== Microsoft firmó un rootkit malicioso de Netfilter 25/06/2021 ==
https://www.gdatasoftware.com/blog/microsoft-signed-a-malicious-netfilter-rootkit
Lo que comenzó como una alerta de falso positivo para un archivo firmado por Microsoft resulta ser un controlador de llamada de aplicación de la capa de aplicación del WFP que redirige el tráfico a una IP china. ¿Cómo pasó esto?
La semana pasada nuestro sistema de alerta nos notificó de un posible falso positivo porque detectamos un conductor[1] llamado «Netfilter» que fue firmado por Microsoft. Desde Windows Vista, cualquier código que se ejecute en modo kernel debe probarse y firmarse antes del lanzamiento público para garantizar la estabilidad del sistema operativo. Los controladores sin un certificado de Microsoft no se pueden instalar de forma predeterminada.
En este caso, la detección fue un verdadero positivo, por lo que enviamos nuestros hallazgos a Microsoft, quien rápidamente agregó firmas de malware a Windows Defender y ahora está llevando a cabo una investigación interna. En el momento de redactar este documento, todavía se desconoce cómo el conductor podría pasar el proceso de firma.
Lo primero que noté después de abrir la vista de cadenas son algunas cadenas que parecían codificadas o cifradas. Si bien esto no es necesariamente un signo de un archivo malicioso, es extraño que un controlador ofusque una parte de sus cadenas.
Decodifiqué las cadenas usando el siguiente fragmento de Python.
def decryptNetfilterStr (encodedString):
clave = [9,0,7,6,8,3,1]
i = 0
decodedString = «»
para ch en encodedString:
decodedString = decodedString + chr (ord (ch) ^ clave[i%7])
i + = 1
return decodedString
Muestras similares
Al buscar esta URL, así como la ruta de PDB y la función de muestras similares en Virustotal, encontramos muestras más antiguas y el cuentagotas.[2] del controlador netfilter. La muestra más antigua[3] las firmas se remontan a marzo de 2021. A continuación, se enumeran las consultas de Virustotal para encontrar muestras similares a través de URL y ruta de PDB.
contenido: {5c68656c6c6f5c52656c656173655c6e657466696c7465726472762e706462}
contenido: {687474703a2f2f3131302e34322e342e3138303a323038302f75}
Además, la siguiente regla de Yara encontrará muestras mediante retrocaza.
regla NetfilterRootkit: Rootkit x64
{
meta:
author = «Karsten Hahn @ GDATA CyberDefense»
description = «Netfilter rootkit en modo kernel»
sha256 = «115034373fc0ec8f75fb075b7a7011b603259ecc0aca271445e559b5404a1406»
sha256 = «63D61549030FCF46FF1DC138122580B4364F0FE99E6B068BC6A3D6903656AFF0»
instrumentos de cuerda:
$ s_1 = «\ ?? \ netfilter x00» de ancho
$ s_2 = «Filtro IPv4 para redireccionamiento x00» de ancho
$ s_3 = “\ Registro \ Máquina \ SOFTWARE \ Microsoft \ Certificados del sistema \ ROOT \ Certificados \ x00”
$ s_4 = «Aceptar: texto / html, aplicación / xhtml + xml, aplicación / xml; q = 0.9, imagen / webp, imagen / apng, * / *; q = 0.8, aplicación / intercambio firmado; v = b3; q = 0.9 x0D ”
$ url = «http://110.42.4.180:2080/ux00»
$ pdb_1 = «C: \ Users \ omen \ source \ repos \ netfilterdrv \ x64 \ Release \ netfilterdrv.pdb x00»
// RSDS [20] G: \ hola x64 Release netfilterdrv.pdb
$ pdb_2 = {52 53 44 53 [20] 47 3A 5C E6 BA 90 E7 A0 81 5C 68 65 6C 6C 6F 5C 78 36 34 5C 52 65 6C 65 61 73 65 5C 6E 65 74 66 69 6C 74 65 72 64 72 76 2E 70 64 62}
condición:
cualquiera de ($ pdb_ *, $ url) o
todos ($ s_ *)
}
Cuentagotas e instalación
El cuentagotas coloca el controlador en% APPDATA% netfilter.sys. Luego crea el archivo% TEMP% c.xalm con el siguiente contenido y emite el comando regini.exe x.calm para registrar el controlador.
Servidor de mando y control
La URL hxxp: //110.42.4.180: 2081 / u en la lista de cadenas decodificadas es el servidor del rootkit. El controlador Netfilter[1] se conecta a él para obtener información de configuración.
Cada URL tiene un propósito específico.
Propósito de la URL
hxxp: //110.42.4.180: 2081 / p Configuración de proxy
hxxp: //110.42.4.180: IP de redireccionamiento 2081 / s
hxxp: //110.42.4.180: 2081 / h? Hacer ping con CPU-ID
hxxp: //110.42.4.180: 2081 / c Certificado raíz
hxxp: //110.42.4.180: 2081 / v? Auto actualización
Redirección de IP
La funcionalidad principal del malware es su redirección de IP. Se redirige una lista de direcciones IP específicas a 45 (.) 248.10.244: 3000. Estas direcciones IP, así como el destino de la redirección, se obtienen de hxxp: //110.42.4.180: 2081 / s.
El investigador @jaydinbas invirtió la configuración de redirección en este tweet y proporcionó la última configuración decodificada en un pastebin. El formato general observado por @cci_forensics y @jaydinbas es [-]{||…}
Mecanismo de actualización
La muestra tiene una rutina de actualización automática que envía su propio hash MD5 al servidor a través de hxxp: //110.42.4.180: 2081 / v? V = 6 & m =. Una solicitud podría tener este aspecto: hxxp: //110.42.4.180: 2081 / v? V = 6 & m = 921fa8a5442e9bf3fe727e770cded4ab. Luego, el servidor responde con la URL de la última muestra, por ejemplo, hxxp: //110.42.4.180: 2081 / d6 o con OK si la muestra está actualizada. El malware reemplaza su propio archivo en consecuencia.
Certificado raíz
El rootkit recibe un certificado raíz a través de hxxp: //110.42.4.180: 2081 / cy lo escribe en Registry Machine SOFTWARE Microsoft SystemCertificates ROOT Certificates . Los datos que se devuelven desde el servidor tienen el formato []: {}
Apoderado
En hxxp: //110.42.4.180: 2081 / p, el malware solicita el proxy que establece como AutoConfigURL en la clave de registro Software Microsoft Windows CurrentVersion ? Configuración de Internet. El valor devuelto en el momento de escribir este artículo es hxxp: //ptaohuawu.bagua.com.hgdjkgh.com: 2508 / baidu.txt
Hashes de muestra
Descripción SHA256
[1] Controlador de netfilter 63d61549030fcf46ff1dc138122580b4364f0fe99e6b068bc6a3d6903656aff0
[2] Gotero netfilter d64f906376f21677d0585e93dae8b36248f94be7091b01fd1d4381916a326afe
[3] Controlador de Netfilter, versión anterior firmada en marzo 115034373fc0ec8f75fb075b7a7011b603259ecc0aca271445e559b5404a1406
Más hashes relacionados con el rootkit Netfilter están en este hoja de cálculo creado por Florian Roth.