{"id":3467,"date":"2020-12-07T08:03:48","date_gmt":"2020-12-07T07:03:48","guid":{"rendered":"https:\/\/xopero.com\/blog\/?p=3467"},"modified":"2023-08-16T13:35:32","modified_gmt":"2023-08-16T11:35:32","slug":"malware-xanthe-trickbot-polakomil-sie-na-uefi-turla-crutch","status":"publish","type":"post","link":"https:\/\/xopero.com\/blog\/pl\/malware-xanthe-trickbot-polakomil-sie-na-uefi-turla-crutch\/","title":{"rendered":"Malware Xanthe \/ TrickBot po\u0142akomi\u0142 si\u0119 na UEFI \/ Turla Crutch"},"content":{"rendered":"\n

Witamy w kolejnym wydaniu Centrum Bezpiecze\u0144stwa Xopero<\/a>. Tym razem przyjrzymy si\u0119 malware Xanthe. Na jego \u015blad natrafi\u0142 stosunkowo niedawno Cisco Talos. Ich zesp\u00f3\u0142 odkry\u0142 kampani\u0119 wykorzystuj\u0105c\u0105 wielomodu\u0142owy botnet do szybkiego rozprzestrzeniania si\u0119 nowego zagro\u017cenia po sieci. Jak dok\u0142adnie Xanthe infekuje podatn\u0105 infrastruktur\u0119? Tego dowiecie si\u0119 poni\u017cej.<\/p>\n\n\n\n\n\n\n\n

<\/div>\n\n\n\n<\/a>\n\n\n

1. Niepoprawnie skonfigurowane serwery Docker s\u0105 \u0142atwym \u0142upem dla malware Xanthe<\/strong><\/h2>\n\n\n

Xanthe to cryptomining botnet Monero, kt\u00f3ry wykorzystuje niepoprawnie skonfigurowane instalacje Docker API w celu infekowania system\u00f3w Linux.<\/p>\n\n\n\n

Zazwyczaj crypto miners obieraj\u0105 za cel komputery stacjonarne Windows – poniewa\u017c w przypadku Win OS liczba mo\u017cliwych infekcji jest znacznie wi\u0119ksza. A liczby s\u0105 wa\u017cne. Jednak wraz z rozwojem \u015brodowisk chmurowych w Internecie pojawia si\u0119 coraz wi\u0119cej host\u00f3w z systemem Linux. Do tego ich zabezpieczenie pozostawia wiele do \u017cyczenia. Systemy inne ni\u017c Windows sta\u0142y si\u0119 wi\u0119c atrakcyjnymi celami dla atakuj\u0105cych.<\/p>\n\n\n\n

Xanthe, kt\u00f3rego nazwa pochodzi od tytu\u0142u pliku g\u0142\u00f3wnego skryptu rozprzestrzeniaj\u0105cego, u\u017cywa skrypt downloadera (pop.sh) do pobrania i uruchomienia g\u0142\u00f3wnego modu\u0142u bota (xanthe.sh). Ten modu\u0142 nast\u0119pnie pobiera i uruchamia cztery dodatkowe modu\u0142y z r\u00f3\u017cnymi funkcjami ochrony przed detekcj\u0105 i funkcjami persistence.<\/p>\n\n\n\n

Modu\u0142 ukrywania proces\u00f3w (libprocesshider.so);
Skrypt pow\u0142oki do wy\u0142\u0105czania innych kopaczy i us\u0142ug bezpiecze\u0144stwa (xesa.txt);
Skrypt pow\u0142oki do usuwania konkurencyjnych krypto-trojan\u00f3w,
Plik binarny XMRig (a tak\u017ce plik konfiguracyjny JSON, config.json).<\/p>\n\n\n\n

Spos\u00f3b w jaki atakuje malware Xanthe<\/p>\n\n\n\n

\"\"
Grafika: Cisco Talos<\/a><\/figcaption><\/figure><\/div>\n\n\n\n

G\u0142\u00f3wny modu\u0142 odpowiada r\u00f3wnie\u017c za sprawne rozprzestrzenianie si\u0119 malware na inne systemy w lokalnych i zdalnych sieciach. Pr\u00f3buje on rozprzestrzenia\u0107 si\u0119 na inne wykryte hosty, kradn\u0105c certyfikaty po stronie klienta i \u0142\u0105cz\u0105c si\u0119 z nimi bez konieczno\u015bci podawania has\u0142a.<\/p>\n\n\n\n

B\u0142\u0119dy konfiguracyjne serwery Docker to kolejny spos\u00f3b rozprzestrzeniania si\u0119 Xanthe. Mo\u017cna stosunkowo \u0142atwo \u201ezepsu\u0107\u201d co\u015b w instalacji Docker, a wtedy Docker deamon zostaje wystawiony na sieci zewn\u0119trzne. Niski poziom zabezpiecze\u0144 tylko u\u0142atwia prac\u0119 przest\u0119pcom.<\/p>\n\n\n\n

Wyszukiwarka Shodan pokazuje, \u017ce w chwili obecnej istnieje 6000 nieprawid\u0142owo skonfigurowanych implementacji Dockera dost\u0119pnych z poziomu Internetu. Wszystkie one s\u0105 podatne na atak Xanthe \u2013 i z pewno\u015bci\u0105 cz\u0119\u015b\u0107 z nich w bardzo kr\u00f3tkim czasie dostanie si\u0119 w r\u0119ce operator\u00f3w nowego malware.<\/p>\n\n\n\n

\u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n

<\/div>\n\n\n\n<\/a>\n\n\n

2. Najnowszy modu\u0142 TrickBot jest w stanie zainfekowa\u0107 firmware Twojego UEFI<\/strong><\/h2>\n\n\n

Tw\u00f3rcy TrickBota stworzyli nowy modu\u0142, kt\u00f3ry sprawdza luki w zabezpieczeniach UEFI. Wszystko wskazuje na to, \u017ce atakuj\u0105cy szukaj\u0105 sposobu na przej\u0119cie ca\u0142kowitej kontroli nad zainfekowanymi maszynami. Nic dziwnego, \u017ce ta nowa funkcja TrickBot bardzo zaniepokoi\u0142a specjalist\u00f3w ds. bezpiecze\u0144stwa.<\/p>\n\n\n\n

Maj\u0105c dost\u0119p do oprogramowania uk\u0142adowego UEFI, atakuj\u0105cy s\u0105 w stanie uzyska\u0107 trwa\u0142\u0105 kontrol\u0119 nad urz\u0105dzeniem \u2013 niczego nie zmieni w tym wypadku ponowna instalacja systemu operacyjnego lub wymiana dysk\u00f3w twardych. Z\u0142o\u015bliwy kod zostaje wstrzykni\u0119ty we firmware (bootkity) jest niewidoczny dla rozwi\u0105za\u0144 zabezpieczaj\u0105cych poniewa\u017c \u0142aduje si\u0119 on w pocz\u0105tkowej fazie sekwencji rozruchowej komputera, czyli przed wszystkimi innymi sk\u0142adnikami.<\/p>\n\n\n

Celem s\u0105 platformy Intel<\/strong><\/h5>\n\n\n

Nowy modu\u0142 TrickBoot pozwala weryfikowa\u0107, czy na danej maszynie znajduj\u0105 si\u0119 luki w oprogramowaniu UEFI.<\/p>\n\n\n\n

Weryfikuje on, czy ochrona przed zapisem UEFI \/ BIOS jest aktywna za pomoc\u0105 sterownika RwDrv.sys od RWEverything. Jest to bezp\u0142atne narz\u0119dzie, umo\u017cliwiaj\u0105ce dost\u0119p do komponent\u00f3w sprz\u0119towych, takich jak uk\u0142ad pami\u0119ci SPI flash. To w\u0142a\u015bnie on przechowuje oprogramowanie uk\u0142adowe systemu BIOS \/ UEFI. Atakuj\u0105cy zaimplementowali mechanizm, kt\u00f3ry sprawdza pojedynczy mikrouk\u0142ad w zaatakowanym systemie.<\/p>\n\n\n\n

Specjali\u015bci analizuj\u0105cy nowy modu\u0142 odkryli, \u017ce uruchamiania on zapytani PCH w celu okre\u015blenia konkretnego modelu PCH dzia\u0142aj\u0105cego w systemie, identyfikuj\u0105c w ten spos\u00f3b platform\u0119. Informacje te pozwalaj\u0105 r\u00f3wnie\u017c atakuj\u0105cemu sprawdzi\u0107, czy platforma jest podatna na atak, czy nie.<\/p>\n\n\n\n

Atakuj\u0105cy wykorzystuj\u0105 r\u00f3wnie\u017c narz\u0119dzia z biblioteki do eksploatacji oprogramowania uk\u0142adowego o nazwie fwexpl.Do. W ten spos\u00f3b s\u0105 w stanie:<\/p>\n\n\n\n

Odczytywa\u0107 dane ze sprz\u0119towych port\u00f3w IO.
Wywo\u0142a\u0107 sterownik rwdrv.sys, aby zapisa\u0107 dane na sprz\u0119towych portach IO.
Wywo\u0142a\u0107 sterownik rwdrv.sys, aby odczyta\u0107 dane z adres\u00f3w pami\u0119ci fizycznej.
Wywo\u0142a\u0107 sterownik rwdrv.sys, aby zapisa\u0107 dane na adresy pami\u0119ci fizycznej.<\/p>\n\n\n\n

Operatorzy TrickBot tworz\u0105c taki modu\u0142 jasno \u201ezdradzili\u201d jaki cel im przy\u015bwieca – chc\u0105 zwi\u0119kszy\u0107 kontrol\u0119 nad zainfekowanymi maszynami. Botnet sk\u0142ada si\u0119 obecnie z tysi\u0119cy zainfekowanych urz\u0105dze\u0144. A najatrakcyjniejsze cele (a potem wszystkie pozosta\u0142e), b\u0119d\u0105 od nich ca\u0142kowicie zale\u017cne. Teraz atakuj\u0105cy mog\u0105 wyszuka\u0107 z nich najbardziej atrakcyjne cele ma ju\u017c tysi\u0105ce zainfekowanych maszyn, z kt\u00f3rych aktor mo\u017ce wybiera\u0107 najcenniejsze cele.<\/p>\n\n\n\n

Na ten moment celem ataku s\u0105 wy\u0142\u0105cznie platformy Intel \u2013 Skylake, Kaby Lake, Coffee Lake, Comet Lake.<\/p>\n\n\n\n

\u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n

<\/div>\n\n\n\n<\/a>\n\n\n

3. Analiza Crutch: kolejny backdoor w arsenale grupy Turla APT w natarciu<\/strong><\/h2>\n\n\n

Specjali\u015bci z ESET odkryli nieudokumentowany backdoor i stealer dokument\u00f3w. Nazwany Crutch u\u017cywany by\u0142 od 2015 roku do co najmniej pocz\u0105tku 2020 r. Odnotowano go w ataku na Ministerstwo Spraw Zagranicznych jednego z kraj\u00f3w cz\u0142onkowskich Unii Europejskiej.<\/p>\n\n\n\n

Badaczom uda\u0142o si\u0119 zidentyfikowa\u0107 podobie\u0144stwa mi\u0119dzy Crutchem, a innym backdoorem z arsena\u0142u Turli – Gazer, znanym r\u00f3wnie\u017c jako WhiteBear. Obie pr\u00f3bki maj\u0105 podobne droppery, kt\u00f3re zosta\u0142y umieszczone w C:\\Intel\\~intel_upd.exe na tej samej maszynie w odst\u0119pie pi\u0119ciu dni we wrze\u015bniu 2017 r. Oba wspomniane powy\u017cej zagro\u017cenia upuszczaj\u0105 pliki CAB zawieraj\u0105ce r\u00f3\u017cne sk\u0142adniki z\u0142o\u015bliwego oprogramowania. Loadery, czyli programy \u0142aduj\u0105ce z kolei, maj\u0105 wyra\u017anie powi\u0105zane \u015bcie\u017cki PDB i odszyfrowuj\u0105 swoje \u0142adunki przy u\u017cyciu tego samego klucza RC4.<\/p>\n\n\n\n

Wed\u0142ug ESET, Turla u\u017cy\u0142a zestawu narz\u0119dzi Crutch w ataku na Ministerstwo Spraw Zagranicznych kraju cz\u0142onkowskiego UE. Narz\u0119dzia te zosta\u0142y zaprojektowane w celu eksfiltracji poufnych dokument\u00f3w i innych plik\u00f3w na konta Dropbox kontrolowane przez operator\u00f3w grupy. Co ciekawe, same komendy s\u0105 wykonywane r\u0119cznie przez operator\u00f3w. <\/p>\n\n\n\n

Crutch prawdopodobnie wchodzi do gry, ju\u017c po tym jak operatorzy w\u0142ami\u0105 si\u0119 do sieci organizacji. Jak? Pierwsza hipoteza zak\u0142ada u\u017cycie tzw. first-stage implant, jakim jest np. Skipper. Druga – wykorzystanie PowerShell Empire. Na ten moment nie wiadomo jeszcze, w jaki spos\u00f3b z\u0142o\u015bliwy skrypt mia\u0142by pojawi\u0107 si\u0119 na komputerze – nie mo\u017cna jednak wykluczy\u0107 dokumentu phishingowego. Nale\u017cy zauwa\u017cy\u0107, \u017ce skrypty PowerShell Empire korzysta\u0142y z OneDrive i Dropbox. <\/p>\n\n\n\n

Backdoor jest w stanie omin\u0105\u0107 niekt\u00f3re warstwy bezpiecze\u0144stwa, nadu\u017cywaj\u0105c legalnej infrastruktury – w tym przypadku Dropbox. Celem jest wtopienie si\u0119 w normalny ruch sieciowy podczas eksfiltracji skradzionych dokument\u00f3w i otrzymywania polece\u0144 od operator\u00f3w.<\/p>\n\n\n\n

Nowa wersja Clutch zawiera nast\u0119puj\u0105ce sk\u0142adniki: bibliotek\u0119 DLL (outllib.dll), oryginaln\u0105 wyszukiwark\u0119 Outlook Item Finder z programu Microsoft Outlook, wiarygodn\u0105 bibliotek\u0119 DLL zale\u017cn\u0105 od finder.exe, plik konfiguracyjny Crutch zawieraj\u0105cy token API Dropbox, oryginalne narz\u0119dzie RAR i czyst\u0105 wersj\u0119 narz\u0119dzia Wget dla systemu Windows. Schemat ataku wygl\u0105da nast\u0119puj\u0105co: <\/p>\n\n\n\n

Crutch pokazuje, \u017ce w arsenale Turli nie brakuje nowych lub jeszcze nieudokumentowanych backdoor\u00f3w. Instytucje rz\u0105dowe powinny mie\u0107 si\u0119 na baczno\u015bci – to w\u0142a\u015bnie je upatrzyli sobie operatorzy.<\/p>\n\n\n\n

\u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n

<\/div>\n\n\n\n<\/a>\n\n\n

4. Setki milion\u00f3w u\u017cytkownik\u00f3w Androida nara\u017conych na stary b\u0142\u0105d – podatne 8% wszystkich appek<\/strong><\/h2>\n\n\n

Setki milion\u00f3w u\u017cytkownik\u00f3w Androida jest potencjalnie nara\u017conych na ryzyko zhakowania. Wszystko z powodu wykorzystywania przez appki nie zaktualizowanej wersji Android Play Core Library podatnej na luk\u0119 CVE-2020-8913. Zagro\u017cenie dotyczy obecnie 8% wszystkich aplikacji dost\u0119pnych w Google Play Store. W\u015br\u00f3d nich: Microsoft Edge, Grindr, OKCupid i Cisco Teams. <\/p>\n\n\n\n

Luka wyst\u0119puje w starszych wersjach Play Core – bardzo popularnej biblioteki Java udost\u0119pnionej przez Google. Programi\u015bci mog\u0105 osadza\u0107 j\u0105 w swoich aplikacjach, aby wchodzi\u0107 w interakcje z oficjalnym portalem Play Store.<\/p>\n\n\n\n

Na pocz\u0105tku tego roku specjali\u015bci z Oversecured odkryli powa\u017cn\u0105 luk\u0119 (CVE-2020-8913) w tej bibliotece. Z\u0142o\u015bliwa aplikacja zainstalowana na urz\u0105dzeniu u\u017cytkownika mog\u0142a dzi\u0119ki niej wprowadzi\u0107 fa\u0142szywy kod do innych aplikacji i wykrada\u0107 poufne dane – takie jak has\u0142a, zdj\u0119cia, kody 2FA i wiele wi\u0119cej. Poni\u017csze wideo prezentuje demo takiego ataku: <\/p>\n\n\n\n

\n