Tecnicas avanzadas de ocultamiento de malware

Técnicas AvanzadasDeOcultamientodeMalware

DavidF.Pereira

David F. Pereira

CEH,ECSA/LPT,CHFI,ENSA,ECSS,ECVP,CEI,QGSS,ECIH,EDRP,NFS,OPSEC.

• 18+AñosdeexperienciaenSeguridadInformáticayDFIR

• HáckerEtico– PentesterendiversasEntidadesenelmundo,deambitoscomoelFinanciero,Energético,Militar,Inteligencia,Diplomatico,Minero,entreotros.

• Instructor/ConsultordeFuerzasdeCiberdefensa,FuerzasMilitaresyPolicía,envariosPaíses.

• CEOdeSecPro

Agenda• Glosario de Malware• Técnicas de Detección de Malware• Análisis Estático de Malware• Análisis Dinámico de Malware• Técnicas Avanzadas de Ocultamiento:

• Extensiones VBE• Powershell• Redes TOR / I2P• Técnicas Mixtas (twitter,GitHub,etc)• 404• Encripción / Descripción on Runtime

Análisis de Entorno• WMI

Agenda• Glosario de Malware• Técnicas de Detección de Malware• Análisis Estático de Malware• Análisis Análisis Dinámico de Malware• Técnicas Avanzadas de Ocultamiento:



Glosario de Malware• Stub

• Subprograma que desencripta temporalmente el código viral para su carga y ejecución en RAM y posteriormente lo encripta de nuevo.

• Mutex• Cadena de caracteres que permite al malware identificar una victima con

diferentes objetivos: Inmunizarla, Firmarla,etc.• FUD

• Fully Undetectable (Crypters)• Crypter

• Aplicación que encripta el malware para dificultar la detección antiviral.• Cabby/Downloader

• Programa que se descarga primero sin dispara el antivirus y luego descarga el malware.

• PE• Portable Executable; formato de los Archivos EXE que determina su Func.

• DeteccióndeFirmas• DeteccióndePatrones/Cadenas• HeurísticaenDisco(Comportamiento)• HeurísticaenMemoria• HeurísticaenFileSystems/Archivos• HeurísticaenConectividad• Sandboxing(DetecciónZeroDay)

Técnicas de Detección de Malware

Tipos de Análisis de Malware

AnálisisEstáticoqueserealizapormediodeherramientasque“desensamblan”loscomponentesdelmalware,detectanlosencabezadosPE,archivosylibreriasqueinvocan,SINEJECUTARLO.

• ExtraccióndeCadenasdeTexto• DeteccióndeCompresión(PE32,UPX,etc)• InformacióndeFormatoPE(PortableEjecutable)

• text: CódigoEjecutable• .rdata:Datosglobalesdesololectura• .data: Datosquesonaccedidosenla

ejecución• .rsrc: RecursosNecesariosparael

ejecutable• Dependencias• VistaHexadecimal• VistaenAssembler• TimeStamps

Tipos de de Malware

AnálisisDinámicoAnálisisqueserealizapormediodeherramientasquemonitoreanycontrolanlaoperacióndelamáquinainfectadaconelfindeentenderydetectarquehaceelmalware,unavezseejecuta.

• RegistrosenProcesador• RegistrosenlaMemoria• UsodeArchivos(Lectura,Escritura,Creación)• ConectividaddeRed• CambiosenelRegistro(Windows(Lectura,

Escritura,Creación)• Kernel

Agenda• Glosario de Malware• Técnicas de Detección de Malware• Análisis Estático de Malware• Análisis Análisis Dinámico de Malware• Técnicas Avanzadas de Ocultamiento:



Técnicas Avanzadas de Ocultamiento (Ofuscación)

• Uso de VBE (Visual Basic Extensions) Caso: AutoIT –Banco Trj.

• Uso de Powershell (Malware sin Archivos) Caso: Vawtrak

• Uso de Redes de Ocultamiento (TOR / I2P) Caso: CTB Locker

• Uso de Twitter, GitHub y Esteganografia; Caso: Hammertoss

• Uso del 404 para ocultar tráfico; Caso: W32/Foreign.LXES!tr

• Detección de Entorno de Ejecución; Caso: Carbanak/Anunak

• WMI (Windows Manage. Instrument.); Caso: Troj_Wmighost.A

Scripts Ofuscados de VBE Caso: AutoIT Banco TrojanEl Archivo Base es: Contrato Assinar.VBEMD5: 4bb9a041ab9cdd8398f95c0dd8a364b0

Se puede decodificar con las mismas Herramientas Microsoft:https://gallery.technet.microsoft.com/Encode-and-Decode-a-VB-a480d74c

Scripts Ofuscados de VBE; Caso: AutoIT Banco TrojanEl Archivo Base es: Contrato Assinar.VBE - MD5: 4bb9a041ab9cdd8398f95c0dd8a364b0


http://5.175.145.181/ljurbg/btieste.zip

AutoIT Scriptinghttps://www.autoitscript.com/site/autoit/


• Extensiones VBE• Powershell• Redes TOR / I2P• Técnicas Mixtas (twitter,GitHub,etc)• 404• Encripción / Descripción on Runtime• Análisis de Entorno• WMI

Uso de Powershell (Malware sin Archivos) Caso: VawtrakEl Archivo Base es: Spam de FedEx, American Airlines, o Similar con Archivo de Word.Archivo: Receipt number 4345677MD5: 07BB7A3C3EC68A0734B67D2F9A47098E

Uso de Powershell (Malware sin Archivos) Caso: Vawtrak

CONMACROS

SINMACROS

Uso de Powershell (Malware sin Archivos) Caso: Vawtrak

Uso de Redes de Ocultamiento (TOR / I2P) Caso: CTB LockerEl Archivo Base es: Spam con supuesta factura o similarArchivo: endowments.zip / scrMD5: b155a95104b42e6bd83fd741d562d2a1

Cuandoelusuarioejecutael.scr,seabreunarchivo.rtfasi:

Uso de Redes de Ocultamiento (TOR / I2P) Caso: CTB Locker

Datosdelusuario,Nombredemáquinaylomasimportante:LlavedeEncripción

VICTIMA ReddeOcultamiento

Ciberdelincuenteenalgúnlugardelmundo

Uso de Redes de Ocultamiento (TOR / I2P) Caso: CTB Locker

Uso de Redes de Ocultamiento I2P

http://thehackerway.com/2011/11/28/preservando-el-anonimato-y-extendiendo-su-uso-conceptos-basicos-sobre-el-uso-de-i2p-parte-xxii/

Uso de Redes de Ocultamiento (TOR / I2P) Caso: Dyre

https://www.bluecoat.com/sites/default/files/i2p-dyre.png

Uso de Redes de Ocultamiento (TOR / I2P) Caso: Dyre

cowpuncher.drollette.comi2p-netdb.innovatio.noi2p.mooo.comieb9oopo.mooo.comlink.mx24.eunetdb.i2p2.noreseed.i2p-projekt.dessl.webpack.deuk.reseed.i2p2.nous.reseed.i2p2.no

URLI2PalasqueseconectaelDyre

Uso de Twitter, GitHub y Esteganografia para recibir Instrucciones del C2 o C&C; Caso: Hammertoss

El Archivo Base es: Variante tDiscover

EsuntipodeAPTcreadaporelgrupodeHackersRusos“APT29”;sufuncióndecomunicaciónsedivideen5etapas:

Etapa1:ComunicaciónconTwitter

Elmalwarebusca,deacuerdoaunaagendadeconexióndiversascuentasenTwitterporsuurl;Ej.@d4v1dp3r31r4yleagregalaprincipioyalfinalcaracteresCRC32,generandounaconexiónsimilara:https://www.twitter.com/2bcD4v1dp3r31r41aElCiberdelincuenteposeeelmismoalgoritmoparagenerarlascuentas.

SielHAMMERTOSSnoencuentraelusername:https://www.twitter.com/2bcD4v1dp3r31r41a esperaalasiguientefechadeconexiónparabuscarloydeesaformarecibirinstrucciones.UtilizaAltaLatencia.




Etapa2:TweetdeunaURL

ElTweetdainstruccionesalavíctimaparaquedescargueelcontenidodeunaURL,incluyendocualquierimagen;elhashtagleindicaqueeloffsetdelosdatoses303bytesenlaimagenyqueloscaracteresparadesencriptarlason:“test”

@d4v1dp3r31r4;sigueawww.archivo1.github.com #303test

Etapa3:IraGitHubydescargarunaimagen

HammertossutilizaelInternetExplorerApplicationCOMparavisitarlaURLydescargarlaimagenalcachedelIExplorer




Etapa4:Esteganografia

ElHAMMERTOSSdescargalaimagenalCachedeIexplorerydeallílatomaparaDesencriptarlabasándoseenlainformacióndelHashtagpreviamenterecibido,paraobtenerlainstruccionesdelCiberatacante.




Etapa5:EjecucióndeComandosyExfiltración

ElatacanteutilizaPowerShell:powershell–ExecutionPolicybypass-WindowStylehidden–encodedCommandparaejecutarcomandosysubirlainformaciónaunCloudyluegoladescarga.




Uso del 404 para ocultar tráfico;Caso: W32/Foreign.LXES!tr

El Archivo Base es: SYADIBJUUFYK.EXEMD5: e9e90316682cca0cb2c0d7c9a846c05c

Lointeresantedeestemalwarenoessuprocesodeinfecciónqueesrelativamentecomún:Creaprocesosenelregistro,leealgunosarchivos,etc;lointeresantecomienzacuandoseconectaconsuC&C;UtilizaPingyPongparasabersisuC&Cestadisponible……

El Archivo Base es:: SYADIBJUUFYK.EXE

UnavezdetectaasuC&Calalcance,elServidordecontrollerespondeeltráficoescondidodentrodemensajesdeErrorHTTP404:


MensajeEncriptadodelC&C

El Archivo Base es:: SYADIBJUUFYK.EXE

Aldesencriptarelcontenidodeltrafico,podemosverlasinstrucciones:


Detección de Entorno; Caso: Carbanak –Anunak / W32/Foreign.LXES!tr

DentrodelaEvolucióndelmalware,losdesarrolladoresensubúsquedadelaevasiónantimalware,implementannuevastécnicas;

MalwarecomoelAnunakysimilares,leenparámetrosdeejecuciónyvariablesdeentornodelamáquinaafindedetectarsiestánsiendoejecutadosdentrodeunSandbox,EmulaciónoVirtualización.TambiénPuedenusartécnicasdeRuntimeControl.

Algunosparámetrosson:

• DirecciónMACdelaTarjetadeRed• delastablasdedescripción• LlavesdeRegistroquesonúnicasenMáquinasVirtuales• BúsquedadeProcesosyServiciosEspecíficos• BúsquedadeHerramientascomoVMwareTools• ComportamientodelosPuertosdeRed• ComparacióndeValoresalmacenados

Detección de Entorno; Caso: Carbanak – Anunak / W32/Foreign.LXES!tr

Comportamiento del W32/Foreign.LXES!tr al ser ejecutado:


APIInvocados:• IsDebuggerPresent• CheckRemoteDebuggerPresent

StringsPresentesenelAPIGetUserNameA: BuscaestosDLLylosinvoca:

ValidaqueexistaelAPI:• Wine_get_unix_file_nameDentrode:• Kernel32.dll

https://blog.fortinet.com/post/hiding-malicious-traffic-under-the-http-404-error

Comportamiento del W32/Foreign.LXES!tr al ser ejecutado:


Buscaestasllavesderegistro:

https://blog.fortinet.com/post/hiding-malicious-traffic-under-the-http-404-error

WMI (Windows Manage. Instrument.); Caso: Troj_Wmighost.A

QueesWMI– Windowsmanagementinstrumentation?

• ElWMIesunrepositorio,delcualsepuedenleerparámetrosdelamáquina.

• ElWMIpuedeentregarinformacióntanimportantecomousuarios,registro,sistema,drivers,etc.

• ElWMIdeMicrosofteselequivalenteaWBEM:WebBasedEnterpriseManagement(java).


ArquitecturaWMI

http://blogs.technet.com/b/plataformas/archive/2009/04/12/introducci-n-a-la-soluci-n-de-problemas-de-wmi.aspx


CorrelacióndeInstanciasdeClasesWMIdelTroj_Wmighost.A

http://la.trendmicro.com/media/misc/understanding-wmi-malware-research-paper-en.pdf



Filemonitor_Consumer



Filetrans_Consumer



WMIScriptKids_consumer



ProbeScriptKids_Consumer

El Futuro… Ya Está Aquí


• MalwaredeDiseñoIndividual• MalwareHechoalaMedida;(Spear)TipoAPT• MalwareModular• UltraAltaLatencia(Sparse)• ExplotacióndeHerramientasdeAutomatizacióndeUsuarioydeS.O.

Preguntas?

David F. Pereira [email protected]@d4v1dp3r31r4

Tecnicas avanzadas de ocultamiento de malware

Technology

Transcript of Tecnicas avanzadas de ocultamiento de malware