Herramienta de hacking Dark Pulsar de un grupo de Shadow Brokers

El nuevo módulo administrativo de Shadow Brokers Hacking Group llamado DarkPulsar Leaks con persistencia de puerta trasera para proporcionar control remoto a los atacantes.

Hay dos Frameworks sofisticados llamados DanderSpritz y FuzzBunch publicados en 2017 por los mismos Shadow Brokers.

Los módulos de Frameworks Framework contienen varias funcionalidades persistentes y avanzadas con una variedad de complementos que están diseñados para analizar víctimas, explotar vulnerabilidades, programar tareas y el otro módulo ayuda a monitorear las máquinas ya controladas.

Esta filtración de la campaña de ciberespionaje llamada "Lost in Translation" contiene el nuevo implante que descubrió DarkPulsar.

Actúa como un módulo administrativo durante la etapa posterior a la explotación y permite el control remoto mediante el control de una puerta trasera pasiva denominada 'sipauth32.tsp'.

Los atacantes dirigidos principalmente contra Windows 2003/2008 Server y las víctimas apuntan principalmente a energía nuclear, telecomunicaciones, TI, aeroespacial e I + D que se ubican en Rusia, Irán y Egipto.

Los investigadores identificaron que hay 50 víctimas que se identificaron inicialmente, pero creen que mucho más cuando se utilizaron activamente los marcos de Fuzzbunch y DanderSpritz, también los atacantes eliminan su malware de las computadoras de las víctimas una vez que detienen su campaña de ciberespionaje.

Proceso de infección DarkPulsar

Inicialmente, se utilizan 2 funciones exportadas sin nombre para instalar la puerta trasera en la máquina de las víctimas seleccionadas y el nombre de la función relacionado con 2 nombres.

  • TSPI (Interfaz de proveedor de servicios de telefonía): asegúrese de que la puerta trasera esté en la lista de ejecución automática
  • SSPI (Interfaz de proveedor de soporte de seguridad): implemente la carga útil maliciosa principal.

DarkPulsar es responsable de exportar las funciones y tiene el mismo nombre que las funciones de la interfaz.

Según la investigación de Kaspersky, el implante se instala en el sistema mediante la función exportada sin nombre. La puerta trasera se inicia llamando a Secur32.AddSecurityPackage con privilegios de administrador con la ruta a su propia biblioteca en el parámetro, lo que hace que lsass.exe cargue DarkPulsar como SSP / AP y llame a su función exportada SpLsaModeInitialize utilizada por DarkPulsar para inicializar la puerta trasera.

Posteriormente, DarkPulsar controla el proceso de autenticación basado en los siguientes protocolos.

  • Msv1_0.dll - para el protocolo NTLM
  • Kerberos.dll - para el protocolo Kerberos
  • Schannel.dll - para los protocolos TLS / SSL
  • Wdigest.dll - para el protocolo Digest, y Lsasrv.dll - para el protocolo de negociación.

Una vez que obtiene con éxito el proceso anterior, obtiene la capacidad de integrar el tráfico de malware en los protocolos del sistema y se reflejará en el proceso del sistema.

Tráfico de red durante la conexión exitosa

“Otra ventaja de la autenticación de control es la capacidad de omitir el ingreso de un nombre de usuario y una contraseña válidos para obtener acceso a los objetos que requieren autenticación, como la lista de procesos, el registro remoto y el sistema de archivos a través de SMB. ”

Los investigadores no han visto ninguna técnica para robar dinero en este implante, pero vale la pena tener en cuenta que este implante puede ejecutar cualquier código ejecutable, por lo que su funcionalidad se puede aumentar significativamente. Dijo Kaspersky.

Fecha actualización el 2021-10-22. Fecha publicación el 2018-10-22. Categoría: herramientas Autor: Oscar olg Mapa del sitio Fuente: gbhackers
herramientas