Continuando o assunto sobre a campanha FastDataX, os dados comentados na primeira parte e na segunda são reais. Com o Sistema de Proteção contra Ameaças Avançadas fornecido por nós, o cliente consegue visualizar integralmente o caminho de um ataque, onde a ameaça é monitorada desde sua entrada, movimentos laterais e todos os passos que um malware segue na cyber kill chain.
O início da investigação: O FastDataX foi visto pela primeira vez e alertado pelo Sistema de Proteção contra Ameaças Avançadas está sendo observado desde junho de 2017. Ele foi vinculado ao DNSChanger investigado anteriormente usando semelhanças nos padrões de comunicação, junto com características relatadas anteriormente, como scripts PS e trabalhos BITS.
A seguinte tela de alertas comportamentais do CNC exibiu os clientes infectados se comunicando com vários domínios FastDataX de um domínio predefinido.
Cada um dos alertas acima, contém dados enviados do cliente infectado para um dos domínios da campanha FastDataX investigada.
Movendo-se para “Executor_activity”
Vimos vários tipos de comunicações para os servidores. Também vimos que toda a comunicação do cliente infectado contendo dados criptografados de “atividade do executor”. Isso inclui dados relacionados às propriedades do cliente infectado, como: tipo de sistema operacional, se o usuário é um administrador, indicações para execução em máquina virtual (VM) e a configuração atual do DNS. E, além disso, dados sobre a atividade de malware na vítima, isso incluiu:
- O tipo de atividade relatado – incluiu informações como o PE foi instalado/desinstalado/usado métodos de persistência e seu tipo – trabalhos BITS ou PowerShell
- Dias decorridos da infecção
- Contagem total de instalações
- Construção, versão, etc.
A carga útil (payload) do JSON descriptografada a seguir é uma captura in-the-wild dos dados postados, enviada diariamente por uma tarefa Agendada do Windows:
{ “executor_activity”: { “activity_type”: 32, “afiliado”: “”, “build”: 228, “compilation_id”: “6785398366757276059”, “days_elapsed”: 1, “dns”: { “hosts_active”: “[REDACTED DNS IP1]”, “hosts_config”: “[DNS IP1 REDACTED]; [REDACTED DNS IP2]” } “external_id”: “0”, “global_install_count”: 1, “hardware_id”: “2526771032423317035”, “heur”: { “idade”: “258”, “fentropy”: “4.33”, “flags”: “0”, “ientropy”: “2,65”, “instalado”: “65”, “mais novo”: “1497916800”, “mais antigo”: “1442534400”, “pontuação”: “2” } } “install_count”: 1, “installer_id”: “3549873876208096856”, “instance_id”: “2429043188702154891”, “is_admin”: true “major”: 1, “menor”: 1, “os_id”: 1000, “processo”: “\\ FastDataX \ fastdatax.exe”, “process_type”: 1, “product_name”: “FastDataX”, “publisher_id”: “0”, “register_date”: “1497965194”, “register_dsrc”: “1”, “report_id”: “6775307447112491894”, “screen_x”: 1680, “screen_y”: 1050, “service_pack”: 0, “session_id”: “123185999533423825”, “status”: true “suspect_flags”: 0, “suspect_group”: “”, “suspect_info”: “”, “tag”: “”, “tracker_id”: “”, “tracker_id64”: “0”, “user_time”: 1498059948, “versão”: 16842980, “x64”: true }
A seguir, um detalhamento da atividade acima e do executor. Quebrar os dados no formato JSON nos permitiu obter uma visão mais profunda do conteúdo, amplitude e complexidade da campanha:
- As informações de configuração do DNS “dns”: – Dois valores que designam as configurações de DNS usadas pela máquina infectada (“hosts_active”) e hosts de DNS principais/secundários que estão atualmente configurados no terminal – “hosts_config”.
- Referência ao processo fastdatax.exe e seu caminho em “processo”: – “\FastDataX\fastdatax.exe”
- Propriedades que são frequentemente usadas como uma indicação para mecanismos de Anti-VM que também podem acomodar outras funcionalidades em uma campanha de adware. Tais como: – screen_x, screen_y tamanho do pixel (“screen_x”: 1680, “screen_y”: 1050) e vários valores de entropia. Lembrando que os mecanismos Anti-VM servem para dificultar o trabalho de engenharia reversa.
- Propriedades do sistema cliente para melhor catalogar o computador entre muitas máquinas em toda a botnet: – “os_id”: 1000, “x64”: true, “is_admin”: true
Os servidores (consulte a lista completa do IOCS abaixo) receberam os dados descritos acima e responderam com “503 Serviço temporariamente indisponível”:
Então, curiosamente, a partir do início de novembro de 2017 em diante, observamos que os servidores responderam com diferentes tarefas e redirecionamentos.
Verifique seus trabalhos BITS – pode ser um malware!
Um dos métodos de persistência do FastdataX (descritos em nosso blog parte1 ) usa trabalhos do BITS (Background Intelligent Transfer Service) que geram o tráfego para os domínios desse malware. As tarefas do BITS são criadas durante a instalação do arquivo FastDataX.exe /in, e são definidas para serem executadas três vezes após cada reinicialização: após a reinicialização, após 6 horas e depois após outras 7 horas.
Na execução da tarefa, inicia a comunicação com vários domínios a partir de um subconjunto predefinido de domínios C2 (de fastdatax*.info). As solicitações feitas pelos jobs do BITS, contendo os dados “executor_activity” descritos acima, recebem uma resposta com redirecionamentos para baixar arquivos .DLL de outro host, hospedado no mesmo IP com os servidores C2 – hausbauinfos [.] Info.
Na captura de tela .pcap acima, vemos que os arquivos baixados aparecem com extensão de arquivo “.dat” e são imediatamente baixados para os clientes infectados a partir do caminho redirecionado. Contudo, estes são realmente arquivos DLL.
hxxp: //hausbauinfos.info/files/59/projectd.dat hxxp: //hausbauinfos.info/files/101/projectd.dat
Tarefas de Atividade
Durante a instalação do FastDataX, uma tarefa agendada é definida para ser executada diariamente e executa a comunicação com outro subconjunto de domínios FastDataX * .info C2. Uma resposta criptografada foi recebida com as seguintes tarefas para executar:
- Download de um arquivo .EXE também aparece com a extensão .dat do host mencionado no redirecionamento anterior;
- Executar e, eventualmente, excluir o arquivo;
- Alterar a configuração do DNS para usar servidores DNS
Resposta da tarefa
{ “executor_activity”: { “activity_type”: 32, “afiliado”: “”, “build”: 228, “compilation_id”: “6785398366757276059”, “days_elapsed”: 1, “dns”: { “hosts_active”: “[REDACTED DNS IP1]”, “hosts_config”: “[DNS IP1 REDACTED]; [REDACTED DNS IP2]” } “external_id”: “0”, “global_install_count”: 1, “hardware_id”: “2526771032423317035”, “heur”: { “idade”: “258”, “fentropy”: “4.33”, “flags”: “0”, “ientropy”: “2,65”, “instalado”: “65”, “mais novo”: “1497916800”, “mais antigo”: “1442534400”, “pontuação”: “2” } } “install_count”: 1, “installer_id”: “3549873876208096856”, “instance_id”: “2429043188702154891”, “is_admin”: true “major”: 1, “menor”: 1, “os_id”: 1000, “processo”: “\\ FastDataX \ fastdatax.exe”, “process_type”: 1, “product_name”: “FastDataX”, “publisher_id”: “0”, “register_date”: “1497965194”, “register_dsrc”: “1”, “report_id”: “6775307447112491894”, “screen_x”: 1680, “screen_y”: 1050, “service_pack”: 0, “session_id”: “123185999533423825”, “status”: true “suspect_flags”: 0, “suspect_group”: “”, “suspect_info”: “”, “tag”: “”, “tracker_id”: “”, “tracker_id64”: “0”, “user_time”: 1498059948, “versão”: 16842980, “x64”: true }
DNS mal intencionado
Logo após, e usando a assistência do Sistema de Proteção contra Ameaças Avançadas, no módulo de Network Forensics, vimos a mudança do DNS ocorrendo – então ele começou a endereçar as consultas do DNS para o servidor de DNS mal intencionado:
O cliente infectado em nosso laboratório tinha os valores de DNS desonestos no Registro:
A alteração pode ser invisível para o cliente infectado. O redirecionamento de dns através desses servidores dns poderia ser usado para colocar adware ou redirecionar parte do tráfego para sites desonestos para usar como phishing e assim por diante.
O diagrama mostra os pontos de interação mútua e as diferentes funções C2 em toda a campanha.
Os domínios CNC:
{“executor_activity”: {“activity_type”: 32, “affiliate”: “”, “build”: 228, “compilation_id”: “6785398366757276059”, “days_elapsed”: 1, “dns”: {“hosts_active”: “[ REDACTED DNS IP1] “,” hosts_config “:” [DNS IPAN REDACTED]; [REDACTED DNS IP2] “},” external_id “:” 0 “,” global_install_count “: 1,” hardware_id “:” 2526771032423317035 “,” heur ” : {“age”: “258”, “fentropy”: “4,33”, “flags”: “0”, “ientropy”: “2,65”, “instalado”: “65”, “mais novo”: “1497916800”, “mais antigo”: “1442534400”, “score”: “2”}}, “install_count”: 1, “installer_id”: “3549873876208096856”, “instance_id”: “2429043188702154891”, “is_admin”: verdadeiro, “maior”: 1, “menor”: 1, “os_id”: 1000, “processo”: “\\ FastDataX \ fastdatax.exe”, “process_type”: 1, “product_name”: “FastDataX”, “publisher_id”: “0”, “register_date”: “1497965194”, “register_dsrc”: “1”, “report_id”: “6775307447112491894”, “screen_x”: 1680, “screen_y”: 1050, “service_pack”: 0, “session_id”: “123185999533423825”, “status”: true, “suspect_flags”: 0, “suspect_group”: “”, “suspeito_ info “:” “,” tag “:” “,” tracker_id “:” “,” tracker_id64 “:” 0 “,” user_time “: 1498059948,” versão “: 16842980,” x64 “: verdadeiro}
URLs:
hxxp: //hausbauinfos.info/files/59/projectd.dat - arquivo dll hxxp: //hausbauinfos.info/files/59/projecte.dat - arquivo exe hxxp: //hausbauinfos.info/files/101/projectd.dat - arquivo dll
IPs de DNS mal intencionados em uso:
82.163.143.176 82.163.142.178
Obrigado!