I ricercatori della società di sicurezza informatica Minerva Labs hanno scovato un nuovo malware altamente evasivo chiamato Beep, implementato per eludere l’analisi e il rilevamento dei tool di protezione e rilasciare payload di seconda fase sui target compromessi.
“Una volta che questo malware penetra con successo in un sistema, può facilmente scaricare e diffondere un’ampia gamma di strumenti dannosi aggiuntivi, incluso il ransomware, rendendolo estremamente pericoloso”, è il commento della ricercatrice di Minerva Labs Natalie Zargarov.
L’approfondimento tecnico sul caso avrebbe avuto inizio dopo la scoperta su VirusTotal (la nota piattaforma di scansione online per il rilevamento di contenuti malevoli) di numerosi campioni etichettati come “spreader” che avrebbero attirato l’attenzione degli analisti “perché sembravano rilasciare file, ma quei file non potevano essere recuperati da VT”.
Catena d’infezione (fonte: Minerva Labs).
Indice degli argomenti
La catena d’infezione del malware Beep
Secondo l’analisi, il malware Beep comprenderebbe tre componenti:
- un dropper (“big.dll”) deputato alla creazione di una nuova chiave di registro di Windows e all’esecuzione di uno script PowerShell con codifica Base64 avviato ogni 13 minuti utilizzando un’attività pianificata di Windows e che recupera un iniettore da un server remoto;
- un iniettore (“AphroniaHaimavati.dll”) che utilizza una gamma di tecniche anti-debug e anti-vm per inserire il payload in un processo di sistema legittimo (“WWAHost.exe”) tramite una tecnica chiamata process hollowing;
- un payload primario, un infostealer che tenta di esfiltrare informazioni di sistema, enumerare i processi in esecuzione e dialogare con un server C2 per inviare i dati raccolti in formato JSON e ricevere istruzioni per seguire file DLL, eseguibili, shellcode aggiuntivo e screenshot. Il malware crittografa l’intera stringa dei dati raccolti prima di inviarla al server C2.
Raccolta dati in formato JSON (fonte: Minerva Labs).
Come avviene l’elusione del rilevamento
Ciò che distingue il malware Beep sarebbe l’adozione di più metodi di elusione unici allo scopo di resistere all’analisi, evitare sandbox e ritardare la sua esecuzione. Interessanti le tecniche di evasione adottate ed evidenziate dai ricercatori sul rapporto:
- Dynamic string deobfuscation. Metodo utilizzato per nascondere le importazioni e copiare i byte esadecimali in memoria;
Deoffuscamento delle stringhe utilizzando l’istruzione add (fonte: Minerva Labs).
- Default Language check. Metodo utilizzato per controllare la lingua del sistema predefinita per escludere dall’attacco i paesi di lingua cirillica;
- Assembly implementation of the IsDebuggerPresent API function. Metodo utilizzato per verificare una eventuale esecuzione debug in modalità utente per il processo corrente;
- NtGlobalFlag field anti-debugging. Metodo usato per determinare se un debugger ha creato un processo;
- RDTSC instruction. Metodo usato per determinare quanti tick della CPU si sono verificati da quando il processore è stato ripristinato. Tale metodo può anche essere usato come tecnica anti-debug;
- Stack Segment Register. Metodo usato per rilevare se un programma viene tracciato;
- CPUID anti-vm: metodo usato per controllare se la stringa hypervisor contiene una parte della parola “VMware” e rilevare una virtual machine;
- VBOX registry key anti-vm. Metodo usato per verificare l’esistenza di chiavi di registro relative alla Virtual Machine.
- Beep API function anti-sandbox. Metodo usato (da cui deriva il nome del malware) per generare toni acustici sull’altoparlante e sospendere momentaneamente l’esecuzione del malware per eludere il rilevamento sandbox.
Come mitigare l’attacco
Anche se numerose siano ancora le funzionalità da implementare ciò non deve portare a sottovalutare la pericolosità di questo malware soprattutto per le sue particolari capacità stealth. Il fatto di essere ancora in fase di sviluppo anzi deve portare ragionevolmente a pensare che le future iterazioni possano non solo completarlo ma anche potenziarlo ulteriormente.
Basti pensare al potenziale impatto sulle aziende se un tale malware non venisse rilevato.
L’obiettivo sarebbe molto probabilmente quello di rubare informazioni sensibili, come credenziali di accesso e dati finanziari.
Per tutti questi motivi il nuovo malware furtivo Beep rappresenta, a tutti gli effetti, una minaccia concreta a cui prestare attenzione aumentando anche la consapevolezza dei rischi tra gli utenti.
Non è da escludere né una futura diffusione del malware tramite allegati e url di e-mail spam, né una sua distribuzione come servizio MaaS offerto ad altri attori malevoli per il rilascio dei loro payload.
L’impiego crescente, da parte degli attaccanti, di tecniche anti analisi e tattiche di evasione sempre più complesse da individuare e contrastare deve dunque far riflettere sulla necessità stringente di adottare anche sistemi di difesa multi livello e di rilevamento dinamici e proattivi in grado di fornire protezione per l’intero ambiente IT aziendale.
