• BookWorm Trojan: Um Modelo de Arquitetura Modular

    Publicado em 11-11-2015 18:21
    0 Comentários Comentários
    Recentemente, enquanto estava sendo feita uma pesquisa relacionada a ataques contra alvos na Tailândia, a Unit 42 descobriu uma ferramenta que inicialmente, parecia ser uma variante do bastante conhecido RAT PlugX. E com base no comportamento observado, ele é muito semelhante ao da praga mencionada, tal como o uso do side-loading DLL e um arquivo de código shell. Depois de realizar uma inspeção mais aprofundada, parece que o novo elemento detectado trata-se de um trojan completamente distinto, que foi chamado de "Bookworm". O código funcional do Bookworm é radicalmente diferente do PlugX, e possui uma arquitetura modular bastante singular, o que justifica uma análise adicional feita pela Unit 42. Além do mais, o trojan Bookworm tem pouca funcionalidade maliciosa embutido, com a sua única habilidade principal envolvendo o roubo de teclas e conteúdo da área de transferência. No entanto, Bookworm expande suas capacidades através da sua habilidade de carregar módulos adicionais diretamente de seu servidor de comando e controle (C2).



    Bookworm: Chapter One

    Até agora, parece que os elementos ligados a esta ameaça teriam implantado o trojan Bookworm principalmente em ataques a alvos na Tailândia. Além disso, Bookworm possui muitas camadas que aumentam a complexidade de sua arquitetura geral. Para piorar ainda mais a situação, o desenvolvedor da praga utilizou vários algoritmos não só para processos de criptografar e decriptografar os arquivos salvos no sistema, mas também para criptografar e decriptografar comunicações de rede entre Bookworm e seus servidores C2 (servidores conhecidos estão listados na seção Indicators of Compromise no fim deste post).


    Layered Loading Approach

    Além de tudo, os responsáveis por essa ameaça passaram a usar uma ferramenta de instalação comercial chamada Smart Installer Maker, com a intenção de encapsular e executar um arquivo RAR de extração automática e, em alguns casos, um "decoy slideshow" ou o aplicativo de instalação do Flash. A self-extracting RAR faz um "write" em um executável legítimo, uma DLL criada pelo elemento chamado Loader.dll e um arquivo chamado readme.txt para o sistema de arquivos e, em seguida, colocar em prática o executável legítimo.


    Saiba Mais:

    [1] Palo Alto Networks http://researchcenter.paloaltonetwor...-architecture/
    + Enviar Comentário