Análisis de malware
El ransomware VHD de Lazarus: qué es, cómo funciona y cómo prevenirlo | Destacado malware
6 de enero de por Pedro Tavares
Introducción
El malware de cifrado de datos es una de las familias de malware más populares de los últimos años y se dirige a grandes volúmenes de usuarios y empresas de todo el mundo. En este artículo, profundizaremos en un nuevo ransomware VHD distribuido libremente por el grupo Lazarus, los delincuentes detrás del incidente WannaCry en.
El ransomware VHD es una de las amenazas más peligrosas en la actualidad. Esto se debe a que intenta cambiar la configuración del sistema, deshabilitar algunos programas y funciones de los sistemas operativos de destino y exige el pago en criptomonedas a través de una nota de rescate enviada durante la ejecución del ransomware. El grupo Lazarus viene utilizando este ransomware, que utiliza métodos propios de los ataques APT pero especializados en ciberdelincuencia financiera.
La actividad del Grupo Lazarus aumentó en y, cuando se utilizó malware personalizado en sus ciberataques. El grupo ha sido vinculado a varios ataques cibernéticos importantes, incluido el hackeo de Sony Pictures en, varios ataques bancarios a SWIFT desde y la infección de ransomware WannaCry en mayo de.
¡Conviértete en un ingeniero inverso certificado!
Obtenga capacitación práctica en vivo sobre análisis de malware desde cualquier lugar y conviértase en un analista certificado de ingeniería inversa. Comienza a aprender
El ransomware VHD de Lazarus
Los investigadores de Kaspersky detallaron un nuevo ransomware VHD utilizado por el grupo entre marzo y mayo de. Las muestras analizadas se implementaron en la red de las empresas objetivo, aplicando fuerza bruta al servicio SMB en cada máquina descubierta y utilizando el marco de malware MATA documentado por Kaspersky aquí y también utilizado por el grupo Lazarus.
Inicialmente, los delincuentes obtienen acceso a las infraestructuras objetivo a través de infecciones generalizadas de botnets, como las familias Emotet y Trickbot, o explotando puertas de enlace VPN vulnerables. Cuando los delincuentes comprenden bien las finanzas, los procesos de TI y la red del objetivo, aumentan sus privilegios en los sistemas comprometidos e instalan una puerta trasera que forma parte del marco de malware MATA. Los delincuentes aprovechan la puerta trasera para controlar el servidor Active Directory y lo utilizan para entregar ransomware VHD a todos los sistemas de la red de destino en un plazo de 10 horas con la ayuda de un cargador basado en Python.
Tras finalizar la cadena de infección con el despliegue del ransomware, los delincuentes entran en una nueva fase: la negociación.
1: Diagrama de alto nivel del ransomware Hakuna MATA y VHD.
Profundizando en los detalles
VHD es una herramienta de ransomware estándar que se propaga a través de las unidades conectadas al dispositivo de destino, cifra todos los archivos y elimina todas las carpetas de información del volumen del sistema que impiden que se pueda restaurar el sistema afectado. El binario del ransomware está protegido con el empaquetador VMProtect para evitar su análisis. Las secciones binarias vmp0, vmp1 son la primera señal de este empaquetador.
2: Secciones binarias (vmp0 y vmp1: empaquetador VMProtect).
Como se observa en el diagrama de PorEx a continuación, algunas partes del binario estaban ofuscadas, como la configuración del malware, los detalles de la nota de rescate, etc.
3: Diagrama de PortEx: ransomware VHD.
Un detalle interesante de esta amenaza está relacionado con algunos servicios que están suspendidos para preservar archivos importantes de la modificación, como Microsoft Exchange y SQL Server. A continuación se presentan los servicios suspendidos durante la operación del ransomware.
4: Servicios detenidos durante la ejecución del ransomware.
Aquí hay una lista completa de servicios detenidos durante la ejecución del ransomware VHD:
sc stop “Actualización antispam de Microsoft Exchange”
sc stop “Topología de Microsoft Exchange Active Directory”
sc stop “Auditoría de cumplimiento de Microsoft Exchange”
sc stop “Servicio de cumplimiento de Microsoft Exchange”
sc stop “Administración de DAG de Microsoft Exchange”
sc stop “Diagnóstico de Microsoft Exchange”
parada sc “Microsoft Exchange EdgeSync”
sc stop “Transporte frontend de Microsoft Exchange”
sc stop “Administrador de estado de Microsoft Exchange”
parada sc “Microsoft Exchange IMAP4”
sc stop “Recuperación de Microsoft Exchange Health Manager”
sc stop “Almacén de información de Microsoft Exchange”
parada sc “Backend IMAP4 de Microsoft Exchange”
sc stop “Asistentes de buzón de Microsoft Exchange”
sc stop “Entrega de transporte de buzones de correo de Microsoft Exchange”
parada sc “Microsoft Exchange POP3”
parada sc “Backend POP3 de Microsoft Exchange”
sc stop “Agente SQL Server (INSTANCIA DE PRUEBA)”
parada sc “SQL Server (INSTANCIA DE PRUEBA)”
Algunas llamadas importantes de Windows también se ejecutan durante la operación del malware. Algunos de ellos se describen brevemente a continuación para comprender mejor cómo funciona el malware.
Llamadas cargadas desde kernel32.dll
CreateFileW() Crea o abre un archivo o dispositivo de E/S durante la ejecución de malware.FindFirstFileW() Busca en un directorio un archivo o subdirectorio con un nombre que coincida con un nombre específico (o un nombre parcial si se utilizan comodines).FindNextFileW() Continúa una búsqueda de archivos desde una llamada anterior a las funciones FindFirstFile, FindFirstFileEx o FindFirstFileTransacted.GetLogicalDrives() Recupera una máscara de bits que representa las unidades de disco disponibles actualmente.IsDebuggerPresent() Determina si el proceso de llamada está siendo depurado por un depurador en modo de usuario (utilizado para evitar que se ejecute malware en máquinas virtuales).IsProcessorFeaturePresent() Determina si la función del procesador especificada es compatible con la computadora actual (utilizada en técnicas anti-depuración).CreateMutexW() Crea o abre un objeto mutex con o sin nombre (utilizado para evitar más infecciones de ransomware).
Llamada cargada desde shell32.dll
SHEmptyRecycleBinW() Vacía la Papelera de reciclaje en la unidad especificada.
Llamada cargada desde user32.dll
ShowWindow() Establece el estado de visualización de la ventana especificada. Se utiliza para ocultar la ventana del ransomware durante su ejecución.
Cada vez que se cifra un archivo, se le cambia el nombre. La extensión ” .vhd ” se agrega al final del nombre del archivo.
5: La extensión de ransomware (.vhd) se agrega al nombre del archivo cada vez que se cifra un archivo.
La nota de rescate también se coloca en la carpeta del escritorio ” HowToDecrypt.txt ” con las instrucciones para pagar el rescate y recuperar los archivos dañados.
6: Archivos dañados y nota de rescate colocados en la carpeta del escritorio.
El ransomware está escrito en C++ y los archivos están cifrados con una combinación de AES-256 en modo ECB y RSA-. El ransomware utiliza Mersenne Twister como fuente de aleatoriedad, pero desafortunadamente para las víctimas, el RNG se reinicia cada vez que se consumen nuevos datos. La combinación de ECB y AES no es semánticamente segura, lo que significa que los patrones de los datos originales claros se conservan tras el cifrado.
VHD implementa un mecanismo para reanudar las operaciones si se interrumpe el proceso de cifrado. Por ejemplo, para archivos de más de 16 MB, el ransomware almacena los materiales criptográficos actuales en el disco duro, en texto sin cifrar. Esta información no se elimina de forma segura posteriormente, lo que implica que puede existir la posibilidad de recuperar algunos de los archivos dañados.
7: Detalles sobre los algoritmos criptográficos y el bloque Mersenne Twister con la semilla RNG.
Una estrategia que suelen utilizar los desarrolladores de malware es el uso de entradas mutex para evitar más infecciones cuando el dispositivo objetivo ya ha sido infectado. VHD ransomware crea durante su ejecución el mutex “AEEAEE SET” , como se observa a continuación.
“Sesiones1BaseNamedObjectsAEEAEE SET”
“CONJUNTO AEEEAEE”
El plan del malware no es muy complejo, como lo presenta la matriz MITRE ATTCK a continuación. El binario malicioso utiliza solo algunas funciones para ocultar su presencia y llamadas para escanear el dispositivo y las unidades de destino y también para acceder a los archivos del sistema.
Matriz MITRE ATTCK™
Prevención contra incidentes de ransomware
No existe una fórmula perfecta para combatir los incidentes de ransomware, pero se pueden enumerar algunas medidas para prevenir algunas situaciones:
- Brinde capacitación en ingeniería social y explique a los empleados cómo seguir reglas simples ayuda a evitar incidentes de ransomware.
- Asegúrese de que el software, las aplicaciones y los sistemas estén actualizados.
- Utilice soluciones de protección de endpoints para prevenir infecciones maliciosas.
- Utilice sistemas de monitoreo y gestión de vulnerabilidades para identificar posibles fallas no parcheadas y detectar incidentes en tiempo real.
- Utilice archivos canary para detectar ransomware a tiempo.
- Realizar auditorías de ciberseguridad y mitigar las debilidades descubiertas para prevenir ataques en estado salvaje, tanto desde la perspectiva externa como interna.
Fuentes
Lázaro a la caza mayor , Kaspersky