Shadowfall

Au cours des derniers mois, RSA Research a entrepris un effort interorganisationnel contre RIG Exploit Kit (RIG EK ou RIG), ce qui a fourni un aperçu de l'infrastructure opérationnelle (et peut-être de l'ensemble de l'écosystème), ainsi que des découvertes importantes sur la  duplication miroir de domaines. La duplication miroir de domaines est « une technique consistant à voler les credentials d’un compte de domaine à leurs propriétaires dans le but de créer des sous-domaines dirigés vers des serveurs malveillants ».

Conséquence directe de ces efforts, des dizaines de milliers de ressources actives de domaines en miroir ont été supprimées des opérations de malvertising et de malspam organisées par RIG.

Méthodologie de recherche et remerciements
Les données initiales de cette recherche ont été collectées et évaluées entre le 21 février et le 20 mars 2017. Toutefois, l'acquisition, l'évaluation et la recherche subséquente de données importantes ont également été menées (et le sont toujours) afin d'assurer la pertinence de cette discussion pour les opérations actuelles de RIG EK.

Il est important de noter que nos recherches continuent et que les résultats n'ont été rendus possibles que par le chi combiné de nos astucieux collègues de GoDaddy et un certain nombre de chercheurs de la communauté. Plus précisément, nous aimerions souligner le travail de @broadanalysis, @dynamicanalysis, @executemalware, @malwarebytes, @zerophage et tout particulièrement Brad Duncan de malware-traffic-analysis.net et Palo Alto Unit 42. Un grand merci à Rintaro Koike (@nao_sec, http://nao-sec.org/) : sa participation continue a également été essentielle pour ces recherches.

RIG EXPLOIT KIT

Notre incursion dans ce domaine ayant commencé par un examen détaillé de RIG, il est important de fournir un aperçu opérationnel complet du fonctionnement du kit. La Figure 1 illustre les opérations habituelles de RIG et sera utilisée pour structurer la discussion ultérieure de ces opérations.

Figure 1. Présentation de la livraison de RIG

Comme le montre le graphique ci-dessous, RIG reste un kit d'exploitation actif et diversifié sur le marché moderne.

Figure 2. Activité du kit RIG au 17 mai 2017 (crédits : @executemalware)

SITES COMPROMIS

Le début, et le moteur principal, des opérations de RIG EK est un site compromis. Pendant le malvertising, des pop-ups avec une police de type chrome et d'autres méthodes redirigent le trafic vers les pages de destination, la méthode la plus fréquemment observée au cours de notre recherche étant d'injecter un iframe dans des sites WordPress, Joomla! et Drupal.

Il n'est pas surprenant de voir que RIG EK utilise des paramètres d'URL changeants. Il a été constaté que le kit d'exploit modifie et réutilise ces paramètres d'URL type pour les iframes injectés, JavaScript, et ainsi de suite. Une chronologie historique des modèles d'URL liés à RIG est incluse dans le livre blanc sur RIG (en japonais), disponible dans  LAC Cyber Grid View , publié en février 2017. Les paramètres actuels de RIG EK sont présentés à la Figure 7.

Lors de l'évaluation d'une tranche de sites compromis (dérivés de robots) renvoyant le trafic vers les pages de destination de RIG, les enregistreurs semblaient être un échantillon assez typique des enregistreurs de domaine (Figure 8).

Figure 8. Sites compromis avec des enregistreurs distribués

PORTAILS ET SYSTÈMES DE DISTRIBUTION DU TRAFIC (TDS)

Au début de nos recherches, nous n'avons observé aucune preuve significative de l'utilisation de TDS ou de portails conjointement aux principales campagnes de RIG (en particulier PseudoDarkleech et EITEST), même si des rapports ont été publiés à ce sujet par d'autres chercheurs en sécurité, comme @dynamicanalysis, qui couvrent le trafic de référence TDS GoodMan et certains malvertising menant à RIG EK.

Cependant, cela a commencé à changer fin mars, et en avril/mai, suite à l'apparition de plusieurs nouvelles campagnes. Tandis que les campagnes GoodMan et Seamless utilisent des portails traditionnels, comme  hurtmehard[.]net dans le cas de GoodMan, la  campagne Decimal-IP redirige le trafic en utilisant des adresses IP de type « integer-expressed » pour atteindre les pages de destination de RIG. Cela sert probablement à éviter les mesures de détection reposant sur l'indicateur traditionnel de compromis (CIO), ce qui explique également pourquoi les agents menaçants actuels ont adopté cette technique (Figure 9).

Figure 9. Decimal IP redirige vers RIG

PAGES DE DESTINATION

Le trafic des portails traditionnels et des iframes injectés dans des sites compromis mène aux pages de destination de RIG, qui sont la pierre angulaire du modèle opérationnel de RIG. La Figure 10 inclut des exemples de captures de trafic réseau, tandis que le PCAP actuel de la campagne Decimal-IP est disponible ici.

La Figure 11 est une page de destination partiellement démasquée, telle qu'observée sur le terrain le 16 mai 2017.

Le but principal des pages de destination de RIG est d'exploiter intelligemment les machines clientes entrantes, en les victimisant avec un ensemble diversifié de charges utiles transmis par un certain nombre de campagnes différentes.

EXPLOITS

Au cours de notre enquête, les exploits les plus couramment observés transmis par RIG sont bien compris et liés à Flash (souvent CVE-2015-8651). Pendant le contrôle préalable, nous avons comparé les échantillons actuels de RIG avec une collection d'échantillons plus anciens, trouvant des similitudes de code et d'exécution de processus dans de nombreuses campagnes. Un exploit Flash simple à identifier en est la preuve (Figure 12).

En plus des exploits Flash cités, les pages de destination de RIG transmettent également des charges utiles ciblant Internet Explorer (IE) avec des exploits contre CVE-2016-0189, CVE-2015-2419et CVE-2014-6332 (Figure 13).

Figure 13. CVE par agent utilisateur ; https://github.com/nao-sec/RigEK

Si l'objectif principal de cette discussion n'est pas l'ingénierie inverse des pages de destination de RIG ou des exploits connexes, il est important de mentionner que plusieurs présentations techniques détaillées sont disponibles dans les recherches actuelles sur la sécurité. Plus précisément, nous recommandons des exemples de RSA Research et nao_sec.

CHARGES UTILES

La multitude de charges utiles transmises par RIG est en évolution constante et dépend en grande partie des différentes campagnes utilisant la livraison de RIG. Au cours de notre enquête, nous avons noté une forte persistance initiale de RIG transmis par Cerber, un élément favori de la campagne PseudoDarkleech (PDL). L'activité de PDL s'est réduite en avril, restant principalement plus calme (ou plus furtive). Une description technique détaillée sur la charge utile Cerber est fournie à l'Annexe A.

Figure 14. Le sympathique écran de bienvenue de Cerber

EITEST a été la deuxième campagne la plus active remarquée pendant nos premières recherches. Elle est toujours active et transmet une grande variété de charges utiles malveillantes (comme le cheval de Troie bancaire Dreambot ), mais revient souvent à la fiabilité des revenus des ransomware. Les charges utiles de Cerber, CryptoShield, Sage et  Spora  ont été particulièrement remarquées en février et mars. Une description technique détaillée de la charge utile CryptoShield est fournie à l'Annexe B.

Figure 15. Écran de bienvenue de CryptoShield

Nous avons constaté que la campagne Decimal-IP, l'une des deux campagnes récentes utilisant RIG, transmet  smokeloader (échantillon). Parmi les nombreux chercheurs qui ont suivi activement cette activité, zerophage  dispose de plusieurs présentations techniques détaillées, avec un échantillon du trafic réseau à la Figure 16.

Figure 16. La redirection de Decimal IP transmet Smokeloader

Nous avons constaté que Seamless, la dernière campagne abordée dans la présente étude, transmet Latentbot et Ramnit. Une documentation technique pertinente sur cette campagne a été créée par  Cisco et Brad Duncan, qui a annoté la Figure 17.

EMPREINTE D'UNE INFRASTRUCTURE MIROIR

À quoi cette infrastructure ressemble-t-elle dans un instantané des opérations de RIG ? Tirant parti des pages de destination connues du 21 au 27 février, Maltego (y compris les clés pour PassiveTotal et Domain Tools pour la corrélation et l'enrichissement) a été utilisé pour générer un instantané de l'infrastructure opérationnelle de RIG en ce qui concerne les campagnes EITEST et PDL (Figure 18).

Figure 18. Exemple d'infrastructure opérationnelle de RIG, comme observée le 27 février 2017

Au cours de l'analyse, nous avons remarqué trois aspects intéressants de cette infrastructure. Premièrement, il y a eu un haut degré de réutilisation du sous-réseau IP cible dans l'activité de RIG observée de fin février à mars, et jusqu'au début d'avril.

Figure 19. ASN d'hébergement back-end de RIG

Dans nos anciennes recherches, nous avons discuté de l'importance et de la disponibilité d'un  hébergement à toute épreuve pour les parties prenantes des programmes criminels. RSA Research a constaté que les ASN de RIG appartiennent à un groupe central de fournisseurs d'hébergement à toute épreuve et à masquage commercial (comme TimeWeb). Plus précisément, ces ASN ont suffisamment de trafic légitime (ce qui les rend peu susceptibles d'être mis sur liste noire) pour fournir un relais opérationnel masqué aux parties prenantes des programmes criminels. Une courte étude d'OSINT révèle de nombreux indicateurs soutenant cette supposition :

De façon presque prévisible, les tentatives d'analyse de domaines hébergés dans des netblocks liés à RIG (Figure 19) n'ont pas fourni une seule instance d'iframe injecté (avec des correspondances de sous-chaînes basées sur les modèles de la Figure 7) renvoyant le trafic vers les pages de destination de RIG. Cela semble indiquer que les sites compromis à cette fin peuvent être spécifiquement ciblés pour leur proximité et leur trafic en provenance de pays occidentaux, en particulier compte tenu de ce que nous savons sur certaines charges utiles et la mise sur liste blanche selon la langue.

Deuxièmement, nous avons remarqué une forte réutilisation de certificats SSL : nous avons pensé que c'était lié à RIG. Toutefois, une enquête plus poussée a démontré la prolifération des certificats dans un grand nombre de domaines localisés ASN (voir la Figure 20). D'après ces résultats, nous pensons que ces certificats SSL ne sont pas liés à RIG et sont probablement utilisés de façon générique par les fournisseurs d'hébergement.

SérieOrganisation émettriceListe Shodan
620617GeoTrust Inc.https://www.shodan.io/search?query=ssl.cert.serial%3A620617"/a>
983750GeoTrust, Inc.n/a
66288GeoTrust Inc.https://www.shodan.io/search?query=ssl.cert.serial%3A66288

Figure 20. Détails du certificat Shodan ; shodan.io

L'examen des détails d'enregistrement WHOIS pour les domaines des pages de destination de RIG a révélé que GoDaddy est l'enregistreur principal. La Figure 21 est une capture d'écran de Maltego présentant les enregistreurs pour 395 sous-domaines uniques, dont il a été vérifié qu'ils servent de pages de destination de RIG, entre le 21 février et le 10 avril 2017.

Figure 21. Pages de destination de RIG avec un enregistreur commun

D'après ces constatations, nous avons isolé tous les e-mails des inscrits qui possédaient ces sous-domaines (en bloquant initialement les inscrits génériques, comme abuse@). En prenant ces e-mails inscrits en lots, nous avons identifié tous les domaines et sous-domaines connexes, ce qui nous a permis d'identifier des milliers de domaines miroirs hébergés par un fournisseur majeur. La Figure 22 est une capture d'écran de Maltego de plus de 2 200 sous-domaines au nom de 18 inscrits sur GoDaddy, dont chacun a été activement utilisé pendant les opérations de RIG du 25 mars au 5 avril 2017. Ils sont considérés comme des comptes compromis.

Figure 22. Comptes compromis utilisés pour les domaines miroirs

Les sous-domaines appartenant à ces comptes compromis semblent être des miroirs de domaines de GoDaddy légitimes et hébergent des pages de destination de RIG actuelles dans des netblocks étrangers référencés par le passé (Figure 19). Les enregistrements DNS A étayent cette observation, comme vous pouvez le constater dans les Figures 23 et 24 (avec l'aimable autorisation de centralops.net)

Figure 23. Exemples d'enregistrements DNS pour un domaine miroir

Figure 24. 28 mars 2017, enregistrement DNS A pour un domaine miroir

Les parties prenantes de RIG nettoient et suppriment régulièrement le sous-domaine et les enregistrements DNS A avant la création de nouveaux miroirs. L'analyse préliminaire des enregistrements DNS A des domaines miroirs indique une durée de vie de 5 à 10 jours avant la suppression. Cela étant dit, nous pensons que la disponibilité réelle de ces domaines miroirs basée sur l'hébergement back-end (c'est-à-dire, l'ASN dans la Figure 19) est probablement plus proche de 24 à 48 h. Cela est prouvé par la création et la suppression subséquente de ce domaine miroir des enregistrements DNS, le 30 mars 2017 (Figure 25).

Figure 25. 30 mars 2017, enregistrements DNS nettoyés pour un domaine miroir

Cette activité s'est poursuivie en avril et en mai, comme le montre la Figure 26 ci-dessous.

Figure 26. 16 mai 2017, domaine miroir de RIG, observé par le biais des enregistrements DNS A

COLLABORATION AVEC GODADDY

En raison de l'incidence élevée des domaines enregistrés chez GoDaddy, la société a été engagée comme partenaire de collaboration dans la documentation de l'infrastructure des domaines miroirs. Disposer d'une vue centrée a fourni un point d'observation unique pour examiner les entrées DNS miroirs. Grâce à son analyse, GoDaddy a identifié plusieurs metrics pouvant fournir une visibilité sur les tactiques, techniques et procédures des pirates. Ces méthodes ont ensuite été utilisées pour repérer et observer les activités de duplication miroir des domaines. L'infrastructure développée à cette fin offrait la visibilité nécessaire pour mieux comprendre le problème.

L'activité historique de duplication miroir des domaines a été analysée pendant 60 jours, en utilisant divers modèles de comportement identifiés. Au cours de cette période, l'activité de duplication miroir de RIG a été observée à l'aide d'un modèle principal pour la génération de sous-domaines comprenant des mots sélectionnés au hasard à partir d'un dictionnaire fixe (par exemple, « red », « admin », « info », « save » et « new »).

RSA Research a également vérifié le lien de ces domaines miroirs avec RIG en mettant en corrélation les adresses IP de destination dans les données DNS de GoDaddy (c'est-à-dire la cible des enregistrements DNS A pour les domaines miroirs) avec les netblocks back-end RIG observés par RSA (Figure 19), ainsi que la mise en sandbox de domaines miroirs actifs. Les Figures 27 et 28, observées début mai, illustrent les domaines miroirs utilisés comme pages de destination de RIG. Ces résultats ont toujours accepté les modèles actuels d'URL de RIG et transmis des exploits .swf connus (comme md5 : dc7d6b8b623fdf82a8ba48195bd1bdbf).

Figure 27. Mise en sandbox d'un domaine miroir servant de page de destination à RIG

Figure 28. Mise en sandbox d'un autre domaine miroir servant de page de destination à RIG

En outre, des activités de duplication miroir de domaines suivant plusieurs autres modèles ont été identifiées au cours de cette enquête. Au total, nous avons constaté que l'activité de duplication miroir a touché des centaines de clients, chacun ayant en moyenne 150 enregistrements miroirs injectés dans leurs enregistrements DNS. Les modifications quotidiennes de DNS ont été chiffrées à environ 450 nouveaux sous-domaines miroirs par jour. Une grande majorité de ces modifications d'enregistrements provient des appels de navigateur par un client inconnu ou plusieurs clients sur le réseau TOR.

Le modèle de duplication miroir de domaine principal utilise un nom de sous-domaine de 3 à 5 caractères aléatoires, composé de caractères alphanumériques. « m47xh », « mv6 », « eeiv », « l4pj2 », « eiq0s » et « bthi » sont des exemples de sous-domaines observés dans cet ensemble. Cet ensemble est le plus nombreux et comprend plus de 95 % des enregistrements miroirs actuels. Cette activité de duplication miroir a été observée dans plus de 30 000 sous-domaines, affectant plus de 800 domaines. Les sous-domaines actifs étaient constamment fluctuants, des entrées étant continuellement ajoutées et supprimées de façon automatisée, avec une moyenne de 900 modifications d'enregistrement par jour.

Figure 29. Miroirs actifs pendant la période d'observation

L'analyse d'OSINT préliminaire de cette activité indique que cette tendance peut être liée à l'activité de malspam et malvertising en cours, pour une vaste gamme de livraisons de programmes criminels. Des exemples de ces activités sont présentés ci-dessous, dans les Figures 30 et 31.

Figure 30. Spam provenant d'autres domaines miroirs ?

Figure 31. Google et d'autres domaines miroirs

Collectivement, les enregistrements miroirs identifiés ciblaient environ 240 adresses IP uniques sur 20 sous-réseaux différents de classe C. Malheureusement, l'analyse supplémentaire des destinations n'a pas été possible, car les fournisseurs d'hébergement associés n'ont pas participé à notre enquête. L'identification de ce comportement a conduit à son arrêt à grande échelle, comme décrit ci-dessous dans la section « Mesures correctives ».

UN ÉCOSYSTÈME ALIMENTÉ PAR DES CREDENTIALS COMPROMIS

Le fait que ces campagnes reposent à ce point sur des credentials compromis pousse à ouvrir les yeux. Pourtant, d'après la présentation ci-dessus, nous pensons que les pages de destination de RIG sont (presque) exclusivement hébergées sur des sous-domaines miroirs éphémères de domaines (et des comptes) compromis, avec des ASN presque à toute épreuve en Europe de l'Est. Comment ces credentials ont-ils été récupérés ?

Internet, où sévissent des voleurs d'informations depuis des années, a un certain nombre de campagnes viables devant être évaluées. Une tentative de corréler ces credentials compromis avec les décharges PONY des dernières années a eu des résultats négatifs, indiquant que ces campagnes n'étaient pas des coupables probables. Toutefois, il existe de nombreuses autres options.

En ce qui concerne les domaines miroirs eux-mêmes, nous pensons que les pirates qui mènent ces campagnes s'appuient sur des opérations de phishing sophistiquées pour acquérir des credentials de clients légitimes (par exemple, Figure 32). Les 17 millions de clients et 71 millions de noms de domaine de GoDaddy en font une cible de choix pour les attaques de phishing à grande échelle et sophistiquées. GoDaddy plaide pour l'authentification à deux facteurs (TFA) et collabore activement avec les fournisseurs d'hébergement fournissant ces pages de phishing pour supprimer les sites hébergeant ce contenu malveillant.

Figure 32. Une campagne d'hameçonnage ciblé antérieure contre GoDaddy

En ce qui concerne les sites compromis (sites référençant le trafic via des iframes injectés dans les domaines miroirs GoDaddy), l'examen des enregistreurs de domaine concernés laisse imaginer une approche plus opportuniste. Si les méthodes employées pour obtenir ces credentials ne sont pas claires, des études communautaires ont été publiées sur l'utilisation de  botnets IoT pour les attaques par force brute sur les sites WordPress.

Si ces observations et ces spéculations sont valables, nous devons peut-être considérer le modèle opérationnel de RIG comme un écosystème, comme le suggère la Figure 33.

Figure 33. Écosystème de RIG, spéculation

MESURES CORRECTIVES

L'activité de duplication miroir documentée a été supprimée des systèmes DNS de GoDaddy. Historiquement, la duplication miroir de domaines est longtemps resté un problème complexe, étant donné que les enregistrements sont nombreux, rarement vérifiés et créés avec des domaines légitimes. En collaboration avec RSA, GoDaddy a pu appliquer l'analytique des données pour isoler et supprimer les domaines miroirs incriminés. Les adresses IP de destination malveillantes connues ont été mises sur liste noire dans le système DNS de GoDaddy. En outre, les comptes clients compromis ont été verrouillés et nécessitent une modification des credentials pour éviter toute nouvelle utilisation indue.

L'objectif suivant est de continuer à développer des processus de détection et de suppression à grande échelle des enregistrements DNS malveillants, ainsi que d'intégrer des mesures préventives dans le flux de données de modification de domaine. Au fil de la maturation de ces efforts dans leur capacité à prévenir et à perturber la duplication miroir, notre approche dépendra de moins en moins des indicateurs soumis et s’orientera vers des mesures correctives ad-hoc. Au lieu de cela, nos processus s’appuieront sur l'analyse des ensembles de données internes pour identifier et supprimer les enregistrements malveillants de façon automatisée.

La réussite dans ces domaines réduira le délai de détection et le délai de correction tout en limitant considérablement la durée de vie des domaines miroirs. Des atténuations architecturales sont également évaluées pour l'intégration dans les comptes à risque élevé en matière de duplication miroir des domaines. Ce chemin d'action améliorera la protection des comptes GoDaddy et réduira l'efficacité de la duplication miroir de domaines en tant que technique de distribution de logiciels malveillants.

IMPACT ET CONCLUSION

S'il est difficile de mesurer l'impact de toute opération d'assainissement, en particulier compte tenu de la visibilité limitée sur l'activité des pirates, une analyse préliminaire indique une  perte importante de capacités pour les opérations de RIG, en particulier pour les campagnes Seamless et Decimal IP actuelles (comme illustré à la Figure 34). La longévité de l'impact est toujours en cours d'évaluation conjointe par les équipes de GoDaddy et RSA.

Figure 34. Back-end RIG non disponible pour la campagne Decimal IP

La détermination de l'impact d'un tel assainissement sur la pile inextricable des campagnes de ransomware, de malvertising et de malspam en cours est beaucoup plus difficile. Ce que nous savons, c'est que le 16 mai 2017, des dizaines de milliers de ressources actives de domaines miroirs ont été supprimées des capacités opérationnelles d'une partie prenante active des programmes criminels.

Ce rapport conclut cette phase de nos recherches et des résultats connexes. Cependant, nous prévoyons d'autres recherches conjointes sur le rôle des opérations de duplication miroir de domaines dans l'écosystème global des programmes criminels.

Annexe A 

Campagne PseudoDarkleech : Ransomware Cerber

Captures d'écran :

Trafic :

Annexe B 

Campagne EITEST : Ransomware Cryptoshield

Captures d'écran :

Trafic :