Artículo: Proceso de detección y bloqueo de BadRabbit

Artículo de nuestros compañeros de blog.segu-info. 

http://blog.segu-info.com.ar/2017/11/proceso-de-deteccion-y-bloqueo-de.html?m=1

Transcripción literal:

 El ransomware BadRabbit aparece disfrazado como una actualización de Flash y, a partir de la descarga drive-by, autorizada por el propio usuario sin comprender las consecuencias, el invasor hospeda un código malicioso en el sitio de la víctima. 

Desde mayo, cuando fue divulgada la campaña que diseminó el ransomware WannaCry, las organizaciones de todo el mundo están en alerta. En este periodo el último registro que se ganó los reflectores fue el EternalPetya en junio, el cual afectó a numerosas organizaciones ucranianas, incluyendo empresas, aeropuertos y departamentos gubernamentales, así como interrumpió las actividades de empresas multinacionales con operaciones en el país. El pasado martes, Ucrania volvió a ser uno de los blancos de los ciber atacantes que buscan organizaciones de infraestructura de los países localizados en Europa del este. 

Existe la posibilidad de que estos ataques sean patrocinados por un grupo con intereses regionales específicos o que tiene motivaciones más allá de las ganancias financieras, de acuerdo a lo que muestra el material divulgado por FireEye. Esto es posible por el patrón de implementación utilizado durante el ataque, o BACKSWING. Este posee dos versiones las cuales tuvieron un aumento significativo desde mayo, viendo el compromiso de sitios ucranianos. Dado que muchos dominios de sitios todavía están comprometidos con esta estructura, los investigadores de FireEye alertanpor el riesgo de ser usados en futuros ataques. 

Paso a paso del BADRABBIT

Aparece disfrazado como una actualización de Flash y, a partir de la descarga drive-by, autorizada por el propio usuario sin comprender las consecuencias, el invasor hospeda un código malicioso en el sitio de la víctima. En el caso de BADRABBIT, la mayor parte de estos sitios eran de viajes y medios, con la finalidad de trazar el perfil de los visitantes a entregar – o no – el payload (carga útil del malware). 

Se identificaron 51 sitios con el BACKSWING y cuatro autorizados a soltar el BADRABBIT. Esta estructura presenta dos versiones con la misma funcionalidad y que difieren apenas en el estilo de su código. 

Los investigadores de FireEye iSIGHT Intelligence consideran el BACKSWING como un recipiente genérico que selecciona la sesión de navegación actual del usuario y envía la información al receptor. Si está conectado, el servidor analiza y reenvía dos opciones “InjectionType” (para la totalidad) o “InjectionString” (para contenido HTML). 

La primera, el «InjectionType» actúa en dos frentes: redirecciona el navegador al URL o compila el HTML para el DOM (Modelo de Documento Objeto). Esta fue observada por FireEye al final de 2016 en sitios de turismo de la República Checa y de turismo turco, además de un sitio de gobierno de Montenegro. A partir de mayo de 2017 surgió una serie de sitios ucranianos comprometidos con esta versión de BACKSWING y, en junio, el contenido malicioso comenzó a ser disparado por los receptores. La segunda, «InjectionString», procesa la respuesta de DOM, el primer registro de esta versión se hizo el 5 de octubre por FireEye. Este fue inyectando recursos legítimos de JavaScript en los sitios afectados. 

FireEye también ha observado el uso de este cuadro de JavaScript mal intencionado desde febrero de 2017, incluyendo muchos de los sitios registrados en este reciente ataque de Europa del este. La estructura actúa como un perfilador que reúne informaciones de aquellos que ven las páginas comprometidas, como host y dirección IP, navegador, sitio de referencia y cookie del sitio de referencia, o que permite a los invasores obtener más datos sobre las víctimas potenciales antes de implantar las cargas útiles (es este caso, la actualización de Flash por medio del ransomware, BADRABBIT) 

The following two tabs change content below.
Consultor freelance de Ciberseguridad. Técnico Superior Informático en Desarrollo de Aplicaciones Multiplataforma y Perito Judicial Informático Forense inscrito con el nº 120 en la Asociación Profesional de Peritos de las Nuevas Tecnologías (PETEC). **Profesional del campo de la Informática desde el año 1988, desarrollando diversos perfiles ocupacionales. Desarrollador Web, Programador de soluciones a medida en diversos lenguajes: Clipper, C++, Visual Basic y Visual Basic .NET. **En el campo de la pericial informática: * Especializado en la identificación, extracción y análisis de evidencias digitales en dispositivos de almacenamiento físicos. * Autentificación y Verificación de correos electrónicos. * Suplantación de identidad y verificación de mensajes en redes sociales. * Recuperación de datos de dispositivos de almacenamiento físicos. * Peritación informática sobre el uso de aplicaciones informáticas durante la actividad laboral. * Fraudes informáticos y phising. ............ Radioaficionado desde hace más de 30 años y fotógrafo nocturno, disfrutando de la noche admirando el patrimonio nacional con otros ojos.