Shamoon: obiettivi nel comparto energetico anche per la nuova variante

17/12/2018

disttrack malware malware analysis shamoon

Gli eventi della scorsa settimana che hanno coinvolto Saipem – società italiana leader nel mondo per la realizzazione di infrastrutture per perforazioni di giacimenti di idrocarburi, pozzi petroliferi e la costruzione di oleodotti e gasdotti -, hanno spostato l’attenzione di tutte le società di sicurezza sulla ricomparsa di una nuova variante del famigerato malware denominato Shamoon.

Shamoon, anche denominato DistTrack, è noto per gli attacchi, andati a buon fine, alle compagnie petrolifere Saudite nel 2012, nella fine del 2016 e nei primi mesi del 2017. Negli stessi giorni in cui è stato annunciato l’attacco a Saipem, pare che il malware sia stato rilevato anche su sistemi di una società degli Emirati Arabi Uniti.

Il CERT-PA è venuto in possesso di un sample sottomesso a VirusTotal nei giorni dell’attacco e che si presuma sia parte del codice artefice dell’attacco. Il campione analizzato contiene al suo interno tre risorse: “LNG”, “MNU” e “PIC”, nomi molto simili a Language, Menu e Picture (o ICO):

e con linguaggio configurato come “SUBLANG_ARABIC_YEMEN”.  Le tre risorse sono cifrate tramite una funzione XOR e vengono decodificate in runtime.

In definitiva il sample rilascia cosi le tre componenti, già utilizzate in precedenza dalla vecchia versione del malware, e note proprio in: PKCS12, PKCS7 e X509.

Nello specifico:

  1. PKCS12: Componente Wiper
  2. PKCS7: Componente per la comunicazione
  3. X509: Variante di Disttrack per X64 se rileva da variabile d’ambiente del sistema la stringa “AMD64” o “amd64” 

I file vengono salvati nella cartella di sistema “system32” e rinominati con nomi selezionati casualmente da una lista interna a cui viene aggiunta l’estensione .exe. Ai file rilasciati viene assegnata la data coincidente con quella del file kernel32.dll presente sul sistema. L’evidenza di seguito riportata mostra l’acquisizione degli attributi del file durante l’esecuzione:

A tal proposito Palo Alto ha riportato la lista completa dei nomi (con estensione .exe) che il file eseguibile relativo alla comunicazione potrebbero assumere:

netnbdrve, prnod802, netrndiscnt, netrtl42l, mdmadccnt, prnca00, bth2bht_ibv32, cxfalcon_ibL32, mdmsupr30, digitalmediadevicectl, mdmetech2dmv, netb57vxx, winwsdprint, prnkwy005, composite005, mdmar1_ibv32, prnle444, kscaptur_ibv32, mdmzyxlga, usbvideob, input_ibv48, prnok002_ibv, averfx2swtvZ, wpdmtp_ibv32, mdmti_ibv32, printupg_ibv32wiabr788.

Relativamente alla componente wiper i nomi probabili possono essere i seguenti, che coincidono con le evidenze rilevate dall’analisi del CERT-PA:

_wialx002, __wiaca00a, tsprint_ibv, acpipmi2z, prnlx00ctl, prngt6_4, arcx6u0, _tdibth, prncaz90x, mdmgcs_8, mdmusrk1g5, netbxndxlg2, prnsv0_56, af0038bdax, averfix2h826d_noaverir, megasasop, hidirkbdmvs2, vsmxraid, mdamx_5560 wiacnt7001.

Il file rilasciato viene eseguito tramite command line, concatenando una serie di istruzioni con una pausa di 30 secondi (ping -n 30) nel primo frammento di codice e da una ulteriore pausa di 10 secondi (ping -n 10) nel resto del codice.

Inoltre, è stata rinvenuta l’elaborazione in runtime di un certificato denominato “key8854321.pub” da posizionare nella cartella temp di sistema, probabilmente di ausilio per abilitare la componente ransomware di cui non si è avuto evidenza:

Il campione analizzato lavora esclusivamente sull’host compromesso cercando eventuali condivisioni amministrative: “ADMIN$”, “C$”, “D$”, “E$. A differenza della versione precedente, in questo caso non si è avuta evidenza di scansione della rete interna alla ricerca di ulteriori macchine da compromettere o di attacchi con “wordlist” per accedere ai sistemi:

Se l’operazione va a buon fine il malware effettua una copia di se stesso all’interno della cartella remota di sistema “system32” e si prepara ad eseguirsi come servizio pianificando un apposito task.

In questa fase preliminare non sono state osservate comunicazioni con il C&C o l’attivazione completa della componente wiper. Ulteriori analisi sono attualmente in corso.


Indicatori di Compromissione

Di seguito gli indicatori di compromissione associati alla nuova variante del malware Shamoon individuati da Symantec e Palo alto networks :