Perfil Samuel Esteban

Creado 4 meses | leído hace menos de 1 minuto

Realizando Ingeniería Inversa a Ransomware.


Post32 nn

Si alguna vez te ha pasado o has tenido algún conocido el cual haya tenido problemas con un “ Ransomware” el cual cifró los datos del sistema y a cambio solicitó dinero para volverlos a la normalidad, te estás enfrentando a un Ransomware. El Ransomware es un malware que viene haciendo estragos hace bastantes años, el problema es en que estos últimos años se ha masificado y mutado considerablemente.

Evolución de Ransomware:

Ingeniería Inversa a Ransomware – Evolución de Ransomware


Hace unas semanas me llego un correo extraño el cual venía adjunto con un archivo zip.


Ingeniería Inversa a Ransomware – Correo Aparentemente Extraño


Requerimientos:

Antes de continuar, se enumeraran las etapas que se deben realizar para analizar cualquier tipo de Ransomware

  • Ejecutar cualquier archivo dudoso en una máquina virtual (utilizar configuración de red NAT, para evitar posibles ataques hacia el host anfitrión).

  • Para realizar ingeniería inversa utilizar herramientas de Sandbox, para poder testear el comportamiento del archivo.

  • Utilizar herramientas para ver procesos conexiones salientes en tiempo real, de esta manera se podrá detectar procesos extraños y posibles conexiones hacia servidores externos.

Sabiendo esto, en primer lugar dejaremos la tarjeta de red de la máquina virtual en NAT, esto nos servirá para evitar que cualquier comportamiento del malware se pueda expandir dentro de la red. Utilizando Vmware realizamos lo siguiente:


Ingeniería Inversa a Ransomware – Nateando Tarjeta de Red en Máquina Virtual

Posteriormente, tenemos el archivo en la máquina virtual y al abrirlo podemos apreciar lo siguiente:

Ingeniería Inversa a Ransomware – Archivos Comprimidos

Tenemos dos archivos extraños los cuales fueron descomprimidos en una carpeta. Para visualizar el Archivo llamado Q,  fue necesario habilitar en las opciones de carpeta la opción “Mostrar archivos, carpetas y unidades ocultos”. Posteriormente al hacerle doble click a este archivo, se visualizó lo siguiente:


Ingeniería Inversa a Ransomware – Archivo Q abierto con SublimeText

Al leer el archivo es posible observar que posee información de forma cifrada, la cual no permite obtener información clara. Posteriormente al leer archivo 434e33aa.js con el mismo editor, se logró obtener lo siguiente:


Ingeniería Inversa a Ransomware – Archivo 434e33aa.js abierto con SublimeText (1)


Ingeniería Inversa a Ransomware – Archivo 434e33aa.js abierto con SublimeText (2)

Lo que hace este archivo es ir al sitio http://assura-courtage.org/j2olsa , descargar un archivo .EXE y posteriormente copiarlo y ejecutarlo en la ruta TEMP  de Windows.

Al realizar una búsqueda en Google  sobre el sitio web utilizado por este posible Malware, me percaté que se trataba del Ransomware Locky.


Ingeniería Inversa a Ransomware – Fuente: https://ransomwaretracker.abuse.ch/host/assura-courtage.org/

“Locky es una variante de ransomware que cifra archivos de cien tipos de extensiones, como imágenes, videos o base de datos almacenados en redes fijas o unidades móviles.

El vector de ataque principal es un correo electrónico regular con un adjunto; las variantes anteriores usaban documentos Word o Excel que contenían macros maliciosas, pero esta variante  viene con un TrojanDownloader. Una vez abierto, este archivo en Javascript ejecuta un payload en este caso, Locky”

Fuente: http://www.welivesecurity.com/la-es/2016/03/18/trojandownloaders-locky-teslacrypt/


A continuación se realizó un proceso de Sandbox, para verificar en detalle lo que el Malware estaba realizando, además veremos los procesos que se están generando en tiempo real, para esto se utilizó la herramienta Sandboxie  y CrowdInspect los cuales se pueden descargar en los siguientes enlaces:

http://www.sandboxie.com/SandboxieInstall.exe


En primer lugar ejecutamos CrowdInspect, para tenerlo a la escucha y poder detectar los nuevos procesos que están corriendo sobre el siste. Posteriormente, una vez instalado Sandboxie, lo que se hizo fue hacer click derecho sobre el js y seleccionar la opción Ejecutar Aislado en una Sandbox. Al hacer esto me percaté de que CrowdInspect detectó lo siguiente:

Ingeniería Inversa a Ransomware – Analizando Comportamiento del Ransomware


Con Sandboxie se pudo observar que en primer lugar el Ransomware accedió a la ruta TEMP del sistema, sin embargo es tan rápido el proceso de creación y ejecución del Malware que posteriormente se borra del sistema para no dejar rastros. Con CrowdInspect fue posible detectar que una vez ejecutado el Malware, se crea un proceso wscript.exe, que se conecta a la dirección IP 212.227.247.7 (que corresponde a una IP Pública de Brasil).


Finalmente ejecuté el Malware y apareció el mensaje correspondiente:

Ingeniería Inversa a Ransomware – Sistema Cifrado Con Locky


Algunas Recomendaciones Contra Ransomware

  1. Mantener actualizado el software anti-malware.

  2. Complementar el anti-malware con una solución anti-spam, anti-ransomware y anti-exploit.

  3. Mantener actualizado el sistema operativo, el navegador web y las aplicaciones que más utilice.

  4. No hacer click en enlaces dentro de mensajes de correo electrónico ni abrir archivos adjuntos en tales mensajes sin tener la certeza de su remitente y razón de envío.

  5. Activar el bloqueador de ventanas emergentes (pop-up).

  6. Descargue e instale software sólo de fuentes confiables, en especial del software gratuito. Usar el sitio del fabricante original, evitar sitios de terceros.

  7. No hacer caso a advertencias de actualización de software al navegar por Internet.

  8. Respaldar periódicamente la información y mantener el respaldo en un medio alterno al equipo sin conexión.

  9. Usar sólo cuando se ocupe las unidades de almacenamiento externo o en línea, como Dropbox, Google, iCloud.



Artículos que te pueden interesar

12063705 10207273024561428 5910637785024423418 n %282%29 Felipe Barrios
Creado casi 2 años | leído hace alrededor de 2 horas

Daniel Romo SysAdmin, nos comparte su experiencia y script e...

Post4

En esta ocasión quise realizar un aporte a la comunidad relacionado con el curso que salió esta semana de Programación Scripting Bash y...

Leer más

Perfil Samuel Esteban
Creado 5 meses | leído hace alrededor de 1 hora

Configurando una VPN en Kali Linux

Post28 nn

Una VPN (Virtual Private Network) es una tecnología de red que se utiliza para conectar una o más computadoras a una red privada utiliz...

Leer más

Charly face Jonathan González
Creado 3 meses | leído hace 15 minutos

Hardening de Wordpress

Post34 nn

Normalmente los sistemas CMS por defecto suelen actualizados pero no todos con la misma frecuencia. Al tener la configuración por defec...

Leer más