SOREBRECT este malware se auto-destruirá en 3 2 1

Un comportamiento inusual en un sistema nos alerta sobre una posible amenaza que se ha filtrado, pero ¿Qué sucede si no encontramos ningún archivo sospechoso? ¿Que hay que limpiar para eliminarlo? Conoce más SOREBRECT, el malware que no deja archivos.

Las técnicas de evasión que está utilizando el malware para evitar la detección son cada vez mas sofisticadas y las nuevas generaciones de RANSOMWARE están utilizándolas a su favor para dar origen a amenazas de nueva generación para continuar con esta constante evolución a favor del cobro de rescates.

 Las técnicas de autodestrucción de la carga útil es uno de los nuevos métodos que está utilizando el malware para evitar ser detectado.

Esta no es la primera amenaza que utiliza una técnica de auto-destrucción, hemos visto hace un par de meses ataques realizando este tipo de auto borrado de archivos en donde posterior a la inyección de código, las cargas terminan siendo eliminadas del sistema para no dejar pistas, tal es el caso de DNSMessenger pero la combinación de ransomware y auto-destrucción resulta bastante peligrosa y conveniente para los hackers.

 

ANTECEDENTES

SOREBRECT comenzó cono un malware distribuyéndose a baja escala en países de medio oriente, en este punto comenzó a afectar países como Kuwait y Líbano, pero posteriormente en los inicios del mes de mayo, ya había comenzado a diseminarse también por América y Asia, afectando países como China, Japón, México, Rusia, y en menor escala otras partes del mundo.

Los blancos principales que este malware se encuentra enfocado a atacar desde su lanzamiento, son sistemas y redes pertenecientes a Industrias dedicadas a proporcionar servicios de tecnología y telecomunicaciones. Pero no se descarta que comience e elegir otro tipo de objetivos y logre hacer bastante daño en otros sectores.

Algo que resulta original es su capacidad para cifrar tanto archivos que se encuentran en el disco duro, como en espacios compartidos dentro de la red, lo que le hace aún más agresivo.

Por otra parte, SOREBRECT hace un hábil uso de la utilería PsExec. Este reemplazo del conocido telnet, permite ejecutar procesos en otros sistemas y admite completa interacción con aplicaciones de consola sin por ello tener que instalar manualmente el software de cliente. La utilería, también permite el lanzamiento de comandos en sistemas remotos así como la activación remota, un ejemplo de este tipo de comandos es IpConfig.

Como se puede observar, las características que proporciona PsExec para tomar el control remoto de las terminales son muchas y en las manos equivocadas funcionan como un gran aliado. De allí que este malware haya elegido esta utilería en su favor para abrirse paso por la red con gran éxito para llevar a cabo su cometido.

Sin embargo, no se habían detectado casos que llevaran la inyección de código al extremo con sucede conSOREBRECT, en casos anteriores se utilizaba para instalar el malware remotamente, pero en esta ocasión se utiliza para inyectar el código en el proceso válido de svchost.exe. De este modo el código binario malicioso inicial, puede eliminarse sin dejar rastros y continúa su ejecución de manera furtiva y es desde la ejecución de svchost.exe que se realiza la encriptación de los archivos de la terminal.

No suena extraño que un antivirus que no lo detecte en su fase inicial, lo pase por alto en su fase de encriptación.

Para el caso de análisis, también resulta todo un reto conseguir la muestra original de binario una vez que el código ya fue inyectado.

 

CARACTERÍSTICAS GENERALES

NOMBRE: SOREBRECT

TIPO: Ransomware

SISTEMAS AFECTADOS: Terminales y servidores operando bajo sistemas Windows.

EXTENSIÓN DE CIFRADO: .Pr0tect

ANÁLISIS DE LA INFECCIÓN

La empresa Trend Micro, realizó un análisis de dos muestras, RANSOM_SOREBRECT.A y RANSOM_SOREBRECT.B y con base a este análisis se encontraron las características mencionadas a continuación.

 

OBTENIENDO CREDENCIALES

Como primer punto, es lógico que deba conseguir las credenciales para autenticarse en el servidor, lo que hace por medio de la fuerza o con otros medios, esto antes de inyectar el código malicioso que terminará por cifrar los archivos en las terminales infectadas y en los recursos compartidos a través de PsExec de Microsoft.

La codificación de los equipos remotos conectados a través de la red local se realiza mediante un escaneo  de recursos compartidos abiertos, una vez que identificados, se inicia una conexión hacia esos recursos compartidos, si el recurso compartido tiene configuración de acceso para lectura y escritura, entonces el recurso terminará siendo cifrado también y con la extensión .pr0tect.

Archivos cifrados por SOREBRECT
Ejemplo de las notas de rescate emitidas.

 

CUBRIENDO LAS PISTAS

SOREBRECT hace uso también del ejecutable wevtutil.exe y vssadmin. El primero, tiene como finalidad borrar los registros de eventos del sistema, de esta manera el usuario no tiene pistas al revisar de sucesos sospechosos. Por otro lado vssadmin interfiere con el proceso de Volume Shadow Copy Service, o Shadow Copy para eliminar las copias realizadas de los procesos ejecutados en la terminal. Otra pista que podría ser utilizada para rastrear la actividad maliciosa.

 

COMO MINIMIZAR LOS EFECTOS DE SOREBRECTS

  1. A) Es ampliamente recomendado que se restrinjan los permisos de los usuarios y que solo tengan acceso a lo estrictamente necesario. Revisar cada cuenta de usuario y los permisos que tienen en el Active Directory para determinar si es el apropiado o si se encuentra excedido en permisos para las tareas que debe realizar.
  2. b) Por consecuencia, dado que es PsExec quien realiza las funciones que los hackers esperan de manera remota, conviene restringir sus privilegios. Dándole permisos de ejecutar este tipo de servicios exclusivamente a las cuentas de administradores que realmente las necesiten.
  3. c) Realizar copias de respaldo con frecuencia es de vital importancia, es cierto que no se puede tener respaldo de todo, pero en el caso de tener archivos cifrados que fueron recientemente respaldados, el efecto de un ataque es mucho menor. Estos respaldos conviene realizarlos al menos en tres sitios, donde uno debe estar en lugar externo a la red.

 

INDICADORES DE COMPROMISO

Hashes

RANSOM_SOREBRECT.A (SHA256):

4854A0CA663588178B56754CD50626B2E8A121F66A463E1C030836E9BD5B95F8

AC4184EEC32795E1CBF2EFC5F4E30D0CBE0B7F982BC2060C180BE432994DCEFF

05CEFE71615F77D9A386BF6F48AD17ACA2BAE433C95A6F2443184462832A3E90

RANSOM_SOREBRECT.A (SHA-1):

36fa4c4a7bd25f086394b06fe50e41410f78dbb3

9f327c5168b07cec34e1b89aba5f45b78f20e753

RANSOM_SOREBRECT.B (SHA256):

4142ff4667f5b9986888bdcb2a727db6a767f78fe1d5d4ae3346365a1d70eb76

 

CONCLUSIÓN

Es un hecho que la evolución del malware no se detendrá, pero sus formas de distribución tienen mucha relación con las políticas que ejecutan las empresas frente a la navegación en la red, el acceso a sitios no seguros y la descarga de archivos.

Conseguir una conciencia empresarial en temas de seguridad resulta cada día mas importante, es una inversión que vale la pena realizar. Esto no se trata de sembrar el pánico entre los usuarios, el objetivo debe ser ayudarles a identificar posibles amenazas, ser críticos y sobre todo prudentes, mientras que el equipo técnico que respalda la seguridad, se compromete a su vez a mantener al día el segmentado de la red, el uso de antivirus, estrategias como el sandboxing y toda estrategia que evite futuros dolores de cabeza.

No hay sistema inviolable, pero se pueden minimizar los efectos de manera considerable siguiendo una política correcta.

 

REFERENCIAS

Analyzing fileless code injecting sorecbrect ransomware

Share with your friends










Submit
Tags: