Facebook Linkedin twitter

El retorno del malware Shamoon

Publicado en Seguridad, por Juniper en 13/02/2017


En noviembre de 2016, hubo un resurgimiento del malware Shamoon, afectando principalmente empresas de Arabia Saudita. En este post, Asher Langton, especialista en malware del equipo Sky ATP (Advanced Threat Prevention o prevención avanzada de amenazas) de Juniper Networks, analiza un ejemplo reciente del Shamoon para ver cómo funciona y cómo Sky ATP lo detecta y bloquea.


Por Asher Langton


El payload oculto
Empezamos por observar que el malware Shamoon contiene tres imágenes de bitmap almacenadas como recursos dentro de su archivo ejecutable.
 


Los tres bitmaps parecen, en principio, totalmente aleatorios. Un archivo que parece verdaderamente aleatorio podría ser el resultado de una criptografía fuerte, tal vez una cifra de bloque como AES o una cifra de flujo con una clave larga, sin repetición.


Sin embargo, cuando miramos de más cerca, vemos lo que parecen ser algunos estándares en los datos:
 

 

Las repeticiones parciales sugieren una cifra de flujo con una clave de criptografía corta, haciendo con que un estándar aparezca sobre las secciones del texto simple subyacente que son bastante constantes (generalmente todos 0). Con eso, podemos deducir el tamaño de la clave a partir del periodo del estándar y tal vez (si existen repeticiones exactas de todo el estándar) recuperar toda la clave. Sin embargo, no necesitamos incomodarnos con el criptoanálisis.


En este caso, podemos dejar que el malware haga todo el trabajo pesado para nosotros. En el binario desmontado, encontramos lo que sigue:
 

 


El primer bloque de código localiza donde los recursos de bitmap han sido cargados en la memoria. La segunda parte, empezando en la etiqueta loc_401A10, es un loop que contiene una cifra de flujo xor simple. Usando un depurador, podemos extraer las claves y el contenido decriptografado, que se convierte en archivos ejecutables, cargando entonces el payload de este ataque.


Persistencia y evasión
En el primer lanzamiento, el Shamoon es ejecutado, pero inmediatamente sale, nunca alcanzando al código de decriptografía arriba. En vez, él ha sido silenciosamente instalado como un servicio persistente en la computadora.
 


Aquí vemos que el programa es relanzado automáticamente en segundo plano como "Microsoft Network Realtime Inspection Service", con el parámetro de línea de comando "LocalService". Después de “dormir” varios minutos para evitar la detección, él entonces decriptografa dos de los bitmaps mencionados arriba y graba los archivos ejecutables decodificados en el disco. Uno de ellos es netinit.exe, remanente de la campaña Shamoon anterior. Mientras que este era originalmente el componente que se comunicaba con un servidor de comando y control, en la versión actual él se comunica solamente con 1.1.1.1, que sirve como marcador de posición inofensivo. El otro binario es grabado en un directorio del sistema del Windows con un nombre elegido aleatoriamente de un conjunto de nombres imitando archivos de sistema del Windows: fsutl.exe, sigver.exe, sacses.exe etc.


Destrucción de datos
El lanzamiento de estos dos archivos abandonados inicia el ataque real. En el segundo ejecutable está la biblioteca EldoS RawDisk, una pieza legítima de software que permite el acceso directo de bajo nivel a los discos rígidos. En Windows XP de 32 bits, el registro de inicialización maestra es sobrescrito, dejando el sistema inoperable. En Windows 7 de 64 bits, el registro de inicialización maestra no es damnificado, pero los archivos de media en la computadora son sustituidos por la imagen del cuerpo de un niño sirio (oscurecido en la imagen abajo) sugiriendo posibles motivaciones políticas para el ataque.
 


Enseguida, la computadora es reinicializada automáticamente y, después de la inicialización, todos los archivos de media son apagados.


Detección
Aunque los antivirus basados en rules/hash inicialmente dejen pasar las variantes actualizadas del Shamoon, el Sky ATP lo detecta y bloquea con éxito. Las etapas de análisis estática y dinámica de Sky ATP extraen un número de recursos útiles del archivo ejecutable y su comportamiento al tiempo de la ejecución. Además, con base en las informaciones iniciales extraídas y sumadas al análisis de machine learning del Sky ATP, el programa es capaz de clasificar correctamente el Shamoon como malintencionado.

 

Lea también
Utilizar ROP para detectar malware es perder tiempo
Conozca los malwares que escapan a la detección y al análisis
Juniper divulga el primero de una serie de reportes sobre las amenazas del momento en la red.

 

 


Tags: SeguridadCriptografíaMalwareAntivirusWindowsSandbox


Tags: seguridad, criptografia, malware, antivirus, windows, sandbox


Posts Relacionados