Pegasus: análisis del comportamiento de la red

Josep Verdura - Analista de Seguridad de Vintegris

Josep Verdura – Analista de Seguridad de Vintegris

El código fuente de Pegasus, un troyano bancario, fue publicado recientemente en línea.

Aunque grupo cibercriminal de Carbanak fue referenciado en el nombre del archivo, los investigadores han demostrado que Pegasus en realidad es obra de un grupo diferente conocido como Buhtrap (Ratopak), lo cual constituye una falsa bandera.

El archivo contiene una descripción general del troyano, su código fuente, descripción de los procedimientos bancarios rusos e información sobre los empleados en varios bancos rusos.

La arquitectura del código fuente de Pegasus es bastante interesante. La funcionalidad se divide entre varios módulos, que se combinan en un binpack único en tiempo de compilación.

Durante la compilación, los ejecutables se firman con un certificado del archivo tric.pfx, que falta en el archivo.

El comportamiento de la red de Pegasus no es menos curioso. Después de la infección, Pegasus intenta propagarse dentro del dominio y puede actuar como un proxy para mover datos entre los sistemas, con la ayuda de los circuitos y el transporte de Mailslot.

Nos enfocamos en los aspectos únicos del comportamiento de la red del malware y rápidamente agregamos firmas de detección a PT Network Attack Discovery.

Gracias a esto, todos los usuarios de PT NAD pueden detectar rápidamente este troyano y sus modificaciones en sus propias redes.

En esta nota explico cómo se propaga Pegasus en una red y cómo las copias de Pegasus se comunican entre sí.

Estructura Básica

Una vez en la computadora de una víctima, el módulo inicial (InstallerExe) utiliza el proceso de vaciamiento para inyectar el código en svchost.exe. Después de que los módulos principales se inicializan, Pegasus lanza varios procesos paralelos:

Replicación de dominio: recopila información sobre la red e intenta expandir Pegasus a otros sistemas de Windows.

Escucha de Mailslot: Escucha las transmisiones de Mailslot, que Pegasus utiliza para enviar credenciales robadas. El nombre de la ranura se genera en tiempo de compilación.

Escucha de servidor de canal: escucha el canal de Windows con un nombre derivado del nombre de la computadora. Esos circuitos se utilizan principalmente para descubrir y comunicarse con otras copias de Pegasus en la misma red.

Contraseñas de inicio de sesión: prueba en pequeños lapsos de tiempo para eliminar las credenciales de la memoria con la ayuda de un módulo basado en Mimikatz.

Conectividad de red: responsable de la interacción con el servidor de C & C e intercambiando mensajes periódicamente.

 

 

Por Josep Verdura – Analista de Seguridad de Vintegris