Aarón Jornet

En los últimos años se han ido metabolizando diferentes campañas y amenazas cuyo vector de entrada ha sido el mismo, el correo electrónico. Este acceso inicial, que siempre parece el más absurdo y al que no suele prestarse atención porque las empresas no conciencian debidamente a sus empleados. La tendencia nos dice que esto es totalmente opuesto, y que muchos de los grupos criminales y APT, siguen usando esta técnica, variando la modalidad o evolucionándola, poniendo en evidencia la importancia del factor humano en Ciberseguridad. El phishing, técnica de ingeniería social usada como acceso inicial desde mediados de los años 90, no es más que una herramienta más para engañar a la víctima y obtener información confidencial disfrazando dicho correo con mensajes engañosos que parecen cercanos a la víctima y difíciles (en la mayoría de los casos) de distinguir a simple vista del correo al que intentan emular los atacantes. De la mano de esta técnica, llegamos al Spear-Phishing, el cual aplica diferentes subtécnicas (T1566.001, T1566.002, T1566.003), el cual, aprovechando el correo fraudulento, trata de que la víctima acceda a un link, a un documento adjunto, etc. Cómo han utilizado los atacantes estas técnicas a lo largo de de los años La evolución de técnicas como el Spear-Phishing se han visto marcadas por el uso que le han dado los grupos que las han usado, un esquema representativo de cómo han ido mejorando el método de actuación. Teniendo en cuenta que las técnicas no son lineales y que con el paso de los años se utilizan todas, sería el siguiente: Cabe destacar de nuevo, la gran variabilidad y sostenibilidad durante los años de este tipo de técnicas, las cuales, consiguen el acceso inicial a una infraestructura para desplegarse más adelante. No es tan grave, ¿no? Esta pregunta es más que habitual cuando nos encontramos previos a un incidente. Hay grupos “menos” peligrosos que usan el Spear-Phishing como arma inicial, sí. ¿Hay grupos criminales y APT usándola? También. Localizamos un gran número de incidentes que empiezan con este sistema aparentemente tan sencillo, pero que contiene distintas fases usadas por grupos orquestados: Durante estas fases, dependiendo del actor, puede intentar descubrir más equipos de la red, moverse lateralmente y replicar la ejecución del malware en distintos dispositivos para obtener la mayor información posible de la infraestructura. Después venden los datos obtenidos o simplemente los aprovechan con fines estratégicos. O, en cambio, puede pertenecer a otros grupos. Por lo tanto, a una estructura de ataque distinta donde su objetivo sea obtener la máxima información posible de la infraestructura para conseguir pivotar hasta un controlador de dominio y lanzar un ransomware por el que se pedirá un rescate por los ficheros afectados. Para incentivar el pago se suele amenazar con hacer públicos los datos obtenidos, incluso extorsionar a los proveedores o empresas que intermedian con la víctima. ¿Cuáles son las nuevas técnicas y quién las usa? Actualmente, como hemos comentado en el punto anterior, el Spear-Phishing, sigue evolucionando. Además de seguir usando las técnicas de siempre, en las últimas semanas estamos viendo un gran número de campañas usando OneNote para este fin. Los diferentes malwares que se han visto usando esta metodología son: Emotet | Heodo Qbot | QakBot AsyncRAT Remcos IcedID Estos malwares son usados a menudo por diferentes grupos criminales, así como APTs que se mantienen en completo ataque a ciertas empresas dependiendo de los intereses particulares de cada uno. Un resumen del uso de cada uno con sus funcionalidades sería el siguiente: Cómo funcionan estas nuevas técnicas En primer lugar, el grupo trataría de acceder al eslabón más débil por el correo, como hemos mencionado, donde nos tratarían de hacer descargar los datos adjuntos, que en este caso sería OneNote. Hacemos búsquedas para localizar ficheros de Spear-Phishing usando OneNote: Como comentábamos, dependiendo de las campañas, se pueden utilizar OneNote o documentos como Excel o Word con macros, links, etc. Las campañas, dependiendo del grupo que ataque y de la víctima serán, más o menos dirigidos y sofisticados. En esta búsqueda también podemos localizar este tipo de Spear-Phishing: A menudo, el origen desde donde se envían estos correos es descentralizado ya que puede provenir de servidores de correo de organizaciones comprometidas o incluso desde Botnets propias. Habitualmente los atacantes utilizan diferentes proxies para no revelar su ubicación, pese a esto, en ocasiones localizamos el origen desde donde operan estos actores. El correo, como es habitual, tratará de que descargues o que accedas al link con algún tema de urgencia o de gestión. Tras esto, dependiendo de versiones, tendremos un OneNote el cual tratará de que ejecutemos un falso banner para poder acceder al contenido. El resultado será la ejecución del malware: En esta ocasión, bajo el panel, el cual será una imagen, tendremos una ejecución via VBS, pero depende del OneNote, podría ser otro tipo de script (JS, HTA…), un link que descargue la siguiente fase, etc. Arrastrando es sencillo obtener el script que va a ejecutar por detrás Dentro de cada uno de estos OneNote, comúnmente contienen diferentes tipos de objetos, algunos utilizados para engañar a la víctima, otros para ejecutar comandos o los scripts directamente, realizar la ejecución y escritura de ficheros maliciosos de siguientes fases: Encontramos imágenes utilizadas, como habíamos comentado, para hacer que la víctima acceda al botón, que realmente, es una simple imagen PNG, el cual, por debajo, tiene botón real, en este caso: Pero, el caso más interesante sería en este caso el objeto job. No es estático y puede ser otro distinto, ya que suele contener el script que va a realizar una descarga para luego lanzar una ejecución. O será directamente un script más ofuscado que contendrá el binario que ejecutará después. Tras la extracción encontramos diferentes scripts, con tamaños muy distintos: Esto es debido al nivel de ofuscación que puedan tener, si contienen algún binario para posteriormente ejecutarlo, etc. El ejemplo más simple sería un script que tratara de realizar una descarga a un dominio malicioso para posteriormente ejecutarlo, en este caso es una librería la cual lanzará mediante rundll32.exe: En ejecución lo más habitual es encontrar un OneNote ejecutando un Wscript lanzando un Rundll32 o Regsvr32: Pero, al haber tantos grupos y campañas abusando de OneNote, los árboles de procesos interesantes que hemos visto tras el análisis de diferentes campañas son los siguientes: Es interesante destacar que en algunas familias de malware como el caso de AsyncRat, se duplica en ocasiones la extensión. Como es habitual en el ámbito empresarial que los empleados de la mayoría de los departamentos no tengan asignado el ver las extensiones de los ficheros, por lo que podemos encontrar algunos como estos: <File>.bat.exe <File>.pdf.exe <File>.vbs.exe Tras este punto, el malware ya se habrá descargado o ejecutado de alguna de las maneras que hemos comentado anteriormente, pero, hemos tratado solo la técnica del Spear-Phishing, y cómo funciona en un entorno real, la cual coincide en la mayoría de los casos alternando algunas de las fases dependiendo de que grupo la esté explotando. No obstante, ¿qué técnicas y objetivos persigue el actor que está detrás de la campaña con el malware que usará momento después? Esta pregunta variará en función de quién está detrás de la campaña, el sector al que pertenece la víctima, el malware que usará para tal fin, etc. Tal y como hemos comentado anteriormente, existen un gran número de malware que se ha visto involucrado en los pasos posteriores a esta tendencia de Spear-Phishing, por lo que vamos a tratar de resumir cuál es el papel de cada una de estas familias para conocer el impacto que tendrá en una infraestructura: Qbot | QakBot Qbot es un malware que ha ido evolucionando pasando por diversas categorizaciones como Banker, Stealer, Backdoor, etc. Su función elemental es obtener información sensible de la víctima para posteriormente exfiltrarla. Existen distintos actores que han utilizado Qbot, como es el caso del grupo criminal EvilCorp, más conocidos por el uso de Dridex o GoldCabin, otro grupo criminal que está ligado a diferentes malwares reconocidos como BokBot (IcedID), el cual, también se adecua a las tendencias de phishing que hemos visto. El funcionamiento de las nuevas versiones de Qbot lo podemos resumir de la siguiente manera: Tras el Spear-Phishing comentado en los anteriores apartados, se obtendría una descarga o ejecución directa de una librería, que será ejecutada vía Regsvr32 o Rundll32. Una vez ejecutada, lo más habitual es que Qbot realice una inyección en un proceso legítimo, en esta campaña está siendo muy usada Wermgr.exe, donde bajo este proceso será capaz de actuar con un mayor sigilo, ya que es un proceso habitual en una infraestructura: La inyección habitualmente se está observando mediante ProcessHollowing, donde podemos ver como Wermgr.exe será creado en estado suspendido y donde se introducirá el código deseado reservando espacio en este proceso. Tras esto, realiza persistencias en claves de registro conocidas como CurrentVersion\Run o en tareas, donde también destaca en la creación de otros registros que guardan información relevante de la campaña hardcodeado. Aquí normalmente tendremos datos de dónde está ubicada la librería maliciosa lanzada en el anterior stage: Tras esto podrá realizar conexiones al exterior donde podrá enviar información sensible de la víctima hacia el C&C Emotet | Heodo Emotet es un malware que también ha ido evolucionando con el paso del tiempo y cuyos usos ha sido también diverso. Se ha utilizado como Banker principalmente, como downloader y de Botnet. En los últimos años ha ido obteniendo diferentes capacidades de técnicas anti-análisis y tiene características para obtener información y lanzarse a por otros equipos a su alcance para aumentar su Botnet. Comúnmente, es utilizado por el grupo MummySpider o TA542 un grupo criminal que actúa por campañas, habitualmente usando el Phishing. Con el paso de estos años han ido perfeccionando y actualizando este famoso malware, además de verse involucrado con otros grupos de malwares conocidos como BokBot (IcedID), Trickbot, Dridex, o el ya mencionado Qbot. El funcionamiento de las nuevas versiones de Qbot lo podemos resumir de la siguiente manera: Tras el Spear-Phishing comentado en los anteriores apartados, se obtendría una descarga o ejecución directa de una librería, que será ejecutada vía Regsvr32 o Rundll32. Esta librería (dll) tendrá capacidades para evadir análisis o ser, en ocasiones difícil o imposible de analizar por sandbox, por sus números técnicas anti-análisis que posee o por debuggers Habitúa a crear persistencia lanzando la misma dll renombrada en carpeta \Local\ y añadiéndola a la clave de registro: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run <DroppedDll> Tras estas fases Emotet puede establecer comunicación con el C&C y recibir instrucciones u operar desde esta posición en la que ya tiene persistencia y tiene el malware en otras localizaciones o también podrá tratar de mover ficheros o ejecutarse en otros dispositivos o discos que tenga a su alcance: Emotet va a tratar de obtener la máxima información del sistema o de la red en la que se encuentra para seguir incrementando su Botnet AsyncRAT y Remcos Por otro lado, AsyncRAT y Remcos son dos tipos de malware que también han ido evolucionando con el tiempo y tienen diferentes usos. Ambos son conocidos por ser troyanos de acceso remoto (RAT) que permiten al atacante obtener control sobre un sistema infectado y realizar diferentes acciones maliciosas, como robar información, instalar más malware o controlar el sistema de forma remota. Las formas de acceso inicial son similares entre sí, ya que suelen abusar del phishing y están dentro de las nuevas tendencias de abuso de OneNote. Los grupos que han usado AsyncRat son muy diversos. Su fin normalmente es el robo de información y el espionaje y parten de lugares también distintos. Grupos como Vendetta (Turquía), Earth Berberoka (China) o APT-C-36 (Colombia) han usado en menor o mayor medida en su historia este tipo de RATs. Los grupos que han usado Remcos también son distintos, con fines similares a los de AsyncRat, cuyos grupos, coinciden en ocasiones en su uso, como es el caso de APT-C-36 o Vendetta, también es usado por otros grupos como GorgonGroup (Pakistán) o APT33 (Irán). El funcionamiento de las nuevas versiones de estos dos RAT los podemos resumir de la siguiente manera: Tras el Spear-Phishing comentado en los anteriores apartados, se obtendría una ejecución, normalmente creando una descarga o ejecutando un script o comando. Después de esta fase inicial, el fichero será o lanzado en alguna carpeta temporal o replicado para que su payload se inicie. Los RAT, comúnmente, suelen realizar en algún punto de su ejecución alguna inyección a algún proceso legítimo o procesos relacionados con .NET, tecnología, en la que es habitual que estén escritos estas familias de malware. Según la versión y quien lo esté utilizando, añadirá técnicas Anti-Análisis para evitar que se realice debug sobre la muestra o que se ejecuten en Sandbox, lo que dificultará el trabajo del analista. Como es habitual en este tipo de malwares crean tareas o registros para persistir en el sistema, de esta manera, aunque el equipo sea apagado, se volvería a reiniciar el proceso para poder mantener la comunicación con el C&C Tras esto, establecería comunicación hacia el exterior enviando información básica del equipo infectado y esperaría órdenes del atacante. Conclusión Estás técnicas de Spear-Phishing van a seguir evolucionando y usándose todas sus versiones en cada momento, ya que, siguen siendo efectivas todas ellas. El factor humano siempre es el más débil y los grupos que utilizan dichas técnicas lo saben. Como se ha comentado, no se trata solo de equipos desorganizados. En muchos casos son actores orquestados que utilizan cierto tipo de malware con una gran capacidad para obtener información de la infraestructura, usuarios, credenciales... elementos que pueden poner al descubierto toda una organización usando el mismo punto de entrada: un simple correo electrónico. CYBER SECURITY Cómo funciona Lokibot, el malware que utiliza Machete para robar información y credenciales de acceso 29 de junio de 2022 Foto de apertura: Brett Jordan / Unsplash.

LokiBot es un malware utilizado de distintas maneras: como Backdoor, robo de credenciales o de criptoactivos. Dependiendo de las versión y de quién lo esté utilizando también sirve de puente para ejecución de otros ficheros maliciosos. Se ha visto también el uso de esta herramienta por otros grupos, como Gorgon group. Dicho malware suele ser introducido mediante correos con documentos adjuntos y, dependiendo de la versión, se han visto distintas ejecuciones; desde explotaciones de vulnerabilidades, hasta distintos scripts que se entrelazan entre sí. El objetivo final suele ser instaurarse en algún proceso, legítimo o lanzado por el mismo para servir de puerta trasera, obtener el máximo de información posible de la máquina y el usuario y mantener una comunicación con servidores de Command and Control (C&C). Según la víctima, se utilizará dicha herramienta para obtener todos los datos posibles o sustraer activos exfiltrando dicha información. Machete es un grupo dedicado al robo de información y el espionaje que utiliza distintas herramientas, entre las que se encuentra LokiBot. Machete actualmente no tiene país asociado, pero que se cree que su procedencia o parte de ella está en países hispanohablantes. Este grupo comenzó a actuar en 2010 y este año ha tenido un gran impacto en muchos países atacando a un gran número de ellos, haciendo hincapié en Latinoamérica, España y Rusia. Cuáles son objetivos principales de Machete y qué herramientas utiliza Sus objetivos principales son departamentos de defensa, entidades gubernamentales y empresas dedicadas a la energía y las telecomunicaciones. La principal motivación de este grupo es el robo de información y el espionaje, en el cual destacan herramientas para sustraer todo tipo de información sensible que se usará para obtener ventajas estratégicas. Las herramientas principales que han usado en su recorrido son en gran parte software desarrollado en Python. Los malwares usados por Machete para realizar Backdoors, robos de información y exfiltrar información en sus ataques son los siguientes: LokiBot | Loki.RAT | Loki (Backdoor, Keylogger, Stealer): Malware dedicado a lanzar o ser lanzado por otros con el fin de obtener información relevante como datos de buscadores, credenciales de FTP y SSH, así como datos de correos para mandar todo lo recopilado a un C&C. Machete (Backdoor, Stealer): Malware propio normalmente utilizado a través de SFX o RAR, el cual contendrá distintas herramientas, normalmente escritas en Python, para generar persistencia en el equipo, obtener información de la red y geolocalizar para posteriormente mandar la información a un C&C. Pyark (Backdoor, Stealer, Exfiltration): Malware escrito en python normalmente utilizado para crear una backdoor generando persistencia en tareas y consiguiendo acceso a cámaras, micrófonos, FTP, buscadores, portapapeles, etc. para después exfiltrar la información. Durante este año hemos visto distintas variantes de uso de Lokibot utilizadas por distintos grupos. Se han destacado siempre dos o tres versiones. Para tratar de agrupar la mayoría de estas se ha realizado el estudio sobre las versiones que más se han distribuido. Vectores de entrada de LokiBot LokiBot es una herramienta que este año se ha visto en gran medida distribuida por documentos adjuntos, utilizando la técnica de Spear-Phishing Attachment. La manera de llegar hasta los objetivos era enviar correos fraudulentos para conseguir que la víctima descargue dicho adjunto y después ejecutar el siguiente paso. En las múltiples versiones que se han encontrado prevale la de adjuntar un documento RTF (Rich Text Format) o DOC/XLS. Encontramos distintas versiones de documentos como el caso anterior: un fichero .xlsx cuya función sería explotar la vulnerabilidad CVE-2017-11882 en la que aprovechándose de un mal uso de la memoria lanzaría código malicioso utilizando Microsoft Office Equation Editor conocido como EQNEDT32. Observaríamos un lanzamiento de dicho binario que ejecutaría el Malware embebido. En las versiones de RTF, encontraríamos un documento cuyo contenido a simple vista no nos daría gran información. No obstante, dependiendo de versiones de este tipo de ficheros, encontraríamos en su interior el uso del mismo exploit EQNEDT32.exe Variantes del malware LokiBot Las oleadas de LokiBot en campañas y el uso de esta herramienta también en grupos deja tras de sí un gran número de versiones del mismo malware, que tienen un funcionamiento similar entre sí. Agrupando todas las versiones obtenemos dos que representarían la mayoría de las vistas este año 2022. El resumen de ambas variantes sería el siguiente: LokiBot variante 1 Tras la descarga y ejecución del documento se realizará una descarga o ejecución de scripts maliciosos Posteriormente, si fuera una variante en la que se descarga el siguiente paso, realizaría esta utilizando un wget tras un powershell o cmd volcándolo a un script, habitualmente usando el nombre Done.vbs, aunque se han visto otras variantes. Si no, ejecutaría directamente un Wscript o Cscript. Mas tarde veríamos la ejecución de un nuevo explorer.exe lanzando el script, en el caso de una descarga. Si no, la ejecución de Wscript o Cscript de un script. Después realizaría de nuevo una ejecución con powershell para lanzar otro script ofuscado que finalizaría en la inyección de código a un software legítimo (Usando AppLaunch o InstallUtil entre otras). Tras este paso, tendríamos a Lokibot dentro de un proceso legítimo donde empezaría las tareas de este Malware. LokiBot variante 2 Tras la descarga y ejecución del documento se realizará una explotación de EQNEDT32. Posteriormente se crearán ficheros en carpetas temporales (Temp | Public | ProgramData) habitualmente usando el nombre vbc.exe, aunque se han visto otros nombres. Este creará otros ficheros en carpetas temporales en los que se apoyará posteriormente y le servirán de ficheros auxiliares De los ficheros creados se realizará una inyección en uno de ellos tras una ejecución en estado suspendido, en la que obtendrá código de los ficheros auxiliares y la introducirá en la memoria de dicho proceso. Tras esta inyección tendremos a Lokibot dentro de un proceso malicioso creado por un loader. Cyber Security Los ataques más comunes contra las contraseñas y cómo protegerte 22 de junio de 2022 Cómo suelen funcionar las infecciones de LokiBot Ambas variantes de LokiBot tienen pequeñas diferencias, en las que en ocasiones se apoyan en instaladores o introducen algún paso más u omiten otro. Pero la gran mayoría tienen un hilo de ejecución similar y su objetivo suele ser inyectar LokiBot en un proceso. Un resumen general de como funcionarían la gran mayoría de infecciones por este Malware sería: LokiBot: Versión 1 En la primera versión de LokiBot encontramos una que basa todo el hilo de ejecución en el uso de scripts ofuscados para llegar a su objetivo. Encontraremos, tras la ejecución del documento, cómo un Wscript.exe o Cscript.exe lanza un Powershell.exe ofuscado que tratará de descargar falsos ficheros .mp4, .png o similar: Tras esto invocará la ejecución del fichero descargado para lanzar un segundo script ofuscado. Dependiendo de versiones invocará un explorer.exe que lanzará un script que habrá dejado en carpetas temporales. En ambos casos veremos la ejecución y cuyo contenido es de gran tamaño: Vemos que la segunda parte del script se encargará de cargar en una variable un Portable ejecutable (PE) Extraemos dicho binario y obtenemos un fichero .NET que pretende otra descarga a otra dirección para realizar una desofuscación: Una vez el binario realiza la descarga, obtenemos otro fichero con extensión falsa .pdf, el cual es otro script ofuscado: Realizando el reversing del código obtenemos la información para el desofuscado y veremos otra cabecera MZ (PE): Encontramos dicho binario bastante reportado en VirusTotal, lo que indica que estas fases finales no son tan cambiantes. Dicho fichero se trata de otro .NET que va a hacer la tarea de inyectar código dentro de otro proceso, normalmente AppLaunch.exe o InstallUtil.exe, aunque puede utilizar cualquier binario relacionado con .NET. Una vez inyectado tendríamos LokiBot dentro de un proceso legítimo utilizando la técnica de Process Hollowing: Una vez inyectado en el proceso legítimo, Lokibot realizará, según la versión del payload, la obtención de información del equipo, usuarios, buscadores, entre otros. LokiBot: Versión 2 En la segunda versión de este LokiBot el Malware basará todo el hilo de ejecución en el uso de diferentes binarios para llegar a su objetivo. Dichos ficheros van a estar lanzados en distintas carpetas para favorecer la evasión. Tras la ejecución del documento obtendremos un EQNEDT32 explotando el CVE-2017-11882, el cual lanzará un binario en una carpeta temporal, en nuestro caso Public. Nuestra versión contiene una variante en la que han introducido un installer por encima de la ejecución principal. Obtenemos un script de ejecución habitual en Nullsoft, el cual indica cuáles son las carpetas donde va a guardar y a ejecutar los ficheros auxiliares que utilizará más tarde: Veremos como se ejecuta un fichero svgsnex.exe cuyo nombre será distinto en cada versión y tras otro también habitual, vbc.exe. No obstante, este también es susceptible al cambio: Vemos la creación de los ficheros auxiliares: Analizando el fichero encontramos la función principal, que nos muestra que va a estar realizando un bucle: En dicha función observamos que va a manipular, comprobar ficheros y a reservar espacios de memoria: Con estos espacios de memoria vemos que posteriormente tendrá en buffer datos que introducirá durante la ejecución en la memoria de un proceso o un hilo. Se tratará de un bucle, por lo que irá rescatando información de su propia memoria y de ficheros auxiliares: Dicha funcionalidad es dada para, con los datos que contiene este segundo ejecutable, junto con los ficheros lanzados en carpetas temporales, relanzar el mismo ejecutable svgsnex.exe con contenido adicional. Esta técnica la hará normalmente dejando el proceso en estado suspendido e inyectándole el código de LokiBot: Lo que va a conseguir es, en vez de aprovechar un binario del sistema o legítimo como en la primera versión, utilizar el mismo ejecutable para inyectarse a sí mismo el código del LokiBot. De este modo veremos que las acciones de backdoor y stealer las realizará él mismo tras la inyección. CYBER SECURITY Snip3, una investigación sobre malware 23 de diciembre de 2021

Snip3 es considerado como un loader de Remote Access Tool o comúnmente conocido como RAT, el cual, es un tipo de malware muy utilizado que tiene el potencial de ganar persistencia en un sistema y mantener una comunicación con un host atacante que tendrá acceso total a nuestro equipo y, por ende, a nuestra red para realizar cualquier tipo de actividad, desde robo de credenciales, hasta movimientos laterales o ejecuciones de malwares más peligrosos. Hizo su aparición en el primer trimestre del año 2021, el cual, ha atacado a importantes compañías de viajes y transportes en los últimos meses. Definido como Crypter-as-a-Service, el cual, nos indica que es un malware que estará en continua actualización y de la cual, podremos encontrar muchas versiones durante el paso de los meses. Está caracterizado por diferentes técnicas de evasión y técnicas Anti-Análisis. Contiene un gran potencial para escapar de los sistemas y ejecutar diferentes tipos de RAT, estando entre los más comunes Revenge RAT, Agent Tesla o AsyncRAT. Las características más importantes que caracterizan al Snip3 son: La evasión de técnicas de análisis o de herramientas para analizar el malware La conexión con dominios maliciosos utilizados como Command and Control La ejecución de código malicioso en otros procesos con técnicas como el Process Hollowing. Vector de entrada El Snip3 es un malware cuyo origen puede ser diverso, desde la descarga hecha a través de un dominio malicioso, phishing o ser lanzado por otro malware. En este caso, fue introducido en disco a través del correo, en el cual, se intentaba invitar de manera fraudulenta a la víctima, en los datos adjuntos, podremos encontrar un link que parece que nos llevará al documento, el cual, es un Visual Basic Script (vbs), que será el que realice las acciones iniciales. Tras la apertura del supuesto pdf, nos llevará a una dirección en la cual se descargará de manera automática el fichero y se ejecutará, una vez el vbs se encuentre en el disco, el Snip3 creará otros archivos y generará persistencia para que el vector de entrada sea un éxito y poder mantenerse el mayor tiempo posible en nuestro equipo para ejecutar un RAT en el que el atacante podrá acceder al equipo. Snip3 Este malware está divido en varias partes, el resumen de como funcionaría es el siguiente: Tras la descarga del script obtenido normalmente por phishing o por un dominio malicioso, se obtendrá un Visual Basic Script (vbs). Tras esto, se ejecutará el VBS, el fichero creará un Powershell y lo iniciará. Posteriormente, este Powershell (PS | PS1) cargará los binarios e introducirá en startup ganando persistencia el siguiente vbs. Tras esto, el vbs cargado, ya podrá lanzar el ps1, y se ejecutará el RAT, el cual es inyectado en un proceso, en nuestro caso lo hará en RegAsm.exe. Tras la ejecución del RAT, tratará de evitar ser analizado con diferentes técnicas Anti-debug, Anti-VirtualMachine y/o Anti-Sandbox, generará otros ficheros, persistencia y realizará tareas de red intentando acceder a dominios y que el atacante acceda. Primer Stage: VBS Tras la entrada de este script al equipo, será el encargado de crear el Powershell, que, ejecutará cambios de formato, pero son operaciones para posteriormente tratar la cadena DA, en la cual veremos que los caracteres utilizados se reemplazaran por binario, que contiene el fichero que posteriormente ejecutará. Tras esto, vemos que generará un objeto con un CLSID que más tarde lanzará, además, creará el ps1 que veremos posteriormente y, hará el cambio a binario, para la variable DA, que hemos visto. Cabe destacar, que una de las características de este malware es la utilización del parámetro RemoteSigned, el cual, es usado para permitir la ejecución de ficheros que no están firmados digitalmente utilizando Powershell. El CLSID {72C24DD5-D70A-438B-8A42-98424B88AFB8},pertenece al identificador de Windows Script Host Shell Object, es, una forma más de ejecutar algo sin que genere mucho ruido en el sistema de detección que tengamos. Segundo stage: Powershell Una vez el malware tiene preparado el PS1, lo ejecutará, vemos que contiene los PE (Portable Ejecutable) que usará después, en un primer momento, cargará los binarios, las rutas usando RegAsm y el startup.vbs Veremos que la ruta será la de startup, por lo que ha ganado persistencia con este movimiento y siempre que encendamos el ordenador, se reiniciará la ejecución del vbs. Tras esto, ejecutará un load de uno de los PE que ha definido anteriormente. El valor que lanzará después no es otro que RegAsm, el cual, previamente habrá inyectado en este proceso, lo que hará es introducir bytes que pertenecen al malware en un proceso legítimo, de este modo, solo veremos un proceso utilizado por .NET ejecutándose. Cuando miremos en RegAsm.exe los módulos que tiene cargados, podemos discernir un AsyncClientKuso, que será, el .NET que le da nombre a nuestro RAT. El fichero que introduce en startup, es otro vbs, cuyo contenido es únicamente que ejecute el Powershell en cada inicio del sistema, de nuevo, utilizando RemoteSigned. Tercer stage: RAT Dependiendo de la versión, podríamos contener o inyectar un RAT diferente, en nuestro caso es AsyncRat. Una vez ya tiene los loaders cargados, ha ganado persistencia en el equipo, por lo que el RAT tendrá una ejecución que podrá perdurar en el tiempo, ejecutará el fichero File.bin o AsyncClientKuso dentro de procesos legítimos. Creación del Mutex En primer lugar, encontraremos las comprobaciones del Mutex habituales, para evitar reinfección, si el sistema, todavía no ha sido infectado con este RAT, lo creará. Además, el Mutex es creado por RegAsm, lo cual es lógico sabiendo que el RAT, en esta versión, va a ser ejecutado estando inyectado en este proceso, con el nombre AsyncMutex_6SI8OkPnk. Tras esto, habrán varias técnicas relacionadas con el Anti-Análisis, las cuales son muy útiles, puesto que pueden evitar ser lanzado en sandbox o que ciertas funciones se analicen y así mantener una campaña por más tiempo. Técnicas Anti-VM Detección de componentes del equipo, usando como objetivo el Manufacturer. Detección basada en disco, cuyo objetivo es comparar su tamaño. Detección basada en Sistema Operativo (OS), centrada en obtener la versión, comúnmente utilizada Windows XP. Técnicas Anti-Sandbox Detección mediante la librería sbieDll.dll, cuyo objetivo es detectar si ha sido cargada. Técnicas Anti-Debugger Detección mediante la función CheckRemoteDebuggerPresent, cuyo objetivo es obtener el proceso principal y detectar si es un debugger. Función Install En la última función, realizará diferentes procedimientos, desde matar procesos, generar más persistencia, recordamos que la parte inicial podría ser cambiada ya que este es un malware independiente al Snip3 y podrían utilizar otro RAT o malware. Podemos ver como principalmente realizará un GetProcess para obtener procesos no deseados que puedan entorpecer el malware, esta práctica es habitual y se realiza con una búsqueda en orden de cada uno de los procesos en ejecución y mediante un bucle realizar un Kill a aquellos procesos que se quiera evitar. Posteriormente, veremos que realizará la comprobación de permisos y si el usuario que está ejecutando el RAT es Administrador creará persistencia en el equipo de una manera, sino lo realizará de otra. Comprobará si contiene un SID cuyo valor contenga en el 544 que representa al Administrador. En el caso distinto al nuestro y el usuario no sea Administrador, podremos ver como procederá a obtener una RegKey, que, como podemos ver, se encuentra al revés, realizará un reverse de la cadena para devolverla a su formato original. Realiza la persistencia a través de la ejecución del siguiente comando, en el cual está realizando la creación de la tarea de forma forzosa (/f) para que su lanzamiento siempre sea en inicio del sistema (/sc onlogon) con el nivel de prioridad alta (/rl highest), además no permitirá que haya en su ejecución ninguna aparición de ventanas (ProcessWindowStyle.Hidden). cmd /c schtasks /create /f /sc onlogon /rl highest /tn ""Roaming"" /tr '""C:\Users\<user>\AppData\Roaming""' & exit" Tras otras comprobaciones, llegamos a la creación de un .bat en el cual podemos ver que es un script que contendrá la ejecución de la tarea programada anteriormente que después borrará realizando un movimiento a la carpeta y realizando un delete. Tras esto realiza comprobaciones y modificaciones en el hilo de ejecución para evitar que el dispositivo/monitor caiga en suspensión o se apague. Posteriormente, realiza un bucle en el cual obtenemos las funciones de red que utilizará para comprobar si está conectado al host y una reconexión si no lo está. Vemos que intenta conectar a un dominio (e29rava[.]ddns[.]net), no será extraño ver diferentes dominios sobre los que intentar la conexión, ya que es habitual que estos sean denunciados de manera temprana y necesiten alternativas durante la ejecución. Por último, el atacante recibirá una petición al servidor y podrá acceder remotamente a nuestro equipo y controlarlo con total libertad, por lo que nuestro ordenador y red quedarán expuestos. MITRE