Hammertoss, APT que usa esteganografía y Twitter para recibir comandos

miércoles, 5 de agosto de 2015

Como en tiempos de la guerra fría los objetivos se repiten, pero los escenarios cambian. Ya no es tan necesario desplazar agentes secretos a otros países, falsificar pasaportes o disfrazarse para no ser reconocido. Ya no hay que jugarse el pellejo colándose en la noche esquivando sistemas de alarma y seguridad en la sede presidencial o alguna empresa tecnológica para robar documentos. No solo la guerra se libra en internet, sino en sus aspectos más "2.0". Twitter y esteganografía son dos puntos básicos de un grupo de atacantes especializados, llamados APT29 por FireEye.

En un informe publicado por FireEye se detalla el funcionamiento de Hammertoss. Se trata de la herramienta de comunicación y robo de información creada por el grupo que han denominado APT29 y con objetivos de espionaje muy concreto. Se cree que el grupo está siendo financiado por el propio gobierno ruso y sorprende su capacidad de transformación y ofuscación, que le permiten innovar sus estrategias sobre la marcha una vez son detectados.

Esquema de funcionamiento de Hammertoss


Twitter como un DGA

Conficker popularizó una técnica que se sigue usando hoy en día. En vez de incrustar en el código del malware los dominios de sus C&C (dónde tenía que conectarse para recibir instrucciones o dejar datos), lo que hacían eran generarlos dinámicamente, con un algoritmo de generación de dominios (DGA). Según el día, la hora u otros parámetros, eran capaces de generar miles de dominios al día. El malware intentaba conectar con solo un subconjunto, y el atacante registraba según el día (porque conocía el algoritmo y los resultados que arrojaría) unos pocos dominios de los posibles generados. Esto tenía el siguiente efecto:

  • Analizar el malware era mucho más complicado.
  • Nunca se sabía dónde se conectaría el malware para recibir o dejar información.
  • Con pocos registros, el atacante conseguía una buena tasa de "acierto" de dominios, y esto actualizaba el malware con nuevos algoritmos de dominio a su vez, lo que convertían a la botnet en algo muy complejo de seguir o detener, puesto que nunca se sabía exactamente dónde estarían los C&C.

En el caso de APT29 han optado por un sistema parecido pero basado en Twitter. De forma que se crean perfiles de twitter basados en fecha y otros parámetros. Por ejemplo, con la base 123Bob456, donde los tres y últimos números están basados en la fecha. El atacante registraría el perfil de twitter y ahí dejaría instrucciones para el malware en forma de Twit con una URL y un hashtag.

La URL del twit contenía imágenes con información codificada (esteganografía) y además cifrada en su interior. El hashtag le servía al malware para conocer en qué punto se encontraba esa información dentro del archivo de imagen.

Extrayendo información de la cuenta de Twitter generada para la ocasión

Una vez descargada la imagen y localizado el código, se descifran las instrucciones y se ejecutan. Entre estas instrucciones se encuntra la de crear un repositorio en la nube con credenciales de acceso y posteriormente ir recopilando los datos almacenados de la víctima e ir depositándolos allí.

Antonio Bordón
antonio.bordon@11paths.com

1 comentario: