Operation TunnelSnake: Moriya-Rootkit-Erkennung
Inhaltsverzeichnis:
Sicherheitsforscher von Kaspersky Lab haben ein bisher unbekanntes Windows-Rootkit aufgedeckt, das heimlich von einem China-gebundenen APT-Akteur genutzt wurde, um jahrelang Hintertüren auf den infizierten Instanzen zu installieren. Das als Moriya bezeichnete Rootkit bietet Angreifern die Möglichkeit, Netzwerkverkehr zu erfassen und Befehle verdeckt auf den kompromittierten Geräten auszuführen, während es den Radar von Sicherheitsprodukten umgeht. Forscher glauben, dass Moriya das bösartige Arsenal der langjährigen Operation TunnelSnake ergänzt, die auf Cyber-Spionage gegen regionale diplomatische Einrichtungen in Asien und Afrika abzielt.
Moriya Rootkit
Laut der detaillierten Untersuchung von Kaspersky ist Moriya ein ausgeklügeltes bösartiges Werkzeug, das in der Lage ist, passive Hintertüren auf den öffentlich zugänglichen Servern der Organisation zu platzieren. Diese Hintertüren etablieren eine verdeckte Verbindung mit dem Kommando- und Kontrollserver (C&C) der Angreifer, um den gesamten durch eine kompromittierte Instanz gehenden Verkehr zu überwachen und Pakete herauszufiltern, die für bösartige Zwecke vorgesehen sind. Bemerkenswert ist, dass Moriya keine Serververbindung herstellt, sondern stattdessen auf den eingehenden Verkehr wartet. Darüber hinaus inspiziert das Rootkit Verkehr im Kernel-Modus mit Hilfe eines Windows-Treibers und entfernt die benötigten Pakete unauffällig. Dieser Ansatz ermöglicht es den Angreifern, monatelang unentdeckt im kompromittierten Netzwerk zu bleiben und einen verdeckten Kanal zu haben, um Shell-Befehle auszuführen.
Die Struktur des Rootkits besteht aus einem Kernel-Modus-Treiber und einem Benutzer-Modus-Agenten, der für deren Deployment und Kontrolle verantwortlich ist. Um die erste Aufgabe zu erfüllen, nutzt der Agent eine gängige Technik aus, die den VirtualBox-Treiber missbraucht, um den Mechanismus zur Treibersignaturdurchsetzung zu umgehen und den unsignierten Moriya-Treiber in den Kernel-Speicherraum zu laden. Diese Komponente ist auch dafür verantwortlich, Befehle vom C&C-Server herauszufiltern, indem sie einen einzigartigen Wert generiert, der jedem bösartigen Paket hinzugefügt wird, das durch den verdeckten Kanal geht. Zusätzlich ist Moriya in der Lage, eine Reverse-Shell-Sitzung über einen offenen Kanal zu etablieren.
Die Kernel-Modus-Treiberkomponente nutzt die Windows Filtering Platform (WFP), um die versteckte Kommunikation zu verstärken. Insbesondere erstellt WFP eine Kernel-Space-API, die es dem bösartigen Treibercode ermöglicht, interessante Pakete zu filtern und deren Verarbeitung durch den Windows TCP/IP-Stack zu verwalten. Der Treiber holt den Moriya-bezogenen Verkehr mit einer Filter-Engine ab und blockiert die Pakete, um sie vor der Inspektion zu verbergen. Gleichzeitig wird nicht verwandter Verkehr wie gewohnt verarbeitet, um Sicherheitsalarme des Systems zu vermeiden.
Operation TunnelSnake
Das Moriya-Rootkit treibt eine lang laufende Cyber-Spionage-Kampagne an, die von Kaspersky als Operation TunnelSnake bezeichnet wird. Obwohl das Rootkit auf kompromittierten Netzwerken während 2019-2020 identifiziert wurde, glauben Experten, dass Bedrohungsakteure seit 2018 aktiv sein könnten. Die Kampagne ist hochzielgerichtet und hat nur zehn einflussreiche diplomatische Einrichtungen in Afrika und Asien auf der Liste der Ziele.
Laut den Forschern hat eine unbekannte APT-Gruppe verwundbare Webserver ausgenutzt, um anfänglichen Zugang zu erhalten und Moriya zusammen mit anderen Post-Exploitation-Tools auf das Netzwerk zu platzieren. Das Arsenal umfasst die China Chopper Web-Shell, BOUNCER, TRAN, Termite, Earthworm und andere ausgeklügelte Malware-Proben, die vorwiegend für die Netzwerkentdeckung, laterale Bewegung und Payload-Bereitstellung verwendet werden. Obwohl die meisten der Tools maßgeschneidert sind, entdeckten Forscher einige Open-Source-Malware-Stücke, die zuvor von chinesisch-sprachigen APT-Akteuren verwendet wurden. Diese Tatsache weist auf den potenziellen Ursprung der Angreifer hin, jedoch ist die genaue Attribution derzeit unbekannt.
Es ist erwähnenswert, dass Moriya ein Nachfolger des älteren IISSpy-Rootkits sein könnte, das im Jahr 2018 in Angriffen beobachtet wurde, die nicht mit TunnelSnake in Zusammenhang stehen. Darüber hinaus verbinden Kaspersky-Experten Moriya mit der ProcessKiller-Malware, die typischerweise verwendet wird, um den Anti-Virus-Schutz zu umgehen.
Erkennung des Moriya Rootkits
Um mögliche bösartige Aktivitäten im organisatorischen Netzwerk zu erkennen, können Sie eine Community Sigma-Regel herunterladen, die von unserem produktiven Threat Bounty-Entwickler Osman Demir: https://tdm.socprime.com/tdm/info/ihN3d0opmHAn/#sigma
Die Regel hat Übersetzungen in die folgenden Sprachen:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye
MITRE ATT&CK:
Taktiken: Persistenz, Abwehrumgehung
Techniken: Neuer Dienst (T1050), Rootkit (T1014)
Holen Sie sich ein kostenloses Abonnement für den Threat Detection Marketplace und verbessern Sie Ihre Cyber-Abwehrfähigkeiten mit unserer branchenweit ersten SOC-Inhaltsbibliothek. Die Bibliothek aggregiert über 100.000 Abfragen, Parser, SOC-fähige Dashboards, YARA- und Snort-Regeln, maschinelle Lernmodelle und Incident-Response-Playbooks, die den CVE- und MITRE ATT&CK®-Frameworks zugeordnet sind. Möchten Sie an Bedrohungsjagd-Initiativen teilnehmen und Ihre eigenen Sigma-Regeln erstellen? Treten Sie unserem Threat Bounty-Programm für eine sicherere Zukunft bei!
