El grupo de delincuentes cibernéticos denominados Lazarus, y en particular el subgrupo Bluenoroff, tiene un historial de ataques a organizaciones financieras en Asia y América Latina. Ahora parece que resurgió la actividad del grupo, y los eventos recientes muestran cómo sus herramientas y técnicas han evolucionado. Apenas la semana pasada fueron encontrados robando millones de cajeros automáticos en Asia y África, además se descubrió que también plantaron su Back Door BKDR_BINLODR.ZNFJ-A, el cual fue detectado por Trend Micro, en varias máquinas de instituciones financieras de América Latina.
Determinamos que estos Back Doors se instalaron en las máquinas el 19 de septiembre de 2018, basándose principalmente en el tiempo de creación del servicio del componente de carga. También vimos que la técnica usada en el ataque tiene cierta semejanza con un ataque anterior de Lazarus 2017, analizado por BAE Systems, contra objetivos en Asia. El uso de FileTokenBroker.dll fue una parte clave del ataque del grupo en 2017, y parece que también utilizaron el mismo Back Door modular en el incidente reciente.
Nuestro análisis de los Back Doors utilizados en los ataques de septiembre de 2018 muestra que AuditCred.dll / ROptimizer.dll se utilizó de manera similar:
[image url=”/wp-content/uploads/2018/11/Tabla-1-1.jpg” raw=”true” alignment=”center” margin_left=”0″ margin_right=”0″ margin_top=”0″ margin_bottom=”0″]
Tabla 1: Similitudes de los componentes del cargador en ambos incidentes
Análisis de Back Doors utilizados en 2018.
El grupo Lazarus utilizó una serie de puertas traseras en sus ataques de 2018, empleando una técnica complicada que involucra tres componentes principales:
- dll/ROptimizer.dll(detected by Trend Micro as BKDR_BINLODR.ZNFJ-A) – el cargador DLL se inicia como un servicio.
- Msadoz<n>.dll(detected by Trend Micro as BKDR64_BINLODR.ZNFJ-A) – backdoor cifrado
n = Número de caracteres en el nombre del archivo dll - dll.mui/rOptimizer.dll.mui(detectado por Trend Micro comoTROJ_BINLODRCONF.ZNFJ-A) – archivo de configuración encriptado
[image url=”/wp-content/uploads/2018/11/1.jpg” raw=”true” alignment=”center” margin_left=”0″ margin_right=”0″ margin_top=”0″ margin_bottom=”0″ width=”800″ height=”337″]
Figura 1: Secuencia de carga del Back Door modular.
El DLL del cargador se instala como un servicio y utiliza diferentes nombres (AuditCred y ROptimizer) en diferentes máquinas. Sin embargo, todavía tienen las mismas capacidades y son esencialmente el mismo archivo. Su propósito es cargar Msadoz <n> .dll para descifrarlo y ejecutarlo en la memoria.
[image url=”/wp-content/uploads/2018/11/2.png” raw=”true” alignment=”center” margin_left=”0″ margin_right=”0″ margin_top=”0″ margin_bottom=”0″ width=”359″ height=”320″]
Figura 2: Servicio AuditCred / ROptimizer
Si se instala correctamente, este Back Door en particular representa una amenaza para su objetivo. Es capaz de las siguientes funciones:
- Recopilar información de archivo / carpeta / unidad
- Descargar archivos y malware adicional.
- Iniciar / terminar / enumerar proceso
- Actualizar datos de configuración
- Borrar archivos
- Inyectar código de archivos a otro proceso en ejecución
- Utilizar proxy
- Abrir la cáscara inversa
- Ejecutar en modo pasivo: en lugar de conectarse activamente al servidor de comando y control (C&C), la puerta trasera se abrirá y escuchará un puerto y luego recibirá los comandos a través de él.
Una vez que se haya cargado el Back Door, se cargará el archivo de configuración cifrado Auditcred.dll.mui / rOptimizer.dll.mui para extraer la información de C&C y conectarse a ella. La conexión es necesaria para realizar actividades; y en función de las funciones de la puerta trasera, estas acciones podrían ser bastante perjudiciales para los objetivos.
[image url=”/wp-content/uploads/2018/11/3.jpg” raw=”true” alignment=”center” margin_left=”0″ margin_right=”0″ margin_top=”0″ margin_bottom=”0″ width=”580″ height=”158″]
Figura 3: El primer paso de descifrado realizará XOR en un byte utilizando el byte anterior adyacente, comenzando desde el último byte y excluyendo el primer byte
[image url=”/wp-content/uploads/2018/11/4-1.jpg” raw=”true” alignment=”center” margin_left=”0″ margin_right=”0″ margin_top=”0″ margin_bottom=”0″ width=”589″ height=”539″]
Figura 4: El segundo paso usa RC4, usando los primeros 0x20 bytes del resultado del primer paso como la tecla RC4
[image url=”/wp-content/uploads/2018/11/5.jpg” raw=”true” alignment=”center” margin_left=”0″ margin_right=”0″ margin_top=”0″ margin_bottom=”0″ width=”784″ height=”654″]
Figura 5: Archivo de configuración cifrado (arriba) y descifrado (abajo)
También es importante tener en cuenta que, si bien el componente del cargador y el archivo de configuración se encuentran en el mismo directorio (% windows% \ system32), el Back Door cifrado se encuentra en un directorio diferente (% Archivos de programa% \ Archivos comunes \ Sistema \ ado ). Esta configuración compleja hace que sea más difícil detectar y eliminar todos los Back Doors, y es más eficaz para ocultar cualquier actividad.
La complejidad y las capacidades de estos Back Doors presentan un problema difícil para las organizaciones seleccionadas. Es un ataque sofisticado que necesita soluciones de seguridad igual de sofisticadas.
Soluciones Trend Micro
El grupo Lazarus es una organización experimentada, que evoluciona metódicamente sus herramientas y experimenta con estrategias para superar las defensas de una organización. Los Back Doors que están implementando son difíciles de detectar y representan una amenaza importante para la privacidad y la seguridad de las empresas, lo que permite a los atacantes robar información, eliminar archivos, instalar malware y mucho más.
Estas y otras herramientas utilizadas por el grupo Lazarus se pueden mitigar mediante la exploración rutinaria de la red en busca de cualquier actividad maliciosa para ayudar a evitar que el malware ingrese y se propague a través de una organización. Además, educar a los empleados y otras personas clave en una organización sobre técnicas de ingeniería social puede permitirles identificar qué buscar cuando se trata de ataques maliciosos.
Otras estrategias de mitigación incluyen un enfoque de múltiples capas para asegurar el perímetro de la organización, que incluye fortalecer los endpoints y emplear el control de aplicaciones para ayudar a evitar que se ejecuten aplicaciones y procesos maliciosos.
Las soluciones de endpoint de Trend Micro como Trend Micro ™ Smart Protection Suites y Worry-Free ™ Business Security pueden proteger a los usuarios y empresas de estas amenazas al detectar archivos maliciosos y mensajes de spam, así como a bloquear todas las URL maliciosas relacionadas. Trend Micro Deep Discovery ™ tiene una capa de inspección de correo electrónico que puede proteger a las empresas mediante la detección de archivos adjuntos maliciosos y URL que podrían conducir a descargas maliciosas.
La seguridad de Trend Micro XGen ™ proporciona una combinación intergeneracional de técnicas de defensa contra amenazas para proteger los sistemas. Cuenta con aprendizaje automático de alta fidelidad en puertas de enlace y endpoints, y protege las cargas de trabajo físicas, virtuales y en la nube. Con capacidades como filtrado de URL / web, análisis de comportamiento y sandboxing personalizado, la seguridad de XGen protege contra las amenazas actuales que evitan los controles tradicionales; explotar vulnerabilidades conocidas, desconocidas o no reveladas; ya sea para robar o cifrar datos de identificación personal; o realizar minería criptomoneda maliciosa. Inteligente, optimizado y conectado, la seguridad de XGen impulsa el conjunto de soluciones de seguridad de Trend Micro: Hybrid Cloud Security, User Protection y Defensa de red.
Leave a Reply