SMBdoor/ExtraPulsar: Backdoor Inspirado en Malware de la NSA

El investigador de seguridad de RiskSense Sean Dillon (aka @zerosum0x0) ha creado una puerta trasera como Prueba de Concepto inspirada en el malware de la NSA que filtró Shadow Brokers breach en 2017.

Dillon diseño SMBdoor como un controlador del Kernel de Windows que, una vez instalado en Windows, abusa de las API no documentadas en el proceso SRVNET.SYS (Server Network Driver), para registrarse como un controlador válido para las conexiones SMB (Server Message Block). En lugar de explotar una vulnerabilidad que se suponía que no estuviera allí, hace uso silencioso de una parte no documentada del propio controlador de servidor de archivos de Microsoft SRVNET.SYS.

Cómo funciona

La mayoría de los servidores de Windows aceptan conexiones para compartir archivos: si ejecuta el comando “net share” y ve “C$” y “ADMIN$”.

Si este uso compartido de archivos está activo, se tendrá acceso al controlador del kernel de Windows SRVNET.SYS. La idea es que este controlador “cuide” los puertos de red abiertos y el tráfico de red que forma parte del intercambio de archivos de Windows. Este controlador entrega los paquetes entrantes a uno o más controladores adicionales para tratar las solicitudes remotas, por ejemplo a otro controlador SRV2.SYS (Device Extension) que es el servidor SMB 2.0.

 

La idea de crear un malware que funcione de esta manera es la siguiente:

  • El código de malware se registra para manejar los paquetes de red ya recibidos por el controlador del servidor de nivel superior. Por lo tanto, el malware no necesita abrir ningún puerto de red de escucha, o hacer llamadas de red de aspecto sospechoso.
  • El código de malware se ejecuta como un controlador del kernel, y cualquier código que reciba y se lance a sí mismo también adquiere privilegios del kernel. Entonces, este malware y cualquier otro código que active se ejecuta en lo que equivale a un nivel de “super-administrador”.
  • El código de malware se activa automáticamente cuando llegan los paquetes de red SMB. Por lo tanto, puede identificar fácilmente sus propias instrucciones de comando y control, eliminarlas de la transmisión de la red y actuar sobre ellas.

La herramienta de Dillon son solo 12 líneas de Python que envían un paquete de código ejecutable al puerto 445 en una computadora infectada. Los paquetes SMB normales comienzan con los bytes 0xFF 0x53 0x4D 0x42, que aparecen como “SMB” cuando se muestran como texto. El malware reconoce sus propias cargas de shellcode porque están etiquetadas con “0x45 0x78 0x50 0x75”, que aparece como “ExPu”, abreviatura de “ExtraPulsar”.

El malware es muy sigiloso, ya que no se enlaza con sockets locales, puertos abiertos ni hook en funciones existentes, y al hacerlo evita que se activen alertas para algunos sistemas antivirus. Su diseño se inspiró en el comportamiento similar que Dillon ha visto en DoublePulsar y DarkPulsar, dos implantes de malware diseñados por la NSA.

En una entrevista con ZDNet, Dillon dijo que “el código SMBdoor no está compilado, y que los ciberdelincuentes no pueden descargarlo de GitHub e infectar a los usuarios de la misma manera que pueden descargar e implementar versiones de DoublePulsar de la NSA. [SMBdoor] viene con limitaciones prácticas que lo convierten principalmente en una exploración académica, pero pensé que podría ser interesante compartirlo, y posiblemente sea algo que los productos de detección y respuesta de endpoints. Hay limitaciones en la prueba de concepto que un atacante tendría que superar. Lo más importante es que Windows intenta bloquear el código del Kernel sin firmar”.

Dillon dijo que a menos que un atacante valore el sigilo más que el esfuerzo necesario para modificar SMBdoor, entonces este malware experimental no es muy útil para nadie.

El trabajo de Dillon en SMBdoor ha llamado la atención de muchos investigadores de seguridad debido a su diseño sigiloso y al uso de funciones de API no documentadas. La escucha del tráfico de la red a través de un puerto ya enlazado, sin tocar ningún socket, no está bien establecida en las metodologías actuales y es parte de un área de investigación en expansión.

El investigador espera que su trabajo en SMBdoor conduzca a los proveedores de software de seguridad para mejorar sus detecciones y, en el proceso, brindar mejores protecciones a los usuarios de Windows contra las amenazas de SMBdoor, DoublePulsar y DarkPulsar.

El trabajo de Dillon en el análisis del malware filtrado de la NSA es bien conocido entre sus colegas. Anteriormente, adaptó las vulnerabilidades EternalChampion, EternalRomance, y EternalSynergy de NSA para que funcionen en todas las versiones de Windows, y se remonta a Windows 2000; portó el implante de malware DoublePulsar para trabajar en dispositivos IoT basados en Windows; y también portó la vulnerabilidad EternalBlue SMB (la utilizada por las cepas de ransomware WannaCry y NotPetya) para trabajar en las versiones modernas de Windows 10.

Fuente: Sophos, ZDnet

Comments are closed.