Evolución de Shamoon – Parte 2

[Nota: Este artículo ha sido elaborado por ARTURO NAVARRO y SALVADOR SÁNCHIZ ARANDA]

Tal y como indicábamos en el anterior artículo de esta saga continuamos con la disección de la amenaza Shamoon, en esta ocasión en su vertiente más reciente.

DICIEMBRE 2018. SHAMOON V3

Shamoon v3 aparece el 10 de diciembre 2018 con más similitudes a la versión original que a la v2. Aparece combinada con una nueva pieza de malware, Filerase (también llamada Trojan.Filerase), responsable de borrar datos del OS del host infectado de forma totalmente permanente (siendo imposible su recuperación con técnicas forenses), para posteriormente proceder al borrado de MBR que realiza el componente wiper de Shamoon v3.

Los impactos que ha tenido en el sector energético (petróleo y gas) no son numerosos pero sí muy dirigidos, entre ellos por ejemplo, la empresa italiana Saipem con cerca de 500 hosts infectados y se conoce que existen dos organizaciones más afectadas ubicadas en Arabia Saudí y Emiratos Árabes Unidos. Saipem es una importante compañía del sector de la industria del petróleo y gas.

El vector de entrada usado parece ser spear- phishing a través de páginas falsas casi idénticas a las legítimas que ofertaban empleo:

Hxxp://possibletarget.ddns.com:880/JobOffering

Muchas de las webs estaban vinculadas al sector energético, especialmente relacionadas con Oriente Medio y contenían HTML malicioso que ejecutaba código malicioso. Otras invitaban a las víctimas a iniciar sesión con sus credenciales corporativas. Se cree que esta fase preliminar pudo comenzar en agosto de 2018.

PROPAGACIÓN

OCLC.EXE es el módulo responsable de leer los archivos almacenados localmente, que en el ejemplo se llaman shutter y light que contienen listados de hosts objetivo, para volcar su contenido en una cadena string. Una vez realizado, arranca un proceso en una terminal oculta para invocar al segundo script spreader.exe, que envía a Filerase y al wiper de Shamoon v3, que toman como parámetro el string anterior con la información de las víctimas.

SPREADER.EXE Este módulo es el distribuidor, que realiza la siguiente secuencia de pasos que permiten tracear el movimiento lateral dentro de la red:

  1. Toma el archivo con la lista de víctimas como parámetro y su versión de Windows.
  2. Comprueba la versión de Windows de los hosts objetivo y coloca los ejecutables de Shamoon y Filerase en la carpeta net2.
  3. Crea una carpeta remotamente en las víctimas, en la ruta
    C:\\Windows\System32\Program Files\Internet Explorer\Signing

    donde copia el ejecutable.

  4. Lo ejecuta en el host remoto creando un archivo .bat en un recurso compartido
    \\RemoteMachine\admin$\\process.bat

    Este archivo contiene las rutas de los ejecutables. Entonces, el spreader eleva privilegios para ejecutar el .bat.

Si algo fuera mal, el módulo generaría un fichero NotFound.txt que contendría el hostname y su versión, lo que permitiría a los atacantes realizar un seguimiento del proceso de expansión y distribución del malware. Si los ejecutables no estuvieran en net2, Shamoon v3 busca las carpetas all y net4.

SPREADER.PSEXEC.EXE es un spreader adicional que los atacantes incorporaron empleando el servicio Psexec.exe, una herramienta de administración para ejecutar comandos de manera remota. La diferencia con el módulo anterior es que en esta ocasión empleamos psexec, que deberá estar almacenado en net2 en el host a donde nos queremos mover. Podría usarse en hosts adicionales para extender y proliferar el malware.

FILERASE es la herramienta de malware más importante del ataque. Este wiper tiene tres opciones:

  • SilentMode: no genera outputs.
  • BypassAcl: escala privilegios y siempre está activado.
  • PrintStackTrace: realiza un seguimiento del número total de carpetas y archivos eliminados.

La opción “BypassAcl” está activada por defecto y activa los siguientes privilegios: SeBackupPrivilege, SeRestorePrivilege, SeTakeOwnershipPrivilege y SeSecurityPrivilege.

Para hallar un nuevo archivo que eliminar, emplea la función GetFullPath, que obtiene todas las rutas, para después borrar todos los archivos y carpetas. A continuación, el wiper navega entre todos los archivos del sistema.

En el proceso de borrado, primero elimina el atributo sólo lectura para sobrescribirlos. Entonces modifica los datos de creación, escritura y acceso a 01/01/3000, 12:01:01. El malware reescribe cada archivo dos veces con cadenas de texto aleatorias.

Llegados a este punto, comienza a eliminar los archivos empleando una API: CreateFile, con el flag ACCES_MASK DELETE. Después, emplea FILE_DISPOSITION_INFORMATION para eliminar los archivos.

La función ProcessTracker realiza un seguimiento del proceso de destrucción.

NOVEDADES RESPECTO A VERSIONES ANTERIORES

  • En esta versión, el servicio de persistencia que crea el dropper se llama MaintenaceSvr y la ruta en la que se instala la variante de 32-bit
    %System%\MaintenaceSvr32.exe LocalService

    y la de 64-bit es

    %System%\MaintenaceSvr64.exe LocalService
  • El dropper, una vez infecta el sistema, puede tomar diferentes valores de forma aleatoria en la ruta:
    %System%\{wiper name}

    Las carpetas de red a las que se propaga son:

    ADMIN$, C$\WINDOWS, D$\WINDOWS y E$\WINDOWS
  • La imagen que sobrescribía los ficheros de una bandera o un niño muerto ya no está, pero hay referencias a una ruta en la que se debería de colocar.

CONCLUSIONES Y ATRIBUCIONES

Shamoon ha sido uno de los malware más letales de los últimos años, provocando cuantiosas pérdidas económicas. Con pocas modificaciones, ha reaparecido una y otra vez, destruyendo sistemas y causando daño a empresas críticas. Ya sea para obtener ventajas económicas o como represalia, lo cierto es que el efecto es sin duda devastador. Respecto al futuro, vaticinamos nuevas apariciones de Shamoon v4, con ligeras pero efectivas modificaciones y mejores técnicas de ofuscación.

Este nuevo ataque recuerda mucho a Shamoon v1, aunque en lugar de una bandera ardiente o un niño ahogado se ha encontrado versos del Corán escritos en ASCII (تَبَّتْ يَدَا أَبِي لَهَبٍ وَتَبَّ) lo que nos lleva a pensar que los autores están relacionados con Oriente Medio.

Es razonable pensar que este ataque está relacionado con los anteriores, dado que los objetivos son esencialmente los mismos (empresas relacionadas con Arabia Saudí). Analistas de McAfee afirman que los ataques involucran a múltiples desarrolladores. Si analizamos a nivel técnico, tanto las herramientas como los dominios empleados coinciden con el modus operandi de APT33, un conocido grupo supuestamente relacionado con el gobierno iraní que ya ha mostrado interés, en el pasado, con los sectores de la aviación (tanto militar como comercial) y energético (especialmente la petroquímica). Analizando la hora de los ataques se pueden cuadrar con el horario laboral iraní (de sábado a miércoles, librando jueves y viernes), lo que refuerza la idea de que pudieran trabajar para el gobierno iraní.

Al grupo APT33 se le atribuyen ataques contra empresas estadounidenses, surcoreanas y saudíes mediante las técnicas de spear-phishing, aunque empresas de ciberseguridad como FireEye se niegan a revelar el nombre de las empresas afectadas. Este método se centra en el envío de emails personalizados a un objetivo muy concreto que provoca la descarga y ejecución de archivos .hta (HTML Application), infectando a la víctima que abre su contenido. FireEye también cree que el objetivo de los ataques podría ser la obtención de información, mientras que casas de anti-malware de Corea del Sur estiman que podrían deberse a los vínculos de las empresas afectadas con las petroquímicas árabes.

Una de las herramientas empleadas por este grupo es un módulo llamado ALFA TeaM Shell (también conocido como Alfa Shell) con capacidad para enviar cientos de emails a las víctimas, siempre con un grado de apariencia legítima muy alto, mediante la compra de dominios que parecen reales, por ejemplo de empresas como Boeing, Alsalam Aircraft Company, Northrop Grumman Aviation Arabia (NGAAKSA) o Vinnel Arabia, o por ejemplo, haciendo uso de subdominios gratuitos como boeing[.]servehttp[.]com.

Algunas herramientas cuyo uso se le atribuye a este grupo son NETWIRE y TURNEDUP que permiten al atacante crear backdoors de forma sencilla. Debuggeando varias muestras de estos malwares se encontró la ruta:

C:\Users\xman_1365\Desktop\homeWork\13930308\Bot_70_FIX
 HEADER_FIX_LONGURL73_StableAndNewProtocol-loginall\Release\Bot.pdb

cuyo usuario coincide con el nombre del administrador de la comunidad de un foro de software iraní de Barnamenevis, colocándole en el punto de mira como colaborador durante su desarrollo. Además, FireEye afirma que existen vínculos entre “xman_1365_” y el Nasr Institute (ciber-ejército iraní), no han trascendido más datos.

Por dar más referencias, APT33 emplearía DropShot para instalar un backdoor con TurnedUp. El dropper DropShot/StoneDrill está relacionado con el wiper ShapeShift por contener ambas piezas de malware trazas en farsi, el idioma oficial de Irán, lo que podría significar que los creadores pertenecen a ese país. Otras como Nanocore, Alfa Shell o NetWire están disponibles desde webs relacionadas con hackers iraníes.