Ennesimo tool legittimo di Microsoft usato a fini illegittimi: il Build Engine sfruttato per distribuire malware

mercoledì 19 maggio 2021
Ennesimo tool legittimo di Microsoft usato a fini illegittimi: il Build Engine sfruttato per distribuire malware

Certo, non è una novità: sono molteplici gli strumenti legittimi che vegono “piegati” a finalità illegittime da parte dei cyber attaccanti. Caso eclatante, putroppo già da qualche anno e Microsoft non sembra riuscire a porre rimedio al problema, è quello che riguarda BitLocker: BitLocker Drive Encryption è una funzionalità di protezione dei dati che consente di criptare parti oppure intere partizioni del sistema operativo. Nato quindi come strumento di sicurezza è in uso già da qualche anno come vero e proprio ransomware.

Ora ci siamo di nuovo: alcuni ricercatori di sicurezza hanno individuato e analizzato una campagna di distribuzione malware che sfrutta il tool di sviluppo Microsoft Build Engine (MSBuild) per distribuire prima il RAT Remcos, quindi, ottenuto il controllo remoto del sistema target, il malware infostealer e per il furto di credenziali RedLine. La campagna è iniziata ad Aprile ma è tutt’ora in corso ed è estremamente preoccupante perchè riesce ad eludere i controlli delle soluzioni antivirus più diffuse.

I protagonisti
Microsoft Build Engine (MSBuild) in breve
è uno strumento creato da Microsoft per sviluppare applicazioni tramite file di progetto .XML: ha funzionalità che consentono l’attività inline, rendendo possibile compilare codice ed eseguirlo direttamente in memoria. E’ proprio questa capacità di eseguire codice in memoria che ha aperto la strada ad usi illegittimi del tool, garantendo agli attaccanti, in estrema semplicità la possibilità di sferrare attacchi fileless: gli attacchi fileless sono estremamente difficili da individuare perchè non scaricano alcun file sul sistema, ma anche perchè non lasciano tracce sulla macchina infetta.

Rispetto a questa campagna di attacco, i ricercatori non hanno chiare lemodalità con cui sono distribuiti i file progetto di MSBuild (file formato .proj), ma sono stati determinati con certezza i payload distribuiti, ovvero RAT Remcos e lo Stealer RedLine.

Remcos RAT in breve:

Remcos è un software commerciale molto usato, scritto in C++. E’ uno strumento legittimo, usato molto spesso per fornire supporto remoto o in corso di penetration testing. E’ però molto usato anche dai cyber attaccanti a mò di RAT, remote access trojan: insomma è usato per controllare da remoto un sistema bersaglio ed eseguire attività di elusione delle soluzioni antivirus, raccolta credenziali e informazioni di sistema, esecuzione di script e screenshot, ma anche come keylogger.

RedLine RAT in breve:
in tutta la campagna di attacco il malware vero e proprio, inteso in senso classico, è appunto RedLine che è un malware scritto in .NET. Esegue scansioni sulla macchina bersaglio incerca di software per la gestione della criptovaluta e app di messaggistica, mentre ha funzionalità specifiche per sfruttare e raccogliere dati dal servizio VPN Nord VPN. E’ un malware infostealer, specializzato nel furto di:

cookie;
credenziali VPN;
credenziali memorizzate sui browser (login social ed email, ma anche estremi delle carte di credito ecc…);
wallet di criptovaluta;
informazioni di sistema.

La catena di infezione

Fase 1: la persistenza
In questa fase viene lanciato mshta.exe, nativo su Windows: è usato per lanciare un VBscript col qualer eseguire il file progetto .proj. Viene creata in una apposita cartella di avvio anche un file .lnk.
Fase 2: distribuzione dei payload
Ottenuta la persistenza, è eseguita una funzione che decodifica due array: da questi sono ottenuti un blocco eseguibile, ovvero i payload di Remcos e redLine) e un blocco shellcode. Entrambi sono allocati in memoria.
Fase 3: l’iniezione dei payload in memoria
lo shellcode viene seguito con CallWindowProc o Delegate.DynamicInvok. Chiamate successive allo shellcode hanno lo scopo di allocare la memoria, creare un processo ad hoc e iniettare il payload nella memoria del processo appena creato.

Fonte: Anomali Threat Research

Qualche conclusione
Questa campagna è mirata e non ha, ad ora, diffusione di massa. Non è neppure detto che sbarcherà in Italia, non vi sono certezze né dettagli che possano suggerire tale possibilità: è però utile descriverla e raccontarla sia per allertare chi utilizza MSBuild sia perchè ci consegna alcune interessanti conclusioni. La prima tra tutte è che gli antivirus sono necessari, ma non più sufficienti per garantire la cyber security. Gli attacchi fileless sono per definizione invisibili agli antivirus, proprio perchè spesso sfruttano e si camuffano da processi / strumenti legittimi e perchè sono eseguiti solamente in memoria, senza necessità di download ed esecuzione di file che potrebbero mettere in allarme i sistemi di rilevamento dele minacce. Non a caso gli attacchi fileless sono in crescita oltre l’esponenziale: i dati WatchGuard 20921 parlano di un aumento del 888% degli attacchi di questo tipo tra il 2019 e il 2020.

Formazione e pratiche di “igiene” informatica, protezione della rete, criptazione dei dati sono alcuni strumenti che vanno necessariamente affiancati alla classica soluzione antivirus. La diffusione di un approccio “Zero trust” arricchisce, anche se non completa, il quadro della cybersecurity: se i cyber attaccanti evolvono velocemente, anche la risposta deve essere veloce, perfino laddove richieda di cambiare completamente paradigma.

Leave a comment



logHD1

YOTTA WEB - Via Don F. Cabrio 14/D - 13900 Biella (BI)

P.IVA 02552590024 - C.F. SNTSVR77S27A859C - REA BI 194613

Copyright 2017 © YOTTA WEB All Rights Reserved

Privacy Policy