CSHARP-STREAMER, un troyano de acceso remoto (RAT), fue identificado durante una investigación sobre un ataque de ransomware utilizando Metaencryptor. El cargador Powershell implementa CSHARP-STREAMER y utiliza técnicas disponibles públicamente, como la derivación de memoria AMSI y el descifrado XOR.
Estas partes fueron creadas por el investigador de seguridad GetRektBoy724 (descifrado XOR) y el usuario de Github (omisión de memoria AMSI) y se han utilizado desde que se descubrió por primera vez que CSHARP-STREAMER implementaba el ransomware ALPHV, así como REvil y se ha sugerido que se ha utilizado. en múltiples ataques, incluidas campañas relacionadas con la Operación Cigüeña Blanca.
Uso de la funcionalidad de retransmisión TCP de la RAT
Los investigadores analizaron una variante del malware CSHARP-STREAMER que difiere de las versiones reportadas anteriormente. Esta versión carecía del cliente MegaUpload y de la comunicación ICMP C2 que estaba presente en muestras anteriores.
“¿Su sistema está siendo atacado? Pruebe Cynet XDR: detección y respuesta automatizadas para terminales, redes y usuarios: demostración gratuita”.
Aprovecha la funcionalidad de retransmisión TCP de RAT para moverse entre redes internas, y esta actividad de salto de red puede causar errores forenses como el ID de evento 2004 en el registro de eventos de Windows y las reglas de firewall para el puerto TCP entrante 6667 creado por ‘netsh.exe A trace’. restos.
Las reglas sigma publicadas por Michel de Crevoisier pueden detectar este comportamiento particular. Los actores de amenazas utilizan esta técnica con moderación, ya que es probable que eviten la segmentación dentro de la red de la víctima.
Al intentar infiltrarse en el sistema, los atacantes utilizaron un troyano de acceso remoto (RAT) conocido como Metaencryptor.
Metaencryptor utiliza la funcionalidad de retransmisión para propagarse entre máquinas y emplea scripts de PowerShell para la enumeración de usuarios del dominio en lugar del conjunto de herramientas integrado CSHARP-STREAMER. Esto reveló que la función principal de RAT era ejecutar varios scripts de PowerShell.
Los investigadores analizaron CSHARP-STREAMER, un malware modular que parece usarse en un modelo de malware como servicio o para evadir la detección.
Las primeras versiones (2020) incluían símbolos de depuración y código chino, mientras que las versiones posteriores (versión 2.10.x) aumentaron el número de versión.
Se observaron dos configuraciones. Uno con cliente MegaUpload y otro sin él. Los investigadores creen que CSHARP-STREAMER estuvo activo en 2020 y posiblemente en 2022, aunque no se han encontrado muestras de ese año.
Al mismo tiempo que el uso de RAT ha aumentado significativamente, la exposición de las víctimas a grupos de ransomware como Metaencryptor (a partir de agosto de 2023) y LostTrusts (agosto de 2023) también se ha disparado.
REvil/GoldSouthfield (2021) y otro actor de amenazas (verano de 2022) han usado RAT antes, pero existen algunas diferencias en las tácticas, ya que los corredores de acceso temprano usan RAT para varios grupos de ransomware. Se ha sugerido que pueden estar vendiendo acceso. Esto se ve respaldado por el hecho de que el malware utiliza múltiples configuraciones y es ejecutado por diferentes actores, como ALPHV.
El análisis de malware realizado por HiSolution reveló muestras de desarrollo inicial que contienen rutas de depuración y errores tipográficos como “ListRalays”. Puede utilizar esto para crear reglas de identificación de Yara. En particular, este malware parece funcionar sólo en la memoria.
Otros métodos de detección incluyen registrar bloques de scripts de PowerShell, monitorear la creación de reglas de firewall con netsh.exe, buscar cadenas específicas en la memoria, identificar el agente de usuario “websocket-sharp/1.0” y detectar sitios web específicos. Esto incluye el análisis de encabezados de solicitud.
¿Es usted parte de un equipo SOC/DFIR? Regístrese para obtener una cuenta ANY.RUN gratuita para analizar archivos de malware avanzados.
Fuente: https://cybersecuritynews.com/csharp-streamer-malware-attack-windows/amp/