Revisión de Trickbot V24

Desde el laboratorio de malware, como ya se imaginará más de uno, le tenemos cierto cariño a Trickbot. Es curioso ver cómo avanzan paso a paso en cuestión de semanas. Hace relativamente poco estaban añadiendo objetivos nuevos en su versión 19, y en pocos días, avanzan hasta la versión 24, con nuevas mejoras en cuestión de ofuscación de información y de ocultación en el sistema.

En esta entrada vamos a repasar los detalles interesantes que hemos visto modificados en esta última versión.

Lo primero, para constatar cual es la versión del binario que nos ha caído entre manos, extraemos de las strings del proceso la versión de la configuración que carga de sus recursos.

Como podemos observar, se trata de la versión 1000024, y el código de campaña es mac1.

[Read more…]

Nuestras radiografías de NotPetya

Desde el laboratorio de malware hemos estado atentos y analizando varios aspectos de lo que se ha llamado NotPetya, Wannapetya, ExPetya, etc. Lo que primero que nos preocupó en el laboratorio era conocer exactamente como se estaba propagando el malware. Para ello partimos de la dll (027cc450ef5f8c5f653329641ec1fed91f694e0d229928963b30f6b0d7d3a745) que se puede encontrar en Hybrid Analysis.

En el entorno de laboratorio levantamos dos máquinas Windows 7 sin los parches para protegernos de EternalBlue. El análisis de McAfee también ha mostrado el mismo comportamiento a nivel de red en este magnífico informe publicado durante los primeros días. A partir de ahí planteamos los siguientes dos escenarios:

Escenario 1:

Las dos máquinas no están en el dominio, pero existe en las dos máquinas un usuario con las mismas credenciales. Estas máquinas están en el mismo segmento de red.

Una vez preparado el entorno ejecutamos la dll del siguiente modo:

$ rundll32.exe  petya.dll,#1

A partir de este momento vemos como el equipo A (11.11.11.66) empieza a generar peticiones ARP para descubrir nuevos equipos dentro del mismo segmento de red. En nuestro caso, encuentra el equipo B (11.11.11.4) e inmediatamente intenta la autenticación sobre la máquina remota y se autentica. A continuación, el malware empieza a copiar la dll (en nuestro caso la hemos llamado lolz.dll) al recurso remoto:

[Read more…]

Campaña de infección de Zyklon y Cerber

Las últimas semanas estamos observando múltiples campañas de correos con documentos ofimáticos adjuntos, cuya finalidad es instalar diferentes tipos de malware en nuestros sistemas. En este post queremos repasar una campaña concreta que ha evolucionado sensiblemente en los últimos días, pero cuya finalidad se ha mantenido. La evolución ha consistido en el nombre de los documentos adjuntos, pues en principio, todos venían con el nombre “resume.doc” y posteriormente han empezado a añadir un nombre aleatorio al principio “[Nombre]_resume.doc.

Fichero Hash
Resume.doc 952c2637787e737714ce8bdd24e9f41179865f1431c2ad4bc8e849b88c2a2ab9
Resume.doc 1969f5bc5be1db820eff204504ba53efbf9ecd63a9b4af0b3f545586aec847ca
Kathleen_Resume.doc 4bbff4c776705bbf2d4be4a3ef1c9211fa2c691d90970c0cdc8b1c11f82a98a0
Itunes.exe 4a2bf3912a679c0a3b591f13004b36bd2e77938b61e2a29badfec0d2c8b21c23
Itunes.exe 9b8e7a442e4b7b08e6d25629f97ebd65%da2deac7a1677d9700b9ddf9f640b3f
Itunes.exe dd6178ae524b31d668e555caf22d72b50a467a0221a505357cf1e8d2d8861ccf

El Documento en cuestión muestra lo siguiente al ser abierto:

[Read more…]

Tendencias de malware Mayo 2017. Destacado: Wannacry y Phishings a Gmail

Un mes más, desde el laboratorio de malware queremos compartir con vosotros lo que se está cociendo en el mundo del malware. Recordar que en este tipo de entradas encontraremos amenazas conocidas, vistas en otras fuentes o analizadas directamente en nuestro laboratorio, pero el objetivo del post es conocer qué tipo de amenazas están activas.

A continuación, mostramos un diagrama con la información recopilada este mes desde el laboratorio:


Para poder observar de un modo más visual determinadas tendencias relativas a la infraestructura de algunas amenazas actuales, una vez más queremos mostraros unas graficas que consideramos interesantes. La idea es sencilla y consiste en recopilar de diferentes fuentes abiertas y de fuentes propias, direcciones IP de Command and Controls (C2 a partir de ahora). Después esta información recopilada la representamos de diferentes maneras como veremos a continuación:
[Read more…]

Tendencias malware Abril 2017. Destacado: Hajime y Shadow Brokers Leak.

Como todos los meses, desde el laboratorio de malware seguimos compartiendo con vosotros lo que se está cociendo en el mundo del malware. Recordad que en este tipo de entradas encontraremos amenazas conocidas, vistas en otras fuentes o analizadas directamente en nuestro laboratorio, pero el objetivo del post es conocer qué tipo de amenazas están activas.

A continuación, mostramos un diagrama con la información recopilada este mes desde el laboratorio:

[Read more…]

Tendencias de malware. Marzo 2017

Como todos los meses, desde el laboratorio de malware queremos compartir con vosotros lo que se está cociendo en el mundo del malware. En este tipo de entradas encontraremos amenazas conocidas, vistas en otras fuentes o analizadas directamente en nuestro laboratorio, pero el objetivo del post es conocer qué tipo de amenazas están activas. Este mes destacaremos Torrentlocker y PowerShell WMIOps

A continuación, mostramos un diagrama con la información recopilada este mes desde el laboratorio:

Este mes traemos algo nuevo que esperamos que os guste y nos ayude a ver de un modo más visual determinadas tendencias. La idea es sencilla y consiste en recopilar de diferentes fuentes abiertas y fuentes propias, direcciones IP de command and controls (en adelante C2). Vamos a ver la información recopilada y a representarla de la siguiente manera:
[Read more…]

Tendencias malware Febrero. Destacados: Chrome EK y RAT Remcos

Como todos los meses, desde el laboratorio de malware queremos compartir con vosotros lo que se está cociendo en el mundo del malware. En este tipo de entradas encontraremos amenazas conocidas, vistas en otras fuentes o analizadas directamente en nuestro laboratorio, pero el objetivo del post es conocer qué tipo de amenazas están activas.... Leer Más

Tendencias de malware. Enero 2017

Un mes más, desde el laboratorio de malware de S2 Grupo, queremos compartir con vosotros lo que se está cociendo en el mundo del malware. Recordad que en este tipo de entradas encontraremos amenazas conocidas, vistas en otras fuentes o analizadas directamente en nuestro laboratorio, pero el objetivo del post es conocer qué tipo de amenazas están activas.

A continuación mostramos un diagrama con la información recopilada este mes desde el laboratorio:


[Read more…]

Fileless UAC Bypass

Un paso muy importante tras obtener acceso a una máquina a la que no se debería tener acceso, suele ser elevar privilegios lo antes posible para poder acceder a las zonas más interesantes y poder borrar huellas del sistema de la forma más fiable.

Para controlar estos accesos con privilegios, Microsoft implementó a partir de Windows Vista, un sistema llamado User Account Control (UAC). Como era de esperar, no tardaron en aparecer métodos para saltarse esta protección, llamados de forma genérica como métodos de “bypass de UAC”. Desde el laboratorio de malware de S2 Grupo intentamos conocer bien este tipo de técnicas a fin de poder identificar cada paso que da una muestra de malware en un sistema, y esta en los últimos meses nos ha llamado la atención.

La mayoría de estos métodos “bypass de UAC” requieren de un fichero que se tiene que descargar en el equipo para ser ejecutado o importado por otro proceso ya con privilegios, lo cual en muchos casos hace que salten las alarmas. El sistema sobre el que vamos a hablar en este artículo difiere de ellos en este punto, y puede resultar realmente sencillo de implementar. Sin embargo, no es oro todo lo que reluce ya que este método solo permite hacer bypass cuando la cuenta original tiene un mínimo nivel de permisos. En el caso de una cuenta sin ningún tipo de permisos en la que para ejecutar algo requiere a un administrador, implica tener que introducir las credenciales de otro usuario y por tanto este método no resultaría efectivo.
[Read more…]

Tendencias de malware. Diciembre 2016

Durante este mes de diciembre hemos observado desde el laboratorio de malware de S2 Grupo distintas amenazas que una vez más queríamos compartir con vosotros. En este tipo de entradas encontraremos amenazas conocidas, vistas en otras fuentes o analizadas directamente en nuestro laboratorio, pero el objetivo del post es conocer qué tipo de amenazas están activas.

A continuación mostramos un diagrama con la información recopilada este mes desde el laboratorio:

malwarediciembre

Antes que nada, nos gustaría remarcar el respiro que, al menos a nosotros, nos ha dado Locky este mes, con una cantidad tremendamente reducida de SPAM en comparación con los dos meses anteriores. Esto no significa que haya desaparecido ni mucho menos ya que han estado llegando a muchos sitios correos con textos de “asunto:” como los siguientes: [Read more…]