Boletín de ciberataques: Defensa contra el ransomware Codefinger en AWS S3 >

Boletín de ciberataques: Defensa contra el ransomware Codefinger en AWS S3 >

Vectra AI Japón、ITR発行の最新レポート内「NDR市場」にて国内トップシェアを獲得
詳細を見る
Icono de hamburguesa línea superior
Icono de hamburguesa línea media
Icono de hamburguesa línea inferior

Análisis del ataque Shamoon 2 Malware

7 de febrero de 2017
Vectra AI Equipo de investigación sobre seguridad
Ciberseguridad
Análisis del ataque Shamoon 2 Malware

Las autoridades saudíes advirtieron recientemente a las organizaciones del reino de que estuvieran alerta ante el malware Shamoon 2, que inutiliza los ordenadores borrando sus discos duros. En 2012, Shamoon inutilizó Saudi Aramco y, al parecer, esta nueva variante iba dirigida al Ministerio de Trabajo saudí, así como a varias empresas de ingeniería y fabricación.

Durante un análisis reciente, Vectra Networks descubrió un componente malicioso que parece utilizarse junto con documentos maliciosos enviados mediante phishing.

Estos documentos utilizan PowerShell para descargar y ejecutar la herramienta de reconocimiento para iniciar su incursión en la red de la víctima. Esta herramienta, conocida como ISM, parece ser una herramienta independiente completa que permite a los operadores remotos minar los sistemas de datos antes de eliminar sus huellas con Shamoon 2.

ISM es un binario relativamente pequeño en comparación con el malware moderno. Tiene un tamaño aproximado de entre 565 y 580 KB y parece estar compilado con Microsoft Visual C++ 8.0. Una vez ejecutada, esta herramienta realiza varias acciones con el fin de recopilar la mayor cantidad de información crítica sobre el sistema objetivo.

Contiene unos cuantos métodos antisandbox y de análisis y buscará específicamente la presencia de "ISM.exe" ejecutándose para completar con éxito su operación.

Figura 1: Búsqueda de ISM.exe en la lista de tareas

La herramienta obtendrá la siguiente información sobre la máquina objetivo:

  • Productos antivirus instalados
  • Productos cortafuegos instalados
  • Fecha y hora actuales del sistema
  • Zona horaria actual del sistema
  • El dominio de la cuenta "administrador" local
  • Un volcado completo de netstat (netstat -ant)
  • Un volcado completo de ipconfig (ipconfig /all)
  • Variable de entorno %username%.
  • Variable de entorno %userdomain%.
  • Un volcado completo del perfil del sistema (systeminfo)
  • Lista de procesos en ejecución (lista de tareas)
  • WPAD y configuraciones proxy actuales
Figura 2: Ejemplos de guiones de recogida de datos

La herramienta también fuerza el cierre del sistema matando el proceso de inicialización de Windows, winit.exe, cuando el cierre del sistema no tiene éxito. Puede crear tareas programadas y utilizarlas para interrumpir las comprobaciones de actualizaciones de aplicaciones y del sistema.

Además, la herramienta tiene la capacidad de ejecutar herramientas adicionales de acceso remoto (RAT) y backdoor. Las siguientes herramientas están específicamente etiquetadas en el código:

  • Powershell UACME herramienta con el fin de eludir UAC y escalar privilegios dejando caer varios archivos DLL utilizando el Wusa.exe binario de Windows. Esta herramienta se centra específicamente en el método OOBE para la explotación.
  • Método PowerShell Empire Invoke-bypassuac, que abusa de un certificado publicado de confianza durante la inyección de procesos para elevar privilegios y eludir UAC.
  • Mimikatz - Una herramienta popular para obtener credenciales de Windows almacenadas en la máquina.
  • Powercat - Un backdoor basado en Powershell TCP Port 4444 compatible con ncat y netcat.
  • ExecuteKL - Un keylogger genérico puede ser ejecutado en el sistema y sus resultados son almacenados en un archivo temporal.
Figura 3: Referencias a recursos adicionales de la RAT

La herramienta también realiza peticiones DNS y HTTP al servidor update.winappupdater.com. Tras la inspección, este servidor en un momento dado tenía varias peticiones PHP y URI sospechosas a páginas que indicarían funcionalidad de C&C.

La herramienta utiliza una cadena de agente de usuario única de Mozilla/5.0 (Windows NT 6.3; Trident/7.0; rv:11.0) como Gecko para realizar las solicitudes HTTP de C&C:

Figura 4: Identificador de cadena del agente de usuario

Ejemplo de parámetros durante el C&C serían similares a los siguientes:

commandid=62168133-0418-411c-a6f9-27b812b76759

commandId=CmdResult=85bd26b3-c977-47d8-a32b-f7bae6f8134d

Estas peticiones HTTP se realizan a URI que contienen Home/BM, Home/CC, Home/SCV, Home/CC o Home/CR. También se observaron algunos otros recursos, como Home/SF y Home/gf, que podrían utilizarse para pruebas o campañas anteriores.

Figura 5: Ubicaciones de URI de comunicación de C&C

Además, parece que el servidor también aloja un controlador de LAN inalámbrica Intel certificado por Microsoft que no está actualizado (NB500_Win7_intel_wireless_LAN_Driver_13.3.0.24.1.s32). Es probable que esta herramienta se esté utilizando de forma maliciosa para manipular los controladores de red existentes o para utilizar una vulnerabilidad del propio controlador con el fin de elevar privilegios en los sistemas objetivo.

Una vez que este binario se ha ejecutado en un sistema y los atacantes están satisfechos con los datos recopilados, la herramienta tiene la capacidad de eliminar todos los rastros de sus archivos temporales del sistema.

A continuación, estos datos robados se utilizan directamente en la aplicación constructora de Shamoon 2 para maximizar la eficacia del borrado de datos. Dado que las credenciales y las ubicaciones de red se roban en esta fase, los operadores solo tienen que entregar el malware Shamoon 2 al sistema a través de la puerta trasera ISM cuando hayan terminado de realizar su misión principal.

Tras la inicialización, el binario Shamoon 2 escaneará la red /24 actual a la que está conectada la máquina local. Este barrido de red buscará máquinas que utilicen las credenciales robadas recopiladas por el malware ISM a través de los puertos TCP 135, 139 y 445.

Los autores comprobarán si hay contraseñas válidas en los sistemas mediante el abuso de llamadas al registro remoto de los sistemas objetivo. Una vez que se detecta una sesión de registro remoto exitosa, el malware utilizará RPC y psexec para copiar remotamente los archivos a estas máquinas y luego ejecutar silenciosamente cada uno de estos binarios.

Las copias actuales de los binarios de Shamoon 2 borrarán el sistema el martes siguiente tras su ejecución a las 02:30 hora del sistema. Creemos que la fecha y hora de detonación de la carga útil también podrían personalizarse en función de la campaña actual.

Lo que debe hacer

Tras la detección de cualquier actividad de Shamoon 2, se recomienda encarecidamente que todos los sistemas afectados se apaguen físicamente de inmediato. A continuación, los administradores deben arrancar los dispositivos afectados desde un dispositivo USB seguro y montar el sistema de archivos para el acceso de lectura.

A continuación, deben eliminarse del sistema los archivos críticos para la misión y volver a instalarlo con otras credenciales. Los administradores deben tener en cuenta que si se detecta el binario Shamoon 2 o su actividad en la red, las credenciales de dominio y probablemente otra información sensible ya ha sido robada y extraída de la red afectada.

La carga útil resultante de Shamoon 2, que borra el MBR y lo sustituye por una imagen, se utiliza probablemente para cubrir las huellas de los atacantes y sus verdaderos motivos.

La ciencia de los datos detrás de la detección de amenazas Vectra

Obtenga este libro blanco para saber cómo los modelos de detección de amenazas Vectra AI combinan la experiencia humana con un amplio conjunto de ciencia de datos y sofisticadas técnicas de aprendizaje automático para identificar amenazas como Shamoon 2.

Preguntas frecuentes