poison ivy: evaluación de daños y extracción de información

Poison Ivy: Evaluación de daños y extracción de información

Fuente: FireEye Labs

Autores: James T. Bennett Ned Moran y Nart Villeneuve

FireEye, Inc. Poison Ivy: Evaluación de daños y extracción de información 1

Índice

Resumen ejecutivo 2

Introducción 3

Análisis técnico 4

Extracción de información 13

Análisis de muestras de Poison Ivy 13

Conclusión 31

Acerca de FireEye 31


Resumen ejecutivoLas herramientas de acceso remoto (RAT, remote access tools) pueden considerarse un campo de entrenamiento para los hackers, como sucede a menudo en los círculos de seguridad de TI. Pero menospreciar esta variedad común de malware podría representar un costoso error. A pesar de su reputación como juguete informático para los aprendices de hackers (conocidos como script kiddies), las RAT siguen siendo una pieza clave de muchos ciberataques sofisticados.

Aunque se precisan pocos conocimientos técnicos para utilizarlas, las RAT ofrecen acceso irrestricto a los equipos comprometidos. Son engañosamente simples: el agresor no tiene más que señalar y hacer clic para abrirse camino en la red de la víctima y robar datos y propiedad intelectual. Pero a menudo se presentan como componente clave de ataques coordinados que utilizan vulnerabilidades de software desconocidas hasta ese momento (de día cero) e inteligentes técnicas de ingeniería social.

Aun cuando los profesionales de la seguridad nieguen la importancia de la amenaza, la presencia de una RAT puede ser indicio de un ataque selectivo conocido como amenaza persistente avanzada (APT). A diferencia del malware diseñado para ciberdelitos oportunistas (perpetrados normalmente mediante redes de bots de máquinas infectadas), las RAT requieren una persona al otro lado del ataque.

Este informe examina Poison Ivy (PIVY), una herramienta de administración remota que conserva su popularidad y eficacia ocho años después su aparición, a pesar de su antigüedad y del conocimiento que se tiene de ella en los círculos de seguridad de TI. Con este estudio, FireEye® lanza simultáneamente Calamine, un conjunto de herramientas gratuitas pensadas para ayudar a las empresas a detectar y examinar infecciones de Poison Ivy en sus sistemas.

Poison Ivy se ha utilizado en varias campañas destacadas de malware, siendo la más célebre el robo de los datos sobre la solución SecurID de RSA en 2011. Ese mismo año, Poison Ivy impulsó un ataque coordinado denominado Nitro, contra fabricantes de productos químicos, organismos públicos, empresas de defensa y grupos en favor de los derechos humanos.

Actualmente son varias las campañas de ciberataques que utilizan Poison Ivy, incluidas las siguientes:

• admin@338: activa desde 2008, esta campaña ataca principalmente al sector de los servicios financieros, aunque también hemos observado actividad en los sectores de telecomunicaciones, gubernamental y defensa.

• th3bug: detectada por primera vez en 2009, esta campaña elige sus objetivos en diversos sectores, fundamentalmente la enseñanza superior y la sanidad.

• menuPass: lanzada también en 2009, esta campaña parece tener su origen en China y estar dirigida a contratistas de defensa estadounidenses y de otros países.

Es fácil comprender por qué Poison Ivy sigue siendo una de las RAT más utilizadas. Se maneja con una interfaz común tipo Windows y ofrece numerosas funciones prácticas: registro de pulsaciones, capturas de pantalla, capturas de video, transferencias de archivos, robo de contraseñas, administración de sistemas, transmisión de tráfico, etc.

Y Poison Ivy está tan extendida que a los profesionales de la seguridad les cuesta más dar con el agresor en los ataques que la emplean.

Esperamos eliminar parte de este anonimato con el paquete Calamine de FireEye. Este paquete, que permite a las empresas controlar fácilmente el comportamiento de Poison Ivy y sus comunicaciones, incluye los siguientes componentes:

• Una herramienta que descodifica las devoluciones de llamada de PIVY (módulo ChopShop)

• Una herramienta que descodifica la memoria de PIVY (secuencia de comandos PyCommand para Immunity Debugger)

ChopShop1 es una nueva infraestructura desarrollada por MITRE Corporation para descodificadores de protocolos basados en red con la que los profesionales de la seguridad pueden comprender los comandos reales que emiten los operadores humanos que controlan los endpoints. El módulo ChopShop de FireEye para PIVY descifra el tráfico de red de Poison Ivy.

1 ChopShop puede descargarse de https://github.com/MITRECND/chopshop.


Por su parte, los comandos PyCommand son secuencias Python que automatizan tareas para Immunity Debugger, una herramienta generalizada de ingeniería inversa para archivos binarios de malware2. La secuencia de comandos PyCommand de FireEye vuelca la información de configuración de un proceso PIVY que está ejecutándose en un endpoint infectado, con lo que puede suministrar datos telemétricos adicionales sobre el agresor.

FireEye comparte las herramientas de Calamine con toda la comunidad de seguridad mediante la licencia BSD simplificada3 para su uso comercial y no comercial en todo el mundo. Las herramientas pueden descargarse en las siguientes direcciones:

• https://github.com/fireeye/pycommands

• https://github.com/fireeye/chopshop

Al rastrear la actividad de los servidores PIVY, los profesionales de la seguridad encontrarán estos indicadores característicos:

• Los dominios y las IP utilizadas para las actividades de comando y control (CnC)

• El mutex (o algoritmo de exclusión mutua) de proceso de PIVY del atacante

• La contraseña de PIVY del atacante

• El código iniciador utilizado en los inyectores de malware

• Una cronología de la actividad del malware

El presente informe explica cómo puede Calamine relacionar estas y otras facetas del ataque. Estos datos resultan especialmente útiles cuando se correlacionan con múltiples ataques que muestran las mismas características identificadoras. La combinación de estos detalles con la información general puede ayudar a trazar el perfil de los agresores y a reforzar las defensas de TI.

Quizá Calamine no pueda detener a los agresores resueltos que utilicen Poison Ivy, pero sí entorpecer en gran medida sus proyectos delictivos.

IntroducciónPoison Ivy es una herramienta de acceso remoto disponible gratuitamente en su sitio web oficial, www.poisonivy-rat.com. Lanzada por primera vez en 2005, esta herramienta no ha sufrido variación alguna desde la versión 2.3.2 de 2008. Poison Ivy incluye funciones comunes a la mayoría de las RAT basadas en Windows, como registro de pulsaciones, capturas de pantalla, capturas de video, transferencias de archivos, administración de sistemas, robo de contraseñas y transmisión de tráfico.

La amplia disponibilidad de Poison Ivy y la facilidad de uso de sus funciones la han convertido en una opción frecuente para todo tipo de delincuentes, pero probablemente tiene más renombre por su papel en muchos ataques selectivos mediante amenazas persistentes avanzadas (APT) que tuvieron gran repercusión mediática.

Estas APT persiguen blancos específicos y utilizan las RAT para mantener una presencia constante en la red de la víctima. Se mueven lateralmente y obtienen cada vez más privilegios para, si el agresor lo desea, extraer información confidencial4,5. Dado que algunas de las RAT que se emplean en ataques selectivos están ampliamente disponibles, puede ser difícil determinar si un ataque forma parte de una campaña APT de mayor envergadura. Resulta igualmente problemático identificar el tráfico malicioso para averiguar las actividades del atacante después de la intrusión y evaluar los daños generales, ya que estas RAT a menudo cifran sus comunicaciones de red tras el exploit inicial.

2 Immunity Debugger está disponible en http://debugger.immunityinc.com/.

3 Para obtener más información sobre la licencia BSD simplificada, consulte la plantilla de Open Source Initiative en http://opensource.org/licenses/BSD-2-Clause.

4 Joe Stewart. "The Sin Digoo Affair" (El caso Sin Digoo), febrero de 2012.

5 Nart Villeneuve. "Trends in Targeted Attacks" (Tendencias de los ataques selectivos), octubre de 2011.


En 2011, tres años después de la última versión de PIVY, los agresores utilizaron esta RAT para comprometer la empresa de seguridad RSA y robar datos sobre su sistema de autenticación SecureID. Los datos se utilizaron después en otros ataques6. El ataque a RSA se asoció a agresores chinos y en aquel momento se consideró extremadamente sofisticado. Aprovechando una vulnerabilidad de tipo día cero, el ataque inyectó PIVY como carga útil7,8 . No se trató de un incidente aislado. La campaña parece que se inició en 2010 y que afectó a muchas otras empresas9.

PIVY también desempeñó un papel crucial en una campaña conocida como Nitro, que en 2011 atacó a fabricantes de productos químicos, organismos públicos, contratistas de defensa y grupos de lucha en favor de los derechos humanos10,11. Todavía activos un año después, en 2012 los responsables de Nitro utilizaron una vulnerabilidad de tipo día cero en Java para desplegar PIVY12. Recientemente, PIVY fue la carga útil de otra vulnerabilidad desconocida en Internet Explorer que comprometía sitios web estratégicos atacando a los visitantes de un sitio web del gobierno estadounidense y otros de naturaleza variada13.

Las RAT exigen que el atacante interaccione directamente con una persona en tiempo real. Esta característica las diferencia claramente del crimeware (malware diseñado para cometer ciberdelitos), en el que el delincuente puede, cuando lo desee, emitir comandos a sus redes de bots en endpoints infectados y activarlos para un objetivo común, como una transmisión de spam. Por el contrario, las RAT son mucho más personales, lo cual puede indicar que se trata de un autor especializado interesado específicamente en una empresa en concreto.

Análisis técnicoGeneración e implantación

El kit generador de Poison Ivy permite a los agresores personalizar y crear su propio servidor PIVY, que se introduce como código móvil en el equipo comprometido, normalmente a base de ingeniería social. Una vez que el servidor se ejecuta en el endpoint de la víctima, se conecta a un cliente PIVY instalado en la máquina del agresor y así este se hace con el control del sistema infectado.

El código del servidor PIVY puede ejecutarse en el endpoint elegido de varias maneras, en función de cómo lo haya configurado el agresor. En las configuraciones más habituales, el código del servidor PIVY se divide en dos partes:

• Código de inicialización y mantenimiento

• Código de conexión en red

El código de inicialización y mantenimiento se inyecta en el proceso explorer.exe en ejecución. Dependiendo de cómo lo configure el agresor, el código de conexión en red inicia un proceso oculto en el navegador web (el predeterminado del sistema) y se inyecta en ese proceso. A continuación, descarga de forma remota (como código shell desde el cliente PIVY del atacante) el resto del código y los datos que necesita para sus funciones. El nuevo código se ejecuta en el endpoint de la víctima en el contexto del proceso seleccionado. Todas las variables globales, los detalles de configuración y los punteros de funciones de PIVY se almacenan en una struct (estructura de datos) tipo C que también se inyecta en los procesos seleccionados, tanto en el código de conexión de red como en el de inicialización y mantenimiento de PIVY.

6 eWeek. "Northrop Grumman, L-3 Communications Hacked via Cloned RSA SecurID Tokens" (Northrop Grumman y L-3 Communications, víctimas de un ataque mediante tokens SecurID clonados de RSA), junio de 2011.

7 RSA FraudAction Research Labs. "Anatomy of an Attack" (Anatomía de un ataque), abril de 2011.

8 CNET. "Attack on RSA used zero-day Flash exploit in Excel" (El ataque a RSA utilizó una vulnerabilidad de tipo día cero de Flash en Excel), abril de 2011.

9 Brian Krebs. "Who Else Was Hit by the RSA Attackers?" (¿Quién más fue víctima de los agresores de RSA?), octubre de 2011.

10 Eric Chien y Gavin O’Gorman. "The Nitro Attacks: Stealing Secrets from the Chemical Industry" (Los ataques Nitro: robo de secretos en la industria química), octubre de 2011.

11 GovCERTUK Computer Emergency Response Team. "Targeted Email Attack Alert" (Alerta de ataque con correo electrónico selectivo), octubre de 2011.

12 Symantec. "Java Zero-Day Used in Targeted Attack Campaign" (Vulnerabilidad de día cero en Java utilizada en campaña de ataques selectivos), agosto de 2012.

13 Yichong Lin. "IE Zero Day is Used in DoL Watering Hole Attack" (Vulnerabilidad de día cero en IE utilizada en ataque "Watering Hole" a DoL), mayo de 2013.


Figura 1: Detalles de configuración del servidor PIVY notificados al cliente PIVY

Como efecto secundario de esta característica distintiva, en el código desensamblado se hace referencia a todas las instrucciones CALL y direcciones de variables globales como desplazamientos a un registro. El código inyectado en explorer.exe es peculiar porque, a diferencia de la mayoría del código que se inyecta con malware, este se inyecta función por función, cada una con su propia región de memoria, e inserta los correspondientes punteros de funciones en su struct. Si se activa la opción "persistence" de PIVY, en explorer.exe también se inyecta un subproceso de vigilancia que reinicia automáticamente el proceso del servidor PIVY si el sistema operativo de la víctima lo finaliza inesperadamente. Si está activada, la función de registro de pulsaciones de PIVY también se inyecta en explorer.exe.

Figura 2: Datos y funciones a los que se hace referencia como desplazamientos en la estructura a la que apunta el registro ESI


Figura 4: El subproceso persistence de explorer.exe puede eliminarse fácilmente desde el proceso de Explorer

Figura 3: Funciones inyectadas en regiones independientes de la memoria en explorer.exe


Protocolo de comando y control

Poison Ivy posee un protocolo de red personalizado y completo sobre TCP. La mayor parte de sus comunicaciones están cifradas con Camellia y una clave de 256 bits14. La clave procede de una contraseña que proporciona el agresor al generar el servidor PIVY. La contraseña, que de forma predeterminada es "admin", puede suministrarse en texto normal o en hexadecimal-ASCII, y se completa con ceros hasta alcanzar 32 bytes (256 bits). La clave se valida al iniciarse la sesión TCP con un algoritmo de challenge-response. El servidor PIVY envía 256 bytes de datos generados aleatoriamente al cliente PIVY que, a su vez, cifra los datos con la clave y los devuelve al servidor PIVY para su validación. Antes de cifrarse, gran parte de los datos que se envían a través de las comunicaciones de PIVY también se comprimen con el algoritmo de compresión LZNT1 de Microsoft15, que PIVY utiliza mediante la API RtlCompressBuffer de Windows. El protocolo envía datos cifrados en bloques que contienen el siguiente encabezado cifrado de 32 bytes:

struct PI_chunk_header {

int command_id; int stream_id; int padded_chunk_size; int chunk_size; int decompressed_chunk_size; long total_stream_size; int padding;};

La estructura de PI_chunk_header se compone de los elementos siguientes:

command_id: este elemento identifica con qué función de PIVY está relacionado el bloque de datos.

stream_id: este elemento identifica a qué secuencia corresponde este flujo. El protocolo de PIVY permite enviar simultáneamente varias secuencias de datos.

padded_chunk_size: dado que Camellia es un cifrado en bloques de 16 bytes, se utilizan bytes de relleno en los encabezados y los bloques de datos.

chunk_size: los bloques se ensamblan en una secuencia de datos que puede ser cualquier cosa, como un archivo transferido, código shell para ejecutar, un archivo de mapa de bits con capturas de pantalla o datos crudos.

decompressed_chunk_size: si este tamaño es diferente del indicado en chunk_size, el bloque se comprime con LZNT1.

total_stream_size: este elemento especifica el tamaño total de los datos que se envían a command_id.

padding: este miembro especifica el relleno con ceros (hasta 32 bytes).

14 Encontrará más información sobre el cifrado desarrollado por NTT en https://info.isl.ntt.co.jp/crypt/eng/camellia/intro.html.

15 Para obtener más información sobre este método de compresión, consulte http://msdn.microsoft.com/en-us/library/jj665697.aspx.


presentación de desafío de 256 bytes

respuesta al desafío con cifrado de 256 bytes

código shell cifrado

número de versión little-endian de 4 bytes

indicador de longitud little-endian de 4 bytes

código shell cifrado

indicador de longitud little-endian de 4 bytes–0x15d0 para v2.3.2 y v2.3.0

Figura 5: Protocolo de comunicación inicial de PIVY

Figura 6: Bloques de datos de PIVY con encabezados

ENCABEZADO

bloquede datos

ENCABEZADO

bloquede datos

ENCABEZADO

bloquede datos

datosensamblados

Descifrar y descomprimir


Módulo ChopShop de Calamine

El descodificador de Poison Ivy de FireEye comprueba el inicio de cada sesión TCP en busca de posibles secuencias de challenge-response de PIVY. Si las encuentra, el módulo intenta validar la respuesta usando una o varias contraseñas suministradas como argumentos. Si no se ha suministrado ninguna contraseña, prueba la predeterminada "admin".

Cuando se trata de una sola contraseña, puede proporcionarse en texto normal o en formato hexadecimal-ASCII. Si se trata de varias, puede especificarse un archivo de texto que contenga contraseñas delimitadas por líneas. Si el descodificador identifica flujos iniciales de PIVY válidos que se basan en una contraseña, descodifica el resto de los flujos correspondientes. Para utilizar el módulo ChopShop de FireEye, es preciso instalar CamCrypt, un envoltorio Python (wrapper) de una implementación en código abierto de la biblioteca de cifrado Camellia16. En cierta medida, el módulo abarca la mayoría de las funciones de PIVY.

Nota: si los flujos de PIVY no se corresponden con ninguna contraseña suministrada, la descodificación falla. Afortunadamente, es fácil encontrar la contraseña personalizada de PIVY si hay un endpoint infectado con PIVY o una copia del código del servidor PIVY, como se explica en el apartado "Localización de la contraseña de PIVY con la secuencia de comandos PyCommand de Calamine".

Notas para el uso de ChopShop de Calamine

El módulo ChopShop de Calamine ofrece las siguientes funciones y opciones:

• La opción -f permite guardar en disco los archivos transferidos a o desde el servidor PIVY.

• La opción -c permite guardar en disco las capturas de webcam, audio, pulsaciones del teclado y pantalla. Las capturas de audio se guardan como datos sin procesar fácilmente convertibles a archivos .wav con herramientas como SoX17. El descodificador imprime la frecuencia de muestreo, el canal y los datos en bits.

• Se muestran los detalles y resultados de las búsquedas de archivos y en el registro.

• Se muestran los detalles de todas las transmisiones de la red de las que se hayan creado instancias.

• Se muestran listas de los puertos activos.

Este módulo permite descodificar en parte las listas de archivos de Windows, del registro y de los servicios, procesos, dispositivos y aplicaciones instaladas. Durante la descodificación del flujo de PIVY, la información que suministra el módulo de forma predeterminada indica que se han cursado solicitudes de listas y, cuando procede, resalta a qué clave o directorio corresponden. Las listas de directorio se imprimen, pero sin detallar los archivos. Cuando el módulo se invoca con la opción -1, todos los datos de las listas devueltas se guardan en un archivo sin formato tal y como los ve el cliente PIVY: una mezcla de cadenas y de datos binarios que describen esas cadenas. Si le interesa ver los detalles de la lista, resulta útil ejecutar la herramienta Strings en volcados del archivo sin formato.

La opción -d es práctica si encuentra un comando no reconocido o desea ampliar la funcionalidad de este descodificador. Imprime volcados hexadecimales de todos los encabezados y secuencias ensambladas en ambas direcciones, lo que ayuda a analizar y generar funciones adicionales de análisis.

16 CamCrypt está disponible en https://code.google.com/p/camcrypt/.

17 SoX está disponible en http://sox.sourceforge.net/.


Localización de la contraseña de PIVY con la secuencia de comandos PyCommand de Calamine

Muchos agresores no modifican la contraseña predeterminada "admin". En estos casos, puede empezar a utilizar el descodificador directamente. Sin embargo, con frecuencia el agresor opta por reforzar la seguridad creando una contraseña única, aunque es fácil recuperarla si se tiene acceso al endpoint infectado con PIVY o al ejecutable del servidor PIVY. La contraseña puede recuperarse de varias maneras, dependiendo de las circunstancias y preferencias.

Si prefiere trabajar con volcados de memoria, Andreas Schuster, experto en análisis forense digital, ha publicado un magnífico complemento Volatility para PIVY18. Volatility vuelca la mayoría de los datos de configuración útiles de PIVY, incluida la contraseña, como se muestra la página del proyecto (http://code.google.com/p/volatility/source/browse/trunk/contrib/plugins/malware/poisonivy.py?r=2833).

Si dispone de un entorno de análisis de malware, la secuencia de comandos PyCommand de Calamine19 para Immunity Debugger es rápida y sencilla.

Siga estos pasos para utilizar PyCommand (los pasos pueden variar en algunas situaciones):

1. Asocie Immunity Debugger al proceso en el que se inyecte PIVY (o al propio proceso de PIVY si este no se inyecta).

2. Defina puntos de interrupción en las funciones send y connect.

3. Ejecute las funciones.

4. Espere a que la ejecución se interrumpa.

5. Ejecute las funciones hasta "return" y salga de ellas.

6. Ejecute PyCommand.

7. Busque los detalles de configuración en los archivos de registro.

Evaluación de daños

Para evaluar con eficacia los daños producidos por un ataque, es necesario reconstruir las actividades del agresor. Según los esfuerzos del agresor por borrar sus pasos, quizá no sea posible reconstruir totalmente sus actividades únicamente con el análisis forense del host. Pero si se recupera la actividad de PIVY en la red, el módulo ChopShop de Calamine puede ayudar a desvelar esta información.

En el ejemplo siguiente, creamos un entorno de prueba y ejecutamos comandos que suelen emplear los agresores cuando han comprometido un sistema con PIVY y se disponen a desplazarse lateralmente. A continuación, utilizando nuestro módulo ChopShop de Calamine, reconstruimos las operaciones que tuvieron lugar.

18 El complemento Volatility está disponible en https://www.volatilesystems.com/default/volatility.

19 Corelan Team. "Starting to write Immunity Debugger PyCommands: my cheatsheet" (Cómo empezar a escribir comandos PyCommands para Immunity Debugger: mi hoja de trucos), enero de 2010.


Lo que ve el responsable de seguridad Lo que ve el agresor

Starting ChopShopInitializing Modules ...Initializing module ‘poisonivy_23x’

Transferred files will be saved..Screen/Cam/Audio/Key captures will be saved..Running Modules ...[2013-07-03 06:46:29 PDT] Poison Ivy Ver-sion:2.32[2013-07-03 06:46:30 PDT]*** Host Informa-tion***PI profile ID: malIP address: 192.168.0.12Hostname: BLUEWindows User: adminWindows Version: Windows XPWindows Build: 2600Service Pack: Service Pack 3

[2013-07-03 06:46:36 PDT] *** Shell Session ***Microsoft Windows XP [Version 5.1.2600](C) Copyright 1985-2001 Microsoft Corp.

C:\>[2013-07-03 06:46:42 PDT] *** Shell Session ***ipconfig

[2013-07-03 06:46:43 PDT] *** Shell Session ***

Windows IP Configuration

Connection-specific DNS Suffix . : IP Address. . . . . . . . . . . . : 192.168.0.15 Subnet Mask . . . . . . . . . . . : 255.255.255.0 Default Gateway . . . . . . . . . : 192.168.0.1

C:\>

[2013-07-03 06:47:23 PDT] inbound file C:\gsecdump.exe [2013-07-03 06:47:46 PDT] saved PI-extracted-inbound-file-1-gsecdump.exe..

[2013-07-03 06:47:46 PDT] *** Shell Session ***gsecdump.exe -a > hash.txt0043B820info: you must run as LocalSystem to dump LSA secrets

[2013-07-03 06:47:46 PDT] *** Shell Session ***

C:\>


Lo que ve el responsable de seguridad Lo que ve el agresor

[2013-07-03 06:47:54 PDT] *** Directory Listing Sent *** AUTOEXEC.BAT boot.ini CONFIG.SYS gsecdump.exe hash.txt IO.SYS MSDOS.SYS NTDETECT.COM ntldr pagefile.sys[2013-07-03 06:48:02 PDT] outbound file C:\hash.txt [2013-07-03 06:48:02 PDT] saved PI-extracted-outbound-file-2-hash.txt..

[2013-07-03 06:48:57 PDT] *** Screen Capture Sent ***PI-extracted-file-3-screenshot.bmp saved..[2013-07-03 06:49:03 PDT] *** Remote Desktop Session ***[2013-07-03 06:49:03 PDT] *** Remote Desktop Session ***Shutting Down Modules ... Shutting Down poisonivy_23xModule Shutdown Complete ...ChopShop Complete

Figura 7: Ejemplo de comandos PIVY y vistas (responsable de seguridad a la izquierda y agresor a la derecha)

Tras la intrusión inicial, los "agresores" ven que pueden atacar a un nuevo endpoint y proceden a:

• Ejecutar comandos básicos, como ipconfig, para reunir información en la red sobre el endpoint.

• Cargar la herramienta de volcado de contraseñas gsecdump (disponible en http://www.truesec.se/sakerhet/verktyg/saakerhet/gsecdump_v2.0b5).

• Volcar los hashes de contraseñas del endpoint en un archivo.

• Descargar un archivo que contiene los hashes de contraseñas desde el endpoint (para descifrarlas offline).

• Obtener una captura de pantalla del escritorio de la víctima.

http://www.truesec.se/sakerhet/verktyg/saakerhet/gsecdump_v2.0b5

http://www.truesec.se/sakerhet/verktyg/saakerhet/gsecdump_v2.0b5


Extracción de información

El término "campaña" es el que mejor describe la actividad de las APT: son una serie de ataques a lo largo del tiempo. Cada ataque de una campaña puede componerse de las siguientes fases20,21,22 :

• Reconocimiento

• Intrusión

• Comando y control

• Movimiento lateral

• Filtración (u otras acciones maliciosas en el blanco elegido)

Todas estas fases permiten obtener información sobre la amenaza y el adversario. Con el tiempo, los profesionales de la seguridad pueden adquirir y analizar las pruebas para determinar si los ataques son acciones de espionaje con malware.

En este tipo de evaluación es preciso conocer los componentes siguientes de un ataque:

• Preferencias de fechas y objetivos

• Vulnerabilidades y malware

• Infraestructura de la red

• Ámbito de las actividades de los agresores dentro de una red infectada (incluidos los datos robados)

• Características de la población elegida como víctima

Para esta evaluación no basta con un mero análisis de malware. Es preciso analizar el aspecto técnico y contextual del incidente y estudiar todas las hipótesis23,24. Estos pasos son importantes porque los investigadores siempre se topan con puntos ciegos: limitaciones para averiguar el alcance geográfico y sectorial de los ataques o los detalles de la actividad del malware en algunas fases de la agresión.

Análisis de muestras de Poison Ivy

Para este análisis recabamos 194 muestras de Poison Ivy utilizadas entre 2008 y 2013 en ataques selectivos. Extrajimos 22 contraseñas diferentes y 148 mutex. También trazamos el mapa de las infraestructuras correspondientes de comando y control, que comprendían 147 dominios y 165 direcciones IP.

Analizamos estas muestras para entender mejor las herramientas, tácticas y procedimientos (TTP, por sus siglas en inglés) de los agresores, examinar sus interconexiones en las campañas y favorecer que los responsables de seguridad protegieran mejor sus redes. Además de agrupar las muestras por indicadores técnicos, como las contraseñas y la información de comando y control extraídas de las muestras, cuando fue posible también analizamos los indicadores contextuales, como las preferencias de los agresores a la hora de elegir a sus víctimas y las trampas de ingeniería social.

20 SANS Computer Forensics. "Security Intelligence: Defining APT Campaigns" (Información sobre seguridad: definición de campañas mediante APT), junio de 2010.

21 SANS Computer Forensics. "Security Intelligence: Attacking the Cyber Kill Chain" (Información sobre seguridad: ofensiva a la cadena de ciberataque), octubre de 2009.

22 Richard Bejtlich. "Incident Phases of Compromise" (Fases de los incidentes de brechas de seguridad), junio de 2009.

23 Richard Bejtlich. "Attribution Is Not Just Malware Analysis" (La atribución no consiste únicamente en analizar el malware), enero de 2010.

24 Jeffrey Carr. "Mandiant APT1 Report Has Critical Analytic Flaws" (El informe Mandiant sobre APT1 contiene fallos analíticos graves), febrero de 2013.


Puerto TCP utilizado Número de muestras de PIVY

443 157

80 104

8080 22

8000 12

1863 7

Mutex de proceso de PIVY Número de muestras de PIVY

)!VoqA.I4 14

K^DJA^#FE 4

KEIVH^#$S 3

%1Sjfhtd8 3

2SF#@R@#! 3

Tabla 1: Puertos TCP que utilizan normalmente las variantes de PIVY en ataques mediante APT

Tabla 2: Mutex de proceso que se observa con frecuencia en las variantes de PIVY asociadas a ataques mediante APT

Cada servidor PIVY (malware que envía el agresor a su objetivo) puede configurarse para conectarse a varios servidores de comando y control a través de cualquier puerto TCP. Por lo tanto, no es inusual ver muestras de PIVY intentando conectarse a varios centros de comando y control en diferentes puertos TCP. Pero los puertos que suelen emplear los ataques selectivos son los destinados al tráfico web, especialmente el 443, el puerto TCP utilizado para tráfico web cifrado con SSL.

El puerto 443 es una elección importante por dos razones. En primer lugar, las defensas del perímetro deben permitir que el tráfico saliente pase a través de este puerto para que los usuarios puedan acceder a sitios web legítimos cifrados con SSL. En segundo, dado que el tráfico del puerto 443 está cifrado, el tráfico igualmente cifrado de PIVY puede mezclarse con la actividad normal de la red. (No obstante, muchas defensas perimetrales con reconocimiento de protocolos pueden detectar e identificar el tráfico de PIVY).


Contraseña de PIVY Número de muestras de PIVY

admin 38

keaidestone 35

menuPass 24

suzuki 14

happyyongzi 13

Tabla 3: Contraseñas habituales de PIVY que se observan en variantes de PIVY asociadas a ataques mediante APT

El agresor puede definir el nombre del mutex de proceso de PIVY durante su generación25. Aunque algunos ataques utilizan el mutex predeterminado )!VoqA.I4, la mayoría crea un mutex personalizado para cada ataque. De los 147 mutex de nuestro conjunto de muestras, 56 estaban diseñados para un solo uso.

Si durante la compilación los agresores crean una contraseña única, en lugar de utilizar la predeterminada "admin" de PIVY, esa contraseña personalizada es el indicador más singular. Aunque con el tiempo los agresores pueden modificar las contraseñas, hemos constatado que a menudo mantienen la misma durante largos periodos de tiempo. Cuando las contraseñas se combinan con los datos de comando y control, proporcionan indicadores exclusivos que sirven para agrupar las actividades relacionadas entre sí.

Agrupación de variables

Para agrupar las actividades de las diferentes campañas de APT de nuestro conjunto de muestras de PIVY, primero dividimos las muestras por infraestructura de comando y control. Utilizando DNS pasivos, agrupamos los nombres de dominio utilizados en función de la dirección IP común resuelta. Como los agresores pueden estacionar sus dominios apuntando a direcciones IP que no necesariamente controlan (y con el fin de explicar otras posibles anomalías en los datos de DNS pasivos), añadimos capas de indicadores adicionales extraídos de las muestras, como contraseñas, mutex, "marcas/códigos"26 de campañas e información de iniciadores27. Con todos estos datos, decidimos centrarnos en tres campañas de APT y en sus correspondientes autores identificados por la contraseña de PIVY utilizada en ataques consecutivos:

• admin@338

• th3bug

• menuPass

Estas campañas se explican en detalle en sus respectivas secciones.

25 Los mutex son objetos de Windows que se utilizan para sincronizar procesos. El malware suele emplearlos para asegurar que en un momento determinado solo se esté ejecutando una instancia del mismo en el sistema infectado.

26 En general, una marca o código de campaña es una cadena designada por el autor de la amenaza que a menudo se incluye como parte de la comunicación del malware o que se incrusta en sus archivos binarios. Sirve para identificar las campañas de ataques selectivos contra un número definido de blancos (normalmente por sector), de modo que el agresor puede mantener organizados los ataques.

27 Los iniciadores son malware creado expresamente para cargar otro malware (carga útil), en general descifrando la carga e inyectándola en un proceso del host en el endpoint de la víctima.


Para delimitar el periodo (en el que probablemente se utilizó la muestra), recurrimos al día de compilación del ejecutable portátil (PE) extraído de las muestras de PIVY y a la fecha en que cada muestra apareció por primera vez en un servicio de análisis de malware como VirusTotal. Todas estas campañas de APT han estado activas desde 2008 hasta 2013.

Campaña 1: admin@338

Nuestro conjunto de datos sobre el autor de admin@338 contiene lo siguiente:

• 21 muestras de Poison Ivy

• 3 contraseñas

• 43 servidores de comando y control

Nuestra primera muestra de admin@338 data del 27 de diciembre de 2009, pero creemos que esta campaña ya se inició el 7 de enero de 2008 con otras contraseñas de PIVY (key@123 y gwx@123). Esta campaña, todavía vigente, tiende a seleccionar entornos financieros económicos y comerciales, pero también tenemos constancia de una importante actividad en los sectores de proveedores de servicios de Internet/telecomunicaciones, gobierno y defensa.

Número de ataques de PIVY por grupo de APT por año

0 10 20 30 40 50 60 70

2009

2008

2010

2011

2012

2013

admin338

menupass

th3bug

Figura 8: Contraseñas habituales de PIVY que se observan en variantes de PIVY asociadas a ataques mediante APT


Figura 9: Porcentaje de ataques del grupo de APT admin@338 por sector

Figura 10: Ejemplo de mensajes de correo electrónico de phishing selectivo enviados por el grupo de APT admin@338

7 %

7 %

Financiero, económicoy comercial

FabricaciónEnergía

IngenieríaTecnología

ConsultoríaSatélites

DefensaMedios de comunicación Proveedores de

servicios de Internet/TelecomunicacionesEducación

Gobierno

Administraciones estatales y locales

Think Tank

41 %

6 %

6 %

3 %

3 %

3 %

6 %

3 % 6 %

3 % 3 %3%

Vector de ataque

El vector de ataque favorito de esta campaña son los mensajes de correo electrónico de phishing selectivo. Estos mensajes, que incluyen contenido de interés para la víctima, están diseñados para incitarla a abrir un archivo adjunto que contiene el código malicioso del servidor PIVY.

El contenido de los mensajes de phishing selectivo y los documentos enviados como señuelo que se abren tras la intrusión suelen estar escritos en inglés, aunque el juego de caracteres del cuerpo del mensaje de la Figura 10 es en realidad el chino (juego de caracteres GB231228).

28 Wikipedia. "GB 2312", febrero de 2013.


Figura 12: Contenido de documentos adjuntos utilizados como señuelo por el grupo de APT admin@338

Armamento

Esta campaña ha utilizado documentos armados de Microsoft Word (CVE-2012-0158)29, Adobe Acrobat PDF (CVE-2009-4324)30 y archivos de ayuda de Microsoft (.HLP) para introducir PIVY en los blancos.

Figura 11: Codificación GB2312 en mensajes de correo electrónico de phishing selectivo enviados por el grupo de APT admin@338

Los documentos señuelo que se abren durante la intrusión suelen llevar contenido contextualmente relacionado tanto con el texto del mensaje de phishing como con los intereses de la víctima. Los documentos son legítimos —aunque armados— y están escritos en inglés.


Además de la contraseña de PIVY utilizada en admin@338, agrupamos los ataques por datos de DNS pasivos para ver qué direcciones IP resolvieron los servidores de comando y control a lo largo del tiempo. Observamos que admin@338, key@123 y gwx@123 comparten algunas direcciones IP.

29 National Institute of Standards and Technology. "Vulnerability Summary for CVE-2012-0158" (Resumen de la vulnerabilidad CVE-2012-0158), abril de 2012.

30 National Institute of Standards and Technology. "Vulnerability Summary for CVE-2009-4324" (Resumen de la vulnerabilidad CVE-2009-4324), diciembre de 2009.


Figura 13: Relaciones de datos sobre el grupo de APT admin@338 (generadas con Maltego Radium)

Podemos vincular la contraseña key@123 con admin@338 estableciendo las siguientes conexiones:

• La muestra 808e21d6efa2884811fbd0adf67fda78, que utiliza key@123, conecta directamente con 219.76.208.163.

• Dos nombres de dominio de comando y control de las muestras 8010cae3e8431bb11ed6dc9acabb93b7, www.webserver.dynssl.com y www.webserver.freetcp.com de admin@338 indicaban esa misma dirección IP (219.76.208.163).

Podemos vincular la contraseña gwx@123 con admin@338 estableciendo las siguientes conexiones:

• La muestra 0323de551aa10ca6221368c4a73732e6, que utiliza gwx@123, conecta con los nombres de dominio de comando y control microsofta.byinter.net, microsoftb.byinter.net, microsoftc.byinter.net y microsofte.byinter.net. Estos nombres de dominio dirigían a 113.10.246.30, 219.90.112.203, 202.65.220.64, 75.126.95.138, 219.90.112.197, 202.65.222.45 y 98.126.148.114.

• La muestra 8010cae3e8431bb11ed6dc9acabb93b7 de admin@338 conecta con los dominios de comando y control www.webserver.fartit.com, www.webserver.freetcp.com y www.webserver.dynssl.com.

• www.webserver.fartit.com dirigía a 113.10.246.30, 219.90.112.203, 202.65.220.64 y 75.126.95.138, algunas de las direcciones IP de gwx@123.

• www.webserver.freetcp.com dirigía a 113.10.246.30, 219.90.112.203, 202.65.220.64, 75.126.95.138, 219.90.112.197 y 202.65.222.45, también direcciones IP de gwx@123.

• www.webserver.dynssl.com dirigía a 113.10.246.30, 219.90.112.203, 75.126.95.138, 219.90.112.197 y 202.65.222.45, las mismas direcciones IP que gwx@123.

Estos datos demuestran una relación entre los autores de estos ataques: en la mayoría de los casos comparten al menos una infraestructura común de comando y control.

Además del historial de resoluciones de DNS, los mutex de proceso de PIVY sugieren una relación entre las contraseñas gwx@123 y admin@338.

www.webserver.freetcp.com

www.webserver.freetcp.com


Aunque los mutex de las muestras de gwx@123, wwwst@Admin y admin@338 eran diferentes, la selección de caracteres del mutex revelaba un patrón similar.

Campaña 2: th3bug

Nuestro conjunto de datos sobre el autor de th3bug contiene lo siguiente:


• 2 contraseñas

• 9 servidores de comando y control

La primera muestra de th3bug que tenemos data del 26 de octubre de 2009. Esta campaña, aún activa, está dirigida a varios sectores, pero parece preferir sus blancos en los sectores de la enseñanza superior y la sanidad.

Figura 14: Vínculos de las muestras de PIVY de admin@338 por contraseña y mutex

3 %

17 %

Educación

Medios de comunicaciónSatélites

DefensaSistemas de control

Administraciones estatales/locales

Contratista aeroespacial

DefensaQuímico

Proveedores de servicios de Internet/Telecomunicaciones

Gobierno

Fabricación

Energía

Servicios financieros

24 %

3 %5 %

3 %

4 %

5 %

7 %

5 %

12 %

5 %

7 %

Figura 15: Porcentaje de ataques del grupo de APT th3bug por sector


Figura 16: Ejemplo de vector de infección inicial del grupo de APT th3bug

RAT DE PUERTA TRASERAse comunica con

dd.tc.ikwb.com:443

Watering Hole: sitios web en chino pirateados• Contiene secuencias de comandos incrustadas con src=http://www.{removed}.net/brm/dd.js

Sitios web religiosos pirateados• Contiene las funciones JS incrustadas doWrite(), setCookie()• Define la cookie ‘Evils=Somethingbbbb’• Vulnerabilidad elegida en función de la versión del navegador (CVE-2013-1288, CVE-2013-0422, CVE-2011-3544)• Reenvía información a – src=http://www.{readacted}.ne t/bfm/ie.html – src=http://www.{readacted}.ne t/bfm/java.html• Código de exploit ROP en función del idioma del navegador (en, ch)/versión de Java• Descarga y ejecuta dd.exe, que se comunica con el sitio web de ventas de videos pirateado

Sitio web de ventas videos pirateado• dd.exe obtiene la carga útil de fase 2 a través de páginas del tipo 404• La carga útil de la fase 2 es Base64 codificado y cifrado con la clave XOR en secuencia• Carga útil descifrada inyectada en iexplorer.exe

31 Thoufique Haq y Yasir Khalid. "Internet Explorer 8 Exploit Found in Watering Hole Campaign Targeting Chinese Dissidents" (Hallada una vulnerabilidad de Internet Explorer 8 en la campaña de tipo "Watering Hole" contra disidentes chinos), marzo de 2013.

Vector de ataque

A diferencia de las otras dos campañas descritas en este informe (admin@338 y menuPass), th3bug no parece aplicar el phishing selectivo para distribuir PIVY, sino que compromete sitios web estratégicos para infectar el blanco. Es un enfoque más indiscriminado, lo que probablemente explica el abanico más amplio de víctimas.

En el blog de FireEye hemos documentado un ataque reciente con th3bug a una web estratégica31.

En el ejemplo siguiente, los autores de la campaña th3bug comprometieron varios sitios web que abastecían a los blancos finales. El agresor utilizó JavaScript inyectado en los sitios web comprometidos para redirigir los blancos a una vulnerabilidad de Internet Explorer que introducía el código móvil de un iniciador/descargador denominado Stage 1. Después, el descargador recuperaba e instalaba una variante de la RAT PIVY.


Armamento

En las campañas relacionadas, th3bug ha utilizado varias vulnerabilidades de Java e Internet Explorer, incluidas CVE-2013-042232, CVE-2013-134733 y CVE-2011-354434.

Figura 17: Ejemplo de código de exploit ROP utilizado por el grupo de APT th3bug

Figura 18: Relaciones de datos sobre el grupo de APT th3bug


32 National Institute of Standards and Technology. "Vulnerability Summary for CVE-2013-0422" (Resumen de la vulnerabilidad CVE-2013-0422), febrero de 2013.

33 National Institute of Standards and Technology. "Vulnerability Summary for CVE-2013-1347" (Resumen de la vulnerabilidad CVE-2013-1347), mai de 2013.

34 National Institute of Standards and Technology. "Vulnerability Summary for CVE-2011-3544" (Resumen de la vulnerabilidad CVE-2011-3544), octubre de 2011.


Múltiples autores distintos han empleado la contraseña predeterminada de PIVY admin, por lo que está claro que no podemos relacionar con th3bug todas las muestras que utilizan esta contraseña. Pero las pruebas indican que en un principio los agresores utilizaron la contraseña predeterminada antes de pasar a th3bug. Como mínimo podemos vincular con la campaña th3bug una muestra de PIVY que utiliza la contraseña admin estableciendo las siguientes conexiones:

• La muestra 8002debc47e04d534b45f7bb7dfcab4d conectaba con kr.iphone.qpoe.com mediante la contraseña de PIVY admin.

• El dominio kr.iphone.qpoe.com dirigía a 180.210.206.96 el 12 de enero de 2012.

• El dominio nkr.iphone.qpoe.com también dirigía a 180.210.206.96 el 3 de enero de 2012.

• El dominio nkr.iphone.qpoe.com dirigía igualmente a 101.78.151.179 el 23 de diciembre de 2011.

• El dominio e.ct.toh.info dirigía a 101.78.151.179 el 12 de junio de 2012.

• La muestra 55a3b2656ceac2ba6257b6e39f4a5b5a conectaba con el dominio ct.toh.info mediante la contraseña de PIVY th3bug.

Hallamos menos muestras de PIVY claramente asociadas a th3bug que en las campañas admin@338 y menuPass. Es probable que esta inferioridad se deba a dos factores.

En primer lugar, th3bug no parece protagonizar un elevado volumen de ataques, tan solo unas cuantas ofensivas anuales a webs estratégicas. En segundo, th3bug se encarga "personalmente" de introducir PIVY, lo que significa que, para obtener la carga útil de segunda fase del servidor PIVY, es preciso observar un ataque en tiempo real.

Figura 19: Relación parcial de datos sobre el grupo de APT th3bug (aumentada)


Campaña 3: menuPass

Nuestro conjunto de datos sobre el autor de menuPass contiene lo siguiente:


• 8 contraseñas

• 61 dominios

• 74 direcciones IP

La primera muestra de menuPass que tenemos data del 14 de diciembre de 2009. Esta muestra (b08694e14a9b966d8033b42b58ab727d) conectaba con un servidor de control en js001.3322.org mediante la contraseña xiaoxiaohuli (en chino, "pequeño zorrito"). Por lo que hemos averiguado, parece que los blancos favoritos del autor de menuPass son los contratistas de defensa estadounidenses y extranjeros.

Defensa

Proveedores de servicios de Internet

Consultoría/Ingeniería

Contratista aeroespacial

Industria pesada

Gobierno

46 %

9 %

9 %

3%

18 %

9 %

9 %

Figura 20: Porcentaje de ataques del grupo de APT menuPass por sector


Vector de ataque

La campaña menuPass parece inclinarse por el phishing selectivo para introducir su carga útil en el blanco seleccionado. El mensaje de correo electrónico de la Figura 21 muestra una tentativa típica de phishing selectivo con menuPass.

Figura 21: Ejemplo de mensajes de correo electrónico de phishing selectivo enviados por el grupo de APT menuPass

Figura 22: Ejemplo de archivos EXE anidados y armados que utiliza el grupo de APT menuPass

Aunque los perpetradores de menuPass han utilizado otras RAT en su campaña, parece que emplean PIVY como su mecanismo de persistencia principal.

Armamento

La campaña menuPass ha empleado documentos armados de Microsoft Word (CVE-2010-3333)35 y archivos ZIP que contienen ejecutables para inyectar PIVY directamente en el blanco. La Figura 22 muestra varios ejecutables introducidos en archivos ZIP adjuntos a mensajes de phishing selectivo de menuPass.

Nombre de archivo Fecha y hora de compilación

MD5

Strategy_Meeting.exe 2012-06-11 04:41:318d6b6e023b4221bae8ed-37bb18407516

Background Consent Form.exe

2012-05-13 22:13:078d769c63427a8ce407d17946702c7626

Doha_Climate_Change_Conference-November_2012.exe

2012-11-13 07:19:03001b8f696b6576798517168cd0a0fb44

35 National Institute of Standards and Technology. "Vulnerability Summary for CVE-2010-3333" (Resumen de la vulnerabilidad CVE-2010-3333), noviembre de 2011.



Los agresores de menuPass tienden a emplear un iniciador que se hace pasar por una aplicación de la biblioteca Microsoft Foundation Class36 utilizando su arquitectura de documento/vista. Este iniciador incluye una copia oculta del servidor PIVY que se extrae y se ejecuta en la memoria poco después de una llamada inútil a la API FindFirstFile. De las 155 muestras de menuPass recopiladas, 81 son aplicaciones MFC con una clase documento. De estos 81 iniciadores MFC, 64 emplean el nombre de clase CBricksDoc. También encontramos estos nombres:

• CMy20130401Doc

• CShellCodeDoc

• CMy20130401Doc

• CPiShellPutDo

• CCrocodileDoc

• CMy20130401Doc

• CStatePattern_GameDoc

• CPiShellPutDoc

• CPIVCDoc

• CMy1124Doc

• CLightGameDoc

• CPiShellPutDoc

Estas muestras estaban ocultas en proyectos tomados de la Web y reutilizados como iniciadores.

La contraseña de PIVY más utilizada en la campaña menuPass es keaidestone (35 muestras), seguida de menuPass (24 muestras). El autor también utilizó las siguientes contraseñas en la misma campaña:

• suzuki

• happyyongzi

• admin

• smallfish

• XGstone

• xiaoxiaohuli

• fishplay

36 Microsoft. "Class Library Overview" (Descripción de la biblioteca de clases), 2013.


Figura 23: Relación parcial de datos sobre el grupo de APT menuPass (con keaidestone aumentada)

Figura 24: Relación parcial de datos sobre el grupo de APT menuPass (con menuPass aumentada)

Varias direcciones IP del bloque Classless Inter-Domain Routing (CIDR) 60.10.1.0/24 han alojado dominios utilizados en la campaña menuPass. Podemos establecer la relación entre las contraseñas keaidestone y XGstone observando las siguientes conexiones en este mismo bloque CIDR /24:

• La IP 60.10.1.120 alojaba el dominio apple.cmdnetview.com.

• La muestra d8c00fed6625e5f8d0b8188a5caac115 conectaba con apple.cmdnetview.com mediante la contraseña XGstone.

• La IP 60.10.1.115 alojaba el dominio autuo.xicp.net.

• La muestra b1deff736b6d12b8d98b485e20d318ea conectaba con autuo.xicp.net mediante la contraseña keaidestone.

• Las muestras b1deff736b6d12b8d98b485e20d318ea y d8c00fed6625e5f8d0b8188a5caac115 también compartían el uso del iniciador CBricksDoc.

• La fecha de compilación de 08709f35581e0958d1ca4e50b7d86dba era el 20 de julio de 2012 y conectaba con tw.2012yearleft.com mediante la contraseña keaidestone. Esta muestra también empleaba el iniciador CBricksDoc.

• 2012yearleft.com fue registrado el 13 de febrero de 2012 por [email protected].

• El dominio cmdnetview.com también fue registrado el 13 de febrero de 2012 por [email protected].


Igualmente, podemos establecer la conexión entre las contraseñas keaidestone y smallfish observando las conexiones en el bloque CIDR 60.10.1.0/24:

• El dominio dedydns.ns01.us dirigía a 60.10.1.121.

• La muestra e84853c0484b02b7518dd683787d04fc conectaba con dedydns.ns01.us mediante la contraseña smallfish y utilizaba el iniciador CBricksDoc.

Podemos establecer la relación entre las contraseñas keaidestone y happyyongzi observando las relaciones en el grupo CIDR 60.10.1.0/24:

• El dominio maofajapa.3322.org dirigía a 60.10.1.121.

• La muestra cf8094c07c15aa394dddd4eca4aa8c8b conectaba con maofajapa.3322.org mediante la contraseña happyyongzi.

La contraseña suzuki puede asociarse a keaidestone al observar las siguientes relaciones:

• La muestra 410eeaa18dbec01a27c5b41753b3c7ed conectaba con send.have8000.com mediante la contraseña suzuki.

• El dominio have8000.com fue registrado el 13 de febrero de 2012 a través de un mensaje de correo electrónico del remitente [email protected].

• El mismo mensaje de [email protected] registró además cmdnetview.com en la misma fecha, el 13 de febrero de 2012.

• Como explicamos anteriormente, la muestra b2dc98caa647e64a2a8105c298218462 conectaba con apple.cmdnetview.com mediante la contraseña XGstone.

Podemos vincular la contraseña menuPass a keaidestone observando las siguientes conexiones:

• La fecha de compilación de 08709f35581e0958d1ca4e50b7d86dba era el 20 de julio de 2012 y conectaba con tw.2012yearleft.com mediante la contraseña keaidestone. Esta muestra también empleaba el iniciador CBricksDoc.

• tw.2012yearleft.com dirigía a 60.10.1.114 el 6 de junio de 2012 y a 60.1.1.114 el 11 de marzo de 2013.

• El dominio fbi.zyns.com dirigía a 60.10.1.118 el 21 de agosto de 2012.

• La fecha de compilación de 68fec995a13762184a2616bda86757f8 era el 25 de marzo de 2012 y conectaba con fbi.zyns.com mediante la contraseña menuPass. Esta muestra también empleaba el iniciador CBricksDoc.

• La fecha de compilación de la muestra 39a59411e7b12236c0b4351168fb47ce era el 2 de abril de 2010 y conectaba con weile3322b.3322.org mediante la contraseña keaidestone. Esta muestra utilizaba el iniciador CPiShellPutDoc.

• La fecha de compilación de la muestra f5315fb4a654087d30c69c768d80f826 era el 21 de mayo de 2010 y conectaba con ngcc.8800.org mediante la contraseña menuPass. Esta muestra también utilizaba el iniciador CPiShellPutDoc.

Podemos establecer la relación entre la contraseña happyyongzi y menuPass observando las siguientes conexiones:

• La muestra e6ca06e9b000933567a8604300094a85 conectaba con el dominio sh.chromeenter.com mediante la contraseña happyyongzi.

• El dominio sh.chromeenter.com dirigía anteriormente a la dirección IP 60.2.148.167.

• El dominio jj.mysecondarydns.com también dirigía a 60.2.148.167.


Al igual que otros agresores, este autor también utilizaba muestras de PIVY con la contraseña predeterminada admin. En este caso tampoco podemos asociar a menuPass todas las muestras de PIVY con la contraseña admin, pero sí podemos establecer la relación entre menuPass y al menos un par de instancias de PIVY con la contraseña admin haciendo las siguientes asociaciones:

• La muestra 56cff0d0e0ce486aa0b9e4bc0bf2a141 se compiló el 31 de agosto de 2011 y conectaba con mf.ddns.info mediante la contraseña menuPass.

• El dominio mf.ddns.info dirigía a 54.241.8.84 el 22 de noviembre de 2012. Esta misma IP también alojaba el dominio av.ddns.us esa misma fecha.

• La muestra 60963553335fa5877bd5f9be9d8b23a6 se compiló el 9 de junio de 2012 y conectaba con av.ddns.us mediante la contraseña admin.

• También varias muestras de menuPass y admin compartían el mismo iniciador CBricksDoc, incluidas, entre otras, 6d989302166ba1709d66f90066c2fd59 y 4bc6cab128f623f34bb97194da21d7b6.

• La muestra 4e84b1448cf96fabe88c623b222057c4 conectaba con jj.mysecondarydns.com mediante la contraseña menuPass.

La contraseña fishplay puede asociarse a menuPass al observar las siguientes relaciones:

• La muestra 494e65cf21ad559fccf3dacdd69acc94 conectaba con mongoles.3322.org mediante la contraseña fishplay.

• El dominio mongoles.3322.org dirigía a 123.183.210.28.

• El dominio a.wubangtu.info también dirigía a 123.183.210.28.

• La muestra a5965b750997dbecec61358d41ac93c7 conectaba con 3q.wubangtu.info mediante la contraseña menuPass.

• Las muestras 494e65cf21ad559fccf3dacdd69acc94 y a5965b750997dbecec61358d41ac93c7 también comparten el mismo iniciador CBricksDoc.

Podemos vincular la contraseña xiaoxiaohuli con menuPass porque comparten el iniciador CPiShellPutDoc:

• La fecha de compilación de f5315fb4a654087d30c69c768d80f826 era el 21 de mayo de 2010 y conectaba con ngcc.8800.org mediante la contraseña menuPass.

• La fecha de compilación de e6ca06e9b000933567a8604300094a85 era el 29 de junio de 2010 y conectaba con sh.chromeenter.com mediante la contraseña happyyongzi.

• Tanto f5315fb4a654087d30c69c768d80f826 como e6ca06e9b000933567a8604300094a85 utilizaban el mismo iniciador CPiShellPutDoc.

Por último, podemos asociar la contraseña happyyongzi con xiaoxiaohuli observando las siguientes relaciones:

• La fecha de compilación de e6ca06e9b000933567a8604300094a85 es el 29 de junio de 2010 y conecta con sh.chromeenter.com mediante la contraseña happyyongzi.

• La fecha de compilación de e62584c9cd15c3fa2b6ed0f3a34688ab es el 28 de diciembre de 2009 y conecta con el dominio js001.3322.org mediante la contraseña xiaoxiaohuli.

• Tanto e6ca06e9b000933567a8604300094a85 como e62584c9cd15c3fa2b6ed0f3a34688ab utilizan el mismo iniciador CPiShellPutDoc.


Figura 25: Relación completa de datos sobre el grupo de APT menuPass

Contraseña Dirección IPva4

Dirección de correo electrónico

Hash

IniciadoresDominio


ConclusiónNo sabemos con certeza por qué los autores responsables de las campañas admin@338, menuPass y th3bug emplean Poison Ivy, pero quizá se deba a sus funciones fáciles de utilizar y al relativo anonimato que proporciona a los agresores el uso de una RAT ya existente.

En comparación con otras RAT, el manejo de PIVY es muy sencillo. Su interfaz gráfica de usuario (GUI) facilita la creación de nuevos servidores y el control de los blancos infectados. Los agresores pueden abrirse camino en una red comprometida y filtrar datos simplemente utilizando el ratón.

Las RAT de consumo también complican los esfuerzos de los profesionales de seguridad por correlacionar las actividades de un autor en el tiempo, ya que los agresores pueden ocultarse en el maremágnum de actividades maliciosas que también emplean malware basado en Poison Ivy.

Al sacar a la luz el papel que desempeñan PIVY y otras RAT de consumo en las campañas de APT, esperamos entorpecer la capacidad de los agresores de ocultarse detrás de estas herramientas estándar... y quizá obligarles a dejar de utilizarlas.

En este informe hemos presentado varias técnicas que los responsables de la seguridad de la red pueden emplear no solo para identificar una infección de PIVY, sino también para clasificar y correlacionar las infecciones detectadas con las actividades de APT observadas anteriormente. En el proceso de generación de sus servidores PIVY, los agresores dejan varias pistas potencialmente útiles, como:

• Los dominios y las direcciones IP utilizadas para las actividades de comando y control

• El mutex de proceso de PIVY elegido

• La contraseña de PIVY elegida

• El código iniciador utilizado en los inyectores

• La cronología de actividad

• Los blancos del ataque

Conjuntamente, todos estos datos pueden ayudar a identificar y correlacionar con eficacia la actividad de las APT que utilizan la herramienta de acceso remoto Poison Ivy.

Acerca de FireEyeFireEye ha inventado una plataforma de seguridad basada en una máquina virtual, de propósito específico, que proporciona protección contra amenazas en tiempo real a empresas y Administraciones en todo el mundo contra la próxima generación de ciberataques. Estos sofisticadísimos ciberataques sortean con facilidad las defensas basadas en firmas, como los firewalls de próxima generación, sistemas de prevención de intrusiones, antivirus y puertas de enlace. La plataforma de FireEye ofrece seguridad contra amenazas dinámicas en tiempo real sin el uso de firmas para proteger a la organización contra los vectores de amenazas principales, como la Web, el correo electrónico y los archivos, en las distintas fases del ciclo de vida de un ataque.

El alma de la plataforma de FireEye es un motor de ejecución virtual, complementado por información dinámica sobre amenazas, para identificar y bloquear ciberataques en tiempo real. FireEye tiene más de 1000 clientes en más de 40 países, incluidas un tercio de las empresas del índice Fortune 100.

FireEye, Inc. | 1440 McCarthy Blvd. Milpitas, CA 95035 | +1 408.321.6300 | [email protected] | www.FireEye.com

© 2013 FireEye, Inc. Reservados todos los derechos. FireEye es una marca comercial registrada de FireEye, Inc. Todas las demás marcas, productos o nombres de servicios son o pueden ser marcas comerciales o marcas de servicios de sus respectivos propietarios. – RPT.PIVY.ES.082013

poison ivy: evaluación de daños y extracción de información

Documents