Este documento describe un caso de ciberamenaza llamado Wirte. Se analiza un archivo .vbs malicioso que se descarga e instala en el equipo de un usuario, abriendo una puerta trasera. Se investiga más para encontrar otros incidentes similares atribuidos a un nuevo grupo llamado Wirte, que parece estar dirigido a objetivos en Oriente Medio. El documento proporciona referencias a informes adicionales sobre este grupo emergente.
4. Arsenal caso ideal
¿Idealmente qué herramientas/fuentes de
información se necesitan?
• Red: acceso al tráfico de red de lo siguiente
• Resoluciones DNS de la organización
• Navegación Web (http, https)
• Netflow
• Otros protocolos como: icmp o netbios.
• Endpoint
• Monitorización de actividad: SYSMON
• Registro antivirus
• Capacidades de actuación sobre loa equipos
• Servidores
• Al menos registro completo de actividad (EventLog/Syslog)
• Dispositivos de seguridad
• Logs de antivirus, WAF, DLP, etc…
• IOCs, TTPs
• Estudio previo que identifique las “Joyas de la Corona”
5. Arsenal caso real
En la realidad…
Factores no técnicos, digamos políticos… limitan
las actuaciones de hunting.
Resoluciones DNS de la organización
6. Hunts DNS
Posibles anomalías – Hunts DNS
¿Qué buscar en los registros de resolución DNS?
• Dominios que resuelven a 127.0.0.0/8 o ips reservadas 192.168.0.0
• Listar servidores DNS
• TOP dominios que resuelven a más Ips (Fastflux)
• TOP dominios más largos (max 253)
• TOP peticiones resueltas
• TOP peticiones no resueltas satisfactoriamente
• Peticiones periódicas – usuarios que resuelven un determinado dominio todos
los días
• TOP dominios con más entropía (Top 11k Alexa es 3.11)
• ddqqdwxc232qwsxasd23re131r1234r12ccwef-dq-.muymalo.com
• TOP dominios con registro TXT grande/variable
• Múltiples subdominios de más de 4 niveles
• Ddqqdwx.c232qw.sxasd23re131r1.234r12ccwef-dq-.muymalo.com
• Dominios con mayúsculas y minúsculas en su resolución (base64??)
• CwqwqShbS5wbA.malicioso.com
7. Hunts DNS
Posibles anomalías – Hunts DNS
¿Qué buscar en los registros de resolución DNS?
• Caracteres no permitidos
• CwqwqShbS5wbA==.malicioso.com
• Uso de punycodes[1]
• S2ɡʀupo.com -> xn--s2upo-smc1t
• Tipo de petición DNS
• Clientes haciendo peticiones TXT (DNS tunneling), AXFR…
• TTL bajos (0)
• Dominios de creación reciente o/y parecidos a los de la organización
• Servicios de DnsDynamico (dyndns, freeddns.org)
• Dominios WPAD con gTLD con colisión[2]
• Round-robin DNS, balanceo a una IP fuera del ASN.
• Distancia de Levenshtein sobre dominios populares
• Microsoft, Google, outlook…
micorsoft.store
19. CASO WIRTE
Continuando la
investigación…
Error tipográfico Wirte -> Write
sub wirteSCT
dim ss
dest = path + "ss.s"
dest = dest + "ct"
ss = "<?XML version=""1.0""?><scriptlet><registration progid=""fdd""
classid=""{F0001111-0000-0000-0000-0000FEEDACDC}""><script
language=""JScript""><![CDATA[var r = new
ActiveXObject(""WScript.Shell"").Run();]]></script></registration></scriptlet>"
wirteFile ss, dest
End sub
¿Atribución?
20. CASO WIRTE
Retrohunt en VT-Intel
Se identifican 5 documentos más diferentes que cumplen el patrón Wirte
• Uno de ellos dirigido aparentemente al Consulado de
Kuwait del Consejo de Cooperación de los Estados
Árabes del Golfo, organismo altamente importante dentro
de los países del Golfo Arábigo.
• 2 más subidos desde Palestina.
• El autor pretende generar una infección entre los “partner
states” de Arabia Saudita, sobre todo a diplomáticos que
forman parte del Consejo de Cooperación de los Estados
Árabes del Golfo.
• Los atacantes además persiguen información con intereses
políticos en la zona geográfica de Gaza y Palestina
¿Atribución?
21. CASO WIRTE
Retrohunt en VT-Intel
Uno de ellos se hace eco Nick Carr el cual comenta nuestro informe
23. CASO WIRTE
Los países y grupos APT que podrían estar detrás inicialmente por intereses son:
• Iran
• Charming Kitten and Copy Kitten
• Prince of Persia
• Madi
• Iran’s Cyber army
• APT 34
• Rocket Kitten
• Mabna Institute
• Siria
• SEA (Syrian Electronic Army)
• Arabia Saudí
• Saudi Arabia crazy hackers
• Dahes
• Cyber caliphate
¿Atribución?
Pero sus TTPs no coinciden con las del atacante por lo que consideramos…
Estamos ante un nuevo grupo…
WIRTE