Mailto Ransomware bajo la piel de explorer.exe


Tiempo estimado de lectura: 5 5 minutos

Todos nosotros, en algún momento, debemos haber escuchado la historia de Wolf y el rebaño de ovejas. El truco engañoso utilizado por el malvado lobo de pretender ser una oveja todavía lo usan muchos autores de malware. Pretenden ser procesos genuinos para lograr sus actividades de villanía.

Tal caso ha sido observado recientemente en Mailto ransomware en el que hace uso del proceso legítimo de Windows conocido como ‘Explorer.exe’.

Ahora, ¿cómo están haciendo esto los hackers?

La respuesta más cercana es, ¡inyección de código de proceso!

Eso es correcto, pero esta vez la técnica utilizada para la inyección no es muy común.

los Mailto o Netwalker realiza el proceso de vaciado en explorer.exe. Esto ayuda a evadir el software antivirus (AV) para realizar fácilmente el cifrado.

En el proceso de vaciado, generalmente, el proceso objetivo se crea en modo suspendido y se lleva a cabo la inyección. Pero aquí el proceso no se crea en modo suspendido, sino que utiliza el 'Modo de depuración.

Fig.1: Mailto crea el proceso en modo de depuración

Para realizar una mayor actividad de inyección, obtiene los detalles del proceso y del hilo utilizando API de depuración como WaitForDebugEvent.

Fig.2: API para obtener el proceso y los detalles del hilo

Luego, se crea una sección con un tamaño similar al de la muestra usando ZwCreateSection y su vista se mapea en el proceso actual usando ZwMapViewOfSection.

En esta vista, el archivo de muestra se copia y se realiza la reubicación manual.

Fig.3: Reubicación de direcciones codificadas

La vista de esta sección se desasigna luego usando ZwUnmapViewOfSection. El contexto del hilo del proceso creado (explorer.exe) se recupera y se realizan cambios, configurando la dirección de inicio del subproceso desde donde se pretende que comience la ejecución.

Fig.4: Configuración de la dirección de inicio del código inyectado

Finalmente llame al ContinueDebugEvent y DebugActiveProcessStop realiza la ejecución del subproceso "inicio" que será responsable del cifrado de los archivos. El árbol de procesos se muestra en la imagen a continuación.

Fig.5: Árbol de procesos

Cuando desciframos los datos cifrados presentes en el .rsrc sección, obtenemos toda la información importante presente en formato JSON. Esta información contiene base64 nota de rescate encriptada, direcciones de correo electrónico utilizadas en la nota de rescate, procesos que deben eliminarse si están en ejecución, rutas de la lista blanca, nombres y extensiones de archivos, etc.

Fig.6: Datos descifrados

Actividad de explorer.exe inyectada

Después de la inyección, el malware (es decir, inyectado explorer.exe) deja caer su copia en ‘%Archivos de programa%<8 Alphanumeric characters><8 Alphanumeric characters>.exe"Y establece la entrada RUN para su persistencia.

Fig.7: Entrada RUN

Además, elimina las instantáneas del sistema con el comando:

System% system32% vssadmin.exe eliminar sombras / todo / silencio

Generación de ID

La ID es la extensión que se utilizará para los archivos recién encriptados y como el nombre del archivo de nota de rescate. Se genera utilizando la clave guardada bajo la etiqueta ‘mpk ’ en JSON descifrado, el nombre de la computadora recuperada y la información del perfil de hardware sobre la máquina infectada (a través de GetCurrentHwProfileW API de Windows).

SHA-256 de estos componentes se calcula y los primeros cinco caracteres de la salida se utilizan como la nueva extensión de archivos cifrados. Sus primeros ocho caracteres se usan como el nombre del directorio y como el nombre del archivo cuando la copia automática se suelta en ‘%Archivos de programa%'.

Salida SHA-256:

Fig.8: Archivos cifrados con extensión generada arriba

Los archivos se cifran con el algoritmo SALSA20 y el nombre del archivo se agrega con ‘.mailto ()’.

Después del cifrado, el ‘Explorer.exe’ mata el proceso padre y elimina la muestra original, el archivo cayó en %Archivos de programa% y también la entrada RUN, erradicando las huellas de su existencia.

El vector de infección aún no está claro, pero lo más probable es que el atacante haya utilizado correos no deseados para propagarse.

Se deja caer una nota de rescate con el nombre ‘-Readme.txt "que contiene los detalles del pago del rescate en cada ubicación cifrada.

Fig.9: Nota de rescate

Conclusión

Varias historias antiguas nos educan para ser conscientes de las intenciones de roguery de aquellos en quienes confiamos fácilmente: uno debe tener cuidado y no debe confiar completamente en los procesos que parecen ser legítimos que en última instancia podrían ayudar al malware a eludir los productos de seguridad.

Aquí, la inyección a través del proceso de vaciado se realiza en explorer.exe lo que hace que sea muy difícil hacer que su presencia sea perceptible. Además, al crear el proceso para inyección, en lugar de usar un modo suspendido, está usando el modo "Depurar", que no se usa con tanta frecuencia. Esto hace que las técnicas de prevención AV fallen.

¿Cómo Quick Heal protege a sus usuarios del Mailto Ransomware?

Quick Heal bloquea con éxito el ransomware Mailto con las siguientes capas de protección:

  1. Protección de virus
  2. Detección de comportamiento

Fig.10: Protección contra virus

Fig.11: Detección de comportamiento

COI:

207D2A5AA3A00B8C908B6CFFCF6DDED8

3D6203DF53FCAA16D71ADD5F47BDD060

775F5027ABC97C0EC8E9202A4ED4CC14

B0008E752F488D7E97A8D2452411527E

73DE5BABF166F28DC81D6C2FAA369379

D7D7F3C95D03367C61BCFDFE4E7AB47A

Experto en la materia:

Priyanka Shinde, Umar Khan | Laboratorios de seguridad de curación rápida

¿Tienes algo que agregar a esta historia? Compártelo en el



Enlace a la noticia original