Comunidad de ciberseguridad
Vendemos ebooks,programas y cursos.
darkpulsar

DarkPulsar

Dale like si te gusta!
  • Yum

En marzo de 2017, los ShadowBrokers publicaron una parte de los datos robados que incluían dos marcos: DanderSpritz y FuzzBunch.

DanderSpritz consiste completamente en complementos para recopilar inteligencia, usar exploits y examinar máquinas ya controladas. Está escrito en Java y proporciona una interfaz gráfica de Windows similar a los paneles administrativos de botnets, así como una interfaz de consola tipo Metasploit. También incluye sus propias puertas traseras y complementos para las víctimas no controladas por FuzzBunch.

Interfaz DanderSprit

Fuzzbunch, por otro lado, proporciona un marco para que diferentes utilidades interactúen y trabajen juntas. Contiene varios tipos de complementos diseñados para analizar víctimas, explotar vulnerabilidades, programar tareas, etc. Hay tres archivos en el conjunto de complementos del marco de FuzzBunch:

  • % pluginName% -version.fb

Este es el archivo de utilidad del marco. Duplica el encabezado de XML e incluye el ID del complemento.

  • % pluginName% -version.exe

Este archivo ejecutable se inicia cuando FuZZbuNch recibe el comando para hacerlo.

  • % pluginName% -version.xml

Este archivo de configuración describe los parámetros de entrada y salida del complemento: el nombre del parámetro, su tipo y descripción de lo que es responsable; todos estos se pueden mostrar en FuzzBunch como un aviso. Este archivo también contribuye mucho a la usabilidad del marco, ya que admite la especificación de parámetros predeterminados.

Una de las categorías más interesantes de Fuzzbunch se llama ImplantConfig e incluye complementos diseñados para controlar las máquinas infectadas a través de un implante en la etapa posterior a la explotación. DarkPulsar es un módulo administrativo muy interesante para controlar una puerta trasera pasiva llamada ‘sipauth32.tsp’ que proporciona control remoto, perteneciente a esta categoría.

Es compatible con los siguientes comandos:

  • Quemar
  • RawShellcode
  • EDFStagedUpload
  • Desactivar seguridad
  • EnableSecurity
  • UpgradeImplant
  • Ping pong

Burn, RawShellcode, UpgradeImplant y PingPong eliminan el implante, ejecutan un código arbitrario, actualizan el implante y comprueban si la puerta trasera está instalada en una máquina remota, respectivamente. El propósito de los otros comandos no es tan obvio y, para empeorar las cosas, el marco filtrado contenía solo el módulo administrativo para trabajar con la puerta trasera de DarkPulsar, pero no la puerta trasera en sí.

Al analizar el módulo administrativo, observamos varias constantes que se utilizan para cifrar el tráfico entre el C&C y el implante:

Pensamos que probablemente estas constantes también deberían aparecer en la puerta trasera, por lo que creamos una detección para ellas. Varios meses después encontramos nuestra misteriosa puerta trasera DarkPulsar. Más tarde pudimos encontrar versiones de 32 y 64 bits.

Encontramos alrededor de 50 víctimas ubicadas en Rusia, Irán y Egipto, que generalmente infectan el servidor Windows 2003/2008. Los objetivos estaban relacionados con la energía nuclear, las telecomunicaciones, la informática, la industria aeroespacial y la I + D.

Destacados técnicos de DarkPulsar

El implante DarkPulsar es una biblioteca dinámica cuya carga útil se implementa en las funciones exportadas. Estas funciones se pueden agrupar de la siguiente manera:

  1. Dos funciones sin nombre utilizadas para instalar la puerta trasera en el sistema.
  2. Funciones con nombres relacionados con las operaciones TSPI (Interfaz de proveedor de servicios de telefonía) que garantizan que la puerta trasera esté en la lista de ejecución automática y se inicie automáticamente.
  3. Una función con un nombre relacionado con las operaciones de SSPI (Interfaz del proveedor de soporte de seguridad). Implementa la principal carga maliciosa maliciosa.

Las implementaciones de las interfaces SSPI y TSPI son minimalistas: las funciones exportadas por DarkPulsar tienen los mismos nombres que las funciones de la interfaz; sin embargo, incluyen código malicioso en lugar del servicio telefónico.

El implante se instala en el sistema mediante la función exportada sin nombre. La puerta trasera se inicia llamando a Secur32.AddSecurityPackage con privilegios de administrador con la ruta a su propia biblioteca en el parámetro, lo que hace que lsass.exe cargue DarkPulsar como SSP / AP y llame a su función exportada SpLsaModeInitialize utilizada por DarkPulsar para inicializar la puerta trasera. De esta manera, AddSecurityPackage se usa para inyectar código en lsass.exe. También agrega el nombre de la biblioteca en HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Telephony \ Providers

Esto se carga al inicio con la API de telefonía (TapiSrv) lanzada junto con el servicio de administrador de conexión de acceso remoto (RasMan), configurando el tipo de inicio como “Automático”. Al cargar la biblioteca del proveedor de servicios de telefonía, TapiSrv llama a TSPI_lineNegotiateTSPIVersion que contiene la llamada AddSecurityPackage para realizar la inyección en lsass.exe.

DarkPulsar implementa su carga útil instalando ganchos para la función SpAcceptLsaModeContext – responsable de la autenticación. Dichas inyecciones se realizan en varios paquetes de autenticación del sistema dentro del proceso lsass.exe y permiten a Darkpulsar controlar el proceso de autenticación según los siguientes protocolos:

  • Msv1_0.dll – para el protocolo NTLM,
  • Kerberos.dll – para el protocolo Kerberos,
  • Schannel.dll – para los protocolos TLS / SSL,
  • Wdigest.dll – para el protocolo Digest, y
  • Lsasrv.dll – para el protocolo de negociación.

Después de esto, Darkpulsar obtiene la capacidad de incrustar el tráfico de malware en los protocolos del sistema. Dado que esta actividad de la red se lleva a cabo de acuerdo con los gráficos estándar del sistema, solo se reflejará en el proceso del sistema, ya que utiliza los puertos del sistema reservados para los protocolos anteriores sin impedir su funcionamiento normal.

Tráfico de red durante la conexión exitosa al implante DarkPulsar

La segunda ventaja de controlar los procesos de autenticación es la capacidad de omitir el ingreso de un nombre de usuario y una contraseña válidos para obtener acceso a los objetos que requieren autenticación, como la lista de procesos, el registro remoto y el sistema de archivos a través de SMB. Una vez que se envía el comando DisableSecurity de Darkpulsar, los enlaces de backdoor en el lado de la víctima siempre regresarán en la función SpAcceptLsaModeContext que las credenciales pasadas son válidas. Consiguiendo eso, el sistema proporcionará acceso a los objetos protegidos al cliente.

Trabajando con DarkPulsar

Darkpulsar-1.1.0.exe es la interfaz administrativa que funciona bajo el principio de “un comando: un lanzamiento”. El comando que se ejecutará debe especificarse en el archivo de configuración Darkpulsar-1.1.0.9.xml o como argumentos de la línea de comandos, detallando al menos:

  • si la máquina de destino utiliza un sistema de 32 bits o de 64 bits;
  • protocolo (se admiten los protocolos SMB, NBT, SSL, RDP) para entregar el comando y el número de puerto
  • Clave RSA privada para descifrar la clave AES de sesión

Darkpulsar-1.1.0 no fue diseñado como un programa independiente para administrar máquinas infectadas. Esta utilidad es un complemento del marco de Fuzzbunch que puede administrar parámetros y coordinar diferentes componentes. Aquí es cómo se ve el comando DisableSecurity en Fuzzbunch:

A continuación se muestra un ejemplo de Processlist después de DisableSecurity, que permite ejecutar cualquier complemento sin credenciales válidas y que funciona a través de las funciones regulares del sistema (servicio de registro remoto):

DanderSpritz

DanderSpritz es el marco para controlar las máquinas infectadas, diferente de FuZZbuNch ya que este último proporciona un conjunto de herramientas limitado para la etapa posterior a la explotación con funciones específicas como DisableSecurity y EnableSecurity para DarkPulsar.

Para DanderSpritz funciona para una amplia gama de puertas traseras, utilizando PeedleCheap en la víctima para permitir a los operadores lanzar complementos. PeddleCheap es un complemento de DanderSpritz que se puede usar para configurar implantes y conectarse a máquinas infectadas. Una vez que se establece la conexión, todas las funciones posteriores a la explotación de DanderSpritz estarán disponibles.

Así es como DarkPulsar en el modo EDFStagedUpload brinda la oportunidad de infectar a la víctima con un implante más funcional: PCDllLauncher (el complemento de Fuzzbunch) implementa el implante PeddleCheap en el lado de la víctima, y ​​DanderSpritz proporciona una interfaz fácil de usar posterior a la explotación. Por lo tanto, el nombre completo de PCDllLauncher es ‘PeddleCheap DLL Launcher’.

El esquema completo de uso de DanderSpritz con el complemento PeddleCheap a través de FuZZbuNch con los complementos DarkPulsar y PCDllLauncher consta de cuatro pasos:

 

  • A través de FuZZbuNch, ejecute el comando EDFStagedUpload para iniciar DarkPulsar.
  • En DanderSpritz, ejecute el comando pc_prep (Preparación de PeedelCheap) para preparar la carga útil y la biblioteca que se lanzará en el lado del implante.
  • En DanderSpritz, ejecute el comando pc_old (que es el alias del comando pc_listen -reuse -nolisten -key Default) – esto lo configura para esperar un socket de Pcdlllauncher.
  • Inicie Pcdlllauncher a través de FuZZbuNch y especifique la ruta de acceso a la carga útil que se ha preparado con el comando pc_prep en el parámetro ImplantFilename.

 

DanderSpritz

Complemento del sistema de archivos

Conclusiones

Los marcos FuzzBunch y DanderSpritz están diseñados para ser flexibles y para ampliar la funcionalidad y compatibilidad con otras herramientas. Cada uno de ellos consta de un conjunto de complementos diseñados para diferentes tareas: mientras que los complementos de FuzzBunch son responsables del reconocimiento y el ataque a una víctima, los complementos en el marco de DanderSpritz se desarrollan para gestionar las víctimas ya infectadas.

El descubrimiento de la puerta trasera DarkPulsar ayudó a comprender su papel como un puente entre los dos marcos filtrados y cómo forman parte de la misma plataforma de ataque diseñada para un compromiso a largo plazo, basada en las habilidades avanzadas de DarkPulsar para la persistencia y el sigilo. La implementación de estas capacidades, como encapsular su tráfico en protocolos legítimos y evitar el ingreso de credenciales para pasar la autenticación, es altamente profesional.

Nuestro producto puede eliminar completamente el malware relacionado con este ataque.

Detección de actividad maliciosa en la red.

Cuando EDFStagedUpload se ejecuta en una máquina infectada, se establece una conexión permanente, por lo que aparece el tráfico a través del puerto 445. Un par de sockets enlazados también aparece en lsass.exe:

Cuando DanderSpritz implementa la carga útil de PeddleCheap a través del complemento PcDllLauncher, la actividad de la red aumenta dramáticamente:

Cuando se termina una conexión a la máquina infectada, la actividad de la red cesa, y solo quedan rastros de los dos sockets enlazados en lsass.exe:

Fuente:https://securelist.com/darkpulsar/88199/

Tambien te puede gustar

Comparte si te gusta
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

Etiquetas:

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

* Se requiere casilla de verificación RGPD

*

Estoy de acuerdo

dieciseis − uno =