Sibot

De CiberWiki

Sibot es un tipo de programa malicioso que fue diseñado con dos propósitos principales. En primer lugar, busca mantenerse de manera persistente en un sistema que ha comprometido. Esto significa que intenta permanecer oculto y activo en el sistema para llevar a cabo sus acciones maliciosas. En segundo lugar, Sibot tiene la capacidad de descargar y ejecutar otras partes maliciosas en el sistema comprometido. Este malware fue identificado por Microsoft en 2021 en el contexto de la investigación sobre APT29 y la violación de SolarWinds.

Sibot utiliza varias técnicas para llevar a cabo sus actividades maliciosas. Se comunica con un servidor de control y comando a través de solicitudes HTTP GET, utiliza scripts en Visual Basic (VBScript) para ejecutar comandos, y puede desofuscar y decodificar información. Además, tiene la capacidad de modificar el registro del sistema, eliminar rastros asociados y transferir herramientas maliciosas.

NOTA:

Sibot puede considerarse principalmente como un troyano, pero comparte características con otros tipos de malware, como bots y rat, que amplían sus capacidades más allá de las típicas de un troyano convencional.

Funcionamiento

Sibot es un malware de doble propósito que ha sido identificado por Microsoft en el contexto de la investigación sobre APT29 y la violación de SolarWinds. Aunque la información proporcionada por Microsoft no detalla todos los aspectos técnicos de Sibot, se pueden inferir ciertos comportamientos basados en las técnicas evidenciadas hasta el momento yutilizadas por el malware.

  1. Persistencia en el sistema:
    • Sibot emplea técnicas de persistencia para asegurar su permanencia en el sistema comprometido. Puede modificar el Registro de Windows, específicamente en la ruta HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion, para instalar un script de segunda etapa.
  2. Comunicación con el servidor de control y comando (C2):
    • Utiliza solicitudes HTTP GET para comunicarse con su servidor C2. Este mecanismo le permite recibir comandos y enviar información al servidor remoto.
  3. Ejecución de comandos con VBScript:
    • Sibot utiliza Visual Basic Scripting (VBScript) para ejecutar comandos en el sistema comprometido. Esta técnica proporciona flexibilidad al malware para realizar diversas acciones, como recopilar información del sistema o descargar archivos adicionales.
  4. Descarga y ejecución de cargas útiles adicionales:
    • A través de la técnica de "Transferencia de herramienta de ingreso" (T1105), Sibot tiene la capacidad de descargar y ejecutar cargas útiles adicionales en el sistema comprometido. Esto amplía las capacidades maliciosas del malware.
  5. Ofuscación y enmascaramiento:
    • Sibot utiliza técnicas de ofuscación para dificultar su detección. Ofusca scripts utilizados en la ejecución y descarga una DLL en la carpeta C:\windows\system32\drivers\, cambiándole el nombre y asignándole la extensión .sys.
  6. Eliminación de rastros y autodestrucción:
    • Implementa medidas para eliminar rastros y autodestruirse si recibe ciertas respuestas del servidor C2. Puede eliminar una clave de registro asociada y borrar su propio archivo si es necesario.
  7. Uso de servicios web legítimos comprometidos:
    • Sibot se aprovecha de servicios web legítimos comprometidos para descargar archivos DLL en la máquina de la víctima. Este método puede dificultar la detección, ya que utiliza servicios confiables como parte de su infraestructura maliciosa.
  8. Utilización de WMI y técnicas de descubrimiento:
    • Sibot utiliza el Instrumentation de Administración Windows (WMI) para descubrir conexiones y configuraciones de red. También consulta el registro para obtener información del servidor proxy, y recupera un GUID asociado con una conexión LAN actual.

Impacto y Consecuancias

El impacto y las consecuencias de Sibot en un sistema afectado pueden ser significativos y variados, ya que este malware está diseñado con un propósito doble: lograr persistencia en el sistema comprometido y permitir la descarga y ejecución de cargas útiles adicionales. A continuación, se detallan las posibles consecuencias técnicas de la presencia de Sibot en un sistema:

  1. Persistencia en el Sistema:
    • Sibot utiliza técnicas para asegurar su persistencia en el sistema comprometido. Puede modificar el registro de Windows, instalarse en ubicaciones específicas del sistema y ejecutarse a través de tareas programadas, asegurando que el malware se inicie automáticamente con el sistema operativo.
  2. Comunicación con C2 (Command and Control):
    • Sibot establece comunicación con su servidor C2 a través de solicitudes HTTP GET. Esto permite a los actores malintencionados controlar y coordinar actividades maliciosas en el sistema comprometido, como la descarga de cargas útiles adicionales.
  3. Ejecución de Comandos y Scripts:
    • Utilizando VBScript, Sibot puede ejecutar comandos y scripts en el sistema comprometido. Esto brinda a los atacantes la capacidad de realizar diversas operaciones, como el robo de información, la manipulación del sistema operativo y la ejecución de comandos remotos.
  4. Descifrado de Datos desde C2:
    • Sibot tiene la capacidad de descifrar datos recibidos de su servidor C2 y guardarlos en archivos locales. Esto podría implicar la descarga de información sensible o de nuevas herramientas maliciosas para ampliar las capacidades del ataque.
  5. Modificaciones en el Registro:
    • El malware modifica el registro del sistema, por ejemplo, instalando scripts adicionales en ubicaciones específicas. Estas modificaciones pueden afectar la estabilidad y el rendimiento del sistema comprometido.
  6. Eliminación de Indicadores y Archivos:
    • Sibot puede eliminar indicadores de su presencia, como claves de registro específicas o incluso archivos asociados al malware. Esta táctica dificulta la detección y el análisis forense.
  7. Transferencia de Herramientas de Ingreso:
    • Sibot tiene la capacidad de descargar y ejecutar cargas útiles adicionales en el sistema comprometido. Estas herramientas pueden variar y podrían incluir otros tipos de malware, keyloggers, o exploits para aprovechar vulnerabilidades específicas.
  8. Enmascaramiento y Ofuscación:
    • El malware utiliza técnicas de enmascaramiento y ofuscación, como cambiar el nombre y la ubicación de archivos legítimos y ofuscar scripts. Estas tácticas dificultan la detección por parte de soluciones de seguridad.

Origen y Moticación

Sibot parece ser un malware asociado con operaciones de ciberespionaje, pero se necesita un análisis más profundo y contexto específico para determinar su origen y motivación con precisión el cual se esta realizando hasta la fecha. Sin embargo, podemos hacer algunas inferencias basadas en las características típicas de malware y en las tácticas, técnicas y procedimientos (TTP) que utiliza:

  1. Origen:
    • La identificación de tres variantes de Sibot durante la investigación de APT29 y el compromiso de SolarWinds sugiere que podría estar relacionado con campañas de ciberespionaje de alto nivel. APT29, también conocido como Cozy Bear, es un grupo de amenazas persistentes avanzadas asociado con operaciones de ciberespionaje.
  2. Motivación:
    • El malware parece tener un propósito doble: lograr persistencia en sistemas comprometidos y descargar/ejecutar cargas útiles adicionales. Estas características son comunes en malware utilizado en campañas de ciberespionaje, donde la persistencia y la capacidad de carga útil adicional son cruciales para mantener el acceso no autorizado a largo plazo y realizar operaciones encubiertas.
  3. Técnicas Específicas:
    • Sibot utiliza técnicas como la comunicación con un servidor C2 mediante solicitudes HTTP GET, ejecución de comandos mediante VBScript, descifrado de datos desde un servidor C2, eliminación de indicadores y archivos, transferencia de herramientas de ingreso, enmascaramiento de archivos y modificaciones en el registro. Estas tácticas sugieren una sofisticación orientada a objetivos específicos.