Introducción
Las amenazas, en constante evolución, añaden capas de complejidad para ocultar su naturaleza maliciosa y eludir las soluciones de seguridad. Hoy en día, los autores de las amenazas distribuyen malware de múltiples capas capaz de pasar desapercibido, sin mostrar ningún comportamiento malicioso hasta las fases finales de su implementación.
El malware multicapa implica varias fases, en las que se emplean técnicas de ofuscación y cifrado, e incluso tácticas adaptativas en las que el comportamiento y la funcionalidad del malware evolucionan en función del sistema de la víctima. Para detectar y responder de forma eficaz a estas amenazas es necesario comprender a fondo el comportamiento del malware, lo que requiere una cantidad considerable de tiempo y recursos.
Para hacer frente a los ataques de múltiples capas, OPSWAT MetaDefender adopta un enfoque integral que combina una tecnología única de análisis adaptativo de amenazas basada en la emulación con capacidades avanzadas de detección e inteligencia sobre amenazas.
Combinar análisis estáticos y dinámicos para combatir el malware sofisticado
El motor MetaDefender se sitúa a la vanguardia de la detección de amenazas, combinando a la perfección técnicas de análisis estático y dinámico para frustrar incluso los ataques más sofisticados.
- Análisis de estructura profunda: una evaluación inicial de archivos estáticos que permite la detección temprana de más de 50 tipos de archivos compatibles y extrae el contenido activo incrustado para su posterior análisis.
- Análisis dinámico de contenidos: examina y analiza el contenido y el contexto de correos electrónicos, páginas web y documentos para detectar actividades maliciosas ocultas, incluidas las URL sospechosas. Se trata de una medida de protección especialmente útil contra los ataques de phishing.
- Análisis adaptativo de amenazas: análisis dinámico basado en la emulación que mantiene el control sobre el flujo de ejecución del malware, incluso cuando este está diseñado para atacar un entorno específico. Es compatible con archivos de Office, ejecutables portátiles y los scripts más comunes.
Cabe destacar que todos los módulos se integran entre sí, lo que garantiza un intercambio fluido de análisis e información.
Todas estas tecnologías desempeñan un papel fundamental a la hora de ofrecer una visión sin precedentes de los distintos niveles de los ataques, adaptándose en tiempo real a los entornos específicos para evaluar con precisión el malware moderno y generando un conjunto fiable de indicadores de compromiso (IOC) validados con MetaDefender Cloud, inteligencia sobre amenazas actualizada y las tácticas, técnicas y procedimientos (TTP) pertinentes.
Aprovechar todo el potencial de Advanced Threat Detection MetaDefender
El siguiente caso de uso ilustra cómo varios módulos del motor de detección de amenazas trabajan de forma coordinada para detectar Cobalt Strike (CS), un simulador avanzado de malware, y extraer información de gran valor.
CS es una herramienta comercial de acceso remoto diseñada para llevar a cabo ataques selectivos y emular las acciones posteriores a la explotación que realizan los autores de amenazas avanzadas. Los actores maliciosos utilizan ampliamente versiones pirateadas de CS, lo que les permite desplegar un agente en memoria (beacon) en el host de la víctima sin tocar el disco. El beacon de CS admite comunicaciones comunes y de control (C2) a través de varios protocolos y ofrece una amplia gama de funcionalidades, entre las que se incluyen la escalada de privilegios, el volcado de credenciales, el movimiento lateral y la exfiltración de datos.
El malware se distribuye de innumerables formas, y cada una de ellas plantea sus propios retos a la hora de detectarlo y analizarlo. MetaDefender se adapta a estos nuevos métodos de distribución para detectar malware altamente ofuscado y cifrado, lo que nos permite comprender en profundidad su funcionamiento y extraer indicadores de compromiso (IOC) y tácticas, técnicas y procedimientos (TTP) de gran valor.
Resumen de la muestra
La muestra analizada es un archivo ejecutable portátil (PE) compilado con Pyinstaller que descarga de forma encubierta un archivo PE de preparación de Cobalt Strike desde un servidor malicioso. A continuación, el archivo PE de preparación descifra la baliza CS incrustada y la inyecta en la memoria, iniciando así la comunicación con el servidor C2.
Capa 1: Archivo PE compilado con Pyinstaller
PyInstaller agrupa una aplicación de Python y todas sus dependencias en un único paquete, lo que permite al usuario ejecutar la aplicación sin necesidad de instalar un intérprete de Python ni ningún módulo, lo cual resulta muy atractivo para los creadores de malware.
Un análisis estático de este archivo solo generará una gran cantidad de ruido inútil, en lugar de centrarse en su comportamiento malicioso. MetaDefender descomprime y extrae los archivos de código byte compilado (pyc) y los artefactos incrustados que utiliza el código Python original. A continuación, descompila los archivos pyc para obtener el código Python original, lo que nos permite detectar indicadores de amenazas y extraer IOC de gran valor.
Pyinstaller requiere un proceso de descompresión específico que ni siquiera es compatible con los programas de compresión de archivos más habituales. MetaDefender incluye ahora una función integrada de descompresión de Python, que también es compatible con otros compiladores de Python habituales, como Nuitka y Py2exe.
Esta nueva función nos permite saltarnos esta primera capa de compresión y continuar con el análisis de los archivos descomprimidos.
Nivel 2: Descompilar el código Python y descargar el artefacto malicioso para su análisis
Al descompilar los archivos de Python, se observa que este malware descarga un archivo PE (el «stager» de CS) desde una URL maliciosa. A continuación, ejecuta el «stager» de CS y lo elimina del disco para borrar posibles indicadores de compromiso (IOC). Además, aparece un mensaje falso de Windows para engañar al usuario y hacerle creer que se ha producido un error.
MetaDefender extrae la URL maliciosa y descarga el stager para su posterior análisis.
Nivel 3: Descifrado de la configuración de Cobalt Strike
El archivo PE descargado (cs.exe) es un stager que descifra un segundo archivo PE, el cual a su vez descifra el beacon de CS y lo inyecta en la memoria. CS utiliza numerosas técnicas para ocultar el beacon y dificultar su detección. MetaDefender es capaz de seguir de forma estática su flujo de ejecución hasta llegar al beacon de CS y extraer su configuración.
El stager de CS oculta un archivo PE cifrado con XOR en su sección .data. Este segundo archivo PE corresponde a un archivo DLL, identificable mediante el conocido encabezado de DLL (MZARUH), que constituye el inicio del stub del cargador reflexivo predeterminado para la baliza de CS. Esto significa que el PE inicial se encargará de asignar y copiar la DLL del cargador reflexivo en memoria, analizar y resolver las direcciones de las funciones de importación y ejecutar el punto de entrada de la DLL. Finalmente, el cargador reflexivo descifrará y ejecutará la baliza CS en memoria.
La configuración de la baliza CS se almacena en la DLL del cargador reflectivo, cifrada mediante un XOR de un solo byte. Cabe destacar que la configuración de CS siempre comienza con la secuencia de bytes «00 01 00 01 00 02», lo que nos ayuda a identificarla fácilmente incluso cuando está cifrada mediante un XOR de fuerza bruta.
Conclusión
Este análisis técnico de un incidente de ciberseguridad pone de relieve la complejidad y la gravedad de las amenazas cibernéticas actuales y demuestra que el potente y avanzado motor de detección de amenazas MetaDefender es capaz de analizar con eficacia ataques de múltiples capas a una velocidad extraordinaria.
La función de descompresión y descompilación de Python permite realizar un análisis más profundo, algo esencial para revelar la verdadera naturaleza del programa malicioso. Hemos visto cómo la descompresión ha desencadenado acciones adicionales que han llevado a la detección y extracción de la configuración de CS.
La extracción de la configuración del malware siempre revela indicadores de compromiso (IOC) valiosos y permite identificar con precisión el malware. Nuestro equipo especializado de analistas de malware amplía continuamente la gama de familias de malware con las que trabajamos, lo que garantiza una cobertura exhaustiva y permite detectar rápidamente las amenazas emergentes.
Indicadores de compromiso (IOC)
Archivo PE compilado con Pyinstaller
SHA-256: d5a5a87cbc499d39797bcba85232fd1eede2fd81f4d5a1147454324968185926
Cobalt Strike Stager
SHA-256: d8674a668cb51fe0d8dc89740c03e95d1f659fb6cb66ec8c896e3b1af748662f
URL maliciosa
hxxp[://]43[.]143[.]130[.]124:8000/cs[.]exe
Dirección IP de C2 de Cobalt Strike
43,143,130,124
