El Ladrón de Babax cambia su nombre a Osno e instala rootkit

Babax no solo cambia su nombre, sino que también agrega un rootkit Ring 3 y capacidades de propagación lateral. Además, tiene un componente de ransomware llamado OsnoLocker. ¿Es esta combinación tan peligrosa como parece?

Aparición de Babax y Osno

El ladrón de Babax existe al menos desde junio de 2019. En ese momento, un usuario llamado ForlayPy regaló el código fuente de forma gratuita después de no estar satisfecho con un cliente al que le vendió la fuente.

Un colega descubrió la primera muestra de un ladrón de Osno [1] el 5 de octubre de 2020. La muestra [1] es un ensamblado .NET empaquetado con el nombre de módulo FallGuysStats . El nombre del módulo indica que está usando un generador de estadísticas para el juego Fall Guys de Steam como señuelo. La configuración muestra la versión Osno 2.1.5 y tiene marcadores de posición para algunas de las funciones, incluida la configuración de FTP y Telegram.

A finales de octubre, el investigador @ backsla3h señaló que el ladrón se vende en foros . La comparación de publicidad de Babax y Osno muestra no sólo un aumento de precio sino también cuatro características más o “Beneficios” para Osno: r77 y difusión de red, Anti-AV y evasión de WindowsDefender a través de lista de permisos, AnarchyGrabber y registros de micrófono. Además, hay un módulo de ransomware que no se anuncia (todavía). La mayoría de estas funciones se describen en las siguientes secciones.

Rootkit r77

Aunque el anuncio llama a esto un exploit, en realidad es un rootkit de código abierto por bytecode77. El repositorio de Github proporciona DLL para este rootkit, así como un instalador. Osno hace la instalación él mismo. Al igual que el instalador de rootkit, Osno registra la DLL de rootkit en AppInit_DLLs y habilita LoadAppInit_DLLs para que se cargue con cada proceso. Debido a que las DLL de rookit no están firmadas, establece RequireSignedAppInit_DLLs en 0.

El rootkit usa MinHook para redirigir las llamadas WinAPI, de modo que oculta los procesos y los nombres de los archivos, por ejemplo, del explorador y del administrador de tareas. Los binarios de prueba de concepto para el rootkit ocultan archivos y procesos que comienzan con “$ 77”. Dado que Osno usa los binarios de prueba de concepto, necesita agregar el prefijo “$ 77” a sus propios archivos para que funcione.

El README.md de Github para r77 indica que el rootkit todavía está en progreso. Debido a eso, ocultar archivos para x86 es actualmente inestable y está deshabilitado en los archivos de prueba de concepto.

La imagen tiene un atributo ALT vacío; su nombre de archivo es image-26.png

Movimiento lateral a través de SharpExec

Osno recopila todas las direcciones IP accesibles en la red local y luego descarga los binarios SharpExec de Github. SharpExec es una herramienta con varios comandos para el movimiento lateral. Osno ejecuta el siguiente comando para cada IP y dominio recopilados:

El archivo gpustats.bx contiene la ruta al ejecutable de Osno. Este comando intenta cargar Osno a la IP dada en la carpeta% TEMP% y lo ejecuta. De esa manera, Osno puede propagarse a todas las computadoras accesibles dentro de la red.

Anti-AV

Las siguientes funciones Anti-AV son las de la muestra de Osnoe descomprimida [2] . El talón del empaquetador en sí también tiene Anti-AV que está más allá del alcance de este artículo.

Windows Defender

Osno agrega su propia ruta y la raíz de la unidad C: como carpeta de exclusión para Windows Defender usando los siguientes comandos de PowerShell:

Esto solo puede tener éxito si el malware ya se ha afianzado en el sistema y ha obtenido privilegios de administrador.

Otros AV

Osno busca títulos de Windows y nombres de procesos para matar los procesos del software antivirus. Hace esto para los siguientes títulos de ventana y nombres de procesos:

  • Título de la ventana “Malwarebytes Anti-Malware” y nombre del proceso, ya sea mbamgui o mbam
  • Nombres de proceso: avgidsagent, avgfws, avgtray, avgemcx, avgwdsvc, avgnsx, avgcsrvx, avgrsx, Toolbar Updater

Eso significa que solo Malwarebytes Anti-Malware y AVG se ven afectados.

Osno ransomware es un limpiador

Osno ransomware, o OsnoLocker como se llama en el código, tiene una implementación para XXTEA . Sin embargo, no se utiliza en la muestra actual. En su lugar, sobrescribe el contenido original de los archivos con un marcador. El marcador es la cadena “OsnoRansom” adjuntada por una cadena creada aleatoriamente de 50 a 200 caracteres de longitud que consta de letras mayúsculas de la A a la Z y dígitos del 0 al 9. Descrito como una expresión regular, sería ^ OsnoRansom ([A-Z0-9]) {50,200} $ . La cadena creada aleatoriamente será diferente para cada archivo afectado.

OsnoLocker agrega el .osnoed extensión a estos archivos.

OsnoLocker coloca un mensaje de rescate en un archivo llamado RecInstruct.osnoned (¡sic!). Se procede a escribir un ejecutable en el disco llamado Osno Decryptor.exe [3] cuyo propósito es bloquear la pantalla, mostrar el mensaje de rescate que se colocó en RecInstruct.osnoned y solicitar un código de descifrado. Este Osno Decryptor.exe tiene el nombre de módulo FakeRansomware .

Osno es un limpiador en su forma actual y el pago no ayudará a recuperar ningún archivo. Sin embargo, la recuperación de archivos a través de copias instantáneas de volúmenes puede funcionar. Las versiones futuras de Osno podrían usar XXTEA ya implementado para cifrar archivos.

AnarchyGrabber y otras herramientas copiadas

Osno Stealer implementa el código de AnarchyGrabber 3. Un artículo de Bleepingcomputer describe las características adicionales de la última versión de AnarchyGrabber. Al igual que esa versión, Osno obligará a Discord a cargar archivos JScript inject.js y discordmod.js . Para hacer eso, coloca los archivos JScript en la carpeta% AppData% \ Discord \ <version> \ modules \ discord_desktop_core \ osno . Discord entonces actuará como un ladrón.

Otra herramienta que utiliza esta muestra de Osno es Da pure C ++ Clipper [4] . Un binario nativo para clipbanking.

Además, @ backsla3h señaló que el método RunPE y el código de detección de VM / Debugger / Sandbox se toman de CSharp-RunPE y AntiAnalysis de NYAN-x-CAT .

Así que ya hemos identificado seis fuentes y herramientas copiadas diferentes que implementa Osno: SharpExec, AnarchyGrabber, Da Pure C ++ Clipper, CSharp-RunPE, Anti-Analysis, r77 rootkit. Es probable que haya más fuentes copiadas en esas funciones que no miré, ya que están más allá del alcance de este artículo.

Conclusión

Osno ya no es solo un ladrón. Aunque ese sigue siendo el enfoque principal, las capacidades agregadas representan una amenaza más seria, especialmente el acceso RDP, el movimiento lateral y la destrucción de archivos.

Sin embargo, nada de eso parece particularmente aterrador.

En primer lugar, la mayoría de las características que suenan serias solo son posibles después de que el malware accedió con éxito al sistema y obtuvo privilegios de administrador. Eso incluye el rootkit y el anti-AV. La porción de movimiento lateral depende de una herramienta externa que debe descargarse primero. Solo tiene éxito si los administradores de red ignoran todas las medidas de seguridad, por lo que es poco probable que provoquen brotes graves.

En segundo lugar, muchas de las funciones del ladrón se han extraído de los repositorios públicos y los defensores las conocen, lo que facilita la detección del malware. Osno parece haber trabajado en torno a algunas de esas herramientas. Por ejemplo, usa los binarios de rootkit r77 tal cual, aunque están inacabados y solo funcionan con inconvenientes. Osno cambia el nombre de sus archivos para que funcionen para los binarios de rootkit en lugar de implementar un rootkit que funcione para los archivos de Osno.

El ransomware, que puede haber sido autoimplementado, parece no estar terminado todavía, lo que se confirma por la existencia de un código XXTEA no implementado y el hecho de que esta función no se anuncia. Es probable que las versiones posteriores usen cifrado en lugar de destruir archivos.

Debido a la mezcolanza de código de fuente abierta y herramientas de otro malware, Osno se describe mejor como un monstruo de Frankenstein de retazos.

Indicadores de compromiso

Enlace: https://www.gdatasoftware.com/blog/2020/11/36459-babax-stealer-rebrands-to-osno-installs-rootkit  Blog De G DATA