blank

blank

A equipe de análise da ASEC descobriu recentemente a distribuição do Cobalt Strike visando servidores MS-SQL vulneráveis ​​a ataques de malware.

FAMÍLIAS DE MALWARE:Cobalt StrikeCoinMinerLemonDuckKingMiner
ATT&CK IDS: T1110 – Força Bruta,T1055 – Injeção de Processo,T1595.002 – Verificação de vulnerabilidade,T1071 – Protocolo de camada de aplicativo

 

O servidor MS-SQL é um servidor de banco de dados típico do ambiente Windows e sempre foi alvo de ataques no passado. Os ataques que visam servidores MS-SQL incluem ataques ao ambiente onde sua vulnerabilidade não foi corrigida, força bruta e ataque de dicionário contra servidores mal gerenciados.

O invasor ou o malware geralmente verifica a porta 1433 para verificar se há servidores MS-SQL abertos ao público. Em seguida, ele executa ataques de força bruta ou de dicionário contra a conta de administrador, também conhecida como conta “sa” para tentar fazer login. Mesmo que o servidor MS-SQL não esteja aberto ao público, existem tipos como o malware Lemon Duck que verifica a porta 1433 e se espalha com a finalidade de movimento lateral na rede interna.

blank
Figura 1. Lista de senhas para ataque de dicionário usado pelo LemonDuck

Gerenciar credenciais de contas de administrador para que fiquem vulneráveis ​​a ataques de força bruta e de dicionário, conforme descrito acima, ou não alterar as credenciais periodicamente pode tornar o servidor MS-SQL o principal alvo dos invasores. Outros malwares além do Lemon Duck que visam o servidor MS-SQL incluem malware CoinMiner, como Kingminer e Vollgar.

Se o invasor conseguir fazer login na conta de administrador por meio desses processos, ele usará vários métodos, incluindo o comando xp_cmdshell, para executar o comando no sistema infectado. O Cobalt Strike que foi descoberto recentemente foi baixado por meio de cmd.exe e powershell.exe por meio do processo MS-SQL, conforme mostrado abaixo.

blank
Figura 2. Árvore de Processos

Cobalt Strike é uma ferramenta de teste de penetração comercial, e recentemente está sendo usada como um meio para dominar o sistema interno na maioria dos ataques, incluindo APT e ransomware. Malware que foi descoberto recentemente é um injetor que decodifica o Cobalt Strike codificado dentro e executa e injeta o programa normal MSBuild.exe.

blank
Figura 3. Dados de configurações do Cobalt Strike

Cobalt Strike que é executado em MSBuild.exe tem uma opção de configurações adicionais para ignorar a detecção de produtos de segurança, onde ele carrega a dll normal wwanmm.dll, então grava e executa um beacon na área de memória da dll. Como o sinalizador que recebe o comando do invasor e executa o comportamento malicioso não existe em uma área de memória suspeita e, em vez disso, opera no módulo normal wwanmm.dll, ele pode ignorar a detecção baseada em memória.

blank
Figura 4. Shellcode e strings usados ​​para wwanmm.dll

Embora não seja certo em qual método o invasor dominou o MS-SQL e instalou o malware, como os logs de detecção do malware Volgar mencionados anteriormente foram descobertos, pode-se supor que o sistema visado tenha gerenciado inadequadamente as credenciais da conta.

A infraestrutura ASD do AhnLab mostra vários logs de Cobalt Strike no mês passado. Vendo que os URLs de download e o URL do servidor C&C são semelhantes, parece que a maioria dos ataques foi feita pelo mesmo invasor. O IOC do Cobalt Strike ao longo do mês é mostrado na lista abaixo.

Os produtos AhnLab são equipados com método de detecção baseado em memória de processo e recurso de detecção baseado em comportamento que pode combater o backdoor de beacon que é usado desde o estágio inicial de invasão do Cobalt Strike para se espalhar internamente.

[Detecção de arquivo]
– Trojan/Win.FDFM.C4959286 (2022.02.09.00)
– Trojan/Win.Injector.C4952559 (2022.02.04.02)
– Trojan/Win.AgentTesla.C4950264 (2022.02.04.00)
– Infostealer/Win.AgentTesla. R470158 (2022.02.03.02)
– Trojan/Win.Generic.C4946561 (2022.02.01.01)
– Trojan/Win.Agent.C4897376 (2022.01.05.02)
– Trojan/Win32.CobaltStrike.R329694 (2020.11.26.06)

[Detecção de comportamento]
– Malware/MDP.Download.M1197

[COI]
MD5
cobalto Strike (sem palco)
– ae7026b787b21d06cc1660e4c1e9e423
– 571b8c951febb5c24b09e1bc944cdf5f
– e9c6c2b94fc83f24effc76bf84274039
– 828354049be45356f37b34cc5754fcaa
– 894eaa0bfcfcdb1922be075515c703a3
– 4dd257d56397ec76932c7dbbc1961317
– 450f7a402cff2d892a7a8c626cef44c6

CobaltStrike (Stager)
– 2c373c58caaaca0708fdb6e2b477feb2
– bb7adc89759c478fb88a3833f52f07cf

C&C
– hxxp://92.255.85[.]83:7905/push
– hxxp://92.255.85[.]83:9315/en_US/all.js
– hxxp://92.255.85[.]86: 80/owa/
– hxxp://92.255.85[.]90:81/owa/
– hxxp://92.255.85[.]90:82/owa/
– hxxp://92.255.85[.]92 :8898/dot.gif
– hxxp://92.255.85[.]93:18092/match
– hxxp://92.255.85[.]93:12031/j.ad
– hxxp://92.255.85[. ]94:83/ga.js

URL de download
do sinalizador – hxxp://92.255.85[.]93:18092/jRQO
– hxxp://92.255.85[.]93:12031/CbCt

URL de download
– hxxp://45.64.112[.]51/dol.exe
– hxxp://45.64.112[.]51/mr_robot.exe
– hxxp://45.64.112[.]51/lion.exe
– hxxp://81.68.76[.]46/kk.exe
– hxxp://81.68.76[.]46/uc.exe
– hxxp://103.243.26[.]225/acrobat.exe
– hxxp ://103.243.26[.]225/beacon.exe
– hxxp://144.48.240[.]69/dola.exe
– hxxp://144.48.240[.]85/core.exe

 

Fonte: AhnLab

Descubra mais sobre DCiber

Assine para receber os posts mais recentes por e-mail.

ARTIGOS RELACIONADOSMais do autor