Análisis de malware

Dentro del malware Lyceum/Hexane

7 de octubre de por Howard Poston

El grupo de cibercrimen Lyceum/Hexane

Lyceum y Hexane son dos designaciones industriales para un grupo APT que fue descubierto en agosto de y estuvo operando sin ser detectado durante al menos un año y posiblemente desde abril de. Lyceum/Hexane APT centra sus ataques en empresas del sector del petróleo, el gas y las telecomunicaciones. industrias que operan en el Medio Oriente.

Los ataques de Lyceum/Hexane APT se centran principalmente en extraer credenciales de usuario de sistemas comprometidos. Para lograrlo, cuentan con una cadena de ataque de varias etapas con al menos cinco componentes maliciosos conocidos.

¡Conviértete en un ingeniero inverso certificado!

Obtenga capacitación práctica en vivo sobre análisis de malware desde cualquier lugar y conviértase en un analista certificado de ingeniería inversa. Comienza a aprender

La cadena de ataque Lyceum/Hexane

Lyceum/Hexane APT utiliza un ataque de varias etapas para infectar una máquina objetivo. La etapa inicial es un documento malicioso de Microsoft Office que contiene el malware DanDrop. Este malware crea una copia de DanBot, un troyano de acceso remoto (RAT) y programa su ejecución. Con las capacidades de acceso y administración proporcionadas por DanBot, APT puede colocar programas maliciosos adicionales (generalmente scripts de PowerShell) en la máquina de destino.

DanDrop

DanDrop es un dropper de malware utilizado por Lyceum/Hexane APT para entregar malware de segunda etapa. Se implementa como una macro VBA comúnmente integrada en documentos de Excel. Algunos de los archivos utilizados por Lyceum/Hexane incluyen:

• Las peores contraseñas de
• Diez prácticas de seguridad principales
• Un documento completamente en árabe

Estos documentos tienen nombres atractivos para la ingeniería social y muchos antivirus no detectan el archivo. Varios meses después de que se cargara una muestra del documento malicioso en VirusTotal, solo tiene una tasa de detección maliciosa del 65,7% por parte de los AV, y varios AV importantes se encuentran entre los que no lo detectan.

Con una copia de DanDrop, es posible extraer de forma segura el código VBA del malware para su análisis. Una opción para hacerlo es usar olevba, que permite analizar el formato de archivo OLE (usado comúnmente en documentos de Microsoft Office) usando Python.

El malware DanDrop contiene varias funciones VBA diferentes. A continuación se incluyen ejemplos de dos de ellos.

La función VBA que se muestra arriba está diseñada para ejecutarse cuando el objetivo del ataque abre el documento infectado. Esta función realiza varias acciones diferentes en el sistema:

1. Establece la visibilidad de varias hojas dentro del documento (un documento de Excel en este caso)
2. Crea la carpeta UsersPublicPublicPics dentro del directorio MisDocumentos si aún no existe.
3. Descifra datos codificados en Base64 (usando una función llamada D64) almacenados en varias celdas del documento y los almacena dentro de las variables ert y cnf.
4. Escribe estas variables (usando una función llamada wb) en archivos llamados ATrce.e y ATrce.ex
5. Cambia el nombre de estos archivos a ATrce.exe y ATrce.exe.config
6. Llama a la función SdT con la cadena “V_d” y el nombre del archivo ejecutable

La función SdT se muestra arriba. El propósito de esta función es iniciar la ejecución del ejecutable eliminado en la computadora en un momento posterior.

danbot

El ejecutable arrojado por el malware DanDropper es una copia de DanBot. DanBot es una RAT utilizada por los ciberdelincuentes para controlar una computadora después de una infección.

El DanBot RAT utiliza los protocolos DNS y HTTP para comando y control.

La imagen de arriba es una muestra del tráfico DNS generado por Danbot cuando se ejecuta dentro de un entorno de espacio aislado. Los dominios solicitados son importantes e inusuales ya que constan de una larga cadena dentro del dominio de destino.

Al dividir estas solicitudes de dominio en segmentos, vemos que contienen información de registro sobre el troyano:

Antes del guión bajo suele haber una cadena codificada en base 64. La combinación de los primeros tres conjuntos de cadenas únicas se decodifica en 5[`xp2x12x85Mxe2x0crxdf] . Esto indica que la RAT está extrayendo información sobre la máquina infectada (ejecuta XP Service Pack 2, etc.).

Después del guión bajo viene una marca de tiempo, una cadena aleatoria (decodifica de hexadecimal a CC3B73F) y el valor 10000. Este último valor es la instrucción para registrar una nueva ID de bot para la RAT.

La imagen de arriba muestra solicitudes DNS adicionales, que contienen una estructura diferente:

• Cadena codificada en Base64
• Guion bajo
• 080500510: marca de tiempo
• 6F6E6C696E65: “en línea”
• 3
• 0039: ID del robot

El malware también realiza solicitudes HTTP, como se muestra a continuación.

Estas solicitudes contienen varias características interesantes:

• URL con contenido Base64 (se decodifica en una cadena aleatoria)
• Intento de autorización con contraseña codificada en Base64
• Agente de usuario falsificado para imitar a Firefox

secuencias de comandos de PowerShell

Lyceum/Hexane APT también es conocido por utilizar diferentes scripts de PowerShell como parte de sus ataques. Éstas incluyen:

• kl.ps1 : un registrador de teclas PowerShell personalizado
• Decrypt-RDCMan.ps1 : script de PowerShell del marco de prueba de penetración PoshC2 para descifrar las credenciales almacenadas en el archivo de configuración de RDCMan
• Get-LAPSP.ps1 : script de PowerShell para robar datos de Active Directory a través de LDAP.

Con la capacidad de eliminar estos (y potencialmente otros) scripts de PowerShell en una máquina infectada, el grupo Lyceum/Hexane es capaz de recopilar credenciales de usuario de varias fuentes diferentes. Esto permite a los atacantes ampliar su alcance dentro de la red objetivo o utilizar estas credenciales en ataques de relleno de credenciales.

Conclusión

Lyceum/Hexane APT es un grupo de delitos cibernéticos que tiene como objetivo principal las industrias del petróleo, el gas y las telecomunicaciones en Medio Oriente. Utilizan una sofisticada cadena de infección de malware de múltiples etapas que utiliza ingeniería social para obtener acceso inicial y luego aprovecha este acceso para recopilar credenciales en las máquinas infectadas y otros sistemas (como servidores Active Directory) en la red. También utilizan una combinación de código personalizado y prestado para lograr sus objetivos, lo que demuestra que tienen la capacidad de ampliar sus capacidades internamente.

Si bien el grupo Lyceum/Hexane se ha centrado principalmente en determinadas industrias de Oriente Medio, no hay garantía de que seguirá haciéndolo. Además, la naturaleza de su cadena de ataque (el uso de un documento de Office malicioso que arroja un ejecutable de malware) facilita que otros grupos se apropien de sus herramientas y las utilicen en sus propias técnicas. Esto hace posible que los ciberdelincuentes menos sofisticados tengan en sus manos una RAT bastante versátil con un mecanismo de infección eficaz.

Fuentes

1. LYCEUM ocupa un lugar central en la campaña de Medio Oriente , Secureworks
2. Lanzamiento de malware y otros detalles de ataques al grupo Hexane (LYCEUM) , Binary Defense
3. Profundice en el malware Lyceum Danbot , CyberX