Una investigación de ElevenPaths en la RSA Conference de Abu Dhabi 2016

lunes, 26 de septiembre de 2016

Una investigación promovida desde el área de innovación y laboratorio de ElevenPaths, ha sido aceptada para participar en la RSA Conference de Abu Dhabi 2016 que tendrá lugar en noviembre y donde se presentarán los resultados.

Las conferencias RSA (cuyo mayor exponente se celebra en Estados Unidos) es reconocida mundialmente como el evento más importante para unir a investigadores de la industria de la seguridad a todos los niveles. Se ha convertido en el referente mundial para que se compartan ideas sobre seguridad, se desvelen los últimos productos de las compañías, y se impartan charlas, talleres, conferencias, etc. Tiene una afluencia de público cercana a los 50.000 visitantes al año.


La publicación "Android Malware Pattern Recognition for Fraud and Attribution" será presentada por Adolfo Hernández, Cybersecurity Advisor de Telefóncia y Ahmed Alketbi, Senior Manager, Security Solutions Marketing de Etisalat. Además, la investigación será publicada en "Encyclopedia on Social network analysis and mining (ESNAM)" editada por Springer.

La investigación habla de las técnicas de reconocimiento de patrones de malware y su problemática ante las nuevas amenazas. Aunque los métodos de Big Data y machine learning permiten aliviar el trabajo más duro para combatir el problema, los atacantes saben cómo eludir los controles de seguridad. Si se estrecha el alcance del Big Data hasta el punto en el que la HUMINT puede abordarlo, se estará aprovechando ambas técnicas y mejorándolas.

Fruto de esta investigación y difusión se espera no solo entender y mejorar la ciberseguridad en general sino integrar este conocimiento generado para potenciar e innovar en los productos y servicios más representativos desarrollados por ElevenPaths.

Gcat, un backdoor que utiliza Gmail como C&C

viernes, 23 de septiembre de 2016

Las muestras de malware, que utilizan servicios de correo electrónico como canales encubiertos para la exfiltración de información, están resultando eficaces en entornos corporativos con gran cantidad de información, principalmente por lo que implica limitar las comunicaciones hacia proveedores que también son usados legítimamente.

En un informe publicado por ElevenPaths el pasado mes de junio identificamos un incremento de hasta un centenar de muestras de malware entre junio de 2015 hasta julio de 2016, relacionadas con el uso de técnicas de covert channel que abusaban del correo de Gmail para exfiltrar información. Sin embargo, cuarenta de estas muestras estarían basadas en una herramienta denominadas Gcat.

Análisis de un binario basado en Gcat
La herramienta Gcat consta de dos ficheros: gcat.py e implant.py. El fichero gcat.py es el componente que ejecuta el atacante y que permitirá realizar acciones sobre el implant.py desplegado en las víctimas previa conversión a binario ejecutable.

La configuración que debe realizarse en Gcat implica la modificación de estos dos ficheros: gcat.py e implant.py. En este sentido, se debe añadir en ambos ficheros una cuenta de correo de Gmail y su contraseña. Por otro lado, es necesario activar la opción de permitir aplicaciones menos seguras en la parte de seguridad de la cuenta Gmail y habilitar IMAP en los ajustes de esta.

En los detalles de instalación y configuración de la herramienta se indica que es necesario realizar la compilación en 32 bits. Adicionalmente, durante el análisis de diferentes muestras, se han encontrado modificaciones tanto del archivo implant.py como del binario generado a partir de este. El objetivo de estas modificaciones es dificultar la detección y el análisis del fichero malicioso. Algunas de estas modificaciones incluyen técnicas para reubicar porciones de código y protegerlos con código antidesensamblado. También se han encontrado tareas de reenrutamiento de todas las llamadas a funciones a través de una función central para evadir el análisis estático de flujo de ejecución del programa.

Una vez desplegado el implant.py en la víctima, desde el controlador gcat.py, podremos listar los implantes desplegados en las víctimas con la opción -list. Por cada víctima se muestra una cadena que identifica de forma exclusiva el sistema infectado, además del sistema operativo en el que se está ejecutando como se muestra en la Figura 1.



En las siguientes figuras podemos observar los correos generados en la cuenta de Gmail además del contenido de cada uno de ellos con información sobre el contexto de ejecución en formato Json además de los procesos ejecutados y sistemas infectados:




En cuanto al implant.py, tras haber sido transformado a binario y obtener la ruta de la carpeta temporal del sistema, obtiene su propio ID de proceso para utilizar posteriormente en la creación de una carpeta temporal del sistema con el nombre _MEI seguido del ID del proceso obtenido.



El binario malicioso escribe 17 ficheros en la carpeta _MEI, necesarios para su funcionamiento en un entorno Windows como fichero binario PE, así como las diferentes librerías que utiliza (Figura 4). Seguidamente, se genera un nuevo proceso con la función CreateProcessW con el mismo nombre pero con un tamaño superior que sirve para establecer la comunicación con el servicio de Gmail. Al realizarse la comunicación mediante el protocolo HTTPS no es posible ver el contenido de la misma.


Al abrirse un nuevo proceso fuera del contexto del debugger, se ejecuta una nueva instancia del debugger para realizar el análisis del proceso denominado attach en la herramienta utilizada. En este momento, se realiza una conversión de hexadecimal a decimal del PID del nuevo proceso para saber cuál de los dos procesos con el mismo nombre se debe realizar el attach.


En este momento del análisis, se analiza el nuevo proceso en memoria con el objetivo de obtener el usuario de Gmail y la contraseña utilizada por el atacante. También es posible hacer un dump de la memoria del nuevo proceso generado para obtener los parámetros Gmail_user y Gmail_pwd.


Precaución a la hora de considerar los dominios de Gmail como confiables
Como ya hemos visto, los dominios de Gmail u otros proveedores de correo electrónico o incluso dominios relacionados con redes sociales podrían estar siendo utilizados para tomar el control de los sistemas de una organización. Es por ello que ElevenPaths recomienda realizar una monitorización en detalle de los mismos o incluso bloquearlos en el caso de sistemas que alberguen información sensible. Por otro lado, con las tecnologías de defensa contra malware avanzado se realiza una monitorización exhaustiva del comportamiento del endpoint, por lo que esta aproximación permitiría analizar el comportamiento del mismo si un dominio o servicio, a priori legítimo, podría estar siendo utilizado con fines maliciosos.