Noticias

Nuevo ataque APT muestra el avance técnico en el desarrollo de exploits

Hace poco encontramos un ataque dirigido muy interesante que estaba evadiendo la mayoría de los productos antivirus. Es un ataque dirigido de suplantación de identidad, también conocido como “spearphishing”, que ataca a los activistas tibetanos y de derechos humanos. El ataque tiene características únicas que, en relación con los muchos otros exploits que aprovechan la vulnerabilidad CVE-2012-0158 , demuestran el gran esfuerzo de los atacantes por infiltrarse en los grupos activistas. Este es un ejemplo de los correos electrónicos que enviaban:

Asunto: 噶厦政府发起彻查中国民主人硬汉李旺阳被杀事件签名

Se puede traducir como: “El gobierno de Kashag lanza una investigación completa sobre el asesinato del líder de la democracia china, Li Wangyang”

Adjunto: 民主硬汉李旺阳.doc

(a5513fd67fa3ef135b6eeab4661f6640 – Kaspersky “Exploit.MSWord.CVE-2012-0158.l”. Automatic Exploit Prevention también detecta los exploits CVE-2012-0158 como este de forma proactiva y genérica como el veredicto AEP “PDM:Exploit.Win32.Generic”)

Se traduce como: “líder de la democracia, Li Wangyang.doc”

Mensaje: “Colegas:

¡Tashi Delek! Para apoyar la democracia china, el gobierno de Kashag ha decidido iniciar una profunda investigación sobre el asesinato del defensor de la democracia Li Wangyang y una campaña tibetana de firmas para compensar los agravios de los luchadores.

Lausanne, Nima”
Es interesante recalcar que el Partido Democrático de Hong Kong es otro de los grupos que descubrimos que tenía los servidores comprometidos y propagaba exploits y puertas traseras relacionadas con APT entre sus visitantes, que también son activistas políticos. Escribimos sobre eso aquí .

El archivo adjunto se envió a una larga lista de miembros de la comunidad tibetana, activistas y defensores de los derechos humanos, desde la cuenta de uno de los activistas tibetanos cuyos datos, por extraño que parezca, se habían comprometido en la intrusión a la base de datos de Stratfor. El nombre de la persona nunca se asoció con la cuenta del usuario en la base de datos de Stratfor, así que hasta ahora no sabíamos cuán informados estaban los atacantes sobre la comunidad tibetana. En cuanto al aspeto técnico, el archivo adjunto de 266 Kb, que es un tamaño común en muchos de los ataques spearphishing que hemos visto, tiene algunas características interesantes. El archivo es un exploit que se hace pasar por un documento de Word y dirige sus ataques al código vulnerable en mscomctl.ocx, conocido como CVE-2012-0158. Cuando Word abre el archivo, la aplicación hace un análisis sintáctico de las palabras con las órdenes y descifra que debe cargar el control Active X MSComCtlListView. Pero el contenido de este archivo, que obliga a que se realice el flujo de control deseado, es diferente al metasploit PoC de casi todos los exploits CVE-2012-0158. En primer lugar, el encabezado del archivo no representa la implementación RTF del exploit, que es muy común, y se ve así:

En vez de ello, todo el archivo se implementa como una sola secuencia OLE de archivos .doc. Este es el principio del archivo, que indica el tipo de archivo. Este tipo de contenido no es común en los ataques spearphish para CVE-2012-0158 que hemos visto hasta ahora:

Parece que esta implementación del tipo de archivos es única para este exploit. Los cibercriminales no dependen de paquetes de exploits como Metasploit o COTS para lanzar el ataque. Como varios escáneres buscan objetos integrados o secuencias OLE junto a los comandos object y objocx, muchos pueden pasar por alto esta amenaza.

Cuando el archivo se abre y se comienza a ejecutar el código vulnerable para causar el desbordamiento de pila, se asigna a ecx el valor 0xc00. Este valor es mucho más pequeño que toda la parte restante del código, que pesa 3.072 bytes. A diferencia de la mayoría de los códigos exploit, este shellcode incompleto (stub) no necesita instrucciones NOP. Pero, como otros códigos, este exploit regresa en medio de una instrucción para realizar una instrucción jmp esp personalizada en mscomctl.ocx y volver a su shellcode incompleto. El shellcode en sí es bastante común, arma la pila y decodifica los 2 k bytes de shellcode restantes con un bucle xor 0x70 – otro truco simple de ofuscación para obstaculizar el análisis estático.

El código localiza el PEB y pasa por la lista de módulos, identificando la ubicación de la memoria en el primer entrada de la lista. Esta ubicación se utilizará más tarde para hacer búsquedas API mientras se evaden las solicitudes de localizaciones de memoria de GetPRocAddress (otra táctica para evadir antivirus).

Las llamadas a la función de resolución de importaciones de direcciones del shellcode se intercalan con la función de localización de direcciones del módulo base. Aquí copia la cadena de caracteres “shlwapi.dll” a la pila y también incluye su ptr para una llamada LoadLibraryA:

La función personalizada ImportHashAddressResolution es una implementación personalizada de GetPRocAddress para resolver las direcciones de las funciones win32api. Lo extraño es que algunas de estas funciones incluyen CreateFileMapping, MapViewofFile e ImageHLP.ResolveRVAtoVA. Estas no son las llamadas típicas para cargar bibliotecas y localizar funciones sin usar las tradicionales llamadas API.

Cuando el exploit crea por fin Ax.tmp (f3219d66e36924ded709fe0da1d5d2c8 – Kaspersky “Backdoor.Win32.Agent.cjqi”) en %temp%, decodifica el contenido del archivo en la memoria con un simple bucle “xor-ror” antes de escribir el archivo en el disco. Estos simples bucles ayudan a esconder el contenido malicioso ejecutable sin despertar sospechas.

La última técnica evasiva incorporada en el exploit es un salto a dos instrucciones después de la entrada normal de kernel32.WinExec, evitando el preámbulo por completo. Varios productos de seguridad basados en comportamiento implementan ganchos de modo de usuario en funciones como WinExec y ShellExecute y, con este salto, los atacantes evaden esta medida de seguridad.

En conclusión, parece que los equipos que desarrollaron el exploit de algunos de estos ataques APT están mejorando sus habilidades y tácticas de juego poco a poco, esforzándose por evadir la detección de los productos antivirus. Por ahora, los ataques CVE-2012-0158 son los más populares, pero podemos asumir que las vulnerabilidades de día cero que se descubrieron hace poco no tardarán en reemplazarlos.

Pronto publicaremos otra entrada con más información sobre esta puerta trasera y las comunicaciones relacionadas.

Nuevo ataque APT muestra el avance técnico en el desarrollo de exploits

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

BlindEagle vuela alto en LATAM

Kaspersky proporciona información sobre la actividad y los TTPs del APT BlindEagle. Grupo que apunta a organizaciones e individuos en Colombia, Ecuador, Chile, Panamá y otros países de América Latina.

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada