Recentemente, o grupo chinês Qihoo 360 observou uma grande campanha na Ásia de construção de uma botnet usando um conjunto de ferramentas chamado Living of the Land e exploits do EternalBlue e Mimikatz para montar uma operação maliciosa de mineração criptomoeda, além de possivelmente fazer download de outras ameaças nos ativos comprometidos.
Botnets
As botnets são ameaças reais de forma direta ou indireta às organizações de todos os portes. Com rápida escalabilidade devido a diferentes infecções por malwares, uma pessoa mal-intencionada pode deter o controle de seus ativos e conseguir documentos, logins, banda, poder computacional e ataques variados em alvos.
Cryptomining
Com o avanço das criptomoedas e transações online, a mineração trouxe um novo vetor de lucro. O processo de mineração utiliza o CPU e a banda dos ativos rodando os softwares que processam as transações da criptomoeda, e para esse usuário minerador, há uma recompensa paga pelo processamento. Corporativamente, recursos de CPU e rede são utilizados, aumentando carga interna e tornando todos os processos essenciais ao negócio lentos ou impraticáveis.
| |
Toolkit
Detentor de uma série de capacidades em ferramentas, o Living of the Land é popular por oferecer uma grande utilidade em ataques. Referente à campanha de cryptojacking na Ásia, foi observada a utilização de scripts de ofuscação no powershell do Living of the Land. A ofuscação é uma técnica utilizada para evitar a detecção de código malicioso por tecnologias de segurança.
Segue abaixo um exemplo comum de um script powershell sendo ofuscado:
EternalBlue
Famoso por ter parte de seu código em ameaças como WannaCry e NotPetya, o EternalBlue tem a capacidade de explorar o protocolo SMBv1 (já defasado) permitindo acesso lateral e dando a programas maliciosos a capacidade de se auto replicar. Informações da vulnerabilidade no boletim MS17-010 e CVE-2017-0144.
Mimikatz
Criado em 2011, a ferramenta Mimikatz é considerada uma evolução do Windows Credential Editor. Ela é capaz de extrair e manipular hashs, senhas, tickets de memória, PIN.
Atualmente uma versão em powershell, feita pelo PowerSploit, está disponível no github:
O ataque
Os métodos de infecção podem variar de diversas formas, contudo um dos mais comuns são os phishings. O usuário recebe um e-mail alterado com o malware/script com o conjunto de vulnerabilidades a serem exploradas e depois roda sua rotina.
Para esta campanha dos países asiáticos, um malware foi desenvolvido com código das ferramentas citadas anteriormente. Uma vez que consegue as credenciais, ele muda o firewall do ativo comprometido criando um port forward e agenda uma tarefa para baixar e executar uma cópia atualizada de si mesmo do seu servidor command-and-control.
Adicionalmente, uma série de scripts são baixados, incluindo alguns para coletar endereços MAC e lista de softwares antivírus.
Um trojan espião, identificado como TrojanSpy.Win32.BEAHNY.THCACAI pela TrendMicro, também é baixado para coleta de informações como GUID, versão do sistema operacional, informação de memória e hora do sistema.
Mais informações sobre o Beahny:
https://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/trojanspy.win32.beahny.thcacai
Com auxílio da versão em PowerShell do Mimikatz, o malware ganha capacidade de propagação lateral. Também foi notado que o malware tenta acessar servidores SQL com senhas fracas e scans de IPs internos que possam ser exploitados pelo seu conjunto de exploit a ser utilizado.
Por fim, o malware baixa e executa, via PowerShell com parâmetros específicos, o XMRig Monero cryptominer, que começa a operação de processamento utilizando recursos da máquina e rede do ativo infectado.
Indícios de infecção
Práticas para prevenção