Análisis de malware
El malware sin archivos utiliza un registrador de eventos para ocultar el malware
3 de agosto de por Pedro Tavares
El malware va en aumento y está surgiendo con técnicas novedosas y sofisticadas que dificultan su detección e identificación en sus primeras etapas. La prueba es un nuevo malware sin archivos analizado por investigadores de Kaspersky que puede aprovechar la utilidad de registro de eventos de Windows para realizar sus acciones.
Según los investigadores, este malware detectado en febrero de está “ aprovechando los registros de eventos de Windows para ocultar fragmentos de shellcode por primera vez en la naturaleza. Sin embargo, en septiembre de se observaron algunas acciones e implantes maliciosos, en los que las víctimas fueron atraídas a descargar archivos .RAR infectados con implantes Cobalt Strike y Silent Break.
Luego, estos módulos se utilizaron como plataformas de lanzamiento para implantar el código en procesos del sistema y aplicaciones legítimas.
Como explica Kaspersky, también es notable que el uso de envoltorios anti-detección sea parte del arsenal malicioso, una clara señal de que los autores detrás de este esquema pueden permanecer mucho tiempo fuera del radar.
Jugando con los fragmentos de shellcode
Como resultado de esta campaña, los delincuentes ahora almacenan fragmentos de un código shell en el registrador de eventos de Windows y lo ejecutan más tarde para ocultar su malware.
Uno de los métodos destacados anteriormente mantiene el código shell cifrado que contiene el malware de la siguiente etapa como piezas de 8 KB en los registros de eventos. Se trata de una nueva técnica nunca antes vista en el mundo, en la que todas las piezas se combinan y ejecutan en una sola carga útil.
Este modus operandi es poco común y, por su naturaleza, puede evadir la detección AV y EDR, manteniendo su actividad durante mucho tiempo. Antes de ejecutar el shellcode, el iniciador transfiere el control al primer byte del shellcode y es necesario resaltar tres argumentos:
- Dirección de la siguiente etapa (troyano). La dirección se extrae de los registros de eventos mediante el código shell previamente implantado.
- El hash ROR13 estándar de la carga del nombre de la función exportada dentro del troyano (0xE124D840)
- Direcciones de la cadena «dave» y la constante «4», que se convierten en los argumentos de la función exportada, encontradas mediante hash.
Ejecución troyana
Después de ejecutar el código shell, el troyano se inicia y ejecuta; Cabe señalar que están presentes dos tipos diferentes de comunicación:
- Tráfico HTTP con cifrado RC4
- Tuberías con nombre
Antes de establecer la conexión, el troyano envía un ping ICMP para comprobar si puede conectarse con su servidor C2 utilizando una clave RC4 codificada de 32 bytes de longitud. Como se observa en otras cadenas, la clave se cifra con el algoritmo basado en Throwback XOR. Si la conexión con el puerto 80 del servidor C2 está disponible, entonces se inicia la comunicación y están disponibles los siguientes comandos C2:
La comunicación a través de canalizaciones con nombre se realiza a través de SSL y el troyano se comunica con el archivo submit.php disponible en el puerto 443 de un dominio codificado. En detalle, la comunicación se realiza mediante solicitudes POST entre el troyano y el servidor C2, a través de SSL con certificados autofirmados, y el tráfico se cifra con una clave de algoritmo RC4.
Los comandos disponibles para este enfoque son:
Los delincuentes pueden eliminar archivos, implementar cargas útiles adicionales, tomar capturas de pantalla, escalar privilegios, etc.
Pensamientos finales
El malware sin archivos es un modus operandi difícil de detectar y bloquear a tiempo. Este artículo demuestra cómo la técnica de registros de eventos, nunca antes vista, puede ser una nueva forma de eludir las defensas de seguridad.
La monitorización a nivel de host debe verse como un primer paso para detectar y bloquear amenazas de esta naturaleza y artefactos relacionados con el registrador de eventos de Windows. Estos escenarios permiten la persistencia y la evasión de la detección, lo que refuerza la importancia de buscar actividad maliciosa a nivel de host.
Fuentes:
Malware sin archivos , Kaspersky
Malware sin archivos que utiliza Event Logger , HackerNews