Malware Analysis
2024-6-11 21:31:56 Author: www.certego.net(查看原文) 阅读量:5 收藏

Authors: Luca Testoni, Marco Giovanetti.

Summary

  1. Introduzione
  2. Contesto di riferimento
  3. Strumenti di analisi utilizzati
  4. Analisi effettuate
  5. IOCs
  6. TTPs
  7. References

1. Introduzione

Nell’attuale contesto della cybersecurity, è sempre più necessario dotare le infrastrutture aziendali di servizi gestiti per il monitoraggio 24/7.

Questo approccio non è solo una misura di sicurezza, ma una vera e propria necessità per garantire una protezione continua e tempestiva contro le minacce informatiche: la sorveglianza costante permette di rilevare e rispondere rapidamente a qualsiasi attività sospetta, minimizzando i rischi di compromissione e perdita di dati.

2. Contesto di riferimento

Recentemente, il nostro Incident Response Team (IRT) ha affrontato un caso interessante che mette in luce l'importanza del monitoraggio 24/7.

Un attaccante è riuscito a compromettere il portale di un sito web di servizi, inserendo al suo interno un modale ingannevole che cercava di persuadere i visitatori a scaricare un finto aggiornamento del browser Chrome.

La trappola era ben congegnata: una volta che l'utente cliccava per procedere al finto aggiornamento, veniva avviata una catena di attacco (kill chain) che portava all’esecuzione di un malware di tipo infostealer sul client della vittima. Questa tecnica di attacco, nota come "Fake Update"[1], è progettata per rubare informazioni sensibili dall'utente ignaro.

Chrome Screenshot

Chrome Screenshot2

Dettagli del modale malevolo che innesca la kill chain

In rete è anche possibile trovare un riferimento alla kill chain ricostruita in questo incidente di sicurezza.

Questo report ha l'obiettivo di delineare lo sviluppo dell’incidente e le necessarie contromisure da adottare.

Analizzare ogni fase dell'attacco ci permette non solo di capire le modalità di compromissione, ma anche di affinare continuamente le nostre tecniche di difesa per garantire una protezione sempre più efficace ai nostri clienti.

3. Strumenti di analisi utilizzati

Al fine di svolgere un’analisi esaustiva, sono stati utilizzati i seguenti strumenti:

Sandbox Windows 10, impiegata come macchina virtuale per analizzare il comportamento del payload individuato.

Questo approccio ci ha permesso di osservare in un ambiente controllato e sicuro come il malware agisse una volta eseguito, fornendoci informazioni cruciali per comprendere la minaccia e aggiornare opportunamente i sistemi di difesa per neutralizzare in futuro la minaccia stessa.

4. Analisi effetuate

Il team di Incident Response di Certego ha proceduto, in prima istanza, a effettuare l’analisi dei payload scaricabili da un utente vittima sotto forma di script PowerShell offuscato, per iniziare a ricostruire la kill chain dell’attacco. A seguito dell’analisi degli script, sono state condotte ulteriori indagini sul portale istituzionale al fine di identificare la vulnerabilità sfruttata dagli attaccanti, che ha permesso loro di caricare il modale del fake update indicato precedentemente. Infine, è stato esaminato l’intero codice della web app per capire come il sito sia stato compromesso.

4.1 Kill Chain

Il primo payload in PowerShell analizzato si occupa di effettuare una richiesta HTTP al dominio rtattack[.]baqebei1[.]online con l’obiettivo di scaricare il secondo stage del malware sulla macchina vittima:

Kill Chain1

Successivamente all’esecuzione, viene scaricato un secondo script PowerShell. Il suo codice offuscato è costituito da varie funzioni; di seguito elencate:

  • La prima funzione (function G) agisce da "virtual machine evasion": lo script verifica se è in esecuzione su una macchina virtuale o su una macchina fisica. Per determinare se si trova all'interno di una macchina fisica, vengono controllati i sensori di temperatura, che non sono presenti in una macchina virtuale. Se la verifica fallisce, lo script si chiude senza compiere alcuna azione.

Kill Chain2

Dettaglio della function G.

  • Le funzioni di seguito riportate, si occupano della decifratura dello script e dello scaricamento del malware vero e proprio:

Kill Chain3

Kill Chain4

Per le analisi di contesto, è stata eliminata la funzione di “VM Evasion”; in questo modo è stato possibile effettuare il download del terzo stage dell’attacco, un file compresso contenente un malware di tipo infostealer. Lo script PowerShell scarica il file, decomprime l’archivio ed esegue il malware.

L'Infostealer, successivamente, effettua una “code injection” in processi già in esecuzione e leciti, sovrascrivendo la loro memoria per evitare di essere intercettato dai software antivirus. Il malware tenta di estrarre le credenziali salvate in memoria e di inviarle tramite una chiamata HTTP di tipo POST al dominio cdnforfiles[.]xyz.

La kill chain è stata ricostruita attraverso l’analisi dei vari redirect e payload:

  1. In primis, vi è stata la violazione del sito istituzionale e conseguente inserimento di un fake update di Chrome;
  2. Cliccando sul fake update viene eseguito uno script PowerShell, offuscato in base64, che redirige al dominio rtattack[.]baqebei1[.]online;
  3. Da quel dominio viene scaricato un secondo payload sotto forma di script PowerShell, cifrato usando l’algoritmo AES128, che esegue il download del malware vero e proprio;
  4. Viene scaricato il payload data.zip che contiene un malware di tipo infostealer, immediatamente eseguito;
  5. L’infostealer, eseguendo una code injection in processi leciti, come ad esempio “searchindexer.exe”, ruba le credenziali di accesso ed effettua una chiamata HTTP di tipo POST verso il dominio cdnforfiles[.]xyz.

Kill Chain5

Dettaglio delle connessioni eseguite nell’arco dell’esecuzione della kill chain

Kill Chain6

Dettaglio delle attività malevole eseguite dal malware e identificate dall’antivirus

4.2 Analisi dell'applicazione web

Attraverso lo strumento “developer console” del browser è possibile verificare che il modale viene caricato dal seguente sito esterno: “d1x9q8w2e4[.]xyz

L’url viene contattato attraverso l’esecuzione di codice Javascript, offuscato in base64, ogni volta che una pagina del sito viene visualizzata nel browser.

Di seguito riportiamo il codice malevolo:

Codice malevolo

Si può notare la presenza di una funzione (cjs()) che, una volta deoffuscata, rivela la presenza di comandi per il caricamento di elementi HTML nascosti alla vista del navigatore; questi elementi effettuano chiamate HTTP verso due URL:

Codice malevolo2

Codice malevolo3

Dettaglio del traffico network prodotto dal portale durante l’esecuzione del codice malevolo

All’interno del secondo URL, si scopre un ulteriore Javascript, riportato di seguito:

Codice malevolo4

Codice malevolo5

Quest’ultimo snippet di codice crea il modale malevolo. Se lo eseguiamo nella console di sviluppo del browser, è possibile far comparire il modale in qualsiasi pagina si stia navigando.

Codice malevolo4

Dettaglio dell’esecuzione del codice malevolo sulla homepage di Google

Una ricerca del codice Javascript offuscato, all’interno dei vari file della web app, ci ha consentito di scoprire che tale codice è stato iniettato all'interno del file “/site/wwwroot/wp-includes/theme.php”.

Codice malevolo6

5. IOCs

Tipo Nome Hash (SHA256)
URL cdnforfiles[.]xyz N/A
URL rtattack[.]baqebei1[.]online N/A
URL bsc-dataseed1[.]binance[.]org N/A
URL d1x9q8w2e[4.]xyz N/A
Archivio compromesso data.zip e3322159f52e849fe6e5dd0d264e591b6361ee4d08ec81b490b875e41b60ca2
Eseguibile malevolo Winnc.exe 34a31ce56c97fdc7a5db20c1dec741830c75d97b87c11c1658754419213ff6d7


6. TTPss

Di seguito viene riportata la lista delle Tattiche, Tecniche e Procedure (TTP) effettuate dall’attaccante e osservate nelle analisi effettuate:

ID Nome
T1659 Content Injection
T1059.001 PowerShell
T1555 Credentials from Password Stores
T1055 Process Injection


7. References

Grazie!


文章来源: https://www.certego.net/blog/malware-analysis-fake-update-google-chrome-utilizzato-per-distribuire-infostealer-sfruttando-siti-wordpress/
如有侵权请联系:admin#unsafe.sh