viernes, 16 de febrero de 2018

HIDDEN COBRA - Análisis técnico de Herramienta de Administración Remota (RAT) FALLCHILL





QUE ES UN RAT?

RAT (Remote Administration Tool) herramientas que son utilizadas para administrar remotamente algún tipo de sistema. Estas aplicaciones pueden ser legítimas o no y pueden ser utilizadas con o sin autorización del usuario.

Y en este caso habalremos de una de las utielrias que son usadas por el grupo LAZAROUS que es perteneciente  a corel del norte y que esta catalogado dentro la investigacion del FBI  con el nombre de HIDDEN COBRA.

DESCRIPCIÓNDe acuerdo con los informes confiables de terceros, los miembros de HIDDEN COBRA probablemente usaron el malware FALLCHILL desde 2016 para apuntar a las industrias aeroespacial, de telecomunicaciones y financiera.  

El malware es una RAT completamente funcional con múltiples comandos que los hacker´s pueden emitir desde un servidor de comando y control al sistema de la víctima a través de dos servidores proxy.  

FALLCHILL típicamente infecta un sistema como un archivo que se cae por otro malware HIDDEN COBRA o como un archivo descargado sin saberlo por los usuarios cuando visitan sitios comprometidos por los hacker´s de HIDDEN COBRA una vez comprometidos los sitios estos usan una herramienta externa o DROPPER para instalar el malware como servicio FALLCHILL para establecer la persistencia. Debido a esto, el malware HIDDEN COBRA adicional puede estar presente en sistemas comprometidos con FALLCHILL.Durante el análisis de la infraestructura utilizada por el malware FALLCHILL, el gobierno de EE. UU. Identificó 83 nodos de red. Además, al utilizar la información de registro disponible públicamente, el gobierno de EE. UU. Identificó los países en los que se registraron las direcciones IP infectadas.


FALLCHILL es el componente principal de una infraestructura C2 que utiliza múltiples proxies para ocultar el tráfico de red entre los HACKER´S de HIDDEN COBRA y el sistema de la víctima. De acuerdo con los informes confiables de terceros, la comunicación fluye desde el sistema de la víctima a los actores ocultos de COBRA utilizando una serie de proxies, como se muestra en la figura 1.


Figura 1. Flujo de comunicación de HIDDEN COBRA FALCHILLFALLCHILL utiliza comunicaciones falsas de Seguridad de la capa de transporte (TLS), codificando los datos con encriptación RC4 con la siguiente clave:

 [0d 06 09 2a 86 48 86 f7 0d 01 01 01 05 00 03 82] 


Despues FALLCHILL recolecta información básica del sistema y envía paquetes a la siguiente conexiónm, entre la información que recolecta esta la siguiente:
  •     Información de la versión del sistema operativo (SO),
  •     Información del procesador,
  •     Nombre del sistema,
  •     Información de la dirección IP local,
  •     ID generada única, y
  •     Dirección de control de acceso a medios (MAC).

FUNCIONES INTEGRADAS EN FALCHILL


FALLCHILL contiene las siguientes funciones integradas para operaciones remotas que proporcionan varias capacidades en el sistema de la víctima:
  •     Recuperar información sobre todos los discos instalados, incluido el tipo de disco y la cantidad de espacio libre en el disco;
  •     Crear, iniciar y terminar un nuevo proceso y su hilo principal;
  •     Buscar, leer, escribir, mover y ejecutar archivos;
  •     Obtener y modificar marcas de tiempo de archivos o directorios;
  •     Cambiar el directorio actual para un proceso o archivo; y
  •     Eliminar malware y artefactos asociados con el malware del sistema infectado. 

DETECCIÓN Y RESPUESTA A FALCHILL
 El DHS y el FBI recomiendan que los administradores de red revisen la información provista, identifiquen si alguna de las direcciones IP provistas cae dentro del espacio de direcciones IP asignadas a sus organizaciones, y si se encuentran, tomen las medidas necesarias para eliminar el malware.

Al revisar los registros del perímetro de la red para las direcciones IP, las organizaciones pueden encontrar instancias de estas direcciones IP que intentan conectarse a sus sistemas. Al revisar el tráfico de estas direcciones IP, los propietarios del sistema pueden encontrar que el tráfico se relaciona con actividad maliciosa y que parte del tráfico se relaciona con la actividad legítima.


FIRMAS DE RED O NETWORK SIGNATURES DE IDENTIFICACIÓN DE FALCHILL 


alert tcp any any -> any any (msg:"Malicious SSL 01 Detected";content:"|17 03 01 00 08|";  pcre:"/\x17\x03\x01\x00\x08.{4}\x04\x88\x4d\x76/"; rev:1; sid:2;)
_________________________________________________________________________
alert tcp any any -> any any (msg:"Malicious SSL 02 Detected";content:"|17 03 01 00 08|";  pcre:"/\x17\x03\x01\x00\x08.{4}\x06\x88\x4d\x76/"; rev:1; sid:3;)
__________________________________________________________________________
alert tcp any any -> any any (msg:"Malicious SSL 03 Detected";content:"|17 03 01 00 08|";  pcre:"/\x17\x03\x01\x00\x08.{4}\xb2\x63\x70\x7b/"; rev:1; sid:4;)
__________________________________________________________________________
alert tcp any any -> any any (msg:"Malicious SSL 04 Detected";content:"|17 03 01 00 08|";  pcre:"/\x17\x03\x01\x00\x08.{4}\xb0\x63\x70\x7b/"; rev:1; sid:5;)
_________________________________________________________________________

YARA RULES
---------------
Las siguientes reglas fueron provistas al NCCIC por un tercero de confianza con el propósito de ayudar en la identificación del malware asociado.

ESTE MATERIAL DHS / NCCIC SE SUMINISTRA "TAL CUAL". Estas reglas han sido probadas y determinadas para funcionar eficazmente en un entorno de laboratorio, pero no tenemos manera de saber si pueden funcionar de manera diferente en una red de producción. Se anima a cualquiera que use estas reglas a probarlaS.



rule rc4_stack_key_fallchill
{
meta:
    description = "rc4_stack_key"
strings:
    $stack_key = { 0d 06 09 2a ?? ?? ?? ?? 86 48 86 f7 ?? ?? ?? ?? 0d 01 01 01 ?? ?? ?? ?? 05 00 03 82 41 8b c9 41 8b d1 49 8b 40 08 48 ff c2 88 4c 02 ff ff c1 81 f9 00 01 00 00 7c eb }
condition:
    (uint16(0) == 0x5A4D and uint16(uint32(0x3c)) == 0x4550) and $stack_key
}

rule success_fail_codes_fallchill
{
meta:
    description = "success_fail_codes"
strings:
    $s0 = { 68 7a 34 12 00 }
    $s1 = { ba 7a 34 12 00 }
    $f0 = { 68 5c 34 12 00 }
    $f1 = { ba 5c 34 12 00 }
condition:
    (uint16(0) == 0x5A4D and uint16(uint32(0x3c)) == 0x4550) and (($s0 and $f0) or ($s1 and $f1))
}

__________________________________________________________________


 IMPACTO

Una intrusión de red exitosa puede tener impactos severos, particularmente si el compromiso se hace público y la información sensible queda expuesta. Los posibles impactos incluyen:
  • Pérdida temporal o permanente de información confidencial o de propiedad exclusiva.
  • Interrupción de las operaciones regulares,
  • Pérdidas financieras incurridas para restaurar sistemas y archivos, y
  • Daño potencial a la reputación de una organización.

IP´S IDENTIFICADAS EN UNA VARIANTE DE FALCHILL

10.10.30.110
175.100.189.174
125.212.132.222


DETALLES PE
  • Nombre: E48FE20EB1F5A5887F2AC631FED9ED63 
  • Tamaño:   94208
  • Tipo: PE32 executable (GUI) Intel 80386, for MS Windows 
  • MD5:  e48fe20eb1f5a5887f2ac631fed9ed63 
  • SHA1: f83f30bd284074d1daaf2e262a280ca780791f2c 
  • ssdeep: 1536:qJhDLw1yDhhzoN/e/C/O/C/a/D/I26251K06Zk/XrqqitM4NvL:qvfw1ahEVOS+Sq7IN251ikzq5tM4NvL 
  • Entropy: 5.49321665686 

FECHA DE COMPILACIÓN DEL PORTABLE EJECUTABLE (PE)

2016-03-30T04:26:15Z  


COMPILADOR DEL PE

Microsoft Visual C++ v6.0
SECCIONES ENCONTRADAS DEL PORTABLE EJECUTABLE




FALCHILL es un ejecutable PE32 malicioso que permite a un operador  o un servidor para realizar varias operaciones remotas.

El malware contiene API codificadas funciones, RC4 encadenas codificadas con XOR y codificadas. Cuando es ejecutado, el malware XOR decodificará y RC4 descifra sus cadenas.

 
A continuación se muestra la clave codificada RC4 utilizada para descifrar datos y cadenas:


--Begin Key--
0D 06 09 2A 86 48 86 F7 0D 01 01 01 05 00 03 82
--End Key--
Displayed below are decrypted strings of interest:
--Begin strings--
"5mkfJY7kjmHcj4jlxG6jhsdRT7Faw7fj"
"CMUPD.bat"
"CMA25C.tmp"
"Software\\Microsoft\\Windows\\CurrentVersion\\Run"
"443"
"125.212.132.222"
"175.100.189.174"
"1992"
"10.10.30.110"
--End strings-
---------------------------------------------
ESTOS SON ALGUNOS DETALEES DE ESTA UTILERIA QUE PRESUMIBLEMENTE ES USADA PARA ATAQUES REMOTOS.
para mas información detallada contactarme. 
LI. RODOLFO H. BAZ
WWW.RODOLFOHBAZ.NET 
https://www.us-cert.gov/sites/default/files/publications/MAR-10135536-A_WHITE_S508C.pdf





 

No hay comentarios:

Publicar un comentario

Crowdstrike -> Solución de errores de actualización de CrowdStrike con BitLocker habilitado

En este pequeño articulo ver como componer el problema de CROWDSTRIKE cuando esta habilitado el BITLOCKER, cabe resaltar que puede ser una e...