I funzionari sauditi hanno recentemente avvertito le organizzazioni del regno di stare all'erta per il malware Shamoon 2, che paralizza i computer cancellandone i dischi rigidi. Nel 2012, Shamoon ha paralizzato Saudi Aramco e questa nuova variante sarebbe stata presa di mira dal ministero del Lavoro saudita e da diverse aziende di ingegneria e produzione.
Nel corso di una recente analisi, Vectra Networks si è imbattuta in un componente dannoso che sembra essere utilizzato insieme a documenti dannosi consegnati tramite phishing.
Questi documenti utilizzano PowerShell per scaricare ed eseguire lo strumento di ricognizione per iniziare a penetrare nella rete della vittima. Questo strumento, noto come ISM, sembra essere uno strumento autonomo a tutti gli effetti che consente agli operatori remoti di effettuare il data-mining dei sistemi prima di rimuovere le proprie tracce con Shamoon 2.
ISM è un binario relativamente piccolo rispetto al malware moderno. Ha una dimensione compresa tra i 565 e i 580 KB e sembra essere stato compilato con Microsoft Visual C++ 8.0. Una volta eseguito, questo strumento esegue diverse azioni al fine di raccogliere il maggior numero di informazioni critiche sul sistema preso di mira. Una volta eseguito, questo strumento esegue diverse azioni al fine di raccogliere il maggior numero di informazioni critiche sul sistema preso di mira.
Contiene alcuni metodi anti-sandbox e di analisi e cercherà specificamente la presenza di "ISM.exe" in esecuzione per completare con successo la sua operazione.
Lo strumento otterrà le seguenti informazioni sulla macchina in questione:
- Prodotti antivirus installati
- Prodotti firewall installati
- Data e ora corrente del sistema
- Fuso orario attuale del sistema
- Il dominio dell'account "amministratore" locale
- Un dump completo di netstat (netstat -ant)
- Un dump completo di ipconfig (ipconfig /all)
- Variabile d'ambiente %username%
- Variabile d'ambiente %userdomain%
- Un dump completo delle informazioni sul profilo del sistema (systeminfo)
- Elenco dei processi in esecuzione (tasklist)
- WPAD e configurazioni proxy attuali
Lo strumento forza anche l'arresto del sistema, uccidendo il processo di inizializzazione di Windows, winit.exe, quando l'arresto del sistema non ha successo. Può creare attività pianificate e utilizzarle per interrompere i controlli degli aggiornamenti delle applicazioni e del sistema.
Inoltre, lo strumento ha la capacità di eseguire ulteriori strumenti di accesso remoto (RAT) e backdoor. I seguenti strumenti sono specificamente indicati nel codice:
- Lo strumento Powershell UACME consente di aggirare l'UAC e di aumentare i privilegi rilasciando vari file DLL utilizzando il binario di Windows Wusa.exe. Questo strumento mira specificamente al metodo OOBE per lo sfruttamento.
- Il metodo PowerShell Empire Invoke-bypassuac, che abusa di un certificato pubblicato attendibile durante l'iniezione di processi per elevare i privilegi e bypassare l'UAC.
- Mimikatz - Uno strumento popolare per ottenere le credenziali di Windows memorizzate sulla macchina.
- Powercat - Una backdoor basata sulla porta TCP 4444 di Powershell, compatibile con ncat e netcat.
- ExecuteKL - Un keylogger generico può essere eseguito sul sistema e i suoi risultati vengono memorizzati in un file temporaneo.
Lo strumento effettua anche richieste DNS e HTTP in uscita al server update.winappupdater.com. Da un'ispezione, questo server a un certo punto presentava diverse richieste PHP e URI sospette a pagine che indicherebbero la funzionalità C&C.
Lo strumento utilizza una stringa di user agent unica di Mozilla/5.0 (Windows NT 6.3; Trident/7.0; rv:11.0) come Gecko al fine di condurre le richieste HTTP C&C:
I parametri di esempio durante C&C sono simili ai seguenti:
commandid=62168133-0418-411c-a6f9-27b812b76759
commandId=CmdResult=85bd26b3-c977-47d8-a32b-f7bae6f8134d
Queste richieste HTTP vengono effettuate a URI contenenti Home/BM, Home/CC, Home/SCV, Home/CC o Home/CR. Sono state notate anche alcune altre risorse, come Home/SF e Home/gf, che potrebbero essere utilizzate per test o campagne precedenti.
Inoltre, sembra che il server ospiti anche un driver Intel wireless LAN non aggiornato certificato da Microsoft (NB500_Win7_intel_wireless_LAN_Driver_13.3.0.24.1.s32). È probabile che questo strumento venga utilizzato in modo dannoso per manipolare i driver di rete esistenti o per utilizzare una vulnerabilità nel driver stesso per ottenere vulnerabilità di elevazione dei privilegi sui sistemi interessati.
Una volta che questo binario è stato eseguito su un sistema e gli aggressori sono soddisfatti dei dati raccolti, lo strumento è in grado di rimuovere tutte le tracce dei suoi file temporanei dal sistema.
Questi dati rubati vengono poi utilizzati direttamente nell'applicazione costruttrice di Shamoon 2 per massimizzare l'efficacia della cancellazione dei dati. Poiché le credenziali e le posizioni di rete sono state rubate in questa fase, gli operatori devono semplicemente consegnare il malware Shamoon 2 al sistema tramite la backdoor ISM quando hanno finito di svolgere la loro missione primaria.
All'inizializzazione, il binario Shamoon 2 esegue una scansione della rete /24 a cui è collegato il computer locale. Questa scansione della rete cercherà i computer che utilizzano le credenziali rubate raccolte dal malware ISM attraverso le porte TCP 135, 139 e 445.
Gli autori verificheranno la presenza di password valide nei sistemi abusando delle chiamate al registro di sistema remoto dei sistemi presi di mira. Una volta rilevata una sessione di registro remota andata a buon fine, il malware utilizzerà RPC e psexec per copiare i file in remoto su queste macchine e quindi eseguire silenziosamente ciascuno di questi file binari.
Le copie attuali dei binari di Shamoon 2 cancelleranno il sistema il martedì successivo all'esecuzione alle 0230 ora del sistema. Riteniamo che anche la data e l'ora di detonazione del payload possano essere personalizzate in base alla campagna in corso.
Cosa fare
Quando viene rilevata un'attività di Shamoon 2, si consiglia vivamente di spegnere immediatamente tutti i sistemi interessati. Gli amministratori devono quindi avviare i dispositivi interessati da un dispositivo USB sicuro e montare il file system per l'accesso in lettura.
I file mission-critical devono essere rimossi dal sistema e il sistema deve essere reimmaginato con credenziali diverse. Gli amministratori devono tenere presente che se viene rilevato il binario Shamoon 2 o la sua attività di rete, le credenziali di dominio e probabilmente altre informazioni sensibili sono già state rubate ed esfiltrate dalla rete interessata.
Il payload risultante di Shamoon 2, che cancella l'MBR e lo sostituisce con un'immagine, è probabilmente utilizzato per coprire le tracce degli aggressori e le loro vere motivazioni.
La scienza dei dati alla base dei rilevamenti delle minacce di Vectra
Consultate questo white paper per scoprire come i modelli di rilevamento delle minacce Vectra AI combinano l'esperienza umana con un'ampia serie di tecniche di scienza dei dati e di apprendimento automatico sofisticato per identificare minacce come Shamoon 2.