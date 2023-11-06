IBM X-Force a découvert une nouvelle variante de Gootloader, l’implant « GootBot », qui facilite les mouvements latéraux furtifs et rend plus difficile la détection et le blocage des campagnes Gootloader dans les environnements d’entreprise. X-Force a observé que ces campagnes exploitaient le référencement abusif, misant sur les recherches de victimes peu méfiantes. Nous analysons cela plus en détail dans cet article de blog. L’introduction par le groupe Gootloader de son propre bot personnalisé dans les dernières étapes de sa chaîne d’attaque vise à éviter toute détection lors de l’utilisation d’outils C2 prêts à l’emploi tels que CobaltStrike ou RDP. Cette nouvelle variante est un logiciel malveillant léger mais efficace qui permet aux attaquants de s’étendre rapidement à travers le réseau et de déployer d’autres charges utiles.
Auparavant, Gootloader semblait n’être qu’un logiciel malveillant d’accès initial, à la suite duquel les attaquants chargeaient des outils tels que CobaltStrike ou utilisaient RDP pour s’étendre au sein du réseau. Les campagnes utilisant GootBot pour se déplacer latéralement constituent un changement significatif dans les TTP post-infection, car cet outil personnalisé permet aux acteurs de la menace de rester indétectables pendant plus longtemps. GootBot est téléchargé sous forme de charge utile après une infection par Gootloader et a la capacité de recevoir des tâches C2 sous la forme de scripts PowerShell chiffrés, qui sont exécutés comme des tâches. Contrairement à Gootloader, GootBot est un script PS léger et obscurci, qui ne contient qu’un seul serveur C2. Les implants GootBot, qui contiennent chacun un serveur C2 différent fonctionnant sur un site WordPress piraté, se propagent en grand nombre au sein des domaines d’entreprise infectés dans l’espoir d’atteindre un contrôleur de domaine. Au moment de la rédaction de cet article, GootBot n’a fait l’objet d’aucune détection sur VirusTotal. Cette évolution des TTP et des outils augmente le risque de réussite des étapes post-exploitation, telles que les activités des affiliés de ransomware liés à Gootloader.
Le groupe Gootloader, que X-Force suit sous le nom de Hive0127 (alias UNC2565), est actif depuis 2014 et s’appuie sur une combinaison de référencement abusif et de sites WordPress compromis pour diffuser Gootloader. Les infections par Gootloader fournissent un accès initial à d’autres acteurs de la menace, notamment des affiliés de ransomware, et les attaques ont conduit à des charges utiles supplémentaires telles que IcedID, Cobalt Strike et SystemBC.
X-Force a observé que le groupe utilisait le référencement abusif dans le cadre de ses campagnes malveillantes. Cette méthode consiste à manipuler les résultats des moteurs de recherche afin d’attirer les utilisateurs vers des sites web compromis, en s’appuyant sur l’idée répandue selon laquelle les premiers résultats sont généralement fiables, sûrs et légitimes. Hive0127 cible généralement les recherches en ligne portant sur des contrats, des formulaires juridiques ou d’autres documents liés aux affaires, par exemple : « Un relevé de clôture est-il identique à un contrat global ? ». Les cibles sont redirigées vers un site web compromis, qui a été modifié pour apparaître comme un forum légitime en haut de la page de résultats du moteur de recherche corrompu. Une fois sur le forum, les cibles sont incitées à télécharger un fichier d’archive lié à leurs termes de recherche initiaux, mais qui contient en réalité Gootloader.
Le schéma suivant illustre comment Gootloader peut utiliser GootBot pour se propager à travers un réseau. Les sections d’analyse ci-dessous détaillent les différentes étapes de l’infection :
Les infections par Gootloader commencent lorsqu’un utilisateur télécharge une archive infectée contenant un fichier JavaScript considérablement obscurci, ce qui constitue la première étape de Gootloader. Une fois le fichier exécuté, un autre fichier JavaScript est déposé dans l’un des sous-dossiers du dossier %APPDATA% avec un nom de fichier discret en anglais. Gootloader ne crée pas de nouveau dossier dans %APPDATA%, mais sélectionne plutôt un dossier existant. Cette sélection n’est pas aléatoire, mais calculée en fonction du nombre de sous-dossiers présents dans le dossier %APPDATA%. Le calcul s’effectue comme suit :
722 – (Round down(722 / number_of_subfolders) * number_of_subfolders)
Au lieu d’exécuter directement la deuxième étape, Gootloader déclenche une tâche planifiée pour exécuter le JavaScript et le rendre persistant.
La tâche planifiée présente les paramètres suivants :
Nom : <Mots anglais aléatoires>
Action : wscript <nom de fichier court de la deuxième étape se terminant par « ~1.JS »>
Dossier : [Sous-dossier dans %APPDATA%]
Déclencheur : LogonTriggerID [À la prochaine connexion de l’utilisateur courant]
Une fois que le JavaScript de la deuxième étape s’exécute, il lance un script PowerShell et la troisième étape, qui consiste à recueillir des informations sur le système et à les télécharger vers l’un de ses 10 serveurs C2 codés en dur. Gootloader utilise des sites WordPress piratés pour faire fonctionner ses serveurs C2 ; les chemins d’accès aux URL C2 se terminent donc par « /xmlrpc.php ».
L’exemple ci-dessous montre une requête HTTP provenant du logiciel malveillant.
L’agent utilisateur est cohérent, tout comme l’ID présumé du logiciel malveillant, 3B47772CE3.
Le logiciel malveillant attend que le serveur C2 réponde avec des données contenant un script PowerShell que Gootloader exécute.
Le script PowerShell de la troisième étape s’exécute en boucle infinie, ce qui permet au pirate informatique de faire en sorte que le serveur C2 réponde avec différentes charges utiles PowerShell.
L’une des charges utiles observées par X-Force est GootBot, une nouvelle variante de Gootloader. Elle présente des capacités très similaires, mais se présente sous la forme d’un script PowerShell léger. Contrairement au script PowerShell de la troisième étape, GootBot ne contient qu’une seule adresse de serveur C2.
Les chaînes de GootBot sont légèrement obscurcies via une clé de substitution, comme le montre la capture d’écran ci-dessous :
Tout comme Gootloader, le bot commence par envoyer une requête GET à son serveur C2, demandant des tâches PowerShell. La première balise comporte les en-têtes HTTP suivants ajoutés par le logiciel malveillant :
GET /xmlrpc.php HTTP/1.1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/107.0.0.0 Safari/537.36
Cookie: <BOT_ID>=<If user is admin: 0/1>
Pragma: no-cache
Cache-Control: no-cache, no-store
Expires: 0
En réponse, GootBot attend une chaîne composée d’une charge utile encodée en Base64, dont les 8 derniers caractères correspondent au nom de la tâche. Il décode ensuite la charge utile et l’injecte dans un simple bloc de script avant de l’exécuter dans une nouvelle tâche en arrière-plan à l’aide de la cmdlet « Start-Job ». Cela permet d’exécuter la charge utile PowerShell de manière asynchrone et sans créer de processus enfant, ce qui peut réduire le nombre de détections EDR.
La capture d’écran suivante montre le code désobscurci exécutant la tâche C2.
Par défaut, GootBot envoie des signaux toutes les 60 secondes, mais cela peut être modifié en définissant une chaîne spécifique contenant « asz » dans l’attribut d’information des tâches enfants. Il en va de même pour le chemin d’accès au répertoire de travail, qui peut être modifié à l’aide de la chaîne de signal « asx ».
Une fois que le bot a reçu une tâche du serveur C2, la boucle suivante se lance en interrogeant le résultat pour chaque tâche enfant demandée par le serveur C2. Si la tâche est terminée, elle renvoie son résultat. Si elle n’est pas encore terminée, elle envoie la chaîne « E1 » ; si la tâche est introuvable, c’est la chaîne « E2 » qui est envoyée. Les résultats des tâches sont ensuite concaténés pour toutes les tâches demandées en utilisant le format suivant :
[!<BOT_ID>!]<job result 1>!<1>[!<BOT_ID>!]<job result 2>!<2>[!<BOT_ID>!]<job result 3>!<3>…
La chaîne résultante est encodée en Base64 et obscurcie via un algorithme basé sur un modulo, similaire à une technique observée dans les précédents échantillons JavaScript de Gootloader.
Cette fois-ci, GootBot envoie une requête POST à son serveur C2. Si les données dépassent 100 000 caractères, elles sont divisées en plusieurs requêtes, formatées comme suit :
POST /xmlrpc.php HTTP/1.1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/107.0.0.0 Safari/537.36
Cookie: <BOT_ID>=<If user is admin: 0/1>|<task name 1>|<task name 2>|<task name 3>|<task name 4>…
Pragma: no-cache
Cache-Control: no-cache, no-store
Expires: 0
<BOT_ID>=[sX<<random_int>><packet_seq_number>]<data>
Une fois encore, le bot attend une réponse contenant la tâche suivante.
GootBot a également été conçu pour se propager latéralement dans l’environnement. Une fois qu’un hôte initial est infecté, GootBot reçoit un certain nombre de scripts répertoriant l’hôte ainsi que le domaine. X-Force a également observé plusieurs scripts utilisant différentes techniques pour propager la charge utile GootBot intégrée à d’autres hôtes. L’infrastructure C2 de GootBot peut rapidement générer un grand nombre de charges utiles à diffuser, chacune avec une adresse C2 différente à contacter. Celles-ci sont déployées de manière automatisée par des scripts de mouvement latéral, ce qui peut également mener les hôtes à être réinfectés plusieurs fois.
Les scripts de déplacement latéral utilisent WinRM dans PowerShell, soit via WMI, soit via la cmdlet « Invoke-Command ». D’autres exemples incluent la copie de charges utiles via SMB et l’utilisation d’appels WinAPI vers SCM (Service Control Manager) afin de créer des services à distance et des tâches planifiées.
Dans certains cas, GootBot utilise également des identifiants exfiltrés pour se propager :
Figure : Mouvement latéral via WinRM Invoke-Command
Figure : Mouvement latéral via SCM
Il a également été démontré que GootBot utilise des variables d’environnement pour stocker des chaînes chiffrées, ce qui réduit encore la taille des scripts. En outre, GootBot peut également être déployé à l’aide d’une technique de spoofing des arguments des processus PowerShell, en créant un nouveau processus avant d’écrire le script malveillant dans l’entrée standard des processus.
GootBot exécute également un script de reconnaissance comme l’une de ses premières tâches. Il contient l’ID GootBot unique pour l’hôte.
Les informations suivantes sont rassemblées et renvoyées au gestionnaire de tâches :
Les données sont formatées avec l’ID spécifié. Voici un exemple avec l’ID « FDA8970BA3 » :
Une infection par Gootloader peut rapidement conduire au déploiement d’outils supplémentaires tels que Cobalt Strike, SystemBC et des scripts de compromission de domaine, dont des attaques de type « kerberoasting ». Un autre comportement observé est l’exfiltration des informations sensibles suivantes :
En outre, les infections par Gootloader sont également connues pour entraîner la propagation de ransomwares.
La découverte de la variante Gootbot met en évidence les efforts déployés par les attaquants pour échapper à la détection et opérer en toute discrétion. Il s’agit d’un logiciel malveillant très efficace qui permet aux agresseurs de se déplacer latéralement dans l’environnement avec facilité et rapidité et d’étendre leurs attaques. De plus, l’utilisation par Hive 0127 de grands clusters de domaines WordPress compromis rend de plus en plus difficile pour les défenseurs de bloquer le trafic malveillant. Comme Gootloader sert souvent de fournisseur d’accès initial, il est important de connaître ces TTP et outils en constante évolution afin d’atténuer le risque d’activités post-exploitation ayant de lourdes conséquences.
Pour plus d’informations sur les recherches en matière de sécurité, les renseignements sur les menaces et les analyses menées par des hackers de X-Force, rendez-vous sur le centre de recherche X-Force.
Indicateur
Type d'indicateur
Contexte
6ff7a60c7cd8ffed318700dff453d
SHA256
GootBot
95dbd3f273d621fa71631882d00be
SHA256
GootBot
https://contentstudent[.]com/
URL
Serveur C2 GootBot
http://63factory[.]jp/wordpress/
URL
Serveur C2 GootBot
