Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

MalwareMinacceVulnerabilità

La APT Slingshot sfrutta router vulnerabili per impiantare spyware

APT  MikroTik  router  Slingshot  spyware   martedì, 13 marzo 2018

Slingshot APTLo scorso febbraio i ricercatori di Kaspersky Lab hanno individuato una campagna di cyber-spionaggio riconducibile ad una minaccia di tipo APT denominata Slingshot, nome derivato da una stringa di testo rinvenuta nel codice del malware utilizzato per infettare i sistemi oggetto degli attacchi.

Dall’analisi degli esemplari di malware catturati, gli esperti di Kaspersky ritengono che la campagna di infezione sia stata avviata già a partire dal 2012 e che sia tuttora in corso.

Il vettore di attacco principale è rappresentato da router vulnerabili prodotti dalla società lettone MikroTik. Gli autori del malware sono riusciti a trovare il modo di compromettere questi router inserendovi una libreria DLL malevola, chiamata ipv4.dll.

Quando la vittima si connette al router dal proprio PC mediante l’utility di configurazione Winbox, la DLL malevola viene scaricata assieme ad altre librerie legittime sul filesystem della macchina, caricata in memoria ed eseguita. Questa DLL è il componente principale di Slingshot ed agisce come downloader di ulteriori componenti malevoli, che si trovano a loro volta memorizzati nel router compromesso.

Per poter agire indisturbato, Slingshot tenta di ottenere privilegi elevati sostituendo una libreria legittima di Windows (nei casi esaminati scesrv.dll) che viene caricata dal processo services.exe con i privilegi dell’utente SYSTEM.

Un’altra caratteristica peculiare di Slingshot è la tecnica utilizzata per eseguire parte del codice malevolo in modalità kernel, operazione che di norma nei sistemi operativi aggiornati è quasi impossibile. Slingshot tenta di aggirare le protezioni del sistema individuando ed infettando specifici driver di terze parti affetti da vulnerabilità note. In particolare, Slingshot sfrutta i seguenti driver:

Sfruttano una di queste vulnerabilità, Slingshot è in grado di eseguire in modalità kernel il payload principale del malware, un modulo chiamato Cahnadr (o NDriver). Questo modulo ha la funzione di “regista” ed è in grado di coordinare e fornire le necessarie funzionalità agli altri componenti malevoli scaricati da Slingshot sul PC della vittima ed eseguiti in modalità utente. Il più importante di questi componenti è il modulo con funzione di spyware chiamato GollumApp, dal nome di un personaggio della saga del Signore degli Anelli.

Cahnadr/NDriver è in grado di eseguire codice malevolo in modalità kernel senza danneggiare l’intero file system o causare il crash del sistema (il famigerato Blue Screen), fornendo pieno accesso al disco rigido e alla memoria aggirando le restrizioni di sicurezza del sistema. Cahnadr svolge le seguenti funzionalità malevole principali:

  • azioni di evasione anti-debug e verifica dello stato delle patch del kernel;
  • chiamate dirette dei servizi di sistema per coprire l’attività malevola;
  • intercettazione delle chiamate di sistema dei thread in esecuzione (agganciandosi a KTHREAD::ServiceTable);
  • funzione di rootkit per nascondere il traffico malevolo;
  • iniezione di payload in modalità utente in services.exe;
  • supporto di API malevole ai moduli in modalità utente;
  • funzione di comunicazione via rete;
  • notifica degli eventi relativi ai processi in esecuzione al modulo GollumApp, fornendo interfacce per manipolarne la memoria;
  • monitoraggio di tutti i dispositivi di rete;
  • funzionalità di sniffer sui seguenti protocolli: ARP, TCP, UDP, DNS, ICMP, HTTP.

GollumApp, il modulo più avanzato di Slingshot, implementa quasi 1500 funzioni d’utente per il controllo del file system, le comunicazioni con i server C&C, la persistenza e lo spionaggio. GollumApp è in grado di compiere le seguenti azioni malevole:

  • raccolta di informazioni relative alla rete: tabelle di routing, configurazione, informazioni sui server proxy e impostazioni di AutoConfigUrl;
  • intercettazione di notifiche sulle modifiche alla tabella di routing e all’indirizzo IP dell’interfacce di rete;
  • gestione delle richieste di I/O al proprio file system virtuale cifrato;
  • gestione di comandi per la comunicazione con il CNC;
  • cattura di tutte le password salvate nei browser Mozilla Firefox e Internet Explorer;
  • intercettazione della clipboard;
  • registrazione di tutti i tasti premuti (funzione di keylogger);
  • raccolta di informazioni sulle partizioni dei dischi;
  • raccolta di informazioni sui dispositivi USB ed invio di notifiche quando viene connesso un nuovo dispositivo;
  • lancio di processi con i privilegi di SYSTEM come figli di smss.exe;
  • iniezione di moduli malevoli in specifici processi.

Stando a quanto riportato da Kaspersly, le infezioni di SlingShot sono prevalentemente localizzate in Africa e Medio Oriente (Kenya, Yemen, Afghanistan, Libia, Congo, Giordania, Turchia, Iraq, Sudan, Somalia e Tanzania). La maggior parte delle vittime, in tutto un centinaio quelle finora scoperte, sembrano essere singoli individui piuttosto che organizzazioni, ma tra i bersagli di questa APT ci sono anche alcune organizzazioni e istituzioni governative.

Per proteggersi da questa minaccia, si raccomanda agli utenti di router MikroTik di aggiornare il firmware del dispositivo (RouterOS) e l’applicazione Winbox alle versioni più recenti disponibili. Il produttore ha dichiarato che la versione più recente di Winbox (3.12) non scarica più il file ipv4.dll dal router, bloccando di fatto l’azione del malware.

Si tenga presente che lo sfruttamento dei router MikroTik potrebbe non essere l’unico vettore di attacco di SlingShot. Altri dispositivi di altri produttori potrebbero essere potenzialmente coinvolti. Inoltre, l’APT potrebbe teoricamente sfruttare altri exploit noti per penetrare nei sistemi Windows.

Per maggiori informazioni su questa minaccia, compresi i dettagli tecnici del malware e svariati IoC, è possibile consultare le seguenti fonti esterne (in Inglese):

Notizie correlate

Più di 100.000 router compromessi dal malware GhostDNS

5 ottobre 2018

I ricercatori di Qihoo 360 hanno scoperto una campagna di diffusione del malware GhostDNS che modifica le impostazioni del DNS per dirottare il traffico di router residenziali verso pagine Web malevole.Leggi tutto

Vulnerabilità in router MikroTik consente l’intercettazione del traffico

5 settembre 2018

I ricercatori di sicurezza della società cinese Qihoo 360 hanno recentemente individuato migliaia di router MikroTik compromessi sfruttando exploit di due differenti vulnerabilità note.Leggi tutto

Il malware VPNFilter attacca router e dispositivi NAS

24 maggio 2018

I ricercatori di Cisco Talos hanno pubblicato i risultati parziali dell'analisi di VPNFilter, un malware modulare molto avanzato che prende di mira dispositivi IoT come router in ambito SoHo e apparati NAS.Leggi tutto