El Ransomware es un malware que viene haciendo estragos hace bastantes años, el problema es en que estos últimos años se ha masificado y mutado considerablemente.

Evolución de Ransomware:

Tipos de Ransomwares

Ingeniería Inversa a Ransomware – Evolución de Ransomware

Hace unas semanas me llego un correo extraño el cual venía adjunto con un archivo zip.

Ransomware ingenieria inversa

Ingeniería Inversa a Ransomware – Correo Aparentemente Extraño

Requerimientos para analizar un ransomware:

Antes de continuar, se enumeraran las etapas que se deben realizar para analizar cualquier tipo de Ransomware

  •  – Ejecutar cualquier archivo dudoso en una máquina virtual (utilizar configuración de red NAT, para evitar posibles ataques hacia el host anfitrión).

  •  – Para realizar ingeniería inversa utilizar herramientas de Sandbox, para poder testear el comportamiento del archivo.

  •  – Utilizar herramientas para ver procesos conexiones salientes en tiempo real, de esta manera se podrá detectar procesos extraños y posibles conexiones hacia servidores externos.

Sabiendo esto, en primer lugar dejaremos la tarjeta de red de la máquina virtual en NAT, esto nos servirá para evitar que cualquier comportamiento del malware se pueda expandir dentro de la red. Utilizando Vmware realizamos lo siguiente:

Virtual Machine

Ingeniería Inversa a Ransomware – Nateando Tarjeta de Red en Máquina Virtual

Posteriormente, tenemos el archivo en la máquina virtual y al abrirlo podemos apreciar lo siguiente:

Ransomware

Ingeniería Inversa a Ransomware – Archivos Comprimidos

Tenemos dos archivos extraños los cuales fueron descomprimidos en una carpeta. Para visualizar el Archivo llamado Q,  fue necesario habilitar en las opciones de carpeta la opción “Mostrar archivos, carpetas y unidades ocultos”. Posteriormente al hacerle doble click a este archivo, se visualizó lo siguiente:

Ransomware codigo fuente

Ingeniería Inversa a Ransomware – Archivo Q abierto con SublimeText

Al leer el archivo es posible observar que posee información de forma cifrada, la cual no permite obtener información clara. Posteriormente al leer archivo 434e33aa.js con el mismo editor, se logró obtener lo siguiente:

Codigo Fuente Ransomware

Ingeniería Inversa a Ransomware – Archivo 434e33aa.js abierto con SublimeText (1)

Codigo Fuente Ransomware

Ingeniería Inversa a Ransomware – Archivo 434e33aa.js abierto con SublimeText (2)

Lo que hace este archivo es ir al sitio http://assura-courtage.org/j2olsa , descargar un archivo .EXE y posteriormente copiarlo y ejecutarlo en la ruta TEMP  de Windows.

Al realizar una búsqueda en Google  sobre el sitio web utilizado por este posible Malware, me percaté que se trataba del Ransomware Locky.

Locky Distribution

“Locky es una variante de ransomware que cifra archivos de cien tipos de extensiones, como imágenes, videos o base de datos almacenados en redes fijas o unidades móviles.

El vector de ataque principal es un correo electrónico regular con un adjunto; las variantes anteriores usaban documentos Word o Excel que contenían macros maliciosas, pero esta variante  viene con un TrojanDownloader. Una vez abierto, este archivo en Javascript ejecuta un payload en este caso, Locky”.

A continuación se realizó un proceso de Sandbox, para verificar en detalle lo que el Malware estaba realizando, además veremos los procesos que se están generando en tiempo real, para esto se utilizó la herramienta Sandboxie  y CrowdInspect los cuales se pueden descargar en los siguientes enlaces:
En primer lugar ejecutamos CrowdInspect, para tenerlo a la escucha y poder detectar los nuevos procesos que están corriendo sobre el siste. Posteriormente, una vez instalado Sandboxie, lo que se hizo fue hacer click derecho sobre el js y seleccionar la opción “Ejecutar Aislado en una Sandbox”. Al hacer esto me percaté de que CrowdInspect detectó lo siguiente:

Sandboxes

Ingeniería Inversa a Ransomware – Analizando Comportamiento del Ransomware

Con Sandboxie se pudo observar que en primer lugar el Ransomware accedió a la ruta TEMP del sistema, sin embargo es tan rápido el proceso de creación y ejecución del Malware que posteriormente se borra del sistema para no dejar rastros. Con CrowdInspect fue posible detectar que una vez ejecutado el Malware, se crea un proceso wscript.exe, que se conecta a la dirección IP 212.227.247.7 (que corresponde a una IP Pública de Brasil).

Finalmente ejecuté el Malware y apareció el mensaje correspondiente:

Mensaje Ramsonware

Ingeniería Inversa a Ransomware – Sistema Cifrado Con Locky

Algunas Recomendaciones Contra Ransomware:

  1. Mantener actualizado el software anti-malware.

  2. Complementar el anti-malware con una solución anti-spam, anti-ransomware y anti-exploit.

  3. Mantener actualizado el sistema operativo, el navegador web y las aplicaciones que más utilice.

  4. No hacer click en enlaces dentro de mensajes de correo electrónico ni abrir archivos adjuntos en tales mensajes sin tener la certeza de su remitente y razón de envío.

  5. Activar el bloqueador de ventanas emergentes (pop-up).

  6. Descargue e instale software sólo de fuentes confiables, en especial del software gratuito. Usar el sitio del fabricante original, evitar sitios de terceros.

  7. No hacer caso a advertencias de actualización de software al navegar por Internet.

  8. Respaldar periódicamente la información y mantener el respaldo en un medio alterno al equipo sin conexión.

  9. Usar sólo cuando se ocupe las unidades de almacenamiento externo o en línea, como Dropbox, Google, iCloud.

 

Fuente: backtrackacademy.com

Autor: Samuel Esteban

Posts Relacionados

Comments

comments

2 comments

  • NetVicious
    NetVicious

    Falta tener actualizado Flash, Java, Adobe Reader que son últimamente los vectores de ataque más utilizados.

    • ANTRAX
      ANTRAX

      Excelente dato NetVicious!

Deja una respuesta

Tu email no será publicado. Los campos requeridos estan marcados con *
Puedes usar tags HTML y los atributos: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">