Introducción al análisis de Malware

Después de estar jugando con varias máquinas, ahora toca algo de teoría. Quizá no lo saben, pero el malware es algo que me llama poderosamente la atención, recuerdo que cuando estaba en secundaria (por ahí de 13 o 14 años), un gusano persistente infectó mi mp3 de ese entonces y jamás supe como o en dónde. También fue esa persona que llegó a buscar “como hacer un virus” y terminó haciendo su primer intento con un bloc de notas e inclusive llegué a hacer uno algo más complejo llamado “contraseña del banco” en el escritorio de mi pc que al momento de ejecutar se formateara la máquina.

Así que después de pensarlo un poco, decidí al fin adentrarme al mundo del análisis de malware y como me encanta escribir mis progresos por acá, además de hacer una pequeña traducción del contenido de Tryhackme, voy a registrar mis notas por acá también. Así que en esta entrada voy a estar estudiando las primeras dos secciones.

¿Qué es el análisis de malware?

Antes de empezar, hay que pensar primero, ¿qué es un malware? Según malwarebytes: un Malware, o software malicioso, es un término general para cualquier tipo de software informático con intenciones maliciosas de dañar su dispositivo. Los tipos de malware incluyen ransomware, spyware, virus y gusanos informáticos y otras amenazas en línea.

El malware es un tema muy común en el ámbito de la ciberseguridad y, lamentablemente, suele ser un tema recurrente entre las noticias mundiales actuales.

El análisis de malware no solo es una forma de respuesta a las incidencias, sino que también es útil para comprender cómo los comportamientos de las variantes de malware dan lugar a su respectiva categorización. Esta sala será una introducción práctica a las técnicas y herramientas que se utilizan en el análisis de malware; aunque breve, espero poder profundizar mucho más en estas técnicas en el futuro.

Al analizar el malware, es importante tener en cuenta lo siguiente:

Punto de entrada (PoE), es decir, ¿fue a través de correo no deseado que nuestro filtrado de correo electrónico no detectó y el usuario abrió el archivo adjunto? ¡Revisemos nuestros filtros de correo no deseado y capacitemos mejor a nuestros usuarios para la prevención futura!

¿Cuáles son los indicadores de que el malware se ha ejecutado en una máquina? ¿Hay archivos, procesos o quizás algún intento de comunicación “no común”?

¿Cómo funciona el malware? ¿Intenta infectar otros dispositivos? ¿Encripta archivos o instala algo como una puerta trasera o una herramienta de acceso remoto (RAT)? Lo más importante: ¿podemos prevenir y/o detectar más infecciones?

Tipos de ataques

A pesar de las muchas variantes de malware, los ataques generalmente se pueden clasificar en dos tipos: ataques dirigidos y ataques masivos.

Ataques dirigidos

Un ataque “dirigido” es simplemente eso: ataques dirigidos. En la mayoría de los casos, los ataques de malware que ocurren de esta manera se crean con un propósito específico contra un objetivo específico. Un gran ejemplo de este tipo de propósito podría ser el malware DarkHotel (más información de este virus en la parte de abajo), que está diseñado para robar información como detalles de autenticación de funcionarios gubernamentales.

Ataques masivos

Por otro lado, la clasificación de “Ataques masivos” puede ser similar a muchos ejemplos de la vida real y es el tipo de ataque más común. El propósito de este tipo de malware es infectar tantos dispositivos como sea posible y realizar lo que sea, independientemente del objetivo.

Empresas como Kaspersky (aunque yo uso malwarebytes), por nombrar una, rastrean estas campañas (conocidas como amenazas persistentes avanzadas o APT) y a menudo informan sobre su tasa de infección e indicadores, de manera muy similar a la propagación real de un virus según la Organización Mundial de la Salud (OMS).

Informe de Kaspersky sobre la campaña “Crouching Yeti (Energetic Bear)”, esta campaña se dirige específicamente a los siguientes sectores:

Industria/maquinaria Fabricación Farmacéutica Construcción Educación Tecnología de la información (Kaspersky)

Si bien esta variante está técnicamente dirigida, existe un alcance bastante amplio de esta variante de malware y, como tal, puede considerarse un ataque de “campaña masiva”.

Preguntas

¿Cuál es el ejemplo famoso de un malware con apariencia de ataque dirigido contra Irán?

Stuxnet

¿Cuál es el nombre del ransomware que utilizó el exploit Eternalblue en un ataque de “campaña masiva”?

Wannacry

Virus mencionados.

Darkhotel

DarkHotel es el nombre dado a una campaña de ciberespionaje sofisticada que se ha estado llevando a cabo desde al menos 2007. Algunas características clave incluyen:

1. Objetivos: Principalmente se dirige a ejecutivos de alto nivel y figuras importantes en diversos sectores, incluyendo defensa, energía y tecnología.
2. Método de ataque: Utilizan principalmente ataques de spear-phishing (phishing dirigido) y comprometen redes Wi-Fi de hoteles de lujo.
3. Geografía: Las víctimas suelen estar en países del Este de Asia, aunque se han reportado ataques en todo el mundo.
4. Técnicas:
   • Usan malware sofisticado y herramientas de cifrado avanzadas.
   • Explotan vulnerabilidades de día cero en software popular.
   • Emplean técnicas de ingeniería social para engañar a las víctimas.
5. Objetivos: Robo de información sensible, incluyendo propiedad intelectual, secretos comerciales y datos gubernamentales.
6. Atribución: Algunos investigadores han sugerido vínculos con Corea del Sur, aunque la atribución en ciberataques siempre es complicada y no concluyente.
7. Evolución: El grupo ha demostrado capacidad para adaptar sus tácticas y herramientas a lo largo del tiempo para evadir la detección.

Para protegerse contra amenazas como DarkHotel, además de las medidas generales de seguridad, se recomienda:

• Usar VPNs confiables al conectarse a redes Wi-Fi públicas o de hoteles.
• Ser extremadamente cauteloso con los correos electrónicos, incluso si parecen venir de fuentes confiables.
• Implementar autenticación de dos factores en todas las cuentas importantes. Aunque no tenemos información exacta sobre todos los detalles técnicos del malware utilizado por DarkHotel, ya que estos grupos suelen modificar constantemente sus herramientas, puedo describir algunos de los métodos y características conocidas de su operación:

1. Infección inicial:
   • Spear-phishing: Envían correos electrónicos muy personalizados con archivos adjuntos maliciosos.
   • Compromiso de redes Wi-Fi: Interceptan y manipulan el tráfico en redes de hoteles.
2. Carga útil:
   • Suelen usar troyanos de acceso remoto (RATs) personalizados.
   • Emplean técnicas de ofuscación avanzadas para evitar la detección.
3. Persistencia:
   • Utilizan rootkits para ocultarse en el sistema.
   • Implementan mecanismos de autoactualización para mantenerse al día.
4. Exfiltración de datos:
   • Usan canales cifrados para extraer información.
   • A menudo aprovechan servicios legítimos (como Dropbox) para camuflar el tráfico.
5. Técnicas de evasión:
   • Implementan detección de entornos virtuales/sandbox.
   • Usan firmas digitales robadas para parecer software legítimo.
6. Módulos específicos:
   • Keyloggers para capturar pulsaciones de teclado.
   • Herramientas para robar certificados digitales.
   • Módulos de captura de pantalla.
7. Comando y control (C2):
   • Usan infraestructura C2 distribuida y cambiante.
   • Implementan protocolos de comunicación personalizados.

Es importante notar que estos detalles son generales y basados en análisis públicos. El malware real puede variar significativamente entre ataques y evolucionar con el tiempo.

Crouching Yeti (Energetic Bear)

Crouching Yeti, también conocido como Energetic Bear, es otro grupo de amenazas persistentes avanzadas (APT) bastante conocido en el mundo de la ciberseguridad.

1. Nombres alternativos:
   • Dragonfly
   • Havex
   • Group 24
2. Actividad:
   • Activo desde al menos 2010
   • Ha mostrado picos de actividad en 2013-2014 y 2017-2018
3. Objetivos principales:
   • Sectores de energía e infraestructuras críticas
   • Industrias de petróleo y gas
   • Empresas de tecnología industrial
   • Instituciones académicas y de investigación
4. Geografía:
   • Principalmente se enfoca en objetivos en Estados Unidos y Europa
   • También ha atacado objetivos en Turquía y Japón
5. Métodos de ataque:
   • Watering hole attacks (ataques de abrevadero)
   • Spear-phishing
   • Malware personalizado, incluyendo el troyano Havex
   • Ataques de cadena de suministro, comprometiendo sitios web de proveedores legítimos
6. Capacidades:
   • Recopilación de información de sistemas SCADA
   • Robo de credenciales
   • Espionaje industrial
   • Potencial para causar interrupciones en infraestructuras críticas
7. Atribución:
   • Muchos analistas lo vinculan a Rusia, aunque como siempre, la atribución en ciberataques es complicada y no definitiva
8. Características distintivas:
   • Uso de herramientas de administración remota (RAT) personalizadas
   • Empleo de malware específico para sistemas de control industrial
   • Tácticas de persistencia a largo plazo en redes comprometidas
9. Impacto:
   • Ha logrado acceso a sistemas de control en centrales eléctricas y otras infraestructuras críticas
   • Potencial para causar disrupciones significativas en servicios esenciales

Este grupo representa una amenaza seria, especialmente para sectores críticos de infraestructura y energía. Su sofisticación y persistencia lo hacen particularmente peligroso.

Stuxnet

Stuxnet es uno de los malwares más famosos y sofisticados en la historia de la ciberseguridad.

1. Descripción general: Stuxnet es un gusano informático altamente complejo, descubierto en 2010, diseñado específicamente para atacar sistemas de control industrial.
2. Objetivo principal: Se cree que fue creado para sabotear el programa nuclear iraní, específicamente las centrifugadoras de enriquecimiento de uranio en la planta de Natanz.
3. Características técnicas:
   • Explotaba cuatro vulnerabilidades de día cero en Windows.
   • Se propagaba a través de unidades USB y redes locales.
   • Utilizaba certificados digitales robados para parecer legítimo.
   • Modificaba el código de los Controladores Lógicos Programables (PLCs) Siemens S7.
4. Funcionamiento:
   • Una vez infectaba un sistema, buscaba software específico de Siemens.
   • Si lo encontraba, modificaba los códigos para hacer que las centrifugadoras funcionaran de manera errática.
   • Ocultaba estos cambios de los operadores, mostrando lecturas normales.
5. Impacto:
   • Se estima que dañó alrededor de 1000 centrifugadoras iraníes.
   • Retrasó significativamente el programa nuclear de Irán.
6. Origen: Aunque no hay confirmación oficial, se cree ampliamente que fue desarrollado conjuntamente por Estados Unidos e Israel.
7. Legado:
   • Marcó el inicio de una nueva era en la guerra cibernética.
   • Demostró el potencial de los ataques cibernéticos para causar daños físicos.
   • Inspiró el desarrollo de malware similar por parte de otros actores.
8. Complejidad: Su sofisticación sugiere que fue desarrollado con recursos considerables, probablemente a nivel estatal.
9. Descubrimiento: Fue identificado inicialmente por la empresa de seguridad bielorrusa VirusBlokAda.

Stuxnet es significativo no solo por su complejidad técnica, sino también porque representa uno de los primeros casos conocidos de un arma cibernética diseñada para causar daño físico en el mundo real.

Wannacry

WannaCry es un ransomware que causó un ataque global masivo en mayo de 2017, afectando a cientos de miles de computadoras en más de 150 países.

Resumen de su funcionamiento:

1. Infección inicial:
   • Se propagaba principalmente a través de una vulnerabilidad en el protocolo SMB de Windows, conocida como EternalBlue.
   • También podía propagarse por correo electrónico y otros vectores.
2. Propagación:
   • Una vez dentro de una red, buscaba activamente otras máquinas vulnerables para infectar.
   • Utilizaba técnicas de gusano para expandirse rápidamente.
3. Encriptación:
   • Cifraba archivos en el sistema infectado usando una combinación de algoritmos AES y RSA.
   • Añadía la extensión “.WNCRY” a los archivos cifrados.
4. Demanda de rescate:
   • Mostraba una pantalla de rescate exigiendo un pago en Bitcoin (generalmente entre $300-$600).
   • Amenazaba con borrar los archivos si no se pagaba en 3 días.
5. Kill switch:
   • Contenía un “interruptor de apagado” no intencional: si detectaba una URL específica, se desactivaba.
   • Este kill switch fue descubierto por un investigador, lo que ayudó a frenar la propagación.
6. Impacto:
   • Afectó a organizaciones grandes como el NHS en UK, Telefónica en España, y FedEx.
   • Causó pérdidas estimadas en billones de dólares globalmente.
7. Atribución:
   • Se ha atribuido a Corea del Norte, aunque esto no está confirmado oficialmente.
8. Lecciones aprendidas:
   • Resaltó la importancia de mantener los sistemas actualizados.
   • Demostró el peligro de las vulnerabilidades de día cero cuando son filtradas.

WannaCry fue particularmente notable por su rápida propagación y el amplio impacto que tuvo en infraestructuras críticas en todo el mundo.

Conceptos

Grupo

El concepto de “grupo” en el contexto de ciberamenazas avanzadas puede ser un poco abstracto. Permíteme explicarlo de una manera más clara:

Cuando hablamos de un “grupo” como Crouching Yeti o DarkHotel en ciberseguridad, nos referimos a:

1. Conjunto de actividades: Una serie de ataques cibernéticos que comparten características similares, como objetivos, métodos, o herramientas.
2. Entidad organizada: Se presume que detrás de estos ataques hay un equipo organizado de hackers, aunque su composición exacta es desconocida.
3. Atribución tentativa: Los investigadores agrupan estas actividades y les asignan un nombre (como “Crouching Yeti”) para facilitar su estudio y discusión.
4. No necesariamente una organización formal: A diferencia de una empresa o agencia gubernamental, estos “grupos” pueden no tener una estructura formal reconocible desde fuera.
5. Evolución constante: Los miembros, tácticas y objetivos del grupo pueden cambiar con el tiempo.
6. Posible respaldo estatal: Algunos grupos se cree que están respaldados por gobiernos, aunque esto es difícil de probar concluyentemente.
7. Nomenclatura variada: Diferentes empresas de seguridad pueden dar nombres distintos al mismo grupo.

En esencia, cuando decimos “grupo” en este contexto, nos referimos a un conjunto de actividades cibernéticas maliciosas que se cree que están relacionadas entre sí y posiblemente ejecutadas por el mismo equipo de actores, aunque no conozcamos los detalles exactos de su organización interna.