Operación TunnelSnake: Detección de Rootkit Moriya
Tabla de contenidos:
Investigadores de seguridad de Kaspersky Lab han descubierto un rootkit de Windows previamente desconocido, utilizado de manera encubierta por un actor APT afiliado a China durante años para instalar puertas traseras en las instancias infectadas. Apodado Moriya, el rootkit proporciona a los atacantes la capacidad de capturar tráfico de red y ejecutar comandos de manera encubierta en los dispositivos comprometidos mientras pasa desapercibido para los productos de seguridad. Los investigadores creen que Moriya complementa el conjunto de herramientas maliciosas de la Operación TunnelSnake, que lleva tiempo apuntando al ciberespionaje contra activos diplomáticos regionales en Asia y África.
Rootkit Moriya
Según la detallada investigación de Kaspersky, Moriya es una herramienta maliciosa sofisticada capaz de colocar puertas traseras pasivas en los servidores de acceso público de la organización. Estas puertas traseras establecen además una conexión encubierta con el servidor de comando y control (C&C) de los atacantes para monitorear todo el tráfico que pasa por una instancia comprometida y filtrar paquetes designados para fines nefastos. Notablemente, Moriya no establece una conexión de servidor, sino que espera el tráfico entrante. Además, el rootkit inspecciona el tráfico en el modo kernel con la ayuda de un controlador de Windows y descarta los paquetes necesarios de manera encubierta. Este enfoque permite a los atacantes permanecer sin ser detectados dentro de la red comprometida durante meses, obteniendo un canal encubierto para ejecutar comandos de shell.
La estructura del rootkit consta de un controlador en modo kernel y un agente en modo usuario responsable de su implementación y control. Para lograr la primera tarea, el agente emplea una técnica común que abusa del controlador de VirtualBox para eludir el mecanismo de Refuerzo de la Firma del Controlador y cargar el controlador no firmado de Moriya en el espacio de memoria del kernel. Además, este componente es responsable de filtrar los comandos del servidor de C&C generando un valor único, que se agrega a cada paquete malicioso que pasa por el canal encubierto. Adicionalmente, Moriya es capaz de establecer una sesión de shell inverso utilizando un canal abierto.
El componente del controlador en modo kernel aprovecha la Plataforma de Filtrado de Windows (WFP) para potenciar las comunicaciones ocultas. En particular, WFP crea una API en el espacio del kernel que permite al código del controlador malicioso filtrar paquetes de interés y gestionar su procesamiento por parte de la pila TCP/IP de Windows. El controlador obtiene el tráfico relacionado con Moriya utilizando un motor de filtrado y bloquea los paquetes para ocultarlos de la inspección. Simultáneamente, el tráfico no relacionado se procesa como de costumbre para evitar cualquier alerta de seguridad del sistema.
Operación TunnelSnake
El rootkit Moriya potencia una campaña de ciberespionaje de larga lista, apodada por Kaspersky como Operación TunnelSnake. Aunque el rootkit fue identificado en redes comprometidas durante 2019-2020, los expertos creen que los actores de amenazas podrían haber estado activos desde 2018. La campaña está altamente dirigida, teniendo solo diez entidades diplomáticas prominentes en África y Asia en la lista de objetivos.
Según los investigadores, un grupo APT desconocido explotó servidores web vulnerables para obtener acceso inicial y colocar a Moriya junto a otras herramientas de post-explotación en la red. El conjunto de herramientas incluye China Chopper web shell, BOUNCER, TRAN, Termite, Earthworm y otras muestras de malware sofisticado, utilizadas predominantemente para descubrimiento de red, movimientos laterales y despliegue de cargas. Aunque la mayoría de las herramientas son personalizadas, los investigadores descubrieron algunas piezas de malware de código abierto previamente utilizadas por actores APT de habla china. Este hecho apunta a un posible origen de los atacantes, sin embargo, la atribución exacta es actualmente desconocida.
Vale la pena señalar que Moriya podría ser el sucesor de un rootkit más antiguo, IISSpy, observado durante 2018 en ataques no relacionados con TunnelSnake. Además, los expertos de Kaspersky relacionan a Moriya con el malware ProcessKiller, típicamente utilizado para eludir la protección antivirus.
Detección del Rootkit Moriya
Para detectar posibles actividades maliciosas dentro de la red organizacional, puede descargar una regla Sigma comunitaria liberada por nuestro prolífico desarrollador de Threat Bounty Osman Demir: https://tdm.socprime.com/tdm/info/ihN3d0opmHAn/#sigma
La regla tiene traducciones a los siguientes idiomas:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye
MITRE ATT&CK:
Tácticas: Persistencia, Evasión de Defensa
Técnicas: Nuevo Servicio (T1050), Rootkit (T1014)
Obtenga una suscripción gratuita al Threat Detection Marketplace y refuerce sus capacidades de ciberdefensa con nuestra biblioteca de contenido SOC, pionera en la industria. La biblioteca agrega más de 100,000 consultas, analizadores, paneles listos para SOC, reglas YARA y Snort, modelos de Aprendizaje Automático y Manuales de Respuesta a Incidentes mapeados a las estructuras CVE y MITRE ATT&CK®. ¿Quiere participar en iniciativas de caza de amenazas y crear sus propias reglas Sigma? ¡Únase a nuestro Programa de Recompensa de Amenazas por un futuro más seguro!
