lunes, 30 de noviembre de 2015

Análisis parcial de "najydfdp.exe"

Mientras se analiza la siguiente muestra de malware:

Nombre:                 najydfdp.exe
MD5:                     24DC349285FE3222630D9019E908F0D1

Nombre y MD5 de la muestra analizada

Se encuentra una funcionalidad muy llamativa de la misma.

Pero para llegar a ella, primero se pondrá en situación.

Cuándo lanzamos la muestra (análisis dinámico básico), se crea un proceso de nombre: “jjprnqwb.exe”, que a su vez, crea dos procesos de nombre: “svchost.exe”.

Árbol de procesos de jjprnqwb.exe

Información sobre el proceso de jjprnqwb.exe

Información sobre el proceso hijo: svchost.exe, con PID 3408


Información sobre el proceso hijo: svchost.exe, con PID 1840


NOTA: Los procesos padres, tanto el: najydfdp.exe, como el: jjprnqwb.exe son eliminados

Imagen final tras lanzar la muestra.

Aquí es donde empieza la funcionalidad comentada.

Lo interesante de estos dos procesos es que “deben” existir los dos a la vez, ya que si uno de los dos “muere”, el otro proceso recupera el proceso “muerto” para mantener la infección.

Para muestra un botón.

Los procesos originales tenían como PID los valores: 1840 y 3408.

Si eliminamos el proceso con PID: 1840, el proceso con PID: 3408, vuelve a lanzar el ejecutable que le ha lanzado a él mismo y que a su vez, volverá a lanzar el ejecutable: svchost.exe con otro PID distinto.


Secuencia tras eliminarse el proceso con PID: 1840

Lo mismo ocurriría si el otro proceso fuera eliminado (se elimina el proceso con PID: 3408).


Secuencia tras eliminarse el proceso con PID: 3408

Conclusiones

Nos encontramos con un control de la infección, es decir, un sistema que no permite que el proceso infeccioso pueda ser detenido de manera sencilla.

Anexo

En la segunda secuencia se puede ver la ejecución del archivo: anxmghqx.exe. Este archivo reside en la carpeta: Documents and Settings/<usuario>/Configuración local/Datos de programa/rkjavehh/

Tal información se obtiene gracias a que en el proceso de infección se ha modificado el registro de Windows para incluir en la secuencia de arranque la ejecución del archivo antes mencionado.

Ubicación del archivo: anxghqx.exe


Secuencia de arranque configurada en el Registro de Windows

Aunque no sólo nos encontramos esto, sino que otro archivo se ha configurado dentro de la secuencia de arranque, tal y como se puede apreciar en la foto anterior.

El nuevo archivo es: jjprnqwb.exe, y la ubicación en la reside: Documents and Settings/<usuario>/Configuración local/Temp

Ubicación del archivo: jjprnqwb.exe

NOTA ADICIONAL:

Comparando todos los archivos encontrados, incluso el archivo qswhllov.exe encontrado en la misma ubicación que el archivo “jjprnqwb.exe”.

TODOS SON EL MISMO.



Comparación de MD5s

jueves, 19 de noviembre de 2015

Una espina clavada con los documentos ofimáticos

Desde hace tiempo quería investigar un poco más sobre los documentos ofimáticas que no son utilizados como lanzadores.

Estos tipos no pueden considerarse como malware como tal, ya que  suelen realizar solicitudes de descarga de un ejecutable (malware), para luego, una vez descargado, ejecutarlo dentro del sistema.

DE entre los documentos ofimáticos encontrados que se podría catalogar como NO lanzadores, he seleccionado la siguiente macro como podía haber seleccionado otra. La diferencia no radical en el funcionamiento, sino en los nombres de variables, etc.

Macro del documento ofimático - Parte 1

Macro del documento ofimático - Parte 2

Entre las funciones que nos encontramos en la macro está la copia del documento ofimático origen por dos veces, en la ubicación: $TEMP\, con lo nombres: 322.rtf y 311.rtf.

Creación de los archivos 311.rtf y 322.rtf en la ubicación $TEMP\

Así como  la creación del archivo: $TEMP\pm2.exe, que con posterioridad se ejecuta.

Creación del archivo: $TEMP\pm2.exe y su posterior ejecución.

El contenido de este ejecutable, lo encontraremos dentro del propio documento ofimático.

Más concretamente en este caso, la encontramos en un objeto OLE Nativo de 181.467 bytes.

Estructura del documento ofimático, y en el recuadro rojo el objeto OLE embebido

Si revisamos el contenido del “stream”, nos encontramos con un archivo de tipo PE almacenado sin cifrar, ya que a simple vista se puede ver el “magic number” de estos tipos de archivos. O podemos ver la típica cadena de error que aparece cuando intentamos ejecutar el archivo en un entorno no propicio, o las distintas secciones en que se divide el archivo (text, rdata, data, rscr).

Archivo ejecutable embebido en el documento ofimático

Sin necesidad de ejecutarlo podemos extraer el contenido del ejecutable embebido.

Ejecutable extraído con el nombre: prueba.exe

Se obtiene el MD5 y un análisis estático del mismo, en donde lo que en primer lugar llama la atención es la gran cantidad motores que según VirusTotal detectan el archivo.

MD5 del archivo y los motores que lo detectan según VirusTotal.


Es decir, nos encontramos ante un gran conocido (informe de VirusTotal)

lunes, 16 de noviembre de 2015

El primer ransomware para Linux y su correspondiente herramienta de recuperación

El pasado 6 de noviembre, se hizo público, por parte de Dr. Web,  la existencia de un ransomware desarrollado para servidores Linux, denominado: Linux.Encoder.1 (Descripción técnica).

Hoy leo que Bitdefender ha sacado una herramienta para descifrar los archivos cifrados por este ransomware. Todo es debido a que:

“Linux.Encoder.1 cifra documentos, aplicaciones, código fuente y archivos multimedia utilizando el algoritmo de cifrado AES-128 con una clave que se genera localmente en el dispositivo de la víctima. La clave AES se cifra, a su vez, con una clave RSA para asegurar que los archivos no se pueden recuperar sin pagar el rescate.

Romper el cifrado RSA y AES es casi imposible, y la clave privada RSA necesaria para descifrar la clave AES solamente se almacena en la máquina del atacante. Sin embargo, los investigadores de Bitdefender descubrieron un defecto en la forma en que se genera la clave AES.

En lugar de generar claves aleatorias seguras y vectores de inicialización, la muestra derivaría dos piezas de información de la función rand () de libc generado con la fecha y hora actual del sistema en el momento de cifrado. Esta información puede ser fácilmente recuperada examinado marca de tiempo del archivo ", dijo Bitdefender.

Este es un gran defecto de diseño que permite la recuperación de la clave AES sin tener que descifrar con la clave pública RSA vendido por el operador (s) del troyano".

martes, 10 de noviembre de 2015

Bitdefender crea una "vacuna" contra Crytowall 4.0

He leído en el blog  HackPlayer.com que la firma de antivirus BitDefender a ha sacado una “vacuna” para la última versión de CryptoWall, la 4.0.


Parece que esta versión del Cryptowall, desarrollada en Rusia, no afecta a los usuarios de ese país, ya que dicha versión antes de empezar a realizar las tareas para las que está programado, comprueba si se encuentra activo el teclado en ruso. (Noticia desde BitDefender).

En este sentido, lo que parece hacer la  "vacuna" es: de manera preventiva activa el teclado en lenguaje ruso.

martes, 3 de noviembre de 2015

Análisis del "ticket_11022015-33788993.doc" y demás

Detectado a través de un correo electrónico el siguiente  archivo:

Nombre:                 ticket_11022015-33788993.doc
MD5:                     2F0222A86166A602B14E3DACD556C9D0
VT:                         18/54

Por la macro de dicho archivo, que ya es bastante conocida, al menos su funcionamiento. Se crea un archivo de:

Nombre:                 s1ks.pm2.exe
MD5:                     429eb39728f227ce94404499f8f0963d
VT:                         N/A

Procedimiento detectado en la macro.

Este último archivo, realiza comunicaciones hacía Internet.

Entre las peticiones DNS que se han detectado están los siguientes dominios:

EEXTENSIONS.CO
THETEDRENRE.RU
UNLACCOTHE.RU
WICYTERGO.RU
WWW.10203040.AT
WWW.ESHTARI.ME

Solicitudes de resolución DNS de los dominios detectados al ejecutar: s1ks.pm2.exe

Las URLs detectadas son:

wicytergo.ru/gate.php (peticion POST)
unlaccothe.ru/gate.php (peticion POST)
EEXTENSIONS.CO/gate.php (peticion POST)
THETEDRENRE.RU/gate.php (peticion POST)
WWW.10203040.AT/gate.php (peticion POST)
WWW.ESHTARI.ME/gate.php (peticion POST)

Petición detectada por nuestro servidor fantasma - 1

Petición detectada por nuestro servidor fantasma - 2

Conclusiones

Se debería detectar/bloquear en nuestros sistemas de seguridad los siguientes datos:

Nombre:             ticket_11022015-33788993.doc
MD5:                 2F0222A86166A602B14E3DACD556C9D0
Nombre:             s1ks.pm2.exe
MD5:                 429eb39728f227ce94404499f8f0963d
URLs:                wicytergo.ru/gate.php (peticion POST)
  unlaccothe.ru/gate.php (peticion POST)
  EEXTENSIONS.CO/gate.php (peticion POST)
  THETEDRENRE.RU/gate.php (peticion POST)
  WWW.10203040.AT/gate.php (peticion POST)
  WWW.ESHTARI.ME/gate.php (peticion POST)
Mutex:               local\mtxlog meinig nition.ig nitionmutex