A hIstórIA dE umA hospItAlIdAdE INVulGAr
Transcrição
A hIstórIA dE umA hospItAlIdAdE INVulGAr
O APT Darkhotel A história de uma hospitalidade invulgar Versão 1.1 Novembro de 2014 Equipa de Investigação e Análise Global 2 Índice Resumo executivo...................................................................................................3 Introdução...............................................................................................................5 Análise.....................................................................................................................6 Fornecimento - Hotéis/Business Centers e propagação indiscriminada.......6 Propagação em hotéis e business centers.................................................6 Abuso da infraestrutura de rede..................................................................7 Propagação indiscriminada.........................................................................8 Campanhas de spear-phishing do Darkhotel.......................................... 10 Implementação recente de dia 0............................................................. 10 Certificados digitais e deslegitimação da confiança da Autoridade de Certificação................................................................................................ 11 Decifração das chaves.............................................................................. 14 Outros certificados Tapaoux..................................................................... 14 Keyloggers aperfeiçoados e desenvolvimento............................................. 15 Código do keylogger.................................................................................. 15 Componentes de malware interessantes........................................................... 17 Downloader pequeno..................................................................................... 17 Ladrão de informação.................................................................................... 18 Trojan.Win32.Karba.e..................................................................................... 19 Dropper e injetor de Trojans (ficheiros legítimos infetados)......................... 20 Agente de infeção seletivo............................................................................. 20 Códigos de campanha.................................................................................... 21 Infraestrutura e vítimas........................................................................................ 22 Domínios sinkhole.......................................................................................... 22 Localizações das vítimas - Dados sinkhole e do KSN.................................. 23 Dados do KSN........................................................................................... 23 Dados sinkhole.......................................................................................... 25 Dados disponíveis das vítimas ddrlog........................................................... 26 Comunicações e estrutura do C2.................................................................. 28 Gestão de vítimas........................................................................................... 29 Atividade dos investigadores.................................................................... 30 Conclusões........................................................................................................... 31 TLP: Green Para quaisquer questões, contacte-nos através do e-mail: [email protected] 3 Resumo executivo O APT Darkhotel é um agente de ameaça que tem um conjunto aparentemente inconsistente e contraditório de características, algumas avançadas e outras relativamente rudimentares. Tendo estado adormecido há quase uma década, este agente de ameaça encontra-se atualmente ativo. A atividade ofensiva do agente pode estar associada a ligações Wi‑Fi e físicas específicas de hotéis e business centers, e alguma parte desta atividade está também associada a redes de partilha de ficheiros/p2p, conhecidas também como alvos de spear-phishing. As ferramentas Darkhotel são detetadas como "Tapaoux", "Pioneer", "Karba" e "Nemim", entre outros nomes. A seguinte lista apresenta um conjunto de características para a equipa: • competência operacional para comprometer, utilizar de forma incorreta e manter o acesso, à escala global, a recursos de rede comerciais fidedignos com uma precisão estratégica durante anos • capacidades ofensivas matemáticas e criptoanalíticas avançadas, sem atender minimamente ao abalo da confiança prestada às Autoridades de Certificação e PKI • infeção indiscriminada de sistemas, com algum conhecimento regional sobre recursos fidedignos e não fidedignos para construir e utilizar grandes botnets • keyloggers de baixo nível bem desenvolvidos num conjunto de ferramentas eficaz e consistente • foco contínuo em campanhas de categorias específicas de vítimas e na sua identificação TLP: Green Para quaisquer questões, contacte-nos através do e-mail: [email protected] 4 • uma infraestrutura dinâmica de maiores dimensões constituída por servidores web apache, registos dns dinâmicos, bibliotecas encriptadas e aplicações web php • acesso de dia 0 regular - implementação regular de um exploit Adobe Flash de spear-phishing de dia 0 integrado, e implementação pouco frequente de outros recursos de dia 0 para suportar maiores campanhas durante vários anos TLP: Green Para quaisquer questões, contacte-nos através do e-mail: [email protected] 5 Introdução Quando hóspedes incautos, incluindo executivos de empresas com conhecimento da situação e empreendedores de alta tecnologia, viajam para uma variedade de hotéis e estabelecem ligação à Internet, são afetados por um Trojan APT raro que se faz passar por uma das diversas versões de software principais. Estas podem incluir GoogleToolbar, Adobe Flash, Windows Messenger, etc. Esta primeira fase de malware ajuda os atacantes a identificar as vítimas mais significativas, conduzindo à transferência seletiva de ferramentas de roubo mais avançadas. Nos hotéis, estas instalações são distribuídas seletivamente aos indivíduos escolhidos. Este grupo de atacantes parece saber com antecedência a hora de chegada e partida destes indivíduos dos seus hotéis de luxo. Logo, os atacantes aguardam a chegada e ligação à Internet destes viajantes. O FBI emitiu avisos sobre incidentes semelhantes em hotéis; os responsáveis por serviços públicos da Austrália também emitiram avisos semelhantes dignos de serem notícia quando foram infetados. Apesar de o FBI ter emitido, em maio de 2012, um anúncio sobre ataques direcionados aos hóspedes de hotéis no estrangeiro, em 2007 já se verificava a circulação de amostras Darkhotel. Também se verificavam ligações de registos de dados do servidor Darkhotel a 1 de janeiro de 2009. Além disso, as redes p2p recheadas de malware e os ataques de spear-phishing de dia 0 demonstram que o APT Darkhotel mantém um conjunto de ferramentas eficaz e um funcionamento duradouro por trás da hospitalidade questionável que oferece aos seus hóspedes. TLP: Green Para quaisquer questões, contacte-nos através do e-mail: [email protected] 6 Análise Fornecimento - Hotéis/Business Centers e propagação indiscriminada Propagação em hotéis e business centers A propagação precisa de malware do APT Darkhotel foi observada em várias redes de hotéis, onde foi solicitado aos visitantes que se ligam à rede Wi-Fi do hotel que instalassem atualizações de software para pacotes de software populares. Estes pacotes tratavam-se obviamente de instaladores de backdoors do APT Darkhotel que são adicionados aos instaladores legítimos da Adobe e Google. Os backdoors do Darkhotel de assinatura digital são instalados juntamente com os pacotes legítimos. TLP: Green Para quaisquer questões, contacte-nos através do e-mail: [email protected] 7 O mais interessante neste método de fornecimento é que os hotéis solicitam aos hóspedes que utilizem o seu apelido e número de quarto para iniciarem sessão, porém apenas alguns hóspedes receberam o pacote Darkhotel. Quando são visitados os mesmos hotéis, os nossos sistemas de pesquisa de honeypots não conseguiram atrair um ataque Darkhotel. Estes dados não são conclusivos, mas apontam para uma utilização incorreta das informações de início de sessão. Abuso da infraestrutura de rede O agente Darkhotel manteve um conjunto de intrusão eficaz nas redes dos hotéis, proporcionando um amplo acesso a pontos inesperados de ataque ao longo de vários anos. Estes pontos de paragem também proporcionam aos atacantes acesso aos dados de check-in/check-out e de identidade dos visitantes de hotéis de luxo. Como parte de uma investigação em curso, a nossa pesquisa conduziu-nos a iframes integrados nas redes dos hotéis que redirecionavam os browsers das pessoas para instaladores falsos. Os atacantes tiveram muito cuidado com a colocação destes iframes e executáveis nos recursos fidedignos, como os próprios portais de início de sessão das redes dos hotéis. Os atacantes também tiveram muito cuidado em eliminar imediatamente todos os vestígios das suas ferramentas depois de um ataque ter sido realizado com sucesso. Esses mesmos portais são agora analisados, limpos e estão a ser sujeitos a outros processos de análise e reforço. Observámos vestígios de alguns destes incidentes no final de 2013 e no início de 2014 na rede de um hotel que foi vítima de um ataque. Os atacantes configuraram o ambiente e acertaram com precisão nos seus alvos individuais. Assim que a estadia do alvo chegou ao fim e o ataque foi encerrado, os atacantes eliminaram a colocação do seu iframe e executáveis de backdoor da rede do hotel. Os atacantes eliminaram com sucesso os vestígios dos ataques mais recentes contra outro hotel, mas as suas técnicas ofensivas foram as mesmas. Os relatórios externos da mesma atividade noutros hotéis proporcionam dados suficientes para confirmar nesses hotéis as mesmas operações cuidadosas. A técnica de ataque esbate a diferença entre algumas táticas de APT comuns; "watering holes" relativamente pouco precisos ou "compromissos estratégicos na web" e técnicas de spear-phishing mais precisas. Neste caso, os atacantes Darkhotel esperam que a vítima estabeleça ligação à Internet através da rede Wi-Fi do hotel ou através de uma ligação com cabos no seu quarto. Há uma grande probabilidade de os alvos estabelecerem ligação através destes recursos e de os atacantes confiarem nessa probabilidade, como num "watering hole". TLP: Green Para quaisquer questões, contacte-nos através do e-mail: [email protected] 8 Contudo, os atacantes também mantêm informações verdadeiramente precisas sobre a visita da vítima, como também sabem o endereço de e-mail de uma vítima e os interesses de conteúdos num ataque de spear-phishing. Na configuração do ataque, os atacantes Darkhotel tinham conhecimento das horas previstas de chegada e partida do alvo, do número do quarto e do nome completo, entre outros dados. Estes dados permitem aos atacantes apresentar o iframe malicioso a esse alvo individual com precisão. Temos aqui outra característica única deste atacante: a implementação de uma abordagem ofensiva vagamente certa mas extremamente precisa. Propagação indiscriminada Um exemplo da propagação indiscriminada do APT Darkhotel é o modo como envia sites de partilha p2p japoneses, onde o malware é fornecido como uma parte de um grande (aproximadamente 900 MB) arquivo rar. O arquivo é também propagado através de bittorrent, conforme detalhado abaixo. O Darkhotel utiliza este método para distribuir o seu Torjan Karba. Estes arquivos japoneses, traduzidos para os utilizadores que falam chinês, parecem ser de natureza sexual, fazem parte de uma cena erótica animé/militar cómica que expõe os prováveis interesses dos potenciais alvos. Este pacote Darkhotel foi transferido mais de 30 000 vezes em menos de seis meses. A oferta Darkhotel p2p bittorrent está indicada aqui, tendo sido publicada em 22/11/2013. Propagou-se ao longo de 2014. (一般コミック) [古味直志] ニセコイ 第01-09巻.rar Este torrent equivale a um ficheiro de quase 900 MB. O arquivo rar é descomprimido para um diretório com zips codificados, o descodificador associado e um ficheiro de palavra-passe descodificam os zips. Mas o aparente descodificador TLP: Green Para quaisquer questões, contacte-nos através do e-mail: [email protected] 9 AxDecrypt.exe está associado ao descodificador verdadeiro e ao dropper do Trojan Karba Darkhotel Catch.exe. Quando um utilizador transfere o torrent e descodifica os ficheiros zip, o trojan é instalado sub-repticiamente e executado no sistema afetado. Catch.exe, detetado como Backdoor.Win32.Agent.dgrn, comunica com os seguintes servidores de comando e controlo do Darkhotel: microdelta.crabdance.com microyours.ignorelist.com micronames.jumpingcrab.com microchisk.mooo.com microalba.serveftp.com Outros exemplos deste backdoor do Darkhotel integrado num torrent partilhado incluem animação japonesa para adultos, entre outros. São transferidos dezenas de milhares destes torrents individuais. “torrent\[hgd资源组][漫画]comic1☆7漫画合集③+④+⑤+特典[5.08g][绅士 向][总第四十三弹](七夕节快乐!)\汉化\(comic1☆7) [莉零 (小鹿りな, 古 代兵器)] 凌 -shinogi- (闪乱カグラ) [中文] “ e “動漫\[hgd资源组][漫画]comic1☆7漫画合集③+④+⑤+特典[5.08g][绅士向][ 总第四十三弹](七夕节快乐!)\汉化”) O backdoor do Darkhotel associado esteve alojado no bittorrent, emule, etc, com uma variedade de nomes de bandas desenhadas. Os exemplos incluem ofertas de banda desenhada e animação. Os domínios dos servidores de comando e controlo do Darkhotel incluem: microblo5.mooo.com microyours.ignorelist.com micronames.jumpingcrab.com microchisk.mooo.com microalba.serveftp.com TLP: Green Para quaisquer questões, contacte-nos através do e-mail: [email protected] 10 Campanhas de spear-phishing do Darkhotel As campanhas do Darkhotel que envolvem implantes Tapaoux típicos de spear-phishing foram aparecendo publicamente de forma gradual e em várias vezes nos últimos cinco anos. Estes esforços de projeto secundário tinham como alvo a base industrial de defesa (DIB), o governo e organizações ONG. Foram usados como "isco" conteúdos enviados por e-mail sobre tópicos como a energia nuclear e capacidades de armamento. Foram descritos em contagio ataques a organizações ONG e a formuladores de politicas públicas. Esta atividade de spear-phishing persiste em 2014. Os ataques seguem o processo típico de spear-phishing e, nos últimos meses, os sistemas explorados recuperaram executáveis transferíveis através de servidores web como hxxp://office-revision.com/update/files22/update.exe ou hxxp://trade-inf.com/mt/duspr.exe Nos últimos anos, o grupo enviou ligações por e-mail que redirecionam os browsers das vítimas para exploits de dia 0 do Internet Explorer. Por vezes, o próprio anexo inclui um exploit de dia 0 do Adobe. Implementação recente de dia 0 Esta equipa implementa ocasionalmente exploits de dia 0 e elimina-os quando necessário. Nos últimos anos, implementaram ataques de spear-phishing de dia 0 direcionados aos produtos Adobe e ao Microsoft Internet Explorer, incluindo cve-2010-0188. No início de 2014, os nossos investigadores expuseram a utilização do cve-2014-0497, um exploit de dia 0 do Flash descrito em Securelist no início de fevereiro. Um conjunto de sistemas alvo ligados à Internet através de ISP chineses foi alvo de spear-phishing e os atacantes desenvolveram capacidades nos exploits de dia 0 para lidar com os sistemas Windows 8.1 robustos. É interessante que os objetos Flash estavam integrados nos documentos coreanos chamados "Lista de AV japoneses mais recentes e como utilizar torrents.docx" (tradução livre em português). O downloader implementado (d8137ded710d83e2339a97ee78494c34) forneceu um código malicioso semelhante à funcionalidade do componente "Ladrão de informação" resumido mais abaixo e detalhado no Apêndice D. TLP: Green Para quaisquer questões, contacte-nos através do e-mail: [email protected] 11 Certificados digitais e deslegitimação da confiança da Autoridade de Certificação Os agentes Darkhotel assinam normalmente os seus backdoors com certificados digitais de um ou outro tipo. Contudo, os certificados escolhidos originalmente por esta equipa são muito interessantes devido às suas chaves pouco seguras e provável abuso por atacantes. Eis uma lista dos certificados que são utilizados habitualmente na assinatura do código malicioso Darkhotel que requer capacidades matemáticas avançadas para o fabrico de chaves no momento. Não são os únicos certificados utilizados pelo grupo. A atividade mais recente sugere que o grupo roubou certificados para assinar o seu código. Raiz CA GTE CyberTrust CA subordinada/ Emissor Proprietário Digisign Server ID (Enrich) GTE CyberTrust Válido a partir de Válido até flexicorp.jaring.my sha1/ Data de RSA (512 bits) validade 17/12/2008 17/12/2010 Cybertrust SureServer CA inpack.syniverse.my sha1/RSA (512 bits) Data de revogação 13/2/2009 13/2/2011 GTE CyberTrust Cybertrust SureServer CA inpack.syniverse.com sha1/RSA (512 bits) Data de revogação 13/2/2009 13/2/2011 GTE CyberTrust Anthem Inc Certificate Auth ahi.anthem.com sha1/ RSA (512 bits) Assinatura inválida 13/1/2010 13/1/2011 GlobalSign Deutsche Telekom www.kuechentraum2 CA 5 4.de Data de revogação 20/10/2008 25/10/2009 GTE CyberTrust Digisign Server ID (Enrich) payments.bnm.gov.m y Assinatura inválida 7/12/2009 7/12/2010 sha1/RSA (512 bits) GTE CyberTrust TaiCA Secure CA esupplychain.com.tw sha1/RSA (512 bits) Data de validade 2/7/2010 17/7/2011 GTE CyberTrust Digisign Server ID (Enrich) mcrs2.digicert.com. my Assinatura inválida 28/3/2010 28/3/2012 GTE CyberTrust Cybertrust SureServer CA agreement.syniverse. Assinatura com sha1/RSA (512 bits) inválida 13/2/2009 13/2/2011 GTE CyberTrust Cybertrust SureServer CA ambermms.syniverse. com 16/2/2009 16/2/2011 Estado sha1/RSA (512 bits) sha1/RSA (512 bits) Assinatura inválida sha1/RSA (512 bits) TLP: Green Para quaisquer questões, contacte-nos através do e-mail: [email protected] 12 CA subordinada/ Emissor Válido a partir de Válido até 27/2/2005 30/3/2007 md5/RSA (512 bits) Assinatura inválida Cybertrust Educational CA stfmail.ccn.ac.uk sha1/ RSA (512 bits) Assinatura inválida 12/11/2008 12/11/2011 GTE CyberTrust Digisign Server ID (Enrich) webmail.jaring.my sha1/ Assinatura RSA (512 bits) inválida 1/6/2009 1/6/2011 GTE CyberTrust Cybertrust Educational CA skillsforge.londonmet. ac.uk Assinatura inválida 16/1/2009 16/1/2012 GTE CyberTrust Digisign Server ID (Enrich) Assinatura inválida 29/9/2009 29/9/2011 GTE CyberTrust Anthem Inc dl-ait-middleware@an Certificate Authority them.com Assinatura inválida 22/4/2009 22/4/2010 GTE CyberTrust Cybertrust Educational CA Assinatura inválida 11/9/2008 11/9/2011 Verisign Verisign Class 3 Secure OFX CA G3 secure2.eecu.com sha1/ Assinatura RSA (512 bits) inválida 25/10/2009 26/10/2010 Microsoft Raiz CA Equifax Secure eBusiness CA-1 Proprietário Estado Equifax Secure eBusiness CA-1 secure.hotelreykjavik.i s GTE CyberTrust sha1/RSA (512 bits) anjungnet.mardi.gov. my sha1/RSA (512 bits) sha1/RSA (512 bits) ad-idmapp.cityofbrist ol.ac.uk sha1/RSA (512 bits) Agência raiz Agência raiz GTE Cybertrust CyberTrust SureServer CA Assinatura inválida 9/6/2009 31/12/2039 md5/RSA (1024 bits) trainingforms.syniverse. com Assinatura inválida 17/2/2009 17/2/2011 sha1/RSA (512 bits) Todos os casos relacionados de malware com assinatura Darkhotel partilham a mesma Autoridade de Certificação raiz e Autoridade de Certificação intermédia que emitiram certificados com chaves md5 pouco seguras (RSA 512 bits). Acreditamos que o nosso agente de ameaça Darkhotel duplicou fraudulentamente estes certificados para assinar o seu malware. Estas chaves não foram roubadas. Muitos dos certificados foram indicados numa publicação Fox-IT de 2011 "RSA-512 Certificates Abused in the Wild". TLP: Green Para quaisquer questões, contacte-nos através do e-mail: [email protected] 13 Para apoiar ainda mais esta especulação, consulte os seguintes conselhos de segurança da Microsoft não específicos, os conselhos da Mozilla relativos a este problema na altura e as respostas da Entrust. Retirado dos conselhos de segurança da Microsoft de quinta-feira, 10 de novembro de 2011: "A Microsoft tem noção de que a DigiCert Sdn. Bhd, uma autoridade de certificação (CA) subordinada malaia da Entrust e da GTE CyberTrust, emitiu 22 certificados com chaves pouco seguras de 512 bits. Se estas chaves pouco seguras de codificação forem decifradas, os certificados podem ser utilizados de modo fraudulento por um atacante para a falsificação de conteúdos e para a realização de ataques de phishing ou de intermediário contra todos os utilizadores de browsers, incluindo os utilizadores do Internet Explorer. Embora não se trate de uma vulnerabilidade num produto Microsoft, este problema afeta todas as versões suportadas do Microsoft Windows. Não há indicação de que qualquer certificado foi emitido fraudulentamente. Em vez disso, as chaves criptograficamente pouco seguras permitiram a duplicação de alguns certificados e a sua utilização de um modo fraudulento. A Microsoft vai fornecer uma atualização para todas as versões suportadas do Microsoft Windows que revoga a confiança na DigiCert Sdn. Bhd. A atualização revoga a confiança nos dois seguintes certificados CA intermédios: Digisign Server ID – (Enrich), emitido pela Entrust.net Certification Authority (2048) Digisign Server ID (Enrich), emitido pela GTE CyberTrust Global Root” Retirado da resposta de 2011 da Mozilla: "Apesar de não haver indicação de que foram emitidos fraudulentamente, as chaves pouco seguras têm permitido o comprometimento dos certificados. Além disso, os certificados desta CA contêm diversos problemas técnicos. Não têm uma extensão EKU que especifica a sua utilização pretendida e nem foram emitidos sem informações de revogação." Retirado da resposta da Entrust: "Não há provas de que as autoridades de certificação malaias Digicert estejam comprometidas." TLP: Green Para quaisquer questões, contacte-nos através do e-mail: [email protected] 14 Decifração das chaves Eis algumas notas sobre os requisitos técnicos e custos envolvidos nos ataques a estes certificados. O investimento informático necessário para decifrar e calcular uma chave RSA de 512 bits foi de aprox. 4250 EUR e o período de tempo necessário foi de cerca de 2 semanas. (consulte http://lukenotricks.blogspot.co.at/2010/03/rsa-512-factoring-service-two-weeks.html) Em outubro de 2012, Tom Ritter afirmou que esse processo custaria cerca de 100-130 EUR ou talvez até 65 EUR. Se recuarmos muitos anos, verificamos que se falou muito sobre os métodos técnicos de decifração destas chaves: Documento de 2001 de DJ Bernstein sobre a construção de uma máquina que reduza os custos da factorização de números inteiros com técnicas Crivo de Campo Numérico e que decifre as chaves RSA de 1024 bits. Reação da RSA e declaração de 2002 sobre se as chaves RSA de 1024 bits foram decifradas: "A NIST ofereceu uma tabela de tamanhos de chaves para ser discutida no seu workshop de gestão em novembro de 2001 [7]. Para os dados que precisam de ser protegidos o mais tardar até 2015, a tabela indica que o tamanho da chave RSA deve ser de pelo menos 1024 bits. Para os dados que precisam de ser protegidos durante um maior período de tempo, o tamanho da chave deve ser no mínimo 2048 bits". Outros certificados Tapaoux Os recentes ataques e backdoors Tapaoux incluem malware com assinatura e fortes certificados SHA1/RSA de 2048 bits que sugerem roubo de certificado. Raiz CA thawte thawte CA subordinada/ Emissor thawte Primary Root CA thawte Primary Root CA Proprietário Estado Xuchang Hongguang Data de Technology Co.,Ltd. revogação sha1/RSA (2048 bits) Ningbo Gaoxinqu Data de zhidian Electric Power revogação Technology Co., Ltd. Válido a partir de 18/7/2013 Válido até 16/7/2014 5/11/2013 5/11/2014 sha1/RSA (2048 bits) TLP: Green Para quaisquer questões, contacte-nos através do e-mail: [email protected] 15 Keyloggers aperfeiçoados e desenvolvimento Um dos componentes mais interessantes que descobrimos como parte desta campanha foi a utilização de um keylogger avançado de assinatura digital. É um código malicioso de nível kernel limpo e bem escrito. Os idiomas das suas sequências são uma mistura de inglês e coreano. Estão assinados com o familiar certificado digital "[email protected]". Este keylogger é implementado através de um código que é executado em svchost.exe no WinXP SP3, que mantém uma sequência de depuração interessante: d:\KerKey\KerKey(일반)\KerKey\release\KerKey.pdb Tenha em conta que 일반 significa "Geral" em coreano Foi provavelmente desenvolvido como parte de um projeto de meados de 2009: e:\project\2009\x\total_source\32bit\ndiskpro\src\ioman.c Código do keylogger Este pacote de controladores foi concebido para se assemelhar a um dispositivo do sistema Windows de baixo nível legítimo. É instalado como um serviço "Ndiskpro" de controladores kernel, descrito como um "Dispositivo de atualização microcódigo". Em certa medida, é surpreendente que nenhuma funcionalidade rootkit oculte este serviço: Quando é carregado, o controlador NDISKPRO.SYS bloqueia INT 0x01 e INT 0xff e recupera diretamente os dados das teclas que são premidas da porta 0x60, o controlador do teclado da placa principal. Depois de carregar, comunica os dados de utilizador registados ao componente do modo de utilizador em execução. Este componente codifica e grava os valores recuperados no disco para um ficheiro .tmp com um nome aleatório, como ffffz07131101.tmp. Este ficheiro está localizado no mesmo diretório que o dropper, que se mantém persistente nas reinicializações através de uma simples adição à chave de execução HKCU. TLP: Green Para quaisquer questões, contacte-nos através do e-mail: [email protected] 16 Este módulo de keylogger codifica e guarda os dados recolhidos num ficheiro de registo, como foi mencionado previamente. O seu algoritmo de codificação é semelhante ao RC4. O interessante é que o módulo cria aleatoriamente a chave e guarda-a num local inesperado, como no meio do nome do ficheiro de registo. Assim, a parte numérica do nome do ficheiro é utilizada como um seed para o gerador de números pseudoaleatórios. A função rand está estatisticamente associada para assegurar os mesmos resultados em diferentes computadores. TLP: Green Para quaisquer questões, contacte-nos através do e-mail: [email protected] 17 Componentes de malware interessantes O conjunto de ferramentas do Darkhotel é constituído por componentes que foram ligeiramente modificados ao longo do tempo. Estas ferramentas são implementadas por instaladores de hotéis que falsificam instaladores de software legítimos, através de conjuntos de torrents, ou por exploits ou hipertexto provenientes de e-mails de spear-phishing. As ferramentas mais avançadas, como o keylogger descrito acima, são transferidas posteriormente para o sistema alvo por um destes implantes. Num caso recente, os documentos Word com ficheiros swf flash de dia 0 implementaram estes backdoors ou transferiram e executaram backdoors através de servidores web. Estas ferramentas recuperam o keylogger, roubam informações do sistema ou transferem outras ferramentas. • downloader pequeno • ladrão de informação • Trojan • dropper e autoinjetor • agente de infeção seletivo Os comportamentos mais interessantes destes componentes incluem • comando de 180 dias invulgarmente condicional e atraso nas comunicações de controlo • rotinas de autoeliminação quando a página de código predefinida do sistema está definida para coreano • processamento aperfeiçoado de roubos de autenticação Microsoft IntelliForm • apoio para o módulo de roubo de informação do Internet Explorer, Firefox e Chrome • manutenção de campanhas ou das ID • sensibilidade na execução de máquinas virtuais • rotinas seletivas de infeção viral para concentrar a propagação de malware nas organizações • código malicioso com assinatura (indicado previamente) TLP: Green Para quaisquer questões, contacte-nos através do e-mail: [email protected] 18 Downloader pequeno Este módulo é bastante pequeno (27 Kb) e faz parte de um ficheiro WinRar SFX que implementa e inicia o módulo a partir de %APPDATA%\Microsoft\Crypto\DES64v7\ msieckc.exe. Este módulo foi concebido para atualizar componentes maliciosos através de verificações recorrentes no servidor C&C. Também consegue remover alguns componentes mais antigos cujos nomes estão codificados no corpo do malware. O módulo adiciona definições de registo de execução automática para permitir uma inicialização automática durante a reinicialização do sistema. Uma das funções mais interessantes deste executável é o seu atraso e persistência invulgares. Se existir no sistema um ficheiro especial, o módulo não contactará o servidor C&C se o ficheiro especial não tiver 180 dias. Logo, se for removido outro componente malicioso crítico durante este período, o módulo atual faz uma cópia de segurança e restaura o acesso ao sistema num intervalo de 6 meses. O componente recolhe as informações do sistema e envia-as aos servidores de comando e controlo do Darkhotel conforme explicado no Apêndice D. Ladrão de informação Este módulo é relativamente grande (455 Kb) e faz parte de um ficheiro WinRar SFX que implementa e inicia o módulo a partir de %APPDATA%\Microsoft\ Display\DmaUp3.exe. A finalidade principal do módulo consiste em recolher vários segredos armazenados num sistema local e carregá-los nos servidores de comando e controlo do Darkhotel: • palavras-passe em cache do Internet Explorer 6/7/8/9 (Armazenamento protegido do Windows) • segredos armazenados do Mozilla Firefox (<12.0) • segredos armazenados do Chrome • credenciais do Notificador do Gmail • dados e credenciais manuseados pela Intelliform: ◦◦ Twitter ◦◦ Facebook ◦◦ Yandex ◦◦ Qip ◦◦ Nifty ◦◦ Mail.ru TLP: Green Para quaisquer questões, contacte-nos através do e-mail: [email protected] 19 ◦◦ 126.com email ◦◦ Zapak ◦◦ Lavabit (serviço de e-mail codificado agora encerrado) ◦◦ Bigstring ◦◦ Gmx ◦◦ Sohu ◦◦ Zoho ◦◦ Sina ◦◦ Care2 ◦◦ Mail.com ◦◦ Fastmail ◦◦ Inbox ◦◦ Gawab (serviço de e-mail do médio oriente) ◦◦ 163.com ◦◦ Lycos ◦◦ Correio Lycos ◦◦ Início de sessão no Aol ◦◦ Inícios de sessão no Yahoo! ◦◦ Inícios de sessão no Yahoo! do Japão ◦◦ Inícios de sessão no Microsoft Live ◦◦ Credenciais de início de sessão no Google Este módulo foi concebido para se terminar a si mesmo no Windows com a página de código do sistema definida para coreano. Trojan.Win32.Karba.e Este malware tem 220 Kb. Foi concebido como uma aplicação de enquadramento MFC com muitas oportunidades que poderiam ter complicado a análise da amostra. Copia uma aplicação de ambiente de trabalho GUI mas não cria nenhumas janelas visíveis nem diálogos para interação com os utilizadores locais. O Trojan recolhe dados sobre o sistema e o software antimalware instalado e carrega esses mesmos dados nos servidores de comando e controlo do Darkhotel. Estão disponíveis mais informações técnicas no Apêndice D. TLP: Green Para quaisquer questões, contacte-nos através do e-mail: [email protected] 20 Dropper e injetor de Trojans (ficheiros legítimos infetados) Este malware tem 63 Kb. Este malware depende de uma série de outros pacotes de software que variam de nome, mas o pacote anfitrião é detetado consistentemente como "Virus.Win32.Pioneer.dx". Implementa o componente "agente de infeção seletivo" igfxext.exe no disco e executa-o. Agente de infeção seletivo Este componente é um vírus que se infiltra seletivamente noutros computadores através de partilhas de rede ou USB. Primeiro, o vírus recupera todos os discos disponíveis e, do disco número 4 (D:\) ao disco número 20 (Z:\), encontra ficheiros executáveis e infeta-os. O código força simplesmente a lista de controladores removíveis mapeados. Durante a sua rotina de infeção, o agente de infeção muda o ponto de entrada dos ficheiros executáveis, cria uma secção .rdat, introduz um pequeno carregador nessa secção e, em seguida, coloca a sua carga principal na sobreposição. Todos os ficheiros infetados têm as funcionalidades descritas na secção Dropper e injetor de Trojans, para que o agente de infeção possa recolher informações sobre o computador, enviá-las ao C2 e transferir outros componentes do Darkhotel conforme ordenado. Os componentes transferidos observados estão assinados com um certificado expirado familiar de www.esupplychain.com.tw, emitido pela Cybertrust SureServer CA. Como foi dito previamente, estão disponíveis mais informações técnicas no Apêndice D. TLP: Green Para quaisquer questões, contacte-nos através do e-mail: [email protected] 21 Códigos de campanha Quase todos os backdoors deste conjunto mantêm um código ou ID de campanha interno que é utilizado nas comunicações c2 iniciais, como foi descrito acima. Algumas ID parecem estar relacionadas com interesses geográficos e outras não parecem tão óbvias. Recolhemos uma lista de ID da campanha Darkhotel que apresentamos a seguir. As ID internas e os recursos d2 sobrepõem-se nestes componentes; não há nenhum padrão de distribuição de acordo com os recursos connectback. A ID mais comum é "DEXT87": DEXT87 step2-auto dome1-auto step2-down Java5.22 C@RNUL-auto dome-down M1Q84K3H NKEX#V1.Q-auto TLP: Green NKstep2-auto PANA(AMB)-auto PANA#MERA SOYA#2-auto step2-down-u (ULT)[email protected] VER1.5.1 VICTORY WINM#V1.Q Para quaisquer questões, contacte-nos através do e-mail: [email protected] 22 Infraestrutura e vítimas Parece-nos que a equipa desta infraestrutura implementa um conjunto de competências inferior ao das campanhas de topo, mantendo configurações dos servidores fracas, com uma monitorização limitada e reações defensivas, e cometendo alguns erros simples. Contudo, são eficazes na manutenção de uma infraestrutura totalmente disponível para suportar infeções novas e existentes. No geral, foram encontradas vítimas nos nossos registos sinkhole e dados do KSN por todo o mundo, a maioria no Japão, Taiwan, China, Rússia, Coreia e Hong Kong. Domínios sinkhole Os seguintes domínios C&C foram sujeitos a sinkhole e redirecionados para o Kaspersky Sinkhole Server 42world.net academyhouse.us adobeplugs.net amanity50.biz autocashhh.hostmefree.org autochecker.myftp.biz autoshop.hostmefree.org autoupdatfreeee.coolwwweb.com checkingvirusscan.com dailyissue.net dailypatch-rnr2008.net fenraw.northgeremy.info generalemountina.com goathoney.biz jpnspts.biz TLP: Green jpqueen.biz mechanicalcomfort.net micromacs.org ncnbroadcasting.reportinside.net neao.biz private.neao.biz reportinside.net self-makeups.com self-makingups.com sourcecodecenter.org support-forum.org updatewifis.dyndns-wiki.com Para quaisquer questões, contacte-nos através do e-mail: [email protected] 23 Localizações das vítimas - Dados sinkhole e do KSN Dados do KSN O Kaspersky Security Network detetou em centenas de máquinas infeções Darkhotel, a maioria delas relacionadas com as campanhas p2p Darkhotel. Estas estimativas de geolocalização proporcionam provavelmente a noção mais precisa do local onde estão a ocorrer atividades do Darkhotel. TLP: Green Para quaisquer questões, contacte-nos através do e-mail: [email protected] 24 Consulte o gráfico circular para melhor visualizar as proporções dos ataques por todo o mundo. Como pode ver, mais de 90% dos ataques ocorre nos primeiros cinco países: Japão, seguido por Taiwan, China, Rússia e Coreia. TLP: Green Para quaisquer questões, contacte-nos através do e-mail: [email protected] 25 Dados sinkhole Uma vez que os operadores constroem novos servidores de comando e controlo de um modo muito ativo, é difícil implementar sinkholes num número suficiente de domínios para obter, com base nestes dados, uma noção precisa e global da localização dos sistemas afetados. Além disso, muitos sistemas de pesquisa estão ligados aos domínios com sinkholes. Porém, este gráfico de callbacks de sinkholes apresenta uma distribuição de pouca confiança da geolocalização das vítimas, com a Índia, Japão, Irlanda, Coreia, China e Taiwan no topo. Se removermos a Índia e a Irlanda obtemos um conjunto mais semelhante aos dados do KSN. TLP: Green Para quaisquer questões, contacte-nos através do e-mail: [email protected] 26 Dados disponíveis das vítimas ddrlog Muitos destes c2 mantêm um caminho de diretório comum que serve um ddrlog. Os ddrlogs parecem manter os dados callback que os atacantes pretendem separar em registos de erros. Muitos dos URL dos callbacks têm erros, muitos têm origem em intervalos IP indesejados e outros são claramente callbacks de sistemas sandbox de investigadores indesejados. As notas técnicas "Trojans de malware interessantes.Win32.Karba.e" no Apêndice D incluem uma descrição dos valores de URL de callback detalhados e do seu esquema de codificação xor/base64. O Darkhotel c2 mantém estas estruturas de diretórios para armazenarem e servirem conteúdos ddrlog: • /bin/error/ddrlog • /patch/error/ddrlog As seguintes estruturas parecem ser comuns nos servidores, mas não produzem ddrlog nem mantêm um diretório /error/: • /u2/ • /u3/ • /patch2/ • /major/ • inor/ • /asp/ • /update3/ Duas entradas no registo de ficheiros ddrlog a partir de 1 de janeiro de 2009 às 09:16. • autozone.000space.com • genuinsman.phpnet.us Todos os registos mantêm um número significativo de entradas, perto de 50 000, com uma marcação simples, "B" ou "L". Esses registos estão formatados da seguinte forma: 2009.01.01 09:16:00 150.70.xxx.xx --> B 2009.01.01 09:16:33 150.70.xxx.xx --> B 2009.01.01 09:14:52 220.108.x.xxx --> L 2009.01.01 09:16:04 112.70.xx.xx --> L TLP: Green Para quaisquer questões, contacte-nos através do e-mail: [email protected] 27 Apenas 120 endereços IP efetuam o registo "B" e 90% destes endereços tem origem no intervalo 150.70.97.x. Todo este intervalo é propriedade da Trend Micro em Tóquio, Japão. Alguns dos endereços restantes, como 222.150.70.228, parecem ter origem em outros intervalos da Trend Micro no Japão. Um intervalo atípico tem origem num ISP de El Salvador e outro está ligado a um ISP japonês. Cerca de 20 000 endereços IP efetuam o registo "L". Outros ddrlogs podem incluir também as etiquetas "A". A etiqueta "A" identifica registos indesejados em localizações não afetadas, como a Hungria e a Itália. A etiqueta "B" identifica registos indesejados nos intervalos IP da Trend Micro. A etiqueta "L" identifica registos indesejados através de uma variedade de intervalos, mas inclui um IP atípico, como o endereço de loopback; 127.0.0.1 é claramente um erro. As entradas nestes registos incluem URL de callback que têm espaços e carateres invulgares que não estão em conformidade com o dicionário de carateres base64. TLP: Green Para quaisquer questões, contacte-nos através do e-mail: [email protected] 28 Comunicações e estrutura do C2 Página inicial típica: Em begatrendstone.com, temos a seguinte estrutura de diretórios: /bin -read_i.php (script C&C principal) -login.php (desconhecido, fornece a resposta “Wrong ID()”) /bin/error (registos de erros armazenados aqui) -ddrlog /bin/tmp /bin/SElhxxwiN3pxxiAPxxc9 -all.gif /i - conteúdo encriptado do sistema afetado roubado /L /f Em auto2116.phpnet.us, temos a seguinte estrutura de diretórios: /patch -chkupdate.php (script de comando e controlo principal) /patch/error -ddrlog O grupo encripta os dados do sistema afetado nos seus servidores com combinações únicas de utilizador/palavra-passe em múltiplas vítimas. Quando um utilizador não autorizado tenta aceder a uma interface Web com Darkhotel para gerir as vítimas sem a palavra-passe correta, a página html e o esquema da tabela são executados corretamente, mas todos os valores dos dados na página são devolvidos como ciphertext deturpados. TLP: Green Para quaisquer questões, contacte-nos através do e-mail: [email protected] 29 Gestão de vítimas Os novos sistemas afetados parecem ser sistematicamente verificados. Os atacantes mantêm uma interface Web para verificar estes novos sistemas afetados. Os atacantes em primeiro lugar fazem uma lista e ordenam os sistemas afetados de acordo com o seu início de sessão c2 mais recente. Os dados recolhidos são provavelmente apresentados por ordem de importância: 1. nome de início de sessão do utilizador 2. CPU e SO do sistema 3. "Ping sec" ou a distância a que o sistema afetado está do c2 4. "In" ou o processo de execução do código dll dos atacantes 5. Vac: identificador de produto antivírus 6. IP do sistema LAN 7. IP da rede WAN Segue-se um exemplo de uma destas páginas Web: TLP: Green Para quaisquer questões, contacte-nos através do e-mail: [email protected] 30 Atividade dos investigadores Algumas atividades de análise automatizadas que envolvem ferramentas sandbox dos investigadores estão claramente a saturar estes registos. Desde junho de 2013 a abril de 2014 (um período de cerca de 11 meses) observámos, em apenas 15 ficheiros ddrlog, perto de 7000 ligações a partir de sistemas sandbox de investigação. As ligações de rede proporcionam valores a1= a a3= que identificam uma sandbox QEMU, todas elas com origem de apenas 485 endereços de IP WAN. São registados menos de 30 IP LAN, todos no mesmo intervalo 172.16.2.14-126. Este sistema utiliza uma conta de utilizador "Dave" e um nome de sistema Windows "HOME-OFF-D5F0AC". Estas características correspondem à atividade de rede gerada pelas ferramentas "CWsandbox" do software GFI, que são agora propriedade da "ThreatTrack Security". TLP: Green Para quaisquer questões, contacte-nos através do e-mail: [email protected] 31 Conclusões Nos últimos sete anos, um forte agente de ameaça chamado Darkhotel, também conhecido por Tapaoux, realizou vários ataques bem sucedidos contra uma grande variedade de vítimas em todo o mundo. Este agente implementa métodos e técnicas que vão muito além do comportamento cibercriminoso habitual. As competências da equipa Darkhotel permitem a execução de ataques criptográficos interessantes, como por exemplo o fabrico de chaves RSA de 512 bits. A utilização de ataques de dia 0 é outro indicador de um forte agente de ameaça. Os ataques direcionados à gestão superior de diversas grandes empresas de todo o mundo durante a sua estadia em determinados "Dark Hotels" é um dos aspetos mais interessantes desta operação. O método exato destes ataques direcionados é ainda desconhecido. Por exemplo, por que é que algumas pessoas são afetadas e outras não. O facto de a maioria das vítimas serem executivos superiores indica que os atacantes têm conhecimento da localização das suas vítimas, incluindo o nome e local de estadia. Isto representa uma Web negra e perigosa na qual podem cair facilmente viajantes incautos. Embora o motivo exato pelo qual alguns hotéis funcionam como um vetor atacante seja desconhecido, algumas suspeitas indicam um comprometimento bastante mais alargado. Estamos ainda envolvidos na investigação deste aspeto da operação e publicaremos mais informações no futuro. Um traço também interessante é a implementação de vários tipos de campanhas, direcionadas e de botnet. Esta situação está a tornar-se cada vez mais comum no cenário APT, onde são utilizados ataques direcionados para comprometer vítimas destacadas e operações estilo botnet para a vigilância, ou são realizadas outras tarefas, como o lançamento de ataques DDoS contra partes hostis, ou a simples atualização das vítimas para ferramentas de espionagem mais sofisticadas. Prevemos que a equipa Darkhotel continue a atacar os setores DIB, ONG e governamentais. O apêndice publicado juntamente com este documento divulga indicadores técnicos de comprometimento que deverão ajudar as vítimas a identificar tráfego malicioso e permitir-lhes uma melhor proteção contra os ataques. TLP: Green Para quaisquer questões, contacte-nos através do e-mail: [email protected] Kaspersky Lab Iberia Alameda dos Oceanos 142-0ºB, 1990-502 Sacavém, Lisboa, Portugal mais informações de contacto Tel: +351 211976599 Fax:+351 211974667 E-mail: [email protected] Website: [email protected]