01 abril 2013

Tres grandes amigos: Blackhole, Zeroaccess y Ransomware


Es conocido que los ataques de malware tocan varios vectores, y que las distintas piezas de malware  trabajan de forma conjunta para conseguir un objetivo.

Durante este artículo quiero mostraros hasta qué punto están especializadas y pueden coordinarse cada una de estas amenazas: BlackHole, ZeroAccess y RansomWare. En mi trabajo diario en Sophos observo como cada una de ellas tiene un objetivo claro e individual, pero utilizadas de forma conjunta adquieren un grado de efectividad altísimo para los hackers.

Comenzaré con una descripción de cada una de ellas, aunque debemos tener en cuenta que la información que aporto en este artículo puede variar pasadas unas horas, puesto que estas amenazas evolucionan o mutan  en cuestión de minutos.

BLACKHOLE: Ya hemos hablado de esta amenaza en el blog de Sophos IberiaEl objetivo es obtener un listado de vulnerabilidades de las máquinas donde se ejecuta. Básicamente y explicado de forma sencilla, cuando un usuario navega por una web se ejecuta el código de esta aplicación en su equipo y nos permite obtener un listado de vulnerabilidades del mismo. Las primeras versiones de Blackhole buscaban vulnerabilidades asociadas a las aplicaciones más comunes: Java, Flash, Adobe, Navegadores, plug-in de navegadores, XML…

Como hemos comentado este malware evoluciona constantemente y en las últimas versiones de Blackhole se observa cómo se reduce el número de aplicaciones escaneadas, pero aumenta el número de vulnerabilidades exploradas en cada una de ellas. Actualmente se centra principalmente en Java, Adobe y Navegadores. Siendo el primero el principal foco, se llegan a publicar nuevas versiones de Blackhole tan solo 2 horas después de que se conozca una nueva vulnerabilidad de Java.

Con Blackhole se abre una línea de negocio algo distinta para los hackers, lo que podríamos llamar “Malware as a Service”. Podemos contratar una subscripción para explotar este malware por horas, días, meses o años. Observamos por tanto una especialización que cuanto menos sorprende: los creadores de Blackhole no intentan infectar tu máquina directamente con un malware, sino que venden la información y son la herramienta utilizada por terceros para infectar tu máquina. Una vez que un hacker obtiene el reporte generado por Blackhole, es capaz de determinar cuál es el malware o la versión de malware que mejor se adapta al equipo a atacar.

ZEROACCESS: Este malware estaría dentro de lo que conocemos como rootkit; es decir, su principal objetivo es camuflarse o camuflar otras piezas de malware.

Este rootkit tiene muchas versiones. Se comenzó con una versión para sistemas de 32 bits donde se instalaba un controlador de acceso a disco y este cifraba una parte del mismo donde se alojaba, evitando así que el sistema operativo tuviera acceso a esta zona de disco. Posteriormente, se generó una versión de 64 bits que explotaba la “Global Assembly Cache”, zona reservada para el ensamblado de .NET. Finalmente, para no tener que mantener dos versiones según el sistema sea de 32 o 64 bits, utilizaban técnicas comunes a ambos como inyección en DLL, sistemas de archivos cifrados, camuflaje en el contenido, etc.

Esta pieza de malware también es capaz de eliminar procesos reconocidos de herramientas de seguridad para que no ser detectados y/o eliminados. En la lucha para identificar este tipo de malware, los fabricantes de seguridad, para evitar ser reconocidos  lanzamos procesos con nombres aleatorios evitando así que nuestros procesos sean  descubiertos y atacados por el malware. Para combatir contra esto, ZeroAccess está evolucionando y se deja ver o deja ver parte de sí a modo de señuelo. Toma nota de todos los procesos que atacan a esta parte visible y posteriormente intenta eliminarlos. 

Además Zeroaccess es capaz de actuar como botnet, puede comunicar con el exterior y recibir instrucciones precisas de lo que debe realizar en cada momento. Para esta comunicación con el exterior utiliza un sistema P2P que hace más difícil identificar y cortar dichas comunicaciones.



RANSOMWARE: Es más conocido como el virus de la policía o de SGAE. Es una amenaza antigua que apareció en 2004/5 pero que ha evolucionado y ha crecido de forma exponencial en este último año. 

Hemos analizado este virus en el Blog de Sophos Iberia. La idea principal es raptar el equipo o sus archivos y pedir un rescate por los mismos. Existen infinidad de versiones, algunas de ellas simplemente comprimían los archivos y ponían un contraseña, otras modificaban los datos (XOR) y las últimas cifran con AES256. En los dos primeros casos, es posible recuperar la información de una forma más o menos sencilla; pero, en el tercer caso, es prácticamente imposible. En el tercer caso el malware lanza una conexión http cifrada con RC4 hacia el exterior, sobre esta conexión se produce el intercambio de claves (pública y privada) y se cifran los archivos con AES256. 

Una vez nos ha secuestrado los archivos de nuestro equipo nos pedirá un rescate por los mismos, si contactas con ellos incluso llegan a mandarte muestras de tus ficheros para dar fe de que pueden recuperarlos.

La verdad es que cada una de estas piezas de malware de forma independiente ya sorprenden, más si tenemos en cuenta las técnicas de polimorfismo, ofuscación y mutaciones de cada una de ellas.  

Pero es realmente cuando trabajan de forma coordinada cuando se ve el potencial de las mismas:

Blackhole es “el informador”, el que se va a encargar de analizar nuestro sistema y va a identificar el punto de menor protección y vigilancia a usar como puerta de entrada al sistema. Con esta información ideará el plan de asalto, detallando  que versión de  malware será  el más eficiente para cumplir la misión de salto. El 30% de las infecciones detectadas el año pasado por SophosLabs utilizaron este exploit  para detectar las puertas de entrada al sistema a atacar.

Una vez es conocida la mejor puerta de entrada, entra en juego “el zapador” ZeroAccess, se cuela en el sistema, elimina la vigilancia y prepara el terreno para que el equipo de asalto pueda actuar sin dificultad pasando inadvertido. Se utiliza este rootkit para disimular cualquier actividad maliciosa e intentar bloquear las soluciones de seguridad existentes en la máquina atacada. 

Por último, ya preparado el terreno, es cuando entra en acción “el equipo de asalto”, Ransomware, como parte final de la cadena. Tomará como rehenes todos los archivos del sistema asaltado, pidiendo un rescate para la liberación de los mismos. Este Malware secuestrará nuestros archivos, los cifrará para impedirnos el acceso, nos mostrará que realmente están secuestrados con evidencias de acceso a archivos cifrados y nos pedirá dinero a cambio.  

Como vemos no solo es importante conocer estos ataques de forma individual, es igualmente importante conocer la cadena de ataque cuando trabajan en una misión conjunta y por supuesto es vital saber protegernos ante ellos.

Un control de aplicaciones robusto en nuestros equipos, combinado con una gestión de parches para que nuestro sistema se mantenga "al día" libre de vulnerabilidades y un filtrado WEB que proteja nuestro equipo se encuentre donde se encuentre, nos protegerá de Blackhole “los informadores”. 

Un firewall perimetral y/o de puesto que controle las conexiones de nuestro equipo, sumado a un antivirus actualizado con protección en acceso y host IPS que controle el comportamiento de las aplicaciones que se ejecutan en nuestro sistema fulminará a Zeroaccess “el zapador” y Ransomware “los asaltadores” que amenacen nuestro PC.




Artículo cortesía de Juan Antonio Gallego

3 comments :

△cas. dijo...

Interesante artículo, Juan Antonio. Una simple pregunta es la que tengo: Blackhole es un ejecutable que hay que instalar en la máquina en la que quieres encontrar vulnerabilidades o es algo así como metasploit?

Perdón si no me explico.
Un saludo.

Andres dijo...

Excelente articulo felicitaciones;Buen contenido técnico.

syscomputers dijo...

buen articulo, hay muchos mas equipos en esta liga :D