Pikabot es un troyano malicioso descubierto recientemente y, con la actualización de junio de Sophos NDR, hemos añadido un modelo adicional de machine learning para detectar el patrón de tráfico cifrado de la comunicación sospechosa de Pikabot. Esta capacidad de detección ya se ha desplegado en los sensores de Sophos NDR, y no se requieren actualizaciones adicionales.
Cómo funciona Pikabot
Como troyano, Pikabot es modular y consta de dos componentes principales: un cargador y un módulo central. El módulo central ejecuta la mayoría de las funciones del malware, mientras que el cargador ayuda a llevar a cabo estas actividades maliciosas.1.2.
Pikabot funciona como una puerta trasera, que permite el acceso remoto no autorizado a los sistemas comprometidos. Recibe órdenes de un servidor de mando y control (C2), que pueden ir desde inyectar shellcode arbitrario, DLL o archivos ejecutables, hasta distribuir otras herramientas maliciosas como Cobalt Strike. Esto sugiere que Pikabot podría ser un potente actor en ataques de varias fases.
Los comandos que puede ejecutar son diversos, incluyendo la ejecución de comandos shell, la obtención y ejecución de archivos EXE o DLL, el envío de información adicional del sistema, la alteración del intervalo de check-in del C2, e incluso un comando “destruir” que actualmente no está implementado.1
Distribución
Los primeros análisis llevaron a los investigadores a creer que Pikabot era distribuido por el troyano Qakbot. Sin embargo, estudios posteriores revelaron que los métodos de distribución de Pikabot reflejan los de Qakbot. Los métodos exactos de distribución siguen siendo en cierto modo un misterio, pero se han identificado claros paralelismos con las campañas conocidas de Qakbot.1
Modus operandi de Pikabot
La estructura modular de Pikabot le permite llevar a cabo diversas actividades maliciosas. Aunque el componente cargador tiene una funcionalidad limitada, el módulo central es donde ocurre la verdadera acción. Pikabot despliega un inyector para ejecutar pruebas anti-análisis antes de desencriptar e inyectar la carga útil del módulo central. Si alguna de estas pruebas falla, Pikabot aborta su ejecución, dificultando a los investigadores el análisis y la comprensión de sus acciones.
En cuanto a las técnicas anti-análisis, Pikabot comprueba la presencia de depuradores, puntos de interrupción e información del sistema. Utiliza herramientas públicas como ADVobfuscator para la ofuscación de cadenas y dispone de numerosos métodos para detectar entornos sandbox, depuración y otros intentos de análisis.
La carga útil del módulo central está cifrada y almacenada en imágenes PNG. Estas imágenes se descifran utilizando una clave codificada de 32 bytes, y los datos descifrados se procesan posteriormente utilizando AES (modo CBC). A continuación, la carga útil se inyecta en un proceso especificado, como WerFault, y Pikabot establece determinadas banderas para proteger el proceso inyectado de los binarios de Microsoft no firmados.2
Hallazgos interesantes
Una de las características intrigantes de Pikabot es su auto desconexión si el idioma del sistema es georgiano, kazajo, uzbeko o tayiko. Esto sugiere que los autores pueden estar evitando deliberadamente sistemas en regiones geográficas específicas. Además, Pikabot parece estar en las primeras fases de desarrollo, como sugiere su número de versión (0.1.7) encontrado en su comunicación inicial con el servidor C2.2
También hay sorprendentes similitudes entre Pikabot y otra familia de malware, Matanbuchus. Ambos están escritos en C/C++, utilizan una división de componentes loader/core, emplean JSON+Base64+crypto para el tráfico, y utilizan ampliamente cadenas hardcoded. Estas similitudes apuntan a una posible conexión entre las dos familias de malware.1
Infraestructura C2 de Pikabot
Con la actualización de junio de 2023 de Sophos NDR, añadimos un modelo CNN para detectar Pikabot y ya hemos descubierto varios servidores C2 nuevos:
| IP | PUERTO | Virus Total | JARM |
|---|---|---|---|
| 192[.]9[.]135[.]73 | 1194 | Link | 21d19d00021d21d21c21d19d21d21dd188f9fdeea4d1b361be3a6ec494b2d2 |
| 185[.]87[.]148[.]132 | 1194 | Link | 21d19d00021d21d21c21d19d21d21dd188f9fdeea4d1b361be3a6ec494b2d2 |
| 45[.]154[.]24[.]57 | 2078 | Link | 21d19d00021d21d21c21d19d21d21dd188f9fdeea4d1b361be3a6ec494b2d2 |
| 45[.]85[.]235[.]39 | 2078 | Link | 21d19d00021d21d21c21d19d21d21dd188f9fdeea4d1b361be3a6ec494b2d2 |
| 129[.]153[.]135[.]83 | 2078 | Link | 21d19d00021d21d21c21d19d21d21dd188f9fdeea4d1b361be3a6ec494b2d2 |
| 193[.]122[.]200[.]171 | 2078 | Link | 21d19d00021d21d21c21d19d21d21dd188f9fdeea4d1b361be3a6ec494b2d2 |
| 104[.]233[.]193[.]227 | 2078 | Link | 21d19d00021d21d21c21d19d21d21dd188f9fdeea4d1b361be3a6ec494b2d2 |
| 94[.]199[.]173[.]6 | 2222 | Link | 21d19d00021d21d21c21d19d21d21dd188f9fdeea4d1b361be3a6ec494b2d2 |
| 132[.]148[.]79[.]222 | 2222 | Link | 21d19d00021d21d21c21d19d21d21dd188f9fdeea4d1b361be3a6ec494b2d2 |
| 38[.]54[.]33[.]239 | 2222 | Link | 21d19d00021d21d21c21d19d21d21dd188f9fdeea4d1b361be3a6ec494b2d2 |
| 144[.]172[.]126[.]136 | 2222 | Link | 21d19d00021d21d21c21d19d21d21dd188f9fdeea4d1b361be3a6ec494b2d2 |
| 129[.]80[.]164[.]200 | 32999 | Link | 21d19d00021d21d21c21d19d21d21dd188f9fdeea4d1b361be3a6ec494b2d2 |
| 129[.]153[.]22[.]231 | 32999 | Link | 21d19d00021d21d21c21d19d21d21dd188f9fdeea4d1b361be3a6ec494b2d2 |
NOTA: La información de VirusTotal para las detecciones de Sophos tiene retraso.
Dejar un comentario