Caza de amenazas: análisis de malware/pescador EK con cebolla de seguridad – GOOFUS AND GALLANT

Análisis de malware

Caza de amenazas: análisis de malware/pescador EK con cebolla de seguridad – GOOFUS AND GALLANT

febrero 28, por Suresh Khutale

Este es un análisis de laboratorio basado en los recursos disponibles en malware.trafficanalysis.net y en información disponible públicamente sobre búsqueda de amenazas/análisis de malware.

Guión

Tom y Jake son empleados recientes en el Centro de operaciones de seguridad (SOC) de su organización. Debido a sus diferentes personalidades, se han ganado el apodo de “Goofus and Gallant” en honor a una tira cómica infantil estadounidense que aparece mensualmente en Highlights for Children. El cómic contrasta las acciones de los personajes principales, presentando las acciones de Gallant como correctas y buenas y las de Goofus como malas e incorrectas. Tom es tonto. Jake es galante.

El martes 24 de noviembre de antes del Día de Acción de Gracias, Tom y Jake están trabajando en el SOC. Tom trajo a la oficina su computadora portátil con Windows que tiene Windows 7 desactualizado y planea navegar por la web. Jake trabaja arduamente revisando las alertas y solo usa Linux para navegar por la web.

Los planes de vacaciones de Jake están listos y está contento con el pavo congelado que compró en el supermercado. Tom es más bien un “entusiasta del pavo”. Quiere cazar y matar un pavo para su comida de Acción de Gracias.

Para seguir con sus planes de vacaciones, Tom decide comprar una escopeta. Enciende su computadora portátil con Windows, se conecta al WIFI del SOC y comienza a buscar escopetas en línea. No pasa mucho tiempo antes de que la computadora de Tom active algunas alertas por actividad sospechosa en la red. Después de esas alertas, ¡su computadora portátil falla!

Captura de pantalla de la computadora de Tom fallando.

Es probable que el tonto Tom sea despedido en algún momento debido a su mala ética de trabajo. Jake es ciertamente valiente, pero todavía es un analista relativamente inexperto.

Nos han asignado descubrir qué pasó con la computadora portátil de Tom. Revisamos la máquina de Tom y rápidamente encontramos una entrada de registro sospechosa. Parece que Goofus infectó su computadora portátil. El hash SHA256 para el archivo al que se hace referencia en el registro es d16ad130daed5d4f3a7368ce73b87a8f84404873cbfc90cc77e967a83c947cd2 .

Entrada de registro de la computadora portátil con Windows infectada

Análisis

Usaremos el sitio web de VirusTotal ( https://www.virustotal.com ) para verificar el valor hash que hemos obtenido de la computadora portátil de Tom. VirusTotal inspecciona elementos con más de 70 escáneres antivirus y servicios de listas negras de URL/dominios, además de una gran cantidad de herramientas para extraer señales del contenido estudiado. Esto se ilustra en la siguiente captura de pantalla:

Del análisis anterior. Descubrimos que la computadora portátil de Tom había sido infectada con malware, tendremos que investigar la causa raíz y el origen de esta infección.

Para comenzar con una investigación más profunda, a continuación revise las alertas de red. Desafortunadamente, la organización de Tom es demasiado barata para cualquier sistema de detección de intrusiones (IDS) comercial. Afortunadamente, se han implementado soluciones de menor costo; tiene acceso a las alertas de Snort utilizando el conjunto de reglas registrado de Snort y a las alertas de Suricata utilizando el conjunto de reglas gratuito de EmergingThreats.

Los archivos que se han recuperado son los siguientes:

Estaríamos utilizando el enfoque avanzado para analizar el PCAP del tráfico de red, que difiere del análisis manual con Wireshark y su enfoque de ahorro de tiempo.

Usaríamos Security Onion para nuestro análisis. Security Onion es una distribución de Linux para detección de intrusiones, monitoreo de seguridad de red y administración de registros. Está basado en Ubuntu y contiene Snort, Suricata, Bro, OSSEC, Sguil, Squert, ELSA, Xplico, NetworkMiner y muchas otras herramientas de seguridad. El asistente de configuración fácil de usar le permite crear un ejército de sensores distribuidos para su empresa en minutos.

Puede obtener la última versión de la imagen ISO de Security Onion en GitHub ; siga las instrucciones para configurar Security Onion aquí .

Security Onion viene con varios componentes; Nos centraríamos en los siguientes componentes de nuestro análisis:

Sguil (lea más aquí ), creado por Bamm Visscher (@bammv), es “La consola de análisis para el monitoreo de la seguridad de la red”. Es la mano derecha del analista y proporciona visibilidad de los datos del evento que se recopilan y el contexto para validar la detección.

Enterprise Log Search and Archive (ELSA lea más aquí ) creado por Martin Holste (@mcholste), es “un marco de syslog centralizado basado en la búsqueda de texto completo Syslog-NG, MySQL y Sphinx. Proporciona una consulta basada en web totalmente asincrónica interfaz que normaliza los registros y hace que la búsqueda de cadenas arbitrarias en miles de millones de ellos sea tan fácil y rápida como buscar en la web.

Hay dos enfoques con los que podemos comenzar con el análisis.

  1. Podemos mirar los eventos de Snort y Suricata que hemos obtenido y encontrar el indicador de compromiso (IOC)
  2. Podemos reproducir el PCAP del tráfico de red para la computadora portátil de Tom en la interfaz de monitoreo de red Security Onion y analizar las detecciones con un conjunto de herramientas de seguridad integradas para identificar el IOC.

Estaríamos siguiendo el segundo enfoque para nuestro análisis. Una vez que la configuración de Security Onion esté lista y ejecutándose, podemos reproducir el PCAP con el siguiente comando

Sudo tcpreplay -ieth0 -M10 pcapfile

Aquí, Tcpreplay es un conjunto de utilidades gratuitas de código abierto para editar y reproducir el tráfico de red capturado previamente. Diseñado originalmente para reproducir patrones de tráfico maliciosos en sistemas de prevención/detección de intrusiones.

-Especifico la interfaz de red en la que se ejecuta Security Onion

-M especifica la velocidad a la que se reproducirá el tráfico en MB/s

Después de reproducir con éxito el archivo PCAP en la interfaz de red de Security Onion, inicie sesión en Sguil como se ilustra en la siguiente imagen.

Como se ilustra en la captura de pantalla anterior, el conjunto de reglas de ETPRO y Snort muestra que hay múltiples eventos de detección del Angler Exploit Kit y parece haber tenido éxito, ya que podemos ver que se ha descargado la carga útil. Un kit de explotación (EK) es el método para la distribución generalizada de malware; los EK están diseñados para funcionar en segundo plano mientras una víctima potencial navega por la web. Una EK no requiere ninguna acción adicional por parte del usuario final. Lea más sobre el kit Angler Exploit aquí .

Ahora la pregunta es, ¿cómo llegó la computadora de GOOFUS Tom al servidor EK? Provino de un sitio web comprometido o posiblemente a través del tráfico de entrada que investigaremos. (Lea más sobre el tráfico de puertas aquí )

Como hemos identificado la dirección IP sospechosa 162.216.4.strong> desde la que se inició la infección. Podemos verificar el estado de la dirección IP con los registros whois incorporados de Sguil que están marcados para enviar la carga útil del pescador EK o desde los siguientes sitios web

Para profundizar más, utilizaremos Enterprise Log Search and Archive (ELSA ). Iniciaremos sesión en la consola web de ELSA y buscaremos la dirección IP 162.216.4./strong>en la consulta de búsqueda. Ilustrado en la siguiente captura de pantalla

Los registros Bro_DNS muestran los detalles a continuación

Vamos a analizar rápidamente el nombre de host neuhaus-hourakus.avelinoortiz.com en VirusTotal para ver si hay algún malware alojado en este dominio.

Como podemos ver, varios motores antivirus marcaron este dominio como malicioso.

Necesitamos conocer la cadena de eventos para conocer el incidente que se inició desde neuhaus-hourakus.avelinoortiz.com , iremos a los programas en ELSA para ver el tipo de solicitud que ha sido capturada/identificada por los diferentes programas.

Aquí podemos ver que cinco programas (reglas de seguridad) han identificado las solicitudes realizadas a la dirección IP 162.216.4.Teniendo esto en cuenta, nos centraremos en los registros del proxy Bro_HTTP para investigar más sobre el host remoto neuhaus-hourakus.avelinoortiz.com.

Usando el filtro Bro_HTTP, podemos observar la solicitud individual realizada al host remoto y la respuesta recibida. Como se ilustra en la siguiente instantánea, podemos generar la versión PCAP de las solicitudes y observar cualquier actividad maliciosa.

La captura de pantalla anterior ilustra la solicitud/respuesta capturada por el proxy BRO; las solicitudes se realizaron al host remoto neuhaus-hourakus.avelinoortiz.com el martes 24 de noviembre de a las 17:13:18 GMT.

Entonces, podemos ver el URI (/forums/viewforum.php?f=15sid=0I.h8f0o304g67j7zI29) desde donde se descargó el exploit. El dominio/URL que redirigió al usuario a un host malicioso se refiere a http://solution.babyboomershopping.org/respondents/header.js

eso

se puede ver en el encabezado de referencia.

Verificar manualmente todas y cada una de las solicitudes/respuestas en busca de contenido o archivos maliciosos entregados por el host remoto será una tarea que consumirá mucho tiempo. Simplemente descargaremos el archivo PCAP que se resalta en la captura de pantalla anterior 10.1.25.119:49442_162.216.4.0-6-149645-4930.pcap y lo analizaremos con la herramienta incorporada en el archivo de seguridad.

Usaremos la herramienta NetworkMiner en Security Onion para analizar el archivo PCAP que hemos descargado de ELSA. Lea más sobre Network Miner aquí .

Simplemente importaremos el archivo pcap a NetworkMiner, como se ilustra en la siguiente captura de pantalla.

Podemos observar los detalles de la dirección IP de origen, el sistema operativo en ejecución, la dirección IP de destino y el nombre de host remoto del archivo PCAP que hemos importado en NetworkMiner. Este programa intenta extraer archivos y objetos de PCAP como se ilustra en la siguiente captura de pantalla.

En el menú de archivos, NetworkMiner ha identificado cuatro archivos que se han descargado desde el host remoto en el host de origen, de los cuales tres archivos tienen contenido HTML y un archivo es de tipo SWF (who.olp.5AACF8C1..swf), que es un archivo shockwave-flash. Guardaremos este archivo SWF localmente y lo analizaremos subiéndolo al sitio web de VirusTotal para analizarlo más a fondo en busca de contenido malicioso.

Según lo confirmado por VirusTotal, muchos programas antivirus han identificado este archivo SWF como Shockwave Flash Exploit . Regresaremos y veremos una vez más el archivo PCAP en ELSA.

Ahora, se puede ver que el host remoto 162.216.4.strong> realizó este exploit flash cuando el sistema Windows de Tom con la dirección IP 10.1.25.119 se conectó a la URL http://neuhaus-hourakus.avelinoortiz.com/forums/viewforum.php?f =15sid=0l.h8f0o304g67j7zl29 que fue referido por la URL de referencia http://solution.babyboomershopping.org/respondents/header.js

Parece que hay tráfico en la puerta. Vayamos a ELSA y busquemos el dominio de referencia solución.babyboomershopping.org y filtremos los registros para los registros Bro_HTTP como se ilustra en la siguiente captura de pantalla.

El primer registro aquí es la solicitud HTTP a la URL http://solution.babyboomershopping.org/respondents/header.js que señalamos anteriormente como la referencia del sitio web del kit de explotación .

Profundicemos más y veamos el contenido del archivo JS ” encuestados/header.js ” que se ilustra a continuación.

¡¡ESTALLIDO!! Ahora, mirando la solicitud/respuesta para la URL http://solution.babyboomershopping.org/respondents/header.js , hay IFRAME en respuesta al host malicioso neuhaus-hourakus.avelinoortiz.com que alojó el exploit shockwave flash.

iframe src=”http://neuhaus-hourakus.avelinoortiz.com/forums/viewforum.php?f=15sid=0l.h8f0o304g67j7zl29″/iframe

Además, al observar el encabezado de referencia en la ilustración anterior, podemos ver que el sistema infectado fue dirigido a la URL http://solution.babyboomershopping.org/respondents/header.js por la referencia del sitio http://www.shotgunworld.com/

Asegurémonos de que no haya nada más entre esta puerta y el sitio web comprometido. Regrese a la consola web de ELSA y busque el host www.shotgunworld.com con el filtro de sitio Bro_HTTP como se ilustra en la siguiente captura de pantalla.

Como podemos ver hay 15 URI solicitadas por www.shotgunworld.com, iremos a las URI e investigaremos

Ahora podemos ver todas las URL; Esto requerirá algo de búsqueda para revisar todos los URI. Hemos resaltado un URI que tiene algunas cosas interesantes que investigaremos.

Se puede ver que el sitio web www.shotgunworld.com tiene un servicio de entrega de anuncios en URI /adserver/www/delivery/ajs.php que sirve IFRAME al sitio web malicioso http://solution.babyboomershopping.org/respondents/header.js que es el GATE, los internos de este sitio redirigen al usuario al Shockwave Flash Exploit Kit alojado en el sitio web http://neuhaus-hourakus.avelinoortiz.com/forums/viewforum.php?f=15sid=0l.h8f0o304g67j7zl29

Las campañas de publicidad maliciosa también siguen impulsando redirecciones a kits de explotación, pero pueden variar mucho en tamaño e impacto. Los ataques diarios provenientes de redes publicitarias turbias continúan sin cambios, mientras que los ataques más grandes que atacan a las principales redes publicitarias y editores llegan en oleadas.

Además, eso completa nuestra cadena de eliminación de esta infección.

Siempre que hay tráfico del Angler Exploit Kit, la mayoría de las veces debe ser una de las cargas útiles: ransomware o Bedep. Lo podemos ver en las alertas de Suricata; Esta es una infección Trojan.Bedep . Lea más sobre Trojan.Bedep aquí .

Troyano . Bedep descargará más malware (que también se envía cifrado a través de la red). En este escenario, se encontró una pieza de malware de seguimiento en el host infectado: C:UsersTurkey-TomAppDataRoamingBackUp1086666136.exe .

Hay más para examinar, pero eso es todo lo que haré en este artículo.

Máquina infectada

Dominio malicioso

http://neuhaus-hourakus.avelinoortiz.com

http://solution.babyboomershopping.org

http://www.shotgunworld.com

Archivos maliciosos

Copia de seguridad1086666136.exe

SHA256 – d16ad130daed5d4f3a7368ce73b87a8f84404873cbfc90cc77e967a83c947cd2who.olp.5AACF8C1..swf

SHA256 – 470fdb11214c6d274bd0247d7845dc08e6d6d9e9a9c5edc65938c40ed2b0eeae

Conclusión

Un kit de explotación es un objeto o programa que los atacantes utilizan para lanzar ataques contra programas vulnerables.

Un ataque de un kit de explotación alojado en un sitio web sólo puede tener éxito si visita una página que aloja un kit de explotación y su dispositivo tiene una vulnerabilidad sin parches que el kit puede aprovechar.

Para frustrar los ataques de EK, siga unos sencillos pasos

Muchos programas antimalware modernos detectarán y evitarán que estos kits de exploits intenten aprovechar una vulnerabilidad.

Fuentes