NUEVAS PIEZAS DE MALWARE EN EL PUZZLE SOLARWINDS: GOLDMAX, SIBOT Y GOLDFINDER

Desde que el pasado Diciembre se conociese el ataque que empleaba componentes SolarWinds los investigadores han continuado analizando su estela. No sólo para conocer su alcance, sino también para comprender todas sus partes y así mejorar los sistemas de detección, evitando futuros ataques.

Introduction

En particular, hasta ahora se habían detectado la backdoor SUNBURST y el malware TEARDROP. El pasado 4 de marzo tres nuevas piezas del puzzle se dieron a conocer en forma de nuevo malware vinculado a estas actuaciones.

Los nuevos artefactos de malware estarían destinados principalmente a la persistencia y emplean mecanismos de ofuscación y cifrado. Los informes de Microsoft y FireEye detallan los nuevos hallazgos, que pasamos a resumir a continuación. Reciben el nombre de GoldMax, Sibot y GoldFinder, y dos de ellos están programados en Go.

GoldMax

Varios artículos han señalado el aumento de malware escrito en Go, hasta en un 2000% en los últimos cuatro años, según algunas fuentes. El ataque más sonado de los últimos meses también ha reflejado este hecho, en este caso a través de nuevos malwares identificados y llamados GoldMax (o SUNSHUTLE), y GoldFinder.

GoldMax es un malware escrito en Go que actúa como como backdoor para permitir una comunicación con el servidor de comando y control (C2)Emplea varias técnicas de ofuscación y también de cifrado, usando para esto último claves que genera basándose en las características del equipo infectado (p.ej. variables del entorno e información sobre la red).

Una característica observada en todas las muestras por ahora es que comprueba si alguna de las direcciones MAC tiene el valor “c8:27:cc:c2:37:5a” y de ser así termina su ejecución, ya que es la dirección MAC del adaptador de red por defecto de Microsoft Hyper-V, lo que indicaría que la muestra podría estar siendo analizada.

Características de los dominios

Los dominios empleados por el C2 cuentan con alta reputación y alta prevalencia, en aras de evitar la detección por parte de aquellos mecanismos que descarten dominios de larga duración con alta reputación. Éstos podrían ser adquiridos a revendedores de dominio por los atacantes para que el dominio pase desapercibido para la víctima.

revelock-goldmax-01

Dominios empleados en una de las muestras

Fichero de Configuración adaptable

GoldMax emplea un fichero temporal con extensión .tmp con los datos de configuración (p.ej. features.dat.tmp, config.dat.tmp), pudiendo ser dicho fichero actualizado por el servidor C2 por medio de comandos. Los datos de configuración se guardan cifrados con AES-256 modo CFB y codificados por medio de Base64. La clave empleada para el cifrado varía dependiendo de la versión de GoldMax.

Además, como parte de los datos de configuración el malware cuenta con un valor de fecha/tiempo de activación, que aunque suele encontrarse con valor 0 por defecto es también configurable a través del C2. En general, los investigadores observan los siguientes parámetros:

  • Hash MD5 del timestamp calculado durante la ejecución
  • Límites (bajo-alto) usados para generar aleatoriamente los tiempos de descanso
  • 0 ó 1 – Para emplear mecanismos de ocultación de tráfico
  • Activación del timestamp.
  • Agente que se empleará para las peticiones HTTPS (p.ej. Mozilla).

Mecanismos de ocultación de tráfico C2

Para dificultar la detección incorpora la funcionalidad de generación de tráfico de red. Crea tráfico señuelo que se envía para disimular el tráfico con el servidor C2. Como se ha mencionado, esta característica también puede editarse desde el fichero de configuración.

La comunicación con el servidor C2 está cifrada, empleando una clave de sesión que el cliente (víctima) recibe del servidor tras el envío de una Cookie HTTP única para cada equipo infectado y unos pasos concretos efectuados como parte de un protocolo desafío-respuesta.

La cabecera de la Cookie contiene información para el servidor C2, a modo de canal fuera de banda, otro mecanismo de ofuscación, en este caso dirigido a ocultar la finalidad del intercambio de mensajes.

revelock-goldmax-02

Significado de los valores visibles en la cabecera de la Cookie.

Sibot

El malware Sibot está escrito en VBScript. Su objetivo es el de garantizar la persistencia y descargar y ejecutar un payload desde el servidor C2.

En este caso, el malware se hace pasar por una tarea legítima de Windows y emplea el registro para la persistencia, o bien se guarda en un archivo ofuscado en el disco. Es el propio mecanismo de tareas de Windows el que ejecutará el malware.

Las muestras actuales de Sibot descargan una DLL en una carpeta dentro de System32, renombran el artefacto con “.sys” y lo ejecutan con rundll32. En la fecha de redacción del artículo constan tres variantes de Sibot.

revelock-goldmax-03

Variantes Sibot

GoldFinder

Al igual que GoldMax, GoldFinder está escrito en Go. En este caso el malware es una herramienta de trazabilidad de peticiones HTTP. El objetivo es identificar posibles redirecciones de tráfico que podrían deberse a dispositivos o soluciones que pueden emplearse como medidas de seguridad en redes, como los servidores proxy HTTP.

GoldFinder guardará los resultados de sus comprobaciones en un fichero de log, incluyendo aquellas acciones llevadas a cabo por otro malware, como las comunicaciones de GoldMax con el servidor C2.

Conclusiones

Los investigadores han descubierto nuevas formas de malware en equipos infectados durante el ataque conducido a través del software malicioso alojado por los ciberatacantes en actualizaciones de SolarWinds. En este caso son tres nuevos artefactos de malware, apodados: GoldMax, Sibot y GoldFinder.

Las técnicas empleadas para la persistencia, principalmente en GoldMax y Sibot, son conocidas y están documentadas. GoldFinder resulta curioso en tanto a que puede verse como el defensor del malware instalado. No es la única técnica que puede emplear el malware para defenderse a sí mismo. Sí resulta curiosa la combinación de todos estos artefactos como parte del mismo ataque, un ataque que sigue bajo el escrutinio de los analistas y del que pueden surgir nuevos hallazgos.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *