Atrápame si puedes

Anuncio
Informe
Atrápame
si puedes
Las travesuras de una red
de bots polimórfica
Índice
En la investigación y redacción
de este informe han participado:
Anand Bodke
Abhishek Karnik
Sanchit Karve
Raj Samani
Introducción
3
Conozca al gusano
4
Evolución: cambios de W32/Worm-AAEH
5
Algoritmo de generación de dominios
6
Mecanismo de descarga en cadena
7
Motor polimórfico que crea gusanos únicos
8
Recopilador de muestras automatizado
11
Prevalencia
12
Prevención de la infección
13
Desmantelamiento
14
Resumen
14
Atrápame si puedes: las travesuras de una red de bots polimórfica | 2
Introducción
La ciberdelincuencia se podría definir mediante la analogía con el juego del
ratón y el gato; el ratón sería aquellos que intentan conseguir beneficios ilegales
y el gato los dedicados a luchar contra estas actividades ilícitas. En numerosas
ocasiones hemos observado cómo la innovación tecnológica puede darle una
ventaja puntual a uno de los bandos para posteriormente dejarle rezagado,
invirtiendo los papeles. Esta lucha adopta distintas formas, ya que los delincuentes
han desarrollado enrevesadas infraestructuras de comunicaciones para facilitar
las funciones de control del malware, los pagos y los servicios de blanqueo para
sus ganancias ilícitas.
McAfee Labs describe muchos ejemplos en sus blogs, informes y libros blancos
que presentan el ecosistema de la ciberdelincuencia, las nuevas tendencias
y nuestra colaboración con protagonistas clave para desbaratar o desmantelar
dichas operaciones. Cualquiera de los hitos alcanzados por el malware en
el pasado se antoja rudimentario hoy en día, sin embargo, es incuestionable
que la ciberdelincuencia es un negocio de enormes dimensiones. El año
pasado, el Center for Strategic and International Studies encargó un informe
a Intel Security para calcular el coste global de la ciberdelincuencia. En dicho
informe, el coste anual se evaluó en más de 400 000 millones de dólares
a nivel mundial.
Dejando de lado si la estimación es superior o inferior a las cifras reales,
lo que es evidente es que la ciberdelincuencia es una industria boyante,
ya que los ciberataques pueden generar importantes beneficios. A la vista de
semejantes ganancias, no es de extrañar que asistamos a niveles de innovación
importantes en ambos bandos, desde métodos de comunicación peer-to-peer
(P2P) que incorporan decenas de miles de dominios de comunicaciones con
hosts infectados hasta técnicas de evasión avanzadas (AET) introducidas en
puntos de control de salida de redes de confianza.
Este informe ilustra un ejemplo de innovación: los ciberdelincuentes crearon un
gusano autoejecutable que evita la detección gracias a que modifica su forma con
cada infección. Su evolución fue tan prolífica que aparecieron nuevas variantes
hasta seis veces al día.
En abril de 2015, en una acción coordinada de las fuerzas de seguridad a nivel
mundial, se consiguió el desmantelamiento de los servidores de control de esta
red de bots. Puede ver los últimos detalles de este desmantelamiento aquí.
—Raj Samani, CTO de McAfee Labs para Europa, Oriente Medio y África
Siga a McAfee Labs
Atrápame si puedes: las travesuras de una red de bots polimórfica | 3
Conozca al gusano
Un gusano es un tipo de malware
que se replica para propagarse
a otros ordenadores. Por lo general,
utiliza una red para propagarse
y aprovecha vulnerabilidades
de seguridad en el sistema de
la víctima para conseguir acceso.
Los gusanos suelen instalar una
puerta trasera en el sistema
infectado, convirtiéndolo en un
"zombi" que controla el creador del
gusano. Una red de sistemas zombi
se conoce como una red de bots.
W32/Worm-AAEH destaca porque
cambia sus huellas dactilares para
cada sistema muchas veces al día
con el fin de evitar la detección.
Escribir código con fines delictivos tiene, por lo general, un objetivo específico:
el robo de información, como credenciales bancarias, datos o propiedad
intelectual. A diferencia de lo que hemos observado en otras familias de
malware, el fin último del ciberdelicuente que hay detrás de este gusano
concreto es mantener la persistencia en la máquina de la víctima.
Conocido como W32/Worm-AAEH (así como W32/Autorun.worm.aaeh, VObfus,
VBObfus, Beebone o Changeup, entre otros nombres), el objetivo de esta
familia es facilitar la descarga de malware, como ladrones de contraseñas
bancarias, rootkits, software antivirus falso y ransomware. El malware incluye
una funcionalidad tipo gusano para propagarse rápidamente a nuevas máquinas
a través de redes, unidades extraíbles (USB/CD/DVD), y archivos ZIP y RAR.
El gusano se escribió en Visual Basic 6. Aprovechando la naturaleza compleja
e indocumentada propia de Visual Basic 6 y mediante el empleo de polimorfismo
y ocultación, W32/Worm-AAEH ha conseguido mantener su relevancia desde que
fue descubierto en junio de 2009.
El malware polimórfico, que cambia su forma con cada infección, es una
amenaza muy difícil de combatir. W32/Worm-AAEH es un gusano de descargas
polimórfico del que existen más de cinco millones de muestras únicas, según
los datos de McAfee Labs. Este gusano ha tenido un impacto devastador en los
sistemas de los clientes (desde marzo de 2014 han resultado infectados más
de 100 000). Una vez en el host, se transforma cada pocas horas y se propaga
rápidamente a través de la red, descargando una gran cantidad de malware,
como ladrones de contraseñas, ransomware, rootkits, robots para el envío de
spam y otros programas de descarga. El seguimiento que hemos realizado de
este gusano desde marzo de 2014 revela que el servidor de control sustituye
las muestras por nuevas variantes entre una y seis veces al día, y que el motor
polimórfico del lado del servidor suministra muestras específicas para cada
cliente, de manera que hay una muestra exclusiva para cada nueva solicitud
de descarga. Gracias a la supervisión proactiva y automatizada, McAfee Labs
ha podido adelantarse a estos adversarios y detectarlos y eliminarlos,
impidiendo así una avalancha de malware en los entornos de los clientes.
En este informe describimos un sistema de automatización creado
por McAfee Labs en marzo de 2014, que imita el comportamiento de
comunicación del gusano y penetra en sus servidores de control para
recopilar el malware. Este sistema ha permitido a nuestros investigadores
acceder al malware y ha ayudado a McAfee Labs a supervisar la actividad
de la red de bots antes de que infecte a los clientes. La automatización ha
reducido de manera importante el número de infecciones y escalaciones
de los sistemas de los clientes.
Comparta este informe
Atrápame si puedes: las travesuras de una red de bots polimórfica | 4
Evolución: cambios de W32/Worm-AAEH
La primera muestra conocida de W32/Worm-AAEH (6ca70205cdd67682d6e86c8394ea459e) fue identificada el 22 de junio de 2009 (compilada el 20 de junio).
Fue detectada como Generic Packed.c. A pesar de ser la primera versión puesta
en circulación, los creadores del gusano intentaron complicar su detección
almacenando cada cadena como caracteres individuales y concatenándolos
durante la ejecución. Sin embargo, a excepción de este paso, ninguna otra
funcionalidad impedía el análisis del malware. Las funciones de la muestra
no eran muy sofisticadas:
■■
■■
■■
■■
Se ejecutaba al inicio del sistema y se ocultaba en el directorio del
perfil del usuario.
Se copiaba en todas las unidades extraíbles y utilizaba un archivo
autorun.inf oculto para ejecutarse automáticamente. Empleaba la
cadena "Open folder to view files" (Abra la carpeta para ver los archivos)
como texto de acción en el idioma local (admite 16 idiomas europeos).
Desactivaba la capacidad del Administrador de tareas de Microsoft
Windows de finalizar aplicaciones para evitar que el usuario pudiera
finalizarlo manualmente.
Se comunicaba con un dominio codificado (ns1.theimageparlour.net)
para descargar y ejecutar más malware.
Con el tiempo, los creadores introdujeron nuevas funciones. En la actualidad,
el gusano puede:
■■
■■
■■
Detectar máquinas virtuales y software antivirus.
Finalizar las conexiones de Internet a direcciones IP de empresas
de seguridad.
Utilizar un algoritmo de generación de dominios (DGA) para localizar
sus servidores de control.
■■
Inyectar malware en los procesos existentes.
■■
Utilizar cifrado.
■■
Desactivar las herramientas capaces de finalizarlo.
■■
Propagarse a través de unidades de CD/DVD extraíbles.
■■
Aprovechar una vulnerabilidad en un archivo LNK (CVE-2010-2568).
■■
Insertarse en archivos ZIP o RAR para contribuir a su persistencia
y propagación.
El conjunto de funciones cuenta con dos componentes: Beebone y VBObfus
(también conocido como VObfus). El primer componente actúa como programa
de descarga para VBObfus, mientras que el segundo contiene todas las
funcionalidades de troyano y gusano.
El uso de varias estratagemas de ocultación complican la detección y, además,
las técnicas de cifrado se actualizan con frecuencia y en ocasiones se incluyen
proyectos de software de código abierto, lo que obstaculiza aún más el análisis.
No sorprende que estas artimañas hayan permitido que el gusano siga operativo
desde que fue descubierto en 2009.
Comparta este informe
Atrápame si puedes: las travesuras de una red de bots polimórfica | 5
Algoritmo de generación de dominios
Los algoritmos de generación de
dominios permiten al malware
generar de forma periódica un
gran número de nombres de
dominios usados posteriormente
para intercambiar información.
El gran volumen de dominios
generados complica el trabajo de
las fuerzas de seguridad a la hora
de desmantelar las redes de bots.
W32/Worm-AAEH utiliza un algoritmo de generación de dominios simple pero
eficaz que permite a los distribuidores de malware cambiar las direcciones IP
y los nombres de dominio bajo demanda (por ejemplo, tras el bloqueo por parte
del software de seguridad) mientras se comunican con las máquinas infectadas
en ese momento.
■■
El algoritmo se puede representar como {cadena_secreta}{N}.{TLD},
donde cadena_secreta es una cadena oculta cifrada que se almacena
en la muestra de malware.
■■
N es un número del 0 al 20.
■■
TLD es cualquiera de las siguientes cadenas: com, org, net, biz o info.
Aunque N y TLD permanecen prácticamente invariables, la cadena secreta cambia
en ocasiones. El distribuidor de malware define en el momento adecuado los
registros DNS apropiados para la cadena secreta actual, así como para la anterior,
con el fin de que las muestras más antiguas se conecten a los nuevos servidores
para recibir actualizaciones.
Por ejemplo, el 14 de septiembre de 2014, la dirección IP del servidor de control
era 188.127.249.119. Esta dirección se registró con varios nombres de dominio
que emplean la cadena secreta actual ns1.dnsfor y la anterior ns1.backdates.
Como se muestra en la siguiente imagen, algunos de los nombres de dominio
generados mediante el algoritmo se resuelven correctamente:
La misma dirección IP del servidor de control se registra en varias cadenas secretas.
Comparta este informe
Atrápame si puedes: las travesuras de una red de bots polimórfica | 6
Mecanismo de descarga en cadena
Una de las razones por las que el software antivirus tiene dificultades para
detectar esta amenaza es que el gusano se sustituye por nuevas variantes antes
de que se creen las firmas que permiten hacerle frente. Esta táctica se implementa
mediante un mecanismo de descarga en cadena, por el que los dos componentes
de W32/Worm-AAEH (Beebone y VBObfus) descargan nuevas variantes de ellos
mismos. Este paso garantiza la persistencia del gusano incluso aunque el software
de seguridad pueda detectar uno de los componentes, ya que el componente no
detectado terminará descargando una versión no detectada del otro componente.
La descarga en cadena se inicia a través de otro componente, detectado por
McAfee Labs como Generic VB.kk. Esta muestra llega a través de kits de exploits
y ataques de ingeniería social y su único objetivo es la descarga de Beebone.
Un componente no relacionado, detectado como Downloader-BJM, es un bot
IRC que se comunica con el mismo servidor de control, pero que no interactúa
con W32/Worm-AAEH. El proceso queda reflejado en el siguiente diagrama:
Downloader-BJM (bot IRC)
Víctima n.º 2
Servidor de control
Disponible para el malware a través del algoritmo de generación de dominios
3
4
Generic VB.kk
contacta con el
servidor de control
con la información
de la víctima
El servidor de
control devuelve
Beebone
5
Beebone contacta
con el servidor
de control
6
El servidor de
control devuelve
una lista de
malware: VBObfus
y malware de
terceros, como
Cutwail, Necurs,
Upatre y Zbot
7
VBObfus contacta
con el servidor
de control
8
El servidor
de control
devuelve
Beebone
(de nuevo)
1
La víctima visita la página maliciosa
2
Kit de exploits
El kit de exploits instala Generic VB.kk
Víctima n.º 1
Proceso de infección del gusano W32/Worm-AAEH.
En la ilustración anterior, Beebone (en el Paso 4) descarga una variante de
VBObfus (6), que sustituye la variante antigua de Beebone por una nueva (8).
A continuación se muestra paso a paso la cadena de descarga:
Respuesta que recibe Generic VB.kk en el Paso 3.
Comparta este informe
Atrápame si puedes: las travesuras de una red de bots polimórfica | 7
Esta respuesta incluye el comando (de descarga), la URL y el nombre de archivo
que se utilizan al guardar la variante de Beebone descargada. La URL devuelve
un objeto binario grande (blob) cifrado con RC4 que se descifra como Beebone.
Blob cifrado
Binario descifrado
Al extraer este blob se obtiene una nueva variante de Beebone.
Beebone vuelve a ponerse en contacto con el servidor de control (7) y obtiene
un blob cifrado que se descifra como un conjunto de URL (8):
Las URL descifradas distribuyen más malware a la ubicación actual.
Cada URL devuelve blobs cifrados que se descifran como Beebone y otro malware,
y el ciclo se repite indefinidamente.
Motor polimórfico que crea gusanos únicos
Antes de que el gusano pasara a emplear herramientas de cifrado comerciales
en julio de 2004, W32/Worm-AAEH utilizaba un motor polimórfico del lado del
servidor que generaba archivos binarios del gusano específicos para la víctima.
Para ello, el motor empleaba en la solicitud de descarga determinada información
(número de serie de la unidad C y nombre de usuario) como origen para generar
cadenas aleatorias. Estas cadenas se sustituían en ubicaciones específicas del
archivo, una de las cuales se utilizaba como clave de descifrado del archivo binario
o las cadenas incrustadas, y requería la información en texto sin formato completa
para cifrarse mediante las nuevas cadenas generadas de forma aleatoria:
Atrápame si puedes: las travesuras de una red de bots polimórfica | 8
Comparación byte por byte entre los dos archivos binarios generados por el motor
polimórfico. El encabezamiento del ejecutable es idéntico.
Las diferencias (en rojo) entre estas dos muestras indican la mutabilidad del malware.
Comparta este informe
Atrápame si puedes: las travesuras de una red de bots polimórfica | 9
Las diferencias (en rojo) revelan que los nombres de proyectos se modifican cada vez que
se genera un nuevo archivo binario.
Cambios en los datos y cadenas cifradas.
Comparta este informe
El motor polimórfico también almacenaba en su interior la información sobre
el origen de la muestra y le anteponía un marcador. Se asociaron caracteres
alfabéticos de una sola letra a los puertos de descarga individuales en los
intervalos 7001–7008, 8000–8003 y 9002–9004, que indicaban que la
muestra fue descargada por Beebone. Números de dos dígitos indicaban
que la muestra fue descargada por el malware VBObfus desde los puertos
del intervalo 20000‑40000.
Atrápame si puedes: las travesuras de una red de bots polimórfica | 10
Recopilador de muestras automatizado
En marzo de 2014, McAfee Labs desarrolló un sistema de automatización para
comunicarse con los servidores de control de W32/Worm-AAEH para descargar
nuevos gusanos en cuanto los proporciona el distribuidor de malware. Nuestro
motor de automatización está diseñado para imitar la comunicación de los
gusanos con su centro de control en cada etapa de la secuencia de comunicación
descrita en la sección anterior.
Hasta el momento, el sistema ha recopilado más de 20 000 muestras únicas de
más de 35 servidores de control —todos ellos ubicados en Europa (véase el mapa
de la página 12)— y ha ayudado a los investigadores de amenazas de McAfee Labs
a generar detecciones para las muestras antes de que infecten a nuestros clientes.
Nuestro sistema también detectó que el gusano sustituía su utilidad de cifrado el
21 de julio de 2014. El 15 de septiembre de 2014, el gusano introdujo 29A-Loader,
que se vende en el mercado clandestino por 300 dólares.
Utilizando un nuevo algoritmo de agrupación en clúster, descubrimos que
el recopilador obtuvo más de 350 variantes entre marzo y agosto de 2014,
con unas 55 muestras para cada variante. Eso supone una media de 58 nuevas
variantes al mes.
Clústeres encontrados por el recopilador de muestras de McAfee Labs
Hash de código de Visual Basic
Número de muestras
e9e18926d027d7edf7d659993c4a40ab
934
2381fb3e2e40af0cc22b11ac7d3e3074
540
d473569124daab37f395cb786141d32a
500
7738a5bbc26a081360be58fa63d08d0a
379
d25a5071b7217d5b99aa10dcbade749d
362
7856a1378367926d204f936f1cfa3111
353
13eae0e4d399be260cfc5b631a25855d
335
987e0ad6a6422bec1e847d629b474af8
335
0988b64de750539f45184b98315a7ace
332
63463a5529a2d0d564633e389c932a37
320
Comparta este informe
Atrápame si puedes: las travesuras de una red de bots polimórfica | 11
Todos los servidores de control del gusano detectados por McAfee Labs entre el
14 de marzo de 2014 y el 14 de septiembre de 2014 estaban ubicados en Europa.
Prevalencia
El zoo de malware de McAfee Labs contiene más de cinco millones de muestras
únicas de W32/Worm-AAEH. Hemos detectado más de 205 000 muestras
en 23 000 sistemas entre 2013 y 2014. Estos sistemas están distribuidos por
más de 195 países, lo que viene a demostrar el alcance global de la amenaza.
Estados Unidos es de largo el país con el mayor número de infecciones.
Total de sistemas infectados por W32/Worm-AAEH
entre 2013 y 2014
Los sistemas ubicados en
EE. UU. son el principal
objetivo de este gusano.
9000
8000
7000
6000
5000
4000
3000
2000
1000
0
Suecia
Países Bajos
Italia
México
Rusia
Francia
China
Brasil
Taiwán
EE. UU.
Fuente: McAfee Labs, 2015
Comparta este informe
Atrápame si puedes: las travesuras de una red de bots polimórfica | 12
Descubra cómo puede
protegerle Intel Security
frente a esta amenaza.
Los números anteriores son una estimación conservadora del alcance de la
infección, según datos recopilados de detecciones comunicadas por los nodos
de McAfee Labs, lo que constituye una pequeña muestra del número total de
infecciones. Es posible que la información de geolocalización no dé una idea
real de la propagación, ya que probablemente la distribución geográfica de
los nodos no sea uniforme.
Prevención de la infección
Los productos de Intel Security detectan todas las variantes de esta familia.
Nuestros nombres de detección tienen los siguientes prefijos:
■■
W32/Autorun.worm.aaeh
■■
W32/Worm-AAEH
■■
VBObfus
■■
Generic VB
A pesar de que la amenaza es polimórfica, el comportamiento principal se
ha mantenido prácticamente invariable, lo que permite a los clientes impedir
fácilmente las infecciones con estas medidas de precaución:
Reglas de protección del acceso para bloquear
el gusano W32/Worm-AAEH
Categoría
Regla
Protección común máxima
Impedir que los programas
se registren para ejecutarse
automáticamente.
Definidas por el usuario
Impedir la ejecución de archivos
del directorio %USERPROFILE%
Definidas por el usuario
Bloquear conexiones salientes a los
puertos 7001–7008, 8000–8003,
9002–9004 y 20000–40000.
(Las aplicaciones legítimas pueden
utilizar estos puertos).
Hemos publicado más reglas en https://kc.mcafee.com/corporate/
index?page=content&id=KB76807.
■■
■■
Comparta este informe
Firewall: bloquee el acceso a los dominios DGA ns1.dnsfor{N}.{TLD},
en los que N es un número del 0 al 20, y TLD es cualquiera de las
siguientes cadenas: com, net, org, biz, info.
Network Security Platform: utilice esta regla Snort para
impedir las descargas de malware (instrucciones en
https://community.mcafee.com/docs/DOC-6086):
–– alert tcp $HOME_NET any -> $EXTERNAL_NET any (msg:
“W32/Worm-AAEH C2 Server Communication Detected”;
flow: to_server,established; content: “User-Agent: Mozilla/4.0
(compatible\; MSIE 7.0\; Windows NT 5.1\; SV1)”; classtype:
trojan-activity; )
Atrápame si puedes: las travesuras de una red de bots polimórfica | 13
Desmantelamiento
En abril de 2015, en una acción coordinada de las fuerzas de seguridad a nivel
mundial, se consiguió el desmantelamiento de los servidores de control de esta
red de bots. El FBI, el Centro Europeo de Ciberdelincuencia (EC3), Intel Security,
y la Shadowserver Foundation unieron esfuerzos para identificar y desmantelar
la infraestructura de esta red de bots.
Encontrará los últimos detalles de este desmantelamiento aquí.
Resumen
La ciberdelincuencia es un gran negocio, cada vez mayor, por lo que no es de
extrañar que los ciberdelincuentes sigan atacando. Como ilustra este ejemplo,
los delincuentes redoblarán sus esfuerzos para evitar ser detectados por los
profesionales de la ciberseguridad, la industria de la seguridad y las fuerzas
de seguridad a nivel mundial con el fin de seguir robando a su antojo.
Para detener estos ataques, es imprescindible la colaboración. Los proveedores de
soluciones de seguridad deben compartir información fundamental, las empresas
deben protegerse frente a acciones legales derivadas de la coordinación con otras
empresas y sus gobiernos para detener los ataques, y las fuerzas de seguridad
deben colaborar con el sector de la seguridad y las empresas afectadas para
neutralizar los ataques más atroces. Solo un esfuerzo conjunto podrá detener
el crecimiento del ciberrobo.
Atrápame si puedes: las travesuras de una red de bots polimórfica | 14
Acerca de McAfee Labs
Siga a McAfee Labs
McAfee Labs es uno de los líderes mundiales en investigación e información sobre
amenazas, e innovación en ciberseguridad. Gracias a la información que recibe de
millones de sensores situados en los principales vectores de amenazas: archivos,
la Web, la mensajería y las redes, McAfee Labs proporciona información sobre
amenazas en tiempo real, análisis críticos y opiniones de expertos que permiten
mejorar la protección y reducir los riesgos.
www.mcafee.com/es/mcafee-labs.aspx
Acerca de Intel Security
McAfee forma ahora parte de Intel Security. Con su estrategia Security Connected,
su innovador enfoque de seguridad reforzada por hardware y su exclusiva red
Global Threat Intelligence, Intel Security trabaja sin descanso para desarrollar
soluciones y servicios de seguridad proactivos que protejan los sistemas, las
redes y los dispositivos móviles de uso personal y empresarial en todo el mundo.
Intel Security combina la experiencia y los conocimientos de McAfee con la
innovación y el rendimiento demostrados de Intel para hacer de la seguridad
un ingrediente fundamental en todas las arquitecturas y plataformas informáticas.
La misión de Intel Security es brindar a todos la tranquilidad para vivir y trabajar
de forma segura en el mundo digital. www.intelsecurity.com.
www.intelsecurity.com
McAfee. Part of Intel Security.
Avenida de Bruselas n.° 22
Edificio Sauce
28108 Alcobendas
Madrid, España
Teléfono: +34 91 347 8500
www.intelsecurity.com
La información de este documento se proporciona únicamente con fines informativos y para la conveniencia de los
clientes de McAfee. La información aquí contenida está sujeta a cambios sin previo aviso y se proporciona "tal cual"
sin garantías respecto a su exactitud o su relevancia para cualquier situación o circunstancia concreta.
Intel y el logotipo de Intel son marcas comerciales registradas de Intel Corporation en EE. UU. y en otros países. McAfee
y el logotipo de McAfee son marcas comerciales o marcas comerciales registradas de McAfee, Inc. o de sus empresas filiales
en EE. UU. y en otros países. Los demás nombres y marcas pueden ser reclamados como propiedad de otros. Los planes,
especificaciones y descripciones de productos mencionados en este documento se proporcionan únicamente a título
informativo y están sujetos a cambios sin previo aviso; se ofrecen sin garantía de ningún tipo, ya sea explícita o implícita.
Copyright © 2015 McAfee, Inc. 61788rpt_polymorphic-botnet_0315
Descargar