Otras curiosidades sobre Duqu2 de las que no se ha hablado tanto

lunes, 22 de junio de 2015

Se pueden dar dos situaciones especialmente irónicas en el mundo de las soluciones de seguridad, y en concreto en el de los "programas anteriormente conocidos como antivirus": Una es que se detecten a sí mismos o un componente vital del sistema operativo. Otra es que sus redes internas y corporativas se vean comprometidas por malware. Ambas situaciones se han dado en el pasado (aunque la segunda se haya mantenido probablemente más en secreto si ha sido posible)... Pero nada que ver con el caso de Duqu2 y Kaspersky. Una genialidad que, lejos de quedarse en la anécdota y la ironía, nos enseña un buen puñado de lecciones.

A estas alturas ya lo sabrá todo el mundo. Kaspersky fue infectado por Duqu2, una variante de Duqu. En octubre de 2011 se conoció una amenaza muy avanzada (quizás basada en Stuxnet) que se llamó Duqu (porque muchos de sus archivos comenzaban por ~DQ). En aquel momento era menos avanzado que Stuxnet, pero se consolidó como una herramienta de espionaje muy potente con grandes características para pasar desapercibido. El mismo equipo (sea quien sea) ha desarrollado Duqu2. Kaspersky lo encontró en sus redes, lo ha estudiado y publicado todos sus detalles. Aunque ya se ha hablado mucho del asunto, veamos lo que nos ha llamado la atención.

Cómo infectó en primer lugar

Se ha encontrado en otros sitios (relacionados con las organizaciones que establecen las negociaciones sobre el tratamiento nuclear) , pero obviamente ha llamado la atención que se ocultara en la red principal de Kaspersky. ¿Por qué ellos? Podríamos pensar que querían investigar sobre cómo funcionan sus soluciones de seguridad para pasar aún más desapercibido. O sea, que Kaspersky pudo ser simplemente un efecto colateral para un objetivo aun mayor. ¿Muy osado? No es la primera vez que lo hemos visto. A principios de 2013, alguien entró en Bit9 y se hizo con claves privadas de certificados simplemente para firmar su malware poder evadir la solución de seguridad con la que se protegía su verdadero objetivo.

Duqu2 era capaz de aprovechar al menos tres vulnerabilidades no conocidas hasta el momento. En concreto CVE-2015-2360, parcheada el 9 de junio (probablemente porque Kasperksy avisó a Microsoft) y descubierta gracias al propio Duqu2, permite la elevación de privilegios.

Todo pudo comenzar en una oficina secundaria de Kaspersky en Asia, atacando a un empleado que probablemente lanzó algo que no debía. El historial de navegación e incluso su buzón de correo había sido limpiado, con lo que se sospecha que probablemente se envió algo por correo y se ejecutó aprovechando alguna vulnerabilidad. Esto no extraña a nadie. Más o menos así comenzó todo en el ataque a Google, durante la operación Aurora. Un empleado con un dedo rápido, que lanzó un documento que permitía elevar privilegios, y poca conciencia en seguridad. Esta es la primera lección que se debe reforzar (porque todo el mundo la sabe, pero sigue ocurriendo), el tópico del eslabón más débil. Una vez en esa máquina, varios saltos laterales gracias a ese 0-day que les daba "vía libre" por la red, desplegando e instalando paquetes MSI y finalmente hasta las entrañas de Kaspersky, su controladores de dominio y servidores importantes.

Imitando al propio antivirus

El malware buscaba el propio avp.exe (proceso de antivirus de Kaspersky) en el sistema, en disco y memoria. De una manera totalmente genial, el malware mapeaba avp.exe en una nueva sección de memoria. Parcheaba una pequeña parte de este nuevo avp.exe aún en memoria y le dotaba de mecanismos de callback para llamar a funciones pasadas como argumentos. En resumen, el sistema cree que es el propio avp.exe el que está llamando a otras funciones de sistema. También invalidaban (parcheando el driver del antivirus de Kaspersky "klif.sys" en memoria) una comprobación de firma digital. Básicamente, así se hacía invisible a las propias soluciones de Kaspersky, que creían que las llamadas más comprometidas venían de él mismo.

Conocían muy bien las soluciones de Kaspersky y cómo invalidarlas una vez con los privilegios suficientes en el sistema. Así que no hay nada que reprochar al sistema antivirus propio de la compañía por no detectarlos. De hecho si consiguieron detectarlo, fue con soluciones propias pero diferentes a las de usuario "tradicional". Lo detectaron con un producto orientado a empresas y tecnología muy distinta a su propio antivirus "de siempre".

Los certificados

Detalle de las extensiones X.509 del certificado
El certificado usado fue robado a "HON HAI PRECISION INDUSTRY CO. LTD." (también conocido como "Foxconn Technology Group"). El robo de certificados para firmar binarios ya es un clásico. Se necesita para poder instalar drivers en los Windows de 64 bits. Foxconn es un fabricante de componentes electrónicos que trabaja para, básicamente, todo el mundo. Desde iPhone hasta Microsoft, pasando por Kindle y la Wii. En "el antiguo Duqu" usaron certificados de Realtek and Jmicron, otros grandes fabricantes de hardware asiáticos. Esto no pone en peligro esas marcas, solo da una idea del volumen de la compañía.

De nuevo, Foxconn es solo un actor secundario en esta obra. Su papel es solo el de ser robado para conseguir claves privadas de certificados válidos. Es más, para crear Duqu2 no han repetido certificados, lo que indica que no es tan difícil para ellos conseguir nuevos.

Como curiosidad, el certificado tenía la rara extensión SpcFinancialCriteria, vista también en el certificado de Careto. No significa en absoluto que los grupos de creadores tengan relación, más bien parece que lo tienen el origen de los certificados, empresas de hardware asiáticas, quizás.

Detalle de la contrafirma del certificado

El certificado caducaba en agosto de 2015, pero no significa que pasada esa fecha no siguiera funcionando, puesto que al contrario que Careto, estaba contrafirmado. Esto nos lleva de nuevo a insistir en que, ‎el jueves, ‎19‎ de ‎febrero‎ de ‎2015 19:31:50, Symantec (responsable de la contrafirma) recibió una petición desde alguna IP en la que se estaba firmando un controlador de Duqu2. Quizás esa información no sea relevante (obviamente habrán tomado las precauciones necesarias), pero quién sabe.


Permanencia

Duqu sobrevivía en la memoria de máquinas con altos "uptime". Evitaba el disco, porque sabía que eso significa tener posibilidades de ser detectado. En memoria, todo puede ocurrir y pasará más o menos desapercibido. Esta es una tendencia que cada vez cobrará más importancia. Si el sistema se apagaba por lo que fuese, se volvía a infectar desde otra máquina, gracias a las vulnerabilidades. ¿Punto débil? Un apagón común.

Pero se guardaban un as en la manga. Algunas máquinas infectadas contenían un driver (rootkit) con capacidad de conectarse a internet. Gracias a las credenciales que ya tenían, en caso de pérdida de control, podrían haberse conectado de nuevo por cualquier método y reinfectar en memoria los sistemas más sensibles.

Un detalle que no especifican es cuánto tiempo han permanecido comprometidos. Sí que dejan ver que la intrusión se descubrió "a principios de año", con lo que han investigado durante unos seis meses, pero no se aventuran a decir cuándo fueron atacados por primera vez.

Conclusiones

Kaspersky ha salido airoso de este incidente. De paso, ha instrumentalizado sabiamente el incidente para ganar presencia en los medios, pero de forma justa: Su transparencia ha sido ejemplar, ofreciendo toda la información disponible, y por supuesto, con la industria de su lado. Pensar que puedes engañar, distraer o contar milongas al gremio de la seguridad a estos niveles, es perder el tiempo y el prestigio. Solo cabe la honestidad. Y Kaspersky parece que ha sido honesto. Este tipo de ataques van a seguir ocurriendo, no han demostrado ninguna debilidad importante, por el contrario, de nuevo han demostrado estar a la altura de las circunstancias a la hora de investigar los incidentes más complejos en cuestión de ciberguerra.

Obviamente, también caben las típicas conclusiones: las ciberarmas están aquí no solo para quedarse, sino para evolucionar hasta límites insospechados.

Todos los detalles del informe (muy extenso) aquí: https://securelist.com/files/2015/06/The_Mystery_of_Duqu_2_0_a_sophisticated_cyberespionage_actor_returns.pdf

Sergio de los Santos
ssantos@11paths.com

No hay comentarios:

Publicar un comentario en la entrada