Técnicas de post-explotación usadas por threat actors en la nube

vamos a presentar un poco sobre unas herramientas que con las que me encontré en un incidente hace un tiempo las cuales pues me llamaron muchísimo la atención el incidente como tal pues se atendió relativamente rápido pero yo la gente que me conoce sabe que me clavo mucho con estas cosas entonces me puse a hacer un análisis muy completo Bueno ahí más o menos digamos ya dirán ustedes cuando terminemos De qué se pudo de estas herramientas y las técnicas que usan Esta es una plática que está muy enfocada o sea en un 100% a Linux eh va mucho por ese lado e Y bueno pues vamos a vamos a darle eh Qué guapo gracias este pues me presento eh

aquí ya hay mucha gente que me conoce mucha gente que no me llamo Jorge gibs y eh soy un analista de soc trabajo actualmente en solera y Eh pues mi día a día es estar atendiendo eh incidentes de ciberseguridad hacer un análisis da recomendaciones eh Hay días que llegan a ser muy tranquilos hay otros que no tanto hay días pesados eh Y bueno pues me gusta mucho el thre hunting tengo un interés por el eh análisis de malware todavía pues estoy empezando a aprender voy por ese camino pero este pues ahí vamos y un dato curioso también hace un par de semanas me aplicaron un r mientras analizaba un correo de fishing lo cual pues estuvo

chistoso y me dio bastante risa Gracias bueno igual Mi nombre es IV Sánchez yo soy consultor de Security consult en bisho Fox eh Ya llevo ahí un par de añitos y bueno mi día d es básicamente ofensivo eh Yo no analizo eh sin embargo Pues bueno gibs y yo eh compartimos eh mucha historia nos enamoramos un día entonces queríamos sentir de nuevo la la adrenalina de presentar juntos y me invitó a esta plática no e en Sí pues bueno mi día a día no es analizarlo todo lo que él sí hace pero básicamente él analiza las cosas que pues la gente como yo hace tal vez de manera mal intencionada en redes corporativas Pero bueno me sorprende que

esté aquí con todo el desmadre de cl strike yo yo pensé que se lo iban a llevar pero qué bueno que te dejaron H hubo chance este bueno Y también yo estoy muy contento de que de tener también aquí el apoyo de iá porque él al ser alguien que se dedica 100% al lado ofensivo brinda también observaciones pues muy valiosas de este tipo de campañas e vamos a empezar un poquito muy rápidamente con el panorama en la nube el panorama que tenemos de las amenazas cuando estaba buscando reportes que pues hablaran de esto encontré una base de conocimiento que hicieron los de Wi eh que es una base muy much chida para tener esta referencia de cuáles son

las tendencias en las tecnologías que se están atacando en en la nube eh tiene es una compilación de varios reportes de seguridad en donde Eh pues se ven varias vulnerabilidades que están atacando por distintos grupos varias tecnologías e hay hay realmente pues una base muy valiosa en eso y Y bueno pues nosotros vamos a ver que en el top de tecnologías que son atacadas en la nube pues está está doger está confluen server í hay una tendencia pues muy fuerte también por estar atacando productos de Atlas por parte de los reactors También tenemos redis y nodos de trabajo de kubernetes más también bueno por útimo Tenemos también a pad e es una base bastante sólida Si les gusta la

seguridad de la nube o la respuesta incidentes pues es algo que también Les recomiendo está bastante chida esta base de de conocimiento y vamos a ver también en el caso Deer que es el que teníamos hasta arriba de la lista vemos varios reportes de a distintos reactors que estuvieron atacando esta tecnología pueden ver ahí en una lista realmente creo que probablemente hay muchísimos más reportes de este tema eh pero pues aquí vemos algunas campañas de crypto Mining que es un poquito de lo que va esa plática bueno eh en la parte de crypto hijacking no sé si ya estén un poco familiarizados pero básicamente a grandes rasgos es una categoría de malware la cual su objetivo es

aprovechar alguna vulnerabilidad con el fin de tomar prestado el poder de cómputo de de donde explotaran dicha vulnerabilidad con el fin de poder estar básicamente minando no eh Para eso necesitan el poder de cómputo para estar minando Y pues bueno una vez que pues logran elinar alguna criptomoneda eventualmente se envía a una a una wallet no que pues evidentemente es de todas las personas o la entidad o el individuo que orqu estó dicha campaña no eh aquí gbs lo que con lo que se encontró en solera fue un incidente muy en particular sin embargo cuando va pasos más hacia atrás empieza a ver que incluso entre entre tractors empiezan a heredar como como los legados no

entonces eh empieza a investigar Pero se da cuenta que si voltea hacia atrás tiene ya muchas investigaciones no a Ese tractor en particular pero Eh sí a a un tractor que ya no estaba activo sin embargo por alguna o bueno por razones que ahorita les vamos a platicar eh toman eh muchos de los códigos eh la mayoría o casi en su totalidad es con scrips en bash eh Para poder modificarlos adaptarlos a las necesidades de este no redactor y pues bueno seguir explotando vulnerabilidades este on the W Aquí vemos un poquito sobre el impacto que tienen este tipo de de actividades de comoo no es e no es malo que exp información eh Y podría parecer

relativamente benigno pero pues sí tiene un impacto principalmente costos de procesamiento de la nube y también de Eh pues incluso los recursos como tal de la infraestructura que ellos secuestran para hacer estas actividades lo cual pues puede afectar la disponibilidad de algunos pues algunos servicios Eh bueno este es justamente El tractor que que les estaba comentando Team TNT es un grupo con motivación financiera meramente básicamente iban allá afuera vulnerabilidades y pues con una una infraestructura que ya tenían implantab todos estos scripts muchos de ellos para autopropagada eh Pero el punto o donde culminaba era justamente empezar este la la minería de de para sacar criptomonedas y pues tener este beneficio financiero frente no atacaban específicamente infraestructuras en la

nube como kubernetes que pues al día de hoy sigue siendo sumamente popular el computo en la nube y pues bueno Ese es como el ambiente donde ellos se se se desarrollaron y pues bueno sus ttps son bastante bastante interesantes y sofisticadas y van enfocadas a ambientes donde esté corriendo Linux por si alguien decía o dice que Linux no tiene virus pues teóricamente no es un virus es un programa que hace algo bueno para alguien pero no para ti un eismo muy maquiavélico el el asunto de hecho este bueno eh mientras estábamos revisando los slides eh este twee que me mostró gips me pareció bastante eh peculiar porque son o fueron una comunidad que fue muy activa o sea eh

analizando un poquito más toda la infraestructura que tienen creo que tenían mucho mejor debs que muchas empresas eh al día de hoy eh er eran sumamente organizados y eran muy activos en la comunidad eh algo que que platicamos es de que si tú tenías o estabas haciendo justamente investigación aquí le contestaron a tren micro eh que Pues básicamente si el internet tenía tenía permisos de estar publicando eso porque su investigación era para nada acertada a lo que realmente ellos estaban haciendo con con su código no y había gente que se acercaba a preguntarles piezas de código o o estaban intentando entender y ellos mismos te ayudaban no entonces realmente son muy user friendly o fueron user

friendly estos compas más que muchas empresas y su organización era muy sofisticada para pues comparando con organizaciones legales algo curioso sobre este este grupo es que tenían mucha actividad en Twitter aquí pueden ver cóm se estaban pues estaban echando carrilla TR micro por un análisis que publicaron sobre su su malware Ellos tenían esa tendencia por eh tener bastante comunicación también con investigadores de seguridad gente que estaba Eh pues haciendo investigación sobre sus ttp y ellos incluso acercaban a explicar o aclarar dudas que ellos tuvieran cuando estaban haciendo el análisis eh su cuenta de Twitter sigue ahí si quieren charl Pues también vean muchos de esos de sus tweets están en alemán e porque ellos son ellos Este es

un grupo que radica de allá pero pues eh se pueden seguir checando buo Alo rapidísimo tal vez para los que no son no están muy familiarizados con el término ttp el significado es tácticas técnicas y procedimientos es una manera de contar el nombre de las cosas que hace un un tractor eh toda esta documentación eh está siendo recopilada está siendo organizada eh principalmente por entidades como mitre en la en la matriz Attack eh ahí pueden Bueno ese lenguaje esa taxonomía es muy de de de ese tipo de documentaciones Entonces si ustedes buscan ttps este eh tal redactor les va a salir Cómo fueron interpretando cada uno de sus este de sus técnicas a la hora de generar Pues básicamente un

incidente no esoes Rápido como acotación e y pues bueno eh A mediados del 20 reportaron una campaña que involucraba justamente un un un War malware que se

autopropagacion

varias entidades empezaron a a voltear a verlos y a documentar sus ttps eh Aquí vamos a ver lo que observaron las primeras organizaciones en detectar esta campaña que fue la propagación de este docker Aquí vemos un snip de el código que pues se obtuvo en los primeros las primeras detecciones est lo que hecho Security en uno de suss y aquí vemos como básicamente Pues el mal ha todo un escaneo Pues de internet utilizando más scam De hecho aquí en el no se alcanza a ver pero se le están pasando dos argumentos en el con el número un y el número dos estos son los cuertos 2375 y 2376 y lo que estaban haciendo era Buscar appis de docker

expuestas a internet para pues poder explotarlas aquí generaban ellos un archivo Jon o una lista al final del Comando en la línea cu a la se y después utilizaron este ciclo para empezar a empezar a tratar de explotar estas apis de expuestas lo que hacían era básicamente montar un contenedor pues legítimo que es alpine pero lo montaban en el directorio Root de el contenedor que estaba expuesto de ahí ellos empezaban a ejecutar comandos y lo que hacían Pues en casi todas las instancias pues era generar más bien poner sus pays en en el contenedor y también empezaban a moverle al CR para poder generar persistencia en los servidores aquí es lo que comentábamos sobre aws en

particular al estarse ejecutando en ambientes de nube básicamente pues hacía un chequeo muy rápido No si encontraba el archivo aws credentials para quienes ocupen aws con regularidad pues este archivo contiene las credenciales en el mejor de los casos en un incidente credenciales de corto plazo es decir tienen un token que expira después de determinado tiempo en el peor de los casos el mejor para ellos es de que sean credenciales de de longterm credentials esto quiere decir que es un usuario de e y pues esa credencial no expira Entonces si alguien la la la toma puede agarrar importarlas a su propio archivo de credenciales a del entorno o lo que sea y poder llamar a a a las los recursos de

awc con los permisos que tenga adherido e dicho usuario no entonces aquí pues hacía rápidamente checaba si si en rot eh en diagonal rot encontrar dicho archivo si sí eh pues lo que hacía era eh eh mandarlo por un este concur lo mandaba el empo que tenemos en la en la derecha y de hecho pues el pad dice Thanks for your Keys no seguramente ese php pues recibía este argumento y lo que yo me imagino que hacían es de que ya muy bonito lo ordenaban en en en un documento y ahí tenían todas las credenciales eh Y el mismo procedimiento Lo repetían eh fuera del del del usuario root ya en cualquier otro usuario si

encontraban dicho archivo lo mismo lo mandaba por cool a los SS eh aquí podemos ver un snip de código pues del mismo eh de este mismo malware eh Y aquí vemos código que ya había sido utilizado antes por ot ther que se llama kinsing e Esto es algo interesante de cómo se comportan los redactor porque tienden a reutilizar cosas de otros entre ellos mismos pues tienden a copiar y modificar código eh Y el código de kinsing estaba más enfocado en Desactivar eh herramientas de monitoreo y de seguridad en servidores Perdón en proveedores de servicios en la nube en China como alion y tenset aquí eh podemos ver también otra técnica que ellos estuvieron utilizando que era instalar eh wscope con ella con

con wscope lo que hacían era comprometer un nodo de un eh un cler de kubernetes y wscope básicamente es como es una herramienta de monitoreo de red Entonces al instalar esto Esta herramienta ellos en un noo podían tener acceso realmente a todo el noo podían tener acceso a información como tal del del clúster de kubernetes y podían también ejecutar código sobre ellos después ellos hicieron esto algo muy curioso con do comprometieron cuentas que ya existían y también levantaron cuentas ellos mismos eh que tenían imágenes de docker de alpine y una vez ellos los descargaban eh Perdón ellos los tenían en la plataforma de docker eh en algunas de sus campañas empezaban a descargar estas imágenes directamente desde docker hop y

una vez que se instalaban empezaban a ejecutar estos comandos que se alcanzan a ver que Pues básicamente lo que hacen es empezar a bajar todas las herramientas para infectar el el contenedor a eso nos referimos con que tenía mejor este pipeline de devs estos compas que muchas empresas actualmente no ellos no agarraban y ponían copiaban y pegaban y ya no tenían una metodología para poder propagar y eh replicar y dgar toda su infraestructura eh junto con las herramientas que utilizaban aquí se ve algo muy curioso sobre este tipo de grupos porque ellos básicamente cuando infectaban un contenedor empezaban a buscar si allí habían llegado otros grupos antes y los sacaban básicamente los corrían decían Órale Ya vámonos de

aquí y Eh Esto es como una tendencia entre grupos de crypto jacking conozco si hay otros otras campañas que hacan lo mismo pero es algo muy curioso como que ellos se ponían a buscar reportes de seguridad y y buscaban io se ponían a dec Ah este tipo usa eh No sé imagen m htp Okay no Pues los voy a correr no Vámonos y Eh sí se llegó observar esto también con kinsing que es otro grupo que pues se dedica a Pues a la misma actividad y de hecho hasta como que hay cierta rivalidad entre estos dos grupos bueno algo muy rápido antes de continuar iOS eh lo que mencionó gbs yox eh es básicamente los índices de compromiso eh

Qué quiere decir esto es información que se comparte entre researches una vez que se detecta el ttp eh Por ejemplo si descarga algún artifact de de algún empo en particular Esa esa acción la guardan entonces guardan elementos como A dónde de dónde lo descargó y cómo se llamaba el archivo con estos estos dos dos este cositas generamos un un índice de compromiso para que a la hora de la detección podamos Buscar estas dos este eh eh estas dos constantes en esa acción y poder decir Ah sí este y pertenece a este a este tractor y eh fue parte de esta ttp Entonces es más documentación para la parte de de detección eh Y pues bueno Eh Eh Eh con el paso del tiempo

dejaron de de de ser este relevantes se retiraron pero eh es aquí donde viene la parte que les comentamos al inicio no eh heredan todo este legado eh Y nuevos redactor que vienen surgiendo eh a la fecha no no no recuerdo exactamente si se sigue especulando ya lo tienen documentado si los tractors posteriores es incluso solo un individuo o si es un grupo todavía se está investigando si no si no me recuerdo sin embargo Pues todo nace a partir del trabajo que hizo Team TNT Así es empezamos a ver después otros atacantes que empiezan a utilizar estas mismas herramientas pu creen que son efectivas relativamente fáciles de modificar y ahorita vamos a hablar de kad que es una campaña conducida por un

grupo conocido como watchdog que fue la que eh Nos tocó ver a nosotros esta campaña Eh pues la fui eh la fuimos analizando eh una vez que llevamos el incidente porque pues nos lavamos bastante con esto e yo conjunto con mi equipo en solera en una mención muy muy especial ahí para Héctor Espino que fue de gran gran ayuda al hacer el análisis de estos scripts eh Y bueno pues vamos a ver estas estas muestras que vamos a ver a continuación pues son las que nosotros eh jalamos durante el incidente pues las descargamos y eh En este diagrama básicamente se describe todo el flujo de ejecución de estas muestras eh aquí tenemos una especie de ciclo podí decir

que comienza aquí y termina al final no sé si tiene ler esto pero ahí dond está Gracias d está la nucita de internet básicamente Este es el punto de infección estos Sons que están en otra en otro Host en otro lado y empiezan a buscar comprometer infraestructura Esto es lo que se ejecuta ya en la la estructura comprometida y esos también se Ejecutan en infraestructura comprometida pero van a buscar comprometer más más servidores vamos a mencionar aquí algo se ve también Dos Caminos en los que el Checa si tiene permisos de administrador o si no los tiene porque para eso pues va a tomar acciones distintas e y bueno como se vio en el diagrama este esta

campaña Tuvo cuatro tecnologías eh las como objetivo para acces inicial que fueron docker HN redis y Atlas confluence eh que se ve ya pues también en los diagramas anteriores explotando diferentes cosas en en el caso de tecnologías será explotando una mala configuración en el caso de otras vulnerabilidades eh aquí vemos el scp de que es este es el primer Script que se ejecuta en un contenedor cuando se compromete eh aquí básicamente como el atacante empieza a renombrar herramientas que se utilizan comúnmente para descargar pays en este caso en el snip alcanza a ver call pero también lo hace con w y también lo utiliza con otro Comando que se llama chatter que básicamente ayuda a cambiar

permisos de edición y eh de lectura de archivos en particular el el propósito principal por el cual hacían todos estos cambios no era porque les gustara ponerles el nombre que ellos querían sin embargo Eh muchas de las herramientas de detección eh funcionan con base también a nombres no entonces e eh en una en un ambiente donde no fuese usual o tuvieran este este indicador de compromiso o una alerta relacionada con el uso de de la herramienta CR wg y cualquier similar para poder hacer conexiones al exterior y descargar artifacts e por eso es de que los modificaban para pues evadir un poquito esta parte de detección eh Aquí vamos a ver otra técnica de detección de defensas que en

la cual eh empezaron a a descargar más scripts de pues para los siguientes pasos y aquí podemos ver algo interesante en las líneas que tienen de python eh que que tambén estaba comentando con esta campaña pues se le hizo bastante interesante eh a y de hecho no se la variable como tal Pero ellos empezaron a utilizar caracteres para hacer para escapar el String donde venía el URL estn utilizando que se llamaba kadt y bueno Aquí vamos a ver esta distinción que les comentaba de El diagrama de cómo va a buscar diferentes Kill chains basados en los permisos que tiene ahorita vamos a ver el Kill Chain que va ejecutar si no tiene permisos de rot Y esto es básicamente una eh lo

primero que va a utilizar es eh va a checar si hay un servicio ejecutándose en el puerto 1414 que va a ser tal cu como pro y este es un servicio que más adelante vamos a ver cómo el malware instala en el servidor para generar persistencia en el software in el pu 14 que se va a estar comunicando con los los pools de minería de de de criptomonedas que en este caso monero y podos ver los dominios de los pools snip de abajo eh esto de aquí lo que se alcanza a ver en la pantallita de abajo es un strings en donde vemos pu buscamos cadenas que eh se pueden que son legibles en un en un ejecutable aquí

pues podemos ver estas pulls que ellos estaban usando la razón por la que usan estos pools es porque se empezaron a dar cuenta de que haban investigadores que estaban viendo cuánto estaban ganando de estas campañas y pues no les gustó entonces dijeron vamos a utilizar mejor Eh pulls pues que nos den a cierto nivel de anonimato para que ya no vean cuánto ganamos porque pues estn haciendo más o menos una lana un reporte de eh No recuerdo quién básicamente decía que habrían podido ganar Aproximadamente 8400 en una campaña lo cual es una es una lana eh vamos a seguir con la siguiente parte que es este scrip Start lo lo interesante también es de que el

nivel de sofisticación en cuanto a cómo programaban este nuevo tractor se elevó bastante en comparación a su predecesor que es este Team TNT eh si se dan cuenta en los snip de las primeras diapositivas eh el la legibilidad del código era bastante buena alguien con un poco de conocimiento de bash lo podía leer y darse una idea de que es lo que estaba haciendo eh conforme vayamos avanzando se van a dar cuenta cómo es de que esto va a a modificarse y algo interesante es de que también no eran para nada tonto no sino todo lo contrario eh buscaban En qué arquitectura se estaba ejecutando los scripts en cuestión para poder mandar a llamar a los recursos y a los

binarios correctos y pues no generar errores en su en su flujo de trabajo eh Aquí vamos a ver cómo se utilizan dos binarios un llamado H pues es algo interesante porque es un programa que se publicó desde 2002 y sigue funcionando en Linux pero es una elección algo pues un tanto curiosa no esto puede denotar tal vez que los rors pues ya tienen un rato dedicándose a cosas de este tipo o haciendo investigación e Y bueno pues después Este programa lo utilizan pu para esconder el proceso de que es el el el binario para hacer La minoría de criptomonedas y tratan de hacer pasar por un servicio de cmail para que alguien pues que lo revise no vaya a ver

nada extraño no vamos a ver que esta campaña se enfoca bastante en evad detección son es bastante Pues escura realmente todo todas las técnicas que utilizan para evadir análisis Ahora sí pues eh Ahora sí viene lo lo bueno como dirían con los permisos de rot vamos a ver técnicas un poquito más pues más avanzadas eh Para seguir evadiendo detección aquí V Bueno lo primeriti que hacían era eh bajar todos los los niveles de defensa que podría tener un sistema operativo promedio el CR Track No ese se baja solo e detenían el firewall detenían este movían este IP tables modificaban el número de de de procesos de escritura que podría tener eh bajaba Esta cosa que

se llama es Linux bajaba el watch dog e incluso planchaba unos dns genéricos Que bueno que lo pu ver en las últimas dos líneas es básicamente los este los dns de Google por defecto el 888 y el 8844 eh por qué esto también discutíamos gips en su análisis eh eh se dio cuenta o bueno durante todo este análisis percibió que lo hacían con fines es de este de de detección por el asunto de que pues muchas veces los dns están siendo monitoreados sin embargo en el diálogo también nos dimos cuenta Que muy posiblemente lo hacían con fines de evadir bloqueos porque justamente eh Por un lado te pueden estar monitoreando los dns pero también a nivel de dns te

pueden bloquear eh que resuelvas hacia incluso listas que ya existen y hay repositorios en internet que ustedes pueden utilizar eh de de dominios eh de direcciones ips y dominios que se consideran eh eh dañinos o peligrosos porque justamente están ligados a campañas de malware ransomware crypto hijacking y demás entonces eh estas con estas listas y y pues un un dns gestionado te permite eh hacer aparte de de del de de la de la detección el bloqueo hacia estas estas resoluciones de nombres de dominio y Por ende pues mitigar la conexión no no resuelvo no sé a dónde ir pues todo el proceso se muere Entonces qué hacían lo plancho el de Google Google me va a encontrar eh No

tenían problemas con que Google resolviera el dns y pues todo esto era para justamente bajar los niveles de de defensa del sistema operativo donde estaba ejecutando en este caso este también vemos el o sea aquí ellos también están viendo adás del dns eh Ellos están tratando de Desactivar tanto medidas que tiene el mismo sistema operativo para proteger el kernel que es lo que es loal Linux y el lm watchdog eh el lmi watch también deshabilitarlo les da cierto nivel de persistencia porque el sistema si detecta un problema en el kernel pues no se va a reiniciar Eh Esto es lo que genera el famoso kernel panic cuando llega a haber un problema en en el Kel

como tal y Eh Pues por la parte del historial tambén empieza a mandar todo a de nul y Eh Pues empieza también o sea deja de Designar un archivo para historial esto pues es Alo que también va a dificultar el análisis eh Cuando un equipo de seguridad Pues venga a responder a este incidente en esta otra función que que vemos pues el malware empieza a correr Script eh empieza a correr otro chequeo para ver que el Script haya podido instalar el marware en caso de que no pues lo vuelva a instalar Y en este otro ya es donde una vez que ya está instalado el el minero de de monero eh crea un servicio para

que sea pu parte del sistema y pueda sobrevivir después de que el sistema se reinicie y pues permanezca ahí hasta hasta que lo encuentren hasta que levante alguna detección y después pasa a instalar lo que son masc masc y crp mascan es este una herramienta que se utiliza para escanear rangos de ips pues muy rápido per y una cantidad de direcciones ips muy grande básicamente pues es una hera que se utiliza para estar lar peticiones Y obtener e detalles sobre las tecnologías que están corriendo en un servidor Aquí vemos este pues una técnica que ya todos se saben est esta todos la conocen una técnica de persistencia mediante llves de ssh lo que hacen es eh generar un archivo nuevo

de Keys y escriben ellos su propia llave esto más adelante ellos lo utilizan para tratar de pivotear eh mediante el archivo de no hosts que tiene eh básicamente una lista de los a los que se ha conectado antes del servidor eh lo van a utilizar para tratar de pivotear a otros servidores e y Aquí vos otra eh otra parte del código donde se empieza a instalar eh dein que es un Root kit escrito en completamente en C Este es un Root kit que se ejecuta en el espacio de kernel existen dos tipos de de root kits sonos que se Ejecutan en el espacio del usuario y el espcio del Kel Linux separa estas dos eh estas dos áreas estos dos

espacios pues para evitar que haya Pues un abuso de permisos porque el Kel pues es el que tiene permisos pues las llaves del reino prácticamente e entonces darle este tipo de permisos en el espacio de usuario pues puede ser un poquito delicado Además de que el K pues es el que interactúa directamente con el Hardware del sistema Entonces pues no sería algo con lo que el usuario quisiera realmente interactuar y bueno básicamente aquí lo que les comento es un es un programa que se utiliza pues para esconder se puede utilizar para Pues muchas cosas eh más que nada esconder archivos esconder procesos eh escalar privilegios también se puede utilizar para esto eh Y varios th que los han utilizado en campañas un

poquito ya más digamos más avanzadas se ha visto en marware como un conocido como Dr que fue un marare atribuido a fancy hace pues relativamente poco hay un reporte por ahí que hizo la nsa sobre este marware y Bueno aquí también vemos las características de este llamado morin que básicamente se resumen en eh esc archivos esconder procesos dar permisos de administrador también a quien está utilizando el r kit e este este rit fue escrito por Víctor Ramos eh y se basó en una serie de artículos muy buenos que explican estas técnicas para los Root kits vamos a seguir viendo y de utiliza una técnica que se le conoce como manipulación de la tabla de llamadas Sistema o llamadas de sis esto

ya es una interacción directamente sobre el kernel de Linux y lo que hace es Ah mediante hooking primero saca una tabla de taa de mas systemas y la va que la va iterando empieza a serer como una especie de ataque de Fuerza bruta en el que empieza a buscar eh Pues una entrada parci esto aquí son llamadas a sistema del de de Linux si ustedes hacen un Man Sr les va a salir Pues todos los detalles de de estas llamadas a sistema y eh una vez que hacen eso tratan de buscar una entrada donde coincidan eh Por ejemplo la llamada sistema con eh la eh función que se dedica a manejar este tipo de llamadas entonces una vez que

ven que estas dos funciones coinciden dicen Ah Aquí está la tabla de llamadas sistema una vez que hacen eso ya que tienen esta tabla buscan eh una buscan tres funciones en particular aquí tenemos get 64 y y también buscan la versión de 32 bits que es getas y secas y buscan también Kill estas dos funciones las buscan en particular porque son funciones que manejan eh llamadas de comandos en el espacio de usuario que nos suele dar información sobre eh procesos y archivos ent si alguien si se da cuenta Esto está jalando muchos procesos me pregunto si será nuestro edr o algo así porque no falta e empieza a ellos empiezan a ejecutar un comando de PS no entonces

este Comando le va a decir al kernel Oye K vamos a utilizar gt64 para que tú veas los procesos que están corriendo en el sistema entonces mand va va a checar esta Va a checar esta tabla y va a decir Ah okay va a buscar la función y va ejecutar en el caso de este ataque de lo que hace es que cambia esta dirección de la función que y pone la dirección de una función que el mismo roit controla para pues hacer lo que quiere entonces cuando cuando e PS le va a decir al Búscame la función de una vez que haya hecho Esta técnica de cambiar la dirección se va la dirección va a

comunicarse con con la función que maneja estas llamadas y se Perdón se va a comunicar con la función que le dijo el rootkit Entonces le va a decir Ah sí est es la lista de procesos Pero va a omitir los procesos que el roit quiere esconder que en este caso van a ser los procesos de minería aquí podemos ver este proceso Cómo se lleva a cabo al principio lo que hace es guardar las direcciones Originales por las guarda porque no el ro tiene una función para desinstalarse y pues guarda estas funciones para que a la hora que se desinstale pueda regresar las direcciones pues como estaban y esto pues no r caral porque también puede

generar un relajo en el canal como tal eh y ahí vemos También en esta parte de abajo donde yaz hace la asignación a las funciones que el rot controla para la función de K tiene un un uso bastante interesante no lo utiliza como tal para esta parte de esconder procesos eh la va a utilizar para mandarle señales más bien para recibir señales eh del del usuario que está utilizando el rootkit Sí aquí vemos este este tipo de Señales todos algunos de aquí los que hemos usado Linux alguna vez hemos tenido un proceso que se atora y hemos utilizado K para matarlo y siempre mandamos Kill -9 y el nombre de nuestro proceso Pues hay una serie de

llamadas eh perdón de Señales que están reservadas pues este para este este y lo que hace es establecer sus propi sus propias señales y decir Ah pues esto es el número 31 va esc va esc procesos Enton lo que hace es mandarle con estas llamadas para estas señales para esconder para ejecutar las siguientes acciones del y para qué utilizan este al final de cuentas para esconder los binarios de minería y los binarios utilizan para propagarse así para llega hacer investigación ha más complicado encontrar por su su instancia de2 pues no está corriendo como quieren y bu aquí vuelven a instalar otro porque son paranoicos y es como otra medida que tienen trabaja de usuario y parecido a lo que se conoce como

Windows ellos reemplazan un archivo de de las bibliotecas de Linux Aquí vemos parte de estas acciones que ell toman para evir defensas dondees empiezan a activar un montón de software de monitoreo concentrándose en como tenent como State un montón de software e aquí utilizan e aquí empiezan a crear este Script que se llama ya se dedica más a la parte de propagación y lo que hace es generar eh servicios que en los que va a instalar cuatro scps diferentes estos son los scps que les mostraba a un tipo que son los que utiliza para rarse a redes a confluence eh Y a otras tecnologías esto pues es igual para estar generando persistencia también se enfoca mucho en que la campaña Eh pues

siga y esté tratando de propagarse todo el tiempo eh Son es un algo que es bastante abasí Pues en los servidores eh En el caso Decker pues la propagación en en esta tecnología pues es muy similar a la que explicamos al principio eh ellos empiezan a hacer un escaneo Pues de lápis expuestas y eh tratan de Eh pues explotarlas montando esta imagen que les comentaba al principio de hecho en este snip es el que revisamos también no gips este tiene en una línea en la que no sé por qué razón en este snip salía comentada eh sin embargo cenaban todo toda su actividad y por medio de de de esta línea una vez que tenían si se dan

cuenta bueno es que arriba había más código eh una vez que ejecutaba todo eso reducía una lista muy pequeña y después esos eran los los este los targets que les interesaban y y los guardaban a la variable que tenemos guardaba básicamente la IP Puerto y lo que hacía era comunicarse a ese a esa dirección IP que tenemos en la línea comentada y guardaba una bitácora de todos los losos iban comprometiendo Ah básicamente Ah iban guardando con esto er la lista que de objetivos que iban viendo más adelante tambén vemos como abusan también de una configuración en y los cuatro casos que se utiliza después de la explotación es una entrada codificada eh para el CR no

es una entrada para que cada cierto tiempo eh esté queriendo el servidor pues pedir los scripts para estar conduciendo esta infección eh Y esto de hecho pues es una si si nosotros buscamos este la ruta la que se hace el post en en internet pu vamos a ver que es un vector pues ya bastante conocido e y Eh pues que probablemente Ellos encontraron también en internet dijeron Ah este está chido vamos a usarlo para infectar más máquinas eh por ot por otro lado pues también tenemos redis que es esta tecnología de base de datos eh Hay un gran número de estas bases de datos puestas internet si nosotros nos vamos a Shan y buscamos esta tecnología pues

llegan a ser bastantitas las que están expuestas Eh entonces lo que ellos utilizan para eh cometer esta esta tecnología en este caso es redis Li que es una herramienta de eh de ejecución de comandos sobre esta sobre redis eh Y tenemos el favorito de los confluence y atlan eh En este caso se expa una vulnerabilidad de 2022 y confluence Es bien interesante la verdad Porque si ustedes pueden buscar en Twitter y cada mes o cada no sé cada dos semanas hay campañas que llevan los pacos eh que es que está buscando esta tecnología en particular les gusta mucho confluence por alguna razón me ha tocado incluso campañas de ransom que también están buscando explotar confluence eh Y

pues la propagación Aquí también es bastante parecida a los casos anteriores es un Script para editar los Jobs Pues bueno eh una de las conclusiones a las que comenzamos a llegar es de que justamente a pesar de que los años han pasado eh Se sigue recayendo en técnicas viejas como el binario que se escribía en 2002 para poder este ocultar procesos eh Se sigue teniendo en cuenta todos los scripts que han dejado tractors an y que por alguna razón ya no están en Operación eh Y pues bueno todo eso lo único que nos deja es que Eh así como eh ofensivamente vamos creando nuevas técnicas se van creando nuevos este nuevos espacios para explotar vulnerabilidades Y pues

obviamente también de lado defensivo vemos que ahora la la tarea de de monitoreo de detección eh eventualmente También se se complica no eh tanto en el recurso humano que pueda analizar todo en una cantidad de tiempo eh sumamente corta como también en los recursos de cómputo puesto que las herramientas que se requieren Eh pues tienen una un este necesitan ciertas ciertas capacidades que pues bueno cuestan dinero fin del día no por último vamos a ver otros usos que pueden tener estos scripts como mencion pueden resultar atractivos para otros grupos y hubo por ahí una una mención de grupos de r est utilizando estos scps para conducir sus actividades pero no O se no habido más información al respecto

Lo que sí es que en uno de los ls que vieron de se encontraron estos que ustedes acaban de ver o algunos parecidos que probablemente pues estaban considerando para empezar a infectar servidores Linux y bueno también campaña da una un referente Pues de las tecnologías de las ttps que utilizan en en campañas de este tipo los tractors Esta es una campaña como decía van pues más sofisticada pero e por lo general pues suelen recurrir más a exploits ya conocidos o vulnerabilidades que pues vemos todos en en Twitter o en páginas como de hacker news o demás e Ese es realmente un comportamiento pues bastante interesante por por parte de ellos y Bueno pues muchísimas gracias a todos por venir Es

la verdad unor muy grande poder presentar aquí espero les haya gustado la práctica si tienen alguna duda Pues también pueden buscarme ahí por Twitter o por linkedin eh si también aquí caminando pueden preguntarle cosas es sumamente amable y le gusta mucho hablar de lo que hace Así que anímense gracias le gusta mucho hablar