Análisis de malware
Nerbian RAT usando plantillas COVID-19
27 de julio de por Pedro Tavares
Se ha detectado un nuevo troyano de acceso remoto (RAT) con capacidades evasivas notablemente sofisticadas. Nerbian RAT se ha extendido en Italia, España y el Reino Unido aprovechando las plantillas de correo electrónico de Covid19 con un archivo adjunto que contiene un documento de Microsoft Word con macros maliciosas en su interior. [HAGA CLIC EN LAS IMÁGENES PARA AMPLIAR]
1: Plantilla de correo electrónico utilizada por Nerbian RAT para su difusión en el mundo ( fuente ).
Una vez descargado el archivo de Microsoft Word, se ejecuta la macro automática incorporada. Crea un archivo .bat de Windows (la primera etapa) que descargará el “cuentagotas” Nerbian de Internet.
2: Archivo Bat: primera etapa de Nerbian RAT.
¡Conviértete en un ingeniero inverso certificado!
Obtenga capacitación práctica en vivo sobre análisis de malware desde cualquier lugar y conviértase en un analista certificado de ingeniería inversa. Comienza a aprender
Como se muestra arriba, la carga útil descarga un archivo binario y le cambia el nombre a ” UpdatedUAV.exe “. Es un binario de Goland que evita sin problemas la detección de firmas de archivos. Como se publica en este artículo , crear nuevos archivos binarios de Goland cada vez es una forma sencilla de omitir algunas firmas AV porque el compilador de Go utiliza una gran cantidad de datos durante el proceso.
El binario es un archivo de 64 bits protegido con el empaquetador UPX. Después del proceso de descompresión, contiene 6,6 MB. Creemos que el empaquetador aquí se usa solo para reducir el tamaño del archivo binario.
Como se muestra a continuación, el binario ” UpdateUAV.exe ” descargará otro binario, el propio Nerbian RAT; sin embargo, es crucial notar cómo este cuentagotas evita la detección AV.
3: Diagrama de alto nivel de Nerbian RAT de ProofPoint ( fuente ).
Como era de esperar, los autores de esta amenaza utilizaron muchas bibliotecas gratuitas de Goland para implementar e implementar Nerbian RAT. Los expertos de ProofPoint destacaron uno de ellos: github.com/p3tr0v/chacal/, una biblioteca Goland anti-depuración, anti-VM y anti-forense.
4: Chacal: biblioteca Goland Anti-Debug, Anti-VM y Anti-Forensics.
Una de las características principales de esta biblioteca es la detección de máquinas virtuales mediante el uso de las cadenas: ” virtual “, ” vbox ” y ” vmware ” para determinar si el disco duro de la máquina es superior a un valor específico (100 GB predeterminado). También detecta y manipula una lista de herramientas de inversión, como se muestra a continuación.
5: lista de procesos manipulados por la biblioteca chacal.
Etapa final del RAT de Nerbia
Después de ejecutar y verificar la máquina de destino, la primera etapa descarga otro archivo binario: el Nerbian RAT. La muestra analizada descarga el archivo Nerbian del mismo dominio en la ruta de la máquina: C:ProgramDataUSOSharedMoUsoCore.exe . Luego se crea una nueva tarea programada para ejecutar el archivo cada hora como mecanismo de persistencia.
6: Descarga de la segunda etapa de Nerbian (el propio Nerbian RAT) y parte de su mecanismo de persistencia.
Una vez más, el binario MoUsoCore.exe está escrito en Goland y empaquetado con UPX para reducir su tamaño (alrededor de 9,2 MB).
El binario tiene algunas cadenas codificadas relacionadas con su configuración, incluida la dirección IP C2 y muchas cadenas utilizadas durante la comunicación del malware. Una parte de las cadenas codificadas en Nerbian se presenta en la 7 a continuación.
7: Cadenas codificadas en Nerbian RAT y dirección IP C2.
El RAT está equipado con funciones de registro de teclas y capacidades de captura de pantalla utilizando bibliotecas Goland conocidas ( github.com/kbinani/screenshot ), y toda la comunicación con su servidor C2 se realiza a través de SSL. La siguiente imagen muestra parte de la comunicación de Nerbian RAT durante su ejecución.
8: Comunicación Nerbian RAT C2 a través del protocolo SSL ( fuente ).
Esto muestra que el servidor C2 está geolocalizado en el Reino Unido y la máquina tiene el protocolo RDP abierto, probablemente para que sus autores puedan conectarse a la máquina para recopilar y tomar el control de todas las máquinas infectadas en todo el mundo.
9: Servidor Nerbian RAT C2 geolocalizado en Reino Unido y servicio RDP disponible.
¡Conviértete en un ingeniero inverso certificado!
Obtenga capacitación práctica en vivo sobre análisis de malware desde cualquier lugar y conviértase en un analista certificado de ingeniería inversa. Comienza a aprender
Pensamientos finales
Aunque Nerbian no es una de las RAT más comunes hoy en día, es fundamental comprender que cada día surgen varios tipos de malware y que cuentan con nuevas técnicas de evasión y sofisticación. La impopular tecnología actual podría ser la base del próximo malware peligroso del mañana. Debido a esto, los usuarios finales de Internet, en general, deben estar equipados con las guías más recientes para detener este tipo de amenazas antes.
Una de las mejores recomendaciones para la prevención es sencilla: no haga clic en enlaces sospechosos ni descargue archivos adjuntos contenidos en correos electrónicos de fuentes desconocidas.
La actualización frecuente del software para evitar vulnerabilidades nuevas y populares debería ser una regla general, junto con el uso de un AV y un EDR totalmente actualizados para bloquear las amenazas por adelantado. El uso de varias capas de seguridad es crucial para detener el malware durante sus etapas iniciales.
Por último, pero no menos importante, implementar prácticas periódicas de respaldo es otro elemento importante para proteger sus secretos y los datos más preciados sobre usted o su empresa.
¡Tomemos en serio la protección contra malware!
Fuentes
- RATA Nerbia , ProofPoint