Stealth Falcon es un grupo de amenazas, activo desde 2012, que se dirige a activistas políticos y periodistas en el Medio Oriente. Ha sido rastreado por el Citizen Lab , una organización sin fines de lucro centrada en la seguridad y los derechos humanos, que publicó un análisis de un ciberataque en particular en 2016. En enero de 2019, Reuters publicó un informe de investigación sobre Project Raven, una iniciativa que supuestamente emplea ex agentes de la NSA y apuntando a los mismos tipos de objetivos que Stealth Falcon.

Sobre la base de estos dos informes que se refieren a los mismos objetivos y ataques, el tecnólogo principal de Amnistía Internacional, Claudio Guarnieri, ha concluido que Stealth Falcon y Project Raven en realidad son el mismo grupo.

 

Figura 1. Claudio Guarnieri ha conectado Stealth Falcon con Project Raven

 

Parte de la información técnica sobre Stealth Falcon ya se ha hecho pública, en particular, en el análisis ya mencionado por el Citizen Lab.

El componente clave en el ataque documentado en el informe de Citizen Lab fue una puerta trasera basada en PowerShell, entregada a través de un documento armado que se incluyó en un correo electrónico malicioso.

Ahora, hemos encontrado una puerta trasera binaria previamente no reportada que hemos llamado Win32 / StealthFalcon. En este artículo, revelamos similitudes entre esta puerta trasera binaria y el script de PowerShell con capacidades de puerta trasera atribuidas al grupo Stealth Falcon. Consideramos que las similitudes son una fuerte evidencia de que Win32 / StealthFalcon fue creado por este grupo.

La puerta trasera Win32 / StealthFalcon, que parece haber sido creada en 2015, permite al atacante controlar la computadora comprometida de forma remota. Hemos visto un pequeño número de objetivos en EAU, Arabia Saudita, Tailandia y los Países Bajos; en este último caso, el objetivo era una misión diplomática de un país del Medio Oriente. Cómo se distribuyó y ejecutó la puerta trasera en los sistemas de destino está más allá del alcance de esta investigación; Nuestro análisis se centra en sus capacidades y su comunicación C&C.

Comunicación C&C

En su comunicación con el servidor C&C, Win32 / StealthFalcon utiliza el componente estándar de Windows Servicio de transferencia inteligente en segundo plano (BITS), una técnica bastante inusual. BITS fue diseñado para transferir grandes cantidades de datos sin consumir una gran cantidad de ancho de banda de la red, lo que se logra al enviar los datos con un rendimiento limitado para no afectar las necesidades de ancho de banda de otras aplicaciones. Es comúnmente utilizado por los actualizadores, mensajeros y otras aplicaciones diseñadas para operar en segundo plano. Esto significa que las tareas BITS tienen más probabilidades de ser permitidas por los firewalls basados ​​en host .

En comparación con la comunicación tradicional a través de las funciones API, el mecanismo BITS está expuesto a través de una interfaz COM y, por lo tanto, es más difícil de detectar para un producto de seguridad. Además, este diseño es confiable y sigiloso. La transferencia se reanuda automáticamente después de ser interrumpida por razones como una interrupción de la red, el cierre de sesión del usuario o un reinicio del sistema. Además, debido a que BITS ajusta la velocidad a la que se transfieren los archivos en función del ancho de banda disponible, el usuario no tiene motivos para sospechar.

Win32 / StealthFalcon puede cambiar la comunicación entre dos servidores C&C cuyas direcciones están almacenadas en una clave de registro, junto con otros valores de configuración, y pueden actualizarse mediante uno de los comandos de puerta trasera. En caso de que la puerta trasera no llegue a sus servidores C&C, la puerta trasera se retira del sistema comprometido después de un número preconfigurado de intentos fallidos.

Capacidades

Win32 / StealthFalcon es un archivo DLL que, después de la ejecución, se programa como una tarea que se ejecuta en cada inicio de sesión de usuario. Solo admite comandos básicos, pero muestra un enfoque sistemático para la recopilación de datos, la filtración de datos, el empleo de herramientas maliciosas adicionales y la actualización de su configuración.

Nombre del comando Funcionalidad
K Desinstalarse
CFG Actualizar datos de configuración
RC Ejecuta la aplicación especificada
DL Escribir datos descargados en el archivo
CF Prepare un archivo para exfiltración
CFW Exfiltrar y eliminar archivos
CFWD No implementado / sin operación

Tabla 1. Comandos de puerta trasera

 

Por ejemplo, la capacidad clave de la puerta trasera, la descarga y la ejecución de archivos, se logra mediante comprobaciones periódicas de las bibliotecas llamadas «win * .dll» o «std * .dll» en el directorio desde el que se ejecuta el malware, y cargando estas bibliotecas.

Además, Win32 / StealthFalcon recopila archivos y los prepara para exfiltración almacenando una copia cifrada con un prefijo codificado en una carpeta temporal. Luego verifica regularmente dichos archivos y los extrae automáticamente. Una vez que los archivos se han filtrado correctamente, el malware elimina de forma segura todos los archivos de registro y los archivos recopilados, antes de eliminarlos, los reescribe con datos aleatorios, para evitar el análisis forense y la recuperación de los datos eliminados.

Los valores de configuración se almacenan en la clave de registro HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Shell Extensions . Todos los valores tienen como prefijo el nombre de archivo del malware (sin extensión).

Sufijo de nombre de valor Contenido
-FontDisposition ID de víctima de 4 bytes generada aleatoriamente
-MRUData Dominio C&C encriptado con RC4
-MRULISTA Dominio C&C encriptado con RC4
-IconPosition Indicador que determina cuál de los dominios C&C debe usarse
-IconDisposition Número de segundos para dormir después de cada iteración de contactar al servidor de C&C
-PopupPosition Contador de intentos fallidos para llegar a los servidores de C&C

Tabla 2. Datos de configuración almacenados en el registro

 

Posible truco para evadir la detección

De interés es una función que se ejecuta antes de que se inicie cualquier carga maliciosa, y que parece redundante. Hace referencia a más de 300 importaciones, pero no las usa en absoluto. En cambio, siempre regresa y continúa con la carga útil después, sin verificaciones de condición que sugieran que es un truco anti-emulación.

 

 

Figura 2. Una función que hace referencia a cientos de importaciones no utilizadas, posiblemente agregadas para evitar la detección del malware

 

No conocemos la intención precisa de esta función, pero sospechamos que se trata de algún intento de evadir la detección o de algunos restos de un marco más grande utilizado por los autores del malware.

Enlaces a Stealth Falcon

Tanto Win32 / StealthFalcon como la puerta trasera basada en PowerShell descrita en el análisis de Citizen Lab comparten el mismo servidor C&C: la dirección windowsearchcache [.] Com se usó como un «Dominio del servidor C2 de la segunda etapa» en la puerta trasera analizada por Citizen Lab, y También en una de las versiones de Win32 / StealthFalcon.

Ambas puertas traseras muestran similitudes significativas en el código, aunque están escritas en diferentes idiomas, la lógica subyacente se conserva. Ambos usan identificadores codificados (probablemente ID de campaña / ID de objetivo). En ambos casos, toda la comunicación de red del host comprometido tiene el prefijo de estos identificadores y se cifra con RC4 utilizando una clave codificada.

Para su comunicación con el servidor C&C, ambos usan HTTPS pero establecen banderas específicas para que la conexión ignore el certificado del servidor.

Conclusión

Descubrimos y analizamos una puerta trasera con una técnica poco común para la comunicación C&C, utilizando Windows BITS, y algunas técnicas avanzadas para dificultar la detección y el análisis, y para garantizar la persistencia y complicar el análisis forense. Las similitudes en el código y la infraestructura con un malware previamente conocido por Stealth Falcon nos llevan a la conclusión de que la puerta trasera Win32 / StealthFalcon también es el trabajo de este grupo de amenazas.

Indicadores de compromiso (IoC)

Nombre de detección de ESET

Win32 / StealthFalcon

SHA-1

31B54AEBDAF5FBC73A66AC41CCB35943CC9B7F72
50973A3FC57D70C7911F7A952356188B9939E56B
244EB62B9AC30934098CA4204447440D6FC4E259
5C8F83CC4FF57E7C6792504F4D7D0D5

Llaves RC4

258A4A9D139823F55D7B9DA1825D101107FBF88634A870DE9800580DAD556BA3
2519DB0FFEC604D6C9A655CF56B98EDCE10405DE36810BC3DCF125CDE30BA5A2
3EDB6EA77CD0987668B360365D5F39FDCF6B366D0DEAC9ECE5ADC6FFD20227F6
8DFFDE77A39F3AF46D0CE0B84A189DB25A2A0FEFD71A0CD0054D8E0D60AB08DE

Nota: El malware obtiene una segunda clave RC4 al aplicar XOR a cada byte de la clave codificada con 0x3D.

Indicadores basados ​​en el host

Nombres de archivos de malware

ImageIndexer.dll
WindowsBackup.dll
WindowsSearchCache.dll
JavaUserUpdater.dll

Patrones de nombre de archivo de registro

% TEMP% \ dsc *
% TEMP% \ sld *
% TEMP% \ plx *

Claves de registro / valores

HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Extensiones de shell
X-MRUList
X-MRUData
X-FontDisposition
X-IconDisposition
X-IconPosition
X-PopupPosition
X es el nombre de archivo del malware (sin extensión).

Indicadores de red

BITS nombres de trabajo

WindowsImages-
WindowsBackup-
WindowsSearchCache-
ElectricWeb

Servidores C&C

footballtimes [.] info
vegetableportfolio [.] com
windowsearchcache [.] com
electricalweb [.] org
upnpdiscover [.] org

Técnicas MITRE ATT y CK

 

Fuente: welivesecurity.com

Compartir