Análisis técnico de #NotPetya
Investigadores de ESET han realizado un análisis detallado de la puerta trasera utilizada por el grupo detrás del ransomware/wiper NotPetya, que fue inyectado en recursos legítimos del software de contabilidad de impuestos M.E.Doc a principios de este año.
El 27 de junio de 2017, un nuevo ataque afectó a muchos sistemas informáticos en Ucrania y otros países. Fue encabezado por el malware que los productos de ESET detectan como Diskcoder.C (también conocido como ExPetr, PetrWrap, Petya o NotPetya). NotPetya fue descripto como un ransomware pero posteriormente se supo que fue diseñado principalmente para destruir datos. Los investigadores de seguridad lo conectaron grupo TeleBots, que ya ha lanzado varios ataques contra Ucrania anteriormente.
La empresa Intellect Service, la firma que desarrolló M.E.Doc, es la compañía de software de contabilidad más importante de Ucrania y ha confirmado que han encontrado puertas traseras instaladas en sus computadoras.
Previamente referido como BlackEnergy y Sandworm, el grupo supuestamente comprometió a M.E.Doc a principios de este año e inyectó su propio código en uno de los módulos de la aplicación. El módulo malicioso fue instalado como una actualización a los clientes M.E.Doc y luego utilizado para distribuir malware en las redes de estas empresas.
"Parece muy improbable que los atacantes pudieran inyectar una puerta trasera en uno de los módulos legítimos del software sin haber tenido acceso al código fuente de M.E.Doc", señala ESET.
El módulo del backdoor llamado ZvitPublishedObjects.dll, se desarrolló usando el .NET Framework, tiene 5 MB de tamaño y contiene mucho código legítimo que puede ser llamado por otros componentes, incluyendo el ejecutable principal M.E.Doc ezvit.exe.
El módulo malicioso fue parte de al menos tres actualizaciones lanzadas este año, el 14 de abril, el 15 de mayo y el 22 de junio. Sin embargo, MEDoc no parece haber sido consciente del compromiso, ya que varias actualizaciones entre el 24 de abril y el 21 de junio No contienen la puerta trasera. El módulo malicioso se utilizó para la distribución de malware al menos dos veces: para lanzar el ransomware XData en mayo y NotPetya en junio.
Los atacantes sabían exactamente qué organizaciones en Ucrania estaban usando el M.E.Doc troyanizado, porque existe un identificador de entidad legal que tiene cada empresa que hace negocios en Ucrania. Por lo tanto, el grupo podría utilizar tácticas adaptadas contra la red informática de la organización objetivo, dependiendo de sus objetivos.
Esta puerta trasera se utilizó para recopilar la configuración de proxy y correo electrónico, incluidos los nombres de usuario y las contraseñas, desde la aplicación M.E.Doc. "La información recolectada se escribió en el registro de Windows bajo la clave HKEY_CURRENT_USER\SOFTWARE\WC con nombres de valor Cred y Prx. Estos valores pueden usarse como evidencia de compromiso".
La puerta trasera usaba las solicitudes de verificación de la actualización regular de M.E.Doc al servidor oficial y utilizaban las cookies para exfiltrar información. Al no utilizar servidores externos para comando y control y no generar tráfico de red anormal, la puerta trasera podría permanecer completamente oculta en las redes comprometidas.
Aunque el análisis forense en el servidor M.E.Doc no se realizó, ESET cree que el servidor se vio comprometido, especialmente desde que se encontró una puerta trasera de PHP en un directorio FTP. La puerta trasera también incluye código que permite a los atacantes controlar las máquinas infectadas a través de un archivo binario recibida a través del servidor oficial M.E.Doc. Después de descifrarlo y descomprimirlo, el binario revela un archivo XML que podría contener varios comandos a la vez. "Esta característica de control remoto hace que la puerta trasera sea una plataforma de ciber-espionaje y ciber-sabotage con todas las funciones al mismo tiempo.
"Como muestra nuestro análisis, esta es una operación bien planificada y bien ejecutada. Suponemos que los atacantes tuvieron acceso al código fuente de la aplicación M.E.Doc. Tuvieron tiempo para entender el código e incorporar una puerta trasera muy furtiva y astuta. El tamaño de la instalación completa de M.E.Doc es de aproximadamente 1,5 GB, y no tenemos ninguna manera en este momento de verificar que no haya otras puertas traseras inyectadas", concluye ESET.
Security Art Work también realizó un análisis muy completo de cada una de las instancias de este malware.
Fuente: ESET | Security Week
El 27 de junio de 2017, un nuevo ataque afectó a muchos sistemas informáticos en Ucrania y otros países. Fue encabezado por el malware que los productos de ESET detectan como Diskcoder.C (también conocido como ExPetr, PetrWrap, Petya o NotPetya). NotPetya fue descripto como un ransomware pero posteriormente se supo que fue diseñado principalmente para destruir datos. Los investigadores de seguridad lo conectaron grupo TeleBots, que ya ha lanzado varios ataques contra Ucrania anteriormente.
La empresa Intellect Service, la firma que desarrolló M.E.Doc, es la compañía de software de contabilidad más importante de Ucrania y ha confirmado que han encontrado puertas traseras instaladas en sus computadoras.
Previamente referido como BlackEnergy y Sandworm, el grupo supuestamente comprometió a M.E.Doc a principios de este año e inyectó su propio código en uno de los módulos de la aplicación. El módulo malicioso fue instalado como una actualización a los clientes M.E.Doc y luego utilizado para distribuir malware en las redes de estas empresas.
"Parece muy improbable que los atacantes pudieran inyectar una puerta trasera en uno de los módulos legítimos del software sin haber tenido acceso al código fuente de M.E.Doc", señala ESET.
El módulo del backdoor llamado ZvitPublishedObjects.dll, se desarrolló usando el .NET Framework, tiene 5 MB de tamaño y contiene mucho código legítimo que puede ser llamado por otros componentes, incluyendo el ejecutable principal M.E.Doc ezvit.exe.
El módulo malicioso fue parte de al menos tres actualizaciones lanzadas este año, el 14 de abril, el 15 de mayo y el 22 de junio. Sin embargo, MEDoc no parece haber sido consciente del compromiso, ya que varias actualizaciones entre el 24 de abril y el 21 de junio No contienen la puerta trasera. El módulo malicioso se utilizó para la distribución de malware al menos dos veces: para lanzar el ransomware XData en mayo y NotPetya en junio.
Los atacantes sabían exactamente qué organizaciones en Ucrania estaban usando el M.E.Doc troyanizado, porque existe un identificador de entidad legal que tiene cada empresa que hace negocios en Ucrania. Por lo tanto, el grupo podría utilizar tácticas adaptadas contra la red informática de la organización objetivo, dependiendo de sus objetivos.
Esta puerta trasera se utilizó para recopilar la configuración de proxy y correo electrónico, incluidos los nombres de usuario y las contraseñas, desde la aplicación M.E.Doc. "La información recolectada se escribió en el registro de Windows bajo la clave HKEY_CURRENT_USER\SOFTWARE\WC con nombres de valor Cred y Prx. Estos valores pueden usarse como evidencia de compromiso".
La puerta trasera usaba las solicitudes de verificación de la actualización regular de M.E.Doc al servidor oficial y utilizaban las cookies para exfiltrar información. Al no utilizar servidores externos para comando y control y no generar tráfico de red anormal, la puerta trasera podría permanecer completamente oculta en las redes comprometidas.Aunque el análisis forense en el servidor M.E.Doc no se realizó, ESET cree que el servidor se vio comprometido, especialmente desde que se encontró una puerta trasera de PHP en un directorio FTP. La puerta trasera también incluye código que permite a los atacantes controlar las máquinas infectadas a través de un archivo binario recibida a través del servidor oficial M.E.Doc. Después de descifrarlo y descomprimirlo, el binario revela un archivo XML que podría contener varios comandos a la vez. "Esta característica de control remoto hace que la puerta trasera sea una plataforma de ciber-espionaje y ciber-sabotage con todas las funciones al mismo tiempo.
"Como muestra nuestro análisis, esta es una operación bien planificada y bien ejecutada. Suponemos que los atacantes tuvieron acceso al código fuente de la aplicación M.E.Doc. Tuvieron tiempo para entender el código e incorporar una puerta trasera muy furtiva y astuta. El tamaño de la instalación completa de M.E.Doc es de aproximadamente 1,5 GB, y no tenemos ninguna manera en este momento de verificar que no haya otras puertas traseras inyectadas", concluye ESET.
Security Art Work también realizó un análisis muy completo de cada una de las instancias de este malware.
Fuente: ESET | Security Week
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!