19 feb. 2014

Análisis del algoritmo de descifrado del malware #Careto

Careto provendría de una entidad gubernamental porque las técnicas de ofuscación y ocultación empleadas nunca se han encontrado en un malware asociado a grupos de crimeware. Según Kaspersky, el malware estaba dirigido a instituciones del gobierno, embajadas, compañías petrolíferas, organizaciones de investigación, etc.

El objetivo principal de este malware era recoger datos de los ordenadores y móviles con sistemas Symbian. El malware podría interceptar el tráfico de red, registrar las pulsaciones del teclado, conversaciones de Skype, analizar el tráfico WiFi, robar información de móviles Nokia (Symbian), llaves PGP, hacer capturas de pantalla, etc. Es decir, el malware estaba siendo usado para espiar otras entidades. Kaspersky hace una descripción muy detallada en su página.

En este artículo, nos gustaría introducir un algoritmo extraído tras un proceso de ingeniería inversa que sirve para descifrar cadenas y que no se encuentra en la documentación de Kaspersky. Careto usa este algoritmo al principio de su ejecución para recoger el nombre de las funciones a importar, las llaves de registro donde guardar la DLL para tener persistencia al reiniciar, la llave usada por el algoritmo RC4, etc. En primer lugar presentaremos una vista global del algoritmo y luego explicaremos cada una de sus funcionalidades.

El malware usa un algoritmo de descifrado muy elaborado, en nuestro laboratorio no habíamos visto antes nada similar. El algoritmo hace difícil la generación de nuevas cadenas cifradas. Pensamos que el creador o creadores querían evitar que otra gente usase el malware por su cuenta cambiando los parámetros del malware, por ejemplo, las entradas del registro, la llave RC4, etc. Evitar el cambio de los parámetros hace al malware más vulnerable a la detección de los antivirus. Pensamos que el algoritmo fue elaborado por un experto en criptografía reforzando la convicción de Kaskersky sobre el hecho de que una entidad gubernamental estaría detrás de este malware.

Contenido completo en fuente original Hispasec

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!