Análisis de malware
Vuelve el malware Emotet
16 de febrero de por Pedro Tavares
Emotet es una palabra muy conocida en el panorama del malware y se considera una de las amenazas más peligrosas jamás concebidas. Después de siete meses alejado del radar, Emotet regresó en noviembre de y el pánico reinaba en el aire.
¡Conviértete en un ingeniero inverso certificado!
Obtenga capacitación práctica en vivo sobre análisis de malware desde cualquier lugar y conviértase en un analista certificado de ingeniería inversa. Comienza a aprender
El malware Emotet regresa en noviembre de después de que las fuerzas del orden interrumpieran su infraestructura en una operación bien coordinada que involucró a varios países y agencias en enero de. Según el aviso de CheckPoint , trickbot continúa en la cima y afecta al 5% de las organizaciones en todo el mundo. Aún así, el Emotet devuelto se ubica en la séptima posición y afecta principalmente a los sectores de Educación/Investigación, seguido de Comunicaciones y Gobierno/Militar. La preocupación es alta porque esta amenaza (vista por primera vez en) ha impactado a muchas organizaciones a lo largo de los años y ahora ha regresado con nuevo poder. Tenga en cuenta que Emotet se utilizó como punto de partida para iniciar la cadena de ciberataques devastadores, incluida la implantación de ransomware, como se observó en el ataque de triple cadena en..
1: Ataque de triple cadena de Emotet ( fuente ).
La cadena de infección comienza como de costumbre: se utilizan correos electrónicos de phishing e ingeniería social para atraer a las víctimas. Los correos electrónicos falsos contienen archivos adjuntos de Word, Excel o zip que implementan la primera etapa de Emotet en las máquinas de las víctimas, un método bien conocido utilizado principalmente por delincuentes durante las últimas dos décadas para aumentar la proliferación de malware en Internet.
El contexto de las plantillas de correo electrónico contiene contenido relacionado con noticias o eventos locales, facturas y mensajes corporativos falsos para alertar a las víctimas. Los operadores de malware han utilizado paquetes de Windows App Installer que se hacen pasar por el software de Adobe en otros correos electrónicos. La 2 a continuación presenta dos correos electrónicos de phishing de esta nueva campaña que involucra a Emotet.
2: Plantillas de phishing de Emotet: noviembre de.
Después de descargar y ejecutar el archivo adjunto malicioso, la víctima “ necesita ” habilitar la ejecución de macros (el valor predeterminado está deshabilitado).
3: Emotet necesita habilitar la opción de ejecución de macros para continuar la cadena de infección.
En este caso, el código de macro descarga un archivo de un servidor web que se hace pasar por un ejecutable DLL para ejecutar la siguiente etapa en la memoria. La 4 presenta un diagrama de alto nivel de la cadena de infección de Emotet.
4: Cadena de eventos para la infección de Emotet el lunes 15/11/ ( fuente ).
Emotet siguiente etapa
La siguiente etapa de Emotet es una baliza CobalStrike ejecutada en la memoria después de ejecutar el archivo DLL. Como se observa en algunos escenarios, la baliza también se puede ejecutar directamente desde el código de macro. Sin embargo, usar una DLL antes de cargar la baliza CobalStrike es realizar una validación adicional para evadir la detección.
Técnicas anti-reversa
La DLL está equipada con un módulo de ingeniería antirreverencia para dificultar su análisis. Una de las técnicas es eliminar parcialmente la estructura del flujo de control. En la siguiente imagen del análisis Zscaler , es posible ver una variable aleatoria que se utiliza como “control_flow_state” junto con varios bucles, condiciones if y else, u otras estructuras para dificultar su análisis.
5: Llamada de Emotet usando el aplanamiento del flujo de control ( fuente ).
Otra técnica bien conocida utilizada en el panorama del malware y por los operadores de Emotet es el hash de API. Una vez implementado esto, los nombres de las llamadas se aleatorizan y se utiliza un algoritmo basado en XOR. Las cadenas se pueden descifrar en tiempo de ejecución (llamada por llamada) o mediante un método estático utilizando el algoritmo XORed (operación inversa).
El mismo principio se utiliza para ofuscar la configuración de malware que contiene la información C2, la baliza CobalStrike, etc. Se utiliza una clave pública de curva elíptica Diffie Hellman (ECDH) para cifrar la comunicación con el servidor C2. Se utiliza una clave pública del algoritmo de firma digital de curva elíptica (ECDSA) para verificar las respuestas.
6: Lista de Emotet C2 después de descifrar su configuración.
Persistencia
Se introdujo un método simple para persistir la amenaza: un archivo DLL colocado en la carpeta de inicio y cargado a través del Registro de Windows. Después de ejecutarse por primera vez, la DLL crea un nombre de archivo aleatorio y almacena una copia en la ruta C:ProgramData. Después de eso, se mueve a un directorio aleatorio en la carpeta AppDataLocal. Como se observa a continuación, la DLL persiste a través de un registro de Windows agregado durante la ejecución del malware.
7: Técnica de persistencia de Emotet detectada (noviembre de).
Comandos de gestos
En detalle, los comandos de Emotet en esta versión están compuestos por:
- Eliminarse
- Operación de sueño
- Subcomando de proceso
- Actualizarse
- Cargar y ejecutar módulos.
- Descargue y ejecute un archivo EXE (baliza CobalStrike)
- Descargue e inyecte una DLL mediante la exportación de DllRegisterServer, regsvr32.exe o rundll32.exe.
La lista de módulos presentes en los ejemplos de Emotet es muy similar a la anterior:
- Módulo de listado de procesos
- Pase de correoVer
- WebBrowserPassView
- Ladrón de Outlook y ladrón de correo electrónico
- Ladrón de Thunderbird y ladrón de correo electrónico
- Módulo de spam de cadena de respuesta de correo electrónico
- Módulo proxy de red.
8: Robo de credenciales y envío al servidor C2 durante la ejecución de Emotet.
¡Conviértete en un ingeniero inverso certificado!
Obtenga capacitación práctica en vivo sobre análisis de malware desde cualquier lugar y conviértase en un analista certificado de ingeniería inversa. Comienza a aprender
El nuevo gesto
La primera parte de la infección Emotet consiste en robar credenciales y difundirse a través de una cadena de reproducción de correo electrónico para infectar a otras víctimas y a sus objetivos más valiosos. Además, los delincuentes implementan una baliza CobalStrike a través de un módulo presente en sus módulos y capaz de realizar movimientos laterales en la red, acceder a otros puntos, enumerar redes de Active Directory e incluso desplegar otras amenazas como ransomware.
Después de casi un año fuera de los radares, Emotet parece estar ganando poder y retomando donde lo dejó antes de la aplicación de la ley en enero de.
Fuentes:
- Aviso de CheckPoint de diciembre de , CheckPoint
- Ataque de triple cadena , Segurança-Informática
- Análisis de gestos , Zscaler