Uno de los vectores de ataque más comunes para propagar malware (virus, troyanos, ransomware…) son los correos electrónicos, ya que muchos usan la ingeniería social para que más fácilmente exploten la vulnerabilidad del kernel humano, que es el eslabón más débil en seguridad de la información.
En este post, se muestra una nueva propagación que se está realizando por medio de cuentas de correo comprometidas de municipios de Colombia, usando el servicio de correo de Google – Gmail.
– carreta & + acción!
Este es el correo malicioso o vector de ataque: como pueden ver el correo llega aparentemente desde una cuenta oficial de un municipio de Caldas y al parecer ya tienen identificado personas que hacen este proceso con el Ministerio de Hacienda, ya que de los correos que se han analizado, solo le llegan a personas que trabajan o apoyan el pago de impuestos.
Al descomprimir el archivo adjunto, se evidencia que efectivamente tiene un binario (.exe) el cual al momento del análisis, solo era detectado por cuatro fabricantes de antivirus, como se va mostrar más adelante.
Análisis del encabezado del correo
Usando este script elaborado en Python para extraer la información más trascendental de los encabezados del correo, se evidencia que efectivamente se envió desde servidores de correo de Google y que la cuenta de correo es la oficial del municipio.
PD: El código completo del script lo publique en pastebin, por si lo quieren probar y complementar.
Ejecución del script y prueba de que se envio desde el servidor de correo de Gmail.
Como pueden ver en el Return-Path, el buzón de correo es el oficial de un municipio de Viterbo Caldas – Colombia y se verifico que la cuenta existiera desde el login de Gmail.
Análisis dinámico del malware
Verificación integridad del archivo binario
Nivel de detección a la fecha (solo 4 de 54)
Según el análisis realizado en la maquina infectada y en un sandbox, se pudo evidenciar que inyecta el proceso “explorer.exe”, lee y establece valores en las siguientes claves de registro:
-
«Explorer.EXE» (Access type: «SETVAL», Path: «HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN»,
-
Key: «HKCU», Value: «%VariableEntorno%\Pago_De_Impuesto_Empresarial_Ministerio_De_Hacienda.exe») «Explorer.EXE» (Access type: «SETVAL», Path: «HKLM\SOFTWARE\MICROSOFT\ACTIVE SETUP\INSTALLED COMPONENTS\{XR047075-RM0W-RY08-NN57-N332G1U801U4}»,
Crea un archivo en la ruta>
%TEMP%\iJanuary15.exe
String de mutuaciones:
-
«_x_X_UPDATE_X_x_» «_x_X_PASSWORDLIST_X_x_» «_x_X_BLOCKMOUSE_X_x_» «***MUTEX2» «***MUTEX2_PERSIST» «***MUTEX2_SAIR» «{C20CD437-BA6D-4ebb-B190-70B43DE3B0F3}» «_SHuassist.mtx» «Local\ZonesCounterMutex» «Local\ZoneAttributeCacheCounterMutex» «Local\ZonesCacheCounterMutex» «Local\ZonesLockedCacheCounterMutex»
Intenta ejecutar el proceso del navegador “Firefox.exe” y usa las siguientes DLL
«USER32.DLL» at base 76C20000
«%WINDIR%\SYSTEM32\OLE32.DLL» at base 764C0000
«OLEAUT32.DLL» at base 77170000
«%WINDIR%\SYSTEM32\APPHELP.DLL» at base 75470000%WINDIR%\system32\MSVBVM60.DLL (usada por apps en Visual Basic)
Usa el comando:
cscript.exe» «%TEMP%\teste.vbs»»
Intenta obtener nombres de usuarios del equipo
-
GetUserNameA@ADVAPI32.DLL
-
LookupAccountNameA@ADVAPI32.DLL
Metadatos de la muestra
Certificados digitales
Acciones de Red
- · Se conecta al dominio: paovallos1.no-ip.info
- · Se conecta a la IP 201.211.17.122 por el puerto TCP 9015.
La IP del C&C esta ubicada en Venezuela y ya esta listada en Blacklist.
Finalmente, se prueba la conexión por dicho puerto y aun esta habilitado.
Conclusiones y recomendaciones:
- Con este análisis se comprueba que efectivamente el correo contiene un malware que busca conectarse a una IP de Venezuela donde está el C&C para extraer información confidencial y tener el equipo en una Botnet.
- Al revisar los encabezados del correo se comprueba que se están enviando desde los servidores de Google y no desde un Servidor Falso, lo da un indicio de que estos buzones están comprometidos o tuvieron un acceso no autorizado.
- Con el análisis dinámico de malware puedes entender mejor como funciona y que está intentando hacer, con el fin de implementar otras medidas preventivas y no solamente las reactivas que se pueden tomar con la muestra.
- Se recomienda revisar el filtro de correo de tus servidores, ya que muchos por defecto dejan pasar archivos comprimidos con contraseña y crear reglas con patrones para detectarlos, ya sea por el asunto, contendido del correo, entre otros…
- Se recomienda usar contraseñas fuertes y diferentes para los buzones de correo, incluso aprovechar las características que estos brindan como autenticación de doble factor.
- Si te llega un malware, no te quedes tranquilo con solo enviar la muestra a los laboratorios para que genere la firma que lo detecta y elimina, es más interesante hacerle un análisis manual o usar servicios Sandbox free o pagos, para ver cómo funciona y tomar otras medidas en la infraestructura de T.I. (Ej. Bloqueo de IPs, puertos TCP/UDP en los Firewalls, Bloqueo de URLs en el Proxy, Habilitación de filtros en los IPS/IDS, mitigación de vulnerabilidades entre otros…) ademas de entender el codigo malicioso.
- Se recomienda afinar mejor las reglas de correlacion del SIEM para detectar tempranamente estas amenazas.
- Finalmente, se recomienda dar a todos sus empleados un entrenamiento de concienciación en seguridad de la información (Security Awareness Training) para que aprendan a identificar estas amenazas informáticas y las reporten adecuadamente al personal del Service Desk, al equipo de respuesta a incidentes de seguridad o en este caso, al equipo de seguridad de Google, el cual puedes hacer diligenciando el formulario para reportarlo desde aquí, anexando las cabeceras segun tu proveedor de correo.
Una de las cosas interesantes en la gestión de incidentes de seguridad de T.I. o de la información, es que «cuando aprendes de cómo te atacan, aprendes a defenderte y atacar mejor.»
Salu010,
JOG@-CTeI 
Debe estar conectado para enviar un comentario.