US-CERT fue notificado por un tercero de confianza que los delincuentes están usando un gusano que utiliza el protocolo Server Message Block (SMB) de Windows para llevar a cabo los ataques a la empresa Sony Pictures. De acuerdo al informe de US-CERT y el FBI, este SMB Worm Tool está "equipado" con cinco componentes diseñados para realizar distintos tipos de intrusión y ataques.






SMB Worm Tool utiliza un ataque de fuerza bruta para propagarse mediante el servicio de SMB en el puerto 445 sobre Windows. El gusano se conecta a casa cada cinco minutos para enviar el registro de datos obtenidos a su Centro de Comando y Control (C&C). La herramienta también acepta nuevos comandos y tareas desde el C&C: el primer subproceso llama a casa y envía registros de los comandos exitosos y el segundo subproceso intenta adivinar las contraseñas para las conexiones SMB. Si se acierta la contraseña, se establece un recurso compartido, se copia y se ejecuta un archivo para infectar al host.

Los cinco componentes de SMB Worm Tool son :

• Componente de escucha: durante su instalación, una porción de los binarios es descifrada usando AES, con una llave que derivada de la frase "National Football League". A partir de este momento comienza a escuchar en el puerto TCP 195 (para "sensvc.exe" y "msensvc.exe") y en el puerto TCP 444 (para "netcfg.dll"). Cada mensaje enviado desde y hacia este componente es precedido con su longitud y una cadena codificada con XOR con el byte "0x1F". En la conexión inicial, la víctima envía la cadena "HTTP/1.1 GET /dns?" y el controlador responde con la cadena "200 www.yahoo.com! \x00" (para "sensvc.exe" y "msensvc.exe") o con la cadena "RESPONSE 200 OK!!" (para "netcfg.dll"). El controlador envía el byte "!" (0x21) para poner fin a la conexión.
• Backdoor: este componente está diseñado como un servicio DLL. Incluye funcionalidades tales como transferencia de archivos, relevamiento del sistema, manipulación de procesos y capacidades de proxy. El listener puede también realizar la ejecución de código arbitrario y ejecutar comandos. Esta herramienta incluye una función para abrir puertos en firewall de la víctima y sacar provecho de los mecanismos Plug and Play universal (UPNP) para descubrir routers y dispositivos de puerta de enlace, añadir puertos, permitir conexiones entrantes a la víctima, etc.
• Proxy: este componente se instala como un servicio y se configura para escuchar en el puerto TCP 443 u otro configurable. Esta herramienta tiene funcionalidades básica de backdoor, incluida la capacidad de realizar un fingerprinting de la máquina víctima, ejecutar comandos remotos, realizar listados de directorios, realizar listados de procesos y transferencia de archivos.
• Destrucción del disco: esta herramienta limpia disco el duro a medida que se pretende destruir los datos más allá del punto de recuperación y complicar la recuperación de la máquina de la víctima. El programa escribe sobre porciones de hasta las primeras cuatro unidades físicas y sobrescribir el registro Master Boot Record (MBR) con un programa diseñado para causar más daño si el disco es reiniciado. Si el agente sólo tiene acceso a nivel de usuario, el resultado incluye la eliminación de archivos específicos y la máquina víctima seguiría siendo utilizable.
• Propagación en la red: este malware tiene la capacidad de propagarse en la red de a través de los recursos compartidos de Windows. Basado en la contraseña proporcionada en su archivo de configuración el malware tendrá acceso a recursos compartidos de red con el fin de cargar una copia del componente de destrucción y comenzar el proceso de limpieza en los sistemas remotos. El malware utiliza varios métodos para acceder a archivos compartidos en los sistemas remotos y comenzar a borrar archivos. La comprobación se realiza en "\\hostname\admin$\system32" y "\\hostname\shared$\system32".

US-CERT dispones de una lista de los indicadores de compromiso (IOCs) que deben añadirse a las soluciones de seguridad de red para determinar si están presentes en una red.

La investigación sobre el ataque a Sony continúa y si bien Sony no ha proporcionado muchos detalles a la opinión pública, la empresa presuntamente está trabajando FireEye Mandiant en el aspecto de la investigación forense.

Fuente: US-CERT
Fuente.
http://blog.segu-info.com.ar/2014/12/smb-worm-tool-la-herramienta-usada.html