BITS et Bytes : Analyse de BITSLOTH, une porte dérobée nouvellement identifiée

BITSLOTH en bref

BITSLOTH est une porte dérobée Windows récemment découverte qui exploite le service de transfert intelligent en arrière-plan (BITS) comme mécanisme de commande et de contrôle. BITSLOTH a été découvert lors d'une intrusion dans la région LATAM au début de l'été. À notre connaissance, ce logiciel malveillant n'a pas fait l'objet d'une documentation publique et, bien que l'on ne sache pas exactement qui est à l'origine de ce logiciel, il est en cours de développement depuis plusieurs années, si l'on en croit le suivi des différentes versions téléchargées sur VirusTotal.

L'itération la plus récente de la porte dérobée au moment de la publication du présent document comporte des fonctions de traitement 35 , y compris des capacités d'enregistrement de frappe et de capture d'écran. En outre, BITSLOTH contient de nombreuses fonctions de découverte, d'énumération et d'exécution en ligne de commande. Sur la base de ces capacités, nous estimons que cet outil est conçu pour recueillir des données auprès des victimes.

Principaux points abordés dans cet article

• BITSLOTH est une porte dérobée Windows récemment découverte.
• BITSLOTH utilise une fonction intégrée de Microsoft, Background Intelligent Transfer Service (BITS), pour la communication de commande et de contrôle.
• BITSLOTH dispose de nombreux gestionnaires de commandes utilisés à des fins de découverte, d'énumération, d'exécution et de collecte.
• La porte dérobée contient des fonctions de journalisation et des chaînes de caractères compatibles avec le fait que les auteurs sont des locuteurs natifs chinois.

Découverte

Notre équipe a observé l'installation de BITSLOTH sur un environnement serveur le 25 juin lors de REF8747, une intrusion dans le ministère des Affaires étrangères d'un gouvernement sud-américain. L'intrusion a été retracée jusqu'à l'exécution de PSEXEC sur l'un des points d'accès infectés. Les attaquants ont utilisé une série d'outils accessibles au public pour la plupart de leurs opérations, à l'exception de BITSLOTH.

• RINGQ
• IOX
• STOWAWAY
• GODPOTATO
• NOPAC
• MIMIKATZ
• PPLFAULT
• CERTIFIER

L'un des principaux mécanismes d'exécution était un projet de chargement de shellcode appelé RINGQ. De la même manière que DONUTLOADER, RINGQ convertit n'importe quel exécutable Windows et génère un shellcode personnalisé qu'il place dans un fichier ( main.txt). Ce shellcode est décrypté et exécuté en mémoire. Cette technique permet de contourner les défenses qui reposent sur des listes de blocs de hachage ou des signatures statiques dans certains produits anti-programmes malveillants.

Nous avons observé que RINGQ était utilisé pour charger le transitaire de port IOX. Note : La clé dans l'image ci-dessous est la conversion hexadécimale de "whoami".

En outre, les attaquants ont utilisé l'utilitaire STOWAWAY pour acheminer par proxy le trafic chiffré via HTTP vers leurs serveurs C2. Les outils proxy, les tunneliers et les redirecteurs sont couramment utilisés lors d'intrusions pour dissimuler l'adversaire responsable de l'intrusion. Ces outils offrent aux adversaires diverses fonctionnalités, notamment la possibilité de contourner les contrôles des réseaux internes, de fournir des interfaces de terminal, des capacités de cryptage ainsi que des options de transfert de fichiers.

Après l'accès initial, l'acteur s'est déplacé latéralement et a déposé BITSLOTH sous la forme d'une DLL (flengine.dll) dans le répertoire ProgramData. L'acteur a ensuite exécuté le programme de création musicale FL Studio (fl.exe). Sur la base de la pile d'appels observée associée à l'alerte d'auto-injection, nous avons confirmé que l'auteur de la menace a utilisé une technique traditionnelle de chargement latéral à l'aide d'une version signée de FL Studio.

  c:\windows\syswow64\ntdll.dll!0x770841AC
  c:\windows\syswow64\ntdll.dll!0x7709D287
  c:\windows\syswow64\kernelbase.dll!0x76ED435F
  c:\windows\syswow64\kernelbase.dll!0x76ED42EF
  Unbacked!0x14EAB23
  Unbacked!0x14EA8B6
  c:\programdata\pl studio\flengine.dll!0x74AD2F2E
  c:\programdata\pl studio\fl.exe!0xDB3985
  c:\programdata\pl studio\fl.exe!0xDB3E5E
  c:\programdata\pl studio\fl.exe!0xDB4D3F
  c:\windows\syswow64\kernel32.dll!0x76B267F9
  c:\windows\syswow64\ntdll.dll!0x77077F4D
  c:\windows\syswow64\ntdll.dll!0x77077F1B

Cette pile d'appels a été générée en même temps qu'une alerte d'injection de processus et a permis aux chercheurs d'extraire une DLL en mémoire qui avait été définie avec des protections de page en lecture/écriture/exécution (RWX).

BITSLOTH overview

Au cours de notre analyse, nous avons trouvé plusieurs échantillons plus anciens de BITSLOTH qui témoignent d'un développement depuis décembre 2021. Dans le cadre de ce projet, le développeur du logiciel malveillant a choisi une terminologie remarquable, désignant BITSLOTH comme le composant Slaver et le serveur de commande et de contrôle comme le composant Master. Vous trouverez ci-dessous un exemple de chemin d'accès à un fichier PDB lié à BITSLOTH :

BITSLOTH n'utilise pas d'obscurcissement du flux de contrôle ni de cryptage des chaînes de caractères.

Les échantillons anciens et récents contiennent des chaînes de caractères utilisées à des fins de journalisation et de débogage. Par exemple, au démarrage, une chaîne de caractères est référencée dans la section en lecture seule (.rdata).

Cette chaîne de caractères en chinois simplifié se traduit par : Note: There is already a program running, do not run it again…

Ces petites bribes contenues dans BITSLOTH permettent de mieux comprendre le développement et la hiérarchisation des fonctionnalités, ainsi que ce qui semble être des instructions à l'intention de l'opérateur. Dans la dernière version, un nouveau composant de programmation a été ajouté par le développeur pour contrôler les heures spécifiques auxquelles BITSLOTH doit fonctionner dans un environnement de victimes. Il s'agit d'une caractéristique que nous avons observée dans d'autres familles de logiciels malveillants modernes telles que EAGERBEE.

Analyse du code BITSLOTH

BITSLOTH est une porte dérobée dotée de nombreuses capacités, notamment

• Exécution de commandes
• Chargement et téléchargement de fichiers
• Effectuer l'énumération et la découverte
• Collecte de données sensibles par l'enregistrement des touches et la capture d'écran

Mutex

BITSLOTH utilise un mutex codé en dur (Global\d5ffff77ff77adad657658) dans chaque échantillon pour s'assurer qu'une seule instance est en cours d'exécution à la fois.

Communication

BITSLOTH adopte une architecture client/serveur traditionnelle, le développeur désigne le client comme le composant Slaver et le serveur de commande et de contrôle (C2) comme le composant Master. Le développeur incorpore l'IP/port du serveur C2 dans chaque échantillon avec une chaîne chargée en amont (rrrr_url). Cette chaîne sert de clé pour identifier la configuration C2 en elle-même lorsqu'elle est en mémoire. Elle est utilisée lors de la mise à jour du serveur C2.

Dans plusieurs exemples observés par notre équipe, l'auteur de la menace configure des plages d'adresses IP internes et externes.

rrrr_url216.238.121[.]132:8443
rrrr_url192.168.1[.]125:8443 
rrrr_url192.168.1[.]124:8443
rrrr_url45.116.13[.]178:443

L'une des caractéristiques de BITSLOTH est l'utilisation du service de transfert intelligent en arrière-plan (BITS) pour C2. Bien que cette fonction ait été conçue pour faciliter le transfert de fichiers entre deux machines, elle a été utilisée de manière abusive par de nombreux groupes parrainés par l'État et continue de passer inaperçue aux yeux des organisations. Ce moyen est attrayant pour les adversaires car de nombreuses organisations ont encore du mal à surveiller le trafic réseau des BITS et à détecter les tâches inhabituelles des BITS.

Windows dispose d'une fonction d'administration du système appelée Background Intelligent Transfer Service (BITS) qui permet le téléchargement et le chargement de fichiers vers des serveurs web HTTP ou des partages SMB. Le service BITS utilise de nombreuses fonctionnalités au cours du processus de transfert de fichiers, telles que la possibilité d'interrompre/reprendre les transferts, la gestion des interruptions de réseau, etc. Le trafic BITS est généralement associé à des mises à jour de logiciels et est donc considéré à tort comme fiable. De nombreuses organisations manquent de visibilité sur le trafic du réseau BITS, ce qui en fait une cible attrayante.

L'API BITS est exposée à travers le Component Object Model (COM) de Window en utilisant l'interface IBackgroundCopyManager. Cette interface permet de créer de nouveaux travaux, d'énumérer les travaux existants dans la file d'attente de transfert et d'accéder à un travail spécifique à partir d'une file d'attente de transfert.

Après l'initialisation, BITSLOTH annule tous les travaux BITS existants sur la machine victime qui correspondent aux noms d'affichage suivants :

• WU Client Download
• WU Client Upload
• WU Client Upload R

Ces noms sont utilisés par le développeur pour associer les différents travaux de transfert du BITS à leur type de travail respectif. En annulant toutes les tâches existantes, l'exécution du logiciel malveillant se fait à partir d'un état propre.

Vous trouverez ci-dessous les définitions Microsoft correspondant au type d'emploi BITS :

• BG_JOB_TYPE_DOWNLOAD - Spécifie que le travail télécharge des fichiers vers le client.
• BG_JOB_TYPE_UPLOAD - Spécifie que le job télécharge un fichier sur le serveur.
• BG_JOB_TYPE_UPLOAD_REPLY - Spécifie que le job télécharge un fichier vers le serveur et reçoit un fichier de réponse de l'application serveur.

Après avoir annulé tout travail existant, l'adresse MAC et les informations relatives au système d'exploitation sont récupérées et placées dans des variables globales. Une nouvelle discussion est créée, configurant la fonctionnalité de démarrage automatique. Dans ce fil de discussion, un nouveau job de téléchargement BITS est créé avec le nom (Microsoft Windows).

Cette tâche de téléchargement définit l'URL de destination à http://updater.microsoft[.]com/index.aspx. Bien que ce domaine ne soit pas routable, BITSLOTH masque cette tâche BITS en utilisant un domaine d'apparence bénigne comme couverture, puis utilise SetNotifyCmdLine pour exécuter le logiciel malveillant lorsque l'état de transfert est modifié.

Il est intéressant de noter que cette marque unique nous a permis d'accéder à d'autres échantillons montrant que cette famille était en circulation depuis plusieurs années.

À ce stade, le logiciel malveillant a été configuré avec une persistance par le biais d'une tâche BITS nommée Microsoft Windows. Vous trouverez ci-dessous une capture d'écran de la configuration de ce travail montrant la ligne de commande de notification définie à l'emplacement BITSLOTH (C:\ProgramData\Media\setup_wm.exe).

Une fois que BITSLOTH sera actif, il commencera à demander des instructions au serveur C2 à l'aide de la tâche WU Client Download. Cette URL de demande est générée en combinant l'adresse MAC avec une chaîne codée en dur (wu.htm). Vous trouverez ci-dessous un exemple d'URL :

https://192.168.182.130/00-0C-29-0E-29-87/wu.htm

En réponse à cette demande, le logiciel malveillant reçoit du serveur C2 une structure de 12 octets contenant un identifiant unique pour le travail, un identifiant de commande pour le gestionnaire et un jeton de réponse. Tout au long de ces échanges de transferts de fichiers, des fichiers temporaires de la machine victime sont utilisés pour conserver les données transmises dans les deux sens. BITSLOTH utilise un nom de fichier commençant par des caractères (wm) suivis de caractères aléatoires.

Fonctionnalité des commandes

BITSLOTH utilise un gestionnaire de commandes avec des fonctions 35 pour traiter les actions spécifiques qui doivent être effectuées sur la machine victime. Le logiciel malveillant a la possibilité d'être configuré avec HTTP ou HTTPS et utilise un XOR codé en dur sur un seul octet (0x2) pour obscurcir les instructions entrantes du serveur C2. Les requêtes sortantes contenant les données collectées sur les victimes ne bénéficient d'aucune protection supplémentaire de la part du logiciel malveillant lui-même et sont envoyées en clair.

Afin d'agir rapidement, notre équipe s'est appuyée sur une implémentation Python utile d'un serveur BITS publiée par SafeBreach Labs. En réglant l'IP C2 sur notre adresse loopback à l'intérieur d'une VM, cela nous a permis d'obtenir une introspection sur le trafic réseau.

Les gestionnaires se comportent tous de la même manière : ils exécutent une fonction principale, puis écrivent les données qu'ils renvoient dans un fichier temporaire local. Ces fichiers temporaires sont ensuite affectés à une tâche de téléchargement du BITS appelée WU Client Upload. Chaque gestionnaire utilise son propre formatage de chaîne pour créer une URL de destination unique. Chaque nom de fichier à la fin de l'URL utilise une seule lettre pour représenter le type de données collectées auprès de l'hôte, par exemple P.bin pour les processus ou S.bin pour les services.

http://192.168.182.130/00-0C-29-0E-29-87/IF/P.bin

Vous trouverez ci-dessous un exemple de capture d'écran montrant le gestionnaire d'énumération de processus avec le formatage de la chaîne et la façon dont ces données sont ensuite liées au travail de téléchargement du BITS.

Ce lien avec les données exfiltrées peut également être observé en visualisant directement le travail de téléchargement du BITS. Dans les captures d'écran ci-dessous, nous pouvons voir l'URL de destination (serveur C2) pour le téléchargement et le fichier temporaire (wm9F0C.tmp) lié au travail.

Si nous examinons le fichier temporaire, nous pouvons voir les informations de processus collectées sur l'hôte victime.

Peu après la création de la tâche de téléchargement, les données sont envoyées sur le réseau par le biais d'une requête BITS_POST contenant les données capturées.

Tableau de traitement des commandes

Fonctionnalité de la porte dérobée

BITSLOTH comprend un large éventail de capacités post-compromission permettant à un adversaire d'opérer dans l'environnement d'une victime. Nous nous concentrerons sur les capacités les plus importantes en les regroupant en différentes catégories.

Discovery/enumeration

Une partie des gestionnaires de BITSLOTH se concentre sur la récupération et l'énumération des données des machines victimes. Il s'agit notamment de

• Récupération des informations sur les processus via WTSEnumerateProcessesW
• Collecte des services Windows via EnumServicesStatusW
• Enumération de toutes les fenêtres de premier niveau via EnumWindows avec une fonction de rappel
• Récupération d'informations sur le système à l'aide d'utilitaires Windows tels que systeminfo et msinfo32

Dans de nombreux gestionnaires, la version locale est configurée sur chs (chinois simplifié).

BITSLOTH dispose de quelques fonctions d'énumération personnalisées liées à la récupération de listes de fichiers et à la recherche d'arborescences de répertoires. Le gestionnaire de listes de fichiers prend un paramètre personnalisé de l'opérateur pour cibler les emplacements de dossiers spécifiques d'intérêt :

• GET_DESKDOP → CSIDL_DESKTOPDIRECTORY (Desktop)
• GET_BITBUCKET -> CSIDL_BITBUCKET (Corbeille)
• GET_PERSONAl -> CSIDL_MYDOCUMENTS (Mes documents)

BITSLOTH a également la capacité de collecter des listes complètes de répertoires/fichiers sur la machine pour chaque fichier en utilisant l'utilitaire d'arborescence de Windows. Ce gestionnaire parcourt l'alphabet en boucle pour chaque lettre de lecteur où les données sont ensuite enregistrées localement dans un fichier temporaire nommé aghzyxklg.

Les données de l'arbre sont ensuite compressées et envoyées au serveur C2 avec une extension .ZIP. Vous trouverez ci-dessous un exemple des données collectées. Ces données peuvent aider à localiser les fichiers sensibles ou fournir plus de détails sur l'environnement cible.

Collecte

En ce qui concerne la collecte, quelques gestionnaires sont utilisés pour recueillir activement des informations. Elles sont centrées sur la capture d'écran du bureau et l'exécution de fonctions d'enregistrement de frappe.

BITSLOTH met en œuvre une fonction légère utilisée pour identifier les périphériques d'enregistrement de capture. Il semble s'agir d'une technique permettant de vérifier la présence d'une caméra à l'aide de l'API Windows(capGetDriverDescriptionW).

BITSLOTH a la capacité de prendre des captures d'écran en fonction des paramètres fournis par l'opérateur. L'entrée de cette fonction utilise un séparateur (||) où l'opérateur fournit le nombre de secondes de l'intervalle de capture et le nombre de captures. Les images sont stockées sous forme de fichiers BMP avec un nom codé en dur ciakfjoab et compressées avec l'algorithme DEFLATE à l'aide d'une archive .ZIP. Ces archives zippées horodatées sont ensuite envoyées au serveur C2.

Le gestionnaire exploite les API de capture d'écran courantes telles que CreateCompatibleBitmap et BitBlt de Gdi32.dll.

Pour enregistrer les frappes au clavier, BITSLOTH utilise des techniques traditionnelles en surveillant les pressions sur les touches à l'aide de GetAsyncKeyState/GetKeyState. Le gestionnaire dispose d'un argument indiquant le nombre de secondes pendant lesquelles l'enregistrement des frappes doit être effectué. Ces données sont également compressées dans un fichier .ZIP et envoyées au serveur C2.

Exécution / Maintenance

BITSLOTH possède de nombreuses capacités en matière de maintenance et d'exécution de fichiers, ainsi que des fonctionnalités de porte dérobée standard telles que :

• Possibilité d'exécuter des fichiers de manière autonome via ShellExecuteW
• Capacité du terminal Windows à exécuter des commandes et à lire des données via des tuyaux
• Créer des répertoires, effectuer des redémarrages, arrêter la machine, mettre fin à des processus
• Effectuer le chargement et le téléchargement de fichiers entre le serveur C2
• Modifier la configuration de BITSLOTH, comme les modes de communication, mettre à jour l'URL C2, désactiver les fonctions d'enregistrement de frappe et de capture d'écran.

BITSLOTH pivots

BITSLOTH semble être activement déployé. Nous avons identifié un autre serveur C2 de BITSLOTH (15.235.132[.]67) utilisant le même port (8443) avec le même certificat SSL que celui utilisé lors de notre intrusion.

While it’s not exactly clear who’s behind BITSLOTH, there was a large amount of activity of VirusTotal uploads occurring on December 12, 2021. With around 67 uploads over 24 hours from one submitter (1fcc35ea), we suspect someone linked to this project was validating detections, making modifications, and uploading different versions of BITSLOTH to VirusTotal. One sample was packed with VMProtect, others stripped of functionality, some uploads were debug builds, etc.

Beaucoup de temps s'est écoulé depuis, mais il est intéressant de voir cette famille apparaître dans une intrusion récente. Quel que soit l'objectif de ce logiciel malveillant, il est surprenant que cette famille soit restée sous le radar pendant tant d'années.

REF 8747 par MITRE ATT&CK

Elastic utilise le cadre MITRE ATT& CK pour documenter les tactiques, techniques et procédures communes que les menaces persistantes avancées utilisent contre les réseaux d'entreprise.

[h4] Tactiques Les tactiques représentent le pourquoi d'une technique ou d'une sous-technique. Il s'agit de l'objectif tactique de l'adversaire : la raison pour laquelle il effectue une action.

• Collecte
• Commande et contrôle
• Découverte
• Exécution
• Exfiltration
• Persistance

Techniques

Les techniques représentent la manière dont un adversaire atteint un objectif tactique en effectuant une action.

• Tâches BITS
• Recherche d'informations sur le système
• Flux d'exécution du pirate : chargement latéral de DLL
• Capture d'écran
• Capture d'entrée : Enregistrement du clavier
• Proxy

Détection de REF8747

Détection

Les règles de détection et les événements de prévention du comportement suivants ont été observés tout au long de l'analyse de cet ensemble d'intrusions :

• Persistance via BITS Job Notify Cmdline
• Tentative d'accès au LSASS par contournement de la PPL
• Tentative d'accès au LSASS à partir d'un exécutable non signé
• Relation parent-enfant suspecte
• Credential Access via Known Utilities (Accès aux identifiants via des utilitaires connus)
• Injection de codes-barres

Signatures de YARA

• Windows.Hacktool.Mimikatz
• Windows.Trojan.BITSloth
• Windows.Hacktool.Iox
• Windows.Hacktool.Rubeus
• Windows.Hacktool.Certify
• Windows.Hacktool.RingQ
• Windows.Hacktool.GodPotato
• Multi.Hacktool.Stowaway

YARA

Elastic Security a créé des règles YARA pour identifier cette activité. Vous trouverez ci-dessous les règles de YARA permettant d'identifier le BITSLOTH :

rule Windows_Trojan_BITSLOTH_05fc3a0a {
    meta:
        author = "Elastic Security"
        creation_date = "2024-07-16"
        last_modified = "2024-07-18"
        os = "Windows"
        arch = "x86"
        threat_name = "Windows.Trojan.BITSLOTH"
  	 license = "Elastic License v2"

    strings:
        $str_1 = "/%s/index.htm?RspID=%d" wide fullword
        $str_2 = "/%s/%08x.rpl" wide fullword
        $str_3 = "/%s/wu.htm" wide fullword
        $str_4 = "GET_DESKDOP" wide fullword
        $str_5 = "http://updater.microsoft.com/index.aspx" wide fullword
        $str_6 = "[U] update error..." wide fullword
        $str_7 = "RMC_KERNEL ..." wide fullword
        $seq_global_protocol_check = { 81 3D ?? ?? ?? ?? F9 03 00 00 B9 AC 0F 00 00 0F 46 C1 }
        $seq_exit_windows = { 59 85 C0 0F 84 ?? ?? ?? ?? E9 ?? ?? ?? ?? 6A 02 EB ?? 56 EB }
    condition:
        2 of them
}

Observations

Toutes les observables sont également disponibles au téléchargement en format ECS et STIX dans un paquet zip combiné.

Les observables suivants ont été examinés dans le cadre de cette recherche.

Références

Les éléments suivants ont été référencés tout au long de la recherche ci-dessus :

• https://github.com/SafeBreach-Labs/SimpleBITSServer/tree/master
• https://github.com/T4y1oR/RingQ
• https://github.com/EddieIvan01/iox
• https://github.com/ph4ntonn/Stowaway/

À propos d'Elastic Security Labs

Elastic Security Labs est la branche d'Elastic Security spécialisée dans le renseignement sur les menaces et dont l'objectif est d'apporter des changements positifs dans le paysage des menaces. Elastic Security Labs fournit des recherches accessibles au public sur les menaces émergentes avec une analyse des objectifs stratégiques, opérationnels et tactiques des adversaires, puis intègre ces recherches aux capacités intégrées de détection et de réponse d'Elastic Security.

Suivez Elastic Security Labs sur Twitter @elasticseclabs et consultez nos recherches sur www.elastic.co/security-labs/.