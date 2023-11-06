O IBM X-Force descobriu uma nova variante do Gootloader, o implante “GootBot”, que facilita a movimentação lateral furtiva e torna a detecção e o bloqueio de campanhas do Gootloader mais difíceis em ambientes corporativos. O X-Force observou essas campanhas aproveitando o envenenamento de SEO, apostando na atividade de pesquisa das vítimas desavisadas, que analisamos mais detalhadamente no blog. A introdução de seu próprio bot personalizado pelo grupo Gootloader nos estágios finais de sua cadeia de ataque é uma tentativa de evitar detecções ao usar ferramentas prontas para C2, como CobaltStrike ou RDP. Essa nova variante é um malware leve, mas eficaz, que permite que os invasores se espalhem rapidamente por toda a rede e implementem cargas úteis adicionais.
Anteriormente, o Gootloader só era observado como um malware de acesso inicial, após o qual os invasores carregavam ferramentas como o CobaltStrike ou usavam o RDP para se espalharem na rede. As campanhas que utilizam o GootBot para movimento lateral constituem uma mudança significativa nos TTPs pós-infecção, pois essa ferramenta personalizada permite que os agentes de ameaça permaneçam fora do radar por um período mais longo. O GootBot é baixado como uma carga útil após uma infecção por Gootloader e tem os recursos para receber tarefas C2 na forma de scripts PowerShell criptografados, que são executados como tarefas. Ao contrário do Gootloader, o GootBot é um script PS leve e ofuscado, contendo apenas um único servidor C2. Os implantes do GootBot, cada um contendo um servidor C2 diferente sendo executado em um site WordPress hackeado, espalharam-se por domínios corporativos infectados em grande número na esperança de alcançar um controlador de domínio. No momento em que este artigo foi escrito, o GootBot não havia listado nenhuma detecção no VirusTotal. Essa mudança nos TTPs e nas ferramentas aumenta o risco de etapas pós-invasão bem-sucedidas, como a atividade afiliada de ransomware vinculada ao Gootloader.
O grupo Gootloader, que a X-Force rastreia como Hive0127 (também conhecido como UNC2565), está ativo desde 2014 e depende de uma combinação de envenenamento de SEO e sites WordPress comprometidos para entregar o Gootloader. As infecções por Gootloader fornecem acesso inicial para outros agentes da ameaça, incluindo afiliados de ransomware, e os ataques levaram a payloads subsequentes como IcedID, Cobalt Strike e SystemBC.
A X-Force observou o grupo utilizando envenenamento de SEO como parte de suas campanhas maliciosas, que é um método que os agentes de ameaça usam para manipular os resultados do mecanismo de pesquisa a fim de levar os usuários a sites comprometidos com base na noção de que os primeiros resultados de um mecanismo de pesquisa provavelmente sejam precisos, seguros e legítimos. O Hive0127 normalmente tem como alvo pesquisas online de contratos, formulários legais ou outros documentos relacionados a negócios; por exemplo: "É uma declaração de encerramento igual a um grande contrato?". Os alvos são atendidos com um site comprometido modificado para aparecer como um fórum legítimo na parte superior da página de resultados do mecanismo de pesquisa envenenado. Dentro da conversa no fórum, os alvos são induzidos a baixar um arquivo morto relacionado aos termos iniciais de sua pesquisa, mas que na verdade contém o Gootloader.
O gráfico a seguir é um exemplo de como o Gootloader pode empregar o GootBot para se espalhar por uma rede. As seções de análise abaixo detalham os diferentes estágios da infecção:
As infecções por Gootloader começam com um usuário baixando um arquivo infectado, contendo um arquivo JavaScript significativamente ofuscado, que é o primeiro estágio do Gootloader. Após a execução, ele solta outro arquivo JavaScript em uma subpasta selecionada na pasta %APPDATA% com um nome de arquivo discreto em inglês. O Gootloader não cria uma nova pasta em %APPDATA%, mas seleciona uma que já existe. Essa seleção não é aleatória, mas calculada com base no número de subpastas encontradas na pasta %APPDATA%. É calculado da seguinte forma:
722 – (Round down(722 / number_of_subfolders) * number_of_subfolders)
Em vez de executar o segundo estágio diretamente, o Gootloader aciona uma tarefa agendada para executar o JavaScript e torná-lo persistente.
A tarefa agendada tem os seguintes parâmetros:
Nome: <Palavras aleatórias em inglês>
Ação: wscript <nome de arquivo curto do 2º estágio terminando com “~1.JS”>
Pasta: [Subpasta em %APPDATA%]
Gatilho: LogonTriggerID [No próximo logon do usuário atual]
Quando o JavaScript do segundo estágio é executado, ele executa um script do PowerShell e o terceiro estágio, que reúne as informações do sistema e as carrega para qualquer um dos seus 10 servidores C2 codificados. O Gootloader usa sites do WordPress hackeados para executar seus servidores C2, levando a caminhos de URL C2 que terminam com "/xmlrpc.php".
Veja abaixo um exemplo de uma solicitação HTTP do malware.
O agente do usuário é consistente, bem como o ID de malware presumido, 3B47772CE3.
O malware espera que o C2 responda com dados que contenham um script do PowerShell que o Gootloader executa.
O script do PowerShell do terceiro estágio é executado em um loop infinito, dando ao agente a capacidade de fazer o C2 responder com cargas úteis variadas do PowerShell.
Uma das cargas úteis que o X-Force observou foi o GootBot, uma nova variante do Gootloader. Ele apresenta recursos muito semelhantes, mas vem na forma de um script leve do PowerShell. Ao contrário do script do PowerShell de estágio 3, o GootBot contém apenas um único lidar com servidor C2.
As strings do GootBot são ligeiramente ofuscadas por meio de uma chave de substituição, como visto na captura de tela abaixo:
Semelhante ao Gootloader, o bot começa enviando uma solicitação GET ao seu servidor C2, solicitando tarefas do PowerShell. O primeiro beacon tem os seguintes cabeçalhos HTTP adicionados pelo malware:
GET /xmlrpc.php HTTP/1.1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/107.0.0.0 Safari/537.36
Cookie: <BOT_ID>=<If user is admin: 0/1>
Pragma: no-cache
Cache-Control: no-cache, no-store
Expires: 0
Como resposta, o GootBot espera uma string que consiste em uma carga útil codificada em Base64 e os últimos 8 caracteres são o nome da tarefa. Em seguida, ele decodifica a carga útil e a injeta em um bloco de script simples antes de executá-la em um novo trabalho em segundo plano usando o cmdlet "Start-Job". Isso permite que a carga útil do PowerShell seja executada de forma assíncrona e sem criar um processo secundário, o que pode resultar em menos detecções de EDR.
A captura de tela a seguir mostra o código desofuscado executando a tarefa C2.
Por padrão, o GootBot emite um beacon a cada 60 segundos. No entanto, isso pode ser alterado configurando uma string específica contendo "asz" no atributo de informação das tarefas secundárias. O mesmo se aplica ao caminho do diretório de trabalho, que pode ser alterado com a string de sinal "asx".
Depois que o bot receber uma tarefa do C2, a próxima iteração do loop começará consultando o resultado da tarefa, para cada trabalho secundário solicitado pelo servidor C2. Se o trabalho tiver sido concluído, ele retornará os resultados do trabalho. Se ainda não tiver sido concluído, enviará a sequência "E1" ou a sequência "E2" se o trabalho não puder ser encontrado. Os resultados do trabalho são então concatenados para todas as tarefas solicitadas utilizando o seguinte formato:
[!<BOT_ID>!]<job result 1>!<1>[!<BOT_ID>!]<job result 2>!<2>[!<BOT_ID>!]<job result 3>!<3>…
A string resultante é codificada em Base64 e ofuscada por meio de um algoritmo baseado em módulo, que é semelhante a uma técnica observada em amostras anteriores do Gootloader JavaScript.
Desta vez, o GootBot envia uma solicitação POST ao seu servidor C2. Se os dados tiverem mais de 100.000 caracteres, eles serão divididos em várias solicitações, formatadas da seguinte forma:
POST /xmlrpc.php HTTP/1.1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/107.0.0.0 Safari/537.36
Cookie: <BOT_ID>=<If user is admin: 0/1>|<task name 1>|<task name 2>|<task name 3>|<task name 4>…
Pragma: no-cache
Cache-Control: no-cache, no-store
Expires: 0
<BOT_ID>=[sX<<random_int>><packet_seq_number>]<data>
Novamente, o bot espera uma resposta contendo a próxima tarefa.
O GootBot também foi projetado para ser espalhado lateralmente por todo o ambiente. Depois que um host inicial é infectado, o GootBot recebe uma série de scripts que enumeram o host e o domínio. O X-Force também observou vários scripts usando técnicas diferentes para espalhar a carga útil do GootBot incorporada para outros hosts. A infraestrutura de C2 do GootBots pode gerar rapidamente um grande número de cargas úteisdo GootBot para disseminação, cada um com um endereço de C2 diferente para contato. Eles são implementados por scripts de movimento lateral de forma automatizada, o que também pode fazer com que os hosts sejam reinicializados várias vezes.
Os scripts de movimento lateral fazem uso do WinRM no PowerShell, seja via WMI ou do cmdlet "Invoke-Command". Outros exemplos incluem a cópia de cargas úteis via SMB e o uso de chamadas WinAPI para o SCM (Service Control Manager) a fim de criar serviços remotos e tarefas agendadas.
Em alguns casos, o GootBot também usa credenciais exfiltradas para espalhar:
Figura: movimento lateral via WinRM Invoke-Command
Figura: Movimento lateral via SCM
O GootBot também demonstrou usar variáveis de ambiente para armazenar strings criptografadas, o que diminui ainda mais o tamanho dos scripts. Além disso, o GootBot também pode ser implementado usando uma técnica para falsificar os argumentos dos processos do PowerShell, criando um novo processo antes de escrever o script malicioso no input dos processos.
O GootBot também executa um script de reconhecimento como uma de suas primeiras tarefas. Ele contém o ID do GootBot exclusivo para o host.
As seguintes informações são reunidas e retornadas ao manipulador de tarefas:
Os dados são formatados com o ID especificado. Veja o exemplo de dados abaixo com o ID "FDA8970BA3":
Uma infecção por Gootloader pode levar rapidamente à implementação de ferramentas adicionais, como Cobalt Greve, SystemBC, e scripts de comprometimento de domínio, incluindo ataques Kerberoasting. Outro comportamento observado é a exfiltração das seguintes informações confidenciais:
Além disso, as infecções por Gootloader também são conhecidas por resultar em ransomware.
A descoberta da variante Gootbot destaca até onde os invasores irão para evitar a detecção e operar furtivamente. É um malware altamente eficaz que permite que os invasores movam lateralmente pelo ambiente com facilidade e velocidade e estendam seus ataques. Além disso, o uso do Hive 0127 de grandes clusters de domínios comprometidos do WordPress torna cada vez mais difícil para os defensores bloquearem o tráfego malicioso. Como a Gootloader frequentemente atua como um provedor de acesso inicial, a consciência desses TTPs e ferramentas em evolução é importante para mitigar o risco de atividades pós-invasão impactantes.
Para mais informações sobre a pesquisa de segurança da X-Force, a inteligência de ameaças e as percepções de hackers, visite o X-Force Research Hub.
Indicador
Tipo de indicador
Contexto
6ff7a60c7cd8ffed318700dff453d
SHA256
GootBot
95dbd3f273d621fa71631882d00be
SHA256
GootBot
https://contentstudent[.]com/
URL
Servidor GootBot C2
http://63factory[.]jp/wordpress/
URL
Servidor GootBot C2
