Análisis de malware
Malware Taidoor: qué es, cómo funciona y cómo prevenirlo | foco de malware
8 de septiembre de por Pedro Tavares
Taidoor es el nombre de la última amenaza persistente analizada y descrita por el equipo de Reversing Labs, y utilizaremos algunas de sus investigaciones en este artículo. Traidoor se ha vinculado con el gobierno chino y las últimas versiones se están utilizando junto con servidores proxy para crear persistencia en las redes de destino y usarse en otras actividades. Al igual que otras herramientas maliciosas, este malware debe ser sigiloso para mantener su actividad durante largos meses e incluso años.
Las nuevas actualizaciones de esta versión de Taidoor RAT se componen de dos partes principales:
- Un cargador inicial en formato DLL
- El módulo principal RAT viene como datos binarios cifrados con RCE.
¡Conviértete en un ingeniero inverso certificado!
Obtenga capacitación práctica en vivo sobre análisis de malware desde cualquier lugar y conviértase en un analista certificado de ingeniería inversa. Comienza a aprender
En detalle, el cargador Taidoor comienza descifrando el módulo principal cifrado y ejecuta la llamada «Inicio» presente en la tabla de direcciones de exportación de DLL (EAT).
1: Funciones exportadas presentes en el EAT de Taidoor RAT.
Juntar las piezas
Al analizar algunas muestras de esta amenaza, es posible saber que están usando la misma clave AES (16157E2BA6D2AE288815F7AB3C4FCF09). No obstante, existe una capa de cifrado adicional desarrollada por delincuentes responsables del descifrado de la configuración: la clave AES y la inicialización de S-Box.
2: Clave AES codificada dentro de la DLL maliciosa.
Luego, el siguiente proceso de descifrado se utiliza para revelar los datos cifrados dentro del binario, incluidas cadenas relacionadas con la actividad HTTP, la configuración de C2 y otros detalles sobre la configuración de Taidoor.
3: Carga de la clave de descifrado AES después del primer proceso de descifrado.
La clave AES simétrica permite obtener las cadenas originales codificadas dentro del binario malicioso y la ruta PDB, como se presenta a continuación.
Durante el análisis de diferentes muestras de malware, se encontraron dos rutas de PDB diferentes, a saber:
“C:UsuariosjohnDesktopKD17.6_0628Releasemm_tcp_svchost.pdb”
“c:usuariosdevelopdesktopkd15.1_aes_0321mm_tcp_dllsvchost.cpp”
Estas rutas de PDB son cruciales para comprender que las muestras se crearon en y y que este malware está activo durante una década sin ser detectado por las soluciones de seguridad AV y EDR.
Como lo menciona Reversing Labs aquí, la clave simétrica RC4 encontrada había sido utilizada por varias muestras de Taidoor RAT durante varios años (vista por primera vez hace al menos nueve años).
«De hecho, una consulta de búsqueda encuentra 17 muestras con este nombre, y al analizarlas en el desensamblador se muestra que también tienen la configuración cifrada con la misma clave RC4» 0xA1 0xA2 «».
4: Muestras de Taidoor que no fueron detectadas durante una década.
La configuración de C2 también se extrajo de varias muestras que permanecieron indetectables y sus servidores remotos estaban disponibles en Internet. A continuación, la lista de los C2 utilizados por Taidoor durante varios años en sus operaciones maliciosas.
5: Lista C2 utilizada por Taidoor RAT.
¡Conviértete en un ingeniero inverso certificado!
Obtenga capacitación práctica en vivo sobre análisis de malware desde cualquier lugar y conviértase en un analista certificado de ingeniería inversa. Comienza a aprender
La amenaza de Taidoor
Hoy en día han surgido diferentes tipos de ataques y amenazas en volumen y sofisticación. Taidoor es una de las herramientas maliciosas que permaneció indetectable durante una década, evitando la detección de soluciones de seguridad como antivirus, sistemas EDR, firewalls basados en red y SIEM.
Es notorio que los creadores de Taidoor tenían algo específico en mente: mantener la actividad del malware de forma sigilosa y FUD (completamente indetectable). En este sentido, es fundamental aplicar las medidas adecuadas para mitigar infecciones de esta naturaleza. A continuación vamos a brindar algunas recomendaciones para combatir, en general, las amenazas a esta línea, a saber:
- Utilice software de monitoreo: supervise tipos de malware nuevos y existentes utilizando un antivirus o un sistema EDR. Con este tipo de software se pueden prevenir, defender y mitigar amenazas de esta naturaleza de forma anticipada.
- Mantener actualizados los sistemas operativos y el software: esta es la clave del éxito. Es crucial mantener los sistemas operativos y otro software con los parches más recientes aplicados para mitigar las fallas que pueden ser abusadas por amenazas, en general, para comprometer completamente los activos.
- Cree una mentalidad de ciberseguridad: recuerde a los usuarios el origen de los correos electrónicos, enlaces, archivos adjuntos y más. Todas las fuentes deben ser verificadas. Recuerde que el phishing sigue siendo el vehículo más utilizado para distribuir malware a través de Internet.
- Hacer cumplir la política de contraseñas: tu viejo amigo. Emplee una política de contraseñas firme y asegúrese de que las contraseñas se actualicen con frecuencia.
Fuentes
Análisis Taidoor , Laboratorios de inversión
IoC de Taidoor , US-CERT