Sfruttare la rete botnet: il malware direttamente dall’origine

L’acquisizione di nuovo malware è essenziale per il perfezionamento dei sistemi di rilevamento. Se tuttavia si considera la mole considerevole di malware raccolta dagli utenti e dalle fonti di terze parti, trovare i campioni più recenti di malware può equivalere a trovare il famoso ago nel pagliaio. I ricercatori di Avira hanno sviluppato un sistema automatico di tracking di botnet avvalendosi di client camuffati per ottenere le comunicazioni e il malware direttamente dai server botnet Command & Control. Sfruttando sistematicamente i bot, il team Avira riesce a ottenere quanto di meglio si possa avere, ovvero una selezione di malware aggiornato e puro quasi al 100%.

Il tutto ha inizio con il processo di difesa di base da malware: i cyber-criminali provano a infettare gli utenti di Avira, il malware viene caricato automaticamente nel cloud prima che possa essere eseguito, i file vengono successivamente gestiti da una semplice blacklist, da regole generiche di rilevamento protette da cloud e da un sistema di intelligenza artificiale continuamente aggiornato. Alcuni dati finiscono quindi nel sistema di tracciamento di botnet: è qui che le cose si fanno interessanti.

1. CLASSIFICAZIONE DEL MALWARE NEL DUMP

Il nucleo del processo inizia con l’operazione “Autodump”,  il sistema automatico di Avira per rimuovere strati di trabocchetti e offuscamento.  In pratica, esegue il malware su una macchina virtuale controllata in modo speciale per consentire lo spacchettamento del malware e acquisire dump di memoria per determinati eventi. Durante il processo, i dati relativi al nostro sistema di analisi vengono camuffati ai cyber-criminali, impedendo loro di creare impronte digitali delle nostre macchine o sviluppare nuove tecniche di evasione. Alla fine viene eseguita la scansione di tutti i dump con le firme Yara per identificare i dump interessanti e la famiglia di malware.

2. ESTRARRE INFORMAZIONI DETTAGLIATE DALLA BOTNET

Una volta acquisiti dall’Autodump dati potenzialmente utili, i campioni passano per il sistema Extractor, da cui si recuperano le informazioni sul funzionamento. Si prendono in considerazione famiglie specifiche di botnet e si cercano principalmente le informazioni sulla comunicazione con i server di malware relativi. L’elenco di ciò che cerchiamo non è completo. I dettagli dipendono in gran parte dalla botnet:

  • URL C&C,
  • chiavi di crittografia di comunicazione,
  • versione protocollo,
  • ID campagna,
  • stringa agente utente, e
  • dimensione dei dati di configurazione.

In passato era abbastanza facile estrarre i dati C&C. Col passar del tempo, il processo è diventato sempre più complesso, tanto da richiedere adeguamenti manuali al sistema estrattore. L’aspetto positivo è che adesso si riesce a ottenere un elenco completo degli URL dei server command & control, oltre alle chiavi di crittografia.

botnet_02

3. POSIZIONAMENTO DEGLI AGENTI BOTCHECKER SUL CAMPO

Botchecker è il nostro sistema di infiltrazione modulare per il monitoraggio dei server C&C della botnet. Include una rete di client software e un server centrale che raccoglie automaticamente tutta l’intelligenza malware, distribuisce un elenco di server C&C ai nostri agenti client e raccoglie i dati restituiti.

Quello che ci interessa maggiormente è il monitoraggio attivo, in cui i client agiscono da computer infetti e si connettono ai server C&C proprio come una macchina realmente colpita dall’attacco, falsando le richieste come previsto dai C&C. I nostri client inviano infine le informazioni raccolte, inclusi i campioni di malware scaricati, al server Botchecker, che viene utilizzato per aggiornare la protezione per gli utenti. I dati includono:

  • campioni di malware aggiornati,
  • nuovi server C&C,
  • URL per il download,
  • e-mail per spamming, webinject, script ATS ed
  • elenco dei comandi ricevuti.

È ovvio che gli agenti di monitoraggio svolgono la funzione di semplici osservatori, senza intraprendere azioni dannose, anche quando richiesto dal bot-master.

4. IDENTITÀ BEN NASCOSTA

Durante le operazioni con i protocolli botnet, ci serviamo di un framework modulare per proteggere la nostra identità. Quando i cyber-criminali si accorgono che un’azienda antivirus sta monitorando la botnet, possono semplicemente inserirla nella blacklist, modificare il protocollo o passare a un altro C&C. Sono due le opzioni di cui possiamo avvalerci: un proxy SOCKS o Tor come gateway per le richieste inviate al C&C. Il Tor comporta tuttavia degli inconvenienti come la velocità, la difficoltà nel reperire rapidamente un nuovo IP e la possibilità per i cyber-criminali di inserire in blacklist tutti i nodi di uscita Tor. Quando comunichiamo con una botnet HTTP, inviamo le richieste nella modalità prevista dalla botnet, evitando intestazioni ed elementi di valore.

5. SCARICARE IL PAYLOAD DI GAMARUE

La rete Gamarue/Andromeda è un buon esempio dei vantaggi che si ottengono eseguendo la rete di client botnet falsi. Sebbene risulti difficile ottenere un file PE del vero payload per l’analisi, il bot è diffuso e fornisce diversi download interessanti.

Dalla fine del 2014, Andromeda utilizza un protocollo JSON per comunicare con i server C&C. Una volta crittografata la risposta dal server C&C, l’oggetto JSON risultante contiene un elenco di comandi per la vittima, che può includere:

  • ID 1: Download del file su un disco ed esecuzione tramite CreateProcess
  • ID 2: Download del file su disco e registro di sistema, caricamento mediante LoadLibrary e chiamata della funzione esportata “aStart”
  • ID 3: Download del file e auto-aggiornamento
  • ID 6: Eliminazione di tutti i plug-in dal registro di sistema
  • ID 9: Auto-disinstallazione

I primi tre comandi sono i più interessanti perché forniscono gli URL di download aggiornati, i campioni di malware nonché esempi di Gamarue contenenti nuovi C&C.

botnet_03

Metodo di comunicazione per Gamarue

6. GLI AGENTI BOTCHECKER DI AVIRA PRODUCONO RISULTATI

Sono ormai nove mesi che eseguiamo questa versione del framework Botchecker, abbiamo individuato più di 4.000 server C&C e confermato oltre 4.000 URL dannosi. Solo nelle botnet Gamarue abbiamo individuato l’uso di 125 famiglie diverse di malware.  Sebbene mantenere un sistema di questo tipo sia più dispendioso rispetto a un sistema sandbox puro e sia limitato a famiglie specifiche di botnet, ha diversi vantaggi:

  • Ci consente di estrarre l’elenco completo di C&C anche se non vengono visti durante l’esecuzione del malware.
  • Riusciamo a comprendere in modo approfondito il protocollo di comunicazione.
  • Riusciamo a ottenere le chiavi di crittografia utilizzate per la comunicazione.
  • Oltre ai download di malware che non vengono scaricati né memorizzati come file PE.
  • Possiamo dimostrare che un C&C legge realmente un protocollo botnet anche se non viene scaricato alcun malware aggiuntivo.
  • Possiamo elaborare la comunicazione C&C in tempi più rapidi con meno risorse.

Grazie a Botchecker, siamo stati tra i primi della comunità della ricerca della protezione a ottenere alcuni campioni di malware sconosciuti in precedenza. Per il futuro pianifichiamo di implementare più protocolli botnet e migliorare il supporto dei file di dati, come configurazioni e webinject. Desideriamo inoltre fornire più informazioni per le operazioni di takedown botnet.

 

Questo articolo è disponibile anche in: IngleseTedesco