IPFS, un nuevo playground para los desarrolladores de malware

martes, 21 de noviembre de 2017

No son pocos los proyectos diseñados tanto por organismos o empresas para la compartición de inteligencia sobre amenazas. Sin ir más lejos, ElevenPaths dispone de una plataforma de IoC para la detección temprana de amenazas sofisticadas. Sin embargo, cada vez es más frecuente identificar entre este tipo de amenazas, el uso de tecnologías descentralizadas con el objetivo de que un tercero no pueda bloquear cualquier comunicación con el C2C, la distribución de los payloads o de binarios para que siempre se encuentren accesibles. 

Un ejemplo de plataformas descentralizadas que han sido muy recurridas a lo largo del tiempo por determinados threat actors han sido las siguientes:

  • La red Tor como opción para ocultar la localización de los servidores C&C. Vemos en el siguiente gráfico que esta práctica está siendo una tendencia durante este año.

Gráfico: muestras asociadas que utilizan la red Tor
Figura 1. Muestras asociadas que utilizan la red Tor


  • Para acceder a los hidden services de Tor se requiere una configuración específica del navegador, la utilización del Tor Browser Bundle o el enrutamiento de las peticiones a nivel de sistema operativo. Para facilitar el acceso a dichas plataformas sin necesidad de configurar ningún software existen los conocidos como Tor gateways que hacen de proxy entre un usuario que intenta acceder a un recurso .onion y el propio recurso, recogiendo el resultado y sirviéndoselo de nuevo. De esta manera, la comunicación con los C2C albergados en Tor puede ser llevada a cabo por gateaways, como es el caso de Tor2Web.

Gráfico: Muestras que utilizan el gateaway Tor2Web
Figura 2. Muestras que utilizan el gateaway Tor2Web. 

  • Más frecuente es la utilización de archivos torrent para la distribución de malware.

Gráfico: Muestras vinculadas a archivos torrent
Figura 3. Muestras vinculadas a archivos torrent. 

  • También es sonado el uso de ZeroNet y Freenet, pero ya menos frecuente en la actualidad.  

Gráfico: Uso de ZeroNet por parte de muestras de malware
                                          Figura 4. Uso de ZeroNet por parte de muestras de malware. 


Gráfico: Uso de FreeNet por parte de muestras de malware
                                             Figura 5. Uso de FreeNet por parte de muestras de malware. 

Sin embargo, recientemente se han identificado en las bases de datos de inteligencia de amenazas de ElevenPaths, muestras de malware que estarían utilizando un protocolo relativamente nuevo como es el de InterPlanetary File System (IPFS, por sus siglas en inglés). 

El malware encontrado realiza resoluciones al dominio gateway.ipfs.io y ipfs.io, utilizado para el acceso a recursos de IPFS. No obstante, no se han observado descargas, motivado probablemente por el propio diseño de la muestra, la cual se construye de diferentes elementos y que las capacidades de descarga o comunicación tipo C2C mediante el uso de IPFS no hayan sido accionadas. 

En primer lugar, para su instalación utiliza diferentes tipos de instaladores de forma encadenada como Setup Factory Runtime, InstallCapital, Install Core o InstallCube. Con el objetivo de conseguir persistencia, utiliza diferentes técnicas como, por ejemplo, las tareas programadas del sistema. Asimismo, para evitar ser detectado realiza modificaciones en la configuración de seguridad del sistema mediante la desactivación del UAC, deshabilitando WindowsDefender y modificando el firewall de Windows. Y, además, otro tipo de técnicas comúnmente utilizadas es la utilización de DNS dinámicos o la inyección de procesos

Finalmente señalar que en los casos detectados se han encontrado muestras que incorporaban malware como en el gusano común Sality, el cual utiliza como método de propagación las unidades extraíbles y con capacidades de descargar malware adicional. Y, en otra de las piezas identificadas asociadas a IPFS, incorporaba Glupteba, un troyano que genera ingresos haciendo clic en publicidad en un sistema comprometido. 

El uso generalizado de este protocolo podría llevarse a cabo en el futuro debido a las características técnicas que ofrece. Al igual que se ha realizado con los torrents por su amplia utilización por diferentes tipos de muestras maliciosas, es probable que en el futuro sea necesario proteger los sistemas evitando conexiones a IPFS, con la consiguiente pérdida de fiabilidad en este sistema.







Miguel Ángel de Castro Simón
Senior Cybersecurity Analyst at ElevenPaths
Intelligence Analyst at ElevenPaths' Innovation Lab
@yrubiosec
yaiza.rubiovinuela@telefonica.com


No hay comentarios:

Publicar un comentario