Extended summary of dark matter uncovering the dark comet rat ecosystem
- 1. 1 UNIVERSITA’ DEGLI STUDI DI TRIESTE Dipartimento di Ingegneria e Architettura Corso di Studi in Ingegneria Elettronica ed Informatica Anno Accademico 2020/2021 Extended Summary of “Dark Matter: Uncovering the DarkComet RAT Ecosystem” Relatore: Professor Alberto Bartoli Laureando: Andrea Valente
- 2. 2 Sommario Introduzione ...................................................................................................................................................... 3 Metodologia ...................................................................................................................................................... 3 Raccolta dati.................................................................................................................................................. 3 I database ed i file di configurazione......................................................................................................... 3 Le fonti....................................................................................................................................................... 4 Elaborazione ed analisi dei dati..................................................................................................................... 4 Determinazione dei controller .................................................................................................................. 4 Determinazione delle vittime.................................................................................................................... 5 Analisi dei controller e delle vittime.......................................................................................................... 5 Risultati.............................................................................................................................................................. 6 Bibliografia e Sitografia ..................................................................................................................................... 7
- 3. 3 Introduzione In “Dark Matter: Uncovering the DarkComet RAT Ecosystem”, Brown Farinholt, Mohammad Rezaeirad, Damon McCoy, e Kirill Levchenko hanno studiato le vittime dei Trojan ad accesso remoto (o RAT) DarkComet. L’articolo è stato presentato nel mese di aprile del 2020 a Taipei durante la conferenza “TheWeb Conference 2020”1 . DarkComet è un noto software malevolo, o malware, che garantisce la possibilità di ottenere informazioni personali delle persone, spiarle ed interagirvi da remoto. Le vittime credono di avere a che fare con un file od un programma sicuro, il quale nasconde la sua vera natura come il cavallo di Troia nell’Eneide2 . Spesso le interazioni tra gli operatori, i malintenzionati, e le vittime sono veri e propri abusi che comprendono anche estorsioni di soldi o di favori sessuali. La scelta di concentrarsi su chi subisce un’infezione è dovuta ad una maggiore attenzione riservata in passato agli operatori da altri studi. Durante il loro lavoro i ricercatori hanno affrontato alcune difficoltà, ad esempio nell’identificare chi viene effettivamente infettato da questo tipo di malware. Infatti l’attività di altri ricercatori o di produttori di anti malware, impegnati nello studio e nella lotta di questo fenomeno, viene registrata dagli autori come altre vittime. È stato fatto anche un lavoro per determinare i controller reali, ovvero i calcolatori su cui è in esecuzione il software controller. Quest’ultimo consente agli operatori il controllo dei dispositivi altrui e la configurazione e compilazione degli stub, ovvero il programma in esecuzione sul computer della vittima. I metodi utilizzati ed i risultati esposti nell’ articolo rappresentano un contributo nella lotta contro questo fenomeno e nell’assistenza alle vittime. Metodologia Raccolta dati I database ed i file di configurazione Ai ricercatori interessava principalmente ottenere i database usati dagli operatori per documentare le loro vittime, assieme ai file di configurazione relativi ai software controller utilizzati. I database sono di tipo relazionale, cioè i dati che contengono sono organizzati in tabelle. La prima è quella che costituisce l’elenco delle vittime: ogni riga è identificata da un codice univoco ed equivale ad un dispositivo infettato. È possibile aggiungere nuove vittime solamente alla fine. I download di database effettuati dai ricercatori vengono registrati come righe particolari per poter essere riconosciuti successivamente. Dal punto di vista degli operatori risultano come normali vittime. Sempre all’interno di questa tabella sono contenuti gli indirizzi IP delle vittime, da cui i ricercatori hanno potuto determinare la loro posizione. La tabella keyloggers documenta i tasti digitati da ciascuna vittima, con anche il nome della finestra attiva mentre venivano premuti. Ogni giorno equivale ad una riga, in cui compare il codice univoco della vittima in questione. L’ultima è la tabella che descrive i gruppi creati dall’operatore per categorizzare le vittime. Ad ogni riga è associato un gruppo. I file di configurazione invece permettono di capire se l’operatore ha interagito con una vittima specifica o meno e come lo ha fatto, ad esempio spiandola con la webcam od osservando i contenuti sullo schermo del dispositivo infettato.
- 4. 4 Le fonti I ricercatori per ottenere i database ed i file di configurazione si sono finti delle vittime con i controller ed hanno sfruttato una funzionalità di DarkComet: uno stub, o un dispositivo su cui sembra in esecuzione, può richiedere qualsiasi tipo di file al controller a cui si connette. Normalmente è impiegata per aggiornare uno stub, ad esempio. Per poter scaricare questi dati è stato necessario determinare quali domini o indirizzi IP contattare, un’informazione contenuta nelle configurazioni scelte dagli operatori per gli stub. Alcune delle fonti di configurazioni, come MalwareConfig, VirusTotal e ReversingLabs sono servizi con cui è possibile analizzare file sospetti ed ottenere informazioni a riguardo, tra cui le configurazioni3 . Con Shodan Hunter invece gli indirizzi IP ottenuti sono frutto di un software che, fingendo di essere un dispositivo infettato, contatta indirizzi IP. Se il dispositivo raggiunto è in grado di comunicare con protocolli e numeri di porta riconducibili ad attività di controllo allora è un controller4 . In totale sono state ottenute 146199 configurazioni uniche, ognuna un elenco di uno o più nomi di dominio od indirizzi IP. La maggior parte dei domini ottenuti sono riconducibili a servizi che forniscono nomi di dominio dinamici o DDNS5 , i quali possono rimanere associati ad uno stesso host anche se il suo indirizzo IP cambia nel tempo. Una volta risolti i domini, più volte nel caso di quelli dinamici, gli indirizzi IP sono stati monitorati da uno scanner, un programma che contatta i calcolatori che li possiedono per determinare se sono attivi o meno protocolli e numeri di porta riconducibili a DarkComet6 . Nel periodo di osservazione di 7 mesi 6035 indirizzi hanno mostrato attività d’interesse da cui, se possibile, sono stati scaricati i database più volte per studiare l’acquisizione di nuove vittime. Non tutti i download sono riusciti: infatti durante la loro attività i ricercatori hanno subito attacchi DOS, per cui le risorse di rete venivano completamente impegnate7 . In aggiunta un operatore può essere notificato di un download in corso ed arrestarlo, come anche essere attivo per un periodo di tempo limitato. In alcuni casi i ricercatori hanno deciso di non tentare alcun download, in quanto alcuni hosts contattati possedevano email e web servers attivi, segno che probabilmente venivano usati. In totale sono stati ottenuti 6620 database e 2963 file di configurazione. Altre fonti di database sono hack packs ottenuti da forum per hackers e VirusTotal, malware utilizzati già da altri operatori e distribuiti da loro sotto forma di file compressi in cui sono inclusi i database sulle loro vittime. Un hack pack può essere analizzato con VirusTotal perché spesso è infettato dal suo creatore. Elaborazione ed analisi dei dati Determinazione dei controller I ricercatori hanno associato l’elenco di nomi di dominio o indirizzi IP in ogni configurazione ad un controller ed impiegato quello utilizzato per scaricare i database come identificativo durante il periodo di osservazione. Si è ottenuta perciò una prima stima del numero di controller coinvolti, 1162, identificati per la maggior parte da nomi di dominio. Si è notato nell’articolo che era possibile ottenere uno stesso database contattando due o più controller diversi. Ciò è dovuto al fatto che uno stub può essere compilato dallo stesso operatore con configurazioni, e quindi elenchi di nomi di dominio o indirizzi IP, molteplici. Quindi, per determinare più precisamente il numero di controller operativi i ricercatori hanno elaborato una nuova tecnica basata su una proprietà della tabella delle vittime. Se ogni volta che un database viene scaricato si controlla questa tabella, è possibile osservare le eventuali nuove vittime aggiunte in fondo all’elenco. Un database ottenuto in precedenza dallo stesso controller avrà una tabella prefisso della nuova e conterrà una riga a rappresentare lo stub fittizio dei ricercatori. Quindi, è stato possibile identificare ogni controller come l’unico con quel database ed elenco di vittime indipendentemente dal modo utilizzato per contattarlo. Sono 1029 i controller coinvolti nello studio.
- 5. 5 È stato possibile costruire un albero genealogico dei database: ogni nodo rappresenta un database, e può avere un genitore ed un figlio secondo la proprietà appena vista o più figli per la presenza di hack pack. Il caso in cui si hanno più figli si verifica quando due o più operatori iniziano la loro attività da un medesimo hack pack, e quindi uno stesso database di vittime, apparendo come delle ramificazioni nell’albero genealogico. Se per un punto di ramificazione si notava l’assenza nei database in possesso del genitore corrispondente, questo veniva dedotto come esistente ed aggiunto. Dall’albero genealogico risulta evidente come gli operatori che vogliano iniziare ad utilizzare DarkComet abbiano poche possibilità di scaricare software controller, principalmente nella forma di hack pack. Un altro tipo di diramazione può avvenire quando il controller ritorna ad una versione precedente di un database, segno che l’operatore utilizza una macchina virtuale che viene ripristinata ad uno snapshot o stato precedente. In questo caso non può esistere più di un database figlio e, contattando lo stesso controller si possono ottenere versioni precedenti di un database. Determinazione delle vittime In seguito i ricercatori hanno effettuato un lavoro di analisi delle 477292 vittime registrate all’interno dei database ed identificate per mezzo del codice univoco nella tabella delle vittime. Una parte di esse infatti è dovuta all’uso di scanner e sandbox da parte di altri soggetti come ricercatori e produttori di software anti malware. Un sandbox è un meccanismo di sicurezza utilizzato per eseguire programmi sospetti, in questo caso istanze di DarkComet, in un ambiente controllato e separato8 . Per capire quali vittime fossero effettivamente reali o meno hanno utilizzato regole già definite in precedenza in altri studi, come attributi invalidi o vuoti nelle tabelle e la rilevazione di righe attribuibili a presunti scanner. In aggiunta a questi criteri ne hanno introdotti di nuovi, grazie a metadati, o dati relativi ai dati delle vittime9 , in loro possesso. Per ogni vittima per esempio è stato controllato se ci fosse un certo quantitativo di tasti premuti lungo un numero di giorni attribuibile ad una persona vera. Si è tenuto conto anche della validità delle date dei giorni registrati. Le vittime che figuravano negli hack pack in possesso o dedotti dai ricercatori sono state considerate a parte da quelle infettate dai singoli operatori. Anche qui si è verificata la presenza di eventuali anomalie. Alla fine, 57805 vittime sono state effettivamente infettate. Analisi dei controller e delle vittime I controller coinvolti nello studio infettavano collettivamente 69 nuove vittime al giorno nel periodo di osservazione. Un’analisi della tabella dei gruppi denota un certo interesse ad infettare i dispositivi di persone specifiche, con l’intento ad esempio di richiedere forzatamente favori sessuali. Emergono due categorie di operatori, chi possiede un numero elevato di vittime in tutto il mondo e chi ne possiede poche, la maggior parte delle quali sono nella stessa area geografica dell’operatore. Il periodo di attività, ed il numero di vittime inoltre aumentano se un operatore inizia con un hack pack. In Italia sono state osservate 905 vittime e 19 controller, responsabili dell’infezione di 2678 persone in tutto il mondo. Per alcune vittime sono stati raccolti metadati aggiuntivi, come il numero di tasti premuti ed il tempo speso in ogni finestra. Da queste informazioni ed i nomi delle finestre attive è emerso come gli operatori siano riusciti ad ottenere informazioni sensibili come email, conversazioni private, credenziali per l’accesso a siti e servizi ed infine numeri di carta di credito. Per questo sotto insieme di vittime, per 162098 ore è stato monitorato ogni singolo tasto premuto. Con i file di configurazione ottenuti invece, è stato possibile determinare che 13269 persone sono state spiate attraverso le loro webcam.
- 6. 6 Risultati Per poter combattere questo fenomeno al meglio gli autori hanno indicato alcuni criteri utili. Le forze dell’ordine possono scegliere di dare priorità ad operatori responsabili di un elevato numero di vittime o che ne acquisiscono di nuove molto rapidamente, ad esempio. Anche il periodo di attività di determinati controller può servire per potersi concentrare sugli operatori più attivi e dannosi. Inoltre, grazie all’analisi dell’albero genealogico è possibile identificare gli operatori che utilizzano hack pack, ma anche coloro che li distribuiscono. In questo modo è possibile andare ad infliggere un danno importante alla distribuzione stessa di software controller DarkComet. I ricercatori hanno comunicato agli Internet Service Provider l’elenco di vittime da loro osservato. Il lavoro di determinazione delle vittime effettive ha consentito agli ISP di notificare più efficientemente i loro clienti della presenza di RAT sui loro dispositivi. Le tecniche utilizzate per l’analisi delle tabelle delle vittime possono essere utili in altri contesti, come ad esempio con dati ottenuti dopo arresti o perquisizioni. Lo studio presentava alcune limitazioni: una tra tutte è che da una parte consistente dei controller si è ottenuto solo un database e buona parte è stata osservata per un periodo di tempo ristretto. Tuttavia, il lavoro presentato, sebbene relativo a DarkComet, può essere esteso ad altre tipologie di RAT. Infatti altre tipologie di trojan ad accesso remoto utilizzano database relazionali per tenere traccia delle vittime. Un altro punto in comune può essere la funzionalità di download di qualsiasi file utilizzata per ottenere i dati. In certi casi, le possibilità di download sono limitate, ma è possibile utilizzare come fonti di database gli hack packs con cui vengono distribuiti questi particolari tipi di RAT.
- 7. 7 Bibliografia e Sitografia 1 Dark Matter: Uncovering the DarkComet RAT Ecosystem. Brown Farinholt, Mohammad Rezaeirad, Damon McCoy, and Kirill Levchenko. In Proceedings of TheWeb Conference 2020 (WWW’20), April 20–24, 2020, Taipei, Taiwan. Pages 2109–2120. 2 https://en.wikipedia.org/wiki/Trojan_horse_(computing) 3 https://malwareconfig.com/about ; https://www.virustotal.com/gui/ ; https://www.reversinglabs.com/ 4 https://malware-hunter.shodan.io/ 5 https://it.wikipedia.org/wiki/Dynamic_DNS 6 https://it.wikipedia.org/wiki/Port_scanning 7 https://en.wikipedia.org/wiki/Denial-of-service_attack 8 https://en.wikipedia.org/wiki/Sandbox_(computer_security) 9 https://en.wikipedia.org/wiki/Metadata