Operação TunnelSnake: Detecção do Rootkit Moriya

Pesquisadores de segurança do Kaspersky Lab descobriram um rootkit de Windows anteriormente desconhecido, utilizado furtivamente por um ator de APT afiliado à China durante anos para instalar backdoors nas instâncias infectadas. Chamado de Moriya, o rootkit fornece aos atacantes a capacidade de capturar o tráfego de rede e executar comandos de forma encoberta nos dispositivos comprometidos, enquanto opera sem ser detectado pelos produtos de segurança. Os pesquisadores acreditam que o Moriya complementa o conjunto de ferramentas maliciosas da duradoura Operação TunnelSnake, direcionada à ciberespionagem contra ativos diplomáticos regionais na Ásia e África.

Rootkit Moriya

De acordo com o detalhado inquérito da Kaspersky, o Moriya é uma ferramenta maliciosa sofisticada capaz de estabelecer backdoors passivos nos servidores voltados para o público da organização. Esses backdoors estabelecem uma conexão encoberta com o servidor de comando e controle (C&C) dos atacantes para monitorar todo o tráfego que passa por uma instância comprometida e filtrar pacotes designados para fins nefastos. Notavelmente, o Moriya não estabelece uma conexão com o servidor, mas aguarda pelo tráfego de entrada. Além disso, o rootkit inspeciona o tráfego em modo kernel com a ajuda de um driver do Windows e descarta os pacotes necessários de forma furtiva. Essa abordagem permite que os atacantes passem despercebidos dentro da rede comprometida por meses, obtendo um canal encoberto para executar comandos shell.

A estrutura do rootkit consiste em um driver em modo kernel e um agente em modo usuário responsável por sua implantação e controle. Para alcançar a primeira tarefa, o agente utiliza uma técnica comum que abusa do driver VirtualBox para contornar o mecanismo de Imposição de Assinatura de Driver e carregar o driver não assinado do Moriya no espaço de memória do kernel. Além disso, esse componente é responsável por filtrar comandos do servidor C&C gerando um valor único, que é adicionado a cada pacote malicioso que passa pelo canal encoberto. Adicionalmente, o Moriya é capaz de estabelecer uma sessão de shell reverso usando um canal aberto.

O componente do driver em modo kernel aproveita a Windows Filtering Platform (WFP) para fortalecer as comunicações ocultas. Particularmente, a WFP cria uma API no espaço do kernel que permite que o código do driver malicioso filtre pacotes de interesse e gerencie seu processamento pela pilha TCP/IP do Windows. O driver busca o tráfego relacionado ao Moriya usando um mecanismo de filtragem e bloqueia os pacotes para ocultá-los de inspeções. Simultaneamente, o tráfego não relacionado é processado normalmente para evitar quaisquer alertas de segurança do sistema.

Operação TunnelSnake

O rootkit Moriya alimenta uma campanha de ciberespionagem chamada Operação TunnelSnake pela Kaspersky. Embora o rootkit tenha sido identificado em redes comprometidas durante 2019-2020, especialistas acreditam que os atores da ameaça possam estar ativos desde 2018. A campanha é altamente direcionada, tendo apenas dez entidades diplomáticas proeminentes na África e Ásia na lista de alvos.

De acordo com os pesquisadores, um grupo de APT desconhecido explorou servidores web vulneráveis para obter acesso inicial e posicionar o Moriya ao lado de outras ferramentas de pós-exploração na rede. O conjunto de ferramentas inclui a web shell China Chopper, BOUNCER, TRAN, Termite, Earthworm e outras amostras de malware sofisticado usadas predominantemente para descoberta de rede, movimento lateral e implantação de payloads. Embora a maioria das ferramentas sejam personalizadas, os pesquisadores descobriram algumas peças de malware de código aberto previamente usadas por atores de APT de língua chinesa. Este fato aponta para a possível origem dos atacantes, entretanto, a atribuição exata é atualmente desconhecida.

Vale a pena notar que o Moriya pode ser um sucessor de um rootkit mais antigo chamado IISSpy observado durante 2018 em ataques não relacionados a TunnelSnake. Além disso, especialistas da Kaspersky relacionam o Moriya com o malware ProcessKiller, tipicamente utilizado para contornar proteções antivírus.

Detecção do Rootkit Moriya

Para detectar possíveis atividades maliciosas dentro da rede organizacional, você pode baixar uma regra Sigma comunitária lançada pelo nosso prolífico desenvolvedor de Threat Bounty Osman Demir: https://tdm.socprime.com/tdm/info/ihN3d0opmHAn/#sigma

A regra tem traduções para os seguintes idiomas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye

MITRE ATT&CK: 

Táticas: Persistência, Evasão de Defesa

Técnicas: Novo Serviço (T1050), Rootkit (T1014)

Obtenha uma assinatura gratuita do Threat Detection Marketplace e aumente suas capacidades de ciberdefesa com nossa biblioteca de conteúdo SOC pioneira na indústria. A biblioteca agrega mais de 100 mil consultas, parsers, dashboards prontos para SOC, regras YARA e Snort, modelos de Aprendizado de Máquina e Playbooks de Resposta a Incidentes mapeados para os frameworks CVE e MITRE ATT&CK®. Quer participar de iniciativas de caça às ameaças e criar suas próprias regras Sigma? Junte-se ao nosso Programa Threat Bounty para um futuro mais seguro!

Ir para a Plataforma Junte-se ao Threat Bounty