Análisis de malware
Malware HermeticWiper utilizado contra Ucrania
4 de mayo de por Pedro Tavares
El malware de borrado de datos denominado HermeticWiper ha afectado a cientos de máquinas y redes geolocalizadas en Ucrania. Es un malware que se utiliza no sólo para infectar máquinas sino también para destruirlas.
¡Conviértete en un ingeniero inverso certificado!
Obtenga capacitación práctica en vivo sobre análisis de malware desde cualquier lugar y conviértase en un analista certificado de ingeniería inversa. Comienza a aprender
HermeticWiper ha estado activo desde el 23 de febrero de y ha impactado las máquinas y las redes de Ucrania. El nombre atribuido a este malware, “HermeticWiper”, se basa en un certificado digital robado de una empresa llamada Hermetica Digital Ltd. Con muchas funciones introducidas por sus autores, HermeticWiper puede eludir las funciones de seguridad de Windows y obtener permisos de escritura en muchos niveles bajos. -Estructuras de datos a nivel en disco. Uno de los procedimientos destructivos implementados por sus desarrolladores es la capacidad de reescribir fragmentos en el disco para imposibilitar el proceso de recuperación. [HAGA CLIC EN LAS IMÁGENES PARA AMPLIAR]
1: Tweet de ESET informando los IoC maliciosos relacionados con HermeticWiper ( fuente ).
Este malware intenta eludir algunas funciones de seguridad utilizando un certificado legítimo de Hermetica Digital Ltd. El nombre del malware está directamente relacionado con este hallazgo.
2: Certificado de firma de código de Hermetica Digital Ltd utilizado por el malware HermeticWipe.
Profundizando en los detalles
HermeticWiper es un archivo PE simple con solo 114 KB de tamaño pero cuatro archivos binarios en la sección RCDATA . La observación de los nombres de los archivos (x86 y x64) se extraerá y ejecutará de acuerdo con la arquitectura de la máquina de destino. Los archivos se decodifican en tiempo de ejecución utilizando el algoritmo LZMA.
3: Binarios adicionales presentes en la sección RCDATA.
En detalle, los cuatro archivos son controladores que se instalarán en la máquina de destino y que ESET encontrará y reportará en Twitter .
4: Controladores descartados por HermeticWiper y abordados por ESET en Twitter.
Según el análisis de Sentinel Labs , ” se abusa del benigno controlador EaseUS para hacer una buena parte del trabajo pesado cuando se trata de acceder a unidades físicas directamente y obtener información de partición. Esto se suma a la dificultad de analizar HermeticWiper, ya que muchos la funcionalidad se difiere a las llamadas DeviceIoControl con IOCTL específicos “.
Antes de instalar y colocar la unidad en el disco, los volcados de memoria están desactivados.
5: Controladores eliminados y volcados de memoria deshabilitados ( fuente ).
Después de este punto, el controlador se agrega al servicio del sistema, iniciando el proceso de eliminación de datos de infección.
Características de HermeticWiper
Varias funciones se activan durante la ejecución del malware, ya que algunas no siguen una estructura lógica. El proceso es el siguiente:
- Desactivar instantáneas para hacer imposible la recuperación de datos
- Realizar fragmentación de datos para dañar todos los datos y dificultar el proceso de tallado de archivos.
- Registro de arranque maestro corrupto (MBR)
- Ejecutar un enfoque de recopilación de datos escaneando directorios NTFS
- Ejecutando la última etapa: sobrescritura de datos
A primera vista, este malware tiene un propósito: dañar todos los datos.
La siguiente imagen muestra el estado de la fragmentación de datos del disco antes y después de la ejecución del malware.
6: Disco antes de la ejecución del malware ( fuente ).
7: Disco después de la ejecución del malware: se sobrescribieron todos los datos ( fuente ).
Después de que se ejecuta el malware, los datos se sobrescriben, lo que permite la recuperación de datos mediante técnicas forenses y de tallado de archivos. Incluso las DLL del sistema están dañadas, lo que provoca que el sistema ya no se inicie.
8: DLL del sistema dañadas durante la ejecución del malware y “Falta el sistema operativo” después de reiniciar el sistema ( fuentes ).
El malware que borra datos en Ucrania
HermeticWiper se considera un malware crítico y peligroso ya que su único objetivo es dañar los datos y hacer que sea imposible recuperarlos. Aprovecha un certificado de firma de código para evitar su detección y su alcance de ataque es el anillo 0 de Windows (espacio del kernel).
Inicialmente, el malware fragmenta los archivos y sobrescribe esos bloques para dificultar el proceso forense. Según los expertos en seguridad , “incluso sin el último paso (eliminación indiscriminada del disco), la combinación de fragmentación y limpieza de las estructuras requeridas (como $MFT) sería suficiente para hacer que la recuperación sea casi imposible”.
En una publicación de US-CERT aquí , se pueden tomar algunas recomendaciones y medidas para mitigar el impacto de amenazas de esta naturaleza.
Fuentes:
- Ucrania, un limpiador hermético, bajo ataque , SentinelOne
- Análisis de limpiador hermético , MalwareBytes
- Alerta de limpiaparabrisas hermético , US-CERT
- Un malware que borra datos llega a Ucrania , Welivesecurity