2 pontos por GN⁺ 2024-08-03 | 1 comentários | Compartilhar no WhatsApp
  • Uma atividade de cibercrime observada desde fevereiro de 2024 abusou do TryCloudflare Tunnel para distribuir malware; a atividade aumentou entre maio e julho, e as campanhas mais recentes levaram principalmente ao Xworm
  • Os ataques seguem um fluxo em que URLs ou anexos em e-mails levam a arquivos .URL, passando depois por WebDAV, LNK/VBS, BAT/CMD, pacotes de instalação do Python e scripts até instalar um RAT
  • Em junho e julho, o Xworm predominou, mas campanhas anteriores também usaram AsyncRAT, VenomRAT, GuLoader e Remcos, e alguns scripts em Python instalavam vários payloads separados
  • As campanhas variaram de centenas a dezenas de milhares de mensagens e afetaram de dezenas a milhares de organizações no mundo todo, usando iscas de contexto corporativo como faturas, pedidos de documentos, entregas e impostos, além de vários idiomas
  • A infraestrutura temporária da Cloudflare e o empacotamento com Python dificultam bloqueio e takedown, mas a execução final ainda exige várias etapas de interação do usuário, como clicar em links, executar arquivos e descompactar conteúdo

Como o TryCloudflare Tunnel é abusado

  • Esta atividade é um cluster de cibercrime que usa o Cloudflare Tunnels como infraestrutura de entrega de malware
  • O recurso abusado pelos atacantes é o TryCloudflare, que permite criar túneis temporários sem criar conta
  • O túnel funciona como uma forma de acessar remotamente dados e recursos fora da rede local, de modo semelhante a uma VPN ou SSH
  • Cada uso do TryCloudflare Tunnel gera um subdomínio aleatório em trycloudflare[.]com
    • Exemplo: ride-fatal-italic-information[.]trycloudflare[.]com
    • O tráfego desse subdomínio é encaminhado pela Cloudflare e enviado por proxy ao servidor local do operador
  • O abuso do TryCloudflare Tunnel começou a se popularizar em 2023 e está em alta entre agentes de ameaça cibercriminosa

Cadeia de ataque e payloads

  • Na maioria das campanhas, a URL ou o anexo da mensagem leva a um arquivo .URL de atalho da internet
  • Quando o .URL é executado, ele se conecta a um compartilhamento externo de arquivos para baixar um arquivo LNK ou VBS
    • O compartilhamento externo normalmente usa WebDAV
    • Em alguns casos, o staging de arquivos usa o manipulador de protocolo search-ms para buscar o LNK em um compartilhamento WebDAV
  • Em seguida, o LNK/VBS executa um arquivo BAT ou CMD, que baixa um pacote de instalação do Python e vários scripts em Python, levando à instalação do malware
  • É comum exibir junto um PDF inofensivo para fazer o usuário acreditar que se trata de um documento legítimo
  • Quase todas as campanhas observadas em junho e julho entregaram Xworm
    • Campanhas anteriores também entregaram AsyncRAT, VenomRAT, GuLoader e Remcos
    • Algumas campanhas levavam a vários payloads maliciosos, com cada script em Python instalando um malware diferente

Escala das campanhas e iscas

  • O volume de mensagens nas campanhas variou de centenas a dezenas de milhares
  • O alcance do impacto abrangeu de dezenas a milhares de organizações em todo o mundo
  • Além do inglês, foram observados francês, espanhol e alemão como idiomas das iscas
  • As campanhas com Xworm, AsyncRAT e VenomRAT em geral ocorreram em escala maior do que as campanhas de entrega de Remcos ou GuLoader
  • Os temas das iscas se concentram em assuntos com maior chance de abertura em contexto de trabalho
    • Faturas
    • Solicitações de documentos
    • Entregas
    • Impostos

Mudanças táticas e evasão de detecção

  • As táticas, técnicas e procedimentos das campanhas foram amplamente consistentes, mas os atacantes tentam alterar partes da cadeia de ataque para aumentar a sofisticação e a evasão de defesas
  • Os scripts auxiliares das campanhas iniciais tinham pouca ou nenhuma ofuscação
    • Os scripts incluíam até comentários descrevendo em detalhe a função do código
  • A partir de junho de 2024, o código passou a incluir ofuscação
  • Esta atividade não foi atribuída a um agente de ameaça específico sob rastreamento, e as campanhas relacionadas foram agrupadas como um único cluster de atividade com base nos TTPs

Campanha de 28 de maio de 2024

  • A campanha de 28 de maio de 2024 entregou AsyncRAT e Xworm
  • Mensagens com tema de impostos continham uma URL que levava a um arquivo .URL compactado
  • Os alvos eram organizações jurídicas e financeiras, e o total de mensagens foi inferior a 50
  • O arquivo .URL apontava para um arquivo .LNK remoto
  • Quando executado, um script auxiliar em CMD chamava o PowerShell para baixar um pacote compactado do Python e scripts em Python
  • O pacote do Python e os scripts levavam à instalação do AsyncRAT e do Xworm

Campanha de 11 de julho de 2024

  • A campanha de 11 de julho de 2024 também usou túneis da Cloudflare para distribuir AsyncRAT e Xworm
  • A campanha incluiu mais de 1.500 mensagens e teve como alvo organizações de vários setores, incluindo finanças, manufatura e tecnologia
  • As mensagens incluíam um anexo HTML com uma consulta search-ms apontando para um arquivo LNK
  • Quando executado, isso levava a um arquivo BAT ofuscado, que chamava o PowerShell para baixar o pacote de instalação do Python e scripts
  • Os componentes baixados levavam à execução do AsyncRAT e do Xworm

Pontos importantes do ponto de vista defensivo

  • Os túneis da Cloudflare permitem que atacantes usem infraestrutura temporária para escalar as operações e criar ou derrubar instâncias rapidamente
  • Instâncias temporárias da Cloudflare criam condições mais difíceis para defensores e para medidas tradicionais de segurança que dependem de listas estáticas de bloqueio
  • O método de entrega baseado em scripts Python exige atenção especial
    • Ao empacotar bibliotecas Python e instaladores executáveis junto com scripts em Python, é possível baixar e executar malware mesmo em hosts onde o Python não esteja previamente instalado
    • Organizações que não precisam de Python nas atividades de trabalho devem restringir seu uso
  • Não é a primeira vez que software é distribuído junto com arquivos maliciosos
    • Recentemente, campanhas de malware baseadas em Java foram observadas incluindo um JAR e o Java Runtime Environment dentro de um ZIP, para garantir que o software necessário estivesse instalado antes da execução do downloader ou dropper
  • A execução do payload final exige interação significativa da vítima
    • Clicar em link malicioso
    • Dar duplo clique em vários arquivos, como LNK ou VBS
    • Descompactar scripts comprimidos
    • Esse processo oferece várias oportunidades para que o destinatário identifique atividade suspeita e interrompa a cadeia de ataque
  • Está crescendo o número de agentes de ameaça que usam WebDAV e Server Message Block (SMB) para staging e entrega de payloads
  • As organizações devem limitar o acesso a serviços externos de compartilhamento de arquivos apenas a servidores permitidos em lista de permissão

Regras de detecção e indicadores de comprometimento

  • O ruleset do Emerging Threats inclui detecção dos malwares identificados nesta campanha
  • Regras de exemplo:
    • 2853193 | ETPRO MALWARE Win32/Xworm V3 CnC Command – PING Outbound
    • 2852870 | ETPRO MALWARE Win32/Xworm CnC Checkin – Generic Prefix Bytes
    • 2852923 | ETPRO MALWARE Win32/Xworm CnC Checkin – Generic Prefix Bytes (Client)
    • 2855924 | ETPRO MALWARE Win32/Xworm V3 CnC Command – PING Outbound
    • 2857507 | ETPRO ATTACK_RESPONSE Suspicious HTML Serving Abused URL Linking Method Observed
  • Exemplos de indicadores de comprometimento:
    • spectrum-exactly-knitting-rural[.]trycloudflare[.]com: host TryCloudflare, observado pela primeira vez em maio de 2024
    • 157[.]20[.]182[.]172: IP de C2 do Xworm, observado pela primeira vez em maio de 2024
    • dcxwq1[.]duckdns[.]org: C2 do AsyncRAT, observado pela primeira vez em maio de 2024
    • ride-fatal-italic-information[.]trycloudflare[.]com: host TryCloudflare, observado pela primeira vez em julho de 2024
    • todfg[.]duckdns[.]org: C2 do AsyncRAT, observado pela primeira vez em julho de 2024
    • welxwrm[.]duckdns[.]org: C2 do Xworm, observado pela primeira vez em julho de 2024
    • xwor3july[.]duckdns[.]org: C2 do Xworm, observado pela primeira vez em julho de 2024

1 comentários

 
GN⁺ 2024-08-03
Opiniões no Hacker News
  • Já passou a época em que software malicioso era distribuído a partir de domínios .ru suspeitos ou de IPs expostos de provedores de hospedagem à prova de bala
    Agora os atacantes também usam a infraestrutura que todo mundo usa, como GCP, AWS, Azure, Cloudflare, e acessam dispositivos pela mesma VPN que seus avós usam para assistir à Netflix
    A internet está caminhando cada vez mais para um modelo em que endereços IP e nomes de domínio deixam de servir como indicadores de segurança; não dá para bloquear faixas da Cloudflare ou da AWS, nem é fácil impedir que usuários de grandes VPNs comerciais acessem um site
    Além disso, como o tráfego e as consultas de nomes estão todos criptografados, operadores de rede não conseguem saber o que os usuários fazem na internet
    Essa é uma boa mudança porque aumenta a privacidade e o anonimato, reduz a utilidade das soluções de segurança de rede, tornando as redes mais simples de novo e evitando seu enrijecimento, e força a tratar os problemas fundamentais de segurança em vez de sustentar uma indústria ineficiente de enxugar gelo

    • Você disse que “não dá para bloquear visitas a faixas de IP da Cloudflare ou da AWS”, mas o Reddit parece fazer exatamente isso com bastante convicção
      Recentemente tive de consertar um software de backend de tumblog que baixa vídeos do Reddit com yt-dlp, porque o Reddit bloqueou faixas de IP de servidores dedicados da Hetzner
      No fim, contornei fazendo o cliente baixar o vídeo em JavaScript e enviá-lo para o meu servidor
    • Se você conseguir descobrir as faixas de IP dos principais provedores comerciais de VPN, dá para bloquear visitantes
      Alguns sites já fazem isso, e eu também estou avaliando
      Também vale a pena obter a lista de IPs de nós de saída do TOR e bloquear o TOR; bloquear o TOR reduziu muito as dores de cabeça causadas por agentes maliciosos
    • O fato de software malicioso agora ser distribuído por infraestrutura mainstream, e não mais por hospedagens ou registradores de domínio suspeitos, parece ser resultado de as autoridades não conseguirem ou não quererem lidar de fato com crimes online
      Isso é especialmente verdade fora de áreas que incomodam especificamente grandes empresas, como direitos autorais; se dá para evitar punição usando provedores mainstream, não há motivo para usar hospedagem à prova de bala ou registradores suspeitos
    • Preocupa o fato de que reguladores talvez não esperem até que os problemas fundamentais sejam resolvidos e optem por uma verificação de identidade mais agressiva
      O pior cenário é a internet inteira virar algo como o Facebook, em que até para apenas ver alguma coisa você precisa de uma conta inseparável da sua identidade real
    • Então o resumo parece ser que KYC também chegará à hospedagem em nuvem
  • Já estou ficando cansado de manchetes sobre “entrega” de malware por meio de coisas como encurtadores de link
    Não é surpresa que existam várias formas de as pessoas colocarem arquivos na internet

    • Isto não é um encurtador de links, é um túnel: o usuário vê que está se conectando à Cloudflare, mas por trás é levado a um destino malicioso
      O destino final fica totalmente oculto tanto do usuário quanto da pilha de segurança da empresa
      Se a Cloudflare quer se vender como produto de segurança, não acho exagero esperar que ela monitore malware em seus próprios serviços
    • Nesse nível, especialmente para pessoas que não são usuárias avançadas, isso deve ser visto como um problema de design de interação do sistema operacional
      Colocar a Cloudflare apenas como cúmplice é perder o panorama maior
      Antigamente era preciso desativar a execução automática no Windows para evitar infecções acidentais por drives maliciosos, mas ninguém culpava fabricantes de CD-RW ou pendrives
    • Eu gostaria que a Cloudflare respondesse com um pouco mais de seriedade a denúncias de abuso
      Acho que nunca vi ação concreta quando denunciei phishing óbvio e hospedagem de malware
    • Acho absurdo que o design dos navegadores tenha se consolidado de modo que apenas clicar em um link exponha você a ameaças de malware
      Originalmente, “não coma o que você não consegue identificar” era um bom conselho, mas em algum momento isso foi distorcido para “não veja o que você não consegue identificar”
      Mesmo assim, tratam o usuário como idiota se ele não consegue seguir esse conselho, o que facilmente deixa as pessoas sem saber como uma ameaça real se parece
      Uma abordagem melhor seria permitir clicar em todos os links com segurança, desde que você não faça ações perigosas, como executar algo
      Assim, seria possível marcar o que você encontrou como ameaçador ou confiável e ajudar também seus colegas
  • Eu já escrevi sobre o abuso dessa ferramenta há quase exatamente 1 ano[0]
    A única coisa que parece nova aqui é o que se faz por meio do túnel e o fato de esse método estar sendo bem-sucedido o bastante para crescer em participação no conjunto das técnicas de ataque
    Na minha opinião, o TryCloudflare é o problema real
    Ele não exige conta nenhuma, o que torna a atribuição praticamente impossível
    0: https://www.guidepointsecurity.com/blog/tunnel-vision-cloudf...

  • Acho que produtos gratuitos de túneis instantâneos acabam todos virando isso
    O ngrok também era ótimo no começo pelo tunelamento sem atrito, mas, por causa do mesmo tipo de abuso, acabou tendo de colocar tudo atrás de um fluxo de cadastro

    • Eu ficaria até decepcionado se os atacantes não abusassem disso
      Se você oferece criptografia de ponta a ponta gratuita sem responsabilidade vinculada ao usuário, está chamando o abuso
  • Se não for um túnel da Cloudflare, será algo como pedir para abrir no Google Tradutor uma página web com o payload na URL
    Isso dificilmente é notícia

  • Acho que é por coisas assim que não podemos ter coisas boas na internet; neste caso, os bons recursos da Cloudflare
    Você sabia que dava para enviar e-mail gratuitamente pela Cloudflare? (https://blog.cloudflare.com/sending-email-from-workers-with-...)
    Agora não dá mais
    O encerramento talvez não tenha sido exatamente culpa da Cloudflare, mas é um caso parecido de um bom serviço sendo abusado até desaparecer

  • Há muito tempo, a Cloudflare tinha um recurso para “pré-visualizar” CSS e HTML usados em páginas de erro personalizadas
    Basicamente, o recurso de pré-visualização recebia CSS e HTML na query string e os exibia diretamente em cloudflarepreview.com/...
    Eu denunciei isso mostrando como era muito fácil criar uma página do tipo “Faça login com sua conta Cloudflare para acessar a prévia beta da Cloudflare!” e roubar credenciais de login da Cloudflare
    O bug bounty foi fechado como “aceito devido à natureza do playground cloudflarepreview”, e depois eles corrigiram adicionando um token JWT à URL, mas não houve recompensa
    Fui cliente da Cloudflare por muito tempo, mas parece haver muitos cantos obscuros no produto que só recebem atenção depois de serem abusados, e suspeito que este TryCloudflare seja um deles

  • Diante do problema de que “ninguém quer gastar dinheiro suficiente com moderação e prevenção de abuso”, fico me perguntando o que aconteceu com aquela ideia, falada nos primórdios do PGP, de uma rede descentralizada de confiança e desconfiança para identidades online
    Hoje isso sobrevive um pouco na forma de contas de redes sociais “confiáveis” conforme número de seguidores, seguidores dos seguidores e a infinidade de bots abaixo disso, ou em coisas como PageRank e abuso de otimização para mecanismos de busca

    • As pessoas capazes de entender e usar uma proposta dessas, para começo de conversa, não seriam tolas a ponto de instalar um cavalo de Troia
    • Com deepfakes ultrarrealistas surgindo sem parar, a sociedade logo terá de encontrar uma forma de verificar se a origem é autêntica
  • Fico curioso se esse tipo de ataque teria sido detectado por aqueles infames programas de segurança de endpoint, por exemplo o ClownStrike
    Acho que esse tráfego só apareceria se o atacante fosse inexperiente a ponto de reutilizar um trojan de acesso remoto já conhecido

    • Com o CrowdStrike, basta configurá-lo para bloquear a execução de qualquer exe
      Não importa se o atacante está usando um executável malicioso já conhecido
  • Isso me lembra a época em que discos de contas de teste grátis da AOL estavam espalhados por toda parte
    Em muitas comunidades, subdomínios da AOL eram bloqueados imediatamente

    • Também era necessário bloquear *.ipt.aol.com
      Porque um usuário da AOL usava o DNS reverso HOST.ipt.aol.com para contornar bloqueios e prejudicava todo mundo
      A geração Prodigy / CompuServe / Blue Light também está aqui