Análisis de malware

Malware Ramsay: qué es, cómo funciona y cómo prevenirlo | Destacado malware

23 de julio de por Greg Belding

Introducción

La funcionalidad única de las cosas normalmente las convierte tanto en un punto de interés como en una rareza. El malware no es una excepción a esta noción y un marco de malware conocido como Ramsay proporciona un gran ejemplo de ello.

A diferencia de casi cualquier otro malware, Ramsay tiene la capacidad de saltar espacios en la red de una organización para infectar computadoras.

¡Conviértete en un ingeniero inverso certificado!

Obtenga capacitación práctica en vivo sobre análisis de malware desde cualquier lugar y conviértase en un analista certificado de ingeniería inversa. Comienza a aprender

Este artículo detallará qué es Ramsay, cómo funciona y cómo defenderse de él. Esta funcionalidad avanzada hace que Ramsay sea particularmente importante para que los investigadores de malware lo estudien y puede proporcionar conocimientos útiles para prevenir el malware con esta funcionalidad en el futuro.

¿Qué es Ramsay?

En septiembre de, investigadores de ESET descubrieron un marco de malware denominado Ramsay. Este malware fue diseñado para saltar espacios en la red de una organización para infectar computadoras que de otro modo estarían aisladas del malware (a menos que un usuario instale un dispositivo infectado, como una unidad USB).

Las brechas de aire generalmente se consideran una de las medidas de seguridad de la información más efectivas y estrictas y se utilizan ampliamente tanto en la fabricación como en la infraestructura crítica. Los atacantes lo saben, razón por la cual entrar en una red aislada se ha denominado el “Santo Grial” de las violaciones de seguridad.

Los investigadores han observado tres versiones diferentes de Ramsay. La versión 1 se distribuyó a través de documentos maliciosos de Office adjuntos a correos electrónicos que explotaban CVE–0199, una falla de ejecución remota de Microsoft Word, para facilitar la instalación de malware. Este exploit permite a los atacantes lanzar código malicioso cuando se lanza un documento RTF. VirusTotal ha descubierto varias versiones diferentes de estos documentos con indicaciones que pueden haber sido utilizadas para probar qué tan bien se desempeñó Ramsay frente a los motores estáticos de los proveedores.

Se observó que las versiones más nuevas de Ramsay, v2.a y v2.b, se distribuían como instaladores maliciosos disfrazados de aplicaciones populares, incluido 7zip. Estas versiones permitieron una propagación más agresiva mediante la infección de archivos ejecutables portátiles (PE) que residen en unidades extraíbles conectadas. Se ha observado que Ramsay v2.b explota CVE–11882, que permite la ejecución de código arbitrario en diferentes versiones de MS Office como el usuario actual y es un marcado avance de funcionalidad maliciosa.

Cabe señalar que los investigadores han observado algunos artefactos compartidos en Ramsay que también se utilizan en la puerta trasera Retro. Si bien todavía no se sabe con certeza quién está detrás del malware Ramsay, las similitudes que tiene con Retro pueden indicar que Darkhotel, una APT que se considera de interés para el gobierno de Corea del Sur, está detrás de él.

A medida que se desarrolle el futuro, es probable que los investigadores descubran más sobre este malware que ayudará a combatir la “extensión de sus alas” o a salir del ámbito de centrarse en campañas de ataques especializados y altamente dirigidos a un panorama de ataques más amplio.

Cómo funciona Ramsay

La función principal de Ramsay es recopilar archivos ZIP, Word y PDF, ocultarlos en una carpeta oculta y luego extraerlos más adelante. Lo que resulta más interesante es cómo Ramsay salta espacios de aire para infectar ordenadores. Si bien todavía no se sabe del todo cómo lo hace, sí sabemos algunas cosas.

El malware no puede saltar espacios sin alguna funcionalidad novedosa que aún sea desconocida para el público general de seguridad de la información. Esto no significa que las computadoras aisladas no puedan infectarse; cuando lo hacen, normalmente se debe a unidades extraíbles infectadas. Actualmente, los investigadores encuentran que la forma más probable para que Ramsay salte la brecha de aire es infectando PE en unidades extraíbles, donde el malware se descarga cuando se ejecuta el archivo. Este mecanismo de propagación se observó por primera vez en las versiones posteriores de este marco de malware y se ha descrito como muy agresivo.

Después de la infección, se ejecutan varios módulos, lo que libera las capacidades principales del malware. Estas capacidades reúnen todos los archivos ZIP, documentos de Microsoft Word y archivos PDF. Luego, Ramsay permite la escalada de privilegios, escanea en busca de unidades extraíbles y recursos compartidos de red y toma capturas de pantalla.

Actualmente se desconoce exactamente cómo Ramsay extrae los archivos que recopila de los sistemas infectados. Los investigadores de ESET creen que Ramsay utiliza un componente externo que escanea el sistema de archivos de la computadora infectada en busca de los valores mágicos del contenedor de almacenamiento oculto del malware para identificar dónde están los archivos.

Ramsay no tiene un protocolo de comunicación central basado en red, como un servidor C2. Más bien, utiliza un protocolo de control descentralizado que parece hecho a medida para operar en un sistema aislado.

En términos de persistencia, el malware utiliza varios mecanismos. Estos mecanismos de persistencia incluyen:

• Clave de registro de DLL de AppInit
• Secuestro de DLL fantasma
• Tarea programada a través de COM API

Cómo prevenir Ramsay

Hasta ahora, las víctimas de Ramsay han tenido un perfil de baja visibilidad. Es probable que esto se deba a que se encuentran en redes aisladas. Dicho esto, esto no significa que el número de víctimas sea realmente tan pequeño como parece. Esto se ve aún más oscurecido por el hecho de que partes del malware todavía están en desarrollo, por lo que todavía no lo hemos visto en pleno desarrollo.

Para aquellos preocupados por prevenir Ramsay, las soluciones antivirus y antimalware más respetadas pueden detectarlo. Se recomienda escanear sus unidades extraíbles y cuando no las esté usando, simplemente desconéctelas de su computadora. Si bien Ramsay puede “saltar” un espacio de aire, no podrá saltar el espacio de una unidad extraíble desconectada.

Si está interesado en investigar sobre Ramsay, aquí está su respectivo COI (SHA):

f79da0d8bb1267f9906fad1111bd929a41b18c03

e60c79a783d44f065df7fd238949c7ee86bdb11c82ed929e72fc470e4c7dae97

3849e01bff610d155a3153c897bb662f5527c04c

22b2de8ec5162b23726e63ef9170d34f4f04190a16899d1e52f8782b27e62f24

bd97b31998e9d673661ea5697fe436efe026cba1

aceb4704e5ab471130e08f7a9493ae63d3963074e7586792e6125deb51e40976

e7987627542bb30d6f2386997f668b8a928c

610f62dd352f88a77a9af56df7105e62e7f712fc315542fcac3678eb9bbcfcc6

ae722a90098d1c95829480e056ef8fd4a98eedd7

823e21ffecc10c57a31f63d55d0b93d4b6db150a087a92b8d0e1cb5a38fb3a5f

19bf019fc0bf44828378f008332430a080871274

823e21ffecc10c57a31f63d55d0b93d4b6db150a087a92b8d0e1cb5a38fb3a5f

5c482bb8623329d4764492ff78b4fbc673b2ef23

cc7ac31689a392a2396f4f67d3621e65378604b16a24c0af1e4b969c6689

bd8d0143ec75ef4c369f341c2786facbd9f73256

dede24bf27fc34403c03661938f21d2a14bc50f11297d415f6e86f297c3c3504

5a5738e2ec8af9f5400952be923e55a5780a8c55

6f9cae7f18f0ee84e7b21995a597b834a7133277637b696ba5b8eea1d4ad7af1

Conclusión

Ramsay es un malware que ha ganado notoriedad por su especialización en sistemas aislados por un espacio de aire. El punto de interés aquí es que aparentemente “salta” este espacio de aire, presumiblemente al infectar archivos PE en las unidades extraíbles conectadas a una computadora infectada. Luego, la unidad se utiliza en la computadora aislada y obtiene su cabeza de playa en ese sistema cuando se ejecuta el archivo.

Todavía estamos aprendiendo más sobre este malware. Los investigadores están monitoreando la situación y observando si Ramsay amplía su panorama de ataques.

Fuentes

1. El malware Ramsay se dirige a redes aisladas , Threatpost
2. Por qué es importante la detección en el dispositivo: el nuevo troyano Ramsay se dirige a redes aisladas , Blog SentinelOne
3. Ramsay: un nuevo conjunto de herramientas de ciberespionaje para robar datos de redes aisladas , CISO MAG
4. ¿Son suficientes las redes aisladas para detener el malware? Puede que no lo sean por mucho tiempo , revista CPO