CARBANAK Infección silenciosa en busca de apropiarse de tus fondos bancarios

Como sabemos, no todo ataque termina rápidamente, algunos códigos maliciosos se quedan latentes en el sistema, sin dar problemas en apariencia, pero esto no los hace menos peligrosos, las puertas traseras suelen comportarse así, y estar robando información poco a poco para después utilizarla.

CARBANAK es una de las puertas traseras que se ha mantenido en evolución constante Click To Tweet

Su análisis resulta interesante por las grandes capacidades que tiene para robar información haciendo uso de todo un coctel de recursos. No solo puede realizar capturas de video del escritorio, realizar transferencias de archivos, destruir sistemas operativos. CARBANAK sigue siendo un arma poderosa y continúa siendo empleada por los criminales, está vigente y mas vale estar prevenidos contra el.

 

TIMELINE

CARBERP es el antecesor directo de Carbanak o también conocido como Anunak ( así le denominan sus autores ) , éste consistía en una puerta trasera capaz de realizar actividades de exfiltración de datos, permitía el acceso remoto a máquinas infectadas y una vez instalada, podía ayudar a los atacantes para conocer la red de las víctimas.
Para la realización de Carbanak, se utilizó código de CARBERP, aunque actualmente en las muestras analizadas ya no queda rastro de él.

CARBANAK fue descubierto en 2013, atacando a varias instituciones financieras con estrategias similares. En un principio se le confundió con Carberp, pero los análisis, lograron diferenciarlo, y se determinó que el malware había permanecido oculto en los sistemas durante cerca de 4 meses, en este tiempo, el malware había estado enviando información hacia los criminales, los cuales se habían dedicado a analizar los videos y demás datos que eran enviados al servidor de compromiso para comprender los protocolos y la forma de operación diaria de sus objetivos, para finalmente interceptar las cuentas y fondos que habían quedado al descubierto.

En Diciembre del 2014 le fueron atribuidos ataques contra Bancos del Este de Europa y fueron los analistas de Kaspersky que le llamaron con este nombre en uno de sus reportes.

Las primeras infecciones que se conocen atribuidas a CARBANAK, comenzaron como hasta el momento, a realizadas a través de campañas de correo electrónico, en la mayoría de los casos desde cuentas de correo de empleados compañeros de trabajo en la misma empresa, en los mensajes se incluían datos de tipo bancario como avisos sobre depósitos o confirmaciones de transferencias bancarias con archivos adjuntos.

Estos archivos adjuntos contenían la carga que explotaba varias vulnerabilidades relacionadas con office y Word que se mencionan a continuación:

CVE-2014- 1761
CVE-2012-0158
CVE-2013-3906

Una vez que lograba explotarse la vulnerabilidad, CARBANAK era instalado como puerta trasera.

Con el paso del tiempo CARBANAK ha cambiado principalmente en sus protocolos de comunicación con los servidores de compromiso.

Por otra parte se le ha visto ser compilado varias veces con un comportamiento que ha dado pie a algunas teorías.

A finales de Abril del 2017, se le vió afectando a hospitales con una ingeniería social que incluía la llamada telefónica por parte de los atacantes para insistir en la apertura del archivo adjunto en el correo enviado.

Finalmente, en recientes infecciones se ha visto una variante desarrollada para 64 bits así como también infecciones que están configuradas para estar inactivas hasta que cierta fecha se cumpla.

 

DESCRIPCIÓN GENERAL

NOMBRE: CARBANAK o ANUNAK
CLASIFICACÍON: Troyano
MÉTODO DE DISTRIBUCIÓN: Phishing
GRADO DE PELIGROSIDAD: Alto

 

ANÁLISIS

En análisis sobre versiones más actuales de CARBANAK realizadas por los expertos de FireEye, pueden resaltarse comportamientos como los siguientes:

El proceso de infección comienza con una copia de Carbanak en “% system32% \ com” con el nombre de SVCHOST.EXE esta copia tiene características de solo lectura, oculto y de como archivo del sistema. Posterior a esto, el archivo original se elimina.

CREANDO SERVICIO
Una vez que ha sido eliminado el archivo original, se crea un servicio nuevo con las siguientes características:

” Sys” en donde ServiceName es un servicio real que existe y es elegido al azar, una vez que se elige el servicio, se elimina el primer carácter de su nombre y el resultado es el que se coloca como ServiceName.
Esta rutina tiene como función garantizar que la puerta trasera tenga privilegios de autorun.

SE ALMACENAN LOS COMANDOS

A continuación Carbanak da origen a un nuevo archivo cuyo nombre es la composición de un nombre aleatorio y una extensión .bin y en el análisis, lo almacena en:
% COMMON_APPDATA% \ Mozilla

En este archivo binario se almacenan los comandos que son ejecutados por CARBANAK cuando se inicia. También son ejecutados cuando se emiten mandatos loadconfig. Algunos de los comandos forman parte de la persistencia a reinicios del sistema.

En total, se registraron 34 comandos que componen esta puerta trasera y puede recibirlos también desde el servidor de compromiso para ser controlado remotamente con ellos y solicitan a la víctima realizar diversas acciones como grabar video el escritorio, comenzar proxy http, reiniciar sistema operativo, descargar ejecutable e inyectarlo en un nuevo proceso, etc.

A continuación se muestran algunos de estos comandos y su interpretación.

0x007CFABF Desktop video recording

0x06E533C4 Downloads executable and injects into new process

0x00684509 Ammyy Admin tool

0x07C6A8A5 Updates self

 

COMUNICACIÓN CON EL SERVIDOR

Se ha detectado que CARBANAK puede comunicarse con su servidor de compromiso mediante dos protocolos, ya sea por medio de un Pseudo-HTTP o bien por medio de un protocolo de tipo binario.

Protocolo Pseudo-HTTP Protocol

Para el caso de este tipo de protocolo, los mensajes se encuentran delimitados por medio del carácter ‘|’. El mensaje comienza con el ID del Host y está compuesto por una concatenación del valor HASH generado por el nombre de host del equipo y la dirección MAC. Esta cadena se deja en el medio de dos campos adicionales generados de manera aleatoria de caracteres tanto en mayúsculas como minúsculas.

Posteriormente se hace un encriptado por medio del uso de la implementación de Microsoft de RC2 en modo CBC con relleno PKCS#5. El mensaje que ha sido encriptado entonces se codifica en Base64 reemplazando los caracteres ‘/’ y ‘+’ por ‘.’ Y ‘-’.
El vector de inicialización de 8 bytes (IV) es una cadena generada de manera aleatoria que está formada también por caracteres alfabéticos en mayúsculas y minúsculas.

Ahora, la carga útil codificada es modificada para que parezca un URI y el malware le agrega una extensión de script que puede ser php, bml o cgi y le agrega un número al azar de parámetros o una extensión de archivo gif, jpg, png, htm, html, php.

Este aparente URI se utiliza entonces en una solicitud GET o POST.

El protocolo pseudo-HTTP hace uso de todos los proxies que haya descubierto por el hilo de supervisión de proxy HTTP o que han sido agregados por el comando adminka. La puerta trasera también busca configuraciones de proxy para usar en el registro en Configuración de HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Internet

y en la muestra utilizada, hace esto para cada perfil en el archivo de configuración de Mozilla Firefox en% AppData% \ Mozilla \ Firefox \ \ prefs. Js

Protocolo Binario

Cuando se ejecuta la comunicación mediante protocolo binario se hace bajo diferentes versiones que tienen relación directa con la versión de CARBANAK anterior utilizada. Algunas constantes son: Si el mensaje resulta ser mayor de 150 Bytes, se comprime con un algoritmo que no se ha identificado aún. Si el mensaje de mayor que 4096 bytes, entonces este es fragmentado en trozos que son comprimidos.

A continuación se muestra de la gran cantidad de información que genera el malware y retransmite al C&C solo con relación a las características del ordenador de la víctima.

CUID: sn = 907316415
Encoded sn = OTA3MzE2NDE1
id_b = 1-1-OTA3MzE2NDE1
CompInfo():outData =
OS Name: Microsoft Windows 10 Pro|C:\WINDOWS|\Device\Harddisk1\Partition1
Version: 10.0.14393
Service Pack: 0.0
OS Manufacturer: Microsoft Corporation
Windows Directory: C:\WINDOWS
Locale: 0409
Available Physical Memory: 30120564
Total Virtual Memory: 38472844
Available Virtual Memory: 34617616
OS Name: 4980736
System Name: JLA-FORENSICS
System Manufacturer: Dell Inc.
System Model: Precision M4800
Time Zone: -300
Total Physical Memory: 34295918592
Processor System Type: 9
Processor: Intel64 Family 6 Model 60 Stepping 3
BIOS Version: DELL – 1072009
Perform : 64-bit
%UsrNmCmpNmDomNm%
Networking information
Computer name : JLA-FORENSICS
Domain : jla-forensics
User name : jantonakos

ANALIZANDO CONSTANTES

En las muchas muestras que han sido analizadas de CARBANAK, algunas constantes son que normalmente esta puerta trasera se encuentra como carga útil empaquetada en otro ejecutable, o en un documento armado. Y su muestra real se obtiene en memoria durante la ejecución.

Otro comportamiento interesante es la teoría de que existe una herramienta que genera la estructura de CARBANAK, ya que en todas las muestras analizadas, se observa que la clave RC2 que ha sido utilizada para el protocolo HTTP varía incluso con el mismo tiempo de compilación. Y la clave y los textos cifrados para todas las cadenas codificadas se cambian para cada muestra.

Por otra parte, se han encontrado muestras cuya diferencia de compilación es de pocas horas, lo que da la idea de que este malware se compila dependiendo de las necesidades específicas del operador para adaptarse a los objetivos.

Código de campaña
Fecha de compilación
julyc
7/2/16
ndjun
6/7/16
may
5/19/15
jun
5/9/15
Aug
7/30/15
june
5/25/14
june
6/7/14
junevnc
6/20/14
juspam
7/13/14
juupd
7/13/14
may
5/20/14
SeP
9/12/14
spamaug
8/1/14
spaug
8/1/14
dec
12/8/14

Movimientos laterales

Este malware en versiones resientes, ignora la autenticación en el sistema remoto, en su lugar utiliza comandos SMB como TreeConnect, Open, Write y AndX con el fin de localizar un host vulnerable, luego confirma si tiene la capacidad de escribir datos en la carpeta C: \ Windows \ Temp. En el caso de poder escribir, deja un pequeño archivo de proceso por lotes y lo ejecuta remotamente a través de otro comando SMB (DCERPC).

 

CARBANAK Y SU VÍNCULO CON FIN7

Se cree que el grupo delictivo denominado como FIN7 a quien se le adjudican varios ataques contra restaurantes y hoteles de Estados unidos a mediados del 2015 ha utilizado CARBANAK como una herramienta posterior a la infección para mantener el acceso y supervisar las actividades de los usuarios. Esto no resulta difícil, y al parecer, se trata de una colaboración entre grupos criminales ya que aunque la han utilizado, no siempre ha formado parte del las infecciones atribuidas al grupo FIN7.

 

CONCLUSIÓN

Toda puerta trasera representa un potencial peligro, nunca están demás extremar cuidados para evitar contagiarse.
Debido a que se trata de una infección sin muchos síntomas, que puede estar silenciosa en el ordenador, conviene realizar las siguientes medidas en función de garantizar la seguridad.

· Como punto prioritario conviene evitar las transacciones bancarias en línea siempre que se tenga la duda de estar infectado por un malware.
· Como parte de la rutina frecuente de seguridad, se recomienda incluir los escaneos en busca de programas maliciosos y revisar constantemente el comportamiento de nuestro equipo.
· Mantener el equipo actualizado en parches y actuar con cierto grado de desconfianza ante cualquier correo electrónico que resulte “raro”.
· Por último, las campañas de ingeniería social que los criminales utilizan para engañar a los usuarios siempre tendrán algo de cierto y algo de incoherente, esa parte incoherente debe ser un foco rojo para evitar abrir ningún archivo.

 

INDICADORES DE COMPROMISO

FilePath
%HOMEPATH%\Intel
%HOMEPATH%\Intel\{BFF4219E-C7D1-2880-AE58-9C9CD9701C90}

MD5
06416233fe5ec4c5933122e4ab248af1
099af53f601532dbd31e0ea99ffdeb64
3ac340832f29c11538fbe2d6f75e8bcc
3c12b6a6ebfffda75e4707067072c9cf
6844acdce7e192c21c184914d73ab6be
9ffb800e76372160cbb02415dccd7dec
abab101e4e25a989d2943c30447dd216
98e83379d45538379c2ac4e47c3be81d
e3b523c3cf36e1e0f64fec6ac6ac3ff7
d5fbfd2d1d71405a755c73e1cac5df23
cbd22ed4f5cd88afcfeae0cfc80ed482
c7b224d95fc96094afd2678cae753dcb
caf9b6b99962bf5c2264824231d7a40c
b3720bcc7c681c1356f77ba9761fc022

IPv4
148.251.18.75
179.43.133.34
192.99.14.211
198.100.119.6
92.215.45.94
95.215.45.94
95.215.46.221
5.45.179.173
5.149.251.167
81.17.28.124
95.215.46.229
95.215.46.234
95.215.46.249
95.215.47.105

SHA1
3d00602c98776e2ea5d64a78fc622c4ff08708e3
83d0964f06e5f53d882f759e4933a6511730e07b
8d7c90a699b4055e9c7db4571588c765c1cf2358
a91416185d2565ce991fc2c0dd9591c71fd1f627
cf5b30e6ada0d6ee7449d6bde9986a35df6f2986

HOSTNAME
aaa.stage.14919005.www1.proslr3.com
aaa.stage.3553299.s1.rescsovwe.com

FilePath
C:\ProgramData\Dropebox*

CVE
CVE-2013-3660

DOMINIO
drawing.graphics

 

Referencias

Carbanak continues to evolve quietly creeping into remote hosts

Behind the carbanak backdoor

Share with your friends










Submit
Tags: