Desde Trend Micro, compartimos su publicación. Un nuevo «exploit kit» que está propagando versiones del ya conocido Lockyransomware.
Traducción Google:
Un nuevo exploit kit ha llegado que se está propagando diferentes versiones de Lockyransomware . Vimos dos casos de esta nueva amenaza, que se basa en la anterior Sundown explotan kit. La puesta del sol se levantó a la prominencia (junto con aparejo ) después de que el entonces dominante Neutrino explotar kit se neutralizó .
Llamado Bizarro ocaso, la primera versión fue descubierto el 5 de octubre con un segundo avistamiento dos semanas más tarde, el 19 de octubre los usuarios de Taiwán y Corea compuesta por más de la mitad de las víctimas de esta amenaza. Bizarro Sundown comparte algunas características con su predecesor, pero el ocaso características anti-análisis agregado. El ataque perpetrado en octubre 19 también cambió su formato de URL para parecerse estrechamente publicidad web legítimos. Ambas versiones fueron utilizadas exclusivamente por la campaña Shadowgate / WordsJS.
Identificado por primera vez en 2015, la campaña dirigida Shadowgate revivir y servidores de publicidad de código abierto de OpenX que se han instalado localmente.Una vez comprometida, los servidores actúan como puertas de entrada al paquete de exploits para la distribución de software malicioso. Algunos de los dominios asociados a esta campaña fueron tomadas abajo . Recientemente, hemos visto la campaña con 181 sitios comprometidos para entregar ransomware. En septiembre vimos Shadowgate usando el kit de Neutrinos explotar para dejar caer una variante de Locky (con los archivos cifrados que tienen la .zepto extensión). El 5 de octubre, la campaña se desplazó a Bizarro ocaso. Dos semanas más tarde (19 de octubre), fue descubierta una versión modificada del Bizarro ocaso.
Escala y la distribución de los ataques
El número de víctimas Bizarro Ocaso conduce a un resultado interesante de inmediato: el número de víctimas se reduce a cero los fines de semana.
Figura 1. Línea de tiempo y el número de víctimas Bizarro Ocaso
Hemos observado la campaña Shadowgate el cierre de sus cambios de dirección y la eliminación de la secuencia de comandos de redirección maliciosa desde el servidor comprometido durante los fines de semana y reanudar sus actividades maliciosas en los días laborables. En cuanto a la distribución, más de la mitad de las víctimas fueron localizados en sólo dos países: Taiwán y Corea del Sur. Alemania, Italia y China completaron los cinco primeros países.
Figura 2. Distribución de los ataques Bizarro Ocaso, por base del país
Descripción de los ataques
La primera versión de Bizarro ocaso como objetivo una vulnerabilidad de corrupción de memoria en Internet Explorer ( CVE-2016 hasta 0189 , se fijaron en de mayo de 2016) y dos fallos de seguridad en Flash: una vulnerabilidad uso después de liberación ( CVE-desde 2015 hasta 5119 ) y una salida -de-atado de errores de lectura ( CVE-2.016-4117). El primero de ellos se fijó hace más de un año (julio de 2015), con el segundo parche a principios de este año (mayo de 2016). La segunda versión de Bizarro Sundown aprovechar sólo los dos vulnerabilidades de Flash.
Los primeros ataques Bizarro Ocaso comparten un formato URL similar a la del ocaso.Sin embargo, se ofusca sus páginas de destino de manera diferente, sin necesidad de utilizar una cadena de consulta. Bizarro Sundown también agregó funcionalidad anti-rastreo. Una característica cada vez más común encontrar en explotar los kits de hoy, funciones anti-rastreo están diseñados para derrotar a los rastreadores automatizados utilizados por los investigadores y analistas. Fue utilizado para entregar una variante Locky cual les añade la .odin extensión para archivos cifrados.
Figura 3. Tráfico de la puesta del sol (arriba) y Bizarro Sundown (abajo) paquetes de exploits (clic para ampliar)
Dos semanas más tarde, vimos una nueva versión de Bizarro ocaso que incluía cambios en su cadena de redirección; sus URL son ahora más similar al tráfico de la publicidad típica. Ahora se puede integrar de forma más directa en el nuevo método de redireccionamiento de Shadowgate, que solía depender de scripts a posibles víctimas de ruta a los servidores maliciosos. Se utiliza un archivo malicioso Flash (.SWF) para este propósito.
Este archivo determina la versión de Flash Player, que se transmite al paquete de exploits a través de una cadena de consulta. Bizarro Sundown utiliza esa información para entregar el flash adecuada explotar. Esto se puede ver como una manera de simplificar redirecciones mediante la eliminación de los intermediarios (páginas de destino) de la cadena de infección. Durante este tiempo, hemos visto Shadowgate la entrega de otra variante Locky (detectado por Trend Micro como RANSOM_LOCKY.DLDSAPZ) que añade un .thor extensión a los archivos cifrados.
Figura 4. Segunda versión de Bizarro ocaso de un servidor de anuncios comprometida (clic para ampliar)
Figura 5. Parte del código que determina la versión de Flash Player instalado en el sistema (haga clic para agrandar)
Mitigación
Mientras que un sólido estrategia de copia de seguridad es una buena defensa contra ransomware, doblar en la gestión de parches de sonido ayuda a asegurar aún más el perímetro del dispositivo. Mantener el sistema operativo y otro software instalado hasta a la fecha mitiga los riesgos de exploits dirigidos vulnerabilidades que ya han sido fijados por los proveedores de software.
Figura 6. Una instantánea de Trend Micro ™ Deep Security ™ proporciona parches virtuales
Los usuarios y las empresas también pueden beneficiarse de un enfoque de múltiples capas de seguridad-de puerta de enlace , puntos finales , redes y servidores . El uso de una solución de seguridad proactiva que puede proporcionar la defensa también se recomienda contra los ataques que aprovechan las vulnerabilidades del sistema y de software.
Sombrero de punta a @kafeine quien colaboramos con en esta investigación / análisis
Algunos de los indicadores de compromiso (IOC) incluyen:
SHA1 detectado como RANSOM_LOCKY.DLDSAPZ
- 867ed6573d37907af0279093105250a1cf8608a2
Relacionada con Shadowgate:
- earwhig joyería de [.] [.] net
- anuncios [.] phoenixhealthtechnology [.] com
Relacionada con Bizarro Sundown Exploit Kit:
- asistido por [.] theteragroup [.] com
- referencias [.] vietnamesebaby [.] com
- anuncios [.] dubleywells [.] com
Actualizado el 5 de noviembre, 2016, 09:45 AM (GMT-7)
Aclaramos lo que estaba escrito originalmente en el tercer párrafo con respecto a cómo se quitaron los dominios utilizados por Shadowgate. También encontrarás una lista de SHA-1 que detectamos como RANSOM_LOCKY.DLDSAPZ, y algunos de los instrumentos de compromiso en relación con Shadowgate y Bizarro ocaso.
Latest posts by Jose Miguel (see all)
- Curso básico de Ciberseguridad: Módulo 4 - 28 diciembre, 2024
- Curso Básico de Ciberseguridad. Módulo 3 - 21 diciembre, 2024
- Episodio 7: Qué es el ‘Scareware’ - 29 noviembre, 2024
- Curso Básico de Ciberseguridad. Módulo 2 - 23 noviembre, 2024
- Episodio 6: Implementar la seguridad en conexiones remotas. - 22 noviembre, 2024