Attacchi di tipo “Inception” verso obiettivi Europei

08/11/2018

inception attack malware

Gli attacchi di tipo “Inception”, nome che fa riferimento al medesimo film nella qual trama un ladro riesce ad accedere ai sogni delle persone rubandone i segreti dal subconscio, sono così definiti a causa dei numerosi livelli utilizzati nella progettazione del malware.

I primi attacchi di questo tipo sono stati rilevati a partire dal 2014 e documentati in precedenza da Blue Coat e Symantec e più recentemente da Microsoft.

Gli attacchi storicamente rilevati utilizzavano malware personalizzati per svariate piattaforme, rivolgendosi a una serie di settori, principalmente in Russia, ma anche nel resto del mondo.

I ricercatori “Unit 42” di Palo Alto Networks hanno individuato simili attacchi nel corso 2017 verso obiettivi governativi in ​​Europa, Russia e Asia centrale e nuovamente, sempre contro obiettivi europei, a partire dall’ottobre 2018.

In quest’ultimo caso gli attacchi tentano di sfruttare la già nota vulnerabilità di Office (CVE-2017-11882) ed utilizzano una nuova backdoor che è stata ribattezzata “POWERSHOWER”, il cui nome fa riferimento al tipo di linguaggio di scripting “PowerShell” mentre nella seconda parte definisce le funzionalità escogitate per rimuovere le sue stesse tracce dopo l’attacco.

Gli attacchi utilizzano i modelli remoti di Microsoft Word, che consentono di caricare, anche da una risorsa esterna come una condivisione file o da Internet, un modello da utilizzare nel documento.

Tale modello, che viene caricato all’apertura del documento, attiva la funzionalità malevola che viene utilizzata nella catena d’infezione come mostrato nella figura seguente:

 

 

L’utilizzo di un modello remoto, che è stato osservato essere una caratteristica costante negli attacchi di tipo “Inception” rilevati negli ultimi 4 anni, ha tre vantaggi principali per l’attaccante:

  1. il documento iniziale non contiene alcun oggetto esplicitamente dannoso ma fa semplicemente riferimento ad un oggetto esterno, permettendo di aggirare le tecniche di analisi statica,
  2. l’autore dell’attacco ha la possibilità di distribuire contenuti malevoli alla vittima personalizzati in base ai dati iniziali ricevuti dalla destinazione, ad esempio la versione di Microsoft Word e l’indirizzo IP,
  3. una volta concluso l’attacco e disattivato il server che ospita il modello remoto è difficile per i ricercatori avere informazioni per analizzare a fondo l’attacco.

Nella figura seguente un esempio di modelli remoti referenziati:

 

Quando vengono aperti dall’utente che li riceve tramite posta elettronica, i documenti visualizzano un contenuto fittizio (solitamente riferito a notizie sui media) e contestualmente tentano di recuperare la componente malevola remota tramite una connessione HTTP.

Nei casi osservati dai ricercatori, nonostante non sempre sia stato possibile restituire il modello malevolo, in due casi è stato notato che il modello remoto conteneva due exploit, uno per il CVE-2012-1856 l’altro  il CVE-2017-11882, relativi a vulnerabilità in Microsoft Word divulgate e risolte rispettivamente nel 2012 e 2017.


POWERSHOWER – Malware che si auto ripulisce dopo le attività

A differenza degli attacchi passati, per quelli recenti è stato osservato un unico documento opportunamente armato inviato agli obiettivi, tale file aveva triplice funzione: ricognizione, sfruttamento e consegna della componente malevola.

Quest’ultima componente, POWERSHOWER, viene quasi certamente utilizzato per scaricare ed eseguire un secondo programma dotato di un set di funzionalità supplementari. L’utilizzo di questa backdoor è utile quindi a stabilire un primo punto d’ingresso. In seguito l’attaccante può richiamare il malware, più sofisticato e complesso, da utilizzare nelle fasi successive rendendo così meno probabile il rilevamento.

POWERSHOWER consente all’attaccante di:

  • rilevare alcune “impronte digitali” della macchina e caricarle sul C&C,
  • ripulire una quantità significativa di evidenze forensi,
  • eseguire un payload secondario

Quest’ultima fase ha seguito se l’attaccante ritiene che il sistema operativo colpito è, in base ai dati di sistema carpiti nella prima fase, sufficientemente interessante.

Risultati dell’analisi di POWERSHOWER

POWERSHOWER controlla se Microsoft Word è in esecuzione, in caso affermativo esegue le seguenti operazioni:

  • si replica in %AppData%\Microsoft\Word\log.ps1,
  • imposta la persistenza per questo file grazie ad una chiave di esecuzione,
  • aggiunge una chiave di registro in modo che le future istanze di powershell.exe vengano generate in un contesto esterno alla visualizzazione predefinita,
  • chiude il processo di Microsoft Word,
  • rimuove tutti i file creati durante il processo del dropper, incluse le prove sull’apertura del documento originale, il file .VBS iniziale oltre a i file temporanei associati al recupero del modello remoto,
  • elimina tutte le voci di registro che vengono rilasciate dall’esecuzione del dropper,
  • raccoglie le informazioni di sistema sulla macchina infetta e le colloca sul server di comando e controllo,
  • infine se si auto termina.

Se Microsoft Word non è in esecuzione, dopo un riavvio della macchina, il malware entra nel suo ciclo di comunicazione eseguendo le seguenti azioni in sequenza:

1) raccoglie informazioni di sistema e le invia tramite POST al server di comando e controllo,
2) esegue una richiesta GET,
3) basandosi sul codice di stato della richiesta GET effettuata, avvia o meno le operazioni di esfiltrazione dei dati:

Conclusione

Il malware è nel suo insieme semplice ma abbastanza efficace, offre opzioni di attacco come la possibilità di eseguire un successivo, più sofisticato, carico malevolo. Per come sono ideati, gli attacchi di tipo “Inception” tendono a rimanere per lo più occulti. Tale circostanza è in stretta relazione con gli sforzi compiuti dagli attaccanti per rendere i loro attacchi più difficili da rilevare e da analizzare. L’utilizzo di modelli remoti ostacola l’analisi degli attacchi, anche di quelli pregressi avvenuti nel corso del tempo. Le tecniche anti-forense utilizzate eliminano gli indizi sulle modalità di diffusione ed installazione del malware. L’uso della nuova backdoor, che viene attivata nel primo stadio, ostacola il recupero delle copie dei payload più sofisticati eventualmente utilizzati dagli aggressori.


Indicatori di compromissione

Dall’articolo citato emergono i seguenti indicatori di compromissione:

Documenti di modello remoto che richiamano la componente payload:

  • 13de9678279b6ce6d81aeb32c0dd9f7458ad1f92aee17f3e052be9f06d473bed
  • d547773733abef19f2720d4def2356d62a532f64bcb002fb2b799e9ae39f805f

Template remoti analizzati:

  • 687ee860fd5cd9902b441c26d72788d5a52052d03047a9b071808fc4c53a7e8b
  • 72eb022f395cc15bbe9582ee02f977ea0692932461a8b0bd608d9f0971125999

Esempi di PowerShower:

  • 8aef4975d9c51821c4fa8ee1cbfe9c1f4a88c8784427d467ea99b2c1dabe15ae

Altri modelli correlati e documenti di exploit del 2018:

  • 49dbcf1fc8d3381e495089f396727a959885c1dd2ab6cd202cf3c4dbd1d27c4f
  • 8b212ee2d65c4da033c39aebaf59cc51ade45f32f4d91d1daa0bd367889f934d
  • cc64a68ba52283f6cf5521cf75567b3c5b5143f324d37c59906ee63f1bbafcaf
  • 2bcb8a4ddc2150b25a44c292db870124c65687444f96e078f575da69bbf018e0

Infrastruttura di rete

  • 51.255.139[.]194 (Host modello remoto)
  • 188.165.62[.]40(Host modello remoto)
  • 108.170.52[.]158 (Host modello remoto)
  • 200.122.128[.]208 (C&C per POWERSHOWER)

Ad integrazione in CERT-PA fornisce aggiuntivi IoC, rilevati nel frangente temporale 1-8 novembre nel contesto Europeo, associati a file Office armati per il CVE-2017-11882: