A análise técnica descreve como o Bemstour combinou lógica derivada do EternalRomance, uma falha de divulgação de informação em pipes nomeados do Windows e um implante semelhante ao DoublePulsar para obter execução remota de código.
| Componente | Bemstour e UPSynergy, cadeia de exploração SMB usada pelo APT3 contra sistemas Windows, com interação com npfs.sys, pipes nomeados e lógica relacionada a EternalRomance. |
| Vetor | Conexão SMB autenticada a um pipe nomeado, seguida de consultas de informação que expõem ponteiros de núcleo e de exploração de confusão de tipo em transações SMB para viabilizar primitivas de escrita. |
| Impacto | Execução remota de código no host alvo quando a divulgação de informação é combinada com uma primitiva de escrita; o objetivo operacional descrito é implantar payload e injetá-lo em processo em execução. |
| Prioridade | Aplicar correções do Windows relacionadas a SMB e pipes nomeados, reduzir exposição de SMB legado, revisar autenticações SMB anômalas e procurar padrões de consulta a pipes seguidos de encerramento de conexão e execução inesperada. |
| Versões | EternalRomance mirava principalmente Windows 7 e versões anteriores com SMBv1; o UPSynergy usou uma divulgação de informação própria para ampliar a viabilidade contra versões superiores ao Windows 7, sem lista completa de versões no contexto. |
| Artefatos | Estruturas SMB montadas manualmente, UIDs fixos em intervalos próximos, fragmentos de cabeçalho não utilizados, caminho PDB com SMB Master e projeto SMB_FOR_ALL_Ultimate-signature. |
| Mitigação | Corrigir CVE-2019-0703 e CVE-2017-0143 quando aplicáveis, restringir SMBv1, limitar acesso a pipes nomeados por segmentação e acompanhar criação de contas ou execução de comandos após sessões SMB suspeitas. |
A operação descrita gira em torno do Bemstour, ferramenta de exploração atribuída ao APT3, também associado aos nomes Buckeye e UPS team. O componente foi usado para obter execução remota de código em máquinas Windows por meio do UPSynergy, um conjunto que combina uma exploração inspirada no EternalRomance com uma falha de divulgação de informação encontrada pelo próprio grupo. O resultado técnico é uma cadeia capaz de preparar o alvo via SMB, obter dados internos úteis do núcleo, manipular estruturas de execução e entregar um payload que é injetado em processo já existente. O contexto também indica versões de 32 e 64 bits, com uso do ramo de 64 bits principalmente para execução de comandos de shell, inclusive para criação de novas contas em ambientes comprometidos.
O ponto mais relevante para inteligência de ameaças é a hipótese técnica de reaproveitamento de capacidade ofensiva a partir de tráfego capturado. O binário contém evidências de pacotes SMB construídos manualmente, valores fixos que normalmente seriam variáveis por conexão e fragmentos de cabeçalhos não utilizados que parecem resíduos de uma referência externa. Esses elementos sustentam a leitura de que o APT3 pode ter reconstruído parte de uma ferramenta do Equation Group observando uma operação contra uma rede monitorada. Em vez de desenvolver do zero uma cadeia equivalente, o grupo teria usado engenharia reversa, tráfego de rede e adaptação de bugs para chegar a uma capacidade operacional própria.
A cadeia também expõe um detalhe importante sobre atribuição e maturidade técnica: o uso de exploits avançados não implica necessariamente desenvolvimento integral interno. O Bemstour sugere um modelo híbrido, em que uma equipe coleta artefatos de ataque, compreende as primitivas envolvidas, substitui um vazamento de informação por outro e integra o resultado a um implante. Para defensores, isso amplia o escopo de análise: capturas de rede, resíduos de pacotes, caminhos PDB, padrões de montagem manual de protocolo e semelhanças de implante podem revelar relações técnicas mesmo quando não há infraestrutura, domínio ou hash compartilhado no material disponível.
O Bemstour opera como ferramenta de linha de comando com dois modos principais. No primeiro, o operador envia um arquivo local para ser executado na máquina vítima com argumento definido. No segundo, o operador executa um comando arbitrário sem transferir um arquivo. O contexto não fornece comandos reproduzíveis e eles não são necessários para defesa; o ponto técnico é que a cadeia possui tanto capacidade de entrega de payload quanto execução remota de instruções no host. As duas funcionalidades existem em variantes de 32 e 64 bits, e o implante resultante apresenta forte semelhança funcional com o DoublePulsar, especialmente na lógica de injeção em processo em execução.
A comunicação SMB da ferramenta não depende de uma biblioteca de alto nível para construir as mensagens. O binário monta pacotes manualmente, usando estruturas próprias que representam cabeçalhos e campos SMB, e envia o tráfego por sockets TCP comuns. Essa escolha deixa rastros úteis para análise reversa: campos fixos, estruturas em seção de dados, funções de preenchimento que copiam valores para cabeçalhos e blocos não usados que preservam ordem e proximidade numérica com UIDs usados pela ferramenta. Como UIDs de sessão podem ser escolhidos pelo cliente, a presença de valores fixos em faixas próximas sugere que partes do tráfego foram copiadas de uma captura ou de outro artefato de referência.
A primeira peça de exploração envolve uma divulgação de informação rastreada como CVE-2019-0703. Embora descrita como uma falha no tratamento de requisições pelo Windows SMB Server, a análise técnica aponta a causa em uma lógica de consulta de informações do mecanismo de pipes nomeados do Windows. A função NpQueryInternalInfo, dentro de npfs.sys, retorna um valor que deveria representar uma referência de arquivo, mas acaba expondo um ponteiro para uma estrutura de núcleo do tipo CCB, ou Client Control Block. Esse valor não deveria chegar ao cliente, porque revela material interno que pode reduzir incertezas necessárias para uma exploração confiável.
A falha pode ser acionada por meio de SMB quando há conexão autenticada a um pipe nomeado, como \\.\pipe\browser, seguida de consulta de informação de arquivo via transação SMB. A lógica de passagem de níveis de informação permite que um cliente solicite uma classe nativa de informação que mapeia para NtQueryInformationFile. Quando a consulta alcança o driver SMB e depois npfs.sys, o retorno indevido da estrutura CCB vaza para a resposta. A cadeia usa esse conhecimento para determinar características do sistema e localizar um ponto de manipulação, mas o vazamento isolado não é suficiente para execução de código; ele precisa ser combinado com uma primitiva de escrita.
A segunda peça deriva da família EternalRomance e da vulnerabilidade CVE-2017-0143, relacionada a confusão de tipo entre mensagens SMB. O servidor passa a interpretar uma mensagem não relacionada como parte de uma transação de outro tipo e aciona o manipulador incorreto. Esse manipulador desloca o ponteiro do buffer de entrada dentro da estrutura de transação com base em dados de uma mensagem incompatível. Quando o heap foi preparado de forma adequada, mensagens posteriores podem gravar fora dos limites esperados e alterar uma estrutura SMB adjacente. Essa condição fornece a base para primitivas de leitura e escrita usadas na etapa final.
No UPSynergy, a divulgação da CCB ajuda a localizar uma estrutura vinculada a pipes nomeados que contém ponteiro para uma função chamada quando a conexão é encerrada. A cadeia grava no heap da HAL tanto o shellcode quanto uma instância falsa de uma estrutura relacionada, posicionando um ponteiro para o shellcode onde o destrutor do pipe seria consultado. Em seguida, a primitiva de escrita altera o ponteiro na CCB vazada para apontar para essa estrutura falsa. Quando a conexão com o pipe é encerrada, o fluxo de execução passa pelo ponteiro manipulado e o código do atacante é acionado. Para defesa, o detalhe crítico é a sequência: autenticação SMB, consulta a pipe nomeado, manipulação de transações, encerramento de conexão e execução inesperada no host.
A superfície principal é composta por servidores Windows acessíveis por SMB, especialmente quando SMBv1 e pipes nomeados estão disponíveis a partir de segmentos onde um operador consiga autenticar. O contexto aponta que EternalRomance mirava principalmente Windows 7 e versões anteriores da família Windows NT com SMBv1, enquanto versões posteriores do Windows dificultaram a exploração original ao removerem um vazamento de informação usado pela cadeia. O UPSynergy contorna esse limite substituindo o vazamento anterior pela divulgação em pipes nomeados, permitindo adaptação para versões superiores ao Windows 7. Não há, no material recebido, uma matriz completa de edições, builds ou configurações afetadas.
A exigência de autenticação para a divulgação de informação muda a avaliação operacional. A falha não deve ser tratada como um simples pacote anônimo contra qualquer host exposto; ela é mais relevante quando o atacante já possui credenciais válidas, acesso de rede ao serviço SMB e capacidade de conversar com pipes nomeados. Em ambientes corporativos, isso torna está cadeia particularmente importante após acesso inicial, reutilização de credenciais, comprometimento de conta de domínio, abuso de senha local reutilizada ou movimentação dentro de uma rede plana. Mesmo sem evidência de exfiltração no contexto, a execução remota de código é suficiente para justificar resposta prioritária.
A presença de um implante semelhante ao DoublePulsar também amplia a superfície para análise de endpoint. O foco não é apenas o serviço SMB, mas o processo alvo que recebe o payload injetado, a memória do núcleo envolvida na transição e a criação ou execução de comandos após a exploração. A referência a variantes de 64 bits usadas para executar comandos, principalmente com o objetivo de criar novas contas, indica que eventos de identidade e administração local podem aparecer próximos temporalmente da atividade SMB. Essa correlação é mais útil do que procurar um único indicador de rede, já que o contexto não traz domínios, endereços IP ou hashes.
- Hosts Windows com SMB acessível a partir de redes internas onde credenciais válidas possam ser usadas.
- Ambientes que ainda permitem SMBv1 ou que mantêm ampla exposição de pipes nomeados entre estáções e servidores.
- Servidores em que correções relacionadas a
CVE-2019-0703eCVE-2017-0143não foram aplicadas ou não foram validadas. - Domínios com baixa visibilidade sobre criação de contas locais ou execução remota de comandos após sessões SMB.
A detecção deve se concentrar em encadear sinais fracos, porque a notícia não fornece IoCs de infraestrutura. No tráfego de rede, procure sessões SMB autenticadas que abram pipes nomeados e, logo depois, emitam consultas de informação incomuns ou sequências de transação que destoem do comportamento normal de clientes Windows. O uso de SMB_COM_TRANSACTION2, consultas associadas a informações de arquivo e padrões de negociação com passagem de níveis de informação merecem atenção quando aparecem de forma concentrada contra múltiplos hosts. Em redes modernas, qualquer dependência remanescente de SMBv1 deve ser inventariada e tratada como exceção monitorada.
Em endpoint, o principal sinal pós-exploração é a execução de código fora do fluxo esperado do serviço, incluindo injeção em processo existente, criação de contas e execução de comandos remotos sem trilha administrativa clara. A atividade de criação de usuários deve ser correlacionada com sessões SMB de origem incomum, autenticações fora do padrão e mudanças repentinas em grupos locais. A cadeia descrita busca execução remota, portanto telemetria de EDR sobre memória, thread remota, carregamento anômalo e processos filhos inesperados em servidores pode oferecer evidência mais concreta do que logs de rede isolados.
Para análise reversa e resposta a incidente, artefatos no binário ajudam a diferenciar famílias e versões da ferramenta. Estruturas SMB hardcoded, UIDs fixos, fragmentos não utilizados de cabeçalhos e caminhos PDB com nomes como SMB Master e SMB_FOR_ALL_Ultimate-signature são pistas de desenvolvimento e possível reaproveitamento. Esses elementos não são indicadores de rede, mas podem orientar classificação de amostras, criação de assinaturas internas de baixo risco e comparação entre ferramentas que tentam reproduzir tráfego SMB de forma manual.
- Sessões SMB autenticadas que abrem pipes nomeados e fazem consultas de informação pouco comuns antes de encerrar a conexão.
- Uso anômalo de transações SMB e níveis de informação de passagem em hosts que normalmente só realizam compartilhamento de arquivos simples.
- Criação de contas locais ou alteração de grupos administrativos logo após atividade SMB de origem incomum.
- Processos com injeção, memória executável inesperada ou execução de comandos sem correspondência com ferramentas administrativas autorizadas.
- Amostras com strings PDB relacionadas a
SMB MasterouSMB_FOR_ALL_Ultimate-signature, estruturas SMB fixas e resíduos de cabeçalho não referenciados.
A mitigação começa pela atualização dos sistemas Windows afetados pelas falhas citadas e pela validação de que os patches foram realmente aplicados em servidores expostos a SMB. CVE-2019-0703 corrige a divulgação indevida de informação associada ao tratamento de consultas autenticadas, enquanto CVE-2017-0143 trata a base de confusão de tipo usada em EternalRomance. Como a cadeia depende da combinação entre vazamento e escrita, interromper qualquer uma das primitivas reduz de forma significativa a confiabilidade da exploração. A validação deve incluir ativos legados, imagens de máquinas pouco atualizadas e servidores fora do ciclo principal de correções.
A redução de superfície é igualmente importante. SMBv1 deve ser removido onde não houver dependência comprovada, e exceções devem ficar segmentadas, monitoradas e documentadas. O acesso a SMB e pipes nomeados precisa ser limitado por origem, função e necessidade real; estáções de usuário não devem conversar livremente com todos os servidores se o desenho de rede não exigir isso. A autenticação também deve ser tratada como camada defensiva: contas administrativas locais compartilhadas, senhas reutilizadas e credenciais com privilégio amplo aumentam a chance de uma falha autenticada se transformar em execução remota em cadeia.
Em resposta a possível comprometimento, a ordem defensiva deve combinar contenção de rede, preservação de evidências e revisão de identidade. Hosts suspeitos devem ter sessões SMB externas interrompidas de forma controlada, com coleta de logs, memória e eventos de criação de contas antes de limpeza agressiva. Em seguida, revise contas criadas recentemente, membros adicionados a grupos privilegiados, execução de comandos remotos e processos com comportamento de injeção. Quando houver evidência de uso de credenciais, a rotação deve considerar contas locais, contas de serviço e credenciais de domínio que tocaram os hosts afetados.
Por fim, a defesa deve tratar esse caso como alerta sobre reciclagem de ferramentas ofensivas. Uma organização pode bloquear um exploit conhecido e ainda enfrentar uma variante reconstruída a partir de tráfego, com pequenas alterações de vazamento, montagem manual de protocolo e implante reaproveitado. A cobertura deve ser baseada em comportamento: acesso SMB anômalo, consultas a pipes, primitivas de exploração, execução remota e mudanças de identidade. Essa abordagem preserva valor mesmo quando nomes de ferramenta, hashes e infraestrutura mudam.
- Aplicar e verificar correções para
CVE-2019-0703eCVE-2017-0143em todos os hosts Windows relevantes. - Desabilitar SMBv1 quando possível e isolar qualquer dependência legada em segmentos com controle de origem e destino.
- Restringir acesso a SMB e pipes nomeados por função, rede e necessidade operacional.
- Monitorar criação de contas, alteração de grupos e execução de comandos após sessões SMB suspeitas.
- Coletar memória, logs de endpoint e eventos de autenticação antes de remover artefatos em hosts suspeitos.
- Rotacionar credenciais expostas quando houver indício de autenticação abusada durante a cadeia.
0 Comentários