Guardicore analisa o worm Indexsinas

06/07/2021 mindsecblog Artigos, Notícias 4

Guardicore analisa o worm Indexsinas.  A Guardicore publicou novas informações e análise sobre o Indexsinas, um worm para protocolo SMB (Server Message Block, para compartilhamento de arquivos) também conhecido como NSABuffMiner. 

A campanha de ataque, ativa desde 2019, continua em ação, tem como alvo servidores Windows SMB. Esses ataques utilizam o kit do Equation Group, e suas vítimas incluem hospitais e organizações do setor de saúde, assim como organizações das áreas de educação, saúde, telecomunicações e governo.

O Guardicore Labs publicou um repositório no GitHub com todos os IOCs – indicadores de comprometimento – dessa campanha, assim como uma ferramenta de detecção em Powershell.

Como se dá a invasão

O Indexsinas invade as redes das organizações por meio de servidores SMB, utilizando o movimento lateral para se propagar. A propagação se dá pela combinação de um scanner de porta de código aberto e três exploits do Equation Group – EternalBlue, DoublePulsar e EternalRomance, tornados públicos há quadro anos, quando foram identificadas nos ataques WannaCry e NotPetya.

Com esses exploits os hackers infectam máquinas de modo a obter acessos privilegiados e instalar backdoors.

A campanha Indexsinas começou a atingir a Rede de Sensores Globais da Guardicore (GGSN) no início de 2019 e se mantém ativa ainda hoje. Os sensores da Guardicore registraram mais de 2.000 ataques desde que iniciado o rastreamento da campanha.

 

Os ataques tiveram origem em mais de 1.300 fontes diferentes, com cada uma das máquinas responsável por apenas alguns incidentes de ataque. Os IPs de origem – que provavelmente serão as próprias vítimas dos ataques – estão localizados principalmente nos EUA, Vietnã e Índia. A análise desses IPs evidenciaram ataques a vários setores, como saúde, educação, telecomunicações, hotelaria e agências governamentais.

 

As áreas escuras representam um número maior de IPs de origem

O fluxo de ataque consiste em muitos scripts em lote, cargas executáveis, downloaders, serviços e tarefas agendadas. Uma característica marcante da campanha é sua competitividade; ele encerra processos relacionados a outras campanhas de ataque, exclui seus resíduos do sistema de arquivos e interrompe os serviços criados por outros grupos de ataque. Ele também tenta escapar da detecção eliminando programas relacionados ao monitoramento e análise de processos. Além disso, ele garante a exclusão de seus próprios arquivos imediatamente após a execução.

O ataque começa quando uma máquina é violada por meio de servidores RPC ou SMB, usando as ferramentas de exploração da NSA. Essas explorações executam código no kernel da vítima e são capazes de injetar cargas úteis em processos de modo de usuário usando chamadas de procedimento assíncronas (APCs). Indexsinas usa os exploits para injetar código em explorer.exe ou lsass.exe . As cargas injetadas – EternalBlue.dll para 32 bits e DoublePulsar.dll para 64 bits – baixam três arquivos executáveis ​​do servidor C2 principal, conforme detalhado na tabela abaixo.

86.exe e 64.exe arquivos contêm um arquivo executável portátil com “ZM” no final (em vez de “MZ” no início). Esta DLL é uma ferramenta de acesso remoto (RAT), uma versão do Gh0stCringe . Ele é descartado em um caminho aleatório e carregado na memória. Em seguida, duas de suas funções exportadas são chamadas – Install e MainThread . O primeiro instala o RAT criando um serviço em svchost , ou seja, ele cria uma chave de registro para o novo serviço com svchost.exe como seu executável e usa o caminho para a DLL como ServiceDLLparâmetro. A segunda função executa a funcionalidade principal. Ele aguarda comandos do C2 e relata as informações da máquina para ele – nome do computador, ID do grupo de malware, data de instalação e especificações técnicas da CPU. A ferramenta possui vários recursos; ele pode baixar e executar módulos adicionais, instalá-los como serviços e interagir com o usuário abrindo caixas de mensagens e apresentando URLs no Internet Explorer.

Os arquivos iexplore.exe e services.exe instalam dois serviços usando uma ferramenta mascarada como svchost.exe . O primeiro serviço – MicrosotMaims – é responsável por liberar um criptominer por meio de um arquivo adicional chamado conhost.exe .

Guardicore Centra mostra a criação de um novo serviço MicrosotMaims

O segundo – MicrosotMaim – simplesmente executa o módulo criptominer. O processo de mineração é denominado d1lhots.exe; ele é compilado a partir do XMRig, extrai o Monero e é executado através da linha de comando abaixo.

d1lhots -o stratum+tcp://a.ccmd.website:1188 -u Bing1 -k –max-cpu-usage=50 –donate-level=1 -r3 –asm=AUTO –print-time=3 –nicehash

iexplore.exe descarta dois scripts adicionais. O primeiro – chosts.bat – é um script em lote que modifica as regras de firewall locais usando ipsec e bloqueia qualquer tráfego de entrada para portas SMB e RPC (135, 137, 138, 139 e 445). O segundo script – tem.vbs – é usado para excluir o iexplore.exe e ele mesmo.

Propagação [c64.exe]

Outra carga que é baixado como parte do 1 st estágio é c64.exe , que por sua vez deixa cair dois arquivos. O primeiro é xfsxdel ~ .exe e só é usado para excluir c64.exe do disco. O segundo é ctfmon.exe – a ferramenta de propagação.

O ctfmon.exe é responsável por localizar vítimas em potencial e explorá-las usando as ferramentas do Equation Group – e faz isso de maneira extremamente completa. Ele usa explorações para máquinas de 32 e 64 bits e verifica as portas RPC (TCP 139) e SMB (TCP 445). Além disso, ele tenta mover-se lateralmente dentro da rede organizacional, bem como se espalhar pela Internet.

ctfmon.exe executa um script em lote same.bat . Este script inicia dois fluxos: um para movimentação lateral dentro da rede e outro para divulgação na internet. Os dois fluxos são semelhantes em sua sequência: Uma tarefa agendada diariamente executa um script em lote, que instala um serviço. O serviço executa outro script em lote que realiza a varredura e exploração da porta. Os scripts em lote nesses fluxos também desinstalam os serviços dos concorrentes, encerram seus processos e excluem seus arquivos. Além disso, eles limpam rastros antigos de Indexsinas.

  1. Movimento lateral. A tarefa agendada At2 é executada diariamente. Ele executa um script em lote – wai.bat – que instala um serviço chamado MicrosoftMssql . O serviço executa bat.bat , que verifica intervalos de IP privados conhecidos.
  2. Worm da Internet. A tarefa agendada At1 é executada diariamente. Ele executa um script em lote – nei.bat – que instala um serviço chamado MicrosoftMysql . O serviço executa cmd.bat , que verifica a sub-rede classe C do endereço IP público da vítima.

O Indexsinas usa um scanner de porta de código aberto denominado s, que é compilado em um arquivo executável denominado taskhost.exe . O scanner gera uma lista de servidores cujas portas SMB estão abertas em um arquivo chamado Results.txt . Em seguida, cada IP nessa lista é atacado usando os exploits do Equation Group.

Após a exploração bem-sucedida, DoublePulsar.dll (para 64 bits) ou EternalBlue.dll (para 32 bits) são injetados no kernel da máquina da vítima e o fluxo de ataque começa novamente na máquina recém-infectada.

Como prevenir esse tipo de ataque

Esse tipo de ataque utiliza servidores SMB vulneráveis ​​para violar redes e mover-se lateralmente dentro delas. Existem mais de 1 milhão de servidores SMB acessíveis na Internet, e muitos deles ainda vulneráveis ​​ao MS-17010 e é isso o que faz ataques como o Indexsinas lucrativos.

A chave para reconhecer pontos de entrada vulneráveis e evitar que ataques se propaguem na rede são a visibilidade e a segmentação, como reconhece o próprio governo dos Estados Unidos, que no dia dois de junho enviou uma carta aberta a executivos e líderes empresariais do setor privado, alertando-os quanto à necessidade de defender suas organizações contra o ransomware. O alerta da Casa Branca reafirma a importância de segmentar as redes corporativas para evitar que um invasor se mova lateralmente chegando a ativos estratégicos – as “joias da coroa” na rede – e também para minimizar os danos, estabelecendo limites entre os servidores na rede e limitando o tráfego entre eles.

Além disto a Guardicore Labs publicou uma ferramenta de detecção no PowerShell que identifica indicadores maliciosos de comprometimento em uma máquina Windows. Execute este script a partir de um prompt de linha de comando para ver se o sistema está infectado ou não. Instruções detalhadas podem ser encontradas no repositório Github do Guardicore Labs .

Ferramenta de detecção do Guardicore Labs para Indexsinas executada e relatórios de infecção
Fonte: Guardicore

 

Veja também:

 

Sobre mindsecblog 2571 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.
Website Facebook Twitter YouTube Linkedin

Artigos Relacionados

4 Trackbacks / Pingbacks

  1. Cuba, Política e liberdade de acessos às redes sociais e a internet
  2. Sodimac é condenada a pagar indenização baso na LGPD
  3. Sodimac é condenada a pagar indenização com base na LGPD
  4. LGPD - Procon do Mato Grosso multa Droga Raia por irregularidade

Deixe sua opinião!