Beruflich Dokumente
Kultur Dokumente
Actividades
Se trata de documentar un ciberdelito, analizándolo al máximo en su funcionamiento,
bien a través de código, vídeos, artículos científicos, prensa, etc.
Desarrollo
Se pretende realizar un análisis de un ciberdelito que todos conocemos como
Ransomware, más específicamente de la familia WannaCry. Este ataque tiene como
objetivo, realizar un cifrado masivo de ficheros y solicitar un rescate para recuperarlos.
Este WannaCry, funciona de manera que escanea tanto la red interna de una empresa
como la externa, intentando realizar conexiones en el puerto 445/tcp en busca de
equipos que no estén actualizados correctamente, con el fin de infectarlos. Este
movimiento lateral dentro de la red, lo logra mediante la utilización una variante del
payload DOUBLEPULSAR del exploit ETERNALBLUE, es decir que otra máquina
infectada dentro de la red interna, ha sido la causante de esta infección.
Este fichero resulta ser un ZIP autoextraíble protegido con contraseña "WNcry@2ol7"
que contiene los siguientes ficheros:
Dentro de la carpeta “msg” del fichero ZIP se encontraro los siguientes ficheros:
TEMA 2 – Actividades
Asignatura Datos del alumno Fecha
Apellidos: Diaz García
Delitos Informáticos 11/10/2019
Nombre: Javier Leonardo
TEMA 2 – Actividades
Asignatura Datos del alumno Fecha
Apellidos: Diaz García
Delitos Informáticos 11/10/2019
Nombre: Javier Leonardo
TEMA 2 – Actividades
Asignatura Datos del alumno Fecha
Apellidos: Diaz García
Delitos Informáticos 11/10/2019
Nombre: Javier Leonardo
TEMA 2 – Actividades
Asignatura Datos del alumno Fecha
Apellidos: Diaz García
Delitos Informáticos 11/10/2019
Nombre: Javier Leonardo
o [HKEY_CURRENT_USER\Software\WanaCrypt0r]
¿Cómo se replica?
Analizando este malware, podemos darnos cuenta de que actúa como un gusano,
debido a que intenta propagarse por la red. Como comenté antes, utiliza el exploit de
Eternalblue (MS17-010) con intención de propagarse hacia todas las maquinas que no
estén correctamente actualizados y aún tengan esta vulnerabilidad. Es importante
indicar que el programa no solo busca dentro de la red local de la maquina afectada,
sino que además escanea direcciones IP públicas en internet.
Una vez el servicio es instalado y ejecutado se crean 2 hilos los cuales se encargan del
proceso de replicación hacia otros sistemas. A continuación, podemos ver la rutina que
inicia estos hilos:
La primera acción de esta función es obtener el DLL stub que se usará para componer
el payload que será enviado a las maquinas víctimas, a este stub se le añade el propio
malware.
TEMA 2 – Actividades
Asignatura Datos del alumno Fecha
Apellidos: Diaz García
Delitos Informáticos 11/10/2019
Nombre: Javier Leonardo
Esta dll simplemente contiene una función llamada “PlayGame”, que se encarga de
extraer y ejecutar el recurso de la propia dll, que en este caso es el propio malware. De
forma que llamar a la función “PlayGame” desencadena la infección de la máquina.
Esta dll jamás toca disco ya que será la que se inyecte en el proceso LSASS tras la
ejecución del exploit EternalBlue.
Esta función tiene como objetivo obtener información del adaptador de red local y
generar direcciones IP dentro de su rango de red para luego iniciar el Hilo que se
encargará de realizar la explotación enviando el PAYLOAD que contiene el malware, el
cual será inyectado en el sistema objetivo en el proceso LSASS mediante el uso del
Exploit Eternalblue (MS17-010).
TEMA 2 – Actividades
Asignatura Datos del alumno Fecha
Apellidos: Diaz García
Delitos Informáticos 11/10/2019
Nombre: Javier Leonardo
Una vez tiene generada las IPs, procede a lanzar el exploit con el código que vemos a
continuación:
Como podemos observar tanto en la propagación por internet como por la red local
acaba llamando a la función RUN_ETERNAL_BLUE, que será la encargada de enviar
el exploit.
TEMA 2 – Actividades
Asignatura Datos del alumno Fecha
Apellidos: Diaz García
Delitos Informáticos 11/10/2019
Nombre: Javier Leonardo
Exploit EthernalBlue
Como se ha ido comentando anteriormente el modo que tiene este malware para
propagarse es usando este exploit. En el análisis hemos podido observar cómo utilizar
exactamente el mismo código utilizado por la NSA en sus implantes.
TEMA 2 – Actividades
Asignatura Datos del alumno Fecha
Apellidos: Diaz García
Delitos Informáticos 11/10/2019
Nombre: Javier Leonardo
Al hacerse uso de un exploit con código de kernel (ring0) todas las operaciones
realizadas por el malware disponen de los privilegios de SYSTEM.
El proceso de cifrado
Antes de comenzar el cifrado del equipo, el ransomware verifica la existencia de dos
mutex en el sistema. En caso de existir los dos mutex no realiza cifrado alguno:
'Global\MsWinZonesCacheCounterMutexA'
'Global\MsWinZonesCacheCounterMutexW'
El ransom genera una clave única aleatoria por cada fichero cifrado. Esta clave, de
128bits y empleada con el algoritmo de cifrado AES, se guarda cifrada con una clave
RSA pública en una cabecera personalizada que el ransom añade en todos los ficheros
cifrados.
TEMA 2 – Actividades
Asignatura Datos del alumno Fecha
Apellidos: Diaz García
Delitos Informáticos 11/10/2019
Nombre: Javier Leonardo
El ransomware crea varios hilos y realiza el siguiente proceso para el cifrado de los
documentos:
Lee el original y lo copia añadiéndole la extexión .wnryt
Crea una clave AES 128 aleatoria
Cifra el fichero copiado con AES
Añade una cabecera con la clave AES cifrada con la clave publica RSA que
lleva la muestra.
Sobreescribe el fichero original con esta copia cifrada
Finalmente renombra el fichero original con la extensión .wnry
Por cada directorio que el ransomware ha terminado de cifrar, genera los mismo dos
ficheros:
@Please_Read_Me@.txt
@WanaDecryptor@.exe
Referencias
- https://docs.microsoft.com/en-us/security-
updates/SecurityBulletins/2017/ms17-010?redirectedfrom=MSDN
- https://tecnonucleous.com/2018/06/28/exploit-doublepulsar-funciona-en-
windows-iot/
- https://www.mcafee.com/enterprise/es-mx/assets/solution-briefs/sb-how-to-
protect-against-ransomware.pdf
- https://securelist.lat/ksn-report-ransomware-in-2016-2017/85207/
- https://www.kaspersky.es/resource-center/threats/ransomware
TEMA 2 – Actividades