Connect like there is no firewall. Securely

Змеи впадают в зимнюю спячку, из которой выходят только к середине весны. Но мы круглый год готовы к новым атакам Shedding Zmiy!

Сегодня поговорим об использованной группировкой утилите gsocket.

Утилита из набора Global Socket позволяет процессам, работающим в разных подсетях, взаимодействовать друг с другом сквозь firewall и NAT, подменяя привычное общение в рамках IP-адресов на собственный стандарт GSRN. Такой подход делает инструмент удобным выбором для удалённого управления скомпрометированной инфраструктурой.

Как обнаружить активность, специфичную для gsocket, в своей инфраструктуре?
Gsocket может выдать себя по следующим признакам:

1. Мимикрия под kernel thread через подмену argv0:
Нас интересует событие запуска процесса, где нулевой аргумент окружен квадратными скобками. Список нулевых аргументов конечен и захардкожен.

exec -a \[kworker\] gs-netcat

Пример события, на котором можно строить детект:

{
    "evt.type": "execve",
    "proc.cmdline": "defunct",
    "proc.exe": "[watchdogd]",
    "proc.exepath": "/home/user/.config/htop/defunct",
    "proc.name": "defunct"
}

2. Использование "временных" директорий:
Обращаем внимание на запуск бинарей из

/tmp /var/tmp /dev/shm /run/shm

Пример события, на котором можно строить детект:

{
    "evt.type": "execve",
    "proc.exepath": "/dev/shm/gs-netcat",
    "proc.name": "gs-netcat"
}

3. Использование специфичных статических переменных в коде утилиты:
Например, GSOCKET_ARGS или GS_ARGS содержат в себе ключ, который обеспечит шифрование канала между процессами.

GS_ARGS=-s GAnzLxyo5zzTGdwYPRUVpF -li

Пример события, на котором можно строить детект:

{
    "proc.env": "GS_ARGS=-s 7vAKxiEmosrpzPy6DJL19J -t _GSOCKET_SERVER_CHECK_SEC=15",
    "evt.type": "execve",
    "proc.cmdline": "defunct",
    "proc.cwd": "/home/user/",
    "proc.exe": "[watchdogd]",
    "proc.exepath": "/home/user/.config/htop/defunct",
    "proc.name": "defunct"
}

4. Использование скрытых директорий:
Одна из директорий где закрепляется gsocket -- это

/home/user/.config

В процессе Threat Hunting'а отслеживаем запуск бинарей из таких скрытых директорий.

Пример события, на котором можно строить детект:

{
    "evt.type": "execve",
    "proc.cmdline": "defunct",
    "proc.exepath": "/home/user/.config/htop/defunct",
    "proc.name": "defunct"
}

5. Аномалии запуска процессов:
Если пропустили первую технику, отслеживаем запуск shell от родительских процессов, скрытых под kernel thread

proc.parent_name:\[\*\] AND proc.name:"bash"

Пример события, на котором можно строить детект:

{
    "proc.env": "SHELL=/bin/bash HISTFILE=/dev/null SHLVL=0",
    "evt.type": "execve",
    "proc.aname[2]": "defunct",
    "proc.exepath": "/usr/bin/bash",
    "proc.name": "bash",
    "proc.pexe": "[watchdogd]",
    "proc.pid": 159078,
    "proc.pname": "bash"
}

6*. Закрепление как сервис:
Обратим внимание, что этот артефакт не является однозначным указанием на активность gsocket, но может послужить ещё одной деталью для обогащения в руках Threat Hunt-аналитика.

Пример события, на котором можно строить детект:

{
    "evt.arg.flags": "O_NONBLOCK|O_CREAT|O_WRONLY|O_F_CREATED",
    "evt.res": "SUCCESS",
    "evt.type": "openat",
    "fd.name": "/lib/systemd/system/defunct.service",
    "proc.cmdline": "touch /lib/systemd/system/defunct.service",
    "proc.exepath": "/usr/bin/touch",
    "proc.name": "touch"
}