martes, 19 de junio de 2018

MirageFox, otra APT de procedencia china

La reutilización de código entre distintas familias  de malware, ha permitido identificar una nueva variante compuesta por código de Mirage y Reaver, APT's viejas conocidas y asociadas a la organización APT15, presuntamente vinculada al gobierno chino.



Configuración de MirageFox, que hace referencia a Mirage. Extraída de intezer.com.


Reutilizar código es lo más natural del mundo. De hecho, es lo que debes hacer si quieres escribir buen código, ya que escribir código reutilizable no tiene como única ventaja que sea reutilizable. Al tener la reutilización como meta final, debes esforzarte en que el código sea modular y legible, por lo que básicamente tienes que escribir código reutilizable aunque no tengas pensado utilizarlo de nuevo en otro sitio. Para empezar, porque te puedes equivocar y quizá termines reusándolo, y por supuesto por las ventajas adicionales ya comentadas que acarrean esta buena práctica.


No es de extrañar que sea una práctica extendida entre los programadores de malware. Al fin y al cabo, la creciente complejidad del malware ha hecho que el esfuerzo estimado para producir un único malware se incremente, aproximadamente, en un orden de magnitud cada década. Por tanto, la creación de código reutilizable es imperativa a estas alturas. El término malware no significa otra cosa que "software malicioso", que únicamente hace referencia a la intención del software. No nos pueden sorprender por tanto cosas como que el malware comparte con el goodware (software benigno) un nivel de calidad del código similar, o el tamaño de los equipos dedicados a la programación de éstos.

Y reutilizar código es lo que parece que ha hecho APT15, un grupo conocido por sus acciones de espionaje informático contra compañías y organizaciones de distintos países, atacando a diversos sectores como la industria del petróleo, contratistas de gobiernos, los militares... Una empresa israelí llamada Intezer, que basa su modelo de negocio en la identificación de reutilización de código en malware, ha sido la que ha reconocido esta evolución de Mirage que ha bautizado como MirageFox.

En resumen, las características técnicas de esta nueva versión no son algo a destacar. Es una herramienta de administración remota (RAT) que recopila información del equipo infectado y espera órdenes de un servidor central (C&C). Lo que llama la atención de esta versión es que las muestras encontradas hacen referencia a un servidor central en la misma red local del equipo infectado. Basándose en el modus operandi de APT15 en un ataque anterior, los investigadores de Intezer han concluido que probablemente esta muestra fue configurada especialmente para ejecutarse en una red ya comprometida, concretamente una VPN (red virtual privada) cuya clave privada fue robada previamente por APT15.







Probablemente lo más interesante de esta noticia es que pone el foco de atención sobre métodos alternativos de detección de malware, por contraposición a las clásicas firmas que identifican muestras de familias concretas. Detectar nuevas muestras que han reutilizado código de malware anterior precisamente por detectar la reutilización de código parece una aproximación bastante buena, debido a la tendencia a reutilizar código por parte de los programadores de malware.


Carlos Ledesma
@Ravenons


Más información:

MirageFox: APT15 Resurfaces With New Tools Based On Old Ones
https://www.intezer.com/miragefox-apt15-resurfaces-with-new-tools-based-on-old-ones/

A Look into 30 Years of Malware Development from a Software Metrics Perspective
https://cosec.inf.uc3m.es/~juan-tapiador/papers/2016raid.pdf