Tecnicas avanzadas de ocultamiento de malware
-
Upload
david-pereira -
Category
Technology
-
view
218 -
download
8
Transcript of Tecnicas avanzadas de ocultamiento de malware
David F. Pereira
CEH,ECSA/LPT,CHFI,ENSA,ECSS,ECVP,CEI,QGSS,ECIH,EDRP,NFS,OPSEC.
• 18+AñosdeexperienciaenSeguridadInformáticayDFIR
• HáckerEtico– PentesterendiversasEntidadesenelmundo,deambitoscomoelFinanciero,Energético,Militar,Inteligencia,Diplomatico,Minero,entreotros.
• Instructor/ConsultordeFuerzasdeCiberdefensa,FuerzasMilitaresyPolicía,envariosPaíses.
• CEOdeSecPro
Agenda• Glosario de Malware• Técnicas de Detección de Malware• Análisis Estático de Malware• Análisis Dinámico de Malware• Técnicas Avanzadas de Ocultamiento:
• Extensiones VBE• Powershell• Redes TOR / I2P• Técnicas Mixtas (twitter,GitHub,etc)• 404• Encripción / Descripción on Runtime
Análisis de Entorno• WMI
Agenda• Glosario de Malware• Técnicas de Detección de Malware• Análisis Estático de Malware• Análisis Análisis Dinámico de Malware• Técnicas Avanzadas de Ocultamiento:
• Extensiones VBE• Powershell• Redes TOR / I2P• Técnicas Mixtas (twitter,GitHub,etc)• 404• Encripción / Descripción on Runtime
Análisis de Entorno• WMI
Glosario de Malware• Stub
• Subprograma que desencripta temporalmente el código viral para su carga y ejecución en RAM y posteriormente lo encripta de nuevo.
• Mutex• Cadena de caracteres que permite al malware identificar una victima con
diferentes objetivos: Inmunizarla, Firmarla,etc.• FUD
• Fully Undetectable (Crypters)• Crypter
• Aplicación que encripta el malware para dificultar la detección antiviral.• Cabby/Downloader
• Programa que se descarga primero sin dispara el antivirus y luego descarga el malware.
• PE• Portable Executable; formato de los Archivos EXE que determina su Func.
Agenda• Glosario de Malware• Técnicas de Detección de Malware• Análisis Estático de Malware• Análisis Dinámico de Malware• Técnicas Avanzadas de Ocultamiento:
• Extensiones VBE• Powershell• Redes TOR / I2P• Técnicas Mixtas (twitter,GitHub,etc)• 404• Encripción / Descripción on Runtime
Análisis de Entorno• WMI
• DeteccióndeFirmas• DeteccióndePatrones/Cadenas• HeurísticaenDisco(Comportamiento)• HeurísticaenMemoria• HeurísticaenFileSystems/Archivos• HeurísticaenConectividad• Sandboxing(DetecciónZeroDay)
Técnicas de Detección de Malware
Agenda• Glosario de Malware• Técnicas de Detección de Malware• Análisis Estático de Malware• Análisis Dinámico de Malware• Técnicas Avanzadas de Ocultamiento:
• Extensiones VBE• Powershell• Redes TOR / I2P• Técnicas Mixtas (twitter,GitHub,etc)• 404• Encripción / Descripción on Runtime
Análisis de Entorno• WMI
Tipos de Análisis de Malware
AnálisisEstáticoqueserealizapormediodeherramientasque“desensamblan”loscomponentesdelmalware,detectanlosencabezadosPE,archivosylibreriasqueinvocan,SINEJECUTARLO.
• ExtraccióndeCadenasdeTexto• DeteccióndeCompresión(PE32,UPX,etc)• InformacióndeFormatoPE(PortableEjecutable)
• text: CódigoEjecutable• .rdata:Datosglobalesdesololectura• .data: Datosquesonaccedidosenla
ejecución• .rsrc: RecursosNecesariosparael
ejecutable• Dependencias• VistaHexadecimal• VistaenAssembler• TimeStamps
Tipos de de Malware
AnálisisDinámicoAnálisisqueserealizapormediodeherramientasquemonitoreanycontrolanlaoperacióndelamáquinainfectadaconelfindeentenderydetectarquehaceelmalware,unavezseejecuta.
• RegistrosenProcesador• RegistrosenlaMemoria• UsodeArchivos(Lectura,Escritura,Creación)• ConectividaddeRed• CambiosenelRegistro(Windows(Lectura,
Escritura,Creación)• Kernel
Agenda• Glosario de Malware• Técnicas de Detección de Malware• Análisis Estático de Malware• Análisis Análisis Dinámico de Malware• Técnicas Avanzadas de Ocultamiento:
• Extensiones VBE• Powershell• Redes TOR / I2P• Técnicas Mixtas (twitter,GitHub,etc)• 404• Encripción / Descripción on Runtime
Análisis de Entorno• WMI
Técnicas Avanzadas de Ocultamiento (Ofuscación)
• Uso de VBE (Visual Basic Extensions) Caso: AutoIT –Banco Trj.
• Uso de Powershell (Malware sin Archivos) Caso: Vawtrak
• Uso de Redes de Ocultamiento (TOR / I2P) Caso: CTB Locker
• Uso de Twitter, GitHub y Esteganografia; Caso: Hammertoss
• Uso del 404 para ocultar tráfico; Caso: W32/Foreign.LXES!tr
• Detección de Entorno de Ejecución; Caso: Carbanak/Anunak
• WMI (Windows Manage. Instrument.); Caso: Troj_Wmighost.A
Agenda• Glosario de Malware• Técnicas de Detección de Malware• Análisis Estático de Malware• Análisis Dinámico de Malware• Técnicas Avanzadas de Ocultamiento:
• Extensiones VBE• Powershell• Redes TOR / I2P• Técnicas Mixtas (twitter,GitHub,etc)• 404• Encripción / Descripción on Runtime
Análisis de Entorno• WMI
Scripts Ofuscados de VBE Caso: AutoIT Banco TrojanEl Archivo Base es: Contrato Assinar.VBEMD5: 4bb9a041ab9cdd8398f95c0dd8a364b0
Se puede decodificar con las mismas Herramientas Microsoft:https://gallery.technet.microsoft.com/Encode-and-Decode-a-VB-a480d74c
Scripts Ofuscados de VBE; Caso: AutoIT Banco TrojanEl Archivo Base es: Contrato Assinar.VBE - MD5: 4bb9a041ab9cdd8398f95c0dd8a364b0
Scripts Ofuscados de VBE; Caso: AutoIT Banco TrojanEl Archivo Base es: Contrato Assinar.VBE - MD5: 4bb9a041ab9cdd8398f95c0dd8a364b0
http://5.175.145.181/ljurbg/btieste.zip
Scripts Ofuscados de VBE; Caso: AutoIT Banco TrojanEl Archivo Base es: Contrato Assinar.VBE - MD5: 4bb9a041ab9cdd8398f95c0dd8a364b0
Scripts Ofuscados de VBE; Caso: AutoIT Banco TrojanEl Archivo Base es: Contrato Assinar.VBE - MD5: 4bb9a041ab9cdd8398f95c0dd8a364b0
Agenda• Glosario de Malware• Técnicas de Detección de Malware• Análisis Estático de Malware• Análisis Dinámico de Malware• Técnicas Avanzadas de Ocultamiento:
• Extensiones VBE• Powershell• Redes TOR / I2P• Técnicas Mixtas (twitter,GitHub,etc)• 404• Encripción / Descripción on Runtime• Análisis de Entorno• WMI
Uso de Powershell (Malware sin Archivos) Caso: VawtrakEl Archivo Base es: Spam de FedEx, American Airlines, o Similar con Archivo de Word.Archivo: Receipt number 4345677MD5: 07BB7A3C3EC68A0734B67D2F9A47098E
Agenda• Glosario de Malware• Técnicas de Detección de Malware• Análisis Estático de Malware• Análisis Dinámico de Malware• Técnicas Avanzadas de Ocultamiento:
• Extensiones VBE• Powershell• Redes TOR / I2P• Técnicas Mixtas (twitter,GitHub,etc)• 404• Encripción / Descripción on Runtime
Análisis de Entorno• WMI
Uso de Redes de Ocultamiento (TOR / I2P) Caso: CTB LockerEl Archivo Base es: Spam con supuesta factura o similarArchivo: endowments.zip / scrMD5: b155a95104b42e6bd83fd741d562d2a1
Cuandoelusuarioejecutael.scr,seabreunarchivo.rtfasi:
Uso de Redes de Ocultamiento (TOR / I2P) Caso: CTB Locker
Datosdelusuario,Nombredemáquinaylomasimportante:LlavedeEncripción
VICTIMA ReddeOcultamiento
Ciberdelincuenteenalgúnlugardelmundo
Uso de Redes de Ocultamiento I2P
http://thehackerway.com/2011/11/28/preservando-el-anonimato-y-extendiendo-su-uso-conceptos-basicos-sobre-el-uso-de-i2p-parte-xxii/
Uso de Redes de Ocultamiento (TOR / I2P) Caso: Dyre
https://www.bluecoat.com/sites/default/files/i2p-dyre.png
Uso de Redes de Ocultamiento (TOR / I2P) Caso: Dyre
cowpuncher.drollette.comi2p-netdb.innovatio.noi2p.mooo.comieb9oopo.mooo.comlink.mx24.eunetdb.i2p2.noreseed.i2p-projekt.dessl.webpack.deuk.reseed.i2p2.nous.reseed.i2p2.no
URLI2PalasqueseconectaelDyre
Agenda• Glosario de Malware• Técnicas de Detección de Malware• Análisis Estático de Malware• Análisis Dinámico de Malware• Técnicas Avanzadas de Ocultamiento:
• Extensiones VBE• Powershell• Redes TOR / I2P• Técnicas Mixtas (twitter,GitHub,etc)• 404• Encripción / Descripción on Runtime
Análisis de Entorno• WMI
Uso de Twitter, GitHub y Esteganografia para recibir Instrucciones del C2 o C&C; Caso: Hammertoss
El Archivo Base es: Variante tDiscover
EsuntipodeAPTcreadaporelgrupodeHackersRusos“APT29”;sufuncióndecomunicaciónsedivideen5etapas:
Etapa1:ComunicaciónconTwitter
Elmalwarebusca,deacuerdoaunaagendadeconexióndiversascuentasenTwitterporsuurl;Ej.@d4v1dp3r31r4yleagregalaprincipioyalfinalcaracteresCRC32,generandounaconexiónsimilara:https://www.twitter.com/2bcD4v1dp3r31r41aElCiberdelincuenteposeeelmismoalgoritmoparagenerarlascuentas.
SielHAMMERTOSSnoencuentraelusername:https://www.twitter.com/2bcD4v1dp3r31r41a esperaalasiguientefechadeconexiónparabuscarloydeesaformarecibirinstrucciones.UtilizaAltaLatencia.
Uso de Twitter, GitHub y Esteganografia para recibir Instrucciones del C2 o C&C; Caso: Hammertoss
El Archivo Base es: Variante tDiscover
EsuntipodeAPTcreadaporelgrupodeHackersRusos“APT29”;sufuncióndecomunicaciónsedivideen5etapas:
Etapa2:TweetdeunaURL
ElTweetdainstruccionesalavíctimaparaquedescargueelcontenidodeunaURL,incluyendocualquierimagen;elhashtagleindicaqueeloffsetdelosdatoses303bytesenlaimagenyqueloscaracteresparadesencriptarlason:“test”
@d4v1dp3r31r4;sigueawww.archivo1.github.com #303test
Etapa3:IraGitHubydescargarunaimagen
HammertossutilizaelInternetExplorerApplicationCOMparavisitarlaURLydescargarlaimagenalcachedelIExplorer
Uso de Twitter, GitHub y Esteganografia para recibir Instrucciones del C2 o C&C; Caso: Hammertoss
El Archivo Base es: Variante tDiscover
EsuntipodeAPTcreadaporelgrupodeHackersRusos“APT29”;sufuncióndecomunicaciónsedivideen5etapas:
Etapa4:Esteganografia
ElHAMMERTOSSdescargalaimagenalCachedeIexplorerydeallílatomaparaDesencriptarlabasándoseenlainformacióndelHashtagpreviamenterecibido,paraobtenerlainstruccionesdelCiberatacante.
Uso de Twitter, GitHub y Esteganografia para recibir Instrucciones del C2 o C&C; Caso: Hammertoss
El Archivo Base es: Variante tDiscover
EsuntipodeAPTcreadaporelgrupodeHackersRusos“APT29”;sufuncióndecomunicaciónsedivideen5etapas:
Etapa5:EjecucióndeComandosyExfiltración
ElatacanteutilizaPowerShell:powershell–ExecutionPolicybypass-WindowStylehidden–encodedCommandparaejecutarcomandosysubirlainformaciónaunCloudyluegoladescarga.
Uso de Twitter, GitHub y Esteganografia para recibir Instrucciones del C2 o C&C; Caso: Hammertoss
El Archivo Base es: Variante tDiscover
EsuntipodeAPTcreadaporelgrupodeHackersRusos“APT29”;sufuncióndecomunicaciónsedivideen5etapas:
Agenda• Glosario de Malware• Técnicas de Detección de Malware• Análisis Estático de Malware• Análisis Dinámico de Malware• Técnicas Avanzadas de Ocultamiento:
• Extensiones VBE• Powershell• Redes TOR / I2P• Técnicas Mixtas (twitter,GitHub,etc)• 404• Encripción / Descripción on Runtime
Análisis de Entorno• WMI
Uso del 404 para ocultar tráfico;Caso: W32/Foreign.LXES!tr
El Archivo Base es: SYADIBJUUFYK.EXEMD5: e9e90316682cca0cb2c0d7c9a846c05c
Lointeresantedeestemalwarenoessuprocesodeinfecciónqueesrelativamentecomún:Creaprocesosenelregistro,leealgunosarchivos,etc;lointeresantecomienzacuandoseconectaconsuC&C;UtilizaPingyPongparasabersisuC&Cestadisponible……
El Archivo Base es:: SYADIBJUUFYK.EXE
UnavezdetectaasuC&Calalcance,elServidordecontrollerespondeeltráficoescondidodentrodemensajesdeErrorHTTP404:
Uso del 404 para ocultar tráfico;Caso: W32/Foreign.LXES!tr
MensajeEncriptadodelC&C
El Archivo Base es:: SYADIBJUUFYK.EXE
Aldesencriptarelcontenidodeltrafico,podemosverlasinstrucciones:
Uso del 404 para ocultar tráfico;Caso: W32/Foreign.LXES!tr
Agenda• Glosario de Malware• Técnicas de Detección de Malware• Análisis Estático de Malware• Análisis Dinámico de Malware• Técnicas Avanzadas de Ocultamiento:
• Extensiones VBE• Powershell• Redes TOR / I2P• Técnicas Mixtas (twitter,GitHub,etc)• 404• Encripción / Descripción on Runtime
Análisis de Entorno• WMI
Detección de Entorno; Caso: Carbanak –Anunak / W32/Foreign.LXES!tr
DentrodelaEvolucióndelmalware,losdesarrolladoresensubúsquedadelaevasiónantimalware,implementannuevastécnicas;
MalwarecomoelAnunakysimilares,leenparámetrosdeejecuciónyvariablesdeentornodelamáquinaafindedetectarsiestánsiendoejecutadosdentrodeunSandbox,EmulaciónoVirtualización.TambiénPuedenusartécnicasdeRuntimeControl.
Algunosparámetrosson:
• DirecciónMACdelaTarjetadeRed• delastablasdedescripción• LlavesdeRegistroquesonúnicasenMáquinasVirtuales• BúsquedadeProcesosyServiciosEspecíficos• BúsquedadeHerramientascomoVMwareTools• ComportamientodelosPuertosdeRed• ComparacióndeValoresalmacenados
Detección de Entorno; Caso: Carbanak – Anunak / W32/Foreign.LXES!tr
Comportamiento del W32/Foreign.LXES!tr al ser ejecutado:
Detección de Entorno; Caso: Carbanak – Anunak / W32/Foreign.LXES!tr
APIInvocados:• IsDebuggerPresent• CheckRemoteDebuggerPresent
StringsPresentesenelAPIGetUserNameA: BuscaestosDLLylosinvoca:
ValidaqueexistaelAPI:• Wine_get_unix_file_nameDentrode:• Kernel32.dll
https://blog.fortinet.com/post/hiding-malicious-traffic-under-the-http-404-error
Comportamiento del W32/Foreign.LXES!tr al ser ejecutado:
Detección de Entorno; Caso: Carbanak – Anunak / W32/Foreign.LXES!tr
Buscaestasllavesderegistro:
https://blog.fortinet.com/post/hiding-malicious-traffic-under-the-http-404-error
Agenda• Glosario de Malware• Técnicas de Detección de Malware• Análisis Estático de Malware• Análisis Dinámico de Malware• Técnicas Avanzadas de Ocultamiento:
• Extensiones VBE• Powershell• Redes TOR / I2P• Técnicas Mixtas (twitter,GitHub,etc)• 404• Encripción / Descripción on Runtime
Análisis de Entorno• WMI
WMI (Windows Manage. Instrument.); Caso: Troj_Wmighost.A
QueesWMI– Windowsmanagementinstrumentation?
• ElWMIesunrepositorio,delcualsepuedenleerparámetrosdelamáquina.
• ElWMIpuedeentregarinformacióntanimportantecomousuarios,registro,sistema,drivers,etc.
• ElWMIdeMicrosofteselequivalenteaWBEM:WebBasedEnterpriseManagement(java).
WMI (Windows Manage. Instrument.); Caso: Troj_Wmighost.A
ArquitecturaWMI
http://blogs.technet.com/b/plataformas/archive/2009/04/12/introducci-n-a-la-soluci-n-de-problemas-de-wmi.aspx
WMI (Windows Manage. Instrument.); Caso: Troj_Wmighost.A
CorrelacióndeInstanciasdeClasesWMIdelTroj_Wmighost.A
http://la.trendmicro.com/media/misc/understanding-wmi-malware-research-paper-en.pdf
WMI (Windows Manage. Instrument.); Caso: Troj_Wmighost.A
http://la.trendmicro.com/media/misc/understanding-wmi-malware-research-paper-en.pdf
Filemonitor_Consumer
WMI (Windows Manage. Instrument.); Caso: Troj_Wmighost.A
http://la.trendmicro.com/media/misc/understanding-wmi-malware-research-paper-en.pdf
Filetrans_Consumer
WMI (Windows Manage. Instrument.); Caso: Troj_Wmighost.A
http://la.trendmicro.com/media/misc/understanding-wmi-malware-research-paper-en.pdf
WMIScriptKids_consumer
WMI (Windows Manage. Instrument.); Caso: Troj_Wmighost.A
http://la.trendmicro.com/media/misc/understanding-wmi-malware-research-paper-en.pdf
ProbeScriptKids_Consumer
El Futuro… Ya Está Aquí
http://la.trendmicro.com/media/misc/understanding-wmi-malware-research-paper-en.pdf
• MalwaredeDiseñoIndividual• MalwareHechoalaMedida;(Spear)TipoAPT• MalwareModular• UltraAltaLatencia(Sparse)• ExplotacióndeHerramientasdeAutomatizacióndeUsuarioydeS.O.