ServHelper Mineros Ocultos

Siempre es una buena idea tener múltiples opciones cuando se trata de obtener ganancias. Esto es especialmente cierto para los delincuentes. Tener una puerta trasera es bueno, pero tener un sistema de puerta trasera que genere dinero directamente es aún mejor.

El malware de puerta trasera es un componente crucial de la mayoría de los ataques persistentes por su capacidad de causar más daño a un sistema infiltrado. Dado que permite a los actores de amenazas tener acceso a un sistema infectado, les brinda posibilidades de movimientos laterales a lo largo de la red, despliegue de otros componentes maliciosos e incluso comunicación directa y conexión con ellos.

Visto por primera vez durante el tercer trimestre de 2018, una puerta trasera llamada ServHelper que está asociada con el grupo de piratería TA505 se ha visto dirigida a los sectores financiero y minorista. Con la ayuda de esta puerta trasera, les permitió instalar e implementar otro malware como Information Stealers (Predator Stealer) y Troyanos de acceso remoto (RAT) (FlawedAmmy, NetSupport). Y en enero de 2020, encontramos una nueva variante que es fácilmente capaz de instalar un CryptoMiner incluido. Este minero está oculto dentro del sistema infectado a través de un entorno virtualizado generado.

Función de llegada y cargador

Esta variante se compila y entrega como un instalador de NSIS (Nullsoft Scriptable Install System) que generalmente llega a su destino como un archivo adjunto en un correo electrónico que atrae a la víctima para que lo abra. Este accesorio sirve como cargador para los instaladores que se soltarán y cargarán.

Tras la ejecución, el cargador comprobará si se está ejecutando en un entorno virtualizado. Esta técnica de evasión y anti-análisis le permite detectar si se está ejecutando en entornos sandbox o una herramienta de análisis que normalmente se ejecuta en un entorno virtualizado. Para ello, comprueba la presencia de un archivo, C: \ aaa_TouchMeNot_.txt , que es un archivo de prueba legítimo de Windows Defender que está presente si está instalado en un entorno virtualizado.

Si el archivo está presente, la instalación se detendrá

Descripción general de la instalación de ServHelper

A medida que avanza, ejecutará un archivo de script de PowerShell llamado upgrade.ps1 contenido en el directorio temporal del instalador de NSIS ($ temp).

El script de PowerShell ejecutado descifrará e invocará al instalador principal de ServHelper. El comando de PowerShell se cifró con una combinación de codificación Base64 y algoritmo Triple DES. Esto proporciona una seguridad adicional frente a la visualización de los comandos del shell en texto plano y contribuye a la dificultad de descifrar manualmente el shell. La técnica también ha sido utilizada por otros exploits de Powershell como PowerSploit.

Después de descifrar, usará IEX (Invoke Expression) que le permitirá evaluar y ejecutar el comando. Este comando llama al instalador principal de ServHelper y su CryptoMiner incluido.

Detección de entorno virtual a través del archivo de prueba de Windows Defender

Preparación de cadenas para ejecutar el archivo de script de PowerShell

Instalador de ServHelper

Después de las comprobaciones iniciales realizadas por el cargador, realizará otro conjunto de verificación que garantizará que el sistema de destino pueda realizar su instalación completa. Lo hace con las siguientes comprobaciones:

  1. Compruebe si la instancia en ejecución tiene privilegios de administrador.
    1. Para ello, verifica la clase WindowsIdentity y busca el SID “S-1-5-32-544”, una identificación que indica que el usuario tiene privilegios de administrador.
    2. Si la instancia en ejecución de PowerShell no está en el nivel de administrador, el instalador intentará escalar los privilegios mediante el secuestro de DLL con el uso de Fubuki del proyecto UACME.

UACME es una colección de herramientas diseñadas para eludir el Control de acceso de usuario (UAC) de Windows y otorgar al usuario privilegios de administrador local. Está disponible a través de GitHub y es comúnmente utilizado por los probadores de penetración con fines de investigación. La escalada de privilegios permite la implementación y la instalación de sus otros componentes.

El secuestro se realizó a través de Fubuki junto con los componentes vulnerables de Windows “Sysprep.exe” y “Wusa.exe”. Esta vulnerabilidad se descubrió por primera vez en 2017 en Windows 7 Build 7600 y ya se ha corregido en Windows 10 TH1 Build 10147. Más allá de la versión fija, la instalación solo continuará si el usuario tiene privilegios de administrador.

  1. Compruebe si el tamaño de la memoria de solo lectura (ROM) es superior a 2 MB (megabytes) en SMBIOS (BIOS de administración del sistema).
    1. Como no hay ROM en un entorno virtual cuando se marca SMBIOS, esta podría ser otra técnica anti-virtualización
Algoritmo de descifrado de PowerShell de primera capa

Si se satisfacen todas las comprobaciones, ahora se procederá a instalar ServHelper y sus componentes.

Durante la instalación, preparará su directorio de instalación, C: \ Archivos de programa \ windows mail \, agregándolo a la exclusión del escaneo de destino de Windows Defender usando Add-MpPreference -ExclusionPath . Esto le permite evadir los análisis de Windows Defender.

Luego, preparará la carga útil que se eliminará descifrándola utilizando la decodificación Base64 y la descompresión GZip y las guardará en cada uno de sus directorios designados.

Comprobación de privilegios con WindowsIdentity

Técnica de evasión Anti-VM para verificar el tamaño de la ROM en SMBIOS

Directorios de instalación para componentes de ServHelper

Una vez que todos los componentes estén descifrados y eliminados, agregará la biblioteca de envoltorios RDP (Protocolo de escritorio remoto) instalada «appcache.xml» como la DLL de servicio de TermService como su objetivo principal para ser ejecutado. La biblioteca de envoltorios RDP modificada cargará la DLL de ServHelper. TermService (Terminal Services) está presente de forma nativa y está relacionado con RDP. Permite la conexión de múltiples usos a una máquina, así como la visualización de escritorios y aplicaciones en equipos remotos. Esta modificación realizada por ServHelper se asegurará de que se ejecute cada vez que se inicie el servicio.

También se puede notar que esta variante específica solo se dirige a los sistemas operativos Windows de 64 bits, ya que las variables que está destinada a la versión de 32 bits de ServHelper y la biblioteca de envoltura RDP estaban vacías o eran insuficientes. Las variables $ rdp y $ bot están pensadas para la versión de 32 bits.

Esto completa la instalación del componente de puerta trasera de ServHelper. Una vez que se completa esta instalación, permite a los actores de la amenaza tener acceso de puerta trasera al sistema infectado, capaz de enviar comandos y recibir información

Variables que contienen binarios cifrados de ServHelper y componentes de escritorio remoto. 

El minero oculto: LoudMiner

La versión anterior de los instaladores de ServHelper finalizará una vez que se instale e implemente el servicio de la puerta trasera. Pero en esta variante, hemos notado que su instalador fue modificado para implementar un ataque adicional, un CryptoMiner apodado como LoudMiner .

Este CryptoMiner se denomina «Loud» debido a su uso intensivo de los recursos de una máquina infectada. Utiliza una herramienta de virtualización como VirtualBox donde realiza CryptoMining. Aunque esta técnica requiere una gran cantidad de recursos, es un enfoque sigiloso y evita una gran cantidad de detección AV, ya que se ejecuta en una capa virtualizada

Código de ServHelper y el script adjunto para LoudMiner

Cuando comience la instalación del CryptoMiner, primero verificará si el sistema de la víctima puede atender un entorno virtualizado generado. Si es capaz y está permitido, procederá a descargar VirtualBox desde su fuente oficial ( hxxp: //download.virtualbox.org/virtualbox ) y descargará sus otros componentes desde hxxp: // almagel [.] Icu / mon [. ] zip, que se sabe que aloja otros componentes relacionados con las versiones anteriores de ServHelper.

Formulario de descarga inicial del instalador de LoudMiner .

Mirando dentro del «mon.zip» descargado, podemos encontrar los siguientes archivos:

NewVirtualDisk1.vdi (Virtual Desktop Infrastructure for the malicious Virtual images)

nssm.exe     (Non-Sucking Service Manager)

tb.vbox / tbs.vbox  (Virtual Image of TinyCore Linux with CryptoMiner)

Hay dos imágenes virtuales de VirtualBox disponibles para su uso. Si la memoria física disponible del sistema infectado es inferior a 5 GB, utilizará la imagen virtual tb.vbox . Y si tiene más de 5 GB de memoria física disponible, se utilizará en su lugar la imagen virtual tbs.vbox .

Elegir qué imagen usar dependiendo de la memoria disponible de la víctima.

A continuación, utilizará «nssm.exe» (Administrador de servicios no absorbente) para instalar y ejecutar VirtualBox como un servicio. Non-Sucking Service Manager es una herramienta de utilidad gratuita que ayuda a administrar los servicios tanto en segundo plano como en primer plano. Esto le proporciona una forma legítima de crear una instancia de VirtualBox, proporcionando otra capa de sigilo.
Al cargar la imagen de Virtual Box (en nuestro entorno de prueba durante el análisis, tb.vbox ), se configura para conectarse automáticamente a su servidor y ejecutar CryptoMiner.

Esto se hizo modificando bootlocal.sh.
Echando un vistazo más de cerca a “bootlocal.sh”, podemos ver que usa XMrig Miner como su CryptoMiner. XMRig es un CryptoMiner de código abierto basado en CPU que se lanzó en mayo de 2017 principalmente para minar Monero CryptoCurrency. Es un CryptoMiner adecuado para explotar porque es de código abierto y utiliza CPU, que debería estar disponible para todos los objetivos potenciales. Esto completa la instalación del componente CryptoMining que permite a la máquina infectada extraer CryptoCurrency mientras se esconde dentro de un entorno virtualizado, lo que mejora sus posibilidades de evasión y sigilo.

Creación y ejecución de servicios con NSSM

Cargado tb.vbox – TinyCore Linux Imagen 10.1

Un sistema infectado con LoudMiner dentro de una VirtualBox

Conclusión

La combinación lista de una capacidad de puerta trasera y un componente de CryptoMining en un malware permite a los actores de amenazas ofrecer un medio de explotación activo y pasivo. Les permite obtener un beneficio pasivo inmediato para cada infección exitosa a través de CryptoMining, sin dejar de tener la flexibilidad y el punto de apoyo en un control activo a través de la puerta trasera que han instalado.

Ya sea que esté utilizando tecnología desde su hogar, desde su negocio o desde la organización de la que forma parte, las amenazas son reales y están agregando activamente funciones adicionales a su arsenal. Por eso es importante practicar siempre el uso seguro y protegido de la tecnología porque la prevención siempre será nuestra primera línea de defensa.

Las amenazas que aumentan sus privilegios en las máquinas infectadas son un componente crucial en un ciberataque. Y hacer cumplir los conceptos y políticas de seguridad de marcos como AAA (Autenticar, Autorizar, Contabilidad) puede ayudar a garantizar que se cumpla el mayor UAC posible, ayudando así a mitigar los riesgos.

Y además de eso, también es vital asegurarnos de que usamos una solución de seguridad confiable que cubra múltiples capas de protección desde la protección del correo electrónico, la seguridad de la red y hasta una solución de punto final que sea capaz de protegernos inteligentemente de estos tipos de amenazas.

Lista de COI

Binarios

SHA256 File Detección
C0F5375DD4530C7554212E7C8D85EBE41370BE49E1AA40D381F2E34CBF319134 (NSIS del cargador; detección: Gen: Variant.Strictor.239587
A7ECF925427FA07C40FF335E57EE04DCB028A97B4C5A8429CC7ED101CB30B1D0 (upgrade.ps1; detección: PowerShell.Trojan.Agent.AQX)
26E2794167F5A4F5A1C7E708823B77FD6500290DF4DA225181D55F030B0043EB (default_list.xml / ServHelper; detección: Gen: Variant.Ursu.750288 )
85A8867844CC43840DB2ADB62153722A994EFEECC0F066A3E0211CAD69D1AA77 (appcache.xml; detección: Gen: Variant.Ursu.750421)

URLs

hxxp: // rotoscopia [.] xyz [:] 3389
hxxp: // losos [.] cn [:] 7201
hxxp: // romashka [.] cn / guga [.] txt
hxxp: // safuuf7774 [.] pw /iplog/vmt[.]php?hst=vmt_installed_$env:computername
hxxp: //almagel.icu/cp.exe
hxxp: //almagel.icu/ssh.zip
hxxp: //asggh554tgahhr.pw
hxxp: // nsggh554tgahhr .pw
hxxp: //sggh554tgahhr.pw
hxxp: //dfsgu747hugr.pw
hxxp: //esggh554tgahhr.pw
hxxp: //hsggh554tgahhr.pw
hxxp: //kitherji.xyz/1.txt
hxxps: //sgahugu4/ijlist /b.php
hxxp: //asggh554tgahhr.pw/list/b.php
hxxp: //gabardina.xyz/log.txt

Enlace: https://www.gdatasoftware.com/blog/2020/07/36122-hidden-miners Blog de G DATA