Artículo publicado por nuestros compañeros de Trend Micro. Interesante para los que tienen interés en los detalles técnicos sobre el funcionamiento.
http://blog.trendmicro.com/trendlabs-security-intelligence/usb-malware-implicated-fileless-attacks/
Traducción Google:
A principios de agosto discutimos un caso en el que una puerta trasera ( BKDR_ANDROM.ETIN ) estaba siendo instalada sin archivos en un sistema de destino usando JS_POWMET.DE , un script que abusaba de varias funciones legítimas. En ese momento, no sabíamos cómo llegó la amenaza a la máquina de destino. Especulamos que fue descargado por los usuarios o descartado por otro malware.
Recientemente aprendimos el método exacto de llegada de esta puerta trasera. Como resultó, estábamos equivocados: no fue ni bajado ni descargado. En su lugar, llegó a través de discos flash USB.
Detalles técnicos
El disco flash USB contiene dos archivos maliciosos (ambos detectados como TROJ_ANDROM.SVN ), que se denominan:
- Addddddadadaaddaaddaaaadadddddaddadaaaaadaddaa.addddddadadaaddaaddaaaadadddddadda
- IndexerVolumeGuid
El archivo autorun.inf del disco probablemente fue modificado para ejecutar el archivo anterior, que es capaz de descifrar el contenido de este último. A continuación, se cargan en la memoria y se ejecutan. El nombre de archivo del descifrador sirve como clave de cifrado en esta instancia. No se guarda ningún archivo en el sistema afectado.
El código descifrado es responsable de crear la entrada de registro autostart que sirvió como punto de partida para nuestro análisis anterior. No recapitularemos toda la cadena infecciosa aquí; En su lugar, notaremos que el resultado final fue la instalación de una puerta trasera detectada como BKDR_ANDROM.ETIN. Nada de esto cambió.
Figura 1. Cadena de infecciones
Vale la pena destacar aquí dos cosas. En primer lugar, el proceso difiere ligeramente en función de la versión de Windows instalada. El proceso es relativamente sencillo para Windows 10: se crea la entrada del registro, que finalmente conduce a la descarga y ejecución de una puerta trasera en el sistema afectado. En versiones anteriores de Windows, sin embargo, hay un paso adicional: una segunda puerta trasera (detectada como BKDR_ANDROM.SMRA) también se deja caer en la carpeta % AppData% , con el nombre de archivo ee {8 caracteres aleatorios} .exe . También se crea un acceso directo a él en la carpeta de inicio del usuario, asegurando que esta segunda puerta trasera se ejecute automáticamente.
Una cosa más a tener en cuenta es que la URL contenida en las entradas de registro creadas difiere: se usa una URL para Windows 10, otra para versiones anteriores de Windows. Si bien no vimos ninguna diferencia en el comportamiento real, esto podría permitir diferentes ataques a ser entregado basado en el sistema operativo del usuario.
No está claro por qué esta segunda puerta trasera se instala de una manera que es menos sofisticada que el otro método utilizado por este ataque. Podría ser una distracción: un investigador o usuario sería capaz de encontrar esta segunda puerta trasera mucho más fácilmente que la primera sin archivo. La eliminación de esta puerta de atrás más obvia podría permitir que la amenaza más invisible sigan sin ser detectados.
Soluciones Trend Micro
Las soluciones de punto final de Trend Micro, como Trend Micro ™ Security , OfficeScan y Worry-Free Business Security, incluyen monitoreo de comportamiento para detectar ataques de malware sin archivos. Esto ayuda a las organizaciones a detectar comportamientos maliciosos que pueden bloquear el malware antes de que se ejecute o ejecute el comportamiento.
Trend Micro ™ OfficeScan ™ con seguridad de punto final XGen ™ infunde aprendizaje de alta fidelidad con otras tecnologías de detección e inteligencia de amenazas globales para una protección integral contra malware avanzado.
Los siguientes hashes SHA-256 están conectados a este ataque:
- 24bc305961cf033f78bc1a162c41a7c1a53836a6ccbb197a5669b5f8a9f5251d
Latest posts by Jose Miguel (see all)
- Curso básico de ciberseguridad: Módulo 6 - 8 marzo, 2025
- Curso básico de ciberseguridad: Módulo 5 - 1 marzo, 2025
- Curso básico de Ciberseguridad: Módulo 4 - 28 diciembre, 2024
- Curso Básico de Ciberseguridad. Módulo 3 - 21 diciembre, 2024
- Episodio 7: Qué es el ‘Scareware’ - 29 noviembre, 2024
