IPfuscation é a nova técnica do Hive para evitar a detecção
O grupo de ransomware Hive adotou uma nova técnica de ofuscação para evitar a detecção. A técnica envolve endereços IPv4 e uma série de conversões que levam ao download do Cobalt Strike Beacon.
A técnica de IPfuscação
Pesquisadores do Sentinel Labs descobriram a nova técnica de ofuscação, apelidada de IPfuscation, que é basicamente uma tentativa simples, mas inteligente, dos agentes de ameaças.
- O IPfuscation foi descoberto quando os pesquisadores estavam analisando executáveis do Windows Portable de 64 bits.
- A carga útil foi ofuscada na forma de uma matriz de endereços IPv4 ASCII.
- Parece uma lista não prejudicial de endereços IP, no entanto, eles formam o blob para um shellcode quando os dados são agrupados.
- A lista pode ser confundida com informações de comunicação C2 codificadas. No entanto, nenhuma informação útil pode ser extraída a menos que o arquivo (a lista de endereços IPv4) seja tratado usando um conversor.
- Após a execução, o shellcode baixa outras cargas maliciosas.
Na fase final do ataque
Quando a lista de endereços IP é passada para a função de conversão (ip2string[.]h), ela converte a string em binário e um blob de shellcode aparece.
- O malware executa o shellcode por meio de SYSCALLs diretos ou execução de proxy usando callback no enumerador de linguagem da interface do usuário, terminando em um stager Cobalt Strike padrão (variante do Hell’s Gate).
- Além disso, os pesquisadores identificaram variantes adicionais de IPfuscation usando IPv6 em vez de endereços IPv4, UUIDs e endereços MAC, todos operando quase da mesma maneira.
Notas finais
A técnica IPfuscation mostra que as assinaturas estáticas para detecção de carga maliciosa não são seguras o suficiente. Para uma melhor detecção de ameaças maliciosas, os especialistas sugerem o uso de detecção comportamental, análise assistida por IA e endpoint holístico coletando entradas suspeitas de vários pontos.
Fonte: https://cyware.com/