Editor Top
Cisco Talos descubrió recientemente un servidor independiente de comando y control (C2) llamado «Alchimist». El marco ha sido diseñado para ejecutar ataques a través de ejecutables independientes basados en GoLang que se pueden distribuir fácilmente. El marco encontrado por Talos contiene tanto la interfaz de usuario web completa como las cargas útiles.
Marco escrito por GoLang
El lenguaje de programación Go, también conocido como GoLang, se vuelve cada vez más popular entre los desarrolladores que buscan compilar su código en múltiples sistemas y arquitecturas diferentes. Como ejemplo, recientemente escribimos sobre el marco ofensivo Sliver, completamente escrito en Go. Por lo tanto, no es de extrañar que más ciberdelincuentes también lo estén adoptando.
Alchimist, cuyo nombre se lo ha dado su desarrollador, utiliza activos basados en GoLang, que son paquetes integrados hechos a medida, para almacenar todos los recursos necesarios para sus operaciones como un servidor C2. Durante la inicialización, todo su contenido se coloca en carpetas codificadas, a saber, /tmp/Res para la interfaz web, archivos HTML y más carpetas, y /tmp/Res/Payload para sus cargas útiles para los sistemas operativos Windows y Linux.
VER: Violación de contraseña: por qué la cultura pop y las contraseñas no se mezclan (PDF gratuito) (República Tecnológica)
Un certificado autofirmado sin ningún nombre de servidor también se coloca en la carpeta /tmp (Figura A), junto con su clave para uso en comunicaciones HTTPS. Ese certificado se podía encontrar en cinco direcciones IP diferentes en Internet en el momento de la investigación, todas ellas utilizadas para Alchimist.
Figura A
La interfaz web
La interfaz web de usuario de Alchimist Framework está escrita en inglés y en chino simplificado (Figura B).
Figura B
La mayoría de las funciones comunes que se espera que manejen el malware de la Herramienta de administración remota (RAT) se implementan en la interfaz, pero una se destaca según los investigadores: la capacidad de generar fragmentos de código PowerShell y wget para sistemas Windows y Linux. Estos comandos pueden estar incrustados en documentos maliciosos, archivos LNK o cualquier otro tipo de archivo utilizado para el compromiso inicial, y descargar/instalar la carga útil adicional proporcionada por el marco: Insekt RAT.
Se toman varios parámetros de la interfaz de usuario web para generar la carga útil final. Esos parámetros son:
- El protocolo a utilizar: TLS, SNI o WSS/WS.
- La dirección IP o URL del host C2 remoto
- El tipo de plataforma de destino: Windows o Linux
- Un indicador de demonio para indicar si la carga útil de Insekt RAT debe ejecutarse como un demonio (un proceso de ejecución en segundo plano)
- Un valor de predominio, para el protocolo SNI
Una vez configurada, la interfaz web envía una solicitud a una URL del servidor C2 actual para solicitar una nueva carga útil que se pueda descargar.
La carga útil de Insectkt
Insekt RAT está escrito en GoLang y compilado para Windows y Linux. La RAT brinda la capacidad de obtener información sobre el sistema operativo en el que se ejecuta y la información sobre el tamaño de los archivos, dormir durante períodos predefinidos o actualizarse.
Además, proporciona funciones más agresivas, como proporcionar una línea de comandos cmd.exe para ejecutar comandos arbitrarios. También permite ejecutar comandos como otro usuario, ejecutar shellcode, escanear direcciones IP y puertos, manipular claves Secure Shell (SSH) o habilitar el proxy. También es capaz de enumerar archivos en una ruta de directorio.
La versión de Linux de Insekt también permite a los usuarios agregar nuevas claves SSH al archivo authorized_Keys, lo que permite al atacante comunicarse con la máquina victimizada a través de SSH.
Los conjuntos de comandos predefinidos también se pueden usar para la facilidad del atacante, lo que permite interacciones más rápidas y evita errores de escritura.
MacOSX también apuntó
Junto con Alchimist e Insekt, los investigadores encontraron herramientas para la elevación y explotación de privilegios en las plataformas MacOSX.
Un archivo Mach-O que se encuentra en la carpeta principal permite activar un exploit para una vulnerabilidad de escalada de privilegios (CVE-2021-4034) en la utilidad pkexec, que no está instalada en MacOSX de forma predeterminada. También está disponible una puerta trasera de shell de vinculación en ese ejecutable, para proporcionar un shell remoto al actor de amenazas.
Es probable que vengan más marcos C2 con todo incluido y lleguen a varios sistemas operativos diferentes
Últimamente se han encontrado más marcos de ataque de este tipo. Manjusaka, un hermano chino de Sliver y Cobalt Strike, apareció en 2022, programado en GoLang para su parte C2, mientras que las cargas útiles se realizaron en el lenguaje de programación Rust. Rust, como GoLang, permite a un desarrollador compilar código en varias plataformas diferentes muy fácilmente. Se espera ver más marcos multiplataforma escritos en los lenguajes de programación Go y Rust.
El descubrimiento de Alchimist es otra indicación de que «los actores de amenazas están adoptando rápidamente marcos C2 listos para usar para llevar a cabo sus operaciones», según Cisco Talos.
La facilidad de uso de dicho marco probablemente atraerá a los desarrolladores de malware y a los actores de amenazas a usar más de ellos en un futuro próximo.
¿Qué se puede hacer contra esta amenaza?
Se debe implementar un software de seguridad para detectar las cargas útiles y las posibles comunicaciones con Alchimist C2. El certificado autofirmado que utiliza el marco debe generar alertas inmediatas cuando se encuentra en las comunicaciones HTTPS.
Los sistemas operativos y el software deben mantenerse actualizados y parcheados para evitar que los atacantes utilicen vulnerabilidades comunes para comprometer un sistema y obtener un punto de apoyo inicial.
La autenticación multifactor también debe implementarse para cada dispositivo o servicio con acceso a Internet, a fin de evitar ataques que utilicen una única credencial de acceso.
Divulgación: Trabajo para Trend Micro, pero las opiniones expresadas en este artículo son mías.
