Nuestro post anterior hablaba de la primera visión de conjunto del análisis de la muestra de Shamoon 2.0 .Este es una continuación de nuestro último mensaje, pero con una visión más clara sobre el funcionamiento y el comportamiento del malware.
Hay 3 componentes que están vinculados entre sí, que el maquillaje Shamoon 2.0 sola malware. Hemos analizado cada componente de acuerdo con las etapas que la Shamoon 2.0 utiliza para la infección en la máquina de la víctima es decir cuentagotas Component⇒ Comunicación Component⇒ limpiaparabrisas de componentes.
Cuando Shamoon 1.0 hizo su primera ola de ataque en agosto de 2012, no había simplemente infectados 30.000-35.000 ordenadores sino que también había paralizado la totalidad de las organizaciones en total que fueron infectadas con ella. Sus efectos se observaron después de un ataque mayor número de equipos seguían trabajando de forma irregular y el tiempo que se requiere para restaurar la funcionalidad completa de la organización dado lugar a la pérdida enorme no sólo en términos de dinero, sino también en cuanto a la reputación de la empresa también.
La segunda ola Shamoon, que es considerada como Shamoon 2.0 utiliza el enfoque similar que se había utilizado anteriormente, pero esta vez se prevé que la cantidad de la infección de los ordenadores será más, desde la última vez que los atacantes eran capaces de recuperar las credenciales de los usuarios de diversas organizaciones, la segunda ola será utilizando las credenciales robadas del ataque anterior y la razón de este ataque está destinado a ser el éxito es debido a la falta de conocimiento de los empleados en las contraseñas de fijación. Una encuesta sobre el Oriente Medio informa algunos de los hechos mencionados a continuación:
● Más del 70 por ciento de los usuarios dijo que estaban almacenar contraseñas administrativas en texto plano.
● Más del 45 por ciento de los usuarios utilizan la misma contraseña para más de varios sistemas.
● Más de 40 por ciento a los usuarios compartir sus contraseñas.
● Sólo 13 por ciento de los usuarios cambien sus contraseñas una vez al mes.
● Más del 45 por ciento de los usuarios utilizan la misma contraseña para más de varios sistemas.
● Más de 40 por ciento a los usuarios compartir sus contraseñas.
● Sólo 13 por ciento de los usuarios cambien sus contraseñas una vez al mes.
Estos hechos hacen que la región de Oriente Medio más fácil como un objetivo para Shamoon 2.0. Hemos puesto en marcha una herramienta de detección de Shamoon que puede detectar el nuevo Shamoon 2.0.
Siguiendo a continuación es el análisis en profundidad que hemos hecho en Shamoon 2.0.
Componente gotero - Disttrack:
Al calcular el valor hash de la muestra, la SHA256 como 394a7ebad5dfc13d6c75945a61063470dc3b68f7a207613b79ef000e1990909b
Al calcular el valor hash de la muestra, la SHA256 como 394a7ebad5dfc13d6c75945a61063470dc3b68f7a207613b79ef000e1990909b
Haciendo una búsqueda rápida VirusTotal obtenemos el siguiente resultado:
Esto nos asegura que la muestra que se analiza es de Shamoon 2.0. La fecha de actualización también nos dice que se trata de la reciente muestra de Shamoon que es apodado como el Shamoon 2.0.
El ejemplo utiliza las siguientes técnicas de evasión para la depuración:
El ejemplo utiliza las siguientes técnicas de evasión para la depuración:
1) GetLastError
2) IsDebuggerPresent
3) Process32FirstW
4) Process32NextW
5) TerminateProcess
6) UnhandledExceptionFilter
2) IsDebuggerPresent
3) Process32FirstW
4) Process32NextW
5) TerminateProcess
6) UnhandledExceptionFilter
La siguiente captura de pantalla proporciona información del compilador que se usó para compilar el programa malicioso, que se está utilizando la dirección del punto de entrada, la sección EP nos dice que el punto de entrada del ejecutable portable (PE).
Como se mencionó anteriormente por encima del compilador utilizado es Microsoft Visual C ++ 2005 v8.0
El malware en el uso general de algunas técnicas básicas para ofuscar el código de modo que no es fácil de leer cuando está cargado en cualquier depurador y para que sea más difícil de revertir el malware. Hay muchos métodos de hash que se pueden utilizar. Nuestro ejemplo se utiliza la técnica de hash conocida como Base 64.
Sabemos que Shamoon 2.0 fue atacado la región de Oriente Medio. La siguiente captura de pantalla es la evidencia de que este malware está buscando específicamente árabe -Yemen [ar] (ar-ye) la configuración de idioma.
Por lo que el malware se ve en la distribución del teclado y el ID mencionado es en la referencia del teclado, como por ejemplo ID: 1033 corresponde al Inglés en los Estados Unidos [en] (es-es), aquí nos encontramos con que la lengua es de la ID: 9217 ieArabic -Yemen [ar] (ar-ye).
Las siguientes operaciones de archivo que tuvieron lugar durante la ejecución de los programas maliciosos se enumeran de la siguiente manera:
1. Archivo de leer
C: \ Documents and Settings \ estudiante \ LocalSettings \ Temp \ Shamoon-394a7ebad5dfc13d6c75945a61063470dc3b68f7a207613b79ef000e1990909b.bin
C: \ Documents and Settings \ estudiante \ LocalSettings \ Temp \ Shamoon-394a7ebad5dfc13d6c75945a61063470dc3b68f7a207613b79ef000e1990909b.bin
2. Archivo-Abierto
C: \ Documents and Settings \ estudiante \ LocalSettings \ Temp \ Shamoon-394a7ebad5dfc13d6c75945a61063470dc3b68f7a207613b79ef000e1990909b.bin
C: \ Documents and Settings \ estudiante \ LocalSettings \ Temp \ Shamoon-394a7ebad5dfc13d6c75945a61063470dc3b68f7a207613b79ef000e1990909b.bin
C: \ WINDOWS \ system32 \ kernel32.dll
3. Clave del Registro de leer
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ GRE_Initialize \ DisableMetaFiles
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ GRE_Initialize \ DisableMetaFiles
Componente de Comunicación - Disttrack:
Al calcular el valor hash de la muestra, la SHA256 como 61c1c8fc8b268127751ac565ed4abd6bdab8d2d0f2ff6074291b2d54b0228842 , haciendo una búsqueda rápida VirusTotal verificamos la muestra como parte de la Shamoon 2.0
Después de captura de pantalla muestra que componente de comunicación ha la misma técnica de hash como la observada en el componente cuentagotas se mencionó anteriormente, es decir, Base64 .
Desde componente de comunicación es una parte de los componentes Shamoon 2.0 Tendrá mismo compilador usado
Para compilar el componente de comunicación, así que se muestra en la siguiente imagen:
Durante nuestro análisis, se encontró que el componente de comunicación hizo muchos cambios en los valores del registro del sistema infectado, se mencionan estos cambios a continuación:
Clave del Registro - Abierto
1) HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Services \ DnsCache \ Parameters
2) HKEY_LOCAL_MACHINE \ Software \ Policies \ Microsoft \ Windows NT \ DNSClient
3) HKEY_LOCAL_MACHINE \ Software \ Policies \ Microsoft \ Windows NT \ Rpc
4) HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ ImageFile ExecutionOptions \ 61c1c8fc8b268127751ac565ed4abd6bdab8d2d0f2ff6074291b2d54b0228842.exe \ RpcThreadPoolThrottle
5) HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Services \ LDAP
6) HKEY_LOCAL_MACHINE \ Software \ Policies \ Microsoft \ System \ DNSClient
7) HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Rpc
8) HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Services \ Tcpip \ Parameters
9) HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Rpc \ PagedBuffers
10) HKEY_LOCAL_MACHINE \ System \ Setup
clave del Registro - Leer
1. HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Services \ Tcpip \ Parameters \ UseDomainNameDevolution
2. HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Services \ Dnscache \ Parameters \ ServerPriorityTimeLimit
3. HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Rpc \ MaxRpcSize
4. HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Services \ Dnscache \ Parameters \ WaitForNameErrorOnAll
5. HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Services \ Tcpip \ Parameters \ DnsQuickQueryTimeouts
6. HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Services \ Tcpip \ Parameters \ DefaultRegistrationRefreshInterval
7. HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Services \ Dnscache \ Parameters \ RegisterWanAdapters
8. HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Services \ Dnscache \ Parameters \ DomainNameDevolutionLevel
9 . HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Services \ Dnscache \ Parameters \ AppendToMultiLabelName
10. HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Services \ Tcpip \ Parameters \ DisableAdapterDomainName
11. HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Services \ Dnscache \ Parameters \ RegisterPrimaryName
12. HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Services \ Tcpip \ Parameters \ EnableAdapterDomainNameRegistration
13. HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Services \ Dnscache \ Parameters \ UpdateTopLevelDomainZones
14. HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Services \ Dnscache \ Parameters \ FilterClusterIp
15. HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Services \ Dnscache \ Parameters \ DnsTest
16. HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Services \ Dnscache \ Parameters \ ScreenUnreachableServers
17. HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Services \ Dnscache \ Parameters \ MulticastListenLevel
18. HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Services \ Dnscache \ Parameters \ MaxNegativeCacheTtl
19 . HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Services \ Dnscache \ Parameters \ QueryAdapterName
20. HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Services \ Tcpip \ Parameters \ PrioritizeRecordData
21. HKEY_LOCAL_MACHINE \ SYSTEM \ Setup \ SystemSetupInProgress
22. HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ GRE_Initialize \ DisableMetaFiles
23. HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Services \ Tcpip \ Parameters \ DisableReverseAddressRegistrations
24. HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Services \ Dnscache \ Parameters \ MaxCacheTtl
25. HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Services \ Dnscache \ Parameters \ UpdateSecurityLevel
26 . HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Services \ Dnscache \ Parameters \ MaxCachedSockets
27. HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Services \ Dnscache \ Parameters \ RegistrationEnabled
28. HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Services \ Dnscache \ Parameters \ RegisterAdapterName
29. HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Services \ Dnscache \ Parameters \ AdapterTimeoutLimit
30. HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Services \ Tcpip \ Parameters \ UpdateSecurityLevel
31. HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Services \ Dnscache \ Parameters \ RegistrationMaxAddressCount
32. HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Services \ Tcpip \ Parameters \ DefaultRegistrationTTL
33. HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Services \ Tcpip \ Parameters \ DisableDynamicUpdate
34. HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Services \ Tcpip \ Parameters \ nombre de host
35. HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Services \ Dnscache \ Parameters \ AllowUnqualifiedQuery
36 . HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Services \ Dnscache \ Parameters \ UpdateZoneExcludeFile
37. HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Services \ Dnscache \ Parameters \ PrioritizeRecordData
38. HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Services \ Dnscache \ Parameters \ RegistrationTtl
39. HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Services \ Dnscache \ Parameters \ UseHostsFile
40. HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Services \ Tcpip \ Parameters \ AllowUnqualifiedQuery
41. HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Services \ Dnscache \ Parameters \ RegistrationRefreshInterval
42. HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Services \ Tcpip \ Parameters \ DnsQueryTimeouts
43. HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Services \ Dnscache \ Parameters \ QueryIpMatching
44. HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Services \ Tcpip \ Parameters \ DnsNbtLookupOrder
45. HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Services \ Dnscache \ Parameters \ MaxCacheSize
46 . HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Services \ Dnscache \ Parameters \ UseDomainNameDevolution
47. HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Services \ Dnscache \ Parameters \ UseEdns
48. HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Services \ Tcpip \ Parameters \ Domain
49. HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Services \ LDAP \ LdapClientIntegrity
50. HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Services \ Tcpip \ Parameters \ DisableWanDynamicUpdate
51. HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Services \ Tcpip \ Parameters \ DnsMulticastQueryTimeouts
52. HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Services \ Dnscache \ Parameters \ ScreenBadTlds
53. HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Services \ Dnscache \ Parameters \ RegisterReverseLookup
54. HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Services \ Tcpip \ Parameters \ MaxNumberOfAddressesToRegister
55. HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Services \ Dnscache \ Parameters \ MulticastSendLevel
56. HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Services \ Tcpip \ Parameters \ DomainNameDevolutionLevel
1) HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Services \ DnsCache \ Parameters
2) HKEY_LOCAL_MACHINE \ Software \ Policies \ Microsoft \ Windows NT \ DNSClient
3) HKEY_LOCAL_MACHINE \ Software \ Policies \ Microsoft \ Windows NT \ Rpc
4) HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ ImageFile ExecutionOptions \ 61c1c8fc8b268127751ac565ed4abd6bdab8d2d0f2ff6074291b2d54b0228842.exe \ RpcThreadPoolThrottle
5) HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Services \ LDAP
6) HKEY_LOCAL_MACHINE \ Software \ Policies \ Microsoft \ System \ DNSClient
7) HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Rpc
8) HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Services \ Tcpip \ Parameters
9) HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Rpc \ PagedBuffers
10) HKEY_LOCAL_MACHINE \ System \ Setup
clave del Registro - Leer
1. HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Services \ Tcpip \ Parameters \ UseDomainNameDevolution
2. HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Services \ Dnscache \ Parameters \ ServerPriorityTimeLimit
3. HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Rpc \ MaxRpcSize
4. HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Services \ Dnscache \ Parameters \ WaitForNameErrorOnAll
5. HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Services \ Tcpip \ Parameters \ DnsQuickQueryTimeouts
6. HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Services \ Tcpip \ Parameters \ DefaultRegistrationRefreshInterval
7. HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Services \ Dnscache \ Parameters \ RegisterWanAdapters
8. HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Services \ Dnscache \ Parameters \ DomainNameDevolutionLevel
9 . HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Services \ Dnscache \ Parameters \ AppendToMultiLabelName
10. HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Services \ Tcpip \ Parameters \ DisableAdapterDomainName
11. HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Services \ Dnscache \ Parameters \ RegisterPrimaryName
12. HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Services \ Tcpip \ Parameters \ EnableAdapterDomainNameRegistration
13. HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Services \ Dnscache \ Parameters \ UpdateTopLevelDomainZones
14. HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Services \ Dnscache \ Parameters \ FilterClusterIp
15. HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Services \ Dnscache \ Parameters \ DnsTest
16. HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Services \ Dnscache \ Parameters \ ScreenUnreachableServers
17. HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Services \ Dnscache \ Parameters \ MulticastListenLevel
18. HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Services \ Dnscache \ Parameters \ MaxNegativeCacheTtl
19 . HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Services \ Dnscache \ Parameters \ QueryAdapterName
20. HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Services \ Tcpip \ Parameters \ PrioritizeRecordData
21. HKEY_LOCAL_MACHINE \ SYSTEM \ Setup \ SystemSetupInProgress
22. HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ GRE_Initialize \ DisableMetaFiles
23. HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Services \ Tcpip \ Parameters \ DisableReverseAddressRegistrations
24. HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Services \ Dnscache \ Parameters \ MaxCacheTtl
25. HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Services \ Dnscache \ Parameters \ UpdateSecurityLevel
26 . HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Services \ Dnscache \ Parameters \ MaxCachedSockets
27. HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Services \ Dnscache \ Parameters \ RegistrationEnabled
28. HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Services \ Dnscache \ Parameters \ RegisterAdapterName
29. HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Services \ Dnscache \ Parameters \ AdapterTimeoutLimit
30. HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Services \ Tcpip \ Parameters \ UpdateSecurityLevel
31. HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Services \ Dnscache \ Parameters \ RegistrationMaxAddressCount
32. HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Services \ Tcpip \ Parameters \ DefaultRegistrationTTL
33. HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Services \ Tcpip \ Parameters \ DisableDynamicUpdate
34. HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Services \ Tcpip \ Parameters \ nombre de host
35. HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Services \ Dnscache \ Parameters \ AllowUnqualifiedQuery
36 . HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Services \ Dnscache \ Parameters \ UpdateZoneExcludeFile
37. HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Services \ Dnscache \ Parameters \ PrioritizeRecordData
38. HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Services \ Dnscache \ Parameters \ RegistrationTtl
39. HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Services \ Dnscache \ Parameters \ UseHostsFile
40. HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Services \ Tcpip \ Parameters \ AllowUnqualifiedQuery
41. HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Services \ Dnscache \ Parameters \ RegistrationRefreshInterval
42. HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Services \ Tcpip \ Parameters \ DnsQueryTimeouts
43. HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Services \ Dnscache \ Parameters \ QueryIpMatching
44. HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Services \ Tcpip \ Parameters \ DnsNbtLookupOrder
45. HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Services \ Dnscache \ Parameters \ MaxCacheSize
46 . HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Services \ Dnscache \ Parameters \ UseDomainNameDevolution
47. HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Services \ Dnscache \ Parameters \ UseEdns
48. HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Services \ Tcpip \ Parameters \ Domain
49. HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Services \ LDAP \ LdapClientIntegrity
50. HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Services \ Tcpip \ Parameters \ DisableWanDynamicUpdate
51. HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Services \ Tcpip \ Parameters \ DnsMulticastQueryTimeouts
52. HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Services \ Dnscache \ Parameters \ ScreenBadTlds
53. HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Services \ Dnscache \ Parameters \ RegisterReverseLookup
54. HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Services \ Tcpip \ Parameters \ MaxNumberOfAddressesToRegister
55. HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Services \ Dnscache \ Parameters \ MulticastSendLevel
56. HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Services \ Tcpip \ Parameters \ DomainNameDevolutionLevel
Estos resultados anteriores sólo indican que la muestra de malware intenta comunicarse con el servidor.
Componente del limpiaparabrisas - Disttrack:
Componente del limpiaparabrisas - Disttrack:
El componente de limpiaparabrisas es el componente más importante de los tres componentes de Shamoon 2.0. Al calcular el valor hash de la muestra, la SHA256 como 128fa5815c6fee68463b18051c1a1ccdf28c599ce321691686b1efa4838a2acd .
Un vistazo rápido al día con VirusTotal confirma que este hecho es un componente limpiador del Shamoon 2.0.
El análisis inicial nos muestra que además de utilizar las técnicas anti-depuración este componente también utiliza trucos anti-VM, que no se observó la muestra permeable a cuentagotas y la muestra de la comunicación.
VMCheck.dll es una técnica utilizada para comprobar si la muestra está en una máquina virtual o no.
Sólo similar al componente cuentagotas y la proporción de comunicación, nos encontramos con que el componente de limpiaparabrisas utiliza Microsoft Visual C ++ v8.0 2005 se muestra en la siguiente imagen.
Sin embargo, lo que es diferente en el componente de limpiaparabrisas, que no está presente en el gotero o el componente de comunicación es que utiliza y función hash / cripta adicional junto con la Base64 . es decir CryptEncrypt también se utiliza para funciones. La siguiente captura de pantalla muestra esto, que sólo significa que los desarrolladores de malware realmente querían la marca este componente del limpiaparabrisas no más difícil de entender para los investigadores, sino también mucho más ofuscado que los otros componentes que hemos discutido anteriormente, como códigos ofuscados no son detectados por las compañías antivirus fácilmente.
El componente de lenguaje sigue siendo igual que el de la gotero con el valor por defecto opción Inglés incluye como se muestra a continuación:
En el contexto de los cambios en el registro que el limpiaparabrisas no es igual como lo hizo con el componente cuentagotas:
Clave del Registro de leer
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ GRE_Initialize \ DisableMetaFiles
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ GRE_Initialize \ DisableMetaFiles
El cryptbase.pdb que contiene toda la información necesaria sobre las técnicas de cifrado, claves en la encriptación y otras funciones están vinculadas de la siguiente manera con el código de la muestra del limpiaparabrisas:
Un archivo de más que hemos analizado era el que tenía vínculos con el Shamoon 2.0 estaba con el hash SHA256 como 5a826b4fa10891cf63aae832fc645ce680a483b915c608ca26cedbb173b1b80a .
Hacer una búsqueda VirusTotal nos da la siguiente confirmación de que el software malicioso es en la naturaleza y que la proporción de detección es muy baja también.
Ahora bien, el análisis preliminar nos muestra los siguientes archivos que se encuentran:
Ejecutable ntoskrnl.exe
base de datos c: \ proyectos \ rawdisk \ bin \ wnet \ fre \ amd64 \ elrawdsk.pdb
Durante el análisis del archivo que encontraron los siguientes parámetros de nombre de dispositivo
base de datos c: \ proyectos \ rawdisk \ bin \ wnet \ fre \ amd64 \ elrawdsk.pdb
Durante el análisis del archivo que encontraron los siguientes parámetros de nombre de dispositivo
\ # {9A6DB7D2-FECF-41ff-9A92-6EDA696613DF} #
\ # {8A6DB7D2-FECF-41ff-9A92-6EDA696613DE} #
\ # {8A6DB7D2-FECF-41ff-9A92-6EDA696613DE} #
Lo interesante es que, también se encontraron estos mismos detalles en el anterior ataque Shamoon que tuvo lugar en el año 2012.
También nos encontramos con estos " 060523170051Z 'y' 160523171051Z0W1 cadenas '. Lo interesante de estos números es que se encuentran en un malware diferente que tiene un nombre de archivo '' mimidrv.sys. La captura de pantalla de software malicioso que se menciona a continuación.
También nos encontramos con estos " 060523170051Z 'y' 160523171051Z0W1 cadenas '. Lo interesante de estos números es que se encuentran en un malware diferente que tiene un nombre de archivo '' mimidrv.sys. La captura de pantalla de software malicioso que se menciona a continuación.
Este malware se ha mencionado anteriormente es básicamente un troyano 'hacktool' identificadas por las otras compañías antivirus. Hay posibilidades de que este es otro comportamiento que la muestra también se comporta como la muestra se mencionan a continuación.
Nos encontramos con que el software malicioso Mimikatz está relacionada con el PowerShell. Habíamos descubierto el mismo PowerShell que habíamos reportado en nuestro blog anterior. De ahí la Shamoon 2.0 tiene un comportamiento con PowerShell. Siguiente captura de pantalla muestra los comandos de PowerShell que ejecuta Shamoon 2.0:
A partir de las pruebas recogidas confirmamos vínculos entre el Shamoon 1.0 a 2.0 Shamoon.
Algunas de las características que se observaron con esta muestra son que está utilizando una superposición a ocultó la información de compresión de ejecutables:
Analizando aún más, nos encontramos que el 10v1.0 MEW de Northfox empacador se utiliza:
A diferencia de los componentes que hemos analizado hasta ahora esta muestra en particular tenía la función de hash CRC16 que es completamente diferente.
El malware tiene un certificado SSL incrustado dentro de ella. La siguiente pantalla le da la información del certificado SLL,
El certificado es válido desde el lunes 11 de enero de, de 2010 7: 49.26 pm hasta el viernes, 11 de enero de 2013 07:49:26 PM
Esta fecha anterior se corresponde con la fecha codificada dentro del programa. Esta fecha codificada permite que el programa para ejecutarse desde la fecha está dentro del período de validez como se ha mencionado.
El pseudo código explica que Shamoon 2.0 cambia la hora del sistema, y lo establece en el momento y la fecha al azar entre el lunes, 11 de enero de, de 2010 7: 49.26 PM a viernes, 11 de enero de 2013 07:49:26 PM.
El código anterior se deriva de este flujo de código:
La razón de Shamoon 2.0 cambia la hora y fecha se debe a que nos encontramos con que Shamoon 2.0 utiliza un producto comercial que los desarrolladores de malware están utilizando, que es como se llama RawDisk por EldoS Corporation. Este software permite el acceso directo a los archivos, discos y particiones. La clave de licencia temporal para este producto es entre el tiempo mencionado anteriormente y por lo tanto Shamoon 2.0 cambia la hora del sistema para hacer el producto creer en el pensamiento de que está utilizando una clave válida, y por lo tanto la función de sobreescritura puede tener lugar.
Las técnicas MBR-sobreescritura que Shamoon 2.0 Implementa:
Antes de explicar el MBR que la sobreescritura Shamoon 2.0 hace que tienen que entender lo que es un MBR o el Master Boot Record (MBR). MBR es por lo general los primeros 512 bytes del disco que consta de toda la información importante y crucial acerca de los datos en el disco. El desglose de los 512 bytes es como se muestra a continuación:
La razón de sobrescribir los primeros 512 bytes de datos es
el área de código de arranque | 446 bytes |
1 entrada de partición partición de entrada 2 partición entrada 3 entrada de partición 4 | tabla de particiones (para particiones primarias) 16 bytes x 4 (particiones) |
Boot signatureBoot firma | 2 bytes |
Total | 512 bytes |
Por lo tanto, que en términos simples significa que el objetivo del MBR y perder todos los datos en lugar de limpiar toda la tracción en todas las juntas.
La siguiente captura de pantalla es un pseudo-código para el método MBR-sobrescritura que los usos Shamoon 2.0.
Como se ve el código anterior no es una comparación de una variable con '69'. El equivalente ASCII del 69 es 'E'
Por lo tanto, la forma en que el código funciona en 3 sencillos pasos:
1. Lee los datos de la ubicación para sobrescribir.
2. Utiliza una tabla XOR para corromper los datos
3. escribir de nuevo los valores XOR'ed a la ubicación en la que leer los datos originales de.
2. Utiliza una tabla XOR para corromper los datos
3. escribir de nuevo los valores XOR'ed a la ubicación en la que leer los datos originales de.
El código anterior se deriva de la estructura siguiente de código:
Y las operaciones XOR que son responsables de sobrescribir / borrar los datos están en las representaciones en cascada como se muestra en la siguiente imagen:
Uno más de código de módulo que podemos observar es de la muestra ElRawDisk se muestra a continuación que muestra la correlación entre el código real y la funcionalidad y trabajar en un pseudo - código c.
Este fragmento particular, muestra cómo la IoDeleteDevice rutina elimina un objeto de dispositivo del sistema, una vez que el MBR se sobrescribe. Esta rutina IoDeleteDevice envía un mensaje al sistema de notificación de que una unidad de disco duro o el dispositivo se retira, este mensaje es enviado porque después del MBR se sobrescribe el sistema no puede leer la unidad y esta rutina le dice al sistema que el dispositivo está desconectado del sistema y por lo tanto el sistema no se comunica más con la unidad. Por lo tanto, la unidad ya no es visible en el sistema.
Conclusión
De todo el análisis, se puede decir ahora el siguiente comportamiento. La muestra Shamoon que se está extendiendo actualmente no es muy diferente de lo que se extendió en su primer ataque de agosto de 2012. Hay mucha similitud en la muestra anterior y la nueva muestra. Sin embargo, la nueva muestra es más destructiva que la anterior. Los módulos que se dividen en cuentagotas, Comunicación, Wiper son independientes y, sin embargo vinculados uno con otro. A partir del análisis, podemos decir que el componente limpiador es el más importante de los tres.
De todo el análisis, se puede decir ahora el siguiente comportamiento. La muestra Shamoon que se está extendiendo actualmente no es muy diferente de lo que se extendió en su primer ataque de agosto de 2012. Hay mucha similitud en la muestra anterior y la nueva muestra. Sin embargo, la nueva muestra es más destructiva que la anterior. Los módulos que se dividen en cuentagotas, Comunicación, Wiper son independientes y, sin embargo vinculados uno con otro. A partir del análisis, podemos decir que el componente limpiador es el más importante de los tres.
Fuente: http: //www.vinransomware.com
CONOCIMIENTO pertenece al mundo
No hay comentarios:
Publicar un comentario