Pisloader: Palo Alto entdeckt neue Malware-Familie
DNS-Anfragen werden als Command-and Control-Mechanismus genutzt
Die Malware-Analysten von Palo Alto Networks, Unit 42, haben einen gezielten Angriff der APT-Gruppe (Advanced Persistent Threats) Wekby auf ein US-amerikanisches Unternehmen analysiert. Wekby ist eine APT-Gruppe, die seit einigen Jahren verschiedene Branchen wie Gesundheitswesen, Telekommunikation, Luft- und Raumfahrt, Verteidigung und High-Tech ins Visier nimmt. Die Gruppe ist dafür bekannt Exploits zu nutzen, sobald diese verfügbar sind, wie im Fall des Flash-Zero-Day-Exploits von HackingTeam. Die Wekby-Gruppe zielt mit ausgefeilter Malware auf verschiedene hochkarätige Unternehmen ab. Die neue, aktuell eingesetzte Malware-Familie „pisloader“ verwendet verschiedene neue Techniken, wie zum Beispiel DNS als C2-Protokoll sowie „return-oriented“ Programming und andere Anti-Analyse-Taktiken.
Die von der Wekby Gruppe verwendete Malware hat Beziehungen zur HTTP-Browser Malware und verwendet DNS-Anfragen (Domain Name Server) als Command- and-Controll-Mechanismus. Darüber hinaus kommen verschiedene Verschleierungstechniken zum Einsatz, um eine Analyse zu vereiteln. Basierend auf Metadaten in den untersuchten Samples, hat Palo Alto Networks diese Malware-Familie „pisloader“ genannt. Diese wird über HTTP mittels verschiedener URLs der Domain „globalprint-us.com“ ausgeliefert. Die dabei entdeckte Datei ist eine Instanz der gängigen RAT (Remote Administration Tool)-Familie „Poison Ivy“. Die verwendeten Domains wurden allesamt erst sehr kurz vor dem Angriff registriert.
Der in der Initialphase eingesetzte Dropper enthält einen sehr einfachen Code, um sich über den Run-Registrierungsschlüssel im System einzunisten und eine eingebettete ausführbare Windows-Datei zu aktivieren. Unit 42 hat eine begrenzt komplexe Verschleierung gefunden. So haben die Autoren Zeichenketten in kleinere Teilketten aufgespalten, die sie vor dem Gebrauch wieder zusammensetzen. Sie verwendeten diese Technik auch, um „Müll-Zeichenketten“ erzeugen, die nie verwendet werden. Dies soll wahrscheinlich dazu dienen, die einfache Erkennung und Analyse des Samples zu verhindern.
Der nachgelagerte Dropper wurde mit einer „return-oriented“ Programmierungstechnik (ROP) stark verschleiert sowie mit einer Reihe von „Müll-Instruktionen“ versehen. Der entsprechende Code dient im Wesentlichen keinem anderen Zweck, als das Reverse-Engineering am Sample zu erschweren und kann daher ignoriert werden. Während der gesamten Laufzeit des Payloads werdend Techniken angewendet, um eine statische Analyse zu erschweren.
Die Verwendung des DNS-Protokolls als C2 ermöglicht es pisloader, Sicherheitsprodukte zu umgehen, die diesen Datenverkehr nicht richtig oder gar nicht untersuchen. Die Malware erwartet verschiedene DNS-Antworten, die in einer bestimmten Art und Weise erfüllt sein müssen („Response“, „Recursion Desired“ und „Recursion Available“), anderenfalls würde pisloader die DNS-Antwort ignorieren.
Das „Questions“-Feld und „Answer Resource Records“-Feld müssen auf einen Wert von 0x1 gesetzt werden. Darüber hinaus muss die Antwort-Abfrage-Subdomain der ursprünglichen DNS-Anfrage entsprechen. Der Remote-C2-Server ist innerhalb der Malware statisch eingebettet. Der C2-Server reagiert mit einem TXT-Datensatz, der ähnlich wie die ursprüngliche Anfrage codiert wird.
Folgende Befehle werden von der Malware verwendet:
· „sifo“ – Informationen auf dem Opfersystem sammeln
· „drive“ – Laufwerke auf dem Opfercomputer auflisten
· „list“ – Dateiinformationen für das angegebene Verzeichnis auflisten
· „upload“ – eine Datei auf den infizierten Computer hochladen
· „open“ – eine Command Shell aufrufen