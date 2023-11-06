Keamanan

GootBot – Pendekatan baru Gootloader pada pascaeksploitasi

diterbitkan 6 November 2023
Golo Mühr

Ole Villadsen

IBM X-Force menemukan varian baru Gootloader — implan “GootBot” — yang memfasilitasi gerakan lateral tersembunyi dan mempersulit deteksi dan pemblokiran operasi Gootloader dalam lingkungan perusahaan. X-Force mengamati operasi ini memanfaatkan peracunan SEO, bertaruh pada aktivitas pencarian korban yang tidak curiga, yang kami analisis lebih lanjut di blog. Peluncuran bot kustom mereka sendiri oleh grup Gootloader ke tahap akhir rantai serangan mereka adalah upaya untuk menghindari deteksi saat menggunakan alat siap pakai untuk C2 seperti CobaltStrike atau RDP. Varian baru ini adalah malware ringan namun efektif yang memungkinkan penyerang menyebar dengan cepat ke seluruh jaringan dan menyebarkan muatan lebih lanjut.

Sebelumnya, Gootloader hanya diamati sebagai malware akses awal, di mana penyerang setelahnya akan memuat alat seperti CobaltStrike atau menggunakan RDP untuk menyebar dalam jaringan. Operasi yang memanfaatkan GootBot untuk gerakan lateral merupakan perubahan signifikan dalam TTP pascainfeksi, karena alat khusus ini memungkinkan aktor ancaman untuk tetap berada di bawah radar untuk jangka waktu yang lebih lama. GootBot diunduh sebagai muatan setelah infeksi Gootloader dan memiliki kemampuan untuk menerima tugas C2 dalam bentuk skrip PowerShell terenkripsi, yang dijalankan sebagai pekerjaan. Tidak seperti Gootloader, GootBot adalah skrip PS samar yang ringan dan hanya berisi satu server C2. Implan GootBot, yang masing-masing berisi server C2 berbeda yang berjalan di situs WordPress yang diretas, menyebar ke seluruh domain perusahaan yang terinfeksi dalam jumlah besar dan berharap mencapai pengontrol domain. Pada saat penulisan, GootBot tidak memiliki deteksi yang tercantum di VirusTotal. Pergeseran dalam TTP dan alat ini meningkatkan risiko tahap pascaeksploitasi yang berhasil, seperti aktivitas afiliasi ransomware terkait Gootloader.

Temuan utama

  • Grup Gootloader menciptakan alat baru untuk C2 dan gerakan lateral yang dijuluki GootBot, yang digunakan sebagai pengganti kerangka kerja pascaeksploitasi tradisional lainnya seperti CobaltStrike.
  • Operasi yang diamati saat ini memanfaatkan pencarian SEO yang diracuni untuk tema seperti kontrak, formulir hukum, atau dokumen terkait bisnis lainnya, mengarahkan korban ke situs yang disusupi yang dirancang agar terlihat seperti forum yang sah, di mana mereka dikelabui untuk mengunduh muatan awal sebagai file arsip.
  • Setelah infeksi, sejumlah besar implan GootBot disebarluaskan ke seluruh lingkungan perusahaan, dan masing-masing implan berisi server C2 tertanam dalam kode yang berbeda, sehingga sulit untuk diblokir.
  • Pada saat penulisan, implan GootBot mempertahankan deteksi AV nol pada VirusTotal, memungkinkannya menyebar secara diam-diam.
  • Gootloader berfungsi sebagai penyedia akses awal dan infeksi yang berhasil diketahui menyebabkan ransomware.

Latar Belakang

Grup Gootloader, yang dilacak X-Force sebagai Hive0127 (alias UNC2565), telah aktif sejak 2014 dan mengandalkan kombinasi peracunan SEO dan situs WordPress yang disusupi untuk mengirimkan Gootloader. Infeksi Gootloader menyediakan akses awal untuk pelaku ancaman lainnya, termasuk afiliasi ransomware, dan serangan telah menyebabkan muatan lanjutan seperti IcedID, Cobalt Strike, dan SystemBC.

X-Force mengamati kelompok yang memanfaatkan peracunan SEO sebagai bagian dari operasi jahatnya, yang merupakan metode yang digunakan pelaku ancaman untuk memanipulasi hasil mesin pencari untuk mengarahkan pengguna ke situs web yang disusupi berdasarkan gagasan bahwa hasil pertama mesin pencari kemungkinan akurat, aman, dan sah. Hive0127 biasanya menargetkan pencarian online untuk kontrak, formulir hukum, atau dokumen terkait bisnis lainnya; misalnya: “Apakah pernyataan penutupan sama dengan kontrak besar?”. Target dilayani situs web yang disusupi yang dimodifikasi untuk muncul sebagai forum yang sah di bagian atas halaman hasil mesin pencari yang diracuni. Dalam percakapan forum, target kemudian dikelabui untuk mengunduh file arsip yang terkait dengan istilah pencarian awal mereka, tetapi yang sebenarnya berisi Gootloader.

Analisis

Diagram infeksi

Grafik berikut adalah contoh bagaimana Gootloader dapat menggunakan GootBot untuk menyebar ke seluruh jaringan. Bagian analisis di bawah ini memerinci berbagai tahap infeksi:

Contoh grafik bagaimana Gootloader dapat menggunakan GootBot untuk menyebar ke seluruh jaringan dengan bagian analisis yang memerinci berbagai tahap infeksi

Akses awal melalui Gootloader

Infeksi gootloader dimulai dengan pengguna mengunduh arsip yang terinfeksi, berisi file JavaScript yang dikaburkan secara signifikan, yang merupakan tahap pertama Gootloader. Setelah eksekusi, infeksi menulis file JavaScript lain di subfolder yang dipilih di bawah folder %APPDATA% dengan nama file bahasa Inggris yang tidak mencolok. Gootloader tidak membuat folder baru di %APPDATA%, tetapi memilih folder yang sudah ada. Pilihan ini tidak acak tetapi dihitung berdasarkan jumlah subfolder yang ditemukan di folder %APPDATA%. Perhitungannya adalah sebagai berikut:

722 – (Bulatkan ke bawah (722 / number_of_subfolders) * number_of_subfolders)

Alih-alih menjalankan tahap kedua secara langsung, Gootloader memicu tugas terjadwal untuk menjalankan JavaScript serta membuatnya persisten.

Tugas yang dijadwalkan memiliki parameter berikut:

Nama: <Random English words>

Tindakan: wscript <nama file pendek tahap ke-2 yang diakhiri dengan “~1.JS”>

Folder: [Subfolder di %APPDATA%]

Pemicu: LogonTriggerId [Pada log on berikutnya dari pengguna saat ini]

Setelah JavaScript tahap kedua dijalankan, skrip PowerShell dan tahap ketiga akan dijalankan, yang mengumpulkan informasi sistem dan mengunggahnya ke salah satu dari 10 server C2 yang tertanam dalam kode. Gootloader menggunakan situs WordPress yang diretas untuk menjalankan server C2 mereka, yang mengarah ke jalur URL C2 yang diakhiri dengan “/xmlrpc.php”.

Di bawah ini adalah contoh permintaan HTTP dari malware.

GootBot – Pendekatan baru Gootloader pada pascaeksploitasi

Agen Pengguna konsisten, demikian pula dugaan ID malware, 3B47772CE3.

Malware mengharapkan C2 untuk merespons dengan data yang berisi skrip PowerShell yang dieksekusi Gootloader.

Skrip PowerShell tahap ketiga berjalan dalam siklus tidak berakhir yang memberi pelaku kemampuan untuk membuat C2 merespons dengan berbagai muatan PowerShell.

GootBot

Salah satu muatan yang diamati X-Force adalah GootBot, varian baru dari Gootloader. Varian ini memiliki fitur yang sangat mirip tetapi berupa skrip PowerShell ringan. Berbeda dengan skrip PowerShell tahap 3, GootBot hanya berisi satu alamat server C2.

String GootBot sedikit dikaburkan melalui kunci pengganti, seperti yang terlihat pada tangkapan layar di bawah ini:

Tangkapan layar menunjukkan string GootBot sedikit dikaburkan melalui kunci pengganti

Mirip dengan Gootloader, bot memulai dengan mengirim permintaan GET ke server C2, meminta tugas PowerShell. Beacon pertama memiliki header HTTP berikut yang ditambahkan oleh malware:

GET /xmlrpc.php HTTP/1.1

User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, seperti Gecko) Chrome/107.0.0.0 Safari/537.36

Cookie: <BOT_ID>=<Jika pengguna adalah admin: 0/1>

Pragma: no-cache

Cache-Control: no-cache, no-store

Kedaluwarsa: 0

Sebagai tanggapan, GootBot mengharapkan string yang terdiri dari muatan yang dikodekan Base64 dan 8 karakter terakhir menjadi nama tugas. Kemudian GootBot akan mengurai kode muatan dan menyuntikkannya ke blok skrip sederhana sebelum menjalankannya di pekerjaan latar belakang baru menggunakan Cmdlet “Start-Job”. Hal ini memungkinkan muatan PowerShell dijalankan secara asinkron dan tanpa membuat proses turunan, yang berpotensi menghasilkan deteksi EDR yang lebih sedikit.

Tangkapan layar berikut menunjukkan kode tanpa pengaburan yang menjalankan tugas C2.

Tangkapan layar yang menunjukkan kode tanpa pengaburan yang menjalankan tugas C2

Secara default, GootBot mengeluarkan sinyal setiap 60 detik, namun ini dapat diubah dengan mengatur string tertentu yang berisi “asz” ke atribut informasi pekerjaan turunan. Hal yang sama berlaku untuk jalur direktori kerja, yang dapat diubah dengan string sinyal “asx”.

Setelah bot menerima tugas dari C2, iterasi putaran berikutnya akan dimulai dengan menanyakan hasil tugas, untuk setiap turunan pekerjaan yang diminta oleh server C2. Jika pekerjaan telah selesai, bot akan menampilkan hasil pekerjaan. Jika belum selesai, bot akan mengirim string “E1" atau “E2" jika pekerjaan tidak dapat ditemukan. Hasil pekerjaan kemudian ditautkan untuk semua tugas yang diminta menggunakan format berikut:

[!<BOT_ID>!]<job result 1>!<1>[!<BOT_ID>!]<job result 2>!<2>[!<BOT_ID>!]<job result 3>!<3>…

String yang dihasilkan Base64 yang dikodekan dan dikaburkan melalui algoritma berbasis modul yang mirip dengan teknik yang diamati dalam sampel JavaScript Gootloader sebelumnya.

Kali ini, GootBot mengirimkan permintaan POST ke server C2 miliknya. Jika berukuran lebih besar dari 100.000 karakter, data dibagi menjadi beberapa permintaan dan diformat sebagai berikut:

POST /xmlrpc.php HTTP/1.1

User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, seperti Gecko) Chrome/107.0.0.0 Safari/537.36

Cookie: <BOT_ID>=<Jika pengguna adalah admin: 0/1>|<task name 1>|<task name 2>|<task name 3>|<task name 4>…

Pragma: no-cache

Cache-Control: no-cache, no-store

Kedaluwarsa: 0

 

<BOT_ID>=[sX<<random_int>><packet_seq_number>]<data>

Sekali lagi, bot mengharapkan respons yang berisi tugas berikutnya.

Gerakan lateral

GootBot juga dirancang untuk disebarkan secara lateral ke seluruh lingkungan. Setelah host awal terinfeksi, GootBot menerima sejumlah skrip yang menyebutkan host serta domain. X-Force juga mengamati beberapa skrip menggunakan teknik berbeda untuk menyebarkan muatan GootBot yang tertanam ke host lain. Infrastruktur C2 GootBot dapat dengan cepat menghasilkan sejumlah besar muatan GootBot untuk disebarluaskan, masing-masing akan menghubungi alamat C2 yang berbeda. Mereka digunakan oleh skrip gerakan lateral secara otomatis, yang juga dapat menyebabkan host terinfeksi ulang berkali-kali.

Skrip gerakan lateral menggunakan WinRM di PowerShell, baik melalui WMI atau Cmdlet “Invoke-Command”. Contoh lain termasuk menyalin muatan melalui SMB dan penggunaan panggilan WinAPI ke SCM (Service Control Manager) untuk membuat layanan jarak jauh dan tugas terjadwal.

Dalam beberapa kasus, GootBot juga menggunakan kredensial yang dieksfiltrasi untuk menyebarkan:

Kode yang menunjukkan gerakan lateral melalui WinRM Invoke-Command
Kode yang menunjukkan gerakan lateral melalui WinRM Invoke-Command

Gambar: Gerakan lateral melalui WinRM Invoke-Command

Kode menunjukkan gerakan lateral melalui SCM
Kode menunjukkan gerakan lateral melalui SCM

Gambar: Gerakan lateral melalui SCM

GootBot juga telah terbukti menggunakan variabel lingkungan untuk menyimpan string terenkripsi, yang selanjutnya mengurangi ukuran skrip. Selain itu, GootBot juga dapat diterapkan menggunakan teknik untuk memalsukan argumen proses PowerShell dengan membuat proses baru sebelum menulis skrip berbahaya ke input standar proses.

Pengamatan

GootBot juga menjalankan skrip pengintaian sebagai salah satu tugas pertamanya. Ini berisi ID GootBot unik untuk host.
Informasi berikut disatukan dan ditampilkan ke pengendali pekerjaan:

  • Nama pengguna domain
  • Sistem Operasi (dari kunci registri)
  • Jika arsitektur 64bit (memeriksa direktori x86 dan juga ukuran int ptr)
  • Pengontrol domain:
  • Dari registri
  • Dari ENV var
  • Menggunakan [System.DirectoryServices.ActiveDirectory.DomainController]::FindAll
  • Menjalankan proses
  • SID
  • Alamat IP lokal
  • Nama host

Data diformat dengan ID yang ditentukan. Lihat contoh data di bawah ini dengan ID “FDA8970BA3”:

GootBot – Pendekatan baru Gootloader pada pascaeksploitasi

Tindakan terkait tujuan

Infeksi Gootloader dapat dengan cepat menyebabkan penerapan alat tambahan seperti Cobalt Strike, SystemBC, dan skrip penyusupan domain termasuk serangan Kerberoasting. Perilaku lain yang diamati adalah eksfiltrasi informasi sensitif berikut:

  • LSASS process dump. Dibuang menggunakan Procdump atau fungsionalitas Minidump dari “comsvcs.dll”
  • Basis data registry SAM, SYSTEM, SECURITY

Selain itu, infeksi Gootloader juga diketahui mengakibatkan ransomware.

Kesimpulan

Penemuan varian Gootbot menyoroti sejauh mana penyerang akan berupaya menghindari deteksi dan beroperasi secara diam-diam. Ini adalah malware sangat efektif yang memungkinkan penyerang bergerak secara lateral melintasi lingkungan dengan mudah dan cepat, serta memperluas serangan mereka. Selain itu, penggunaan klaster besar domain WordPress yang disusupi Hive 0127 semakin menyulitkan pembela untuk memblokir lalu lintas berbahaya. Karena Gootloader sering berfungsi sebagai penyedia akses awal, kesadaran akan TTP dan alat yang berkembang ini penting untuk mengurangi risiko aktivitas pascaeksploitasi yang berdampak.

Rekomendasi

  • Pastikan antivirus dan file terkait diperbarui
  • Organisasi harus memastikan bahwa pencatatan blok skrip diaktifkan dalam perusahaan mereka dan memantau log peristiwa Windows yang relevan akan tanda-tanda penyusupan
  • Pantau eksekusi file JavaScript dalam arsip ZIP yang diunduh
  • Pantau tugas terjadwal menggunakan wscript.exe untuk mengeksekusi file JavaScript menggunakan nama pendek (*~1.JS)
  • Pantau lalu lintas jaringan untuk permintaan HTTP yang mencurigakan ke URL yang diakhiri dengan “xmlrpc.php”:
  • Nilai cookie yang mencurigakan: <BOT_ID>=<Jika pengguna adalah admin: 0/1>
  • Format konten yang mencurigakan: <BOT_ID>=[sX<<random_int>><packet_seq_number>]<data>
  • Pantau gerakan lateral melalui WinRM, WMI, atau SCM
  • Nonaktifkan atau pantau Cmdlet “Start-Job” di lingkungan Anda.

Untuk informasi lebih lanjut tentang riset keamanan X-Force, intelijen ancaman, dan insight yang dipimpin peretas, kunjungi X-Force Research Hub.

Indicators of Compromise (IOCs)

Indikator

Jenis Indikator

Konteks

6ff7a60c7cd8ffed318700dff453d
3679adf27b11505f875d54e8afc33
bb8465

SHA256 

 GootBot

95dbd3f273d621fa71631882d00be
f71f902a4cc536ee150ec748aae4f4
7e4d5

SHA256

 GootBot

https://contentstudent[.]com/
xmlrpc.php

URL

Server C2 GootBot

http://63factory[.]jp/wordpress/
xmlrpc.php

URL

Server C2 GootBot