Uwaga! Groźny plik ZIP

Zip to jeden z najczęściej używanych formatów kompresji bezstratnej i archiwizacji danych na platformie PC, zwłaszcza w środowisku Microsoft Windows. Przykład jednego z takich plików przyciągnął uwagę analityków Purple Team z Gatewatcher. Konkretnie mówimy o przypadku archiwum o rozmiarze 2,5 MB, które po rozpakowaniu zawierało oprogramowanie o rozmiarze aż 2,1 GB. To niespotykanie duża dysproporcja w porównaniu do standardowego poziomu kompresji archiwum zip. Po zapoznaniu się z VT (virus total) i innymi narzędziami, postanowili zbadać sprawę dokładniej, ponieważ mogło wskazywać, że w zip’ie znajduje się złośliwe oprogramowanie.

ZIP I JEGO UŻYTECZNOŚĆ

Przed jakąkolwiek zaawansowaną analizą tego pliku i jego zawartości, wyjaśnijmy sprawę o powiązanych stopniach kompresji. W przypadku pliku PE maksymalny współczynnik kompresji wynosi około 50%. Innymi słowy, jeśli mamy plik wykonywalny o rozmiarze 1 GB i skompresujemy go, powinniśmy otrzymać plik zip o rozmiarze około 500 MB.

Zgodnie z tą zasadą proporcjonalności mając plik o rozmiarze 2,1 GB po skompresowaniu powinien mieć około 1 GB. Jednak biorąc badany zip o rozmiarze 2,5 MB, uzyskujemy współczynnik kompresji na poziomie 99%.

Po przeprowadzeniu badań przy użyciu edytora heksadecymalnego, obserwujemy, co następuje po adresie 00ef2ef :

Rysunek 1: hexdump pliku PE

Na końcu pliku zastosowano wypełnienie zerami. Podczas kompresowania, program optymalizuje proces poprzez usunięcie zer. Uzyskując funkcjonalny plik PE o rozmiarze około 1 MB, który po skompresowaniu do pliku Zip, ma około 500 KB, uzyskując w ten sposób proporcjonalność wspomnianą wcześniej.

Identyfikując, dlaczego współczynnik kompresji był tak wysoki pozostaje odkryć po co autor chciał   sztucznie uzyskać tak wysoki współczynnik kompresji?

Odpowiedź leży w systemach wykrywania i ich parametrach. Kiedy wcześniej plik został przesłany do VT, uzyskany został dosyć jednoznaczny wynik:

Rysunek 2: Wynik pliku PE na Virus Total

Ponieważ PE w pliku zip jest najprawdopodobniej złośliwy, technika ta mogłaby pozwolić mu prześlizgnąć się przez część rozwiązań EDR. Dzieje się tak, ponieważ te narzędzia mają domyślny "limit", przez który pliki większe niż 1 GB, a nawet 2 GB w niektórych przypadkach, nie są analizowane. Technika ta nie jest nowa, ale powraca wraz z rozwojem EDR, które są tylko jedną z wielu warstw w systemie wykrywania ataków i reagowania na incydenty w firmie.

TOŻSAMOŚĆ I GŁÓWNE CECHY PLIKU

Po wyodrębnieniu pliku i wysłaniu go do różnych sandboxów, Purple Team z Gatewatcher otrzymał dokładniejszy obraz mechanizmu działania.
Dzięki ich badaniom możemy stwierdzić, że mamy do czynienia z agentem Asyncrat, RAT (trojanem zdalnego dostępu), który może przejąć kontrolę nad zdalną stacją roboczą za pośrednictwem szyfrowanego połączenia i wykonywać złośliwe działania.

Po licznych badaniach i różnych raportach, został zidentyfikowany serwer poleceń atakującego. Przeszukując wykres VT, uzyskujemy następujące informacje:

Rysunek 3: Wykres sumy wirusów reprezentujący relacje z serwerem

Aby dowiedzieć się więcej o infrastrukturze, Purple Team z Gatewatcher zagłębili temat o serwerze. Szukając informacji na temat 45.81.243.217, znaleźli szereg otwartych portów i certyfikatów. Następny w kolejce był certyfikat z CN (Common Name) Asyncrat. Ta informacja pozwoliła stwierdzić, że Asyncrat domyślnie osadza certyfikaty. Zbierając to wszystko otrzymujemy następujący wniosek:

Rysunek 4: Wyniki Shodan dotyczące certyfikatu

Na całym świecie istnieje ponad 47 300 serwerów z tym samym certyfikatem. Ponieważ serwery te domyślnie używają certyfikatu Asyncrat, jest więcej niż prawdopodobne, że są one wdrażane przez niedoświadczonych atakujących lub zespoły pentestów z domyślną konfiguracją. To czyni je szczególnie rozpoznawalnymi.

ZIP I PADDING, CZYLI JAK UNIKNĄĆ TECHNIK WYKRYWANIA?

Podczas badań Purple Team z Gatewatcher byli w stanie zidentyfikować użycie techniki unikania wykrywania, tak zwanego paddingu, w celu sztucznego zwiększenia rozmiaru złośliwego oprogramowania po dekompresji.

W trakcie badań nad tym złośliwym oprogramowaniem zidentyfikowali je jako trojana z rodziny Asyncrat. Znaleźli również serwer poleceń atakującego, umożliwiający mu dialog z agentem. Śledząc certyfikat, odkryli szereg serwerów administrowanych przez osoby atakujące z konfiguracją wykorzystującą certyfikat Asyncrat.

IOC dotyczące opisanego złośliwego oprogramowania i innego złośliwego oprogramowania wykorzystującego podobną technikę paddingu:

IOC dotyczące infrastruktury Asyncrat: