Shadowfall

Negli ultimi mesi, RSA Research ha intrapreso un'iniziativa interaziendale nei confronti del RIG Exploit Kit (RIG EK o solo RIG), che ha consentito di conoscere l'infrastruttura operativa (e possibilmente l'intero ecosistema), oltre a importanti discovery relative allo shadowing dei domini. Lo shadowing dei domini è una “tecnica in cui gli attacker rubano le credenziali degli account del dominio ai rispettivi proprietari allo scopo di creare sottodomini indirizzati a server malevoli”.

Di conseguenza, decine di migliaia di risorse di domini shadow attivi sono state rimosse dalle operazioni relative a RIG, pubblicità malevola e malspam.

Metodologia di ricerca e riconoscimenti
I dati iniziali di questa ricerca sono stati raccolti e valutati nel periodo compreso tra il 21 febbraio e il 20 marzo 2017. Tuttavia, sono state condotte anche l'acquisizione, la valutazione e la successiva ricerca di importanti dati di follow-up per garantire la pertinenza di questa discussione con le attuali operazioni del RIG EK.

È importante notare che la nostra ricerca continua e i risultati ottenuti sono stati resi possibili solo dalla combinazione dei nostri astuti colleghi presso GoDaddy e un certo numero di ricercatori della community. In particolare, vorremmo riconoscere il lavoro di @broadanalysis, @dynamicanalysis, @executemalware, @malwarebytes, @zerophage e soprattutto Brad Duncan di malware-traffic-analysis.net e della Unit 42 di Palo Alto. Un ringraziamento speciale va a Rintaro Koike (@nao_sec, http://nao-sec.org/), la cui continua collaborazione è stata cruciale per questa ricerca.

RIG EXPLOIT KIT

Poiché il nostro intervento in questo settore è iniziato con un esame dettagliato del RIG Exploit Kit, è importante fornire una panoramica operativa completa del suo funzionamento. La figura 1 illustra le tipiche operazioni del RIG e verrà utilizzata per strutturare la successiva discussione su queste operazioni.

Figura 1. Panoramica della distribuzione del RIG

Come indicato nel grafico riportato di seguito, il RIG continua a essere un exploit kit attivo e diversificato in termini di payload sul mercato di oggi.

Figura 2. Attività del RIG Exploit Kit a partire dal 17 maggio 2017 (Credit @executemalware)

SITI COMPROMESSI

Il sito compromesso determina l'inizio delle operazioni del RIG EK e ne rappresenta il catalizzatore principale. Mentre anche la pubblicità malevola, i pop-up font di Chrome e altri metodi sono responsabili dell'indirizzamento del traffico alle landing page, il metodo prevalente osservato durante la nostra ricerca è l'inserimento di un iframe nei siti WordPress, Joomla! e Drupal compromessi.

Non sorprende il fatto che il RIG EK utilizzi parametri URL in continua evoluzione. In passato, è stato osservato che l'exploit kit riutilizzava a rotazione questo tipo di parametri URL per gli iframe inseriti, JavaScript e così via. Una cronologia di schemi di URL relativi al RIG è inclusa nel white paper sul RIG (in giapponese), disponibile in LAC Cyber Grid View, release di febbraio 2017. La figura 7 mostra i parametri attuali del RIG EK.

Quando si valuta una serie di siti compromessi (derivanti da crawler) che reindirizzano il traffico alle landing page del RIG, i registrar appaiono come un insieme di registrar di dominio (figura 8).

Figura 8. Siti compromessi con registranti distribuiti

GATE e SISTEMI DI DISTRIBUZIONE DEL TRAFFICO (TDS)

All'inizio della nostra ricerca, non abbiamo osservato alcuna prova di utilizzo di TDS o gate in combinazione con le principali campagne RIG (in particolare PseudoDarkleech ed EITEST), anche se esistono report pubblicati da altri ricercatori del settore della sicurezza, ad esempio @dynamicanalysis che copre il traffico di riferimento TDS utilizzato da GoodMan e alcune pubblicità malevole indirizzate al RIG EK.

Tuttavia, la situazione ha iniziato a cambiare a partire dalla fine marzo fino ad aprile e maggio, quando sono comparse nuove campagne. Mentre le campagne GoodMan e Seamless utilizzano i gate tradizionali, ad esempio hurtmehard[.]net nel caso di GoodMan, la campagna Decimal-IP reindirizza il traffico utilizzando indirizzi IP indicati in numeri interi per raggiungere le landing page del RIG. È probabile che così si possano evitare le misure di rilevamento basate sull'indicatore di compromesso (IOC) tradizionale; ed è anche per questo che gli attuali attori delle minacce hanno adottato una simile tecnica (figura 9).

Figura 9. Decimal-IP reindirizza al RIG

LANDING PAGE

Il traffico gestito dai gate tradizionali e dagli iframe inseriti nei siti compromessi raggiunge le landing page del RIG, che sono le colonne portanti del modello operativo del RIG. La figura 10 include esempi di acquisizioni del traffico di rete, mentre l'attuale PCAP della campagna Decimal-IP è disponibile qui.

La figura 11 rappresenta una landing page parzialmente offuscata come osservato il 16 maggio 2017.

L'obiettivo principale delle landing page del RIG è quello di sfruttare in modo intelligente i computer client in entrata, attaccandoli con una serie di payload diversificati tramite diverse campagne.

EXPLOIT

Nel corso della nostra indagine, gli exploit più comunemente osservati eseguiti dal RIG sono ben noti e correlati alla tecnologia flash (in genere sfruttano CVE-2015-8651). In fase di due diligence, abbiamo confrontato gli attuali esempi di RIG con una raccolta di esempi meno recenti, riscontrando somiglianze nell'esecuzione del codice e del processo fra diverse campagne. Ne è la prova un exploit flash facilmente identificato (figura 12).

Oltre agli exploit flash riportati, si è riscontrato anche che le landing page del RIG distribuivano payload destinati a Internet Explorer (IE) con exploit nei confronti di CVE-2016-0189CVE-2015-2419CVE-2014-6332 (figura 13).

Figura 13. CVE per agent utente; https://github.com/nao-sec/RigEK

Anche se l'obiettivo principale di questa discussione non è la decodifica delle landing page del RIG o dei relativi exploit, è importante dire che l'attuale ricerca sulla sicurezza include diverse spiegazioni tecniche dettagliate e affidabili. In particolare, consigliamo gli esempi di RSA Research e nao_sec.

PAYLOAD

La moltitudine di payload viene distribuita dal RIG in modo continuo e dipende in gran parte dalle varie campagne che utilizzano la distribuzione del RIG. Nel corso della nostra indagine, abbiamo notato una forte persistenza iniziale di Cerber distribuito dal RIG, uno dei malware preferiti della campagna PseudoDarkleech (PDL). L'attività per PDL ha subito un calo ad aprile, rimanendo principalmente silenziosa (o nascosta). Una spiegazione tecnica dettagliata del payload di Cerber è disponibile nell'Appendice A.

Figura 14. Schermata di benvenuto di Cerber

EITEST è stata la seconda campagna più attiva riportata nella nostra ricerca iniziale. È ancora attiva e offre un'ampia varietà di payload malevoli (ad esempio, il trojan bancario Dreambot ), ma spesso ricade nelle entrate sicure del ransomware. Sono stati indicati nello specifico i payload di Cerber, CryptoShield, SageSpora a febbraio e marzo. Una spiegazione tecnica dettagliata del payload CryptoShield è disponibile nell'Appendice B.

Figura 15. Schermata di benvenuto di CryptoShield

Recentemente, è stato osservato che la campagna Decimal-IP, una delle due campagne attive degli ultimi tempi che sfrutta il RIG, distribuisce smokeloader (versione di prova). Tra i numerosi ricercatori che seguono attivamente questa attività, zerophage offre diverse spiegazioni tecniche dettagliate con un esempio di traffico di rete nella figura 16.

Figura 16. Il reindirizzamento di Decimal-IP distribuisce Smokeloader

È stato recentemente osservato che Seamless, l'ultima campagna oggetto di questa ricerca, distribuisce i ransomware Latentbot e Ramnit. Documentazione tecnica pertinente su questa campagna è stata realizzata sia da Cisco che da Brad Duncan, che hanno commentato la figura 17.

FOOTPRINTING DI UN'INFRASTRUTTURA SHADOW

Come viene visualizzata questa infrastruttura in una snapshot delle operazioni del RIG? Sfruttando le landing page note del RIG nel periodo 21-27 febbraio, Maltego (incluse le chiavi di PassiveTotal e Domain Tools per mettere in correlazione e arricchire i dati) è stato utilizzato per generare una snapshot dell'infrastruttura operativa del RIG relativamente alle campagne EITEST e PDL (figura 18).

Figura 18. Esempio di struttura operativa del RIG come osservato dal 27 febbraio 2017

Durante l'analisi, abbiamo notato tre aspetti interessanti di questa infrastruttura. In primo luogo, è stato osservato un elevato livello di riutilizzo della subnet IP nell'attività del RIG dalla fine di febbraio a marzo e fino all'inizio di aprile.

Figura 19. ASN di hosting back-end del RIG

In una precedente ricerca, abbiamo parlato del significato e dell'availability dell' hosting solido per gli attori di crimeware. RSA Research ha osservato che gli ASN (Autonomous System Number) relativi al RIG rientrano principalmente all'interno di un gruppo core di provider di hosting affidabili “offuscati a livello commerciale” (ad esempio TimeWeb). In particolare, questi ASN presentano sufficiente traffico a utilizzo misto legittimo (per cui è improbabile che vengano inseriti nella blacklist) per un inoltro operativo offuscato per gli attori di crimeware. Da una rapida ricerca OSINT possono emergere numerosi indicatori a supporto di questa affermazione:

Quasi come previsto, i tentativi di ricerca per indicizzazione dei domini ospitati all'interno dei netblock relativi al RIG (figura 19) non hanno mostrato alcuna singola istanza di iframe inserito (con corrispondenze di sottostringhe secondo gli schemi indicati nella figura 7) con reindirizzamento del traffico alle landing page del RIG. Questo indica probabilmente che i siti compromessi per questa finalità potrebbero essere colpiti nello specifico per la loro prossimità e l'utilizzo di traffico occidentale, considerando soprattutto le informazioni in nostro possesso sulle whitelist linguistiche e per Paese dei payload.

In secondo luogo, abbiamo notato un ampio riutilizzo dei certificati SSL, che credevamo inizialmente correlati al RIG. Tuttavia, ulteriori indagini hanno dimostrato una proliferazione di certificati in numerosi domini localizzati in ASN (figura 20). Sulla base di questi risultati, riteniamo che questi certificati SSL non siano correlati al RIG, ma utilizzati in modo generico dai provider di hosting.

SerialOrganizzazione emittenteElenco Shodan
620617GeoTrust Inc.https://www.shodan.io/search?query=ssl.cert.serial%3A620617"/a>
983750GeoTrust, Inc.n/d
66288GeoTrust Inc.https://www.shodan.io/search?query=ssl.cert.serial%3A66288

Figura 20. Dettagli dei certificati Shodan; shodan.io

Dall'esame dei dettagli di registrazione Whois per i domini delle landing page del RIG, GoDaddy emerge come registrar principale. La figura 21 è uno screenshot di Maltego che suddivide i registrar per 395 sottodomini univoci che hanno utilizzato le landing page del RIG tra il 21 febbraio e il 10 aprile 2017.

Figura 21. Landing page del RIG con registrar comune

Sulla base di questi risultati, abbiamo isolato tutte le email dei singoli registranti proprietari di questi sottodomini (escludendo inizialmente i registranti generici, ad esempio abuse@). Abbiamo preso le email di questi registranti in batch e abbiamo identificato tutti i relativi domini e sottodomini (abbiamo identificato correttamente migliaia di domini shadow ospitati da un provider principale). La figura 22 è uno screenshot di Maltego di oltre 2.200 sottodomini registrati da 18 registranti GoDaddy, ciascuno dei quali è stato utilizzato impropriamente durante le operazioni del RIG dal 25 marzo al 5 aprile 2017. Si ritiene che questi siano account compromessi.

Figura 22. Account compromessi utilizzati per i domini shadow

I sottodomini di proprietà di questi account compromessi sembrano essere domini shadow GoDaddy legittimi e ospitano le attuali landing page del RIG sui netblock stranieri menzionati in precedenza (figura 19). I record DNS A forniscono ulteriori prove di questa osservazione come mostrato nelle figure 23 e 24 (per gentile concessione di centralops.net)

Figura 23. Record DNS di esempio per un dominio shadow

Figura 24. 28 marzo 2017 - Record DNS A per un dominio shadow

Gli attori del RIG eseguono regolarmente la pulizia ed eliminano il sottodominio e i record DNS A prima della creazione di nuovi domini shadow. L'analisi preliminare dei record DNS A dei domini shadow indica una durata di 5-10 giorni prima dell'eliminazione. Detto questo, crediamo anche che l'availability effettiva di questi domini shadow basati su hosting back-end (ASN nella figura 19) si avvicini maggiormente a 24-48 ore. Lo dimostra la creazione e la successiva rimozione di questo dominio shadow dai record DNS il 30 marzo 2017 (figura 25).

Figura 25. 30 marzo 2017 - Pulizia dei record DNS per il dominio shadow

Questa attività è andata avanti fino ad aprile e maggio, come indicato nella figura 26 riportata di seguito.

Figura 26. 16 maggio 2017 Dominio shadow del RIG visto tramite record DNS A

COLLABORAZIONE CON GODADDY

A causa dell'elevata incidenza dei domini registrati come GoDaddy, GoDaddy è stato coinvolto come partner collaborativo nella documentazione dell'infrastruttura di domini shadow. Grazie a una visualizzazione dettagliata, si è potuto esaminare le voci del DNS shadow da una posizione privilegiata. Tramite la sua analisi, GoDaddy ha identificato diverse metriche che potrebbero fornire visibilità sulle tattiche, tecniche e procedure degli attori delle minacce. Questi metodi sono stati successivamente utilizzati per individuare e osservare l'attività di shadowing dei domini. L'infrastruttura sviluppata per queste finalità ha fornito la visibilità necessaria per comprendere ulteriormente il problema.

L'attività cronologica di shadowing dei domini è stata analizzata su una finestra di 60 giorni utilizzando diversi modelli di comportamento identificati. Durante questo periodo, è stato osservato che l'attività shadow del RIG utilizzava un modello principale per la generazione di sottodomini composto da parole selezionate casualmente da un elenco specifico (ad esempio, “red”, “admin”, “info”, “save” e “new”).

RSA Research ha anche indicato questi domini shadow come relativi al RIG mettendo in correlazione gli IP di destinazione nei dati DNS GoDaddy (ovvero ciò a cui puntavano i record DNS A per i domini shadow) con i netblock back-end del RIG osservati da RSA (figura 19), oltre al sandboxing dei domini shadow attivi. Le figure 27 e 28, osservate a inizio maggio, illustrano i domini shadow in uso come landing page del RIG. Questi risultati hanno accettato in modo coerente gli attuali schemi di URL del RIG e utilizzato noti exploit .swf (ad esempio, md5: dc7d6b8b623fdf82a8ba48195bd1bdbf).

Figura 27. Sandboxing di un dominio shadow che svolge la funzione di landing page del RIG

Figura 28. Sandboxing di un altro dominio shadow che svolge la funzione di landing page del RIG

Inoltre, nel corso dell'indagine, sono state identificate attività di shadowing dei domini che seguono diversi schemi alternativi. Complessivamente, è stato notato che l'attività di shadowing interessa centinaia di clienti, ciascuno con una media di 150 registrazioni shadow inserite nei propri record DNS. Le modifiche quotidiane del DNS corrispondono a circa 450 nuovi sottodomini shadow al giorno. Ciò che avvia la maggior parte di queste modifiche ai record sono le chiamate del browser da parte di un client sconosciuto o di più client sulla rete TOR.

Si è visto che il modello di shadowing dei domini più prominente utilizzava un nome di sottodominio casuale di 3-5 lettere composto da caratteri alfanumerici. Esempi di sottodomini osservati in questa serie sono "m47xh", “mv6”, “eeiv”, “l4pj2”, “eiq0s” e “bthi”. Questa serie è più numerosa ed è composta da oltre il 95% delle attuali registrazioni shadow. Questa attività di shadowing è stata osservata in oltre 30.000 sottodomini totali, che interessano oltre 800 domini. I sottodomini attivi oscillano costantemente perché vengono aggiunte e rimosse le voci di continuo e in modo automatizzato con una media di 900 modifiche ai record ogni giorno.

Figura 29. Domini shadow attivi durante il periodo di osservazione

L'analisi OSINT preliminare di questa attività indica che questo schema potrebbe essere correlato ad attività continue di pubblicità malevola e malspam, che implicano un'ampia gamma di eventi di crimeware. Esempi di queste attività sono indicati di seguito nelle figure 30 e 31.

Figura 30. Spam di altri domini shadow?

Figura 31. Google Dorking su altri domini shadow

Tutti insieme, i record shadow identificati puntavano a circa 240 indirizzi IP univoci su 20 subnet di classe C diverse. Purtroppo, non è stato possibile eseguire un'ulteriore analisi delle destinazioni poiché i provider di hosting associati non sono stati coinvolti nel corso della nostra indagine. L'identificazione di questo comportamento ha portato a un suo arresto su vasta scala come descritto di seguito nella sezione “Correzione”.

UN ECOSISTEMA ALIMENTATO DA CREDENZIALI COMPROMESSE

Il fatto che queste campagne utilizzino ampiamente credenziali compromesse è in qualche modo illuminante. Tuttavia, sulla base della discussione riportata in precedenza, crediamo che le landing page del RIG siano quasi esclusivamente (o esclusivamente) ospitate su sottodomini shadow di breve durata di domini (e account) compromessi e gestiti da ASN quasi affidabili in Europa orientale. Come sono state raccolte queste credenziali?

Internet, in cui dilaga da anni il furto di informazioni, presenta un certo numero di campagne di cui si potrebbe dover valutare l'attribuzione. Il tentativo di mettere in correlazione le credenziali compromesse con i dump PONY degli ultimi anni ha dato risultati negativi e questo indica che tali campagne non erano probabilmente responsabili. Tuttavia, esistono molte altre opzioni.

Per quanto riguarda i domini shadow, si ritiene che gli attori delle minacce che intraprendono queste campagne facciano affidamento su sofisticate operazioni di phishing per acquisire credenziali legittime dei clienti (figura 32). I 17 milioni di clienti e i 71 milioni di nomi di dominio di GoDaddy ne fanno un obiettivo naturale di attacchi di phishing sofisticati e su vasta scala. GoDaddy continua a sostenere l'autenticazione a due fattori (TFA) e a lavorare attivamente con i provider di hosting che utilizzano queste pagine di phishing per abbattere i siti che ospitano contenuti malevoli.

Figura 32. Una precedente campagna GoDaddy di spear-phishing mirato

In termini di siti compromessi (siti che reindirizzano il traffico tramite iframe inseriti ai domini shadow GoDaddy), l'insieme di registrar di dominio interessati implica un approccio più opportunistico. Anche se non è chiaro quali metodi possano essere stati impiegati come mezzo di raccolta di queste credenziali, la ricerca della community si basa sull'utilizzo di botnet IoT per eseguire attacchi di forza bruta sui siti WordPress.

Se queste osservazioni e ipotesi sono valide, forse dobbiamo considerare il modello operativo del RIG più simile a un ecosistema, come suggerito dalla figura 33.

Figura 33. Ipotesi di ecosistema RIG

CORREZIONE

L'attività shadow documentata è stata rimossa dai sistemi DNS di GoDaddy. Lo shadowing dei domini ha sempre rappresentato un problema a causa del fatto che i record fossero controllati raramente, numerosi e creati sotto domini legittimi. Collaborando con RSA, GoDaddy è stato in grado di applicare l'analisi dei dati per isolare e rimuovere i domini shadow offensivi. Gli indirizzi IP di destinazione non validi noti sono stati inseriti nelle blacklist nel sistema DNS di GoDaddy. Inoltre, gli account dei clienti compromessi sono stati bloccati e richiedono una modifica delle credenziali per evitare utilizzi impropri in futuro.

L'obiettivo futuro è continuare a sviluppare processi per rilevare e rimuovere su vasta scala i record DNS malevoli, oltre a integrare misure preventive nel flusso di dati di modifica del dominio. Man mano che maturerà la capacità di prevenire e interrompere lo shadowing, diminuirà anche la dipendenza dagli indicatori inviati per una correzione ad hoc. Al contrario, si eseguirà l'analisi di dataset interni per identificare e rimuovere record malevoli in modo automatizzato.

Il successo di queste aree ridurrà al minimo il tempo di rilevamento e il tempo di correzione riducendo significativamente la durata dei domini shadow. Si sta anche valutando la possibile integrazione di mitigazioni a livello di architettura negli account a rischio elevato per lo shadowing dei domini. Questo percorso consentirà di proteggere maggiormente gli account GoDaddy e ridurre l'efficacia dello shadowing dei domini come tecnica per la distribuzione di malware.

IMPATTO e CONCLUSIONI

Mentre misurare l'impatto di qualsiasi operazione di risoluzione è difficile, soprattutto se consideriamo la limitata visibilità dell'attività degli attori delle minacce, l'analisi preliminare indica una perdita significativa di funzionalità per le operazioni del RIG, in particolare per le attuali campagne Seamless e Decimal-IP (come indicato nella figura 34). I team GoDaddy e RSA stanno ancora valutando, in modo congiunto, la longevità dell'impatto.

Figura 34. Back-end RIG non disponibile per la campagna Decimal-IP

Determinare l'impatto di una tale risoluzione nell'elevato numero di campagne attive di ransomware, pubblicità malevola e malspam è notevolmente più problematico. Quello che sappiamo con certezza è che il 16 maggio 2017 decine di migliaia di risorse di domini shadow attivi sono state rimosse dalle funzionalità operative di un attore di crimeware attivo.

Il presente report conclude questa fase della nostra ricerca e i relativi risultati. Tuttavia, prevediamo un'ulteriore ricerca congiunta sul ruolo svolto dalle operazioni di shadowing dei domini nel più ampio ecosistema del crimeware.

Appendice A

Campagna PseudoDarkleech: ransomware Cerber

Screenshot:

Traffico:

Appendice B

Campagna EITEST: ransomware Cryptoshield

Screenshot:

Traffico: