Redacción 3 marzo, 2019
Cybereason
Cybereason
Cybereason

Cybereason fue fundada en 2012 por veteranos de las unidades de inteligencia militar israelíes, Cybereason se especializa en software de detección y respuesta de end points.

Cybereason es una compañía de ciberseguridad respaldada por Softbank Corporation.

Ghazal Asif fue nombrado como vicepresidente senior de canales mundiales, anunció la Cybereason el jueves pasado.

Antes de Cybereason, Asif se desempeñó como vicepresidente de canales mundiales en AppDynamics Inc., adquirida por Cisco.

Fundada en 2012 por veteranos de la unidad de inteligencia militar israelí, Cybereason se especializa en software de detección y respuesta de puntos finales.

La compañía tiene su sede en Boston, con un centro de investigación y desarrollo en Tel Aviv. Cybereason ha recaudado $ 190 millones hasta la fecha y emplea a 450 personas, según datos de Pitchbook.

Esta compañía recientemente presentó un completo informe sobre el troyano Ramnit, que fue objeto de investigación por parte de sus analistas.

Análisis del vector Ramnit

imagen (5) -1

INTRODUCCIÓN

Los servicios Nocturnus y Caza Activa de Cybereason   son dos equipos dedicados a detectar fácilmente amenazas bajo demanda y buscar proactivamente actividades maliciosas.

La investigación del troyano Ramnit es el resultado de las capacidades de la plataforma Cybereason que se presentan durante una demostración de búsqueda de amenazas ante uno de los equipos de seguridad de nuestros clientes.

Descubrieron una grave amenaza para el cliente al incorporarlo al Servicio de Búsqueda de amenazas activas. El cliente en cuestión estaba infiltrado por una variante del troyano bancario Ramnit.

Aunque los troyanos bancarios generalmente se dirigen a individuos para robar las credenciales de las cuentas bancarias, el troyano bancario Ramnit puede, y tiene, usuarios específicos dentro de las organizaciones.

Si desea obtener más información sobre cómo Cybereason detecta las técnicas de evasión, consulte el documento de SANS sobre la caza de AI con la plataforma de Cybereason: una revisión de SANS .

En el informe recientemente publicado de Proofpoint, sLoad y Ramnit se unieron en campañas sostenidas contra el Reino Unido e Italia , explican cómo el actor de amenazas TA554 usó el descargador de carga para distribuir el troyano bancario Ramnit para apuntar a las instituciones financieras en Italia, Canadá y el Reino Unido.

Cybereason detectó una técnica similar de infección evasiva utilizada para propagar una variante del troyano bancario Ramnit como parte de una campaña italiana de spam.

El troyano Ramnit es un tipo de malware capaz de filtrar datos confidenciales

Este tipo de datos puede incluir cualquier cosa, desde credenciales bancarias, contraseñas de FTP, cookies de sesión y datos personales . La filtración de esta información puede destruir fácilmente la confianza del usuario en un negocio y, en el proceso, perder clientes y arruinar la reputación. Afortunadamente, nuestra incorporación fue oportuna, y fue capaz de detectar el troyano justo cuando estaba comenzando a filtrar información. Nuestro cliente usó nuestra herramienta de remediación de inmediato para detener la exfiltración.

Una de las principales técnicas utilizadas para minimizar la detección, según lo observado por nuestro equipo de servicios, fue vivir de los binarios terrestres (LOLbins). En esta investigación, investigamos este ataque, su uso de sLoad y su adopción de LOLbins. Los atacantes utilizaron una combinación de productos de Windows incorporados , incluidos PowerShell , BITSAdmin y certutil para evitar la detección.

El uso de un proceso de Windows nativo legítimo para descargar malware no es novedoso en el mundo de la seguridad. De hecho, el uso de productos legítimos para realizar actividades maliciosas estáganando popularidad constantemente .

Sin embargo, el uso de LOLbins en esta campaña de spam es una forma intrigante y, como verá, una forma efectiva de minimizar la detección del troyano bancario Ramnit.

Dividimos el ataque en diferentes fases, que luego mapeamos a la base de conocimiento MITRE ATT & CK.

FASE UNO: INFECCIÓN INICIAL Y DESCARGA DE CARGA ÚTIL

imagen (6) -2

Enlace de pesca submarina: técnica MITRE T1192

Inicialmente, el objetivo recibe un correo electrónico de spearphishing como parte de una campaña de spam italiano. Esta campaña de spam se centró específicamente en los usuarios italianos. El correo electrónico contiene un enlace a un sitio web comprometido (https: // levashekhtman [.] Com / assistenza-amministrativa / documento-aggiornato-FMV-61650861) .

Descargar la carga útil adicional

Una vez que el objetivo se conecta al sitio web comprometido, el sitio inicia la descarga de una carga útil adicional. Esta carga útil es un archivo ZIP comprimido documento-aggiornato-FMV-61650861.zip (B564ED3DE7A49673AC19B6231E439032AE6EAA68)) . El archivo ZIP contiene un archivo .jpg no malicioso y un archivo de acceso directo .lnk que tiene el icono no descriptivo de una carpeta típica de Windows.

imagen pegada 0-1

El contenido del archivo comprimido.

Modificación de atajo Técnica MITRE T1023

Cuando el objetivo abre el archivo de acceso directo .lnk, un CMD genera un PowerShell con comandos ofuscados.

Ofuscación Powershell: Técnica MITRE T1027

El PowerShell generado al abrir el archivo .lnk posteriormente descarga el descargador de carga. sLoad es un programa de descarga de troyanos bancarios basado en PowerShell que ofrece reconocimiento, recopilación de información, captura de pantalla y capacidades C2.

Inicia la descarga ejecutando un comando de PowerShell que crea un archivo .ps1   vacío(oyCZpsgNEFvQnW.ps1, SHA1: B6E3C4A528E01B6DE055E089E3C0DDDA2CFCBE) en la carpeta% AppData%.

imagen pegada 0 (1)

El archivo ZIP utiliza el archivo .lnk que enlaza con un PowerShell

con un comando codificado ofuscado malintencionado.

La secuencia de comandos maliciosa de PowerShell utiliza varios caracteres de escape como «, * para evitar la detección. Esta técnica es una explotación del lenguaje JavaScript que puede eludir las defensas de los productos antivirus.

BITSAdmin Abuse: MITRE Technique T1197

El script malicioso de PowerShell usa BITSAdmin para descargar sLoad desde bureaucratica [.] Org / bureaux / tica y escribirlo en el archivo .ps1 vacío que creó anteriormente. BITSAdmin es una herramienta integrada de línea de comandos de Windows para descargar, cargar y monitorear trabajos.Una vez que el script malicioso de PowerShell termina de escribir sLoad en el archivo .ps1, se ejecuta el archivo.

Persistencia usando tareas programadas: técnica MITRE T1053

El script malicioso de PowerShell crea una tarea programada (AppRunLog) . Esta tarea ejecuta un VBScript malicioso ( vmcpRAYW.vbs ).

 

 

 

Por Marcelo Lozano – General Publisher IT Connect Latam