El driver «Netfilter», firmado por Microsoft, levantó sospechas al ser observado comunicándose con IPs chinas usadas habitualmente cómo C2 (command and control).
El analista de malware Karsten Hahn fue el primero en compartir públicamente la detección de este problema. Más analistas se fueron interesando en el caso a partir de este punto, en este hilo de Johann Aydinbas (en inglés) se detalla la funcionalidad del rootkit. Intercepción de conexiones SSL, redirección de IPs e instalación de un certificado raíz en el registro.
La URL del C2 detectado devuelve un grupo de otras URLs con distintas funcionalidades según los parámetros que presentan:
- Las terminadas en «/p» están asociadas a ajustes de proxy.
- El parámetro «/s» indica URLs de redirección codificadas.
- Las que contienen «/h?» son usadas para recibir el identificador de la CPU.
- «/c» es usado para la creación del certificado raíz.
- El parámetro «/v?» se relaciona con la funcionalidad de auto actualización del malware.
Análisis
En este post de la compañía G DATA Software se detalla el proceso de análisis del rootkit. Inicialmente se detectaron cadenas codificadas, que si bien no son necesariamente indicativas de actividad maliciosa, sí son poco comunes en un driver.
De la decodificación de estas cadenas se obtiene una dirección IP así cómo la ruta del PDB. Haciendo uso de VirusTotal y de reglas Yara se encontraron otras muestras del rootkit. La más antigua detectada data de Marzo de este mismo año.
La funcionalidad principal del malware es la redirección de IPs objetivo a una lista de IPs que se obtiene de la URL hxxp://110.42.4.180:2081/s que vimos en la anterior captura. La función de auto actualización permite al rootkit conectar con un servidor para comprobar si el código está actualizado a su última versión. En caso de no estarlo se reemplaza la versión existente por la más reciente.
Las otras IPs obtenidas de la primera se usan para obtener el certificado raíz o configurar el uso de proxy. Las rutas del registro usadas para estas funciones se obtienen de la parte ofuscada del driver.
Microsoft ha admitido oficialmente el problema y está investigando el suceso. En primera instancia no parece que haya sido producto de una filtración de certificados, sino que los atacantes habrían suministrado el driver malicioso y conseguido de alguna manera obtener el binario firmado de manera legítima.
Fuente:https://unaaldia.hispasec.com/2021/06/rootkit-en-driver-firmado-por-microsoft.html