Campaña de infección de Zyklon y Cerber

Las últimas semanas estamos observando múltiples campañas de correos con documentos ofimáticos adjuntos, cuya finalidad es instalar diferentes tipos de malware en nuestros sistemas. En este post queremos repasar una campaña concreta que ha evolucionado sensiblemente en los últimos días, pero cuya finalidad se ha mantenido. La evolución ha consistido en el nombre de los documentos adjuntos, pues en principio, todos venían con el nombre “resume.doc” y posteriormente han empezado a añadir un nombre aleatorio al principio “[Nombre]_resume.doc.

Fichero Hash
Resume.doc 952c2637787e737714ce8bdd24e9f41179865f1431c2ad4bc8e849b88c2a2ab9
Resume.doc 1969f5bc5be1db820eff204504ba53efbf9ecd63a9b4af0b3f545586aec847ca
Kathleen_Resume.doc 4bbff4c776705bbf2d4be4a3ef1c9211fa2c691d90970c0cdc8b1c11f82a98a0
Itunes.exe 4a2bf3912a679c0a3b591f13004b36bd2e77938b61e2a29badfec0d2c8b21c23
Itunes.exe 9b8e7a442e4b7b08e6d25629f97ebd65%da2deac7a1677d9700b9ddf9f640b3f
Itunes.exe dd6178ae524b31d668e555caf22d72b50a467a0221a505357cf1e8d2d8861ccf

El Documento en cuestión muestra lo siguiente al ser abierto:

[Read more…]

Análisis del powershell usado por FIN7

El día 24 de Abril de 2017, Fireeye publicó una entrada en su blog con el título “FIN7 Evolution and the Phishing LNK”. En esta entrada detallan toda la cadena de infección seguida, que se podría resumir en:

  1. El usuario recibe un fichero docx o rtf
  2. Dentro se encuentra una imagen que te invita a hacer click en ella
  3. Al hacer click se abre un fichero de tipo LNK
  4. Este LNK ejecuta mshta.exe con argumentos.
  5. Tras la ejecución se “droppean” dos ficheros vbs y uno ps1.
  6. Uno de los vbs ejecuta el FIN7’s HALFBAKED backdoor y el otro comprueba que está powershell arrancado.
  7. El ps1 según Fireeye es un script con múltiples capas y que lanza un shellcode para un Cobalt Strike stager.

A partir de esta información vamos a analizar en detalle el fichero powershell que se droppea y vamos a intentar entender cómo funciona. El documento del que vamos a partir será (podéis descargarlo desde hybridAnalysis):

 $ sha256sum malware_fin7_hybridAnalysis.rtf
39ab32a4cafb41c05ccecda59ebb0b1fcc6e08fd94ecad0ac80914fb2ad67588  malware_fin7_hybridAnalysis.rtf

[Read more…]

MouseJack (o por qué no usar ratones inálambricos)

(N.d.E. Por un error hemos publicado una entrada que publicamos hace unos meses. La que sigue sí es nueva :)

Hace ya algún tiempo el equipo de investigación de Bastille informó que los ratones y teclados inalámbricos de diferentes marcas están afectados por vulnerabilidades relacionadas con la transmisión de datos.

 


Bastille – Mousejack Explainer Video

Aunque el vídeo sea un poco peliculero, al más puro estilo Mr. Robot, es de tener un poco de cabeza que si las conexiones inalámbricas como Wi-Fi o Bluetooth son susceptibles de vulnerabilidades que permitan interceptar el tráfico de red, ¿por que no podrían serlo otro tipo de comunicaciones inalámbricas como los ratones y teclados inalámbricos?

[Read more…]

Evolución de Trickbot

Desde el laboratorio de malware de S2 Grupo llevamos tiempo vigilando los movimientos de un troyano conocido como Trickbot. Su relación con Dyre, otro troyano más antiguo con el que comparte muchas características de diseño, y la velocidad a la que evoluciona, ha captado nuestro interés desde que vimos las primeras muestras.

Este malware se suele catalogar como troyano bancario puesto que hasta el momento ha estado muy orientado al robo de datos referentes a banca, pero su diseño modular permite que en cualquier momento puedan ampliar sus capacidades para realizar cualquier tipo de acción extra.

Durante sus primeras versiones, ya se realizaron muy buenos análisis como los de @hasherezade en el blog de malwarebytes y de Xiaopeng Zhang en el de Fortinet. Pero el desarrollo de Trickbot ha seguido durante los últimos meses, llegando a la versión 17 en menos de 6 meses. Por ello hemos pensado que sería interesante comprobar los cambios que ha sufrido durante su evolución y profundizar en algunas de sus técnicas más curiosas a la hora de realizar distintas acciones.

Junto con estos factores, un reciente aumento en sus objetivos y campañas de infección, ha motivado que decidamos dedicar tiempo y esfuerzo extra en realizar un análisis más profundo de esta amenaza.

Hemos recopilado el resultado de dicho análisis en el reporte que adjuntamos a continuación y que esperamos resulte de utilidad a más de uno.

– Descargar informe –

[Read more…]

Rompiendo verificaciones de clave con Theorem Provers

TIPOS DE CLAVE DE PRODUCTO

A la hora de comprobar la legitimidad de la compra de un software, uno de los métodos más extendidos es la del uso de una clave de compra que se entrega al usuario cuando se compra el acceso al servicio o software. Estas claves deben ser comprobadas en algún punto de la ejecución y utilizar técnicas de ofuscación para que la generación de “keygens” no sea trivial.

Sin embargo, ¿cómo se comprueban estas claves? Aquí podemos encontrarnos con algunas de las siguientes situaciones: [Read more…]

Tendencias de malware Mayo 2017. Destacado: Wannacry y Phishings a Gmail

Un mes más, desde el laboratorio de malware queremos compartir con vosotros lo que se está cociendo en el mundo del malware. Recordar que en este tipo de entradas encontraremos amenazas conocidas, vistas en otras fuentes o analizadas directamente en nuestro laboratorio, pero el objetivo del post es conocer qué tipo de amenazas están activas.

A continuación, mostramos un diagrama con la información recopilada este mes desde el laboratorio:


Para poder observar de un modo más visual determinadas tendencias relativas a la infraestructura de algunas amenazas actuales, una vez más queremos mostraros unas graficas que consideramos interesantes. La idea es sencilla y consiste en recopilar de diferentes fuentes abiertas y de fuentes propias, direcciones IP de Command and Controls (C2 a partir de ahora). Después esta información recopilada la representamos de diferentes maneras como veremos a continuación:
[Read more…]

EternalBlue vía IoT (PoC)

Introducción

No cabe duda de que el mundo está en estado de alerta tras los últimos acontecimientos relacionados con la infección masiva del Ransomware WannaCry2.0, y la adición de características de gusano a una variante de ransomware nos lleva directamente a una nueva era para la ciberseguridad. Sin embargo, muchas veces las medidas que se toman son simplemente parches para la contención inmediata de la amenaza, sin llevar a cabo aquellas que subsanen la vulnerabilidad de forma total.

En el siguiente post se especifica el modo de unir los dos ataques de las amenazas más conocidas, las cuales han tenido incidencia a nivel mundial durante estos últimos meses. Por un lado, la vulnerabilidad en los dispositivos IoT, y por el otro el CVE-17-0144 asignado al exploit EternalBlue.
[Read more…]

Oleada de ataques con keyloggers –> keybase & Hawkeye

La semana pasada fuimos testigos de una oleada de documentos office con macros maliciosas y que revisaremos en esta entrada. Los hashes de los documentos son:

Si ejecutamos 1) se produce el siguiente comportamiento en el sistema (pinchar en las imágenes para ver la versión ampliada – se abren en una pestaña nueva):

[Read more…]

Nukin’ Zaragoza: a cyberwar exercise (IX). Conclusiones.

(Puedes consultar todas las partes de esta serie en los siguientes enlaces: 1. Apagón, 2. Esto no puede estar pasando, 3. Silencio sepulcral, 4. La hora de la verdad, 5. Daños colaterales, 6. La verdad está ahí fuera, 7. Lo que sabemos que no sabemos, 8. De vuelta al mundo real, 9. Conclusiones. Esperamos que hayan disfrutado con ella tanto como nosotros escribiéndola y publicándola).

¿Qué podemos hacer?

A lo largo de este ficticio (pero lejos de ser imposible) ensayo se ha pretendido demostrar lo intrincadas que están las TIC en el desarrollo de nuestras vidas. El tan famoso como manido “fallo informático” que afecta a veces nuestros quehaceres diarios no es más que un fallo de seguridad, afortunadamente no intencionado en la mayoría de los casos.

La ciberseguridad es un componente fundamental de las TIC. Y dado que, como hemos hablado, las TIC son una parte instrumental de nuestras vidas, es lógico (nunca mejor dicho) asociar transitivamente la ciberseguridad con nuestras vidas.

Esta serie de artículos se escribió antes de WannaCry, pero este incidente ejemplifica a la perfección el objetivo pretendido. Si el malware hubiera usado además del 445 (SMB) el puerto 3389 (Escritorio Remoto), la tasa de infección se habría incrementado en un orden de magnitud. Pero si el fallo explotado correspondiera al conjunto de parches de Mayo, que había salido el Martes por la noche (y que nadie tenía aplicado)… prácticamente todo el mundo habría sido víctima del ataque. Un verdadero armageddon para Internet.

[Read more…]

Nukin’ Zaragoza: a cyberwar exercise (VIII). De vuelta al mundo real.

(Puedes consultar todas las partes de esta serie en los siguientes enlaces: 1. Apagón, 2. Esto no puede estar pasando, 3. Silencio sepulcral, 4. La hora de la verdad, 5. Daños colaterales, 6. La verdad está ahí fuera, 7. Lo que sabemos que no sabemos, 8. De vuelta al mundo real, 9. Conclusiones. Esperamos que hayan disfrutado con ella tanto como nosotros escribiéndola y publicándola).

(Después del fin de semana movidito que hemos tenido, volvemos con el penúltimo post de la serie de Antonio Sanz sobre un potencial escenario de ciberguerra en la ciudad de Zaragoza. En breve, las conclusiones finales).

0. De vuelta al mundo real

A primera vista, podría parecer que el relato anterior sería más que adecuado como  argumento de una película de Tom Clancy. Sin embargo, vamos a volver a repasar todos los puntos de la investigación del relato ficticio, pero desde otra óptica: la del mundo real.

Fallo del suministro eléctrico

Las redes eléctricas podrían ser sin muchas dudas la infraestructura crítica más importante de un país: la dependencia de otros muchos sistemas de la electricidad lo hace indispensable para la sociedad moderna.

Es por ello por lo que estas redes son objetivos claros de acciones de ciberguerra: un ejemplo claro es el ataque sobre la red eléctrica Ucraniana en 2015 y 2016, que dejó sin energía eléctrica a más de 200.000 personas durante varias horas.  Otro ejemplo, aunque sin confirmar, sería el apagón de prácticamente todo el sudeste de Turquía en 2015, que dejó a 40 millones de turcos sin suministro eléctrico durante 12h.

[Read more…]