Análisis de malware

Malware Netwalker: qué es, cómo funciona y cómo prevenirlo | Destacado malware

julio 29, por Pedro Tavares

Introducción

Netwalker es un malware de cifrado de datos que representa una evolución del conocido ransomware Kokoklock y ha estado activo desde septiembre de. Este artículo detallará las características técnicas específicas del ransomware Netwalker. Analizaremos qué es Netwalker, cómo funciona y cómo puedes evitar ser víctima de esta amenaza.

En la nueva versión de este ransomware, la amenaza no está compilada en un archivo PE. Los actores de amenazas utilizan scripts de PowerShell para cargar la amenaza en la memoria (utilizando una técnica bien conocida llamada carga reflectante) y convertirla en una amenaza sin archivos, más difícil de detectar y analizar. Para ello, los operadores de malware logran persistencia y evaden la detección abusando de las herramientas que ya están en el sistema para iniciar ataques.

Las muestras recientes de Netwalker no se distribuyen mediante ataques de ingeniería social. En cambio, se carga en la memoria mediante la inyección de DLL durante un ataque dirigido. Por lo tanto, no necesita un cargador de Windows para ejecutarse. Esta es una técnica utilizada para varios scripts de PowerShell, como Invoke-Mimikatz de PowerSploit, durante las operaciones del Red Team. La 1 muestra el script de PowerShell utilizado para iniciar el proceso de infección. [HAGA CLIC EN LAS IMÁGENES PARA AMPLIAR]

1: script de PowerShell con la carga maliciosa codificada en Base64

Después de decodificar la carga útil inicial, se obtiene una matriz de bytes. Como se muestra en la 2, se utiliza una llamada XOR con la clave “0xA9” para obtener la siguiente etapa.

2: Matriz de bytes y llamada XOR ejecutadas durante el proceso de infección del ransomware

Cuando finaliza la tarea, se omite la fase de ofuscación. Ahora se obtiene una forma legible del guión. Dos archivos DLL están codificados en matrices de dos bytes junto con el código fuente responsable de ejecutar el proceso de cifrado. Observe que el código está bastante ofuscado para dificultar su análisis.

3: Parte del código fuente con dos archivos DLL, para sistemas operativos x64 y x86 bits

Durante el proceso de infección, el script determina la versión del sistema (x64 o x86) para ejecutar la versión correcta de DLL.

4: Se ejecuta la versión correcta de DLL (x64 o x32) según el sistema operativo de destino

La inyección de DLL reflectante se realiza después de que algunas direcciones API se resuelven desde kernel32.dll.

5: Direcciones API resueltas desde kernel32.dll durante la inyección de DLL reflectante

Antes de comenzar la tarea de carga, el script elimina las instantáneas de volumen y evita que la víctima utilice volúmenes ocultos para recuperar los archivos cifrados. A continuación, se carga la DLL en el sistema de memoria y se inicia el proceso de cifrado.

6: Instantáneas eliminadas durante el proceso de carga del ransomware

Ejecución y configuración de ransomware

El ransomware utiliza algunas funciones criptográficas, incluidas SHA256, CRC32 y RC4 KSA, para descifrar la configuración del malware y resolver dinámicamente todas las funciones necesarias.

7: Compensaciones de funciones criptográficas encontradas

Después de decodificar la configuración ofuscada codificada dentro de la DLL cargada en la memoria, se pueden analizar los datos de configuración (8).

8: Configuración de Netwalking decodificada en tiempo de ejecución

Esta variante de Netwalker es similar a las versiones anteriores en términos de comportamiento. En detalle, finaliza algunos procesos y servicios de destino y codificados que se muestran en las siguientes figuras.

9: Procesos finalizados durante la ejecución de Netwalker

10: Servicios finalizados durante la ejecución de Netwalker

Además, algunas extensiones de archivos y carpetas también se ignoran como una forma de mantener el sistema operativo en funcionamiento.

11: Extensiones de archivos y carpetas ignoradas y no cifradas durante la ejecución de Netwalker

El archivo JSON con la configuración del ransomware también tiene disponible la nota de rescate y los enlaces de la cebolla al foro de la dark web mantenido por los operadores de esta amenaza.

La nota de rescate está codificada en Base64 y se puede observar en la 12.

12: Nota de rescate extraída y decodificada de la configuración cargada en la memoria

Después de cifrar todos los archivos, Netwalker suelta el archivo de texto con la nota de rescate con los campos codificados en la configuración ahora completos.

13: Nota de rescate eliminada después de la ejecución de Netwalker

Al final del proceso de cifrado, es interesante mirar el archivo en el lado izquierdo arriba. Es una muestra cifrada durante la ejecución del malware. Comparando este archivo con el archivo original (15), a primera vista, este ransomware no cifra los archivos en su totalidad.

14: Bloque de datos no cifrados por el ransomware Netwalker

Foro de la web oscura y pago de rescate

Al igual que otras piezas modernas de ransomware, los delincuentes, antes de ejecutar el proceso de cifrado, filtran los datos de la organización como una forma de aumentar el daño causado. Los datos se publican en línea si no se ha pagado la solicitud de rescate. Los operadores de Netwalker comenzaron a publicar datos de las víctimas en un blog público accesible a través de TOR, similar a Maze, DoppelPaymer, REvil, Ragnar y otros que enumeran a las víctimas «no conformes» junto con enlaces de descarga a los datos filtrados.

15: Pasarela de pago de rescate y datos filtrados en el blog Netwalker en la web oscura

Medidas preventivas y de protección.

La primera y principal recomendación en estos casos de incidentes de cifrado de datos es no pagar nunca el rescate solicitado por los ciberdelincuentes. Entre las medidas preventivas a tomar, es importante destacar las siguientes:

¡Conviértete en un ingeniero inverso certificado!

Obtenga capacitación práctica en vivo sobre análisis de malware desde cualquier lugar y conviértase en un analista certificado de ingeniería inversa. Comienza a aprender

Fuentes

  1. Netwalker Fileless Ransomware inyectado mediante carga reflectante , Trend Micro
  2. Ataque de ransomware del grupo EDP desde cero , Segurança Informática