REMCOS-FAT-Cómo-evaden-los-atacantes-algunos-controles-de-seguridad-Endpoint-Blog-Behackerpro

REMCOS FAT: ¿Cómo evaden los atacantes algunos controles de seguridad Endpoint?

Deja un comentario / Ciberseguridad, Educación, Empresas, Malware / Por / 26 de enero de 2024

Recientemente recibí una muestra de malware enviada como un supuesto recibo de pago. El archivo tiene muchos componentes fácilmente identificables como maliciosos, pero los atacantes detrás de esta campaña se han tomado el trabajo para hacer que llegue a más personas, e incluyeron una técnica interesante para evitar que sea analizado por algunos motores antivirus.

Contenidos ocultar
1 ¿Por qué incluir un archivo gigantesco como parte del ataque?
1.1 Análisis de la muestra
2 ¿Cómo podemos usar VirusTotal para analizar esta muestra?
3 Conclusion
4 Suscríbete hoy a nuestros cursos Exploratorios
5 Síguenos en Redes Sociales
6 Introducción a la Seguridad en AI
7 5 pilares para Hackers o Profesionales en Ciberseguridad desde una perspectiva técnica
8 Solución reto forense #1 BeHackerPro
8.1 Comparte esto:

El ataque inicia con el envío de un mensaje indicando que ha recibido un soporte de pago, el mensaje esta vinculado a un archivo zip descargado desde un espacio en Google Cloud:

REMCOS-FAT-Cómo-evaden-los-atacantes-algunos-controles-de-seguridad-Endpoint-img1

El archivo está comprimido con una contraseña informada en el mismo mensaje, esto como una primera táctica de evadir los controles de seguridad propios de Google y los controles locales de sus víctimas.

Al descargar el archivo, los siguientes Indicadores se obtienen del mismo:

Filename: OFICIO CONFIRMACIÓN ELECTRÓNICA DE CONSIGNACIÓN.tar

MD5:         9c578fa05c2dbf25416f2cde37c37d13

Size: 1380166 ~ 1.4 MB

Un archivo de aproximadamente 1.4 MB, pero al validar su contenido tiene varios elementos interesantes:

REMCOS-FAT-Cómo-evaden-los-atacantes-algunos-controles-de-seguridad-Endpoint-img2

  • Contiene un archivo ejecutable.
  • Se encuentra encriptado (protegido por contraseña).
  • El archivo contenido tiene un tamaño aproximado de 1.1 GB. 😲

Surge entonces una duda:

¿Por qué incluir un archivo gigantesco como parte del ataque?

En diferentes incidentes hemos identificado técnicas similares usadas para ejecutar entornos virtualizados completos o instalar aplicaciones adicionales, pero en este caso la entropía del archivo es distinta, comprimir 1.1 GB de datos en 1.4 KB significa que hay algún contenido de “relleno” y que el objetivo es distinto.

Análisis de la muestra

Al descomprimir el archivo, efectivamente podemos confirmar que se trata de un archivo único con 1 GB de datos:

Filename: OFICIO CONFIRMACIÓN ELECTRÓNICA DE CONSIGNACIÓN.exe

MD5: 46a8c982d6caee5e02f3b4e348cf5117

Size: 1153433600 ~1.1 GB

Al validar el hash en plataformas públicas de inteligencia de amenazas no se identifican detalles y esto hace parte de una de las razones por las cuales los atacantes generan archivos de tal tamaño. Por ejemplo, plataformas como VirusTotal no permitirán subir un archivo superior 32 Mb para su análisis debido a las restricciones de la plataforma.

Por otro lado, algunos controles de seguridad están o son configurados para evitar el análisis de “archivos gigantes” (superiores a 100 MB), de esta forma, los atacantes pueden conseguir ejecutarlos en el sistema sin restricciones de seguridad.

Es momento entonces de verificar cuál es el objetivo de crear un archivo tan grande, validar si tiene elementos adicionales ocultos o cuál es su verdadera intención.

Al validar los metadatos de la muestra encontramos que ha sido compilada con datos de una supuesta aplicación de Samsung:

Compile Date: 2024-01-09 08:51:09

Version Info:

Comments: This installation was built with Inno Setup.

Company Name: Samsung Electronics

File Description: Samsung Magician

File Version: Samsung Magician ver

Legal Copyright: COPYRIGHT. 2023 SAMSUNG ELECTRONICS CO., LTD. ALL RIGHTS RESERVED                             ..

Product Name: Samsung Magician

Product Version: 8.0.1.1000

DotNet – Module name: gdroc.exe

Las funciones del archivo confirman que se trata de una herramienta de control remoto para realizar actividades de “espionaje” en los sistemas comprometidos, en este caso para robar datos de acceso a servicios en línea, principalmente servicios de Banca en línea.

REMCOS-FAT-Cómo-evaden-los-atacantes-algunos-controles-de-seguridad-Endpoint-img3

REMCOS-FAT-Cómo-evaden-los-atacantes-algunos-controles-de-seguridad-Endpoint-img4

REMCOS-FAT-Cómo-evaden-los-atacantes-algunos-controles-de-seguridad-Endpoint-img5

Además, es detectado por motores antivirus como malware de la familia REMCOS:

Kaspersky

HEUR:Backdoor.MSIL.Remcos.gen

Malware config detection

This file contains malware configuration that may be attributed to remcos family.

Un análisis de la estructura del archivo confirma nuestra hipótesis, se ha agregado un overlay de 1.1GB conteniendo solamente ceros (00) para conseguir que el archivo tenga un tamaño gigantesco, pero al ser comprimido requiere solo unos cuantos Mega Bytes de espacio:

REMCOS-FAT-Cómo-evaden-los-atacantes-algunos-controles-de-seguridad-Endpoint-img6

¿Cómo podemos usar VirusTotal para analizar esta muestra?

Dadas las restricciones de VT, es necesario encontrar una opción para modificar el archivo y subirlo para análisis cuando no contamos con las habilidades suficientes de análisis y manipulación de muestras de malware.

Una opción podría ser descomprimir y volver a comprimir pero sin contraseña. Esto hará que VT analice el archivo comprimido, intente descomprimirlo y nos dé los detalles del malware.

Pero también es posible eliminar el overlay que realmente es una serie de valores 00 hexadecimales al final del archivo. Una vez retiramos todo ese contenido, vamos a tener un nuevo archivo con toda la funcionalidad pero con un tamaño más manejable:

Filename: mal2.bin

MD5: 923ddd28b29c3531fa8e8b3f9afb17b9

Size: 657920 ~ 658 KB

De hecho, al crear este nuevo archivo y consultar por su valor hash en VirusTotal, encontramos que ya ha sido reportado desde principios de enero de 2024 https://www.virustotal.com/gui/file/49465dd73417df19d48d05d7a216b83678cfc1da902ab1441dd0d5160d98da91.

Las mismas plataformas de sandbox en nube podrán ahora darnos más detalle de los servidores de comando y control y el tipo de amenaza:

Podemos también extraer la configuración del bot y determinar el nombre de la campaña y otros datos adicionales que nos ayudarán a habilitar controles de contención:

{
  "botnet_id": "ALDOLAR",
  "vtype": 2,
  "log_filename": "logs.dat",
  "servers": [
    "skbfsjbfhsdbfhbdsbfsbifbis.con-ip.com:1993:31"
  ],
  "mutex": "Rmc-XNLDYJ",
  "bot_ver": "4.9.3 Pro",
  "folder": "remcos"
}

Conclusion

Los atacantes se valen de estrategias básicas para evitar que podamos usar servicios abiertos de análisis o evadir los controles de seguridad básicos. Es importante reconocerlas y plantear métodos de evaluación y contención.

Desafortunadamente en este caso, el origen es un correo phishing enviado desde una cuenta legítima, lo que indica que el email fue comprometido y usado para enviar este tipo de mensajes; es importante habilitar controles de seguridad complementarios para los servicios de correo y mantener una estrategia de “higiene digital” robusta que evite que nuestros recursos sean abusados para distribuir amenazas.

 

behackerpro-pentesting-aprende-ciberseguridad

Suscríbete hoy a nuestros cursos Exploratorios

¡Descubre cuál es tu perfil Hacker!

¡Quiero Registrarme Gratis!

Síguenos en Redes Sociales

Facebook Twitter Youtube Instagram Linkedin

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *