Error: No CURL Found - Social Networks AutoPoster needs the CURL PHP extension. Please install it or contact your hosting company to install it.

Turla: Um mestre na arte de evasão | PLUGGED NINJA

Turla: Um mestre na arte de evasão

O Turla, um malware bem conhecido, passou a armar arquivos do LNK para infectar computadores. Observamos um exemplo atual disso. Saiba mais sobre os detalhes deste artigo!

Introdução

Um arquivo de atalho é uma alça em uma interface de usuário que permite ao usuário executar um arquivo ou recurso localizado em uma pasta diferente que fornece conveniência ao usuário em um sistema. Mas e se os atores de ameaças o armarem para fazer suas ofertas? No dia 9 de maio de 2024, a, Os analistas da GDATA observaram uma possível nova campanha que usa um arquivo de atalho malicioso que aproveita a plataforma da Microsoft para criar aplicativos para implantar um backdoor sem arquivos no sistema. Ele também emprega correção de memória, ignorar AMSI e desativar systemilits eventos de registro de recursos para prejudicar systemilitis defesa para melhorar a sua capacidade de evasão. Turla, também conhecido por outros nomes, como “Uroburos” é um nome que os pesquisadores da G DATA estão familiarizados,desde que contribuíram para um dos primeiras análises deste malware baseado na Rússia – há mais de 10 anos

Detalhes Técnicos

Intrusão e infecção

A origem do pacote do arquivo de atalho malicioso é de um site comprometido de um dos principais jornais e meios de comunicação das Filipinas, Philippine Daily Inquirer em hxxps://ies.inquirer.com.ph/-REDIGIDO–/Advisory23-UCDMS04-11-01.zip

A infecção começa com um pacote malicioso baixado de um site comprometido. O link para o arquivo é potencialmente distribuído através de e-mails de phishing que contêm a URL do referido site. Quando um usuário desavisado executa o arquivo de atalho malicioso extraído do pacote baixado, ele levará a uma execução de um script do PowerShell que implantará um backdoor sem arquivo no sistema. Ele aproveita o msbuild.exe do Microsoft’ para implementar o Bypass AWL (Application Whitelist) para evitar a detecção. Ele também cria uma tarefa agendada para servir como parte de seu método de persistência e manter sua existência no sistema para realizar suas rotinas maliciosas.

Análise Técnica

O arquivo de atalho malicioso chega ao sistema, mascarando-se como um arquivo de atalho de um documento pdf normal. Ele usa o nome de arquivo Advisory23-USDMS04-11-01.pdf.lnk, que representa um número de referência de Philippine Statistic Authority (PSA) Public Advisory. PSA é a autoridade estatística nacional das Filipinas, que é responsável por todos os censos nacionais e pesquisas, e compilação de contas nacionais.

Após a execução do arquivo de atalho malicioso, ele acionará uma execução de um script do PowerShell que soltará os seguintes arquivos:

%temp%\ChromeConnection
%temp%\ Advisory23-USDMS04-11-01.pdf

Copiar

O arquivo Advisory23-USDMS04-11-01.pdf é um documento benigno que contém o PSA Public Advisory como mostrado na figura abaixo:

Figura 2. Decoy PDF Documento
Figura 3 Script do PowerShell incorporado no arquivo LNK

Este documento é um chamariz que é para prejudicar das atividades maliciosas realizadas em segundo plano por ChromeConexão. Esse arquivo é um arquivo de projeto MSBuild malicioso que será carregado pelo msbuild.exe depois de ser acionado por um script do PowerShell.

O arquivo de projeto só funcionará em sistemas operacionais de 64 bits, pois o arquivo de montagem indicado nele está localizado no diretório Framework64 do Microsoft.Net. Após a execução do arquivo de projeto “ChromeConnection” via msbuild.exe, ele cria uma tarefa agendada como parte do mecanismo de persistência do malware:

/create /sc MINUTE /mo 30 /st 07:00:00 /tn "ChromeConnection" /tr "cmd /c start /min 
%windir%\Microsoft.NET\Framework64\v4.0.30319\MSBuild %temp%\ChromeConnection" /f

Copiar

Como podemos ver, “ChromeConnection” é iniciado a cada 30 minutos, começando às 7 da manhã.
Em seguida, ele carrega a carga ofuscada do arquivo do projeto no sistema. Esta carga útil é um backdoor sem arquivo.

Figura 4. Carga útil ofuscada no arquivo de projeto MSBuild

O backdoor é um binário compilado pelo MSIL. Ele é protegido por SmartAssembly, uma poderosa ferramenta de ofuscação que protege um aplicativo contra desmontagem e engenharia reversa e alguns de seus códigos estão ocultos, que pode ser considerado como parte de seus esquemas anti-depuração.

O Backdoor

Figura 5. Comunicação inicial ao servidor

Backdoors como este são capazes de evitar a detecção, desativando o system’ Event Tracing para Windows (ETW). Esse recurso fornece um mecanismo para rastrear e registrar eventos que são gerados por aplicativos de modo de usuário, bem como drivers de modo de kernel. O backdoor também executa correções de memória em alguns dos componentes do módulo do sistema na memória como parte de seu esquema anti-detecção. Outra parte deste esquema é o desvio do Windows Antimalware Scan Interface (AMSI), um recurso de segurança no Windows que permite que aplicativos e serviços se integrem a qualquer produto antimalware presente em um computador.
Em seguida, uma conexão com seu servidor de comando e controle (servidor c2) é estabelecida usando URLs diferentes. Primeiro, o malware estabelecerá uma conexão com o seguinte URL:

hxxp://files.philbendeck.com/com/arquivo/<counted string codificada ID>.jsp

Este URL é um site pessoal de um indivíduo cujo site foi comprometido. Esta conexão irá verificar a continuidade da rotina backdoor’, dependendo da resposta server’s.

Após a verificação bem-sucedida do servidor, ele estabelecerá conexão com o servidor usando o próximo URL:
hxxp://files.philbendeck.com/com/ajudar/<cadeia de caracteres codificada ID>.jsp
Ao se conectar ao servidor, ele transmitirá comandos para o backdoor:Esta conexão ditará os comandos do backdoor, dependendo da resposta do servidor.

Figura 6. Comunicação com o servidor para os comandos backdoor do malware
Figura 7. Comandos backdoor

Comandos Backdoor

Figura 8. Desativando ETW
Figura 9. Desativar módulos relacionados a eventos
Figura 10. Rotina de Remendo de Memória

ps cria um espaço de execução do PowerShell que executará o seguinte:

  • desative os recursos relacionados a eventos do sistema desativando o ETW
  • desative as funções de módulo relacionadas a eventos executando correções de memória em componentes de módulo de sistema na memória
  • desative o recurso de verificação AMSI executando correções de memória no amsi.dll na memória
  • execute um script do PowerShell recebido do servidor

Todos estes são registrados e serão enviados para o URL hxxp://files.philbendeck.com/artigo/<counted string codificada ID>.jsp

cps

  • fecha o espaço de execução do PowerShell

op

  • relatórios reconectam, dormem e recebem tempo limite do backdoor
  • Esta informação é enviada para o servidor através do seguinte URL: hxxp://files.philbendeck.com/sobre/<counted string codificada ID>.jsp

uf

  • cria um arquivo usando o nome de usuário como seu nome de arquivo, onde no conteúdo é recebido do servidor

Conclusão

Ao analisar esse malware, conseguimos encontrar algumas semelhanças com outros malwares utilizados pela Turla. Primeiro, é o uso do site comprometido como seu servidor. Em seguida, o AMSI está ignorando corrigindo o amsi.dll na memória. Outro é o uso do script do PowerShell para carregar códigos maliciosos na memória, o que permite evitar a detecção. Por último, é a execução de outros scripts do PowerShell fornecidos pelo servidor e relatando o resultado de volta para ele. Também identificamos novas técnicas empregadas por esse malware que ainda não são utilizadas pelo malware da Família Turla APT.

  • Emprego do arquivo LNK
  • Uso do MSbuild para carregar o arquivo do projeto que iniciará o backdoor sem arquivo
  • Desativar funções de módulo relacionadas a eventos corrigindo componentes do módulo do sistema na memória (advapi32.dll, ntdll.dll)
  • Desativar o Rastreamento de Eventos para Windows (ETW)

Prevenção

Para evitar que esse tipo de malware infecte seu sistema, aqui estão algumas dicas práticas:

  • Defina a política de execução do PowerShell para executar apenas scripts assinados.
  • Pode ser possível remover o PowerShell dos sistemas quando não for necessário, mas uma revisão deve ser realizada para avaliar o impacto em um ambiente, uma vez que poderia estar em uso para muitos fins legítimos e funções administrativas.
  • Desativar/restringir o serviço WinRM para ajudar a impedir o uso do PowerShell para execução remota.
  • O MSBuild.exe pode não ser necessário em um ambiente e deve ser removido se não estiver sendo usado.
  • Use o controle de aplicativo configurado para bloquear a execução do msbuild.exe se não for necessário para um determinado sistema ou rede para evitar possíveis usos indevidos por adversários.

MITRE ATT&CK

TécnicasSubtécnicasIDProcedimento
Mascarar T1036disfarça-se como um arquivo de atalho de um documento pdf normal
Intérprete de Comando e RoteiroPowerShellT1059.001usado PowerShell ofuscado para extrair uma carga útil codificada de dentro de um .Arquivo LNK e abrir um documento de chamariz
Defesas PrejudiciaisDesativar ou Modificar FerramentasT1562.001** realizou o bypass AMSI, que corrige o amsi.dll na memória** desabilitar funções de módulo relacionadas a eventos corrigindo módulos do sistema na memória (advapi32.dll, ntdll.dll)
 Desativar o Registro de Eventos do WindowsT1562.002desativar ETW do sistema (Rastreamento de Eventos para Windows)
Execução de Proxy de Utilitários de Desenvolvedor ConfiáveisMSBuildT1127.001msbuild usado para carregar um arquivo de projeto malicioso
Tarefa/Job AgendadoTarefa AgendadaT1053.005persistência alcançada através de tarefas agendadas
Deobfuscate/Decodificar Arquivos ou Informações T1140decodificar informações
Arquivos ou Informações ObfuscadosArquivo Criptografado/CodificadoT1027.013codificar informações
 Cargas Úteis IncorporadasT1027.009carrega uma carga útil incorporada na memória
 Armazenamento Sem FicheiroT1027.011binário malicioso codificado incorporado em um arquivo de projeto
Protocolo de Camada de AplicaçãoProtocolos WebT1071.001use HTTP para se comunicar com o servidor C2

COI

SHA256Nome do arquivo
cac4d4364d20fa343bf681f6544b31995a57d8f69ee606c4675db60be5ae8775Advisory23-CDMS04-11-01.pdf.com
c2618fb013135485f9f9a27983df3371dfdcb7beecde86d02cee0c258d5ed7fAdvisory23-UCDMS04-11-01.pdf.com
b6abbeab6e000036c6cdffc57c096d796397263e280ea264eba73ac5bab39441ChromeConexão
7091ce97fb5906680c1b09558bafdf9681a81f5f524677b90fd0f7fc0a05bc00Nenhum (binario incorporado extraído)
URLDescrição
hxxps://ies.inquirer.com.ph/advprod03/activos/imagens/Advisory23-UCDMS04-11-01.zipOrigem do pacote do arquivo lnk malicioso
hxxp://files.philbendeck.com/file/<counted string codificado ID>.jspservidor de malware usado para verificação de conexão
hxxp://files.philbendeck.com/help/<counted string codificado ID>.jspservidor de malware usado para comandos de backdoor
hxxp://files.philbendeck.com/article/<counted string codificado ID>.jspservidor de malware usado para relatórios de desativação de recursos de eventos do sistema e resultado de execução de script
hxxp://files.philbendeck.com/about/<counted string codificado ID>.jspservidor de malware usado para relatórios de tempo de reconexão, suspensão e recebimento de tempo limite do malware