Todos nosotros, en algún momento, debemos haber escuchado la historia de Wolf y el rebaño de ovejas. El truco engañoso utilizado por el malvado lobo de pretender ser una oveja todavía lo usan muchos autores de malware. Pretenden ser procesos genuinos para lograr sus actividades de villanía.
Tal caso ha sido observado recientemente en Mailto ransomware en el que hace uso del proceso legítimo de Windows conocido como ‘Explorer.exe’.
Ahora, ¿cómo están haciendo esto los hackers?
La respuesta más cercana es, ¡inyección de código de proceso!
Eso es correcto, pero esta vez la técnica utilizada para la inyección no es muy común.
los Mailto o Netwalker realiza el proceso de vaciado en explorer.exe. Esto ayuda a evadir el software antivirus (AV) para realizar fácilmente el cifrado.
En el proceso de vaciado, generalmente, el proceso objetivo se crea en modo suspendido y se lleva a cabo la inyección. Pero aquí el proceso no se crea en modo suspendido, sino que utiliza el 'Modo de depuración.
Fig.1: Mailto crea el proceso en modo de depuración
Para realizar una mayor actividad de inyección, obtiene los detalles del proceso y del hilo utilizando API de depuración como WaitForDebugEvent.
Fig.2: API para obtener el proceso y los detalles del hilo
Luego, se crea una sección con un tamaño similar al de la muestra usando ZwCreateSection y su vista se mapea en el proceso actual usando ZwMapViewOfSection.
En esta vista, el archivo de muestra se copia y se realiza la reubicación manual.
Fig.3: Reubicación de direcciones codificadas
La vista de esta sección se desasigna luego usando ZwUnmapViewOfSection. El contexto del hilo del proceso creado (explorer.exe) se recupera y se realizan cambios, configurando la dirección de inicio del subproceso desde donde se pretende que comience la ejecución.
Fig.4: Configuración de la dirección de inicio del código inyectado
Finalmente llame al ContinueDebugEvent y DebugActiveProcessStop realiza la ejecución del subproceso "inicio" que será responsable del cifrado de los archivos. El árbol de procesos se muestra en la imagen a continuación.
Fig.5: Árbol de procesos
Cuando desciframos los datos cifrados presentes en el .rsrc sección, obtenemos toda la información importante presente en formato JSON. Esta información contiene base64 nota de rescate encriptada, direcciones de correo electrónico utilizadas en la nota de rescate, procesos que deben eliminarse si están en ejecución, rutas de la lista blanca, nombres y extensiones de archivos, etc.
Fig.6: Datos descifrados
Actividad de explorer.exe inyectada
Después de la inyección, el malware (es decir, inyectado explorer.exe) deja caer su copia en ‘%Archivos de programa%<8 Alphanumeric characters><8 Alphanumeric characters>.exe"Y establece la entrada RUN para su persistencia.
Fig.7: Entrada RUN
Además, elimina las instantáneas del sistema con el comando:
System% system32% vssadmin.exe eliminar sombras / todo / silencio’
Generación de ID
La ID es la extensión que se utilizará para los archivos recién encriptados y como el nombre del archivo de nota de rescate. Se genera utilizando la clave guardada bajo la etiqueta ‘mpk ’ en JSON descifrado, el nombre de la computadora recuperada y la información del perfil de hardware sobre la máquina infectada (a través de GetCurrentHwProfileW API de Windows).
SHA-256 de estos componentes se calcula y los primeros cinco caracteres de la salida se utilizan como la nueva extensión de archivos cifrados. Sus primeros ocho caracteres se usan como el nombre del directorio y como el nombre del archivo cuando la copia automática se suelta en ‘%Archivos de programa%'.
Salida SHA-256:
Fig.8: Archivos cifrados con extensión generada arriba
Los archivos se cifran con el algoritmo SALSA20 y el nombre del archivo se agrega con ‘.mailto (
Después del cifrado, el ‘Explorer.exe’ mata el proceso padre y elimina la muestra original, el archivo cayó en %Archivos de programa% y también la entrada RUN, erradicando las huellas de su existencia.
El vector de infección aún no está claro, pero lo más probable es que el atacante haya utilizado correos no deseados para propagarse.
Se deja caer una nota de rescate con el nombre ‘
Fig.9: Nota de rescate
Conclusión
Varias historias antiguas nos educan para ser conscientes de las intenciones de delincuentes de aquellos en quienes confiamos fácilmente: uno debe tener cuidado y no debe confiar completamente en los procesos que parecen ser legítimos que, en última instancia, podrían ayudar al malware a eludir los productos de seguridad.
Aquí, la inyección a través del proceso de vaciado se realiza en explorer.exe lo que hace que sea muy difícil hacer que su presencia sea perceptible. Además, al crear el proceso para inyección, en lugar de usar un modo suspendido, está usando el modo "Depurar", que no se usa con tanta frecuencia. Esto hace que las técnicas de prevención AV fallen.
¿Cómo Quick Heal protege a sus usuarios del Mailto Ransomware?
Quick Heal bloquea con éxito el ransomware Mailto con las siguientes capas de protección:
- Protección contra el virus
- Detección de comportamiento
Fig.10: Protección contra virus
Fig.11: Detección de comportamiento
COI:
207D2A5AA3A00B8C908B6CFFCF6DDED8
3D6203DF53FCAA16D71ADD5F47BDD060
775F5027ABC97C0EC8E9202A4ED4CC14
B0008E752F488D7E97A8D2452411527E
73DE5BABF166F28DC81D6C2FAA369379
D7D7F3C95D03367C61BCFDFE4E7AB47A
Experto en la materia:
Priyanka Shinde, Umar Khan | Laboratorios de seguridad de curación rápida