Análisis de malware

Métodos de eliminación de ransomware y el canario en la mina de carbón

15 de septiembre de por Pedro Tavares

Introducción

El ransomware es una amenaza emergente. Cada semana hay un brote nuevo y notable de esta clase de malware de cifrado de datos. Desde Ragnar Locker hasta Netwalker , las amenazas están aumentando y están paralizando y extorsionando a un grupo cada vez mayor de organizaciones.

Este malware no es nuevo. Al principio, el ransomware encripta todo lo más rápido posible, tratando de causar daño antes de que se pueda iniciar cualquier respuesta por parte de la víctima. El punto de infección es fácil de detectar: ​​normalmente un dispositivo no reparado o desactualizado. El problema aquí es que la amenaza sólo se detecta cuando finaliza el proceso de cifrado, lo que hace que las aplicaciones dejen de funcionar y genera un gran volumen de datos cifrados.

En este artículo, analizaremos algunos métodos de eliminación utilizados por amenazas recientes de ransomware y cómo los canarios pueden ayudar a combatir y detectar la actividad temprana del ransomware.

Métodos de eliminación utilizados por ransomware

Para ser un incidente eficaz, un incidente de ransomware comienza descubriendo cómo eliminar instantáneas en el dispositivo de destino. Además del mecanismo de recuperación de archivos de respaldo, el sistema operativo Windows cuenta con otra forma complementaria de recuperar datos. Las instantáneas han estado presentes desde Windows XP. En pocas palabras, esta herramienta permite crear copias de seguridad de archivos, posibilitando volver al punto anterior o realizar una restauración del sistema.

A pesar de esta funcionalidad de los sistemas operativos Windows, la historia no siempre tiene un final feliz. Los programas de ransomware recientes buscan esta característica durante la cadena de infección y eliminan todas las copias del dispositivo, lo que hace imposible restaurar el sistema a un punto anterior.

Este mecanismo funciona en el Servicio de instantáneas de volumen (VSS) y es compatible con otros componentes importantes llamados VSS Writers y VSS Providers. Los escritores de VSS son responsables de proporcionar un flujo constante de datos que serán respaldados por el servicio, y los proveedores de VSS de mantener disponibles los objetos de instantáneas reales disponibles. La 1 a continuación presenta un diagrama de alto nivel del mecanismo de instantáneas.

1: Diagrama de alto nivel del mecanismo de instantáneas de Windows

Los delincuentes utilizan diferentes métodos de eliminación, como utilidades de línea de comandos o mediante programación mediante llamadas al sistema. Hay una gran variedad de entradas de línea de comandos y utilidades que se encuentran en varios ejemplos de ransomware. Algunos ejemplos se describen a continuación.

vssadmin eliminar sombras/todo/silencio

Esta línea de comandos se utiliza para varios malwares, como Ryuk, WannaCry, Dharma, RobinHood, Hermes, Phobos y Locky.

eliminación de instantáneas de wmic / no interactivo

Este método es muy popular y se observa en GandCrab, Robinhood, Phobos, LockBit, Rapid y JCry.

Las muestras de ransomware más recientes muestran que los autores de malware prefieren invocar métodos de eliminación directamente desde su código. De hecho, invocar métodos de eliminación directamente del malware tiene la ventaja de eludir varios mecanismos de detección de seguridad y otras soluciones en este sentido.

Esto se logra con la clase Win32_ShadowCopy de WMI y los útiles cmdlets de PowerShell para acceder a objetos WMI, como se observa en el artículo de análisis de ransomware de Netwalker .

Obtener-WmiObject Win32_ShadowCopy | % { $_.Delete() }Obtener-WmiObject Win32_ShadowCopy | Eliminar-WmiObject

2: Método de eliminación del ransomware Netwalker (artículo aquí ).

Existen otros métodos menos comunes, como invocar objetos COM mediante llamadas WMI en lugar de utilidades de línea de comandos o aprovechar IOCTL mediante el enfoque de acceso directo al dispositivo .

Con esta metodología implementada, el daño de un incidente de ransomware puede ser más crítico y severo, obligando así a la víctima a pagar el rescate para obtener y recuperar sus archivos.

Cómo detectar incidencias con archivos canary

Los canarios son una analogía de los canarios de los antiguos mineros. Esta fue una prueba, bajar un canario a un pozo de mina para descubrir un peligro potencial: si el canario muere, indica una cantidad tóxica de monóxido de carbono en el aire dentro del pozo de mina. Los archivos canary son archivos en dispositivos o carpetas compartidas que el ransomware desea infectar pero que no son valiosos para la empresa. Estos archivos sólo existen para generar una indicación rápida de una infección de ransomware.

En lugar de monitorear todo el sistema operativo y todos los archivos del sistema operativo (un proceso lento y que requiere mucho tiempo), solo se monitorean archivos específicos en la infraestructura. Lo mismo podría ocurrir, por ejemplo, con las cuentas cariño en una red Active Directory. Cuando se accede a una cuenta Honey, se activa una alerta en un portal administrado por un equipo SOC que puede reaccionar rápidamente para contener y bloquear el incidente.

Huntress , por ejemplo, es un servicio en el mercado basado en archivos canary y diseñado para detectar actividad de ransomware malicioso en un terminal de red: “Cuando el agente Huntress detecta que un archivo canary ha sido alterado, renombrado o eliminado (como cuando se cifra con ransomware), alertará a nuestro equipo de operaciones contra amenazas. Nuestro equipo revisará las condiciones que causaron la alerta y notificará al socio de Huntress los detalles del incidente”.

3: Archivos Canary utilizados para prevenir ataques de ransomware : Huntress

Prevención de ransomware

En esta sección se presentan algunos consejos para la prevención de ransomware.

• Copia de seguridad : cree varias versiones de archivos diariamente, lo que le permitirá crear cualquier punto de restauración
• Copia de seguridad externa : Mantenga al menos una copia de seguridad externa. Esta medida evita la posibilidad de que los delincuentes puedan acceder a toda la información y destruirla durante un incidente.
• Desconectar : ​​desconectar el dispositivo infectado de Internet y de cualquier otro dispositivo es necesario para la seguridad de la red.
• Actualizaciones : sistema operativo y soluciones de seguridad para endpoints (antivirus) actualizados
• VSSaexe : piense en deshabilitar el servicio VSSaexe, una herramienta para administrar el Servicio de instantáneas de volumen y que se utiliza para restaurar versiones anteriores. Con este servicio implementado, los delincuentes pueden usarlo para realizar intentos maliciosos de eliminar instantáneas de una manera sencilla (LOLBINS)
• Firewall : Mantenga el firewall de Windows activado y configurado correctamente
• Compartir archivos : deshabilite el uso compartido de archivos en la red si no es necesario. Este tipo de metodología debe aplicarse de forma predeterminada, evitando así la amenaza de difusión y la posibilidad de que la infección pueda eliminar instantáneas. Además, si un huésped está infectado, permanecerá aislado.
• Servicio remoto: considere desactivar los servicios remotos
• Políticas de restricción de software : defina políticas de restricción de software que impidan que los archivos ejecutables se ejecuten cuando se encuentran en ubicaciones específicas del sistema.

Conclusión

El monitoreo de endpoints es la clave para prevenir ataques de instantáneas. La menor asignación de privilegios posible, la ejecución de los servicios necesarios y el refuerzo personalizado (como mantener solo unas pocas herramientas nativas del sistema operativo y bloquear la ejecución de PowerShell a través de una política de grupo) pueden ser las mejores prácticas para prevenir ataques LOLBIN y mitigar los primeros incidentes de ransomware.

¡Conviértete en un ingeniero inverso certificado!

Obtenga capacitación práctica en vivo sobre análisis de malware desde cualquier lugar y conviértase en un analista certificado de ingeniería inversa. Comienza a aprender

Fuentes

1. Pisoteando instantáneas: una segunda mirada a los métodos de eliminación , Fortinet
2. Detalles técnicos del ransomware Canaries , Huntress