ExCobalt: GoRed — техника скрытого туннеля

В ходе реагирования на инцидент у одного из наших клиентов командой PT ESC CSIRT был обнаружен ранее неизвестный бэкдор, написанный на языке Go, который мы атрибутировали к группе ExCobalt.

ExCobalt — это киберпреступная группа, сосредоточенная на кибершпионаже и некоторые члены которой активны по крайней мере с 2016 года и, предположительно, состояли в небезызвестной группе Cobalt. Группа Cobalt атаковала кредитно-финансовые организации с целью кражи денежных средств. Отличительной особенностью группы Cobalt было использование инструмента CobInt, который и начала применять группа ExCobalt c 2022 года.

За последний год специалисты PT ESC фиксировали атаки и проводили расследования инцидентов, связанные с группой ExCobalt, в российских организациях из следующих секторов:

• Металлургия
• Телекоммуникации
• Горная промышленность
• Информационные технологии
• Государственные учреждения
• Разработка ПО

В данной статье мы расскажем о новом инструменте группы — GoRed, его эволюции, а также о некоторых тактиках, техниках и процедурах, которые использовала группа в своих атаках.

В ходе расследования одного из инцидентов, который был зафиксирован в марте 2024 года на одном из Linux-хостов нашего клиента, был обнаружен файл с названием scrond, накрытый UPX (Ultimate Packer for eXecutables).

В данных этого распакованного сэмпла, который написан на языке Go, были найдены пути пакетов, содержащие подстроку red.team/go-red/. Этот факт позволяет предположить, что этот сэмпл является проприетарным инструментом с названием GoRed.

Поисследовав сайт, нам не удалось найти каких-то значимых связей с вредоносной активностью. И поэтому можно предположить, что домен red.team найденный в строках GoRed является локальным репозиторием с утилитами для тестирования на проникновение.

Возвращаясь к бэкдору GoRed, можно выделить следующий основной функционал:

• Возможность подключения оператора и выполнения команд, как у других С2-фреймворков, наподобие Cobalt Strike, Sliver и так далее.
• Использование RPC-протокола для коммуникации GoRed с С2-сервером.
• Использование DNS-/ICMP-туннелирования, WSS и Quic для коммуникации оператора с GoRed.
• Возможность получения учетных данных со скомпрометированных систем.
• Сбор различной информации со скомпрометированных систем, например данных об активных процессах, имя хоста, список сетевых интерфейсов, структура файловых систем и так далее.
• Разведка в сети жертвы с помощью различных команд.
• Сериализация, шифрование, архивирование и отправка собранных данных на специальный сервер, предназначенный для хранения скомпрометированных данных.

Полное техническое описание GoRed см. в разделе «Анализ GoRed».

В процессе анализа GoRed мы обнаружили, что несколько версий программы мы уже встречали ранее во время реагирования на инциденты у ряда наших клиентов. Так, например, в июле 2023 года в ходе расследования инцидента в компании благодаря ошибке самих атакующих на их директориях были обнаружены несколько различных инструментов, включая самую первую версию GoRed.

Похожим образом в другом инциденте в октябре 2023 года мы обнаружили на открытых директориях инфраструктуры злоумышленников дополнительные инструменты. Краткое название и описание инструментов, найденных в ходе расследований, представлены в таблице ниже:

Помимо инструментов, полученных с директорий серверов злоумышленников, группа ExCobalt использовала следующие инструменты: 

• Mimikatz
• procdump
• SMBExec
• Metasploit
• rsocx

Помимо вышеприведенных инструментов, обнаруженных на открытых директориях, в нескольких инцидентах мы также встречали модифицированные версии стандартных утилит Linux, которые впервые мы обнаружили в ноябре 2023 года.

Назначение модифицированных утилит можно разделить на две категории:

1. ps и htop — для сокрытия активного процесса core модуля gsocket, а также связанных с ним процессов из вывода терминала.

В качестве примера возьмем ps.

Модификация кода была произведена в функции simple_readproc.

Оригинальный код выглядит следующим образом:

Был добавлен следующий код:

В функции is_target_proc происходит следующая проверка на равенство имени с зашитыми именами вредоносных процессов:

И если проверка проходит, то вредоносный процесс с именами, представленными на рисунке ниже, не будет отображен в терминале.

2. ss и netstat — для сокрытия активного сетевого соединения core модуля gsocket из вывода терминала.

В качестве примера возьмем netstat.

Первая модификация кода была произведена в функции main.

Оригинальный код выглядит следующим образом:

Для начала был добавлен код, который считывает все C2 из секции данных в глобальную структуру:

Вторая модификация в функции tcp_do_one, начиная отсюда:

В код были добавлены проверки на имя вредоносного процесса и вредоносного соединения. Если проверка проходит, то процесс с одним из вшитых имен или сетевых соединений не будет отображен:

В ноябре 2023 года мы рассказывали об атаках ExCobalt на российские компании.

В вышеупомянутом репорте мы упоминали домен lib.rpm-bin.link, при энумерации директорий которого было получено множество инструментов, описанных выше, в том числе col — первая версия GoRed.

Помимо этого, в одном из инцидентов, который произошел в марте 2024 года, мы наблюдали активность зараженных хостов, которые связывались с серверами злоумышленников, — get.rpm-bin.link и leo.rpm-bin.link. Помимо этого, GoRed использовал static_TransportConfig, в котором были следующие C2:

• leo.rpm-bin.link
• sula.rpm-bin.link
• lib.rest
• rosm.pro

В мае 2023 года исследователи из Bi.Zone выпускали разбор атак Sneaking Leprechaun и их инструментарий пересекается с найденными на открытых директориях файлами, которые описаны выше.

Также коллеги из Ростелеком Солар выпустили в мае 2024 года исследование про кластер активности Shedding Zmiy, которое тоже соотносится с группой ExCobalt. В кейсе 7 этого исследования описывается та же атака и сэмпл стиллера GoRed с С2 — pkg.collect.net.in, который они обозначили как Bulldog Backdoor.

Прежде чем перейти к анализу актуальной версии бэкдора GoRed, приведем ретроспективный анализ эволюции бэкдора.

Все найденные нами версии приведены в таблице ниже.

В нашей статье мы проведем разбор актуальной версии v0.1.4.

Сначала опишем структуру внутренних пакетов и их назначение для понимания функциональных возможностей бэкдора GoRed, в данных которого были найдены пути пакетов, содержащие подстроку red.team/go-red/.

Теперь можно перейти к непосредственному разбору. Для понимания работы потока управления ниже представлена его упрощенная схема.

Поток управления базируется на command line (далее cli). Но, прежде чем передать управление cli, будут проинициализированы несколько команд, описанных далее:

• команда service.
• подкоманда gecko.

Первой будет проинициализирована команда service, которая осуществляет закрепление в системе. Структура команды GoRed для cli выглядит следующим образом:

struct cli_Command
{
    string Name;
    _slice_string Aliases;
    string Usage;
    string UsageText;
    string Description;
    string ArgsUsage;
    string Category;
    PTR_cli_BashCompleteFunc BashComplete;
    PTR_cli_BeforeFunc Before;
    PTR_cli_AfterFunc After;
    PTR_cli_ActionFunc Action;
    PTR_cli_OnUsageErrorFunc OnUsageError;
    _slice__ptr_cli_Command Subcommands;
    _slice_cli_Flag Flags;
    cli_FlagCategories flagCategories;
    bool SkipFlagParsing;
    bool HideHelp;
    bool HideHelpCommand;
    bool Hidden;
    bool UseShortOptionHandling;
    string HelpName;
    _slice_string commandNamePath;
    string CustomHelpTemplate;
    cli_CommandCategories categories;
    bool isRoot;
    cli_separatorSpec separator;
};

С точки зрения идентификации выполняемых команд самые интересные поля данной структуры следующие:

• Name — имя команды.
• Usage — описание команды.
• Action — функция, которая будет выполнена при вызове команды.
• Subcommands — подкоманды для текущей команды.

Далее будет проинициализирована структура самой cli в переменную app.

Структура app выглядит следующим образом:

struct cli_App
{
    string Name;
    string HelpName;
    string Usage;
    string UsageText;
    string ArgsUsage;
    string Version;
    string Description;
    string DefaultCommand;
    _slice__ptr_cli_Command Commands;
    _slice_cli_Flag Flags;
    bool EnableBashCompletion;
    bool HideHelp;
    bool HideHelpCommand;
    bool HideVersion;
    cli_CommandCategories categories;
    cli_FlagCategories flagCategories;
    PTR_cli_BashCompleteFunc BashComplete;
    PTR_cli_BeforeFunc Before;
    PTR_cli_AfterFunc After;
    PTR_cli_ActionFunc Action;
    PTR_cli_CommandNotFoundFunc CommandNotFound;
    PTR_cli_OnUsageErrorFunc OnUsageError;
    PTR_cli_InvalidFlagAccessFunc InvalidFlagAccessHandler;
    time_Time Compiled;
    _slice__ptr_cli_Author Authors;
    string Copyright;
    io_Reader Reader;
    io_Writer Writer;
    io_Writer ErrWriter;
    PTR_cli_ExitErrHandlerFunc ExitErrHandler;
    map_string_interface_ Metadata;
    PTR_func_map_string_string ExtraInfo;
    string CustomAppHelpTemplate;
    string SliceFlagSeparator;
    bool DisableSliceFlagSeparator;
    bool UseShortOptionHandling;
    bool Suggest;
    bool AllowExtFlags;
    bool SkipFlagParsing;
    bool didSetup;
    cli_separatorSpec separator;
    _ptr_cli_Command rootCommand;
};

И здесь также самыми информативными для идентификации команд полями являются следующие:

• Name — имя текущей команды.
• Action — функция, которая будет выполнена.
• Commands — подкоманды текущей команды.

А также будет инициализировано поле Commands для структуры app.

После идет получение поля Logging из структуры embedded_Config, которая будет описана в разделе ниже. После этого поток управления переходит к cli.

Первая команда, которая будет выполняться, — service. Она осуществляет закрепление в системе. В качестве параметров может принимать следующие значения:

В случае если нет ни одного параметра из таблицы выше, то закрепляется как сервис с полученным именем в качестве аргумента. В качестве присутствия в скомпрометированной системе создает переменные окружения, имена которых начинаются с BB, например:

• BB_WS
• BB_QUIC
• BB_ICMP
• BB_DNS
• BB_START_DELAY

После поток управления будет передан команде gecko. Данная команда является входной точкой для работы GoRed в режиме маяка.

В качестве параметров может принимать следующие значения:

В зависимости от полученного протокола в качестве параметра, достает C2 из транспортной конфигурации, структура которого будет описана в разделе ниже. После он начинает инициализацию функционала режима маяка.

Для идентификации жертвы сначала генерирует ее ID, который является хеш-суммой MD5 от MAC-адресов и имени компьютера (как в случае с Hellhounds: операция Lahat). Полученная хеш-сумма будет добавлена в одно из полей структуры client, в которой хранятся все нужные данные для общения с С2.

После инициализации GoRed необходимо установить соединение с C2. Количество попыток для соединения реализуется за счет пакета backoff.

Поток исполнения стартует функцию для регистрации функционала режима маяка, а после идет инициализация команд для cli.

Для регистрации используется протокол RPC, данные из структуры model_Beacon будут отправлены на сервер, для аутентификации на котором будут использованы данные из структуры model_Auth.

struct model_RegisterBeaconRequest
{
    model_Beacon Beacon;
    model_Auth Auth;
};

struct model_Beacon
{
    string ID;
    string Hostname;
    string ClientIPs;
    _slice_string Tags;
    string OS;
    string Username;
};

struct model_Auth
{
    string Token;
    uuid_UUID ClientID;
    string Transport;
};

Поля структур, приведенных выше, имеют следующие назначения.

После регистрации GoRed запускает команду для мониторинга файловой системы — birdwatch.

Затем поток исполнения устанавливает период отстука GoRed в режиме маяка к C2.

После поток исполнения запускает команду для мониторинга файла паролей, хранящихся в /etc/shadow/.

И, в конце концов, поток исполнения инициализирует все доступные команды и входит в режим heartbeat.

На финальном этапе инициализации GoRed входит в режим прослушивания команд от оператора, которые он инициализировал ранее. Может выполнять как системные команды, так и встроенные. Также присутствует функция установки команды как фоновой.

Общение GoRed в режиме маяка с C2 осуществляется через RPC-протокол.

Для общения по RPC-протоколу он регистрирует свой кодек.

В зарегистрированном кодеке при отправке происходит сериализация данных через cbor и шифрование через AES-256-GCM (поле Secret в embedded_Config), а при получении происходит обратный процесс.

Внутри GoRed содержится 2 блока конфигураций — встроенная и транспортная.

Является конфигурацией самого GoRed. Он закодирован base64, также сериализирован msgpack.

Для версий v0.0.23-10-g4528ef3 — v0.1.4 структура встроенной конфигурации следующая:

struct embedded_Config
{
	string Logging;
	string Token;
	uuid_UUID UserID;
	uuid_UUID ClientID;
	string ClientKey;
	string Version;
	_slice_string Tags;
	_slice_string Args;
	string Secret;
	_ptr_url_URL BackendAddress;
	_ptr_url_URL ProxyAddress;
};

Назначения полей встроенной конфигурации следующие.

Структура конфигурации для версий 0.0.9 — v0.0.13.

struct embedded_Config
{
    bool Debug;
    string Token;
    uuid_UUID ClientID;
    string ClientKey;
    string Version;
    _slice_string Tags;
    string Secret;
    string BasicAuthLogin;
    string BasicAuthPass;
    _ptr_url_URL BackendAddress;
    _ptr_url_URL ProxyAddress;
};

Назначения полей этой версии встроенной конфигурации следующие.

Встроенная конфигурация для версии v0.0.1.

struct embedded_Config
{
    bool Debug;
    uuid_UUID ClientID;
    string ClientKey;
    string Version;
    _ptr_url_URL BackendAddress;
};

Скрипт для получения полей встроенной конфигурации, на языке Go.

package main

import (
    "encoding/base64"
    "fmt"
    "net/url"

    "github.com/google/uuid"
    "github.com/vmihailenco/msgpack/v5"
)

type embedded_Config struct {
    Logging        string
    Token          string
    UserID         uuid.UUID
    ClientID       uuid.UUID
    ClientKey      string
    Version        string
    Tags           []string
    Args           []string
    Secret         string
    BackendAddress* url.URL
    ProxyAddress* url.URL
}

const config = `...`

func main() {
    var item map[string]any
    data, _ : = base64.StdEncoding.DecodeString(config)
    err : = msgpack.Unmarshal(data, &item)
    if err != nil{
    	panic(err)
    }
    fmt.Print("Logging: ")
    fmt.Println(item["Logging"])
    fmt.Print("Token: ")
    fmt.Println(item["Token"])
    fmt.Print("UserID: ")
    fmt.Println(uuid.UUID(item["UserID"].([]byte)))
    fmt.Print("ClientID: ")
    fmt.Println(uuid.UUID(item["ClientID"].([]byte)))
    fmt.Print("ClientKey: ")
    fmt.Println(item["ClientKey"])
    fmt.Print("Version: ")
    fmt.Println(item["Version"])
    fmt.Print("Tags: ")
    fmt.Println(item["Tags"])
    fmt.Print("Args: ")
    fmt.Println(item["Args"])
    fmt.Print("Secret: ")
    fmt.Println(item["Secret"])
    fmt.Print("BackendAddress: ")
    fmt.Println(string(item["BackendAddress"].([]byte)))
    fmt.Print("ProxyAddress: ")
    fmt.Println(item["ProxyAddress"])
}

Скрипт для получения полей встроенной конфигурации, на языке Python.
 

import msgpack

import base64

s = base64.b64decode('...')

config = msgpack.unpackb(s, raw = False)

print(config)

Транспортная конфигурация имеет следующий вид.

Структура транспортной конфигурации следующая.

struct static_TransportConfig
{
	static_Transport Revsh;
	static_Transport RPC;
	static_Transport Proxy;
};

struct static_Transport
{
	_ptr_static_Address WS;
	_ptr_static_Address QUIC;
	_ptr_static_Address ICMP;
	_ptr_static_Address DNS;
	_ptr_static_Address TCP;
};

struct static_Address
{
	string Domain;
	string BackupIP;
	signed __int64 Port;
	string Proto;
};

Поля транспортной конфигурации следующие.

Поля транспортной конфигурации следующие.

У GoRed есть несколько протоколов для общения с оператором.

DNS-туннелирование в GoRed может быть как через base64, так и через base32. Данная опция выбирается на этапе компилирования.

Пример домена, который использовался в атаке, 8E1A4QB4OGA66RPJCHL72DJGCKRMIOR8CDN3EDJBDOOAEQ3FEDQ5UQB4OGA66RP.JCHL6EDJGCKRMIOR8CDN3EDJBDLJG.rosm[.]pro.

Фоновые команды — это команды, которые работают постоянно, некоторые из них можно добавлять или убирать из фоновых, в зависимости от условий в таблице ниже.

Прежде чем выступать в роли сервера, GoRed должен проинициализировать вшитый сертификат в формате X.509 (как в случае с Hellhounds: Операция Lahat. Часть 2).

Также необходимо собрать информацию о хосте жертвы, выполнив функцию CollectHostInfo с рисунка выше. Тем самым получив структуру (за исключением поля Addr), представленную ниже.

struct proto_HostInfo
{
    string Addr;
    string OS;
    string Username;
    string Hostname;
    _slice_string IPs;
};

Поля структуры имеют следующие назначения.

Инициализация структуры для идентификации GoRed, который выступает в роли сервера.

Проинициализированная структура выглядит следующим образом.

struct proto_BinInfo
{
    uuid_UUID ClientID;
    string Token;
    _slice_string Tags;
};

Поля структуры имеют следующие назначения.

Получив структуры proto_HostInfo и proto_BinInfo, которые используются в сообщении «приветствия», отправляемого GoRed на C2, адрес которого он получил из транспортного конфига. Структура «приветствия» выглядит следующим образом.

struct proto_MsgGreeting
{
    proto_ConnectionMode Mode;
    string MachineID;
    proto_BinInfo BinInfo;
    _ptr_proto_HostInfo HostInfo;
};

Поля структуры имеют следующие назначения.

Схема отправки приветствия для регистрации в качестве сервера выглядит следующим образом.

В ответ на «приветствие» сервер отправляет сообщение со следующей структурой.

struct proto_MsgGreetingResponse
{
    string Greeting;
    _ptr_proto_BinInfo BinInfo;
    _ptr_proto_HostInfo HostInfo;
};

Если поле Greeting содержит строку welcome, то соединение считается успешным и GoRed начинает работать в режиме сервера, если же нет, то соединение не может быть установлено.

Оператор взаимодействует с GoRed посредством команд.

Так как это команда для сбора информации о системе, ее данных и последующей эксфильтрации, мы решили описать ее подробнее.

Пример собираемой информации представлен на рисунке ниже.

Полный список собираемой информации приведен в таблице ниже.

Перед отправкой данных происходит сериализация с помощью msgpack и шифрование AES256-GCM (поле Secret в embedded_Config).

Далее, после архивации данных, используя метод POST, отправляет их на URL, который формируется из BackendAddress (поле из embedded_Config) + “/api/collection-result”.

Также присутствует возможность обновления структуры model_CollectionConfig, используя метод GET, отправляя запрос на URL, который формируется из BackendAddress (поле из embedded_Config) + “/api/config”.

Структура model_CollectionConfig является конфигом для команды collect и имеет следующие поля.

struct model_CollectionConfig
{
    _slice__slice_string Commands;
    _slice_string Files;
    _slice_string TreePaths;
};

Поля структуры имеют следующие назначения.

Группа ExCobalt продолжает демонстрировать высокий уровень активности и решительности в атаках на российские компании, постоянно пополняя свой инструментарий и усовершенствуя свои техники. Они не только разрабатывают новые методы атак, но и активно улучшают свои существующие инструменты, включая бэкдор GoRed.

Наблюдается тенденция к расширению возможностей и функциональности бэкдора GoRed, что указывает на стремление ExCobalt к более сложным и эффективным методам взлома и кибершпионажа. Это включает в себя расширение функционала сбора данных жертв и повышение скрытности как в системе, так и в коммуникациях с управляющими серверами.

Кроме того, ExCobalt демонстрирует гибкость и адаптивность, пополняя свой инструментарий патченными тулзами, что позволяет им эффективно преодолевать защитные меры и адаптироваться к изменениям методов защиты. Использование патченных тулзов свидетельствует о глубоком понимании ExCobalt слабых мест атакуемых компаний, а использование многочисленных уязвимостей позволяет им развивать сложные атаки на них.

В целом развитие ExCobalt и их инструментария, включая бэкдор GoRed и использование патченных тулзов, подчеркивает необходимость постоянного совершенствования методов обнаружения и защиты со стороны организаций и специалистов по кибербезопасности для борьбы с этой группой и подобными киберугрозами.

Авторы:

Владислав Лунин, старший специалист отдела исследования угроз информационной безопасности экспертного центра безопасности Positive Technologies.

Александр Бадаев, специалист отдела исследования угроз информационной безопасности экспертного центра безопасности Positive Technologies.