Campanha Black usou bots Ramnit para reinstalar Ngioweb e transformar máquinas infectadas em infraestrutura de proxy com modos relay e back-connect.
| Componente | Botnet Ramnit Black e malware Ngioweb, usado como proxy multifuncional em hosts Windows infectados. |
| Vetor | Bots Ramnit recebiam do C&C uma instrução para baixar e executar o Ngioweb por protocolo binário próprio; amostras também foram vistas empacotadas com Ramnit em um mesmo dropper, provavelmente distribuído por spam. |
| Impacto | No início de julho de 2018, a campanha indicava mais de 139.000 computadores com Ngioweb, além de cerca de 100.000 infecções observadas em dois meses na operação Black. |
| Prioridade | Isolar hosts com sinais de Ramnit ou Ngioweb, procurar persistência por tarefas agendadas e executáveis em caminhos anômalos, e bloquear comunicação com infraestrutura C&C defangada associada. |
| Artefatos | Foram observados o C&C 185[.]44[.]75[.]109, o domínio ngioweb[.]su, chave RC4 com valor black, uso de msiexec.exe para hollowing e nome de arquivo msiexic.exe no fluxo de distribuição. |
| Capacidades | Ngioweb oferece proxy back-connect e relay, suporte a IPv4, IPv6, TCP e UDP, além de comunicação com dois estágios de C&C. |
A operação Black do Ramnit ampliou o uso da botnet para distribuir Ngioweb, um malware de proxy projetado para transformar computadores comprometidos em nós de encaminhamento de tráfego. A campanha observada entre maio e julho de 2018 alcançou aproximadamente 100.000 infecções em dois meses e, no início de julho, os dados de numeração de bots indicavam mais de 139.000 máquinas com Ngioweb. O volume muda a leitura operacional do caso: não se trata apenas de fraude bancária tradicional associada ao Ramnit, mas de uma camada de infraestrutura clandestina capaz de mascarar serviços, encaminhar conexões e usar o endereço IP da vítima como ponto de saída.
A botnet Black foi associada ao servidor C&C 185[.]44[.]75[.]109, distinto da botnet Ramnit Demetra citada como anteriormente prevalente. O nome Black deriva do valor black usado como chave RC4 no tráfego dessa botnet. O servidor já estava ativo desde 6 de março de 2018, mas a baixa capacidade inicial reduziu sua visibilidade. A expansão posterior mostrou que o Ramnit estava sendo usado como mecanismo de entrega e reinfecção do Ngioweb: sempre que o bot Ramnit consultava o C&C, podia receber uma ordem para obter e iniciar um executável adicional por meio do protocolo binário do próprio Ramnit.
O Ngioweb foi descrito como um proxy multifuncional com protocolo binário próprio e duas camadas de criptografia. Ele opera com modos back-connect e relay, aceita IPv4 e IPv6 e trabalha sobre TCP e UDP. Essa combinação permite ao operador acessar serviços remotos aparentando origem no host infectado, alcançar recursos internos visíveis a partir da máquina comprometida e construir cadeias de proxies para esconder serviços atrás de endereços pertencentes a bots. Para defesa, o ponto central é tratar a infecção não apenas como presença de malware local, mas como possível abuso do endpoint como infraestrutura de rede.
O fluxo de entrega envolve o Ramnit como precursor. Durante o check-in do bot com o C&C, o servidor pode responder com uma instrução do tipo getexec, que faz a máquina baixar e executar um binário adicional. O contexto observado indicava uso do esquema dml, isto é, download pelo protocolo binário do Ramnit em vez de HTTP, e um nome de arquivo msiexic.exe para o executável recebido. O parâmetro de tempo de vida da instrução permitia que a ordem fosse repetida depois de expirar, o que cria um mecanismo de reinstalação enquanto o Ramnit permanecer ativo no sistema.
Depois de implantado, o Ngioweb usa uma arquitetura de C&C em dois estágios. O estágio 0 informa ao malware qual servidor de estágio 1 deve ser usado; essa primeira consulta ocorre por HTTP sem criptografia. O estágio 1 passa a controlar o malware por canal criptografado. Essa separação dificulta a interpretação completa da topologia, porque o endereço entregue pelo estágio 0 pode representar infraestrutura do operador ou outro bot usado dentro da cadeia. Em termos defensivos, isso significa que a análise de um único destino de rede pode não revelar toda a rota de comando e proxy.
A capacidade de proxy é o componente mais sensível da operação. No modo back-connect, o operador pode intermediar acesso a um serviço remoto por meio da máquina infectada. No modo relay, a infraestrutura pode encaminhar tráfego e encadear nós, permitindo que serviços controlados pelo operador fiquem ocultos atrás de IPs de vítimas. O mesmo modelo também pode alcançar recursos internos acessíveis a partir do host comprometido, caso a máquina tenha conectividade para redes privadas ou segmentos corporativos. O impacto confirmado no material analisado é o uso de hosts infectados como proxies; qualquer conclusão sobre roubo de dados, movimentação lateral ou comprometimento adicional depende de evidências específicas que não aparecem no material recebido.
No endpoint, o malware cria uma sequência de processos e injeta seu código. O primeiro estágio citado usa msiexec.exe por meio de process hollowing. Em seguida, já dentro desse processo, o malware tenta criar outros processos para receber o payload, e a atividade maliciosa principal ocorre no último processo da cadeia. Para evitar múltiplas instâncias, o Ngioweb cria e verifica um mutex com nome pseudoaleatório. A comunicação entre threads usa as APIs PostQueuedCompletionStatus e GetQueuedCompletionStatus, o que fornece pistas para análise de comportamento em memória e engenharia reversa de amostras.
A superfície afetada é composta por estáções Windows já comprometidas por Ramnit ou por droppers que carregavam Ramnit e Ngioweb juntos. O material aponta distribuição provável por campanhas de spam para amostras empacotadas, mas o principal vetor de prevalência do Ngioweb foi a botnet Black. Isso torna a presença de Ramnit um indicador de risco para instalação repetida do proxy: remover apenas o Ngioweb sem eliminar o bot Ramnit pode permitir nova execução da ordem de download quando o bot voltar a consultar o C&C.
A persistência do Ngioweb usa três métodos e caminhos gerados com lógica que tenta se misturar ao sistema. O malware escolhe pastas filhas em Program Files, %APPDATA% ou %LocalAppData%, evitando nomes como Temp, Common Files e Uninstall Information. Em seguida cria subpastas pseudoaleatórias, procura nomes de arquivos .exe ou .dll para derivar o nome do executável salvo e, quando não encontra candidatos, gera nomes próprios. O arquivo gravado recebe timestamps alinhados aos de ntdll.dll, uma técnica que reduz a utilidade de caça baseada apenas em data recente de criação.
Além do local principal, o malware cria uma subpasta derivada do número de série do volume e também grava uma cópia em %TEMP%. O material indica que a pasta e o arquivo criados nesse caminho temporário dependem de valor hard-coded, portanto tendem a ser iguais entre máquinas infectadas pela mesma lógica. Arquivos e pastas são protegidos com a API EncryptFile, e nomes de tarefas agendadas são gerados pela mesma função usada para mutexes e eventos. A configuração fica criptografada, usando os primeiros 32 bytes do bloco como chave AES-256 e APLib para descompressão.
- Hosts Windows com Ramnit ativo e comunicação periódica com C&C podem receber novamente o Ngioweb após remoção parcial.
- Caminhos sob
Program Files,%APPDATA%,%LocalAppData%e%TEMP%devem ser revisados quando houver arquivos executáveis com nomes derivados de DLLs ou EXEs locais. - Ambientes nos quais endpoints têm acesso a serviços internos sensíveis ficam mais expostos ao modo de proxy que opera a partir da própria máquina infectada.
A investigação deve começar pela correlação entre sinais de Ramnit e comportamento de proxy. Em rede, procure consultas HTTP do estágio 0 com query string composta por letras aleatórias e User-Agent fixo, seguidas por comunicação criptografada com estágio 1. A presença de tráfego para 185[.]44[.]75[.]109 ou referências ao domínio ngioweb[.]su deve ser tratada como indicador de investigação, com defang e bloqueio em controles de segurança. Como a arquitetura pode encadear bots, conexões para endereços residenciais ou corporativos incomuns também precisam ser avaliadas pelo padrão de tráfego, não apenas por reputação.
No endpoint, a cadeia envolvendo msiexec.exe é um sinal relevante quando combinada com criação suspeita de processos, hollowing, arquivos executáveis em diretórios de perfil de usuário e tarefas agendadas com nomes pseudoaleatórios. A caça deve observar discrepâncias entre timestamp e origem real do arquivo: a cópia pode herdar tempos semelhantes aos de ntdll.dll, então filtros simples por data de modificação podem falhar. Também é útil procurar uso de EncryptFile em diretórios onde aplicações legítimas não costumam criptografar seus próprios executáveis.
A telemetria de EDR deve destacar injeção de código, criação de processo a partir de executável recém-gravado em subpasta incomum, mutexes de formato não reconhecido e uso de APIs de fila de conclusão em processos que não justificam esse padrão. Em logs de tarefas agendadas, nomes gerados e apontando para executáveis fora de diretórios esperados são candidatos fortes. Em proxy e firewall, a defesa deve procurar hosts internos que passem a apresentar sessões TCP ou UDP com volume e destino incompatíveis com o perfil do usuário, especialmente quando o endpoint não deveria atuar como intermediário de tráfego.
- Conexões para C&C defangado 185[.]44[.]75[.]109 e referências ao domínio
ngioweb[.]suem DNS, proxy, EDR ou memória de processo. - Criação ou execução anômala de
msiexec.exeseguida de injeção, hollowing ou execução de binário em%APPDATA%,%LocalAppData%,%TEMP%ou subpastas incomuns deProgram Files. - Tarefas agendadas com nomes pseudoaleatórios apontando para executáveis criados por usuário ou por processo sem relação com instalação legítima.
- Tráfego de endpoint comum atuando como relay ou back-connect, com conexões TCP e UDP para destinos diversos e sem justificativa de negócio.
A resposta deve considerar a cadeia inteira. Um host com Ngioweb precisa ser isolado da rede para impedir uso como proxy e para preservar evidências de memória, processos e arquivos. A remoção deve cobrir o Ramnit, porque ele é o mecanismo que pode reinstalar o Ngioweb por instrução do C&C. Depois da contenção, revise tarefas agendadas, diretórios de persistência, cópias em %TEMP%, executáveis com timestamps artificiais e arquivos protegidos por EncryptFile. A erradicação parcial reduz sintomas, mas não interrompe a lógica de reinfecção se o bot Ramnit continuar operacional.
No perímetro, bloqueie indicadores defangados confirmados em DNS, proxy e firewall, sabendo que a infraestrutura pode mudar e que bots podem funcionar como nós intermediários. Regras baseadas somente em IP serão insuficientes contra uma rede de proxies distribuída; combine reputação, perfil de tráfego, detecção de processo de origem e comportamento de endpoint. Em ambientes corporativos, limite a capacidade de estáções comuns iniciarem conexões arbitrárias para fora ou aceitarem fluxos que caracterizem relay, principalmente em segmentos com acesso a serviços internos.
A validação pós-incidente deve incluir varredura de hosts que se comunicaram com a mesma infraestrutura, busca por artefatos de Ramnit e Ngioweb, revisão de caixas de e-mail ou controles antispam quando houver suspeita de dropper distribuído por mensagem, e análise de qualquer endpoint que tenha servido como origem de tráfego incomum. Como o Ngioweb pode permitir acesso a recursos internos a partir da máquina infectada, logs de aplicações e serviços acessíveis por esse host devem ser revisados para conexões no período de infecção. A prioridade é reconstruir a janela de atividade e confirmar se o uso observado ficou restrito ao proxy ou se houve ações adicionais suportadas por evidências locais.
- Isolar máquinas com sinais de Ramnit ou Ngioweb antes de remover artefatos, preservando memória, lista de processos, conexões e tarefas agendadas.
- Eliminar Ramnit e Ngioweb no mesmo ciclo de resposta para impedir reinstalação por comandos recorrentes do C&C.
- Bloquear C&C e domínio defangados observados, mas complementar com detecção comportamental para relay, back-connect e tráfego de proxy.
- Revisar acessos internos originados de hosts infectados durante a janela de comprometimento, sem assumir impacto adicional sem evidência.
0 Comentários