Nuevo malware Geppei utiliza archivos de registro IIS para recibir órdenes

Un nuevo informe de Symantec, una empresa de software de Broadcom, revela detalles sobre un nuevo método utilizado por el actor de amenazas Cranefly para comunicarse con su malware en campañas de ataque en curso.

Nuevo malware Geppei utiliza archivos de registro IIS para recibir órdenes - Seguridad | Imagen 1 Newsmatic

Índice de Contenido
  1. El malware Geppei recibe órdenes de archivos de registro de IIS
  2. Más herramientas
  3. ¿Quién es Cranefly?
  4. Cómo detectar esta amenaza

El malware Geppei recibe órdenes de archivos de registro de IIS

Symantec ha observado un dropper previamente no informado llamado Trojan.Geppei en varias víctimas de las campañas de ataque. El malware utiliza PyInstaller, una herramienta conocida para compilar código Python en un archivo ejecutable.

La forma en que el malware Geppei se comunica con su controlador es completamente nueva: utiliza archivos de registro del servidor web Internet Information Services (IIS). El malware se activa cuando descubre cadenas específicas en el archivo de registro de IIS, como "Wrde", "Exco" o "Cllo". Estas cadenas no existen en los registros regulares de IIS. Por lo tanto, la existencia de dichas cadenas en cualquier archivo de registro de IIS es una fuerte indicación de un ataque utilizando el malware Geppei.

El atacante puede inyectar los comandos en los archivos de registro de IIS utilizando URL falsas o incluso URL que no existen, ya que IIS registra por defecto los errores 404. La cadena "Wrde" activa un algoritmo de desencriptación en la solicitud:

GET [cadena falsa]Wrde[cadena pasada a wrde()]Wrde[cadena falsa]

Protección antivirus en línea: McAfee Clinic lleva la seguridad de tu PC al siguiente nivel

para extraer una cadena similar a la siguiente:
w+1+C:\\inetpub\\wwwroot\\test\\backdoor.ashx
El archivo .ashx se guarda en esa ubicación y se activa. Sirve como una puerta trasera para acceder al sistema infectado.

Si el malware Geppei analiza una cadena "Exco" en el archivo de registro de IIS, desencriptaría la cadena pasada como parámetro:

GET [cadena falsa]Exco[cadena pasada a exco()]Exco[cadena falsa]

La cadena se ejecutaría como un comando mediante la función os.system(). La cadena "Exco" probablemente sea una abreviatura de "execute command" (ejecutar comando).

La última cadena que activa el malware Geppei es "Cllo". Llama a una función clear() para soltar una herramienta de piratería llamada sckspy.exe. Esa herramienta deshabilita el registro de eventos para el Service Control Manager. La función también intenta eliminar todas las líneas en el archivo de registro de IIS que contengan comandos o rutas de archivos .ashx maliciosos.

Los investigadores mencionan que la función no inspecciona todas las líneas del archivo de registro, lo que hace que la limpieza sea incompleta. Los archivos .ashx maliciosos eliminados se eliminan en wrde() si se llama con la opción "r".

Cómo proteger tu computadora de los virus: métodos y consejos

Más herramientas

Hasta ahora, Symantec solo ha visto dos tipos diferentes de puertas traseras instaladas por la función "Wrde".

La primera se detecta como "Hacktool.Regeorg", que es un malware conocido. Consiste en una shell web con capacidad para crear un proxy SOCKS. Los investigadores han observado dos versiones diferentes de Regeorg siendo utilizadas.

La segunda se llama "Trojan.Danfuan". Es un malware previamente desconocido, un compilador de código dinámico que compila y ejecuta código C# recibido, según los investigadores. Se basa en la tecnología de compilación dinámica .NET y no se crea en el disco duro, sino en la memoria. El propósito de este malware es servir como una puerta trasera.

La herramienta sckspy.exe utilizada por Geppei también es una herramienta previamente no documentada.

¿Quién es Cranefly?

Cranefly tiene otro alias expuesto en una publicación de Mandiant: UNC3524. Mandiant expone a este actor de amenazas como uno que apunta a correos electrónicos de empleados enfocados en desarrollo corporativo, fusiones y adquisiciones, y grandes transacciones corporativas.

El informe de Mandiant también menciona el uso de la herramienta Regeorg. La herramienta es pública, pero el actor de amenazas utilizó una versión poco conocida de la shell web, altamente obfuscada para evadir las detecciones. Esa versión también ha sido reportada por la Agencia de Seguridad Nacional como utilizada por el actor de amenazas APT28. Esta información aún no es lo suficientemente concluyente como para hacer alguna atribución.

¡Defiéndete! Protege tu seguridad en línea contra amenazas críticas

Lo cierto es que Cranefly pone la "A" mayúscula en Amenaza Persistente Avanzada. Han demostrado experiencia para pasar desapercibidos al instalar puertas traseras en equipos no comunes que no ejecutan herramientas de seguridad, como balanceadores de carga, controladores de puntos de acceso inalámbrico o matrices NAS. También parecen utilizar malware propio, lo que indica otro indicio de un actor de amenazas estructurado y eficiente. Se les conoce por su largo tiempo de permanencia, pasando al menos 18 meses en las redes de las víctimas y volviendo a comprometer inmediatamente a las empresas que las detectaron.

Cómo detectar esta amenaza

Como se mencionó anteriormente, cualquier aparición de las cadenas "Wrde", "Exco" o "Cllo" en archivos de registro de IIS debería generar sospechas e investigarse, ya que podría revelar una infección por Geppei. También se debe verificar e investigar cuidadosamente el tráfico saliente que se origine en direcciones IP desconocidas.

Además, Mandiant menciona el uso de otro malware llamado "QUIETEXIT" utilizado por el actor de amenazas, que se basa en el software de código abierto Dropbear SSH. Por lo tanto, la búsqueda de tráfico SSH en puertos diferentes al puerto 22 también puede ayudar a detectar las actividades de Cranefly.

Asimismo, QUIETEXIT se puede descubrir en hosts mediante la búsqueda de cadenas específicas, según informa Mandiant. También proporcionan dos comandos grep a continuación para ayudar a detectar QUIETEXIT:

grep “\x48\x8b\x3c\xd3\x4c\x89\xe1\xf2\xae” -rs /

grep ‘\xDD\xE5\xD5\x97\x20\x53\x27\xBF\xF0\xA2\xBA\xCD\x96\x35\x9A\xAD\x1C\x75\xEB\x47’ -rs /

Protege tus contraseñas con PAM: Tu aliado para la seguridad

Finalmente, mirar en la carpeta rc.local de los dispositivos/aplicaciones puede ayudar a detectar las actividades de Cranefly:

grep -e ” -[Xx] -p [[:digit:]{2,6}]” -rs /etc

Por supuesto, se aplican las recomendaciones habituales, ya que el vector de compromiso inicial sigue siendo desconocido. Todos los firmware, sistemas operativos y software deben estar siempre actualizados y parcheados para evitar caer en una vulnerabilidad común. Las soluciones de seguridad deben implementarse en los hosts y se debe utilizar autenticación de múltiples factores siempre que sea posible.

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a Nuevo malware Geppei utiliza archivos de registro IIS para recibir órdenes , tenemos lo ultimo en tecnología 2023.

Artículos Relacionados

Subir

Utilizamos cookies para mejorar su experiencia de navegación, mostrarle anuncios o contenidos personalizados y analizar nuestro tráfico. Al hacer clic en “Aceptar todo” usted da su consentimiento a nuestro uso de las cookies.