Stealth Falcon es un grupo de amenazas, activo desde 2012, que se dirige a activistas políticos y periodistas en el Medio Oriente. Ha sido rastreado por el Citizen Lab , una organización sin fines de lucro centrada en la seguridad y los derechos humanos, que publicó un análisis de un ciberataque en particular en 2016. En enero de 2019, Reuters publicó un informe de investigación sobre Project Raven, una iniciativa que supuestamente emplea ex agentes de la NSA y apuntando a los mismos tipos de objetivos que Stealth Falcon.
Sobre la base de estos dos informes que se refieren a los mismos objetivos y ataques, el tecnólogo principal de Amnistía Internacional, Claudio Guarnieri, ha concluido que Stealth Falcon y Project Raven en realidad son el mismo grupo.
Figura 1. Claudio Guarnieri ha conectado Stealth Falcon con Project Raven
Parte de la información técnica sobre Stealth Falcon ya se ha hecho pública, en particular, en el análisis ya mencionado por el Citizen Lab.
El componente clave en el ataque documentado en el informe de Citizen Lab fue una puerta trasera basada en PowerShell, entregada a través de un documento armado que se incluyó en un correo electrónico malicioso.
Ahora, hemos encontrado una puerta trasera binaria previamente no reportada que hemos llamado Win32 / StealthFalcon. En este artículo, revelamos similitudes entre esta puerta trasera binaria y el script de PowerShell con capacidades de puerta trasera atribuidas al grupo Stealth Falcon. Consideramos que las similitudes son una fuerte evidencia de que Win32 / StealthFalcon fue creado por este grupo.
La puerta trasera Win32 / StealthFalcon, que parece haber sido creada en 2015, permite al atacante controlar la computadora comprometida de forma remota. Hemos visto un pequeño número de objetivos en EAU, Arabia Saudita, Tailandia y los Países Bajos; en este último caso, el objetivo era una misión diplomática de un país del Medio Oriente. Cómo se distribuyó y ejecutó la puerta trasera en los sistemas de destino está más allá del alcance de esta investigación; Nuestro análisis se centra en sus capacidades y su comunicación C&C.
Comunicación C&C
En su comunicación con el servidor C&C, Win32 / StealthFalcon utiliza el componente estándar de Windows Servicio de transferencia inteligente en segundo plano (BITS), una técnica bastante inusual. BITS fue diseñado para transferir grandes cantidades de datos sin consumir una gran cantidad de ancho de banda de la red, lo que se logra al enviar los datos con un rendimiento limitado para no afectar las necesidades de ancho de banda de otras aplicaciones. Es comúnmente utilizado por los actualizadores, mensajeros y otras aplicaciones diseñadas para operar en segundo plano. Esto significa que las tareas BITS tienen más probabilidades de ser permitidas por los firewalls basados en host .
En comparación con la comunicación tradicional a través de las funciones API, el mecanismo BITS está expuesto a través de una interfaz COM y, por lo tanto, es más difícil de detectar para un producto de seguridad. Además, este diseño es confiable y sigiloso. La transferencia se reanuda automáticamente después de ser interrumpida por razones como una interrupción de la red, el cierre de sesión del usuario o un reinicio del sistema. Además, debido a que BITS ajusta la velocidad a la que se transfieren los archivos en función del ancho de banda disponible, el usuario no tiene motivos para sospechar.
Win32 / StealthFalcon puede cambiar la comunicación entre dos servidores C&C cuyas direcciones están almacenadas en una clave de registro, junto con otros valores de configuración, y pueden actualizarse mediante uno de los comandos de puerta trasera. En caso de que la puerta trasera no llegue a sus servidores C&C, la puerta trasera se retira del sistema comprometido después de un número preconfigurado de intentos fallidos.
Capacidades
Win32 / StealthFalcon es un archivo DLL que, después de la ejecución, se programa como una tarea que se ejecuta en cada inicio de sesión de usuario. Solo admite comandos básicos, pero muestra un enfoque sistemático para la recopilación de datos, la filtración de datos, el empleo de herramientas maliciosas adicionales y la actualización de su configuración.
| Nombre del comando | Funcionalidad |
|---|---|
| K | Desinstalarse |
| CFG | Actualizar datos de configuración |
| RC | Ejecuta la aplicación especificada |
| DL | Escribir datos descargados en el archivo |
| CF | Prepare un archivo para exfiltración |
| CFW | Exfiltrar y eliminar archivos |
| CFWD | No implementado / sin operación |
Tabla 1. Comandos de puerta trasera
Por ejemplo, la capacidad clave de la puerta trasera, la descarga y la ejecución de archivos, se logra mediante comprobaciones periódicas de las bibliotecas llamadas «win * .dll» o «std * .dll» en el directorio desde el que se ejecuta el malware, y cargando estas bibliotecas.
Además, Win32 / StealthFalcon recopila archivos y los prepara para exfiltración almacenando una copia cifrada con un prefijo codificado en una carpeta temporal. Luego verifica regularmente dichos archivos y los extrae automáticamente. Una vez que los archivos se han filtrado correctamente, el malware elimina de forma segura todos los archivos de registro y los archivos recopilados, antes de eliminarlos, los reescribe con datos aleatorios, para evitar el análisis forense y la recuperación de los datos eliminados.
Los valores de configuración se almacenan en la clave de registro HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Shell Extensions . Todos los valores tienen como prefijo el nombre de archivo del malware (sin extensión).
| Sufijo de nombre de valor | Contenido |
|---|---|
| -FontDisposition | ID de víctima de 4 bytes generada aleatoriamente |
| -MRUData | Dominio C&C encriptado con RC4 |
| -MRULISTA | Dominio C&C encriptado con RC4 |
| -IconPosition | Indicador que determina cuál de los dominios C&C debe usarse |
| -IconDisposition | Número de segundos para dormir después de cada iteración de contactar al servidor de C&C |
| -PopupPosition | Contador de intentos fallidos para llegar a los servidores de C&C |
Tabla 2. Datos de configuración almacenados en el registro
Posible truco para evadir la detección
De interés es una función que se ejecuta antes de que se inicie cualquier carga maliciosa, y que parece redundante. Hace referencia a más de 300 importaciones, pero no las usa en absoluto. En cambio, siempre regresa y continúa con la carga útil después, sin verificaciones de condición que sugieran que es un truco anti-emulación.
Figura 2. Una función que hace referencia a cientos de importaciones no utilizadas, posiblemente agregadas para evitar la detección del malware
No conocemos la intención precisa de esta función, pero sospechamos que se trata de algún intento de evadir la detección o de algunos restos de un marco más grande utilizado por los autores del malware.
Enlaces a Stealth Falcon
Tanto Win32 / StealthFalcon como la puerta trasera basada en PowerShell descrita en el análisis de Citizen Lab comparten el mismo servidor C&C: la dirección windowsearchcache [.] Com se usó como un «Dominio del servidor C2 de la segunda etapa» en la puerta trasera analizada por Citizen Lab, y También en una de las versiones de Win32 / StealthFalcon.
Ambas puertas traseras muestran similitudes significativas en el código, aunque están escritas en diferentes idiomas, la lógica subyacente se conserva. Ambos usan identificadores codificados (probablemente ID de campaña / ID de objetivo). En ambos casos, toda la comunicación de red del host comprometido tiene el prefijo de estos identificadores y se cifra con RC4 utilizando una clave codificada.
Para su comunicación con el servidor C&C, ambos usan HTTPS pero establecen banderas específicas para que la conexión ignore el certificado del servidor.
Conclusión
Descubrimos y analizamos una puerta trasera con una técnica poco común para la comunicación C&C, utilizando Windows BITS, y algunas técnicas avanzadas para dificultar la detección y el análisis, y para garantizar la persistencia y complicar el análisis forense. Las similitudes en el código y la infraestructura con un malware previamente conocido por Stealth Falcon nos llevan a la conclusión de que la puerta trasera Win32 / StealthFalcon también es el trabajo de este grupo de amenazas.
Indicadores de compromiso (IoC)
Nombre de detección de ESET
Win32 / StealthFalcon
SHA-1
31B54AEBDAF5FBC73A66AC41CCB35943CC9B7F72
50973A3FC57D70C7911F7A952356188B9939E56B
244EB62B9AC30934098CA4204447440D6FC4E259
5C8F83CC4FF57E7C6792504F4D7D0D5
Llaves RC4
258A4A9D139823F55D7B9DA1825D101107FBF88634A870DE9800580DAD556BA3
2519DB0FFEC604D6C9A655CF56B98EDCE10405DE36810BC3DCF125CDE30BA5A2
3EDB6EA77CD0987668B360365D5F39FDCF6B366D0DEAC9ECE5ADC6FFD20227F6
8DFFDE77A39F3AF46D0CE0B84A189DB25A2A0FEFD71A0CD0054D8E0D60AB08DE
Nota: El malware obtiene una segunda clave RC4 al aplicar XOR a cada byte de la clave codificada con 0x3D.
Indicadores basados en el host
Nombres de archivos de malware
ImageIndexer.dll
WindowsBackup.dll
WindowsSearchCache.dll
JavaUserUpdater.dll
Patrones de nombre de archivo de registro
% TEMP% \ dsc *
% TEMP% \ sld *
% TEMP% \ plx *
Claves de registro / valores
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Extensiones de shell
X-MRUList
X-MRUData
X-FontDisposition
X-IconDisposition
X-IconPosition
X-PopupPosition
X es el nombre de archivo del malware (sin extensión).
Indicadores de red
BITS nombres de trabajo
WindowsImages-
WindowsBackup-
WindowsSearchCache-
ElectricWeb
Servidores C&C
footballtimes [.] info
vegetableportfolio [.] com
windowsearchcache [.] com
electricalweb [.] org
upnpdiscover [.] org
Técnicas MITRE ATT y CK
| Táctica | CARNÉ DE IDENTIDAD | Nombre | Descripción |
|---|---|---|---|
| Ejecución | T1059 | Interfaz de línea de comandos | El malware utiliza cmd.exe para ejecutar algunos comandos. |
| T1106 | Ejecución a través de API | El malware utiliza la API CreateProcessW para la ejecución. | |
| T1085 | Rundll32 | El malware utiliza rundll32.exe para cargar la DLL de puerta trasera. | |
| T1053 | Tarea programada | El malware programa que rundll32.exe se ejecute en cada inicio de sesión y, posteriormente, cargue la DLL de puerta trasera. | |
| Persistencia | T1053 | Tarea programada | El malware establece la persistencia al programar una tarea que carga la puerta trasera en cada inicio de sesión de usuario. |
| Evasión de defensa | T1197 | BITS Jobs | El malware utiliza el mecanismo de transferencia de archivos BITS para la comunicación de red, en un intento de evitar la detección. |
| T1140 | Desobuscar / decodificar archivos o información | Las cadenas se cifran con un cifrado XOR personalizado. | |
| Los datos de configuración y los archivos de registro se cifran con RC4, utilizando una clave codificada. | |||
| T1107 | Eliminación de archivos | El malware sobrescribe archivos con datos aleatorios y los elimina después de la exfiltración. | |
| T1036 | Disfraces | El malware intenta disfrazarse utilizando nombres de archivo aparentemente legítimos. | |
| T1112 | Modificar registro | El malware almacena su configuración en una clave de registro. | |
| T1027 | Archivos o información ofuscados | Las cadenas se cifran con un cifrado XOR personalizado. | |
| Los datos de configuración y los archivos de registro se cifran con RC4, utilizando una clave codificada. | |||
| Descubrimiento | T1063 | Descubrimiento de software de seguridad | El malware termina automáticamente si se detecta el binario de McAfee Agent (cmdagent.exe). |
| Colección | T1074 | Datos organizados | El malware almacena los datos recopilados en una carpeta temporal en archivos nombrados con un prefijo codificado. |
| T1005 | Datos del sistema local | El malware tiene un comando para recopilar / robar un archivo del sistema comprometido. | |
| Comando y control | T1008 | Canales de reserva | El malware puede comunicarse con dos servidores de C&C; También admite el cambio a un servidor C&C diferente mediante un comando de puerta trasera. |
| T1105 | Copia remota de archivos | El malware utiliza BITS Jobs para la comunicación C&C. | |
| T1032 | Protocolo criptográfico estándar | El malware encripta la comunicación C&C usando RC4 con una clave codificada. | |
| Exfiltración | T1020 | Exfiltración Automatizada | El malware extrae automáticamente archivos en una carpeta temporal en archivos con un prefijo codificado. |
| T1022 | Datos cifrados | El malware cifra los datos recopilados utilizando RC4 con una clave codificada, antes de la filtración. | |
| T1041 | Exfiltración sobre el canal de comando y control | El malware extrae datos a través del canal C&C. |
Fuente: welivesecurity.com
