11 jul 2016

Como analizar el ransomware Locky/Zepto paso a paso (I de II)

La siguiente prueba de concepto está realizada para demostrar lo sencillo que es infectar un sistema a través de un correo electrónico con un archivo adjunto.

En este caso se utilizará un correo real con un archivo DOCM adjunto, el cual ejecuta una macro, descarga una variante del ransomware Locky/Zepto desde Internet y lo ejecuta en el sistema del usuario. La Macro es un medio para lograr el objetivo de descargar el malware desde un servidor.

Remarco que este caso es real y efectivamente se está utilizando en estas semana para infectar y "secuestrar" miles de sistemas en todo el mundo. Hay que recordar que el proceso infeccioso de Locky/Zepto se realiza a través de un correo electrónico con un adjunto (ZIP, DOC, XLS, JS, etc). El usuario al abrir el adjunto produce la descarga de un archivo binario (.EXE) que se ejecuta en el contexto del sistema y cifra los archivos del usuario. 

El correo llega al usuario mediante email de spam e incluso muchas veces puede simular que el remitente es el mismo usuario. Esto se logra cambiando el FROM de correo y, un usuario común llegará a creer realmente que esto es algún tipo de error y estará tentado a abrir el adjunto.

Para comenzar el análisis,  lo primero es grabar el correo sospechoso como archivo MSG o EML y abrirlo con un visor gratuito como MailViewer. En este caso se puede ver el cuerpo del correo y el adjunto DOCM/XLSM, el cual es un archivo de Microsoft Office, un simple DOC/XLS con una Macro dañina.
Obviamente no debemos abrir el DOCM con Word (aún).

A continuación procederemos a analizar sus archivos y Macros. Como en realidad los archivos de ofimática son archivos XML comprimidos (basados en ISO/IEC 29500:2008), en principio podemos renombrar el archivo DOCM a ZIP y ver su contenido.
El archivo BIN contiene la Macro comprimida que buscamos y, en algunos casos, y dependiendo el antivirus instalado, este archivo BIN podría ser detectado como dañino.

Ahora procederemos a analizar el contenido del DOCM y de la Macro a través de la aplicación gratuita OfficeMailScanner. Luego de descargado, simplemente lo ejecutamos desde la línea de comandos:
OfficeMalScanner c:\macro\C9E00A9A59C.docm.zip inflate
OfficeMalScanner.exe C:\macro\vbaProject.bin info
Este proceso descomprime y extrae la Macro desde el archivo "vbaProject.bin" y la almacena en texto plano con el nombre "VBAPROJECT.BIN-Macros\Module1".

A partir de ahora se puede realizar el análisis del código fuente VisualBasic de la Macro dañina. Para este segundo paso, simplemente copiaremos el contenido de la Macro en un nuevo archivo DOCX creado para este fin:
  1. Crear un nuevo archivo DOCX
  2. Agregar una Macro (menú Desarrollador - Macro)
  3. Copiar el contenido de la Macro (NO ejecutar)
  4. Grabar la Macro
  5. Grabar el documento como DOCM. Esto es exigido para que el documento contenga la nueva Macro.
  6. NO ejecutar la Macro.
Cristian de la Redacción de Segu-Info

Suscríbete a nuestro Boletín

2 comentarios:

  1. También llego al binario como vos... pero me parece que no tiene TLS Callback... y me cuesta por ahora conseguir... me está costando mucho los imports fuera de sección y otros temas más...

    Estamos hablando del mismo Zepto (el binario que descarga el dropper)?

    9636c71c9611e24bdb1d415411c0c3de51a041be679cba7b40d7b510ff14d0eb8d29b0ecc3f306c49944ee7ff542b9388d0bff4e6a05a9fea127cdacf0f8dab0
    ZEPTO_RANSOMWARE_INOCULATED_FILE

    297472 Bytes

    ResponderBorrar
    Respuestas
    1. Kelvin, fijate q yo me enfoco en el DOCM, no en el binario en sí mismo.

      Borrar

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!