Introduzione
La botnet Andromeda, una delle più grandi reti di cyber criminali mai esistita e attiva dal settembre del 2011, è stata debellata grazie ad un’operazione congiunta su scala globale condotta da ESET – il più grande produttore di software per la sicurezza digitale dell’Unione europea – insieme alle forze di polizia e Microsoft.
Gamarue, solitamente rilevato da ESET come Win32/TrojanDownloader.Wauchos, è in circolazione già dal settembre del 2011 e spesso è stato rivenduto come crimekit nei forum clandestini. Questo strumento si è rivelato molto popolare tra i criminali informatici e per questa ragione ci sono molteplici botnet indipendenti basate su Wauchos. In passato, Wauchos è risultata la famiglia di malware più rilevata dagli utenti ESET, così quando Microsoft ci ha chiesto di prendere parte a questa azione per debellarlo, per proteggere al meglio i nostri utenti e il pubblico in generale è stato semplicissimo trovarsi in accordo.
ESET ha fornito analisi tecniche per questa operazione controllando da vicino le botnet Wauchos, identificando i loro server C&C e controllando i relativi operatori installati sui sistemi delle vittime. Tramite Microsoft sono state fornite alle forze dell’ordine le seguenti informazioni come parte di questa operazione:
– 1,214 domini e indirizzi IP di server di comando e controllo delle botnet
– 464 distinte botnet
– 80 famiglie di malware associate
Nella Figura 1 è possibile vedere sulla mappa la diffusione del Wauchos in base ai dati della nostra telemetria.
Evidentemente Wachos è un problema globale e ogni precedente tentativo di debellarlo è fallito. Come noterete in tutto l’articolo, i dati estratti dalla nostra telemetria risalgono a circa un anno fa in quanto si riferiscono all’apice dell’attività di Wauchos e sono quindi più rappresentativi del periodo in cui si è svolta la maggior parte della ricerca.
Figura 1. Mappa sulla Diffusione del Wauchos (Dicembre 2016 – fonte http://virusradar.com/)
Nel caso in cui si abbiano dei dubbi sulla possibilità che il proprio sistema Windows sia stato infettato da questa minaccia e non si fosse clienti ESET, è possibile scaricare e utilizzare ESET Online Scanner, che rimuoverà ogni minaccia che possa essere presente nel sistema, incluso il Wauchos.
Cos’è Wauchos?
In questa sezione, analizzeremo i dettagli tecnici che abbiamo scoperto seguendo l’evoluzione di questa famiglia di malware.
Wauchos è un trojan solitamente utilizzato per sottrarre le credenziali, scaricare e installare malware aggiuntivi in un sistema. Quindi se un computer è stato infettato dal Wauchos, è probabile che ci siano diverse altre famiglie di malware in agguato per approfittare dello stesso sistema.
Wauchos è un malware modulare le cui funzionalità possono essere facilmente ampliate aggiungendo dei plugin come keylogger, formgrabber, rootkit, SOCKS proxy e bot per TeamViewer. Ci sono cinque maggiori versioni conosciute di Wauchos, che si basano sullo stesso schema di versione: 2.06, 2.07, 2.08, 2.09 e 2.10. Per le prime tre release, la versione era inclusa nella richiesta POST inviata al C&C dal bot, rendendo semplice l’identificazione. Nelle ultime versioni di Wauhos è stato rimosso il parametro bv nella richiesta POST, ma è ancora relativamente semplice identificare la versione del bot verificando la stringa di identificazione inviata al server [3]:
Nella Figura 2 viene mostrata la tipica richiesta POST. La stringa di identificazione è crittografata RC4 poi codificata in base64.
Figura 2. Tipica Richiesta POST
Da quando è stato distribuito un builder per la versione 2.06 qualche anno fa abbiamo notato parecchie release di questa botnet nella nostra telemetria, tuttavia secondo i dati del nostro crawler l’ultima versione, la 2.10, è la più diffusa.
La vera natura globale di questa minaccia si riscontra anche nella diversità dei server di comando e controllo utilizzati dai suoi operatori. Durante il controllo di questa minaccia, siamo stati in grado di scoprire dozzine di server C & C di Wauchos ogni mese. La Figura 3 mostra un’istantanea dei diversi TLD utilizzati dai C & C, mentre la Figura 4 mostra la distribuzione geografica di questi IP dei server di C & C quando il crawler si collegava a loro nel novembre e nel dicembre 2016.
Figura 3. C&C TLD per Novembre e Dicembre 2016
Figura 4. Geolocalizzazione degli IP C&C per Novembre e Dicembre 2016
È interessante notare che molti dei campioni analizzati controllano il layout della tastiera del sistema e non procedono con l’infezione se corrisponde a uno dei seguenti:
– Russo
– Ucraino
– Bielorusso
– Kazako
Vettore di infezione.
Poiché Wauchos viene acquistato e poi distribuito da molti criminali informatici, i vettori di infezione utilizzati per diffondere questa minaccia variano notevolmente. Storicamente le varianti di Wauchos sono state distribuite attraverso social media, programmi di messaggeria istantanea, supporti rimovibili, spam e kit di exploit. La Figura 5 mostra una tipica email di spam con un esempio di Wauchos allegato.
Figura 5. Tipica email di spam per la distribuzione di Wauchos
Pay-per-install
Come descritto in precedenza, Wauchos viene principalmente utilizzato per distribuire altre famiglie di malware. Attraverso i nostri sistemi automatici siamo stati in grado di ricavare statistiche su ciò che è stato scaricato dai bot di Wauchos che stavamo monitorando. La Figura 6 mostra i diversi plugin che sono stati scaricati dal nostro crawler al momento della prima connessione al C & C.
Figura 6. Statistiche sui Download – Dicembre 2016
Il primo download di solito è un plugin, in particolare il plugin del downloader di cui parleremo in una sezione successiva. In termini di malware installato, gran parte del malware che abbiamo visto distribuito a dicembre 2016 era costituito da spambot come Win32 / Kasidet, Win32 / Kelihos o Win32 / Lethic. Naturalmente trattandosi di uno schema pay-per-install queste statistiche tendono a cambiare di volta in volta. Come ci si poteva aspettare, c’era un altro malware scaricato da Wauchos, ma secondo i dati della nostra telemetria quelli mostrati sopra sono i più diffusi.
Analisi Tecnica
In questa sezione presenteremo alcuni dettagli tecnici che non sono ancora stati resi pubblici e che forniscono una panoramica chiara della situazione, alla luce della recente operazione di rimozione. In particolare discuteremo di due plugin che possono garantire al botmaster una comunicazione grazie a un canale secondario, aumentando la resilienza della botnet a un’operazione di rimozione.
Varianti di Wauchos
Innanzitutto per aiutare i nostri colleghi ricercatori interessati a questa famiglia di malware descriveremo brevemente le principali varianti, utilizzando la denominazione di ESET e le varie corrispondenze.
Win32 / Wauchos.B è la rilevazione più diffusa per il componente 2.06 di Wauchos, mentre la versione 2.10 viene rilevata principalmente come Win32 / Wauchos.AW. Le altre varianti raggruppate nella famiglia Win32 / Wauchos sono plugin, versioni confezionate delle versioni di cui sopra o altre versioni del malware Wauchos, come 2.07, 2.08 o 2.09; queste sono meno diffuse secondo la nostra telemetria e quindi meno rilevanti per questa analisi.
Nell’ultima versione di Wauchos (2.10), il bot supporta i seguenti comandi:
Plugin
Wauchos è un bot estensibile che consente al suo proprietario di creare e utilizzare plugin personalizzati. Tuttavia ci sono alcuni plugin che sono già facilmente reperibili e che sono usati da molte botnet differenti. In questa sezione esamineremo i diversi plugin che il nostro meccanismo di tracciamento è stato in grado di scaricare.
Quando un bot scarica un plugin, deve prima decodificarne l’intestazione con la chiave RC4. L’intestazione contiene la chiave univoca necessaria per decrittografare la payload. Una volta decrittografato, l’ultima attività è decomprimere il plugin usando aPLib. Eseguita questa operazione, il malware utilizza un loader personalizzato per caricare questo blob binario in memoria. Poiché i blob binari sono già allineati alla memoria, possono essere caricati direttamente nella memoria stessa ed eseguiti.
Il numero di chiavi RC4 differenti raccolte dal nostro sistema di tracciamento tra tutte le diverse botnet è sorprendentemente piccolo, intorno alle 40. Ciò rende abbastanza facile decrittografare qualsiasi componente scaricato senza nemmeno dover analizzare il campione. È interessante notare che la stessa chiave RC4 viene utilizzata per crittografare sia le stringhe di esempio che le comunicazioni di rete, ma invertita per quest’ultima.
In termini di comunicazione C & C, tutti i campioni analizzati utilizzavano direttamente l’infrastruttura DNS di Google per risolvere i domini C & C. La versione 2.06 è stata programmata per risolvere l’indirizzo IP del server C & C utilizzando socket UDP non elaborati su 8.8.4.4:53. Se non riesce, passa prima all’API Windows DnsQueryA () e in secondo luogo all’API gethostbyname (). Gli hook della versione 2.10 di GetAddrInfoW () e tutte le chiamate verso questo vengono risolte utilizzando i pacchetti UDP raw alla versione 8.8.4.4:53 con fallback all’API GetAddrInfoW () originale in caso di insuccesso.
Nuovi meccanismi di persistenza
In questa sezione analizzeremo i due plugin che sono apparsi quest’anno e che crediamo siano un tentativo di impedire operazioni di takedown garantendo al botmaster un canale di comunicazione secondario. Anche questo comportamento è stato già discusso in questa sede [4].
Il primo è uno spreader USB mentre il secondo implementa un attacco fileless attraverso un downloader memorizzato nel registro che viene eseguito tramite uno script PowerShell all’avvio del sistema.
Spreader USB– Win32/Bundpil.CS
Questo plugin che è in grado di agganciare le funzioni API DNS, prova a diffondersi attraverso supporti rimovibili e utilizza un DGA (Algoritmo di Generazione di Domini) per scaricare dati aggiuntivi.
Prevede un thread che esegue la scansione dei supporti rimovibili inseriti e, se ne trova uno, vi inserisce una copia del malware.
L’altra funzionalità di questo plugin è quella di collegare le API DNS e sostituire domini specifici con uno codificato. Ad esempio, un campione analizzato stava reindirizzando qualsiasi richiesta a questi vecchi domini Wauchos
– designfuture.ru
– disorderstatus.ru
– atomictrivia.ru
– differentia.ru
– to gvaq70s7he.ru.
è presente anche un componente DGA per questo plugin che proverà a connettersi al dominio generato automaticamente per scaricare ulteriori dati sul sistema compromesso. Lo pseudo-codice dell’algoritmo DGA può essere trovato sulla nostra pagina github. Gli URL che tenta di raggiungere corrispondono a questi modelli:
– <dga_domain>.ru/mod
– ww1.<dga_domain>.ru/1
– ww2.<dga_domain>.ru/2
Siamo stati in grado di scaricare un blob binario da questo schema DGA. Quello che abbiamo ottenuto è stato un blob crittografato che inizia con “MZ”. Il plugin rimuoverà questi due byte e memorizzerà il blob direttamente nel registro di sistema di Windows.
A questo punto il principale componente bot di Wauchos decodificherà la payload crittografata RC4, la decomprimerà con aPLib e la caricherà come un normale plugin. Da notare che per questo processo vengono utilizzate le stesse chiavi RC4 utilizzate per crittografare i plugin. Il file binario ottenuto in questo modo era una versione aggiornata dello spreader USB. Abbiamo quindi ipotizzato che attraverso l’hooking DNS, sarebbe possibile per i botmaster riprendere il controllo dei loro bot scaricando una nuova versione di questo modulo da un dominio già sotto il loro controllo, che quindi reindirizzerà verso i domini incorporati nel codice binario principale di Wauchos.
Downloader
L’ultimo plugin di cui vogliamo parlare è un piccolo downloader che, a seconda della versione, utilizza un DGA per raggiungere indirizzi URL come i seguenti:
– <dga_domain>.ru/ld.so
– <dga_domain>.ru/last.so
– <dga_domain>.ru/nonc.so
Viene utilizzato per scaricare un blob binario che poi verrà memorizzato nel registro. Questo blob binario può essere decodificato con la chiave RC4 contenuta nella payload principale di Wauchos.
Una delle varianti di malware scaricate da questo plugin è un altro downloader rilevato come TrojanDownloader.Small.AHI. Questo malware è particolarmente interessante poiché il suo unico scopo è scaricare una versione aggiornata del plugin del downloader e archiviarla in forma crittografata nel registro, ma nascondendo anche una piccola sorpresa. Infatti aggiunge anche una chiave per l’esecuzione di uno script PowerShell che decrittografa ed esegue il codice codificato nella chiave di registro ogni volta che la macchina viene avviata. Attualmente questo codice binario usa questo sistema solo per aggiornarsi, tuttavia, il suo DGA potrebbe essere usato come canale di comunicazione secondario per scaricare una nuova payload e ottenere nuovamente il controllo sui bot, nel caso qualcuno dovesse provare a sostituirli. La Figura 7 mostra il processo generale.
Figura 7. Flusso delle operazioni del plugin Downloader
Durante le nostre analisi abbiamo notato come attraverso il DGA e questo plugin sia stato scaricato diverse volte anche il Necurs.B. Tuttavia, la maggior parte dei download riguardavano il Win32 / TrojanDownloader.Small.AHI, che nelle nostre statistiche in Cloud ha fatto registrare molteplici segnalazioni. È interessante notare come le attività di questo modulo registrate dal nostro crawler si siano intensificate nell’agosto del 2016 per poi non essere più rilevate.
Conclusione
Wauchos è una vecchia botnet che si è reinventata nel corso degli anni. La sua infrastruttura di comando e controllo è una delle tante di cui ESET tiene traccia. Queste informazioni sono di vitale importanza per monitorare i cambiamenti nel comportamento del malware e per essere in grado di fornire dati utilizzabili per supportare le azioni tese a debellare e rimuovere queste minacce.
Wauchos usa dei vecchi trucchi per compromettere i nuovi sistemi. Gli utenti devono prestare attenzione quando aprono i file presenti nei supporti rimovibili, così come quelli ricevuti tramite email o social media. Se si ritiene di essere infetti da Wauchos, è possibile utiilizzare uno strumento gratuito di ESET per l’identificazione e la rimozione di questa minaccia. Le soluzioni ESET rilevano attualmente migliaia di varianti di Wauchos e tutti i malware distribuiti attraverso le botnet di Wauchos.
Hash
1 Commento