Post

Identifying if a Malware Attack has Happened

Posted
Preview Image
By Areia/Ara
4 min read

Al igual que cualquier interacción con un sistema operativo, siempre quedan restos de dicha actividad, incluso si hay pocos rastros…

Desafortunadamente, el malware (según su variante) es en gran medida intrusivo, en el sentido de que deja un extenso rastro de evidencia en papel… ¡Perfecto para nosotros, los analistas!

El proceso final de un ataque de malware se puede dividir en unos pocos pasos generales:

  • Entrega
  • Ejecución
  • Mantenimiento de la persistencia (¡no siempre es así!)
  • Propagación (¡no siempre!)

Estos pasos generarán una gran cantidad de datos. Es decir: tráfico de red, como la comunicación con los hosts, interacción con el sistema de archivos, como lectura/escritura y modificación.

El malware se clasifica básicamente en función de los comportamientos que produce para realizar los pasos enumerados anteriormente. Por ejemplo, Wannacry realiza los cuatro pasos.

  1. Entrega Puede realizarse mediante muchos métodos, por nombrar algunos: USB (¡Stuxnet!), archivos adjuntos en PDF a través de campañas de “Phishing” o enumeración de vulnerabilidades.

  2. Ejecución A continuación, se muestra la parte principal de cómo clasificamos el malware. ¿Qué hace realmente? Si encripta archivos, ¡es ransomware! Si registra información como pulsaciones de teclas o muestra adware, podemos clasificarlo como spyware.

Solo entendemos esta etapa mediante el análisis de la muestra, por eso el análisis es importante, y es lo que cubriremos.

  1. Mantener la persistencia No tendría mucho sentido que los autores de malware se tomen la molestia de desarrollar un fragmento de código que sea capaz de ejecutarse, solo para que se ejecute y eso es todo… Se acabó. A menos que tenga una agenda muy específica (Cerber). Esto se refiere a que el virus debe tener una constante ejecución en tu computadora, pues de lo contrario no valdría la pena que se ejecute una vez y luego se desactive.

  2. Persistencia Esta etapa es en gran medida la razón por la que el malware es tan “ruidoso”. El malware emplea muchas técnicas, de las que hablaremos en profundidad mucho más adelante. Básicamente, esta etapa es solo para asegurarse de que la “ejecución” valga la pena.

  3. Propagación Oye… Si puedes infectar un dispositivo, ¿por qué no infectar más mientras lo haces? Nuevamente, esta es otra razón por la que el malware puede ser tan visible. El descubrimiento del host genera mucho tráfico de red, hablaremos de esto más adelante.

En resumen, hay dos categorías de huellas digitales que el malware puede dejar en un host después de un ataque:

Firmas basadas en el host

En términos generales, estos son los resultados de la ejecución y cualquier persistencia realizada por el malware. Por ejemplo, ¿se ha cifrado un archivo? ¿Se ha instalado algún software adicional? Estas son dos de las muchas firmas basadas en host que es útil conocer para prevenir y verificar que no haya más infecciones.

Firmas basadas en red

En general, esta clasificación de firmas es la observación de cualquier comunicación de red que tenga lugar durante la entrega, ejecución y propagación. Por ejemplo, en el caso del ransomware, ¿dónde ha contactado el malware para los pagos con Bitcoin?

Como en el caso de Wannacry, buscar una gran cantidad de intentos de comunicación con el protocolo “Samba” es un gran indicio de infección debido al uso de “Eternalblue”.

Preguntas

Name the first essential step of a Malware Attack? Delivery

Now name the second essential step of a Malware Attack? Execution

What type of signature is used to classify remnants of infection on a host? Host-Based Signatures

What is the name of the other classification of signature used after a Malware attack? Network-Based Signatures

Virus

Cerber

Arte de: Alessandro Tommasini

  1. Clasificación: Cerber es un tipo de ransomware, es decir, un malware que cifra los archivos de la víctima y exige un rescate para descifrarlos.
  2. Aparición: Fue descubierto por primera vez en marzo de 2016.
  3. Modelo de negocio: Cerber opera bajo el modelo de Ransomware-as-a-Service (RaaS), lo que significa que los desarrolladores lo alquilan a otros ciberdelincuentes para llevar a cabo ataques.
  4. Método de propagación:
    • Principalmente a través de campañas de phishing por correo electrónico.
    • Exploits kits en sitios web comprometidos.
    • Anuncios maliciosos (malvertising).
  5. Funcionamiento:
    • Una vez instalado, escanea y cifra archivos en el dispositivo infectado.
    • Cambia los nombres de los archivos cifrados añadiendo una extensión aleatoria.
    • Deja una nota de rescate en el escritorio explicando cómo pagar para recuperar los archivos.
  6. Características distintivas:
    • Usa cifrado AES para los archivos y RSA para las claves.
    • Tiene la capacidad de funcionar offline una vez que ha infectado un sistema.
    • Incluye una función de texto a voz que “lee” la nota de rescate a la víctima.
  7. Evolución: Ha pasado por varias versiones, cada una con mejoras en sus capacidades de evasión y cifrado.
  8. Impacto: Se estima que en su apogeo, Cerber estaba generando millones de dólares en ingresos para sus operadores.
  9. Mitigación:
    • Mantener el software y sistemas operativos actualizados.
    • Usar software antivirus y mantenerlo al día.
    • Realizar copias de seguridad regulares y almacenarlas offline.
    • Educar a los usuarios sobre los peligros del phishing y cómo identificarlo.

Cerber es un ejemplo de cómo el ransomware se ha convertido en una industria sofisticada en el cibercrimen, con modelos de negocio similares a los del software legítimo.

Malware
malware virus notes
This post is licensed under CC BY 4.0 by the author.