Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Buscador

Entradas Mensuales

Suscripción

¿Quieres recibir las últimas novedades del blog en tu correo?

¡Suscríbete al feed!

Foro de elhacker.net - Noticias

elhacker.NET en Facebook

Entradas populares

PostHeaderIcon Rombertik: Un maestro de evasión de técnicas de análisis de Malware




Si hace apenas unas semanas Rombertik se convertía en noticia por ser el primer malware que intentaba escribir en el MBR del disco duro al ser descubierto, poco a poco se van conociendo más detalles sobre este peculiar malware. Al parecer Rombertik  contrariamente a la opinión ampliamente publicada, la carga destructiva de Rombertik no está dirigida los analistas de seguridad, en realidad es una versión reciente de Cabron Grabber y su payload destructivo es un mecanismo de seguridad como castigo para los que no hayan pagado por una licencia válida de este producto del cibercrimen.






Lo que realmente hace especial a Romebrtik son dos cosas:

  • Su capacidad de ocultación usando técnicas anti-sandboxing
  • Su capacidad para dañar el MBR si es alterado o modificado


Rombertik es en realidad una versión más reciente de un kit de crimeware del underground conocido como Carbon Grabber o Carbon FormGrabber

Rombertik ha sido creado por una empresa comercial dedicada a actividades criminales. El producto se vende en foros subterráneos para los ciberdelincuentes que no tienen las habilidades para crear su propio malware.

Rombertik es un caballo de Troya que ha sido objeto de titulares apocalípticos.

Todas las  columnas de periódicos s fueron principalmente debido a los informes que indican que el malware se dirige específicamente a los investigadores de seguridad por "destrozar el equipo del usuario si detecta que está siendo analizada." Esto, por supuesto, suena como un escenario apocalíptico para los investigadores de seguridad como nosotros, así que cogimos un vistazo más de cerca a esta amenaza a ver lo que todo el alboroto.

Lo que descubrimos es que Rombertik no se dirige en realidad los investigadores de seguridad en absoluto. En cambio, la carga destructiva es una aplicación bastante cruda y es un mecanismo de protección de derechos digitales draconiana diseñada para evitar el uso sin licencia.

Una versión temprana de Carbon Grabber (aka Rombertik) publicada para su venta en un foro:


El problema para los que venden Carbon Grabber  a través del modelo de negocio underground es que se encuentran con los mismos problemas de piratería y el uso no autorizado como cualquier otra empresa normal de software comercial legal.

Entonces, ¿qué es lo que tiene que hacer el proveedor de software malicioso? Pues el proveedor de software legítimos suelen añadir los mecanismos de protección que impiden que el software sea utilizado sin licencia, pero eso es por lo general la extensión del "daño" causado a los piratas digitales. En el mundo de la ciberdelincuencia, las cosas son un poco duras y van más allá....


El propósito principal de Carbon Grabber es robar información y proporcionar acceso como puerta trasera (backdoor) de nuevo a un equipo comprometido. Las rutinas destructivas contenidas en esta nueva versión de Cabron que pueden eliminar el Master Boot Record (MBR) y cifrar la mayoría de tipos de archivos en el ordenador comprometido. Cuando se completa la rutina destructiva, que hace que el ordenador inservible y potencialmente puede causar la pérdida irrecuperable de datos.

El código está configurado sólo si el troyano detecta que un usuario está tratando de alterar su código para que haga algo que no tenía licencia para hacerlo. Echemos un vistazo más de cerca cómo esta desagradable sorpresa puede ser activado.

Configuración de una trampa para script kiddies y n00bz


Cada copia de Carbon es contruida y licenciada para un usuario en particular. Está construido sólo para ponerse en contacto con servidor predefinido conocido cmo control de comandos del servidor (C & C) según las especificaciones del cliente que paga. Lo hace mediante la incorporación de la dirección del servidor C & C dentro de su propio código binario. Para cualquier cibercriminale novato que han logrado obtener una copia del malware y quieran usarlo sin pagar, podían, con sólo algunas habilidades básicas, identificar la dirección de C & C y tratar de cambiarlo para que apunte a otra dirección de su elección por simplemente modificando el propio archivo binario.

Sin embargo, si eran lo suficientemente tontos como para hacer esto, ellos, sin saberlo, desencadenan el mecanismo de protección destructivo. Esta es, probablemente, la intención, como castigo por el intento de subvertir el malware y explica por qué el troyano mostrará el siguiente mensaje después de que se activó la carga destructiva.




Castigar a los tacaños


Así que según nuestro análisis, no creemos que esta funcionalidad se ha diseñado como una función anti-análisis para frustrar los esfuerzos de los investigadores de seguridad. En su lugar, esto parece que es la manera del desarrollador de software malicioso de castigar a los tacaños ingenuos que pueden estar tratando de utilizar este software de forma gratuita. No se puede negar el daño que puede causar esta amenaza, lo que realmente es muy destructivo.

Evasión de técnicas de Análisis de Malware


A principios de este mes, varios medios de comunicación publicó un artículo afirmando que un nuevo tipo de malware podría utilizar para destruir a los ordenadores de las víctimas.

Afortunadamente, una serie de expertos en seguridad, incluyendo Graham Cluley se apresuraron a corregir las falsas impresiones estos artículos creados, lo que nos permite explorar la amenaza, conocida como 'Rombertik,'

 Tripwire reconoce Rombertik como una muestra fascinante de malware debido a su comportamiento anti-análisis. Ahora vamos a examinar la amenaza mediante la exploración de cómo se implementa cada una de las cuatro técnicas más comunes de evasión utilizados por el malware: conciencia ambiental, confundiendo herramientas automatizadas, la evasión basada en el tiempo, y ofuscar los datos internos.

Análisis del medio (sandbox, virtualizado, laboratorio)


Conociendo el medio.

El primer tipo de comportamiento evasivo, se refiere a la capacidad de una muestra de malware, como Rombertik, para analizar las condiciones del sistema que está tratando de infectar.

A principios de este mes, investigadores de amenazas Grupo Talos Seguridad Ben Baker y Alex Chiu publicaron un informe sobre el comportamiento evasivo de Rombertik. Sus conclusiones revelan, entre otras cosas, que el malware se ejecuta una serie de comprobaciones para determinar si se está ejecutando dentro de un sandbox. Tras la ejecución, Rombertik inicia una ronda de checkeos antes de instalar en sí en el ordenador de la víctima. A continuación, lanza una segunda copia de sí mismo, que se sobrescribe con la funcionalidad básica del malware. Antes de que el malware se active, sin embargo, se ejecuta otra ronda de comprobaciones para ver una vez más si se está ejecutando en la memoria. Si esta última salvaguardia falla, el malware intenta sobreescribir el Master Boot Record (MBR) y reinica el equipo, lo que hace efectivamente que el equipo quede inutilizable.

En última instancia, es la capacidad de Rombertik sobrescribir el MBR que alimentó los artículos especulativos a la que nos referimos anteriormente. Pero aún así, hay más en esta medida defensiva de lo que parece. De hecho, pocas semanas después de la publicación del informe de Cisco, la empresa de seguridad Symantec publicó un post en su blog Security Response en la que se explica cómo Rombertik es en realidad una versión más reciente de un kit de crimeware subterráneo llamado Carbon FormGrabber. En esta visión, la capacidad de Rombertik sobrescribir el MBR probable que no funcione como una contramedida contra profesionales de la seguridad y si más bien como un elemento de disuasión a los atacantes con menos experiencia que podrían estar tratando de alterar el código del malware y hacer que haga algo para lo que no fue autorizada originalmente.

Como garantía adicional, Rombertik inyecta en los navegadores de sus víctimas para ayudar a ocultar a sí mismo. El malware se escanea constantemente para el funcionamiento de los navegadores para enganchar (hookear), según ha explicado Joe Giron, un investigador de seguridad para lastline Labs. En caso Rombertik identifica que el navegador de memoria ya contiene un gancho, que puede ser debido a la obra de una sandbox, se saltará revelando su carga útil.


Confundiendo  a las Herramientas automatizadas


El Malware también hacen uso de confundir a las herramientas automatizadas en un esfuerzo por evitar la detección. Con respecto a Rombertik, escribe un byte de datos aleatorio a la memoria aproximadamente 960 millones de veces. Esta técnica confunde a los sanboxes Como no pueden determinar si se está estancando debido a que el malware no está durmiendo, la mayoría de las cajas de arena con el tiempo el tiempo de espera de su análisis antes de Rombertik comienza a exhibir cualquier comportamiento malicioso. Además, estos bucles estancamiento inundan todas las herramientas de rastreo con las entradas del registro, lo que complica aún más el proceso de análisis, incluso cuando el comportamiento malicioso es evidente.

El uso por parte de de Rombertik de estancamiento código es un testimonio de cómo las tácticas maliciosas han evolucionado a la par con las contramedidas empleadas por el personal de seguridad.

Una de las primeras técnicas evasivas abrazado por el malware era código de ofuscación y cifrado. Esta táctica provocó empresas AV adoptar análisis dinámico, que, a su vez, dio lugar a los atacantes el diseño de malware con conciencia ambiental en mente. Una vez más, los investigadores de seguridad respondieron mediante el análisis de las diferencias en la forma en código malicioso se ejecuta en entornos virtuales y reales, una evolución que nos lleva a nuestra fase actual en la que los autores de malware incorporan estancamiento código como un medio para excluir a este análisis. Claramente, Rombertik está a la vanguardia de las comunidades-malware interesados en la medida en que se hace uso de esta última innovación.

Ofuscando Código Interno


Otra técnica evasiva es comúnmente empleado por el malware es confundir a las herramientas de análisis automatizadas. Aquí Rombertik hace uso de código "basura" para ayudar a ocultar sus funciones más importantes. De hecho, Baker y Chiu encontraron que alrededor del 97 por ciento del archivo empaquetado constaba de 75 imágenes y aproximadamente 8.000 funciones que no son lutilizadas. Esta táctica permite a los autores de malware para ocultar gran parte del archivo El  núcleo de Rombertik, que pesa sólo 28 KB de tamaño, lo que hace difícil para los analistas y herramientas automatizadas para examinar todos y cada una de sus funciones.


Fuentes:
http://www.symantec.com/connect/blogs/rombertik-carbongrabber-sting-tail-cheapskates
http://www.tripwire.com/state-of-security/security-data-protection/cyber-security/rombertik-a-master-of-evasive-malware-techniques/

0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.