Análisis de malware

SockDetour: la puerta trasera que afecta a los contratistas de defensa estadounidenses

11 de mayo de por Pedro Tavares

SockDetour es una nueva puerta trasera identificada por el equipo de investigación de Unit42 y encontrada en las redes de contratistas de defensa de EE. UU. como puerta trasera de respaldo para mantener la persistencia y el acceso.

SockDetour es una puerta trasera personalizada que actúa como puerta trasera de respaldo si la principal se elimina de los sistemas de destino. El análisis realizado por el equipo de investigación de Unit42 muestra que este malware es difícil de detectar ya que funciona en modo sin archivos ni socket. Esta puerta trasera se identificó por primera vez en la campaña TiltedTemple y se utilizó con otras herramientas, incluidas utilidades de volcado de memoria y varios shells web.

Según los datos de telemetría de las muestras recopiladas, » creemos que el actor de amenazas detrás de SockDetour se ha centrado en atacar a contratistas de defensa con sede en Estados Unidos «, dicen los analistas de la Unidad 42.

¡Conviértete en un ingeniero inverso certificado!

Obtenga capacitación práctica en vivo sobre análisis de malware desde cualquier lugar y conviértase en un analista certificado de ingeniería inversa. Comienza a aprender

Cómo funciona SockDetour

SockDetour es un archivo binario simple de 64 bits que no requiere un puerto de escucha con su servidor C2 para comunicarse. En su lugar, secuestra un socket existente, pero antes es necesario inyectarlo en la memoria a través de un modo sin archivos.

Para lograr este paso, los delincuentes utilizaron el marco Donut para generar un código shell de este binario e inyectarlo en la memoria utilizando la utilidad de inyección de memoria PowerSploit. En detalle, los expertos en seguridad encontraron ID de procesos codificados durante el análisis de puerta trasera, una señal clara de que los delincuentes eligen de antemano los procesos de destino que utilizarán junto con el código shell.

Después de ejecutarse en la memoria, la biblioteca Microsoft Detours se aprovecha para secuestrar sockets de red, lo que dificulta su detección. Al utilizar DetourAttach() WinCall, se adjunta un gancho a Winsock Accept(), lo que permite la creación de un proxy malicioso para interceptar las comunicaciones.

Según los expertos en seguridad, «con dicha implementación, SockDetour puede operar sin archivos ni sockets en servidores Windows comprometidos y servir como puerta trasera de respaldo si los defensores detectan y eliminan la puerta trasera principal».

1: Flujo de trabajo de alto nivel de puerta trasera de SockDetour ( fuente ).

Como la puerta trasera está secuestrando un servicio legítimo, necesita implementar una forma de agrupar el tráfico legítimo desde su servidor C2. En detalle, utiliza ocho pasos para filtrar los paquetes recibidos y validar si provienen de su C2.

Los datos se reciben mediante una llamada recv() con la función MSG_PEEK que no interferirá con el tráfico legítimo. Esto es crucial para no causar ninguna interrupción en el servicio y permanecer sigiloso durante mucho tiempo.

2: SockDetour recibe datos con la opción MSG_PEEK y verifica los datos ( fuente ).

En cuanto a las funciones que ofrece esta puerta trasera, sólo una está disponible: carga de complementos DLL. La carga útil se recibe a través del socket secuestrado desde su servidor C2 y se espera que sea menor o igual a 5 MB. Después de eso, la carga útil se decodifica e inyecta en la memoria, aprovechando la función de exportación de TreadProc y se ejecuta en base a una estructura JSON que se presenta a continuación.

3: Estructura JSON utilizada para cargar la DLL de destino.

Según el análisis de Unit42, «si bien no se descubrieron muestras de DLL del complemento, el argumento de la función anterior sugiere que el complemento probablemente también se comunica a través del socket secuestrado y cifra la transacción utilizando la clave de sesión».

¡Conviértete en un ingeniero inverso certificado!

Obtenga capacitación práctica en vivo sobre análisis de malware desde cualquier lugar y conviértase en un analista certificado de ingeniería inversa. Comienza a aprender

Un resumen de SockDetour

SockDetour es una especie de puerta trasera creada para evitar la detección y permanece oculta durante mucho tiempo. El objetivo principal de este malware es mantener el acceso, actuando como puerta trasera de respaldo si falla la principal. Como utiliza un enfoque sin archivos ni sockets, detectarlo en la máquina comprometida y su comunicación es realmente difícil.

El uso de soluciones de monitoreo basadas en host y AV/EDR actualizados son la mejor medida para mantener alejadas amenazas de esta naturaleza, ya que los proveedores actualizan sus bases de datos continuamente.

Fuentes:

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *