Hive ransomware utiliza el nuevo truco 'IPfuscation' para ocultar la carga útil

Iniciado por Dragora, Marzo 30, 2022, 04:00:00 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.


Los analistas de amenazas han descubierto una nueva técnica de ofuscación utilizada por la pandilla de ransomware Hive, que involucra direcciones IPv4 y una serie de conversiones que eventualmente conducen a la descarga de una baliza Cobalt Strike.

La ofuscación del código es lo que ayuda a los actores de amenazas a ocultar la naturaleza maliciosa de su código de los revisores humanos o del software de seguridad para que puedan evadir la detección.

Existen numerosas formas de lograr la ofuscación, cada una con su propio conjunto de pros y contras, pero una novedosa descubierta en una respuesta a un incidente que involucra el ransomware Hive muestra que los adversarios están encontrando formas nuevas y más sigilosas de lograr su objetivo.

Los analistas de Sentinel Labs informan sobre la nueva técnica de ofuscación, a la que llaman "IPfuscation", y que es otro ejemplo de cuán efectivos pueden ser los métodos simples pero inteligentes en la implementación de malware en el mundo real.

De IP a shellcode

Los analistas descubrieron la nueva técnica mientras analizaban los ejecutables de Windows de 64 bits, cada uno con una carga útil que ofrece Cobalt Strike.

La carga útil en sí está ofuscada al tomar la forma de una matriz de direcciones IPv4 ASCII, por lo que parece una lista inocua de direcciones IP.

En el contexto del análisis de malware, la lista puede incluso confundirse con información de comunicación C2 codificada.


Cuando el archivo se pasa a una función de conversión ( ip2string.h ) que traduce la cadena a binario, aparece una gota de shellcode.

Una vez que se ha completado este paso, el malware ejecuta el shellcode ya sea a través de SYSCALL directos o mediante la ejecución de un proxy a través de una devolución de llamada en el enumerador de idioma de la interfaz de usuario ( winnls.h ), lo que da como resultado un escenario de Cobalt Strike estándar.

Este es un ejemplo del informe de Sentinel Labs:

La primera cadena codificada con formato IP es la cadena ASCII "252.72.131.228", que tiene una representación binaria de 0xE48348FC (big endian), y la siguiente "IP" que se traducirá es "240.232.200.0", que tiene una representación binaria. de 0xC8E8F0.

El desensamblaje de estas "representaciones binarias" muestra el inicio del código de shell generado por marcos de prueba de penetración comunes.


Los analistas han descubierto variantes adicionales de IPfuscation que, en lugar de direcciones IPv4, usan direcciones IPv6, UUID y MAC, todas funcionando de manera casi idéntica a la que describimos anteriormente.


La conclusión de esto es que confiar únicamente en firmas estáticas para la detección de cargas maliciosas no es suficiente en estos días.

La detección de comportamiento, el análisis asistido por IA y la seguridad holística de punto final que agrega elementos sospechosos de múltiples puntos tendrían una mejor oportunidad de levantar la tapa de IPfuscation, dicen los investigadores.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta