Operación TA505, Parte Dos: Aprendizaje de la puerta trasera ServHelper con NetSupport RAT

A finales de julio de 2019, descubrimos una muestra interesante de malware TA505 . El 22 de julio de 2019, se cargó en ANY.RUN para un análisis dinámico. Nos llamó la atención el hecho de que entre las etiquetas expuestas, además de la habitual para el TA505 Servhelper, también apareció la etiqueta netsupport, y entre los incendios de la firma de la red, se identificó el mismo nombre NetSupport RAT.



Fig. 1. Fecha de descarga para malware y etiquetas establecidas en el analizador en línea ANY.RUN



Fig. 2. Activación de firma de red en NetSupport RAT en ANY.RUN Sandbox

A primera vista, esto puede parecer extraño: después de todo, la puerta trasera del grupo ServHelper tiene una funcionalidad impresionante para controlar la PC de la víctima. Es hora de considerar el trabajo del malware en detalle.

Cuentagotas NSIS y PowerShell

El archivo PE ejecutable desde el que comienza nuestro análisis es un instalador basado en la plataforma Nullsoft Scriptable Install System (NSIS). El script NSIS que realiza el proceso de instalación extrae y ejecuta el script PowerShell incorporado:



Fig. 3. Instrucciones de script NSIS

El script PowerShell lanzado contiene un búfer codificado en Base64 (truncado en la figura a continuación para mayor claridad), que después de la decodificación es descifrado por Triple DES (3DES) en modo CBC:



Fig. 4. Descifrado de datos en un script de PowerShell

La primera parte del script es una función con el nombre heller y es responsable de aumentar los privilegios en el sistema y evitar la protección UAC. Para esto se utilizan dos técnicas:

Técnica n. ° 1: uso de la tarea SilentCleanup en el programador de tareas:

• El usuario puede iniciar la tarea, pero funciona con privilegios elevados. Las propiedades de la tarea contienen la ruta al archivo ejecutable utilizando la variable de entorno% windir%. Puede cambiar el valor de la variable de entorno (por ejemplo, especificar el inicio de un script de PowerShell), luego, al iniciar la tarea, se ejecutará el script de PowerShell con derechos de administrador sin avisar a UAC.
• Los atacantes usan esta técnica en sistemas Windows 8 y Windows 10.
• El código que ejecuta esta técnica es idéntico a la implementación del módulo para el marco Metasploit.

Fig. 5. Parte del script con la técnica de omitir la tarea SilentCleanup

Técnica n. ° 2: uso de la utilidad del sistema sysprep.exe y la técnica DLL de carga lateral

• Primero, se crea un script auxiliar para reiniciar el script de PowerShell en el directorio C: \ Windows \ Temp. Luego se forma un archivo CAB , que contiene la biblioteca auxiliar DLL CRYPTBASE.dll (el script PowerShell contiene las versiones x86 y x64 de la biblioteca). Usando la utilidad del sistema wusa.exe, este archivo se descomprime en el directorio C: \ Windows \ System32 \ Sysprep. Luego, se inicia la utilidad del sistema sysprep.exe, que cargará la biblioteca DLL previamente desempaquetada y, a su vez, ejecutará el script auxiliar. Como resultado, el script de PowerShell se reiniciará con derechos de administrador sin avisar a UAC.
• Los atacantes usan esta técnica en un sistema Windows 7.
• Puede encontrar una descripción detallada en este artículo y ejemplos de implementación, por ejemplo, en este proyecto en Github.

Fig. 6. Parte de la secuencia de comandos con la técnica de omitir la utilidad sysprep.exe

Hay muchos comentarios en el script, una función Test-Administrator no utilizada, algunas variables se usan sin inicialización: todas estas son señales de pedir prestado el código sin verificar cuidadosamente la brevedad.

Después de ejecutar el script con los privilegios necesarios, se ejecuta la segunda parte del script. En esta etapa, las cargas útiles objetivo se decodifican:

• la cadena es decodificada por Base64,
• el búfer se expande usando Deflate ,
• Base64 vuelve a decodificar la cadena.

Fig. 7. Algoritmo de decodificación de carga útil

• Como resultado, se crearán los siguientes archivos en el sistema:
• % systemroot% \ help \ hlp11.dat: versión x86 / x64 de la biblioteca RDP Wrapper . Se utiliza para ampliar la funcionalidad del servicio RDP, incluida la posibilidad de varias conexiones simultáneas. Es importante tener en cuenta que la biblioteca se modifica: al comienzo de la ejecución, la línea c: \ windows \ help \ hlp12.dat se decodifica con XOR lineal, luego la DLL se carga en la ruta recibida:

Fig. 8. Descifrado de la ruta a la biblioteca DLL y su carga

• % systemroot% \ help \ hlp12.dat es la versión x86 / x64 de la puerta trasera ServHelper, que se discutirá en la siguiente sección;
• % systemroot% \ help \ hlp13.dat: archivo de configuración para la biblioteca RDP Wrapper,
• % systemroot% \ system32 \ rdpclip.exe: un componente del servicio RDP para la capacidad de intercambiar datos del portapapeles;
• % systemroot% \ system32 \ rfxvmt.dll es un componente de servicio RDP para transmitir datos utilizando tecnologías RemoteFX .

Después de extraer y registrar la carga útil, el script configura el funcionamiento correcto de sus componentes:

• cambia el propietario del componente rfxvmt.dll a NT SERVICE \ TrustedInstaller y le otorga los derechos necesarios;
• Cambia el valor del puerto para las conexiones RDP del estándar 3389 a 7201;
• Agrega una cuenta de servicios de red al grupo de administradores locales.
• registra hlp11.dat como un servicio RDP y reinicia el servicio;
• elimina los archivos temporales creados.

ServHelper RAT → Cuentagotas

Uno de los resultados de los droppers es la DLL hlp12.dat, que es un malware ServHelper. Se pueden crear versiones x86 y x64 de la biblioteca según el tamaño de bits del sistema operativo (no hay diferencias fundamentales entre ellas). Ambas versiones están escritas en Delphi, empaquetadas con UPX 3.95 (x64) y PeCompact 2.20 (x86). Nuestros colegas de Proofpoint y Trend Micro presentaron previamente un análisis de la distribución y el funcionamiento de esta puerta trasera. El arsenal de capacidades de nuestra muestra en muchos aspectos converge con lo que ya se conoce: en particular, el algoritmo para descifrar las cadenas utilizadas ( cifrado de Vigenere ) no ha cambiado:



Fig. 9. Pseudocódigo para descifrar cadenas utilizando el cifrado Vigenere

Curiosamente, el cifrado no se implementa para todas las cadenas: por ejemplo, las direcciones de los dominios de control y los enlaces web con componentes adicionales permanecen abiertos:



Fig. 10. Dominios no cifrados y enlaces web

Al acceder a uno de estos enlaces (hxxp: //letitbe.icu/2.txt), se descarga un archivo cifrado (MD5: 0528104f496dd13438dd764e747d0778). Al analizar el final de un archivo en un editor hexadecimal, puede observar repeticiones frecuentes del valor del byte 0x09:



Fig. 11. Repita el byte 0x09 en el archivo descargado

Los valores de bytes duplicados son un signo común de usar un XOR de un solo byte como cifrado. En este caso, el código confirma esta teoría:



Fig. 12. Función de cifrado XOR de un solo byte



Fig. 13. Pasar un valor de un solo byte a la función XOR como argumento

Como resultado del descifrado, recibiremos un archivo ZIP con los siguientes contenidos:



Fig. 14. Contenido del archivo ZIP descifrado

Todos los archivos son software legítimo para el control remoto de la PC de NetSupport Manager, que ha sido utilizada repetidamente por atacantes de varios grupos.



Fig. 15. Descripción del software NetSupport Manager

Uno de los archivos (client32.ini) es un archivo de configuración, que contiene la dirección de la puerta de enlace intermedia a través de la cual la PC de la víctima se conectará a los atacantes:



Fig. 16. Los atacantes se dirigen como NetSupport Manager Gateway

Esta opción tiene sentido si la víctima está detrás de un firewall y el acceso a Internet está limitado por el puerto. Para funcionar correctamente en Internet, debe abrir el acceso a al menos dos puertos, 80 (HTTP) y 443 (HTTPS), por lo que aumenta la probabilidad de una conexión exitosa.

En septiembre de 2019, descubrimos varias muestras de ServHelper similares con una gama de opciones significativamente limitada. Usando uno de ellos como ejemplo (MD5: 5b79a0c06aec6126364ce1d5cbfedf66): entre los recursos de un archivo PE ejecutable hay datos cifrados con una característica similar en forma de un byte repetitivo:



Fig. 17. Datos cifrados en recursos ServHelper
Este es un archivo ZIP nuevamente "obstruido" con un byte, que contiene los mismos componentes de NetSupport Manager, aunque esta vez con una puerta de enlace intermedia diferente: 179 [.] 43.146.90: 443.

Conclusiones

En este artículo, examinamos una de las opciones para la entrega y el uso de la puerta trasera TA505: ServHelper. Además de las características curiosas que precedieron a la operación del componente principal (por ejemplo, omitiendo UAC y escalando privilegios), notamos interesantes metamorfosis de la puerta trasera principal: la funcionalidad básica (robo de datos, espionaje y ejecución de comandos) se complementó al incorporar otra herramienta para control remoto de PC: NetSupport RAT. Además, las nuevas versiones de ServHelper ya no tenían las características clave que lo convierten en una puerta trasera completa: ahora solo sirve como un cuentagotas intermedio para instalar NetSupport RAT. Probablemente, los atacantes encontraron este enfoque más efectivo tanto en términos de desarrollo como en términos de capacidades de detección. Sin embargo, la lista de herramientas grupales que nos interesan no termina ahí.

Publicado por Alexey Vishnyakov, Tecnologías positivas