Trabajo de investigacion: Operación link azul

*Esta entrada es la parte final de un proceso de investigación. En ningún momento de la misma se ha visto comprometida la información de ningún equipo.*

 

En esta entrada presentare un trabajo de investigación; el objetivo es comprobar la vulnerabilidad de los usuarios a una posible infección, en este caso usando como vector de ataque el hackeo a linkedin.

Para ello cree un pequeño programa en vb.net  simulando ser una herramienta para comprobar si la cuenta del usuario había sido publicada a través de su dirección de e-mail.

El programa en cuestion es el siguiente:

f648a233039996f608db644e5cf82969

67fa8348b3a983614fea00a10c15030d

El programa es pura fachada evidentemente y no comprueba absolutamente nada.

Primera parte de la operación link azul:

Elegí 2000 email aleatorios de la base de datos de linkedin (seleccioné 1000 de España, para formar una estadística a parte)

El vector de infección para la propagación del programa fue un e-mail con dirección falsa y un archivo adjunto.

39ec00449a2a3f26b26f198ca3a52899

98e86d8f4c32ac50681f2c6c3fc4abd3

Como veis, nada sofisticado, sin invertir casi nada en la parte de ingeniería social.

Funcionamiento del archivo cebo: 

El archivo simplemente crea un pequeño script en vbs para visitar una web sin abrir el navegador.

Set IE = CreateObject(“InternetExplorer.Application”)
IE.Visible = False
IE.Navigate “URL”

*Los créditos del script van en este caso para Adwind. Allí donde estés, un saludo :drinking:

Cuando el usuario “comprueba su email” el programa simplemente ejecuta el archivo y lo borra.

Resultados:

Los resultados realmente me sorprendieron, empezaremos primero por los de España:

De 1000 emails enviados la web donde se recopilaban las ips y se pintaba el mapa, registro ni mas ni menos que 435

españa visitas linkedin

Esto nos deja el escalofriante dato de que un 43,5% de los usuarios ejecutaron y “comprobaron” su email.

En total el numero de usuarios afectados del total de 2000 fueron 1231 un 61,55%.

En el top 5 de paises se encuentran

009bde660b1d587fcad7aa29d0e64428:

En total hubo usuarios afectados en 62 paises

5c36ac3f07fcc11b483a16ade7c73a29

Como se puede observar en el mapa, los países mas afectados en su mayoría han sido de habla hispana, quizás si el mensaje hubiera estado escrito en ingles la cosa habría cambiado.

Conclusiones:

Al recopilar resultados me quede realmente sorprendido, no esperaba tener un ratio de infección de mas del 10-20%, pero la realidad a triplicado mis expectativas. Ante esto creo que hay mucho que reflexionar, que hubiera pasado si en vez de un script para realizar una conexión, el archivo fueses un ransomware, o un spyware, o cualquier tipo de malware? Realmente es la gente tan vulnerable? Eso parece… Por cuanto tiempo serán las personas el eslabón mas débil de la cadena? Me temo que siempre sera así. Afortunadamente desde organismos como INCIBE se lleva a cabo una ardua tarea de conciencian sobre el uso responsable de la tecnología; y bajo mi punto de vista este es el camino que mas hay que trabajar en la lucha contra el cibercrimen, la educación, es la base de todo, y en la tecnología no iba a ser menos.

Por ultimo quiero lanzar también una critica a todas las compañías de antivirus, estoy convencido que muchas habran recibido la muestra, en la web que recopilaba las visitas se indicaba que todo era una investigación y que si algún investigador de seguridad, ya fuera de alguna empresa o independiente , llegaba ahi, que contactase. Nadie lo hizo. Ademas, la campaña fue lanzada a principios de Julio, han tenido dos meses para mover ficha, meter el dominio en lista negra… algo.. y este ha sido el resultado:

 

image

Nada mas que añadir. Que cada uno saque sus propias conclusiones, y si apetece que las comente debajo.

Un saludo.

 

Informe detallado sobre el ransomware “Satana”

**Esta entrada fue publicada originalmente en http://indeseables.github.io/**

Si hay un tipo de malware preferido por los cibercriminales, esa es la familia de los ransomware. Desde la aparicion a finales de 2013 del conocido como “virus de la policia” esta familia de malware no ha parado de crecer, dado que es facil de programar y rentable para los cibercriminales.

A continuacion procederé a analizar detalladamente un nuevo ransomware descubierto a finales de Junio y conocido como “Satana”. Las muestras en las que se basa el análisis de esta entrada son; 46bfd4f1d581d7c0121d2b19a005d3df Como muestra principal

https://virustotal.com/en/file/683a09da219918258c58a7f61f7dc4161a3a7a377cf82a31b840baabfb9a4a96/analysis/

d236fcc8789f94f085137058311e848b Como muestra de malware unpacked

1. Información de versiones

A día de hoy 12 de Julio de 2016, únicamente se ha distribuido una versión del código malicioso Satana.

2. Extensiones a cifrar

Satana cifra los archivos con extensión .bak .doc .jpg .jpe .txt .tex .dbf .db .xls .cry .xml .vsd .pdf . csv .bmp .tif .1cd .tax .gif .gbr .png .mdb .mdf .sdf .dwg .dxf .dgn .stl .gho .v2i .3ds .ma .ppt .acc .vpd .odt .ods .rar .zip .7z .cpp .pas .asm

3. Extension añadida a los archivos cifrados

Tras cifrar los archivos el malware cambia el nombre de los mismos con el formato __

68747470733a2f2f692e6779617a6f2e636f6d2f30346635326430343235313135663963663134303366323537616239643765652e706e67

4. Análisis dinámico del código malicioso

Tras la ejecución del binario malicioso este crea una copia de si mismo en %TEMP% con un nombre aleatorio y posteriormente borra el archivo original. Además crea un archivo de texto bajo el nombre de ¡satana!.txt también en %TEMP%. Una vez terminado este proceso ejecuta el archivo de nombre aleatorio creado en la carpeta temporal, el cual requiere al usuario permisos de ejecución como administrador. Cuando el usuario concede los permisos de ejecución, el malware crea 2 entradas en el registro de Windows.

68747470733a2f2f692e6779617a6f2e636f6d2f37643964663361373963313264663761353333383636623261616362663061342e706e67

La primera bajo el nombre de “BTC” contiene la dirección de bitcoin asociada a la cartera que debe recibir el pago La segunda bajo el nombre de “E-mail” contiene una dirección de E-mail, la misma que se muestra en el nuevo nombre de los archivos cifrados.

68747470733a2f2f692e6779617a6f2e636f6d2f38653163303761643630336339393265363931376434663433643039626637632e706e67

5. Ataque de bajo nivel

Este ransomware no actua en modo kernel, como si lo hacen otros como por ejemplo Petya.

6. Ataque de alto nivel.

Una vez el malware ha sido ejecutado simplemente se instala de forma silenciosa en el equipo y espera al reinicio del equipo (sin forzarlo) para mostrar el siguiente mensaje

68747470733a2f2f692e6779617a6f2e636f6d2f61623637656139333438623561363834346534336539303464653639393739662e706e67

*Es el mismo contenido que el del fichero ¡satana!.txt

7. Metodo de cifrado de archivos.

Satana divide los archivos en partes de 32 bytes que cifra de forma independiente para posteriormente juntarlas usando el método RTDSC (Read Time-Stamp Counter). El algoritmo de cifrado es una modificación de AES 256.

8. Llave de cifrado

Aparentemente la llave de cifrado es siempre la misma. Un mismo archivo siempre devuelve archivos cifrados idénticos.

9. Medidas de protección anti reversing en el payload.

El payload esta empaquetado, pero puede ser fácilmente desempaquetado usando un debugger como OllyDbg, basta con colocar un BP en RtlDecompressBuffer. Tambien impide la restauración del equipo a un punto anterior a la infección.68747470733a2f2f692e6779617a6f2e636f6d2f35383166626631366463366632346166366630613137303630333937376638312e706e67

10. Conexión con el C&C

El malware conecta con el C&C y envía la siguiente información en un paquete sin cifrar. id=7 &code=100 &sdata=5.1.2600 0 1 HOME User 0&name=payload.exe &md5=59E18B50B822020294A8EA0A4154C7597847B3A6359A08194F4865D804BD7E6 &dlen=66ABDE777F35E50F671B6034FA6453AD Este proceso muestra un grave fallo en el payload, ya que si en el momento de la infeccion el C&C esta offline la llave se pierde y los archivos no pueden ser recuperados.

12. Detecion con regla YARA

rule: Satana_Ransomware
{
meta:
Description = “Deteccion de ransomware Satana”
Author = “SadFud”
Date = “12/07/2016”

strings:
$satana = { !satana! } nocase

condition:
$satana
}

11. Conclusion

Observando el funcionamiento del programa y los fallos que tiene, es posible que esta solo sea una versión de prueba y que la verdadera campaña de infección masiva aun no haya comenzado.

12. Descarga de muestras

http://www27.zippyshare.com/v/WjzkYiPy/file.html

Contraseña:indeseables