Security Operations

Análisis en profundidad de la ciberamenaza Pikabot

Descubierto a principios de 2023, el troyano modular Pikabot puede ejecutar una amplia gama de comandos.

Pikabot es un troyano malicioso descubierto recientemente y, con la actualización de junio de Sophos NDR, hemos añadido un modelo adicional de machine learning para detectar el patrón de tráfico cifrado de la comunicación sospechosa de Pikabot. Esta capacidad de detección ya se ha desplegado en los sensores de Sophos NDR, y no se requieren actualizaciones adicionales.

Cómo funciona Pikabot

Como troyano, Pikabot es modular y consta de dos componentes principales: un cargador y un módulo central. El módulo central ejecuta la mayoría de las funciones del malware, mientras que el cargador ayuda a llevar a cabo estas actividades maliciosas.1.2.

Pikabot funciona como una puerta trasera, que permite el acceso remoto no autorizado a los sistemas comprometidos. Recibe órdenes de un servidor de mando y control (C2), que pueden ir desde inyectar shellcode arbitrario, DLL o archivos ejecutables, hasta distribuir otras herramientas maliciosas como Cobalt Strike. Esto sugiere que Pikabot podría ser un potente actor en ataques de varias fases.

Los comandos que puede ejecutar son diversos, incluyendo la ejecución de comandos shell, la obtención y ejecución de archivos EXE o DLL, el envío de información adicional del sistema, la alteración del intervalo de check-in del C2, e incluso un comando “destruir” que actualmente no está implementado.1

Distribución

Los primeros análisis llevaron a los investigadores a creer que Pikabot era distribuido por el troyano Qakbot. Sin embargo, estudios posteriores revelaron que los métodos de distribución de Pikabot reflejan los de Qakbot. Los métodos exactos de distribución siguen siendo en cierto modo un misterio, pero se han identificado claros paralelismos con las campañas conocidas de Qakbot.1

Modus operandi de Pikabot

La estructura modular de Pikabot le permite llevar a cabo diversas actividades maliciosas. Aunque el componente cargador tiene una funcionalidad limitada, el módulo central es donde ocurre la verdadera acción. Pikabot despliega un inyector para ejecutar pruebas anti-análisis antes de desencriptar e inyectar la carga útil del módulo central. Si alguna de estas pruebas falla, Pikabot aborta su ejecución, dificultando a los investigadores el análisis y la comprensión de sus acciones.

En cuanto a las técnicas anti-análisis, Pikabot comprueba la presencia de depuradores, puntos de interrupción e información del sistema. Utiliza herramientas públicas como ADVobfuscator para la ofuscación de cadenas y dispone de numerosos métodos para detectar entornos sandbox, depuración y otros intentos de análisis.

La carga útil del módulo central está cifrada y almacenada en imágenes PNG. Estas imágenes se descifran utilizando una clave codificada de 32 bytes, y los datos descifrados se procesan posteriormente utilizando AES (modo CBC). A continuación, la carga útil se inyecta en un proceso especificado, como WerFault, y Pikabot establece determinadas banderas para proteger el proceso inyectado de los binarios de Microsoft no firmados.2

Hallazgos interesantes

Una de las características intrigantes de Pikabot es su auto desconexión si el idioma del sistema es georgiano, kazajo, uzbeko o tayiko. Esto sugiere que los autores pueden estar evitando deliberadamente sistemas en regiones geográficas específicas. Además, Pikabot parece estar en las primeras fases de desarrollo, como sugiere su número de versión (0.1.7) encontrado en su comunicación inicial con el servidor C2.2

También hay sorprendentes similitudes entre Pikabot y otra familia de malware, Matanbuchus. Ambos están escritos en C/C++, utilizan una división de componentes loader/core, emplean JSON+Base64+crypto para el tráfico, y utilizan ampliamente cadenas hardcoded. Estas similitudes apuntan a una posible conexión entre las dos familias de malware.1

Infraestructura C2 de Pikabot

Con la actualización de junio de 2023 de Sophos NDR, añadimos un modelo CNN para detectar Pikabot y ya hemos descubierto varios servidores C2 nuevos:

IP PUERTO Virus Total JARM
192[.]9[.]135[.]73 1194 Link 21d19d00021d21d21c21d19d21d21dd188f9fdeea4d1b361be3a6ec494b2d2
185[.]87[.]148[.]132 1194 Link 21d19d00021d21d21c21d19d21d21dd188f9fdeea4d1b361be3a6ec494b2d2
45[.]154[.]24[.]57 2078 Link 21d19d00021d21d21c21d19d21d21dd188f9fdeea4d1b361be3a6ec494b2d2
45[.]85[.]235[.]39 2078 Link 21d19d00021d21d21c21d19d21d21dd188f9fdeea4d1b361be3a6ec494b2d2
129[.]153[.]135[.]83 2078 Link 21d19d00021d21d21c21d19d21d21dd188f9fdeea4d1b361be3a6ec494b2d2
193[.]122[.]200[.]171 2078 Link 21d19d00021d21d21c21d19d21d21dd188f9fdeea4d1b361be3a6ec494b2d2
104[.]233[.]193[.]227 2078 Link 21d19d00021d21d21c21d19d21d21dd188f9fdeea4d1b361be3a6ec494b2d2
94[.]199[.]173[.]6 2222 Link 21d19d00021d21d21c21d19d21d21dd188f9fdeea4d1b361be3a6ec494b2d2
132[.]148[.]79[.]222 2222 Link 21d19d00021d21d21c21d19d21d21dd188f9fdeea4d1b361be3a6ec494b2d2
38[.]54[.]33[.]239 2222 Link 21d19d00021d21d21c21d19d21d21dd188f9fdeea4d1b361be3a6ec494b2d2
144[.]172[.]126[.]136 2222 Link 21d19d00021d21d21c21d19d21d21dd188f9fdeea4d1b361be3a6ec494b2d2
129[.]80[.]164[.]200 32999 Link 21d19d00021d21d21c21d19d21d21dd188f9fdeea4d1b361be3a6ec494b2d2
129[.]153[.]22[.]231 32999 Link 21d19d00021d21d21c21d19d21d21dd188f9fdeea4d1b361be3a6ec494b2d2

 

NOTA: La información de VirusTotal para las detecciones de Sophos tiene retraso.