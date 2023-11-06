IBM X-Force hat eine neue Variante von Gootloader entdeckt – das „GootBot“-Implantat –, das eine heimliche laterale Bewegung ermöglicht und die Erkennung und Blockierung von Gootloader-Kampagnen in Unternehmensumgebungen erschwert. X-Force hat diese Kampagnen beobachtet, die sich SEO-Poisoning zunutze machen und auf die Suchaktivitäten ahnungsloser Opfer setzen. Wir analysieren dies im Blog näher. Die Einführung eines eigenen benutzerdefinierten Bots in die späten Phasen ihrer Angriffskette durch die Gootloader-Gruppe stellt einen Versuch dar, bei der Verwendung von handelsüblichen Tools für C2 wie CobaltStrike oder RDP eine Erkennung zu vermeiden. Diese neue Variante ist eine leichtgewichtige, aber effektive Malware, die es Angreifern ermöglicht, sich schnell im Netzwerk zu verbreiten und weitere Payloads einzusetzen.
Bisher wurde Gootloader ausschließlich als Malware für den ersten Zugriff beobachtet, woraufhin Angreifer Tools wie CobaltStrike laden oder RDP verwenden würden, um sich innerhalb des Netzwerks zu verbreiten. Kampagnen, die GootBot für laterale Bewegungen nutzen, stellen eine wesentliche Veränderung der TTPs nach einer Infektion dar, da dieses maßgeschneiderte Tool es Angreifern ermöglicht, über einen längeren Zeitraum unentdeckt zu bleiben. GootBot wird nach einer Gootloader-Infektion als Payload heruntergeladen und ist in der Lage, C2-Aufgaben in Form von verschlüsselten PowerShell-Skripten zu empfangen, die als Jobs ausgeführt werden. Im Gegensatz zu Gootloader ist GootBot ein leichtgewichtiges, verschleiertes PS-Skript, das nur einen einzigen C2-Server enthält. GootBot-Implantate, von denen jedes einen anderen C2-Server enthält, der auf einer gehackten WordPress-Website läuft, verbreiten sich in großer Zahl in infizierten Unternehmensdomänen, in der Hoffnung, einen Domänencontroller zu erreichen. Zum Zeitpunkt der Erstellung dieses Artikels sind bei VirusTotal keine Erkennungen für GootBot verzeichnet. Dieser Wandel bei TTPs und Tools erhöht das Risiko erfolgreicher Post-Ausbeutungsphasen, wie etwa Gootloader-verknüpfte Ransomware-Affiliate-Aktivitäten.
Die Gootloader-Gruppe, die X-Force als Hive0127 (auch bekannt als UNC2565) verfolgt, ist seit 2014 aktiv und setzt auf eine Kombination aus SEO-Vergiftung und kompromittierten WordPress-Seiten, um Gootloader zu liefern. Gootloader-Infektionen bieten anderen Bedrohungsakteuren, darunter Ransomware-Partnern, einen ersten Zugang, und die Angriffe haben zur Entwicklung weiterer Payloads wie IcedID, Cobalt Strike und SystemBC geführt.
X-Force beobachtete, dass die Gruppe im Rahmen ihrer böswilligen Kampagnen SEO-Poisoning einsetzte. Dabei handelt es sich um eine Methode, mit der Angreifer Suchmaschinenergebnisse manipulieren, um Nutzer auf kompromittierte Websites zu leiten, basierend auf der Annahme, dass die ersten Ergebnisse einer Suchmaschine wahrscheinlich korrekt, sicher und legitim sind. Hive0127 zielt in der Regel auf Online-Suchen nach Verträgen, Rechtsformularen oder anderen geschäftsbezogenen Dokumenten ab, beispielsweise: „Ist eine Schlussabrechnung dasselbe wie ein Hauptvertrag?“ Den Zielpersonen wird eine manipulierte Website angezeigt, die so verändert wurde, dass sie als legitimes Forum oben auf der manipulierten Suchmaschinen-Ergebnisseite erscheint. Im Rahmen der Forumdiskussion werden die Zielpersonen dann dazu verleitet, eine Archivdatei herunterzuladen, die mit ihren ursprünglichen Suchbegriffen zusammenhängt, aber tatsächlich Gootloader enthält.
Das folgende Diagramm zeigt beispielhaft, wie Gootloader GootBot einsetzen kann, um sich in einem Netzwerk zu verbreiten. In den folgenden Analyseabschnitten werden die verschiedenen Stadien der Infektion detailliert beschrieben:
Gootloader-Infektionen beginnen damit, dass ein Benutzer ein infiziertes Archiv herunterlädt, das eine erheblich verschleierte JavaScript-Datei enthält, was die erste Phase von Gootloader ist. Bei der Ausführung wird eine weitere JavaScript-Datei mit einem unaufdringlichen englischen Dateinamen in einem ausgewählten Unterordner des Ordners %APPDATA% abgelegt. Gootloader erstellt in %APPDATA% keinen neuen Ordner, sondern wählt einen bereits existierenden Ordner aus. Diese Auswahl ist nicht zufällig, sondern wird auf der Grundlage der Anzahl der Unterordner berechnet, die sich im Ordner %APPDATA% befinden. Die Berechnung erfolgt wie folgt:
722 – (Abrunden(722 / Anzahl_der_Unterordner) * Anzahl_der_Unterordner)
Anstatt die zweite Phase direkt auszuführen, löst Gootloader eine geplante Aufgabe aus, um das JavaScript auszuführen und es dauerhaft zu speichern.
Die geplante Aufgabe hat die folgenden Parameter:
Name: <Random English words>
Aktion: wscript <kurzer Dateiname der 2. Phase, der mit „~1.JS“ endet>
Ordner: [Unterordner in %APPDATA%]
Trigger: LogonTriggerID [Beim nächsten Login des aktuellen Benutzers]
Sobald die zweite Phase des JavaScript-Codes abgeschlossen ist, wird ein PowerShell-Skript ausgeführt und die dritte Phase gestartet, welche Systeminformationen sammelt und diese auf einen der 10 fest codierten C2-Server hochlädt. Gootloader nutzt gehackte WordPress-Websites, um seine C2-Server zu betreiben, was dazu führt, dass die C2-URL-Pfade mit „/xmlrpc.php“ enden.
Nachfolgend ist ein Beispiel für eine HTTP-Anfrage der Malware.
Der User-Agent ist konsistent, ebenso wie die vermutete Malware-ID, 3B47772CE3.
Die Malware erwartet, dass der C2 mit Daten antwortet, die ein PowerShell-Skript enthalten, das Gootloader ausführt.
Das PowerShell-Skript der dritten Stufe läuft in einer Endlosschleife und gibt dem Angreifer die Möglichkeit, den C2-Server mit unterschiedlichen PowerShell-Payloads zu veranlassen.
Einer der von X-Force beobachteten Payloads ist GootBot, eine neue Variante von Gootloader. Es bietet sehr ähnliche Funktionen, kommt aber in Form eines leichten PowerShell-Skripts. Im Gegensatz zum PowerShell-Skript der Stufe 3 enthält GootBot nur eine einzige C2-Server-Adresse.
Die Zeichenketten von GootBot sind durch einen Ersatzschlüssel leicht verschleiert, wie im folgenden Screenshot zu sehen ist:
Ähnlich wie Gootloader beginnt der Bot damit, eine GET-Anfrage an seinen C2-Server zu senden und PowerShell-Aufgaben anzufordern. Dem ersten Beacon wurden von der Malware die folgenden HTTP-Header hinzugefügt:
GET /xmlrpc.php HTTP/1.1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/107.0.0.0 Safari/537.36
Cookie: <BOT_ID>=<Wenn der Benutzer Admin ist: 0/1>
Pragma: no-cache
Cache-Control: no-cache, no-store
Läuft ab in: 0
Als Antwort erwartet GootBot eine Zeichenkette, die aus einer Base64-kodierten Nutzlast und den letzten 8 Zeichen des Aufgabennamens besteht. Anschließend wird die Nutzlast dekodiert und in einen einfachen Skriptblock eingefügt, bevor sie in einem neuen Hintergrundjob mithilfe des Cmdlets „Start-Job“ ausgeführt wird. Dadurch kann die PowerShell-Payload asynchron und ohne Erstellung eines untergeordneten Prozesses ausgeführt werden, was möglicherweise zu weniger EDR-Erkennungen führt.
Der folgende Screenshot zeigt den deobfuskierten Code, der die C2-Aufgabe ausführt.
Standardmäßig sendet GootBot alle 60 Sekunden ein Signal aus. Dies kann jedoch geändert werden, indem dem Informationsattribut der untergeordneten Aufträge eine bestimmte Zeichenkette mit dem Wert „asz“ zugewiesen wird. Gleiches gilt für den Pfad des Arbeitsverzeichnisses, der mit der Signalzeichenfolge „asx“ geändert werden kann.
Sobald der Bot eine Aufgabe vom C2-Server erhält, beginnt die nächste Schleifeniteration mit der Abfrage des Ergebnisses für jede vom C2-Server angeforderte untergeordnete Aufgabe. Wenn der Auftrag abgeschlossen ist, werden die Auftragsergebnisse zurückgegeben. Falls der Auftrag noch nicht abgeschlossen ist, wird die Zeichenkette „E1“ gesendet, andernfalls die Zeichenkette „E2“, falls der Auftrag nicht gefunden werden kann. Die Job-Ergebnisse werden dann für alle angeforderten Aufgaben im folgenden Format verkettet:
[!<BOT_ID>!]<job result 1>!<1>[!<BOT_ID>!]<job result 2>!<2>[!<BOT_ID>!]<job result 3>!<3>…
Die resultierende Zeichenkette wird mit Base64 kodiert und über einen modulo-basierten Algorithmus verschleiert, der einer Technik ähnelt, die in früheren Gootloader-JavaScript-Beispielen beobachtet wurde.
Diesmal sendet GootBot eine POST-Anfrage an seinen C2-Server. Wenn die Daten größer als 100.000 Zeichen sind, werden sie in mehrere Anfragen aufgeteilt und wie folgt formatiert:
POST /xmlrpc.php HTTP/1.1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/107.0.0.0 Safari/537.36
Cookie: <BOT_ID>=<If user is admin: 0/1>|<task name 1>|<task name 2>|<task name 3>|<task name 4>…
Pragma: no-cache
Cache-Control: no-cache, no-store
Läuft ab in: 0
<BOT_ID>=[sX<<random_int>><packet_seq_number>]<data>
Auch hier erwartet der Bot eine Antwort mit der nächsten Aufgabe.
GootBot wurde außerdem so konzipiert, dass er seitlich in der Umgebung verteilt werden kann. Sobald ein erster Host infiziert ist, empfängt GootBot eine Reihe von Skripten, die sowohl den Host als auch die Domain auflisten. X-Force beobachtete außerdem mehrere Skripte, die verschiedene Techniken nutzten, um die eingebettete GootBot-Nutzlast auf andere Hosts zu verbreiten. Die C2-Infrastruktur von GootBots kann schnell eine große Anzahl von GootBot-Payloads generieren, die dann verbreitet werden, wobei jede Payload eine andere C2-Adresse zur Kontaktaufnahme hat. Diese werden von Skripten mit Lateralbewegung automatisch bereitgestellt, was auch dazu führen kann, dass Rechner mehrfach neu infiziert werden.
Skripte für Lateralbewegung verwenden WinRM in PowerShell, entweder über WMI oder das Cmdlet „Invoke-Command“. Weitere Beispiele sind das Kopieren von Nutzdaten über SMB und die Verwendung von WinAPI-Aufrufen an SCM (Service Control Manager), um Remote-Dienste und geplante Aufgaben zu erstellen.
In einigen Fällen nutzt GootBot auch exfiltrierte Anmeldedaten zur Verbreitung:
Abbildung: Lateralbewegung über WinRM Invoke-Command
Abbildung: Lateralbewegung via SCM
GootBot verwendet auch Umgebungsvariablen, um verschlüsselte Zeichenfolgen zu speichern, was die Größe der Skripte weiter verringert. Zusätzlich kann GootBot auch bereitgestellt werden, um die Argumente der PowerShell-Prozesse zu fälschen, indem ein neuer Prozess erstellt wird, bevor das bösartige Skript auf die Eingabe der Prozesse geschrieben wird.
GootBot führt außerdem als eine seiner ersten Aufgaben ein Aufklärungsskript aus. Sie enthält die eindeutige GootBot-ID des Hosts.
Folgende Informationen werden zusammengetragen und an den Job-Handler zurückgegeben:
Die Daten sind mit der angegebenen ID formatiert. Siehe unten stehende Beispieldaten mit der ID „FDA8970BA3“:
Eine Gootloader-Infektion kann schnell zur Bereitstellung zusätzlicher Tools wie Cobalt Strike, SystemBC und Skripten zur Kompromittierung von Domänen einschließlich Kerberoasting-Angriffen führen. Ein weiteres beobachtetes Verhalten ist die Exfiltration der folgenden sensiblen Informationen:
Darüber hinaus ist bekannt, dass Gootloader-Infektionen auch zu Ransomware-Angriffen führen können.
Die Entdeckung der Gootbot-Variante zeigt, wie weit Angreifer alles unternehmen werden, um sich der Erkennung zu entziehen und im Verborgenen zu operieren. Dies ist eine äußerst effektive Malware, die es Angreifern ermöglicht, sich schnell und mühelos lateral durch die Umgebung zu verschieben und ihre Angriffe auszuweiten. Darüber hinaus macht die Nutzung großer Cluster kompromittierter WordPress-Domains durch Hive 0127 es für Verteidiger zunehmend schwierig, bösartigen Datenverkehr zu blockieren. Da Gootloader häufig als Erstzugangsanbieter dient, ist das Bewusstsein für diese sich entwickelnden TTPs und Tools wichtig, um das Risiko von wirkungsvollen Post-Ausbeutung-Aktivitäten zu mindern.
Indikator
Art des Indikators
Kontext
6ff7a60c7cd8ffed318700dff453d
SHA256
GootBot
95dbd3f273d621fa71631882d00be
SHA256
GootBot
https://contentstudent[.]com/
URL
GootBot C2 server
http://63factory[.]jp/wordpress/
URL
GootBot C2 server
