Il malware Astaroth si avvicina ai lavoratori di Cloudflare per eludere il rilevamento
Nelle notizie recenti un rapporto pubblicato sulla diffusione di Astaroth , un malware senza file che ha afflitto gli utenti ha attirato attenzione della comunità della sicurezza di Internet. Questa minaccia eseguiva strumenti di sistema che utilizzavano una complessa catena di allegati che non utilizzava eseguibili per eseguire le sue azioni in segreto.
Dopo il rapporto pubblicato, il gruppo dietro le azioni della campagna di Astaroth ha deciso di cambiare tattica . In particolare, ciò che hanno fatto è stato passare al utilizzo di Cloudflare Workers per continuare la loro campagna tentando di evitare il rilevamento. Il processo è stato eseguito in più fasi, come spiegato di seguito.
Sommario
Fase uno
Gli attori dietro la campagna hanno iniziato il loro lavoro utilizzando un classico schema di ingegneria sociale. Ciò che hanno fatto è stato inviare un messaggio che assomiglia alle solite risposte automatizzate via e-mail che le organizzazioni ricevono per le richieste di fatturazione o controllo. È stato inoltre utilizzato un allegato HTML che non tenta di nascondere che si tratta effettivamente di un file HTML. Questo è ora un semplice caso di utilizzo di HTML, in quanto è stato creato appositamente per offuscare e contenere un codice Javascript.
Inizia con una semplice stringa Base64 nella funzione ArrayBuffer, seguita dal URL codificato Base64 utilizzato per eseguire il passaggio successivo del attacco. La terza sezione viene utilizzata per generare un oggetto BLOB nella memoria del browser in base al URL e scaricarlo nella sessione del browser. Esistono sezioni di riempimento del file che non contribuiscono al processo.
Usando Cloudflare, gli attori del trattamento stanno aggiungendo un livello di sicurezza in cui gli strumenti di analisi automatizzata o i sandbox riceverebbero la pagina della sfida, piuttosto che il carico utile effettivo di Astaroth. La geolocalizzazione IP Cloudflare aggiunge u intestazione denominata "CF-IPCountry" a tutte le richieste che escono da macchine infette sul server host. Un visitatore degli IP brasiliani è in grado di vedere effettivo payload del secondo passaggio. Per generare il secondo passaggio del attacco, viene analizzato il JSON del URL, quindi convertito da Base64 a buffer di array, scritto nel archivio BLOB del browser, rinominato in modo che corrisponda al file HTML. Fatto ciò, viene creato un collegamento e fatto clic automaticamente per il download nel browser della macchina infetta.
Seconda fase
Questo passaggio inizia con un file zip creato in base ai dati del URL. Il metodo di creazione presenta alcuni vantaggi rispetto al solito metodo di download di un file zip. attore della minaccia può creare file diversi per ciascun target diverso e può servirlo attraverso un singolo waypoint. Il traffico di rete potrebbe finire per bloccare gli oggetti dei file di download, ma JSON è una parte naturale del Web, quindi non verrà bloccato. Alcuni vendor di sicurezza potrebbero finire per identificare oggetto file sulla rete e inviarlo per analisi. Ciò finirebbe per esporre operazione abbastanza rapidamente.
I lavoratori di Cloudflare vengono così chiamati derivando il nome da Web Workers, API per gli script eseguiti in background di un browser Web e intercettando le richieste HTTP. Cloudflare Workers consente agli utenti di eseguire JavaScript nei numerosi data center di Cloudflare in tutto il mondo. uso di un lavoratore consente di eseguire diverse operazioni.
Terza fase
Il file di script viene salvato nella directory temporanea con il nome Lqncxmm: vbvvjjh.js e viene eseguito con Windows Script Host (Wscript). attore delle minacce utilizza questa funzionalità di Cloudflare a proprio vantaggio, in quanto aggiunge un semplice generatore di numeri casuali e randomizza URL che scarica il payload del terzo passaggio. Nel terzo passaggio, sono disponibili dieci collegamenti a nodi di lavoro univoci e random usati per un numero casuale compreso tra 20.000 e 50.000, utilizzati due volte per ciascuno dei collegamenti. Un collegamento può contenere fino a 900 milioni di combinazioni.
Le ricerche di campioni di Astaroth utilizzando URLhaus hanno dimostrato che almeno un analista è stato in grado di prendere collegamenti e inviarli per analisi. Ogni volta che viene eseguito lo script, tuttavia, gli URL sono diversi. Sui sistemi che eseguono Windows a 32 bit, i collegamenti Cloudflare vengono saltati e Astaroth utilizza un repository Google privato con un collegamento statico.
Gli attori delle minacce che usano Astaroth sembrano fare la distanza in più per fare del loro meglio per evitare di essere scoperti e per rendere duro ai ricercatori e ai loro tentativi di analisi. Il loro uso di Cloudflare mostra che stanno cercando modi innovativi per generare URL di payload casuali e ricostruire le loro operazioni nel caso in cui il loro lavoro venga compromesso.