dE umA hospItAlIdAdE INVulGAr

Transcrição

O APT Darkhotel
A história de uma
hospitalidade
invulgar
Versão 1.1
Novembro de 2014
Equipa de Investigação e Análise Global
2
Índice
Resumo executivo...................................................................................................3
Introdução...............................................................................................................5
Análise.....................................................................................................................6
Fornecimento - Hotéis/Business Centers e propagação indiscriminada.......6
Propagação em hotéis e business centers.................................................6
Abuso da infraestrutura de rede..................................................................7
Propagação indiscriminada.........................................................................8
Campanhas de spear-phishing do Darkhotel.......................................... 10
Implementação recente de dia 0............................................................. 10
Certificados digitais e deslegitimação da confiança da Autoridade
de Certificação................................................................................................ 11
Decifração das chaves.............................................................................. 14
Outros certificados Tapaoux..................................................................... 14
Keyloggers aperfeiçoados e desenvolvimento............................................. 15
Código do keylogger.................................................................................. 15
Componentes de malware interessantes........................................................... 17
Downloader pequeno..................................................................................... 17
Ladrão de informação.................................................................................... 18
Trojan.Win32.Karba.e..................................................................................... 19
Dropper e injetor de Trojans (ficheiros legítimos infetados)......................... 20
Agente de infeção seletivo............................................................................. 20
Códigos de campanha.................................................................................... 21
Infraestrutura e vítimas........................................................................................ 22
Domínios sinkhole.......................................................................................... 22
Localizações das vítimas - Dados sinkhole e do KSN.................................. 23
Dados do KSN........................................................................................... 23
Dados sinkhole.......................................................................................... 25
Dados disponíveis das vítimas ddrlog........................................................... 26
Comunicações e estrutura do C2.................................................................. 28
Gestão de vítimas........................................................................................... 29
Atividade dos investigadores.................................................................... 30
Conclusões........................................................................................................... 31
TLP: Green
Para quaisquer questões, contacte-nos através do e-mail: [email protected]
3
Resumo executivo
O APT Darkhotel é um agente de ameaça que tem um conjunto aparentemente
inconsistente e contraditório de características, algumas avançadas e outras
relativamente rudimentares. Tendo estado adormecido há quase uma década,
este agente de ameaça encontra-se atualmente ativo. A atividade ofensiva do
agente pode estar associada a ligações Wi‑Fi e físicas específicas de hotéis e business centers, e alguma parte desta atividade está também associada a redes
de partilha de ficheiros/p2p, conhecidas também como alvos de spear-phishing.
As ferramentas Darkhotel são detetadas como "Tapaoux", "Pioneer", "Karba" e
"Nemim", entre outros nomes. A seguinte lista apresenta um conjunto de características para a equipa:
• competência operacional para comprometer, utilizar de forma incorreta e
manter o acesso, à escala global, a recursos de rede comerciais fidedignos
com uma precisão estratégica durante anos
• capacidades ofensivas matemáticas e criptoanalíticas avançadas, sem atender minimamente ao abalo da confiança prestada às Autoridades de Certificação e PKI
• infeção indiscriminada de sistemas, com algum conhecimento regional sobre
recursos fidedignos e não fidedignos para construir e utilizar grandes botnets
• keyloggers de baixo nível bem desenvolvidos num conjunto de ferramentas
eficaz e consistente
• foco contínuo em campanhas de categorias específicas de vítimas e na sua
identificação
TLP: Green
4
• uma infraestrutura dinâmica de maiores dimensões constituída por servidores web apache, registos dns dinâmicos, bibliotecas encriptadas e aplicações
web php
• acesso de dia 0 regular - implementação regular de um exploit Adobe Flash
de spear-phishing de dia 0 integrado, e implementação pouco frequente de
outros recursos de dia 0 para suportar maiores campanhas durante vários
anos
TLP: Green
5
Introdução
Quando hóspedes incautos, incluindo executivos de empresas com conhecimento da
situação e empreendedores de alta tecnologia, viajam para uma variedade de hotéis e
estabelecem ligação à Internet, são afetados por um Trojan APT raro que se faz passar
por uma das diversas versões de software principais. Estas podem incluir
GoogleToolbar, Adobe Flash, Windows Messenger, etc. Esta primeira fase de malware
ajuda os atacantes a identificar as vítimas mais significativas, conduzindo à transferência seletiva de ferramentas de roubo mais avançadas.
Nos hotéis, estas instalações são distribuídas seletivamente aos indivíduos escolhidos. Este grupo de atacantes parece saber com antecedência a hora de chegada
e partida destes indivíduos dos seus hotéis de luxo. Logo, os atacantes aguardam a
chegada e ligação à Internet destes viajantes.
O FBI emitiu avisos sobre incidentes semelhantes em hotéis; os responsáveis por
serviços públicos da Austrália também emitiram avisos semelhantes dignos de serem
notícia quando foram infetados. Apesar de o FBI ter emitido, em maio de 2012, um
anúncio sobre ataques direcionados aos hóspedes de hotéis no estrangeiro, em 2007
já se verificava a circulação de amostras Darkhotel. Também se verificavam ligações
de registos de dados do servidor Darkhotel a 1 de janeiro de 2009. Além disso, as redes p2p recheadas de malware e os ataques de spear-phishing de dia 0 demonstram
que o APT Darkhotel mantém um conjunto de ferramentas eficaz e um funcionamento
duradouro por trás da hospitalidade questionável que oferece aos seus hóspedes.
TLP: Green
6
Análise
Fornecimento - Hotéis/Business Centers e propagação
indiscriminada
Propagação em hotéis e business centers
A propagação precisa de malware do APT Darkhotel foi observada em várias
redes de hotéis, onde foi solicitado aos visitantes que se ligam à rede Wi-Fi do
hotel que instalassem atualizações de software para pacotes de software populares.
Estes pacotes tratavam-se obviamente de instaladores de backdoors do APT
Darkhotel que são adicionados aos instaladores legítimos da Adobe e Google. Os
backdoors do Darkhotel de assinatura digital são instalados juntamente com os
pacotes legítimos.
TLP: Green
7
O mais interessante neste método de fornecimento é que os hotéis solicitam aos
hóspedes que utilizem o seu apelido e número de quarto para iniciarem sessão,
porém apenas alguns hóspedes receberam o pacote Darkhotel. Quando são
visitados os mesmos hotéis, os nossos sistemas de pesquisa de honeypots não
conseguiram atrair um ataque Darkhotel. Estes dados não são conclusivos, mas
apontam para uma utilização incorreta das informações de início de sessão.
Abuso da infraestrutura de rede
O agente Darkhotel manteve um conjunto de intrusão eficaz nas redes dos hotéis, proporcionando um amplo acesso a pontos inesperados de ataque ao longo
de vários anos. Estes pontos de paragem também proporcionam aos atacantes
acesso aos dados de check-in/check-out e de identidade dos visitantes de hotéis de luxo.
Como parte de uma investigação em curso, a nossa pesquisa conduziu-nos a
iframes integrados nas redes dos hotéis que redirecionavam os browsers das
pessoas para instaladores falsos. Os atacantes tiveram muito cuidado com a colocação destes iframes e executáveis nos recursos fidedignos, como os próprios
portais de início de sessão das redes dos hotéis. Os atacantes também tiveram
muito cuidado em eliminar imediatamente todos os vestígios das suas ferramentas depois de um ataque ter sido realizado com sucesso. Esses mesmos
portais são agora analisados, limpos e estão a ser sujeitos a outros processos
de análise e reforço. Observámos vestígios de alguns destes incidentes no final
de 2013 e no início de 2014 na rede de um hotel que foi vítima de um ataque.
Os atacantes configuraram o ambiente e acertaram com precisão nos seus alvos
individuais. Assim que a estadia do alvo chegou ao fim e o ataque foi encerrado,
os atacantes eliminaram a colocação do seu iframe e executáveis de backdoor
da rede do hotel. Os atacantes eliminaram com sucesso os vestígios dos ataques
mais recentes contra outro hotel, mas as suas técnicas ofensivas foram as mesmas. Os relatórios externos da mesma atividade noutros hotéis proporcionam
dados suficientes para confirmar nesses hotéis as mesmas operações cuidadosas.
A técnica de ataque esbate a diferença entre algumas táticas de APT comuns;
"watering holes" relativamente pouco precisos ou "compromissos estratégicos
na web" e técnicas de spear-phishing mais precisas. Neste caso, os atacantes
Darkhotel esperam que a vítima estabeleça ligação à Internet através da rede
Wi-Fi do hotel ou através de uma ligação com cabos no seu quarto. Há uma grande probabilidade de os alvos estabelecerem ligação através destes recursos e de
os atacantes confiarem nessa probabilidade, como num "watering hole".
TLP: Green
8
Contudo, os atacantes também mantêm informações verdadeiramente precisas
sobre a visita da vítima, como também sabem o endereço de e-mail de uma vítima e os interesses de conteúdos num ataque de spear-phishing. Na configuração do ataque, os atacantes Darkhotel tinham conhecimento das horas previstas
de chegada e partida do alvo, do número do quarto e do nome completo, entre
outros dados. Estes dados permitem aos atacantes apresentar o iframe malicioso a esse alvo individual com precisão. Temos aqui outra característica única
deste atacante: a implementação de uma abordagem ofensiva vagamente certa
mas extremamente precisa.
Propagação indiscriminada
Um exemplo da propagação indiscriminada do APT Darkhotel é o modo como
envia sites de partilha p2p japoneses, onde o malware é fornecido como uma
parte de um grande (aproximadamente 900 MB) arquivo rar. O arquivo é também
propagado através de bittorrent, conforme detalhado abaixo. O Darkhotel utiliza
este método para distribuir o seu Torjan Karba. Estes arquivos japoneses, traduzidos para os utilizadores que falam chinês, parecem ser de natureza sexual,
fazem parte de uma cena erótica animé/militar cómica que expõe os prováveis
interesses dos potenciais alvos.
Este pacote Darkhotel foi transferido mais de 30 000 vezes em menos de seis
meses. A oferta Darkhotel p2p bittorrent está indicada aqui, tendo sido publicada
em 22/11/2013. Propagou-se ao longo de 2014.
(一般コミック) [古味直志] ニセコイ第01-09巻.rar
Este torrent equivale a um ficheiro de quase 900 MB. O arquivo rar é descomprimido para um diretório com zips codificados, o descodificador associado e um
ficheiro de palavra-passe descodificam os zips. Mas o aparente descodificador
TLP: Green
9
AxDecrypt.exe está associado ao descodificador verdadeiro e ao dropper do
Trojan Karba Darkhotel Catch.exe. Quando um utilizador transfere o torrent e
descodifica os ficheiros zip, o trojan é instalado sub-repticiamente e executado
no sistema afetado.
Catch.exe, detetado como Backdoor.Win32.Agent.dgrn, comunica com os seguintes servidores de comando e controlo do Darkhotel:
microdelta.crabdance.com
microyours.ignorelist.com
micronames.jumpingcrab.com
microchisk.mooo.com
microalba.serveftp.com
Outros exemplos deste backdoor do Darkhotel integrado num torrent partilhado
incluem animação japonesa para adultos, entre outros. São transferidos dezenas
de milhares destes torrents individuais.
“torrent\[hgd资源组][漫画]comic1☆7漫画合集③+④+⑤+特典[5.08g][绅士
向][总第四十三弹]（七夕节快乐！）\汉化\(comic1☆7) [莉零 (小鹿りな, 古
代兵器)] 凌 -shinogi- (闪乱カグラ) [中文] “
e
“動漫\[hgd资源组][漫画]comic1☆7漫画合集③+④+⑤+特典[5.08g][绅士向][
总第四十三弹]（七夕节快乐！）\汉化”)
O backdoor do Darkhotel associado esteve alojado no bittorrent, emule, etc, com
uma variedade de nomes de bandas desenhadas. Os exemplos incluem ofertas
de banda desenhada e animação. Os domínios dos servidores de comando e
controlo do Darkhotel incluem:
microblo5.mooo.com
microyours.ignorelist.com
micronames.jumpingcrab.com
microchisk.mooo.com
microalba.serveftp.com
TLP: Green
10
Campanhas de spear-phishing do Darkhotel
As campanhas do Darkhotel que envolvem implantes Tapaoux típicos de spear-phishing foram aparecendo publicamente de forma gradual e em várias vezes nos
últimos cinco anos. Estes esforços de projeto secundário tinham como alvo a base
industrial de defesa (DIB), o governo e organizações ONG. Foram usados como "isco"
conteúdos enviados por e-mail sobre tópicos como a energia nuclear e capacidades de armamento. Foram descritos em contagio ataques a organizações ONG e
a formuladores de politicas públicas. Esta atividade de spear-phishing persiste em
2014. Os ataques seguem o processo típico de spear-phishing e, nos últimos meses,
os sistemas explorados recuperaram executáveis transferíveis através de servidores
web como hxxp://office-revision.com/update/files22/update.exe ou
hxxp://trade-inf.com/mt/duspr.exe
Nos últimos anos, o grupo enviou ligações por e-mail que redirecionam os browsers das vítimas para exploits de dia 0 do Internet Explorer. Por vezes, o próprio
anexo inclui um exploit de dia 0 do Adobe.
Implementação recente de dia 0
Esta equipa implementa ocasionalmente exploits de dia 0 e elimina-os quando
necessário. Nos últimos anos, implementaram ataques de spear-phishing de
dia 0 direcionados aos produtos Adobe e ao Microsoft Internet Explorer, incluindo cve-2010-0188. No início de 2014, os nossos investigadores expuseram a
utilização do cve-2014-0497, um exploit de dia 0 do Flash descrito em Securelist
no início de fevereiro.
Um conjunto de sistemas alvo ligados à Internet através de ISP chineses foi alvo
de spear-phishing e os atacantes desenvolveram capacidades nos exploits de
dia 0 para lidar com os sistemas Windows 8.1 robustos. É interessante que os
objetos Flash estavam integrados nos documentos coreanos chamados "Lista
de AV japoneses mais recentes e como utilizar torrents.docx" (tradução livre em
português). O downloader implementado
(d8137ded710d83e2339a97ee78494c34) forneceu um código malicioso
semelhante à funcionalidade do componente "Ladrão de informação" resumido
mais abaixo e detalhado no Apêndice D.
TLP: Green
11
Certificados digitais e deslegitimação da confiança da
Autoridade de Certificação
Os agentes Darkhotel assinam normalmente os seus backdoors com certificados
digitais de um ou outro tipo. Contudo, os certificados escolhidos originalmente
por esta equipa são muito interessantes devido às suas chaves pouco seguras
e provável abuso por atacantes. Eis uma lista dos certificados que são utilizados
habitualmente na assinatura do código malicioso Darkhotel que requer capacidades matemáticas avançadas para o fabrico de chaves no momento. Não são
os únicos certificados utilizados pelo grupo. A atividade mais recente sugere que
o grupo roubou certificados para assinar o seu código.
Raiz CA
GTE
CyberTrust
CA
subordinada/
Emissor
Proprietário
Digisign Server ID
(Enrich)
GTE
CyberTrust
Válido a
partir de
Válido até
flexicorp.jaring.my sha1/ Data de
RSA (512 bits)
validade
17/12/2008
17/12/2010
Cybertrust
SureServer CA
inpack.syniverse.my
sha1/RSA (512 bits)
Data de
revogação
13/2/2009
13/2/2011
GTE
CyberTrust
Cybertrust
SureServer CA
inpack.syniverse.com
sha1/RSA (512 bits)
Data de
revogação
13/2/2009
13/2/2011
GTE
CyberTrust
Anthem Inc
Certificate Auth
ahi.anthem.com sha1/
RSA (512 bits)
Assinatura
inválida
13/1/2010
13/1/2011
GlobalSign
Deutsche Telekom www.kuechentraum2
CA 5
4.de
Data de
revogação
20/10/2008
25/10/2009
GTE
CyberTrust
Digisign Server ID
(Enrich)
payments.bnm.gov.m y
Assinatura
inválida
7/12/2009
7/12/2010
sha1/RSA (512 bits)
GTE
CyberTrust
TaiCA Secure CA
esupplychain.com.tw
sha1/RSA (512 bits)
Data de
validade
2/7/2010
17/7/2011
GTE
CyberTrust
Digisign Server ID
(Enrich)
mcrs2.digicert.com. my
Assinatura
inválida
28/3/2010
28/3/2012
GTE
CyberTrust
Cybertrust
SureServer CA
agreement.syniverse.
Assinatura
com sha1/RSA (512 bits) inválida
13/2/2009
13/2/2011
GTE
CyberTrust
Cybertrust
SureServer CA
ambermms.syniverse.
com
16/2/2009
16/2/2011
Estado
sha1/RSA (512 bits)
sha1/RSA (512 bits)
Assinatura
inválida
sha1/RSA (512 bits)
TLP: Green
12
CA
subordinada/
Emissor
Válido a
partir de
Válido até
27/2/2005
30/3/2007
md5/RSA (512 bits)
Assinatura
inválida
Cybertrust
Educational CA
stfmail.ccn.ac.uk sha1/
RSA (512 bits)
Assinatura
inválida
12/11/2008
12/11/2011
GTE
CyberTrust
Digisign Server ID
(Enrich)
webmail.jaring.my sha1/ Assinatura
RSA (512 bits)
inválida
1/6/2009
1/6/2011
GTE
CyberTrust
Cybertrust
Educational CA
skillsforge.londonmet.
ac.uk
Assinatura
inválida
16/1/2009
16/1/2012
GTE
CyberTrust
Digisign Server ID
(Enrich)
Assinatura
inválida
29/9/2009
29/9/2011
GTE
CyberTrust
Anthem Inc
dl-ait-middleware@an
Certificate Authority them.com
Assinatura
inválida
22/4/2009
22/4/2010
GTE
CyberTrust
Cybertrust
Educational CA
Assinatura
inválida
11/9/2008
11/9/2011
Verisign
Verisign Class 3
Secure OFX CA G3
secure2.eecu.com sha1/ Assinatura
RSA (512 bits)
inválida
25/10/2009
26/10/2010
Microsoft
Raiz CA
Equifax
Secure
eBusiness
CA-1
Proprietário
Estado
Equifax Secure
eBusiness CA-1
secure.hotelreykjavik.i s
GTE
CyberTrust
sha1/RSA (512 bits)
anjungnet.mardi.gov. my
sha1/RSA (512 bits)
sha1/RSA (512 bits)
ad-idmapp.cityofbrist
ol.ac.uk
sha1/RSA (512 bits)
Agência raiz Agência raiz
GTE
Cybertrust
CyberTrust
SureServer CA
Assinatura
inválida
9/6/2009
31/12/2039
md5/RSA (1024 bits)
trainingforms.syniverse.
com
Assinatura
inválida
17/2/2009
17/2/2011
sha1/RSA (512 bits)
Todos os casos relacionados de malware com assinatura Darkhotel partilham a
mesma Autoridade de Certificação raiz e Autoridade de Certificação intermédia
que emitiram certificados com chaves md5 pouco seguras (RSA 512 bits). Acreditamos que o nosso agente de ameaça Darkhotel duplicou fraudulentamente
estes certificados para assinar o seu malware. Estas chaves não foram roubadas. Muitos dos certificados foram indicados numa publicação Fox-IT de 2011
"RSA-512 Certificates Abused in the Wild".
TLP: Green
13
Para apoiar ainda mais esta especulação, consulte os seguintes conselhos de
segurança da Microsoft não específicos, os conselhos da Mozilla relativos a este
problema na altura e as respostas da Entrust.
Retirado dos conselhos de segurança da Microsoft de quinta-feira, 10 de novembro de 2011:
"A Microsoft tem noção de que a DigiCert Sdn. Bhd, uma autoridade de certificação (CA) subordinada malaia da Entrust e da GTE CyberTrust, emitiu 22
certificados com chaves pouco seguras de 512 bits. Se estas chaves pouco
seguras de codificação forem decifradas, os certificados podem ser utilizados
de modo fraudulento por um atacante para a falsificação de conteúdos e para
a realização de ataques de phishing ou de intermediário contra todos os utilizadores de browsers, incluindo os utilizadores do Internet Explorer. Embora não se
trate de uma vulnerabilidade num produto Microsoft, este problema afeta todas
as versões suportadas do Microsoft Windows.
Não há indicação de que qualquer certificado foi emitido fraudulentamente.
Em vez disso, as chaves criptograficamente pouco seguras permitiram a duplicação de alguns certificados e a sua utilização de um modo fraudulento.
A Microsoft vai fornecer uma atualização para todas as versões suportadas do
Microsoft Windows que revoga a confiança na DigiCert Sdn. Bhd. A atualização
revoga a confiança nos dois seguintes certificados CA intermédios: Digisign Server ID – (Enrich), emitido pela Entrust.net Certification Authority (2048) Digisign
Server ID (Enrich), emitido pela GTE CyberTrust Global Root”
Retirado da resposta de 2011 da Mozilla:
"Apesar de não haver indicação de que foram emitidos fraudulentamente, as
chaves pouco seguras têm permitido o comprometimento dos certificados.
Além disso, os certificados desta CA contêm diversos problemas técnicos. Não
têm uma extensão EKU que especifica a sua utilização pretendida e nem foram
emitidos sem informações de revogação."
Retirado da resposta da Entrust:
"Não há provas de que as autoridades de certificação malaias Digicert estejam
comprometidas."
TLP: Green
14
Decifração das chaves
Eis algumas notas sobre os requisitos técnicos e custos envolvidos nos ataques
a estes certificados.
O investimento informático necessário para decifrar e calcular uma chave RSA
de 512 bits foi de aprox. 4250 EUR e o período de tempo necessário foi de cerca
de 2 semanas. (consulte http://lukenotricks.blogspot.co.at/2010/03/rsa-512-factoring-service-two-weeks.html)
Em outubro de 2012, Tom Ritter afirmou que esse processo custaria cerca de
100-130 EUR ou talvez até 65 EUR.
Se recuarmos muitos anos, verificamos que se falou muito sobre os métodos
técnicos de decifração destas chaves:
Documento de 2001 de DJ Bernstein sobre a construção de uma máquina que
reduza os custos da factorização de números inteiros com técnicas Crivo de
Campo Numérico e que decifre as chaves RSA de 1024 bits.
Reação da RSA e declaração de 2002 sobre se as chaves RSA de 1024 bits
foram decifradas: "A NIST ofereceu uma tabela de tamanhos de chaves para ser
discutida no seu workshop de gestão em novembro de 2001 [7]. Para os dados
que precisam de ser protegidos o mais tardar até 2015, a tabela indica que o
tamanho da chave RSA deve ser de pelo menos 1024 bits. Para os dados que
precisam de ser protegidos durante um maior período de tempo, o tamanho da
chave deve ser no mínimo 2048 bits".
Outros certificados Tapaoux
Os recentes ataques e backdoors Tapaoux incluem malware com assinatura e
fortes certificados SHA1/RSA de 2048 bits que sugerem roubo de certificado.
Raiz CA
thawte
thawte
CA
subordinada/
Emissor
thawte Primary
Root CA
thawte Primary
Root CA
Proprietário
Estado
Xuchang Hongguang Data de
Technology Co.,Ltd.
revogação
sha1/RSA (2048 bits)
Ningbo Gaoxinqu
Data de
zhidian Electric Power revogação
Technology Co., Ltd.
Válido a
partir de
18/7/2013
Válido até
16/7/2014
5/11/2013
5/11/2014
sha1/RSA (2048 bits)
TLP: Green
15
Keyloggers aperfeiçoados e desenvolvimento
Um dos componentes mais interessantes que descobrimos como parte desta campanha foi a utilização de um keylogger avançado de assinatura digital. É um código
malicioso de nível kernel limpo e bem escrito. Os idiomas das suas sequências são
uma mistura de inglês e coreano. Estão assinados com o familiar certificado digital
"[email protected]".
Este keylogger é implementado através de um código que é executado em
svchost.exe no WinXP SP3, que mantém uma sequência de depuração interessante:
d:\KerKey\KerKey(일반)\KerKey\release\KerKey.pdb
Tenha em conta que 일반 significa "Geral" em coreano
Foi provavelmente desenvolvido como parte de um projeto de meados de 2009:
e:\project\2009\x\total_source\32bit\ndiskpro\src\ioman.c
Código do keylogger
Este pacote de controladores foi concebido para se assemelhar a um dispositivo
do sistema Windows de baixo nível legítimo. É instalado como um serviço "Ndiskpro" de controladores kernel, descrito como um "Dispositivo de atualização
microcódigo". Em certa medida, é surpreendente que nenhuma funcionalidade
rootkit oculte este serviço:
Quando é carregado, o controlador NDISKPRO.SYS bloqueia INT 0x01 e INT 0xff
e recupera diretamente os dados das teclas que são premidas da porta 0x60, o
controlador do teclado da placa principal. Depois de carregar, comunica os dados
de utilizador registados ao componente do modo de utilizador em execução. Este
componente codifica e grava os valores recuperados no disco para um ficheiro
.tmp com um nome aleatório, como ffffz07131101.tmp. Este ficheiro está localizado no mesmo diretório que o dropper, que se mantém persistente nas reinicializações através de uma simples adição à chave de execução HKCU.
TLP: Green
16
Este módulo de keylogger codifica e guarda os dados recolhidos num ficheiro
de registo, como foi mencionado previamente. O seu algoritmo de codificação é
semelhante ao RC4. O interessante é que o módulo cria aleatoriamente a chave
e guarda-a num local inesperado, como no meio do nome do ficheiro de registo.
Assim, a parte numérica do nome do ficheiro é utilizada como um seed para o
gerador de números pseudoaleatórios. A função rand está estatisticamente associada para assegurar os mesmos resultados em diferentes computadores.
TLP: Green
17
Componentes de malware interessantes
O conjunto de ferramentas do Darkhotel é constituído por componentes que
foram ligeiramente modificados ao longo do tempo. Estas ferramentas são implementadas por instaladores de hotéis que falsificam instaladores de software
legítimos, através de conjuntos de torrents, ou por exploits ou hipertexto provenientes de e-mails de spear-phishing.
As ferramentas mais avançadas, como o keylogger descrito acima, são transferidas posteriormente para o sistema alvo por um destes implantes. Num caso
recente, os documentos Word com ficheiros swf flash de dia 0 implementaram
estes backdoors ou transferiram e executaram backdoors através de servidores
web. Estas ferramentas recuperam o keylogger, roubam informações do sistema
ou transferem outras ferramentas.
• downloader pequeno
• ladrão de informação
• Trojan
• dropper e autoinjetor
• agente de infeção seletivo
Os comportamentos mais interessantes destes componentes incluem
• comando de 180 dias invulgarmente condicional e atraso nas comunicações
de controlo
• rotinas de autoeliminação quando a página de código predefinida do sistema
está definida para coreano
• processamento aperfeiçoado de roubos de autenticação Microsoft IntelliForm
• apoio para o módulo de roubo de informação do Internet Explorer, Firefox e
Chrome
• manutenção de campanhas ou das ID
• sensibilidade na execução de máquinas virtuais
• rotinas seletivas de infeção viral para concentrar a propagação de malware
nas organizações
• código malicioso com assinatura (indicado previamente)
TLP: Green
18
Downloader pequeno
Este módulo é bastante pequeno (27 Kb) e faz parte de um ficheiro WinRar SFX que
implementa e inicia o módulo a partir de %APPDATA%\Microsoft\Crypto\DES64v7\
msieckc.exe. Este módulo foi concebido para atualizar componentes maliciosos através de verificações recorrentes no servidor C&C. Também consegue remover alguns
componentes mais antigos cujos nomes estão codificados no corpo do malware. O
módulo adiciona definições de registo de execução automática para permitir uma
inicialização automática durante a reinicialização do sistema.
Uma das funções mais interessantes deste executável é o seu atraso e persistência invulgares. Se existir no sistema um ficheiro especial, o módulo não
contactará o servidor C&C se o ficheiro especial não tiver 180 dias. Logo, se for
removido outro componente malicioso crítico durante este período, o módulo
atual faz uma cópia de segurança e restaura o acesso ao sistema num intervalo
de 6 meses.
O componente recolhe as informações do sistema e envia-as aos servidores de
comando e controlo do Darkhotel conforme explicado no Apêndice D.
Ladrão de informação
Este módulo é relativamente grande (455 Kb) e faz parte de um ficheiro WinRar SFX que implementa e inicia o módulo a partir de %APPDATA%\Microsoft\
Display\DmaUp3.exe. A finalidade principal do módulo consiste em recolher
vários segredos armazenados num sistema local e carregá-los nos servidores de
comando e controlo do Darkhotel:
• palavras-passe em cache do Internet Explorer 6/7/8/9 (Armazenamento protegido do Windows)
• segredos armazenados do Mozilla Firefox (<12.0)
• segredos armazenados do Chrome
• credenciais do Notificador do Gmail
• dados e credenciais manuseados pela Intelliform:
◦◦ Twitter
◦◦ Facebook
◦◦ Yandex
◦◦ Qip
◦◦ Nifty
◦◦ Mail.ru
TLP: Green
19
◦◦ 126.com email
◦◦ Zapak
◦◦ Lavabit (serviço de e-mail codificado agora encerrado)
◦◦ Bigstring
◦◦ Gmx
◦◦ Sohu
◦◦ Zoho
◦◦ Sina
◦◦ Care2
◦◦ Mail.com
◦◦ Fastmail
◦◦ Inbox
◦◦ Gawab (serviço de e-mail do médio oriente)
◦◦ 163.com
◦◦ Lycos
◦◦ Correio Lycos
◦◦ Início de sessão no Aol
◦◦ Inícios de sessão no Yahoo!
◦◦ Inícios de sessão no Yahoo! do Japão
◦◦ Inícios de sessão no Microsoft Live
◦◦ Credenciais de início de sessão no Google
Este módulo foi concebido para se terminar a si mesmo no Windows com
a página de código do sistema definida para coreano.
Trojan.Win32.Karba.e
Este malware tem 220 Kb. Foi concebido como uma aplicação de
enquadramento MFC com muitas oportunidades que poderiam ter complicado a
análise da amostra. Copia uma aplicação de ambiente de trabalho GUI mas não
cria nenhumas janelas visíveis nem diálogos para interação com os utilizadores
locais. O Trojan recolhe dados sobre o sistema e o software antimalware
instalado e carrega esses mesmos dados nos servidores de comando e controlo
do Darkhotel. Estão disponíveis mais informações técnicas no Apêndice D.
TLP: Green
20
Dropper e injetor de Trojans (ficheiros legítimos infetados)
Este malware tem 63 Kb. Este malware depende de uma série de outros pacotes
de software que variam de nome, mas o pacote anfitrião é detetado consistentemente como "Virus.Win32.Pioneer.dx". Implementa o componente "agente de
infeção seletivo" igfxext.exe no disco e executa-o.
Agente de infeção seletivo
Este componente é um vírus que se infiltra seletivamente noutros computadores
através de partilhas de rede ou USB.
Primeiro, o vírus recupera todos os discos disponíveis e, do disco número 4 (D:\)
ao disco número 20 (Z:\), encontra ficheiros executáveis e infeta-os. O código força simplesmente a lista de controladores removíveis mapeados.
Durante a sua rotina de infeção, o agente de infeção muda o ponto de entrada
dos ficheiros executáveis, cria uma secção .rdat, introduz um pequeno carregador nessa secção e, em seguida, coloca a sua carga principal na sobreposição.
Todos os ficheiros infetados têm as funcionalidades descritas na secção Dropper
e injetor de Trojans, para que o agente de infeção possa recolher informações sobre o computador, enviá-las ao C2 e transferir outros componentes do Darkhotel
conforme ordenado. Os componentes transferidos observados estão assinados
com um certificado expirado familiar de www.esupplychain.com.tw, emitido pela
Cybertrust SureServer CA.
Como foi dito previamente, estão disponíveis mais informações técnicas no
Apêndice D.
TLP: Green
21
Códigos de campanha
Quase todos os backdoors deste conjunto mantêm um código ou ID de campanha interno que é utilizado nas comunicações c2 iniciais, como foi descrito acima.
Algumas ID parecem estar relacionadas com interesses geográficos e outras não parecem tão óbvias. Recolhemos uma lista de ID da campanha Darkhotel que apresentamos a seguir. As ID internas e os recursos d2 sobrepõem-se nestes componentes;
não há nenhum padrão de distribuição de acordo com os recursos connectback. A ID
mais comum é "DEXT87":
DEXT87
step2-auto
dome1-auto
step2-down
Java5.22
C@RNUL-auto
dome-down
M1Q84K3H
NKEX#V1.Q-auto
TLP: Green
NKstep2-auto
PANA(AMB)-auto
PANA#MERA
SOYA#2-auto
step2-down-u
(ULT)[email protected]
VER1.5.1
VICTORY
WINM#V1.Q
22
Infraestrutura e vítimas
Parece-nos que a equipa desta infraestrutura implementa um conjunto de competências inferior ao das campanhas de topo, mantendo configurações dos servidores fracas, com uma monitorização limitada e reações defensivas,
e cometendo alguns erros simples. Contudo, são eficazes na manutenção de uma
infraestrutura totalmente disponível para suportar infeções novas e existentes.
No geral, foram encontradas vítimas nos nossos registos sinkhole e dados do
KSN por todo o mundo, a maioria no Japão, Taiwan, China, Rússia, Coreia e Hong
Kong.
Domínios sinkhole
Os seguintes domínios C&C foram sujeitos a sinkhole e redirecionados para o
Kaspersky Sinkhole Server
42world.net
academyhouse.us
adobeplugs.net
amanity50.biz
autocashhh.hostmefree.org
autochecker.myftp.biz
autoshop.hostmefree.org
autoupdatfreeee.coolwwweb.com
checkingvirusscan.com
dailyissue.net
dailypatch-rnr2008.net
fenraw.northgeremy.info
generalemountina.com
goathoney.biz
jpnspts.biz
TLP: Green
jpqueen.biz
mechanicalcomfort.net
micromacs.org
ncnbroadcasting.reportinside.net
neao.biz
private.neao.biz
reportinside.net
self-makeups.com
self-makingups.com
sourcecodecenter.org
support-forum.org
updatewifis.dyndns-wiki.com
23
Localizações das vítimas - Dados sinkhole e do KSN
Dados do KSN
O Kaspersky Security Network detetou em centenas de máquinas infeções
Darkhotel, a maioria delas relacionadas com as campanhas p2p Darkhotel.
Estas estimativas de geolocalização proporcionam provavelmente a noção mais
precisa do local onde estão a ocorrer atividades do Darkhotel.
TLP: Green
24
Consulte o gráfico circular para melhor visualizar as proporções dos ataques por
todo o mundo. Como pode ver, mais de 90% dos ataques ocorre nos primeiros
cinco países: Japão, seguido por Taiwan, China, Rússia e Coreia.
TLP: Green
25
Dados sinkhole
Uma vez que os operadores constroem novos servidores de comando e controlo
de um modo muito ativo, é difícil implementar sinkholes num número suficiente
de domínios para obter, com base nestes dados, uma noção precisa e global da
localização dos sistemas afetados. Além disso, muitos sistemas de pesquisa
estão ligados aos domínios com sinkholes. Porém, este gráfico de callbacks de
sinkholes apresenta uma distribuição de pouca confiança da geolocalização das
vítimas, com a Índia, Japão, Irlanda, Coreia, China e Taiwan no topo. Se removermos a Índia e a Irlanda obtemos um conjunto mais semelhante aos dados do
KSN.
TLP: Green
26
Dados disponíveis das vítimas ddrlog
Muitos destes c2 mantêm um caminho de diretório comum que serve um ddrlog.
Os ddrlogs parecem manter os dados callback que os atacantes pretendem
separar em registos de erros. Muitos dos URL dos callbacks têm erros, muitos
têm origem em intervalos IP indesejados e outros são claramente callbacks de
sistemas sandbox de investigadores indesejados.
As notas técnicas "Trojans de malware interessantes.Win32.Karba.e" no Apêndice D incluem uma descrição dos valores de URL de callback detalhados e do seu
esquema de codificação xor/base64.
O Darkhotel c2 mantém estas estruturas de diretórios para armazenarem e servirem conteúdos ddrlog:
• /bin/error/ddrlog
• /patch/error/ddrlog
As seguintes estruturas parecem ser comuns nos servidores, mas não produzem
ddrlog nem mantêm um diretório /error/:
• /u2/
• /u3/
• /patch2/
• /major/
• inor/
• /asp/
• /update3/
Duas entradas no registo de ficheiros ddrlog a partir de 1 de janeiro de 2009 às
09:16.
• autozone.000space.com
• genuinsman.phpnet.us
Todos os registos mantêm um número significativo de entradas, perto de
50 000, com uma marcação simples, "B" ou "L". Esses registos estão formatados
da seguinte forma:
2009.01.01 09:16:00 150.70.xxx.xx --> B
2009.01.01 09:16:33 150.70.xxx.xx --> B
2009.01.01 09:14:52 220.108.x.xxx --> L
2009.01.01 09:16:04 112.70.xx.xx --> L
TLP: Green
27
Apenas 120 endereços IP efetuam o registo "B" e 90% destes endereços tem origem no intervalo 150.70.97.x. Todo este intervalo é propriedade da Trend Micro
em Tóquio, Japão.
Alguns dos endereços restantes, como 222.150.70.228, parecem ter origem em
outros intervalos da Trend Micro no Japão. Um intervalo atípico tem origem num
ISP de El Salvador e outro está ligado a um ISP japonês. Cerca de 20 000 endereços IP efetuam o registo "L".
Outros ddrlogs podem incluir também as etiquetas "A".
A etiqueta "A" identifica registos indesejados em localizações não afetadas,
como a Hungria e a Itália. A etiqueta "B" identifica registos indesejados nos intervalos IP da Trend Micro.
A etiqueta "L" identifica registos indesejados através de uma variedade de
intervalos, mas inclui um IP atípico, como o endereço de loopback; 127.0.0.1 é
claramente um erro.
As entradas nestes registos incluem URL de callback que têm espaços e carateres invulgares que não estão em conformidade com o dicionário de carateres
base64.
TLP: Green
28
Comunicações e estrutura do C2
Página inicial típica:
Em begatrendstone.com, temos a seguinte estrutura de diretórios:
/bin
-read_i.php (script C&C principal)
-login.php (desconhecido, fornece a resposta “Wrong ID()”)
/bin/error (registos de erros armazenados aqui)
-ddrlog
/bin/tmp
/bin/SElhxxwiN3pxxiAPxxc9
-all.gif
/i
- conteúdo encriptado do sistema afetado roubado
/L
/f
Em auto2116.phpnet.us, temos a seguinte estrutura de diretórios:
/patch
-chkupdate.php (script de comando e controlo principal)
/patch/error
-ddrlog
O grupo encripta os dados do sistema afetado nos seus servidores com combinações únicas de utilizador/palavra-passe em múltiplas vítimas. Quando um
utilizador não autorizado tenta aceder a uma interface Web com Darkhotel para
gerir as vítimas sem a palavra-passe correta, a página html e o esquema da
tabela são executados corretamente, mas todos os valores dos dados na página
são devolvidos como ciphertext deturpados.
TLP: Green
29
Gestão de vítimas
Os novos sistemas afetados parecem ser sistematicamente verificados. Os atacantes mantêm uma interface Web para verificar estes novos sistemas afetados.
Os atacantes em primeiro lugar fazem uma lista e ordenam os sistemas afetados
de acordo com o seu início de sessão c2 mais recente. Os dados recolhidos são
provavelmente apresentados por ordem de importância:
1. nome de início de sessão do utilizador
2. CPU e SO do sistema
3. "Ping sec" ou a distância a que o sistema afetado está do c2
4. "In" ou o processo de execução do código dll dos atacantes
5. Vac: identificador de produto antivírus
6. IP do sistema LAN
7. IP da rede WAN
Segue-se um exemplo de uma destas páginas Web:
TLP: Green
30
Atividade dos investigadores
Algumas atividades de análise automatizadas que envolvem ferramentas sandbox dos investigadores estão claramente a saturar estes registos. Desde junho
de 2013 a abril de 2014 (um período de cerca de 11 meses) observámos, em
apenas 15 ficheiros ddrlog, perto de 7000 ligações a partir de sistemas sandbox de investigação. As ligações de rede proporcionam valores a1= a a3= que
identificam uma sandbox QEMU, todas elas com origem de apenas 485 endereços de IP WAN. São registados menos de 30 IP LAN, todos no mesmo intervalo
172.16.2.14-126. Este sistema utiliza uma conta de utilizador "Dave" e um
nome de sistema Windows "HOME-OFF-D5F0AC".
Estas características correspondem à atividade de rede gerada pelas ferramentas "CWsandbox" do software GFI, que são agora propriedade da "ThreatTrack
Security".
TLP: Green
31
Conclusões
Nos últimos sete anos, um forte agente de ameaça chamado Darkhotel, também
conhecido por Tapaoux, realizou vários ataques bem sucedidos contra uma grande variedade de vítimas em todo o mundo. Este agente implementa métodos e
técnicas que vão muito além do comportamento cibercriminoso habitual.
As competências da equipa Darkhotel permitem a execução de ataques criptográficos interessantes, como por exemplo o fabrico de chaves RSA de 512 bits. A
utilização de ataques de dia 0 é outro indicador de um forte agente de ameaça.
Os ataques direcionados à gestão superior de diversas grandes empresas de
todo o mundo durante a sua estadia em determinados "Dark Hotels" é um dos
aspetos mais interessantes desta operação. O método exato destes ataques direcionados é ainda desconhecido. Por exemplo, por que é que algumas pessoas
são afetadas e outras não. O facto de a maioria das vítimas serem executivos
superiores indica que os atacantes têm conhecimento da localização das suas
vítimas, incluindo o nome e local de estadia. Isto representa uma Web negra e
perigosa na qual podem cair facilmente viajantes incautos. Embora o motivo
exato pelo qual alguns hotéis funcionam como um vetor atacante seja desconhecido, algumas suspeitas indicam um comprometimento bastante mais alargado.
Estamos ainda envolvidos na investigação deste aspeto da operação e publicaremos mais informações no futuro.
Um traço também interessante é a implementação de vários tipos de campanhas, direcionadas e de botnet. Esta situação está a tornar-se cada vez mais
comum no cenário APT, onde são utilizados ataques direcionados para comprometer vítimas destacadas e operações estilo botnet para a vigilância, ou são
realizadas outras tarefas, como o lançamento de ataques DDoS contra partes
hostis, ou a simples atualização das vítimas para ferramentas de espionagem
mais sofisticadas.
Prevemos que a equipa Darkhotel continue a atacar os setores DIB, ONG e
governamentais. O apêndice publicado juntamente com este documento divulga
indicadores técnicos de comprometimento que deverão ajudar as vítimas a identificar tráfego malicioso e permitir-lhes uma melhor proteção contra os ataques.
TLP: Green
Kaspersky Lab Iberia
Alameda dos Oceanos 142-0ºB, 1990-502 Sacavém,
Lisboa,
Portugal
mais informações de contacto
Tel:
+351 211976599
Fax:+351 211974667
E-mail: [email protected]
Website: [email protected]

A hIstórIA dE umA hospItAlIdAdE INVulGAr

Transcrição

Documentos relacionados

kaspersky fraud prevention - clientless engine

KASPERSKY ENDPOINT SECURITY FOR BUSINESS

informe técnico

Kaspersky Lab juntase à celebração do Dia Europeu da Protecção

PR KL B2CSID redes sociais - Kaspersky Lab – Newsroom Europe.

kaspersky total security for business

sobre o kaspersky endpoint security for business

KASPERSKY ENDPOINT SECURITY FOR BUSINESS

NEWSFLASH - Kaspersky Lab – Newsroom Europe.

Kaspersky Lab Media Alert Malvertising