- Um olhar para Fysbis: de Sofacy Linux Backdoor
- Publicado por: Bryan Lee e Rob Downs em 12 de fevereiro de 2016 15:00
Arquivado em: Malware, prevenção de ameaças, Unit 42
Tagged: Fysbis, Linux, Sofacy
Introdução
O grupo Sofacy, também conhecido como APT28 e Sednit, é um grupo de espionagem cibernética bastante conhecido acreditando-se ter laços com a Rússia. Os seus alvos têm percorrido todo o mundo, com foco no governo, organizações de defesa e de vários governos da Europa Oriental. Houve numerosos relatórios sobre as suas actividades, na medida em que uma entrada de Wikipedia sequer foi criado para eles.
A partir destes relatórios, sabemos que o grupo usa uma abundância de ferramentas e táticas, que variam em todo zero-day exploits visando aplicações comuns, como Java ou Microsoft Office, uso pesado de ataques-spear phishing, comprometendo sites legítimos para realizar ataques-crack-floodings e para mais de uma variedade de sistemas operacionais – Windows, OSX, Linux, até mesmo iOS móveis.
O Linux malwares Fysbis é uma ferramenta preferida de Sofacy, e embora não seja particularmente sofisticado, segurança Linux, em geral, ainda é uma área de maturação, especialmente no que diz respeito ao malware. Em suma, é inteiramente plausível que esta ferramenta tem contribuído para o sucesso de ataques associados por este grupo. Este post incide especificamente sobre esta ferramenta Linux preferida por Sofacy e descreve as considerações e implicações quando se trata de malwares Linux.
Avaliação Malware
Fysbis é um Linux trojan / backdoor modular que implementa módulos de plug-in e controlador como classes distintas. Para referência, alguns fornecedores categorizar este malware sob a designação de nomes grupo atacante Sednit. Este malware inclui ambas as versões de 32 bits e de 64 bits do executável e formatar Linking binários (FEB). Além disso, Fysbis podem instalar-se a um sistema de vítima com ou sem privilégios de root. Isso aumenta as opções disponíveis para um adversário quando se trata de escolher contas para a instalação.
informações de resumo para os três binários analisados a seguir:
MD5 364ff454dcf00420cff13a57bcb78467
SHA-256 8bca0031f3b691421cb15f9c6e71ce19335
5d2d8cf2b190438b6962761d0c6bb
ssdeep 3072:n+1R4tREtGN4qyGCXdHPYK9l0H786
O26BmMAwyWMn/qwwiHNl:n+1R43QcIL
XdF0w6IBmMAwwCwwi
Size 141.2 KB (144560 bytes)
Type ELF 64-bit (stripped)
Install as root /bin/rsyncd
Root install desc synchronize and backup service
Install as non-root ~/.config/dbus-notifier/dbus-inotifier
Non-root install desc system service d-bus notifier
C2 azureon-line[.]com (TCP/80)
Usage Timeframe Late 2014
Table 1: Sample 1 – Late 2014 Sofacy 64-bit Fysbis
MD5 075b6695ab63f36af65f7ffd45cccd39
SHA-256 02c7cf55fd5c5809ce2dce56085ba43795f2
480423a4256537bfdfda0df85592
ssdeep 3072:9ZAxHANuat3WWFY9nqjwbuZf454U
NqRpROIDLHaSeWb3LGmPTrIW33HxIajF:
9ZAxHANJAvbuZf454UN+rv eQLZPTrV3Z
Size 175.9 KB (180148 bytes)
Type ELF 32-bit (stripped)
Install as root /bin/ksysdefd
Root install desc system kernel service defender
Install as non-root ~/.config/ksysdef/ksysdefd
Non-root install desc system kernel service defender
C2 198.105.125[.]74 (TCP/80)
Usage Timeframe Early 2015
Table 2: Sample 2 – Early 2015 Sofacy 32-bit Fysbis
MD5 e107c5c84ded6cd9391aede7f04d64c8
SHA-256 fd8b2ea9a2e8a67e4cb3904b49c789d57ed
9b1ce5bebfe54fe3d98214d6a0f61
ssdeep 6144:W/D5tpLWtr91gmaVy+mdckn6BCUd
c4mLc2B9:4D5Lqgkcj+
Size 314.4 KB (321902 bytes)
Type ELF 64-bit (not stripped)
Install as root /bin/ksysdefd
Root install desc system kernel service defender
Install as non-root ~/.config/ksysdef/ksysdefd
Non-root install desc system kernel service defender
C2 mozilla-plugins[.]com (TCP/80)
Usage Timeframe Late 2015
Table 3: Sample 3 – Late 2015 Sofacy 64-bit Fysbis
No geral, esses binários são avaliados em baixo nível, mas eficaz. Eles resumem a realidade relutante que atores Advanced Persistent Threat (APT), muitas vezes não necessitam de meios avançados de afectar os seus objectivos. Em vez disso, esses atores mais frequentemente do que não mantenha seu malware avançado e exploits de dia zero na reserva e empregar recursos apenas o suficiente para satisfazer as suas metas. É justo que os defensores usem todos os atalhos ou truques à sua disposição para reduzir a quantidade de tempo que leva para avaliar ameaças. Em outras palavras, os defensores devem sempre procurar maneiras de trabalhar mais de forma mais esperta antes de terem de trabalhar mais.
Obtendo o máximo de STRINGS
strings binárias sozinho revelou uma boa quantidade sobre esses arquivos, aumentando a eficácia de actividades, tais como categorização estática análise (por exemplo, Yara). Um exemplo disto é Fysbis instalação e plataforma de informação de direccionamento para as amostras da Tabela 1 e Tabela 2.
Figura 1: instalação Sofacy Fysbis e plataforma de segmentação encontrado em strings
Neste caso, podemos ver o caminho de instalação binário e reconhecimento local para determinar qual tipo de Linux o malware está sendo executado. Isto é seguido por uma série de comandos de estilo de comando shell Linux relacionadas com o malware, que estabelece persistência.
Outro exemplo de informações facilmente obtidos a partir destas amostras é baseado capacidade.
Figura 2: Sofacy Fysbis capacidade relacionada fuga através de strings
A Figura 2 mostra strings de status / feedback interativo que podem dar um defensor um perfil inicial de capacidades. Além de contribuir para detecções de análise estática, isso pode ser útil como um ponto de partida para posterior priorização de resposta a incidentes e qualificação da ameaça.
Informações simbólica pode encurtar Análise Tempo
Curiosamente, o binário ELF-64 bit mais recente foram analisadas (Tabela 3) não foi retirado antes do parto, que ofereceu contexto adicional sob a forma de informação simbólica. Defensores mais familiarizados com binários do Windows Portable Executable (PE) pode equiparar isso com compilação de uma versão de depuração versus uma versão Release. Para efeito de comparação, se fôssemos para inspecionar Fysbis “RemoteShell” strings associados em uma das variantes despojado, nós só iria ver o seguinte:
Figura 3: Sofacy Fysbis despojado referências cadeia binária a capacidade RemoteShell
Comparar este com o que está disponível a partir da variante não-descascada:
Figura 4: Sofacy Fysbis não despojado strings referentes binários para capacidade RemoteShell
Pequenos presentes de análise estática como estes podem ajudar a acelerar a enumeração defensor das capacidades e – contribuir ainda mais para correlação e detecção através de amostras relacionadas – mais importante.
Além disso, esta última amostra demonstrou evolução menor da ameaça, principalmente em termos de ofuscação. Especificamente, as duas amostras da Tabela 1 e Tabela 2 vazou informações de instalação em claro dentro de cadeias binárias. Este não foi o caso com a amostra na Tabela 3. Tomar um olhar mais atento este binário não-despojado usando um desmontador, os seguintes corresponde a decodificar as informações de instalação de malware para uma conta de root-privilégio.
Figura 5: Assembly vista de código de amostra decodificação 3 de instalação
Neste caso, a informação simbólica aponta para o método utilizado para a descodificação, com referências a máscara, caminho, nome e matrizes Informação bytes.
Figura 6: Vista Assembly da amostra 3 de raiz de instalação relacionados com matrizes de bytes
Como se constata, a máscara byte referenciada é aplicada aos outros matrizes de bytes usando um algoritmo double-XOR rolando para construir caminhos de malware instalação, nomes e descrições para uma conta de raiz do Linux. existem correspondentes matrizes INSTALLUSER byte, que facilitam a instalação não-raiz para o trojan. O mesmo método de máscara também é usado pelo binário para decodificar informações C2 configuração de malware, ainda apresentando como um pouco de informação simbólica pode percorrer um longo caminho no sentido de completude e maior confiança na avaliação de uma amostra de malware.
Se você gostaria de saber mais sobre como funciona Fysbis, as amostras analisadas permanecer bastante consistente com a análise da amostra encontrada aqui.
Análise de Infra-estrutura
Como Unidade 42 foi discutido em profundidade em outros artigos do blog, temos observado que os adversários em geral são aparentemente hesitante em mudar sua infra-estrutura. Isto pode ser devido a não querer comprometer recursos adicionais, ou simplesmente uma questão de manter a familiaridade por uma questão de oportunidade. Em ambos os casos, vemos o mesmo tipo de comportamento aqui com as amostras Fysbis em uso por Sofacy.
A mais antiga amostra (Tabela 1), foi encontrado para farol para o [.] Com, domain-line azureon que já havia sido amplamente divulgado como um domínio de comando e de controlo conhecido para o grupo Sofacy. Usando DNS passiva, podemos ver que dois dos IPs originais neste domínio resolveram, 193.169.244 [.] 190 e 111.90.148 [.] 148 também mapeado para uma série de outros domínios que tinha sido usado pelo grupo Sofacy durante esse período de tempo.
Figura 7: Amostra 1 C2 resoluções
A primeira das amostras mais recentes (Tabela 2), continua a tendência e beacons para um IP também é amplamente associado com o grupo Sofacy, 198.105.125 [.] 74. Este IP tem sido quase sempre associada à ferramenta especificamente conhecido como CHOPSTICK, que pode ser lido por aqui.
Figura 8: Amostra 2 C2 resoluções
A mais nova amostra (Tabela 3), introduz um comando e controle beacon anteriormente desconhecido para mozilla-plugins [.] Com. Esta atividade se alinha com o grupo tática Sofacy previamente observado de integrar referências legítimos da empresa em sua convenção de nomeação infra-estrutura. Nem este novo domínio nem o PI resolve ter sido observado no passado, o que indica que a amostra na Tabela 3 pode ser associada com uma campanha mais recente. Comparando esta binário de amostra com os outros dois no entanto, mostra que existem semelhanças significativas no nível do código bem como em termos de comportamento partilhada.
Figura 9: 3 Amostra C2 resoluções
Conclusão
Linux é usado em ambientes corporativos e domésticos e aparece em uma variedade de fatores de forma. É uma plataforma preferida dentro de data centers ea nuvem para empresas, bem como um favorito em curso quando se trata de a maioria dos servidores web e de aplicações voltados para a Internet. Linux também é a base de dispositivos Android e uma série de outros sistemas embarcados. A proposta de valor do Linux – especialmente quando se trata de seu uso na empresa – podem ser divididos em três benefícios percebidos: menor custo total de propriedade (TCO), segurança e conjunto de recursos. Embora os números e comparação só pode contribuir para a medição do TCO e conjunto de recursos, a segurança exige mais qualificação. Expertise na plataforma Linux é muito procurada em todos os setores para várias disciplinas, desde a administração do sistema para grandes análises de dados para resposta a incidentes.
A maioria das empresas ainda manter ambientes de usuário do Windows-pesados em que certos componentes de infra-estrutura do núcleo também operam sob servidores Windows (por exemplo, Active Directory, SharePoint, etc.). Isto significa que, a partir de uma perspectiva prática, a maioria de foco de uma empresa permanece no apoio e proteção de ativos do Windows. Linux continua a ser um mistério para uma série de especialistas em TI da empresa -mais criticamente para os defensores de rede. Identificar e qualificar os incidentes potenciais requer uma familiaridade com o que constitui o funcionamento normal, a fim de isolar anomalias. O mesmo é verdadeiro para qualquer outro ativo em um ambiente, o funcionamento normal é totalmente dependente do papel / função de um determinado ativo na empresa.
Falta de experiência e visibilidade para plataformas não-Windows combinam em alguns ambientes de apresentar riscos significativos contra a postura de segurança de uma organização. Como precaução recente, a vulnerabilidade Linux descrito em CVE-2016-0728 demonstra ainda mais a amplitude potencial do mundo real os riscos para plataformas associadas. Uma extensão natural desta exposição é aumentada a segmentação por ambos os atacantes dedicados e oportunistas em várias motivações ator maliciosos. Apesar da crença persistente (e falsa sensação de segurança) que o Linux inerentemente produz graus mais elevados de proteção contra agentes maliciosos, Linux malware e vulnerabilidades existem e estão em uso por adversários avançados. Para mitigar os riscos associados requer integração sob medida das pessoas, processos e tecnologia para apoiar a prevenção, monitoramento e detecção de dentro de um ambiente.
Linux detecção e prevenção de malware não é predominante neste momento, mas os clientes Palo Alto Networks, estão protegidos através de nossa plataforma de segurança de próxima geração:
IPS assinatura 14917 implantado para identificar e prevenir atividades de comando e controle
Os domínios C2 e arquivos mencionados neste relatório são bloqueados em nosso produto de prevenção de ameaças.
Type Value
MD5 364ff454dcf00420cff13a57bcb78467
SHA256 8bca0031f3b691421cb15f9c6e71ce193
355d2d8cf2b190438b6962761d0c6bb
ssdeep 3072:n+1R4tREtGN4qyGCXdHPYK9l
0H786O26BmMAwyWMn/qwwiHNl:n
+1R43QcILXdF0w6IBmMAwwCwwi
MD5 075b6695ab63f36af65f7ffd45cccd39
SHA-256 02c7cf55fd5c5809ce2dce56085ba437
95f2480423a4256537bfdfda0df85592
ssdeep 3072:9ZAxHANuat3WWFY9nqjwbuZf
454UNqRpROIDLHaSeWb3LGmPTrI
W33HxIajF:9ZAxHANJAvbuZf454UN
+rv eQLZPTrV3Z
MD5 e107c5c84ded6cd9391aede7f04d64c8
SHA-256 fd8b2ea9a2e8a67e4cb3904b49c789d
57ed9b1ce5bebfe54fe3d98214d6a0f61
ssdeep 6144:W/D5tpLWtr91gmaVy+mdckn6
BCUdc4mLc2B9:4D5Lqgkcj+
Path /bin/rsyncd
Path Desc synchronize and backup service
Path ~/.config/dbus-notifier/dbus-inotifier
Path Desc system service d-bus notifier
Path /bin/ksysdefd
Path ~/.config/ksysdef/ksysdefd
Path Desc system kernel service defender
C2 azureon-line[.]com
C2 198.105.125[.]74
C2 mozilla-plugins[.]com
C2 Mozillaplagins[.]com
Fonte: http://researchcenter.paloaltonetworks.com/2016/02/a-look-into-fysbis-sofacys-linux-backdoor/
