Análisis de malware
DearCry ransomware: cómo funciona y cómo prevenirlo
30 de junio de por Pedro Tavares
Microsoft lanzó un parche para mitigar cuatro vulnerabilidades críticas en los servidores de Microsoft Exchange a principios de marzo de. A partir de ese momento, los delincuentes explotaron estas fallas en la naturaleza utilizando muchas amenazas, incluido DearCry, una variante de ransomware diseñada para aprovechar los servidores vulnerables de Microsoft Exchange. .
El nuevo ransomware para servidores Microsoft Exchange a nivel mundial aprovecha las vulnerabilidades de ProxyLogon y luego los exploits se publican en varios recursos de Internet.
Según Michael Gillespie, propietario de la plataforma ID-Ransomware, el 9 de marzo se envió una nueva nota de ransomware y archivos cifrados a la plataforma en línea y, después de un análisis de los archivos, descubrió que los usuarios enviaron casi todos los archivos de Microsoft. Servidores de intercambio.
Unos días después, Philip Misner, un investigador de Microsoft, confirmó en Twitter que DearCry se instaló en ataques operados por humanos utilizando los recientes exploits de Microsoft Exchange.
1: ransomware DearCry relacionado con las vulnerabilidades de Microsoft Exchange el 12 de marzo de.
DearCry y lo que hace
Al observar las muestras del ransomware DearCry, es interesante resaltar la marca de tiempo del compilador y depurador » 09 de marzo «, el día en que se compiló el binario y la misma fecha mencionada por Michael Gillespie en Twitter, confirmando nuestras sospechas.
2: Fecha de compilación de DearCry del 9 de marzo de.
Al analizar la tabla de direcciones de importación (IAT) del archivo binario, podemos observar que muchas llamadas criptográficas desde las DLL advapi32.dll y crypt32.dll están presentes en el archivo ransomware, una clara señal de que nos enfrentamos a una amenaza de ransomware.
3: Llamadas criptográficas utilizadas por DearCry durante el proceso de cifrado de archivos.
Otro artefacto interesante encontrado es la ruta del archivo PDB presente dentro del binario, que muestra la cadena «svc», un acrónimo común utilizado a menudo para designar el término servicio. Y también «john « , probablemente el nombre de la computadora donde el autor del malware compiló el binario.
4: Ruta del archivo PDB del ransomware DearCry.
Profundizando en los detalles
La primera vez que se inicia DearCry, se crea un nuevo servicio de Windows con el nombre «msupdate». Este servicio es entonces responsable del proceso de cifrado y se elimina más tarde cuando finaliza el proceso de cifrado. La 5 a continuación muestra algunos detalles sobre este servicio, a saber, (i) llamadas OpenServiceA y (ii) DeleteService de Windows.
5: Servicio denominado «msupdate» creado cuando se inicia el binario del ransomware.
El proceso de cifrado comienza con una copia del archivo original. Después de eso, el contenido del archivo original se carga, se cifra y se escribe en el nuevo archivo. Una vez creado, DearCry agrega una nueva extensión de archivo llamada «.CRYPT».
6: Extensión CRYPT agregada a un nuevo archivo con el contenido original cifrado.
A partir de los binarios analizados, asumimos que cada archivo de muestra de DearCry se crea especialmente para ser entregado a la víctima objetivo, ya que encontramos diferentes claves en diferentes archivos binarios. En detalle, DearCry utiliza un método de cifrado independiente con la clave pública RSA codificada dentro del archivo ransomware. Durante el proceso de infección, el ransomware no contacta con ningún servidor de comando y control para obtener claves de cifrado adicionales o incluso para informar sobre el estado del proceso de cifrado.
Según el informe de Sophos, «Hay dos métodos de cifrado diferentes utilizados por el ransomware DearCry. Los archivos se cifran utilizando el algoritmo de cifrado simétrico AES-256, utilizando una biblioteca OpenSSL integrada en el ransomware». No obstante, el autor del malware cifra la clave AES mediante una clave pública RSA también codificada dentro del binario. Por otro lado, el autor del malware mantiene la clave privada, un enfoque que permite implementar el ransomware sin necesidad de un servidor C2 para obtener la clave de cifrado. De esta manera, el autor del malware puede crear fácilmente un binario de ransomware para cada víctima con la clave pública única.
7: Algoritmo de cifrado AES-256 y clave pública RSA, ambos codificados dentro del archivo binario DearCry.
Además, DearCry comenzará a cifrar archivos en la máquina de destino si coincide con las siguientes extensiones:
8: Extensiones del archivo de destino DearCry codificadas dentro del binario.
Es interesante resaltar que el ransomware también cifra extensiones de archivos ASPX, una señal clara de que el autor del malware también puede cifrar y dañar el shell web de Exchange que permite obtener un shell remoto con la máquina de destino. Esto nos lleva a creer que es posible que el ransomware no se implemente a través de un shell web o que el atacante no tiene interés en mantener el acceso al shell web.
En cuanto al proceso de cifrado, a primera vista parece bastante débil ya que los archivos originales podrían recuperarse después del proceso de cifrado. La siguiente muestra que DearCry crea un nuevo archivo durante el proceso de cifrado y elimina el original. Como señala el informe de Sophos, «esto hace que los archivos cifrados se almacenen en diferentes sectores lógicos, lo que normalmente permite a las víctimas recuperar tal vez algunos datos dependiendo de si Windows reutiliza los sectores lógicos liberados».
9: DearCry crea un archivo nuevo y elimina el original después del proceso de cifrado.
Sin embargo, el desarrollador de DearCry agregó un truco que hace que casi todos los archivos sean imposibles de recuperar, ya que antes de eliminar el documento original y después de cerrar la copia cifrada, también sobrescribe el documento original, en este caso, con muchos caracteres «A».
10: Archivo de origen: bloque de cifrado de archivos del ransomware DearCry.
11: Archivo de origen sobrescrito durante el proceso de cifrado para evitar la recuperación del archivo después de eliminarlo.
El ransomware también agregará el mensaje ‘DEARCRY!’ cadena al principio de cada archivo cifrado.
12: ¡QUERIDO! bytes mágicos agregados al comienzo del archivo cifrado.
Finalmente, cuando finaliza el proceso de cifrado, el ransomware creará una nota de rescate denominada «readme.txt» en el escritorio de Windows y dentro de cualquier carpeta disponible en el disco. Esta nota de rescate contiene dos direcciones de correo electrónico para los actores de la amenaza y un hash único, que es un hash MD4 de la clave pública RSA codificada dentro del archivo binario.
13: Nota de rescate caída durante el proceso de cifrado del ransomware.
Similitudes entre DearCry y WannaCry
Según una publicación del equipo de Sophos, » el encabezado de cifrado que DearCry agrega a los archivos atacados se parece al encabezado utilizado por el notorio WannaCry, un gusano ransomware que sacudió el ciberespacio en mayo de » .
14: La misma imagen cifrada con los ransomware DearCry y WannaCry y sus similitudes.
No hay artefactos que puedan probar estas similitudes, pero el nombre de los bytes mágicos agregados durante el proceso de cifrado, el tamaño del encabezado e incluso los tipos de archivos son muy interesantes y deberían ser parte de esta ecuación.
¡Conviértete en un ingeniero inverso certificado!
Obtenga capacitación práctica en vivo sobre análisis de malware desde cualquier lugar y conviértase en un analista certificado de ingeniería inversa. Comienza a aprender
Preparándose para el ransomware DearCry
Los delincuentes comprometen las redes de las víctimas y extraen documentos confidenciales mientras se mueven lateralmente en la infraestructura. Una vez que los servidores de Microsoft Exchange o incluso activos valiosos como el controlador de dominio (DC) se ven comprometidos, los delincuentes propagan el ransomware por toda la infraestructura dañando todos los dispositivos en el directorio activo y otros activos valiosos disponibles en la red interna.
En este sentido, la monitorización del uso de soluciones de seguridad endpoint, el uso de antivirus actualizados y el uso cada vez mayor de archivos canary son algunos mecanismos que podrían evitar la difusión de este tipo de amenazas a través de una red enteramente corporativa.
Además, se recomienda encarecidamente a las organizaciones que apliquen los parches lo antes posible para evitar ataques que utilicen ProxyLogin como vector de infección inicial y también para crear copias de seguridad fuera de línea de sus servidores Exchange.
Fuentes
Querido grito , Sophos
ProxyLogon , Seguridad Informática
Métodos de eliminación de ransomware , Infosec. Instituto