Análisis y defensa de malware

Análisis y defensa de malware

Tercera parte del particionado múltiple “Defensa contra malware”

Los puestos de trabajo de nuestros analistas de malware no difieren de otros en las oficinas de Hornetsecurity, a pesar de que el Laboratorio de Seguridad es conocido como un “laboratorio”. No se encuentran matraces Erlenmeyer, tubos de ensayo y quemadores Bunsen, sino ordenadores normales. El trabajo se realiza de forma virtual, por ejemplo en Sandboxes o analizando el tráfico de datos. No obstante, no debe subestimarse la importancia de los analistas de malware, ya que garantiza que los sistemas de defensa de Hornetsecurity estén siempre lo más actualizados posible. esta es la única manera de mantener el alto estándar de calidad.

Pero, ¿cuál es el procedimiento para analizar el malware? Por lo general, hay un flujo de datos muy grande y continuo que analizar. La tarea principal es extraer información valiosa de estos datos brutos, procesarlos y hacerlos “inteligentes”. Con este fin, los analistas utilizan diversas herramientas y programas para responder a preguntas específicas: ¿Cuáles son los objetivos del malware? ¿Qué características son típicas del malware investigado? ¿Hay alguna evidencia de los atacantes? Idealmente, las acciones pueden derivarse de los hallazgos, como escribir nuevas reglas de filtro o crear algoritmos.

Dos tipos diferentes de análisis

Aquí se presentan con más detalle dos formas de analizar el malware. En el análisis estático, el propio código se visualiza sin ejecutar el malware, mientras que en el análisis dinámico, se realiza un seguimiento del comportamiento del código malicioso en un entorno seguro.

En el análisis estático, los analistas descomponen el malware hasta el más mínimo detalle para sacar conclusiones del propio código. Por ejemplo, se extraen cadenas significativas o se inician scripts de shell y se generan resultados adicionales con desensambladores. Aquí se puede encontrar información sobre las actividades del malware y las características que muestra – los llamados Indicadores de Compromiso (IoC). Basándose en los resultados, los sistemas de filtrado individuales pueden actualizarse para evitar nuevos ataques de este y otros programas maliciosos similares tan pronto como sea posible.

Una posibilidad para el análisis dinámico es dejar que el código malicioso realice su tarea en el entorno seguro de pruebas. Este método puede ser bien automatizado para obtener ciertos resultados. Los sistemas de filtrado pueden ser actualizados en estos. ¿Cambia el código ciertos archivos, hace cambios en el registro o ha adaptado generalmente la configuración del sistema a los servidores DNS, por ejemplo? ¿Con quién se pone en contacto el malware? Estas y otras preguntas pueden ser contestadas de esta manera.

Varias posibilidades de uso

La aplicación más obvia de los datos obtenidos del análisis de malware para las empresas de seguridad de TI es mejorar sus métodos de defensa y así proteger mejor a sus clientes de los ataques. Para ello, los analistas extraen ciertos patrones binarios y los utilizan para crear las llamadas reglas de Yara ,con las que se pueden encontrar, categorizar y agrupar muestras de malware. Las firmas de comportamiento aplicadas en el entorno de pruebas pueden detectar y categorizar ciertos patrones de comportamiento de código malicioso.

Un ejemplo: En el Sandbox, se abre un documento de Office en el archivo adjunto. Allí las firmas de comportamiento reconocen que el documento a examinar comienza a recoger y enviar información sobre las cuentas de usuario. Si este análisis se lleva a cabo en un entorno basado en la nube, es posible interceptar los correos electrónicos llamativos y así bloquear completamente los ataques. Todas estas y muchas otras medidas de defensa deberían ayudar a interceptar y prevenir un ataque lo antes posible, para que el daño causado por el malware sea lo más pequeño posible o, mejor aún, no ocurra en absoluto.

Muchos de los datos sin procesar obtenidos por el análisis de malware y los resultados derivados de él también son útiles para la prevención general. Los proyectos de investigación pueden beneficiarse de ello y poner sus resultados científicamente sólidos a disposición del público en general. Además, la publicación de análisis de malware también sirve para educar al público en general. Aumentar el conocimiento sobre los enfoques de los ataques cibernéticos y los ataques de malware ayuda a limitar sus tasas de éxito.

EFAIL: (Sin) una vulnerabilidad en los métodos de cifrado PGP y S/MIME

EFAIL: (Sin) una vulnerabilidad en los métodos de cifrado PGP y S/MIME

 

Una vulnerabilidad conocida se transfiere a los protocolos PGP y S/MIME y lleva la manipulación del correo electrónico a un nuevo nivel. No hay problema para Hornetsecurity.

 

El lunes 14 de mayo de 2018, un equipo de investigadores de seguridad de la Universidad de Ciencias Aplicadas de Münster, la Universidad del Ruhr de Bochum y la Universidad de Lovaina (Bélgica) publicó un artículo , que cuestiona la seguridad de los estándares de encriptación PGP y S/MIME atrayendo así la atención mundial.

Sin embargo, las vulnerabilidades descubiertas (CVE-2017-17688 y CVE-2017-17689) no afectan a los protocolos en sí, sino que utilizan una vulnerabilidad ya conocida para descifrar correos electrónicos cifrados por parte del cliente de correo y entregarlos al atacante.

Un requisito previo para la ejecución de los ataques es que los correos electrónicos ya estén a disposición del atacante de forma cifrada. Para ello, los correos electrónicos deben ser interceptados durante el transporte. El atacante debe haber ejecutado previamente un ataque de hombre en el medio (MitM) o haber comprometido un servidor de correo electrónico para obtener acceso a los correos electrónicos que pasan a través de él o del servidor. Sólo si se cumplen estos requisitos, el atacante puede ejecutar uno de los ataques EFAIL descritos en el documento.

Los autores del artículo señalan dos métodos de ataque similares para descifrar correos electrónicos con cifrado PGP o S/MIME existente.

El primer ataque es bastante simple, pero se limita a ciertos clientes de correo (Apple Mail, iOS Mail, Mozilla Thunderbird) y a cualquier plug-ins de terceros instalados allí:

Para ello, el atacante crea un correo electrónico en tres partes. La primera parte formatea el correo electrónico como HTML e inserta una etiqueta de imagen con un sitio web de destino. Las comillas y la etiqueta de imagen no están cerradas. A esto le sigue en la segunda parte con el texto cifrado con PGP o S/MIME. La tercera parte consiste de nuevo en el formato HTML e incluye la etiqueta de imagen de la primera parte.

(Fuente: Ataques EFAIL, al 14.05.18)

Si el atacante envía este correo electrónico al remitente del mensaje cifrado, es posible que el mensaje sea descifrado y transmitido al sitio web almacenado. Para ello, el cliente de correo debe estar configurado para que descargue automáticamente imágenes externas sin preguntar al usuario.

La segunda manera de leer correos electrónicos encriptados PGP o S/MIME es extraer texto plano en bloques de mensajes encriptados.

El escenario de ataque para los ataques S/MIME CBC y PGP CFB incluye una parte de texto conocida en un mensaje cifrado y sobrescribe los bloques siguientes con su propio contenido. El ataque EFAIL inserta una etiqueta de imagen con un sitio web de destino en el texto cifrado, como se describe en la primera parte. Si el mensaje se entrega al destinatario real del mensaje cifrado, es posible que el mensaje se descifre y se transmita al atacante.

Los correos electrónicos cifrados por Hornetsecurity están protegidos por defecto contra ataques de este tipo, ya que Hornetsecurity ni siquiera permite los diferentes tipos de contenido (multiparte/mixto) requeridos para el ataque.

Los métodos de cifrado en sí mismos – S/MIME y PGP – no eran vulnerables; más bien, se encontraron vulnerabilidades en los clientes de correo electrónico para correos HTML que pasan por alto estas técnicas de cifrado.. Además, nos oponemos a la recomendación de varios investigadores de seguridad de desactivar de forma general los sistemas de cifrado de contenido: PGP y S/MIME no son por si mismos más inseguros que ningún o que un puro sistema de transmisión cifrada de transporte, incluso después de esta publicación. Dado que el ataque requiere un ataque MitM, es decir, una ruptura del posible cifrado de transporte, el prescindir en general del cifrado de contenidos sería fatal: ¡los posibles atacantes podrían incluso leer el tráfico de correo electrónico directamente!

El servicio de cifrado de Hornetsecurity, que es inmune a EFail, no requiere de ningún plug-in de cliente: El cifrado y descifrado son totalmente automatizados por Hornetsecurity en la nube – no se requiere instalación, mantenimiento o interacción del usuario – ¡simplemente seguro!

 

Más información:

El quién es quién entre los criminales cibernéticos

El quién es quién entre los criminales cibernéticos

En la primera parte de nuestra pequeña serie de blogs sobre los principios básicos del malware, hemos tratado la terminología de virus, gusanos, etc. Descubrimos que los tipos de ataques cibernéticos han cambiado a lo largo de los años. Si bien hace algunos años prevalecían los mensajes de correo no deseado relativamente simples y los virus que se distribuían ampliamente de acuerdo con el principio minimax (esfuerzo mínimo en el rango máximo), los ataques de hoy son mucho más sofisticados e individuales.

La razón es que los mecanismos de defensa se han adaptado; la detección de spam masivo y de oleadas de virus se ha mejorado significativamente. Pero antes de entrar en detalle cómo se puede analizar y defenderse contra el malware, vamos a arrojar un poco de luz sobre quién está detrás de todos estos ataques.

El estereotipo de un hacker se parece a esto: en un sótano oscuro se encuentra un hombre pálido y soltero, que come pizza, bebe una soda y viste una sudadera con capucha. Allí ingresa un código en una computadora,  ataca y alcanza sus objetivos. Por supuesto, como siempre, la realidad es mucho más compleja.

Mientras tanto, los fabricantes de ciberataques actúan como pequeñas empresas: están compuestos por equipos cuyos miembros se especializan en sub-tareas y distribuyen profesionalmente sus “productos”. Después de todo, esta industria se ha convertido en un campo de actividad altamente lucrativo, ya que se estima que los ingresos por delitos cibernéticos son más altos que los provenientes del tráfico de drogas a nivel mundial.

Más que sólo Nerds, los que están sentados en los sótanos

Sin embargo, hay muchos otros grupos de personas en el área de la cibercriminalidad. Para completar la lista temáticamente, por lo tanto, también se deben enumerar los actores del campo de la ciberguerra. Estos no persiguen objetivos monetarios, sino otros, a menudo ideológicos.

En la siguiente lista se encuentran diferentes grupos, en los cuales se pueden clasificar los cibercriminales:

Criminales profesionales

Este grupo se puede asignar a todos aquellos que persiguen un objetivo puramente económico con los ciberataques. Su objetivo es generar la mayor cantidad de dinero posible, de cualquier forma. Además de los troyanos bancarios y el spyware, también usan ataques de ransomware o malware tipo criptomining.

Además, debe mencionarse la venta de información y datos robados: las listas de correos electrónicos u otra información personal, botnets y otros contenidos, por los cuales se dejan solicitar grandes cantidades de dinero para prevenir su publicación.

Incluso la venta de malware en sí cae en esta categoría: los ataques se ofrecen como un servicio, de modo que incluso las personas técnicamente menos experimentadas o menos equipadas pueden realizar u ordenar ataques.

Entre este tipo de ataques puede encontrarse un nuevo ransomware, o un simple ataque DDoS contra compañías, organizaciones y agencias gubernamentales.

Actores estatales

Estos son actores pertenecientes a los gobiernos nacionales. Uno de sus principales objetivos es mejorar la situación de su propio país, ya sea mediante ataques piratas informáticos o mediante sabotaje, espionaje clásico o la infiltración de oponentes. Aunque estas actividades no son comunicadas abiertamente por países individuales, se considera un secreto a voces.

Como resultado, los países se acusan mutuamente de estos ataques: actualmente, el FBI estadounidense y el Centro Nacional de Seguridad Cibernética (NCSC) acusan a Rusia de ser responsable de un ataque cibernético en el que piratas informáticos han infiltrado infraestructuras de red a gran escala. Por cierto, las dos autoridades están utilizando el Cyber Kill Chain como una explicación.

Para combatir el crimen y el terrorismo, las autoridades están utilizando activamente ciertos programas para espiar a las personas objetivo y de esta manera obtener información relevante para las investigaciones: el Troyano Federal, que supuestamente ya está en uso, es uno de esos ejemplos. Oficialmente, los órganos estatales están sujetos al poder legislativo y judicial, pero en la realidad este control es muy incompleto.

Algunas instituciones estatales incluso acumulan su propio conocimiento sobre los agujeros de seguridad sin permitir que se cierren, de modo que puedan ser capaces de explotarlos por sí mismos. Sin embargo, el problema es que los llamados Zero-Day- Exploits pueden caen en manos equivocadas y ser utilizados, como sucedió en el ataque de ransomware WannaCry, en el que probablemente un exploit suelto de la NSA fue explotado por grupos de piratas informáticos de Corea del Norte.

Activistas, grupos políticos

Este grupo de ciberdelincuentes, también conocidos como “hacktivistas”, lleva a cabo ciberataques basados en sus fundamentos ideológicos. Además de las empresas privadas, las víctimas también pueden ser políticos u órganos estatales. El objetivo de sus acciones es tratar de hacer valer sus ideas políticas, sociales o de otro tipo. Además del pirateo clásico, usan ataques DDoS.

Entre los hacktivistas se incluyen los grupos Anonymous, WikiLeaks y LulzSec.

Empresas privadas

En el sector privado, también hay actividades de cibercrimen. Generalizado por el espionaje industrial, el objetivo de este grupo de atacantes es espiar a la competencia, obtener información y usarla para su propio beneficio.

Vandalismo

Estos atacantes no establecen objetivos estratégicos para sus ataques cibernéticos: están más preocupados por satisfacer su curiosidad, probar nuevas ideas y obtener reconocimiento por sus logros. El puro placer en la destrucción es lo que impulsa a este grupo de personas.

Investigadores de seguridad

También hay personas que buscan vulnerabilidades en las infraestructuras de TI para aumentar la seguridad de los sistemas de TI. Estos expertos pueden encontrarse en instituciones públicas como universidades y autoridades públicas, pero también en empresas privadas en los denominados laboratorios de seguridad. Sin embargo, a veces la dificultad radica en que los ciberdelincuentes pueden usar y explotar estos hallazgos publicados para sus propios fines.

El dinero es la razón principal

Interesante es la distribución aproximada de los motivos detrás de estos ataques: según una encuesta reciente del proveedor de telecomunicaciones Verizon, el 76 por ciento de todas las violaciones de seguridad del año pasado fueron de naturaleza financiera, seguidas por actividades de espionaje, “motivos divertidos” y aversiones personales. Otro número muy interesante del estudio de Verizon: el 28% de todas las violaciones de datos fueron hechas por personal interno.

La próxima parte de nuestra serie analizará cómo funciona el análisis de malware y cómo desarrollar estrategias de defensa basadas en estos hallazgos.

Más información:

Protección de datos – el viento está cambiando

Protección de datos – el viento está cambiando

Fue una presentación memorable de Mark Zuckerberg ante el Comité del Senado de los EE. UU .: el jefe de Facebook tuvo que responder ante el escándalo de datos que involucra a su red social. Durante el proceso, que duró cinco horas, este fue cuestionado sobre cómo a una empresa externa le fue posible tener acceso a los datos personales de 87 millones de usuarios de Facebook.

Los gigantes tecnológicos de Silicon Valley se han vuelto muy poderosos a través de los datos que recopilan de sus usuarios. Hoy en día,  a los anunciantes les resulta muy difícil esquivar a los grandes como Google, Facebook y Co., cuando quieren promocionarse a sí mismos y a sus productos. Al mismo tiempo, estos datos pueden usarse para influir en las opiniones, manipular estados de ánimo y determinar temas discutidos públicamente. Debería ser aún más importante para estas plataformas publicitarias ser sensatos, conscientes y sensibles al tratar con los datos del usuario. Este obviamente no es el caso.

Hasta el momento, las grandes compañías tecnológicas no necesitaban preocuparse por la sobrerregulación del gobierno de los EE. UU. Por el contrario, estas establecen el estándar sobre como debe ser el manejo de los datos personales y su acceso por parte de terceros. Estrictas reglas de protección de datos tal como las que se aplican en Europa y más aún en Alemania – p.ej., el Reglamento de Protección Básica de Datos (DSGVO), que entró en vigor en mayo pasado, serían percibidas como un obstáculo mayor. Mientras tanto, la legislatura estadounidense parece despertar y ha descubierto que las cosas se les han ido un poco de la manos.

En una conferencia telefónica, Zuckerberg reconoció que el GDPR y otras regulaciones son “muy positivas” y añadió: “pretendemos hacer todos los mismos controles disponibles en todas partes, no solo en Europa”. (fuente: techcrunch) El plan sería adherirse a las reglas de protección de datos en todo el mundo y no solo ajustar algunas configuraciones.

Por lo tanto, Facebook acepta de facto la Directiva Europea de Protección de Datos como estándar, un cambio fundamental en la filosofía de la compañía. Sí Facebook realmente pone en práctica este anuncio, pondría a las demás compañías tecnológicas importantes en una posición forzada. Los senadores de EE. UU. También insinuaron que Google y Co., están a poco de entrar en el foco: “En el pasado, muchos de mis colegas de ambos lados estaban dispuestos a ceder ante los esfuerzos de las compañías tecnológicas para autorregularse. Pero esto puede estar cambiando “. (Fuente)

Parece que la UE ha logrado con el Reglamento de Protección de Datos, algo que parecía impensable hasta hace poco: que una ley Europea tenga un impacto mucho más allá de sus mismas fronteras.

Los tiempos de manejo laxo de los datos del usuario deberían, por lo tanto, ser cosa del pasado.

Virus, gusanos, troyanos – un rayo de luz en el mundo oscuro y confuso de estos nombres

Virus, gusanos, troyanos – un rayo de luz en el mundo oscuro y confuso de estos nombres

Malware, ataques cibernéticos y el cómo protegerse contra estos – esta temática ocupa no solo a personas individuales sino también a los responsables de TI. Por lo tanto, nos gustaría proporcionar una serie de información básica sobre este tema en una secuencia de publicaciones. En la primera publicación proporcionamos una definición y clasificación general de malware. Esta no es exhaustiva, pero cubre los tipos de malware más relevantes.

Existen desde hace millones de años – los virus.  En comparación con este periodo de tiempo, estos son solo conocidos por la humanidad desde lo que llamamos un abrir y cerrar de ojos, ya que su evidencia científica se presentó solo hasta finales del siglo XIX. Los virus son responsables de diferentes enfermedades, y en la naturaleza siempre ha existido una batalla constante entre la evolución de los virus y la defensa contra los mismos.

En el área de las tecnologías de la información la situación es bastante similar. También allí existe una variedad muy grande de software malicioso, y los proveedores de software de defensa se ven obligados a desarrollar constantemente métodos de defensa para evitar el acceso a intrusos y evitar así consecuencias negativas en los sistemas TI o en datos sensibles. En la denominación conceptual de estos códigos maliciosos suele usarse el término “virus”.

 

Desde el punto de vista histórico este nombre es totalmente razonable, ya que solamente los gusanos y los virus surgieron como amenaza, sin embargo teniendo en cuenta la riqueza en variedad que hoy en día se presenta, este término resulta insuficiente. Por este motivo, queremos brindar un poco de luz en el túnel y ofrecer una visión general sobre la terminología correcta y hacer una breve mención sobre los códigos maliciosos más comunes.

Virus

 

El término “Virus” se utiliza comúnmente de forma errónea, ya que por lo general es un símbolo del término más general: “Malware“. Esto a su vez, no es correcto, ya que malware abarca todo el conjunto de software malicioso.

La palabra “virus” describe solo la forma de propagación específica de un tipo particular de malware. Este infecta un tipo de fichero definido e inyecta allí su código malicioso. El fichero infectado transmite el virus al identificar e infectar ficheros de tipo similar.

El paso del virus de ordenador a ordenador no se realiza de forma activa, sino a través de medios de almacenamiento externos, E-Mails o dentro de redes.

Gusanos

La tipificación “gusano” identifica, como el virus, un tipo de distribución específico. El código malicioso se propaga, al contrario del virus de ordenador, activa e inmediatamente mediante el aprovechamiento de brechas de seguridad existentes. Un ejemplo actual es un gusano el cual se propaga en el área de Internet of Things (IoT por sus siglas en inglés), es decir, entre dispositivos que utilizan internet, usando puertos abiertos de depuración Android.

Al contrario de un software de extorsión, el cual tiene como único objetivo el cifrar los datos del ordenador y solicitar un rescate, un gusano de ordenador no tiene un objetivo claro. Este puede realizar cambios en el sistema y comprometerlo, incrementar la carga de la infraestructura de internet o desencadenar ataques DDoS.

Troyanos / Caballos de Troya

 

Una gran parte del malware, que actualmente existe, se puede describir como un “Caballo de Troya”. El término es bastante genérico y describe que el malware se camufla como benigno. Esto quiere decir que el usuario solo ve la aplicación positiva sin reconocer el resultado negativo de la aplicación por lo que no puede tener ninguna influencia sobre los resultados finales.

El nombre “Caballo de Troya” se remonta a la estrategia legendaria de la mitología griega, en la que los invasores griegos engañaron a los habitantes de Troya utilizando un caballo de madera. Por este motivo, es igualmente erróneo el uso del término “troyano” ya que los troyanos eran los habitantes de la ciudad y fueron las víctimas. El caballo era entonces, el atacante.

Variedad de nuevos tipos de amenazas

Además de la terminología de malware más común, todavía hay una gran cantidad de malware que se puede dividir en las siguientes categorías.

  • RATRemote Access Trojans (Troyanos de Acceso Remoto): Este tipo de malware permite a los atacantes hacerse cargo de las computadoras y controlarlas de forma remota. De este modo, pueden ejecutar comandos en los sistemas de las víctimas
  • Backdoor (Puerta trasera): Un malware Backdoor se basa en una visión similar a una RAT, pero utiliza un enfoque diferente. Los atacantes usan las llamadas puertas traseras las cuales son colocadas deliberadamente en programas o sistemas operativos. Sin embargo, también pueden haber sido instaladas en secreto. La peculiaridad de las puertas traseras es el hecho de que pueden pasar desapercibidas por los mecanismos de defensa habituales y, por lo tanto, son muy atractivas para los criminales cibernéticos siendo así, por ejemplo, muy populares para crear botnets.
  • Botnet y zombis: Botnets son grandes acumulaciones de computadoras infectadas que el atacante construye. Zombis se llaman las máquinas afectadas, siendo así las partes individuales del botnet. El atacante puede enviar comandos a todas las máquinas al mismo tiempo para desencadenar actividades como ataques DDoS o para extraer bitcoins con la ayuda de computadoras zombi. Lo malévolo de esta situación es que el propietario del ordenador solo nota la “membresía” en un botnet cuando ya se han llevado a cabo las actividades controladas externamente.
  • SpywareEste es un malware que recopila información del ordenador de la víctima. Estos pueden ser los denominados Credenciales Stealers (ladrones de credenciales), que roban los datos de acceso de cuentas de usuario, tales como la propia cuenta de buzón de correo electrónico, Amazon o Google. Los keyloggers, por otro lado, graban o copian apartados, o hacen capturas de pantalla de lo que los usuarios hablan o escriben. Los Stealers de Bitcoins buscan carteras de Bitcoin y las roban.
  • Downloader/DropperLos descargadores o los droppers son pequeños programas que tienen un solo propósito: volver a cargar más malware desde el Internet. Al principio, la víctima no puede reconocer qué contenido se está descargando porque solo está visible una URL. La principal ventaja del atacante con este método es que constantemente puede proporcionar malware nuevo para su descarga, distribuyendo malware actualizado y difícil de detectar.
  • RootkitLos rootkits son el tipo de malware más peligroso, que no es necesariamente malware. Más bien, un rootkit puede ocultar código malicioso contra descubrimiento. En esta forma de ataque, el atacante penetra profundamente en el sistema informático, obtiene privilegios de root y obtiene derechos de acceso general. Los cibercriminales cambian el sistema para que el usuario ya no reconozca cuándo se inician los procesos y las actividades. Es muy difícil encontrar ataques basados ​​en la ofuscación de rootkits.

Por supuesto, hay otras categorías y definiciones de malware que no se enumeran aquí. Sin embargo, debería agregarse que el malware que circula en la actualidad es en su mayoría una mezcla de diferentes tipos. Por ejemplo, hay caballos de Troya que también incluyen una puerta trasera.

A menudo, los diferentes tipos de ataque se pueden ensamblar dinámicamente de acuerdo con el principio modular. Por esta razón el malware encontrado hoy en día ya no puede asignarse claramente a una de las categorías mencionadas anteriormente.

 

En la próxima publicación hablaremos sobre los actores que toman parte del malware y de los ataques cibernéticos.

Más información:

  1. Hornetsecurity Advanced Threat Protection
  2. Filtro de spam y virus
Muy escondido .NET Spyware Camolog roba datos de acceso

Muy escondido .NET Spyware Camolog roba datos de acceso

Siempre que sale un nuevo tipo de malware, la pregunta es, cual es su meta. Actualmente estamos observando un nuevo tipo de .NET spyware sobre el cual no se ha reportado. Este se caracteriza por el uso de fuertes técnicas anti-análisis las cuales se implementan a través del empaquetador Confuser. Aparte de esto, este no invierte bastante tiempo en su camuflaje, dejando a la luz sus intenciones. El spyware recopila datos de acceso de diferentes programas y utiliza un ‘Keylogger’ para acceder a la información.

 

El spyware .NET que hemos denominado Camolog se está extendiendo a través de una campaña de phishing actualmente en curso. Ella trae un keylogger y recoge datos de inicio de sesión de clientes de correo, navegadores, FTP y clientes de mensajería instantánea. Los datos de acceso recopilados de esta manera generalmente son vendidos por ciberdelincuentes o utilizados para el seguimiento después de tales campañas de recopilación de información.

 

Correos de suplantación como “abre latas”

 

Las líneas de asunto y los archivos adjuntos de los correos electrónicos individuales, parte de una ola de correo no deseado bastante grande (ver captura de pantalla) varían ligeramente. Los archivos adjuntos que envían el malware eran en su mayoría entre 400 KB y 1,3 MB de tamaño. La siguiente captura de pantalla muestra uno de estos correos electrónicos de suplantación, la información de contacto ha sido tachada, ya que a menudo se trata de información robada de personas reales.

 

Ejemplo de un correo de suplantación con el cual se entrega el malware.

Ejemplo de un correo de suplantación con el cual se entrega el malware.

 

El correo electrónico de suplantación engañó al destinatario solicitando una oferta y lo motivó a abrir el archivo adjunto. Sin embargo, este contiene un archivo RAR llamado Sample Product 9076_pdf.rar. El archivo oculta el archivo ejecutable .NET SampleProduct9076_pdf.exe, que actúa como un cuentagotas para el spyware y ha sido protegido por una variante de la herramienta de ofuscación de acceso público Confuser.

 

El uso de Confuser se vuelve obvio cuando se abre el malware en .NET Decompiler dotPeek. También el nombre del proyecto usado “dimineata” es notable y se puede utilizar para identificar el malware. Esto se muestra en la siguiente captura de pantalla.

 

A través del .NET Decompiler dotPeek es posible analizar para que se utiliza el Confuser.

A través del .NET Decompiler dotPeek es posible analizar para que se utiliza el Confuser.

 

Sin embargo, el uso de técnicas anti descompiladoras y anti depuradoras dificulta el análisis del malware. La herramienta de análisis IDA Pro se bloquea mientras se carga el archivo binario, los descompiladores específicos de .NET no funcionan correctamente y los depuradores utilizados en análisis dinámicos fallan, por lo que el análisis manual apenas proporciona información. Esta es probablemente una de las razones por las cuales aún no se encuentran informes sobre este spyware.

 

Camolog se opone a una investigación

 

Solo después de ejecutarse en un entorno seguro y supervisado puede obtenerse una visión general del comportamiento del malware. Entre otras cosas, se puede observar que el malware se ejecuta como un proceso llamado “chrome.exe” con la descripción “Accu-Chek 360˚ software de gestión de la diabetes”. Este proceso inicia otro subproceso con el mismo nombre. Posteriormente, el binario original crea una copia de sí mismo como AppData \ Local \ Temp \ iaq \ iaq.exe, inicia su subproceso y luego se elimina.

 

Para cuando se va a cargar el subproceso, sus datos binarios se deben desempaquetar y descifrar por completo en la memoria. La transferencia tiene lugar en forma de una matriz de bytes a la función AppDomain.Load (). Debido a que esta característica es parte de .NET Framework, no se ve afectada por las técnicas anti-análisis de la herramienta de ofuscación y, a diferencia de las funciones de malware, se puede analizar fácilmente. Esto permite que un depurador como dnSpy establezca un punto de interrupción en esta función y descargue el binario del malware cargado por el cuentagotas. Esto será ahora examinado en más detalle a continuación.

 

Exámen del Spyware

Exámen del Spyware

 

El archivo binario del spyware caído se deja cubrir solo por un cambio de nombre aleatorio de las funciones y variables y no por otras técnicas de anti-análisis. Por lo tanto, con un descompilador de .NET se puede generar el código fuente legible de nuevo, que revela el comportamiento del malware.

 

¿Qué información recopila el spyware?

 

El spyware recoge mucha información: además de los datos de conexión almacenados en los favoritos del cliente FTP SmartFTP, también recopila contraseñas del cliente WS_FTP, las últimas conexiones usadas de FileZilla, conexiones de sesiones guardadas de WinSCP, y también los datos de conexión de FTPWare.

 

Además, lee los datos de cuenta almacenados en el Instant Messenger Pidgin y las contraseñas de Video Chat Tool Paltalk. Camolog también recopila diligentemente los datos de cuenta de los clientes de correo de Outlook y Thunderbird, así como los datos de inicio de sesión de los navegadores YandexBrowser, ChromePlus y Chromium. Con un keylogger, el spyware también puede registrar información ingresada y contraseñas de cualquier tipo.

 

El Spyware se anida en el sistema creando claves de registro para la ejecución automática de Windows (ver lista de indicadores). A través de estas claves de registro y el proceso en ejecución “chrome.exe”, el malware está muy bien identificado en el sistema.

 

Todo está bien con Hornetsecurity ATP

 

Con nuestros ingeniosos mecanismos de filtrado de correo no deseado, hemos podido detectar los correos electrónicos de esta campaña desde que aparecieron por primera vez y los filtramos en la nube. Entonces, el spyware no tiene posibilidad de acercarse a la infraestructura corporativa de nuestros clientes. Con Hornetsecurity Advanced Threat Protection, nuestros clientes también disfrutan de protección contra cualquier variación de este malware. Mediante el uso de análisis de comportamiento, la protección de Hornetsecurity ATP es muy superior a la de un filtro de spam tradicional. Aquí hay un extracto del análisis de comportamiento ATP:

 

Evaluación detallada del análisis del Sandbox

Evaluación detallada del análisis del Sandbox

 

Lista de los indicadores para el reconocimiento del malware:

 

Correos de suplantación:

 

Textos de asunto utilizadas en la campaña:

  • Quotation request
  • Quote-Bid Identifier: ITB-0011-0-2018/AM
  • Quote-Bid Identifier: ITB-0014/0015-0-2018/AM
  • Kindly Quote-Bid Identifier: ITB-0016-0-2015/AM
  • Quotation required

 

Adjunto del correo de suplantación – Archivo Win32 RAR:

 

  • Nombre el archivo: Sample Product 9076_pdf.rar
  • SHA256: 5f5e7a57d9500fcece0b7c88c8925bb13243222182e5badddaa2419bda963ca6
  • Adjuntos de otros correos de esta campaña:
    • 30eaa3e9b9390f603d2a349c0a4cf064225eff3ede60a24aab8e69cf67cf83a5  Product sample 0015_pdf.rar
    • 6acf72c636aa9ff2fae225d75eea063c2ee61026151a6c405175dd06e8a5c01f  product sample 0019_pdf.rar
    • a54f7ff3ecf8acccc23fe2c52fd5e58099852f3448dcec67c6deff5fa925a4d5  Sample product 0011_pdf.rar
    • c165676976f9e91738c5b6a3442bf67832a7556e23e49f1a77c115af47b290ee  Sample Product 0014_pdf.rar
    • 97cea5ce28bbebff16251cbde247362915e8f41a89f979ae266c797aff6ef5e6  Sample Product 0016_pdf.rar
    • 5f5e7a57d9500fcece0b7c88c8925bb13243222182e5badddaa2419bda963ca6  Sample Product 9076_pdf.rar
  • Tipo de archivo: RAR archive data, v4, os: Win32
  • Tamaño: 331K
  • Contenido del archivo SHA256: 2feb8a19f44c29a83a0561ca7e38492e1a843add08eda2027a8a7c5041af6de6

 

Cuentagotas del archivo:

 

  • Nombre del archivo: SampleProduct9076_pdf.exe
  • SHA256: 2feb8a19f44c29a83a0561ca7e38492e1a843add08eda2027a8a7c5041af6de6
  • Otros cuentagotas de la campaña:
    • 38782911f7deca093b0e6018fd6c51122a8211c9c446f89de18e6ada85afa0d1  Product sample 0015_pdf.exe
    • 542b6a778489710994aadfaca3b57e0a9c03d2e3b6d5617e3220f364cbde9a45  product sample 0019_pdf.exe
    • 04381c6ecdf618ce122084a56ca5416c6774cba4b34909e95f7a532523c3e877  Sample product 0011_pdf.exe
    • 42992976461c59a4a52e4bf202d4bfcd738408d729ff9cbc55786016cb4075c3  Sample Product 0014_pdf.exe
    • 2a159afdc686df016ee370aeed134f9c4fe44320a32ec2eb25d76270206b5b5a  Sample Product 0016_pdf.exe
    • 2feb8a19f44c29a83a0561ca7e38492e1a843add08eda2027a8a7c5041af6de6  Sample Product 9076_pdf.exe
  • Tipo de archivo: PE32 executable (GUI) Intel 80386 Mono/.Net assembly, for MS Windows
  • Tamaño: 429K
  • Nombre del proceso: chrome.exe
  • Descripción: Accu-Chek 360˚ diabetes management software
  • Cuentagotas del archivo SHA256: 67c7840eefb640e70473ebc4bb7dec89f8168d679226be0696708e3427956114
  • String significativa: dimineata.exe
  • Deja además una copia del mismo en C:\Benutzer\analyst\Appdata\Local\Temp\iaq.exe ab

 

Spyware recargado:

 

  • Nombre del archivo: impartial.exe
  • SHA256: 67c7840eefb640e70473ebc4bb7dec89f8168d679226be0696708e3427956114
  • Tipo de archivo: PE32 executable (GUI) Intel 80386 Mono/.Net assembly, for MS Windows
  • Tamaño: 58K
  • Nombre del proceso: chrome.exe

 

Llaves de registro, de las cuales se recopila la información:

 

  • HKEY_CURRENT_USER\Software\Microsoft\Windows Messaging Subsystem\Profiles*
  • HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles\Outlook*
  • HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Outlook\Profiles\Outlook*
  • HKEY_CURRENT_USER\Software\Paltalk
  • HKEY_CURRENT_USER\SOFTWARE\Martin Prikryl\WinSCP 2\Sessions
  • HKEY_CURRENT_USER\Software\FTPWare\COREFTP\Sites

 

Archivos de los cuales se recopila información:

 

  • C:\Users\Administrator\AppData\Roaming\SmartFTP\Client 2.0\Favorites\Quick Connect\
  • C:\Users\Administrator\AppData\Roaming\Ipswitch\WS_FTP\Sites\ws_ftp.ini
  • C:\Users\Administrator\AppData\Roaming\FileZilla\recentservers.xml
  • C:\Users\Administrator\AppData\Roaming\Thunderbird\profiles.ini
  • C:\Users\Administrator\AppData\Roaming.purple\accounts.xml
  • C:\Users\Administrator\AppData\Local\Chromium\User Data\Default\Login Data
  • C:\Users\Administrator\AppData\Local\MapleStudio\ChromePlus\User Data\Default\Login Data
  • C:\Users\Administrator\AppData\Local\Yandex\YandexBrowser\User Data\Default\Login Data

 

Claves de registro creadas para crear persistencia:

 

  • Entrada autorun del cuentagotas: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\iaq
    • reg_value   C:\Users\ADMINI~1\AppData\Local\Temp\iaq\iaq.exe
  • Entrada autorun del Spyware: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Application
    • reg_value   C:\Users\Administrator\Desktop\chrome.exe -boot