JSAC2024 -Día 2- – JPCERT/CC Ojos
Esta segunda publicación de blog presenta las charlas principales del día 2 del JSAC.
XFiles: análisis a gran escala de MSIX/APPX maliciosos
Oradores: Kazuya Nomura, Teruki Yoshikawa, Masaya Motoda (NTT Security Japan)
Los ponentes discutieron los nuevos archivos empaquetados de Microsoft, MSIX y APPX, que han sido explotados en los últimos años en campañas de ataque. Explicaron los puntos en los que centrarse a la hora de analizar la estructura, mecanismos de funcionamiento y características de los archivos maliciosos.
MSIX y APPX son formatos de archivos de paquetes de Windows distribuibles que se utilizan para la distribución e instalación de aplicaciones. En los últimos años ha habido ataques en los que se explotaron MSIX y APPX, incluido el caso Emotet en 2022, SteelClover, ClearFake, GhostPulse y otras campañas.
Primero, describieron la estructura de archivos de MSIX y APPX, el papel y la función de cada archivo, cómo se crean y los patrones de explotación. Después de aclarar la estructura de archivos de MSIX y APPX, explicaron los resultados de su análisis de aproximadamente 10.000 muestras. Revelaron el hecho de que las firmas digitales se reutilizan y las características comunes a los MSIX y APPX maliciosos.
También demostraron su propia herramienta para extraer y analizar características comunes a MSIX y APPX maliciosos, que se identificaron a partir de los resultados del análisis.
Fantasma en su cadena de suministro
Oradores: Alian Wang, Chung-Kuan ‘CK’ Chen (CyCraft)
Los oradores presentaron su análisis y discusión de estudios de casos sobre ataques a la cadena de suministro dirigidos a la industria financiera en Taiwán.
En primer lugar, explicaron que en los últimos años se ha vuelto más eficiente para los atacantes apuntar a la cadena de suministro y, por lo tanto, el concepto de defensas fronterizas se está volviendo obsoleto. Después de eso, describieron los siguientes casos de ataques a la cadena de suministro a los que realmente respondieron:
- Abusar de JIRA Script Runner
- Salto de isla en isla sin malware
- Escribiendo fantasma
En el estudio de caso Abusing JIRA Script Runner, explicaron que una función llamada Jira Script Runner se usaba en el movimiento lateral y discutieron la necesidad de medidas como la autenticación multifactor para evitar una fácil explotación por parte de terceros. En el caso Malwareless Island Hopping, describieron una campaña de ataque que utilizó una gran cantidad de software no malicioso y compartieron la importancia de la gestión de segmentos de red y la gestión general de privilegios de usuario, señalando que muchas subsidiarias se vieron afectadas. En el caso de Typing Ghost, los oradores describieron cómo los atacantes aprovecharon la función de actualización de software para ejecutar malware.
Finalmente, compartieron ideas y contramedidas obtenidas a través de ataques a la cadena de suministro, como el hecho de que la mayoría de los ataques a la cadena de suministro se llevan a cabo mediante el compromiso de credenciales o la explotación de vulnerabilidades, y que los atacantes atacan los sistemas y cuentas de seguridad privilegiados.
Lado oscuro de VSCode ~ Cómo el atacante abusa de VSCode como RAT ~
Ponentes: Shuhei Sasada, Hayate Hazuru (ITOCHU Cyber & Intelligence)
Los oradores se centraron en la función Dev Tunnels de Visual Studio Code y explicaron cómo analizar incidentes y métodos de búsqueda basados en casos explotados.
Visual Studio Code es un editor de código proporcionado por Microsoft. Sus túneles de desarrollo conectan Visual Studio Code a un host remoto a través del servidor de túnel de Microsoft, lo que permite al host local editar el código fuente y ejecutar aplicaciones en el host remoto. Esta característica la utilizan principalmente los desarrolladores para estandarizar y optimizar su entorno de desarrollo. Sin embargo, en septiembre de 2023, hubo un caso en el que se aprovecharon los túneles de desarrollo para obtener acceso remoto a un dispositivo comprometido. Los oradores compartieron lo que aprendieron de este caso, incluido cómo analizar artefactos cuando se explotan los túneles de desarrollo y cómo realizar búsquedas basadas en redes y procesos.
Finalmente, se compartieron contramedidas contra dicha explotación, incluido cómo usar los túneles SSH sin usar los túneles Dev y cómo usar el contenedor Dev, una característica que se conecta a contenedores locales.
Análisis de las actividades y herramientas de los actores del phishing dirigidos a Japón
Oradores: Masaomi Masumoto, Yuichi Tsuboi (NTT Communications)
Al observar la tendencia al aumento del número de víctimas de sitios de phishing y la actual división especializada del trabajo entre los actores de phishing, los oradores discutieron la comunidad de phishing dirigida a Japón y cómo analizar y detectar los kits de phishing que se venden.
Los oradores explicaron que las actividades de las comunidades de phishing se llevan a cabo principalmente a través de herramientas de chat como Telegram, mercados para vender contenido de phishing y foros de phishing para compartir información. También mencionaron que los actores del phishing también dividen sus actividades desde el desarrollo de herramientas hasta la operación de servicios y la venta de información. Luego, basándose en el análisis de los kits de phishing obtenidos de la comunidad de phishing, describieron en detalle la implementación de una función para recopilar información sobre la fuente de acceso mediante agentes de usuario y encabezados de solicitud, una función de encubrimiento que utiliza información en el momento de la solicitud, y una función de detección de rastreadores. Además, compartieron cómo utilizar el “Indicador de kit”, una regla de detección de código abierto, como método de detección de kits de phishing.
Concluyeron destacando la importancia de promover el intercambio de información, diciendo que la división del trabajo entre los actores del phishing ha resultado en un aumento en el número de informes de phishing.
Enfoque basado en engaños para sitios de phishing
Oradores: Yuji Ino, Masaki Yoshikawa (Recluta)
Los ponentes discutieron los hallazgos y resultados obtenidos mediante la implementación del enfoque “Deception”, un tipo de enfoque defensivo contra los sitios de phishing.
Si bien las eliminaciones y las notificaciones a los usuarios son enfoques importantes para los sitios de phishing, su eficacia depende del ISP y del usuario. Por lo tanto, adoptaron el enfoque de “engaño”, que envía datos de usuario falsos a sitios de phishing, como un enfoque que no depende de terceros. Explicaron los pasos del enfoque de «Engaño», así como las bibliotecas que utilizaron para crear los datos ficticios y cómo se mejoraron. Presentaron los resultados del enfoque de “engaño” sobre actores de phishing específicos y compartieron sus logros, incluidas diversas reacciones de los atacantes y cierres espontáneos de sitios.
Finalmente, compartieron los puntos clave del enfoque de “engaño” aprendidos a través de su experiencia, como los puntos a tener en cuenta al enviar datos ficticios y evitar la duplicación con la identificación legítima en sitios de phishing de tipo proxy.
La única razón por la que deberíamos identificar el hilo conductor de los incidentes de ransomware
Ponente: Hayato Sasaki (JPCERT/CC)
Hayato analizó la importancia de identificar a los actores en la respuesta a incidentes de ransomware.
Compartió perspectivas sobre la identificación de actores basándose en los puntos comunes de los TTP en una serie de campañas, citando «Robinhood Leaks», que creó ransomware utilizando el constructor «Thanos», y «DEV-0401», que utilizó el «HUI Loader», como Ejemplos de incidentes reales en los que se identificaron actores. Luego presentó un estudio de caso en el que la respuesta inicial y las medidas preventivas fueron inadecuadas debido a una identificación insuficiente del actor en el momento del incidente, lo que resultó en servidores con malware y vulnerabilidades. Con base en estos casos, explicó que la identificación de los actores en el daño del ransomware es importante desde los siguientes puntos:
- Garantizar que la respuesta inicial sea apropiada, rápida y de bajo costo.
- Para garantizar que los actores de la APT no sean pasados por alto
- Seleccionar contramedidas efectivas para que cada actor contenga la amenaza de ransomware
Finalmente, explicó que los daños se pueden reducir identificando a los actores y tomando las acciones adecuadas contra los ataques de ransomware. Además, mencionó que cuando identificar a los actores es difícil después de un ataque de ransomware, al consultar con JPCERT/CC, pueden trabajar juntos para compartir el trabajo de análisis y proporcionar conocimientos sobre cómo identificar a los actores.
Encuentra las diferencias: un análisis de la nueva campaña LODEINFO de Earth Kasha
Oradores: Hiroaki Hara, Masaoki Shoji, Yuka Higashi, Vickie Su, Nick Dai (TrendMicro)
Los oradores investigaron la campaña de Earth Kasha en 2023 y discutieron TTP significativamente modificados y nuevos tipos de malware.
Earth Kasha es un grupo de APT reconocido desde 2019 como actor usando LODEINFO. Los oradores dijeron que la campaña 2023 de Earth Kasha ha cambiado sus métodos y objetivos de compromiso inicial de campañas anteriores, y describieron los métodos modificados de compromiso inicial, comunicación con servidores C2, robo de credenciales y movimiento lateral. Además, revelaron que los TTP utilizados en la campaña de Earth Kasha, así como las regiones geográficas y las industrias a las que se dirige, son similares a los actores denominados Earth Tengshe.
A continuación, explicaron los cambios y características distintivas del cargador y nueva versión de LODEINFO, el nuevo backdoor NOOPDOOR (alias HiddenFace) y el cargador NOOPLDR (alias FakeXInjector), utilizado por Earth Kasha en su nueva campaña. Después de eso, basándose en los resultados de su comparación del modelo de diamante para la atribución del grupo APT usando LODEINFO, notaron la similitud entre los TTP de Earth Tengshe y Earth Kasha, aunque no hay ningún análisis o malware en común de que la nueva campaña fue realizada por Earth Kasha. . También mencionaron campañas de que Earth Tengshe y Earth Kasha posiblemente estén relacionados.
Finalmente, dado que Earth Kasha cambió su método de compromiso inicial, los oradores recomendaron volver a verificar los activos de TI que pueden ser superficies de ataque, así como buscar utilizando los IoC descubiertos en la nueva campaña de Earth Kasha.
Desenmascarando HiddenFace: la puerta trasera más compleja de MirrorFace hasta el momento
Ponente: Dominik Breitenbacher (ESET)
El orador describió la función y características de HiddenFace (también conocido como NOOPDOOR), una nueva puerta trasera del grupo APT MirrorFace (también conocido como Earth Kasha), que está relacionada con APT10.
MirrorFace es un grupo de ataque afiliado a China y tiene características como apuntar a Japón y utilizar LODEINFO. Afirmó que MirrorFace ha llevado a cabo una campaña utilizando HiddenFace para dirigirse a instituciones académicas en Japón desde 2023.
Primero se describieron los contenidos de HiddenFace, incluido el flujo de ejecución de HiddenFace, lo que ejecuta cuando se inicia y sus características. Luego, mencionó las características de HiddenFace, como su sistema modular y su capacidad de comunicación tanto activa como pasiva, las especificaciones y método de ejecución de módulos externos, el método de cifrado de comunicación y el contenido de los comandos. Además, describió la estructura de datos y el contenido de los datos estructurados de HiddenFace.
Finalmente, mencionó que HiddenFace utiliza una tecnología compleja y distintiva entre las puertas traseras atribuidas a MirrorFace, y señaló que es posible agregar características adaptadas al entorno de objetivos de ataque y objetivos de la campaña.
Para concluir
Esta publicación de blog presentó las presentaciones del Día 2 de JSAC2024. En la próxima publicación de JPCERT/CC Eyes, presentaremos el taller que se llevó a cabo también el Día 2.
Tomoya Kamei (Traducido por Takumi Nakano)