¿Cómo funciona el Ransomware?
Entender cómo funciona el Ransomware no es tarea fácil. Fuera de los círculos de la seguridad cibernética, captar las complejidades necesarias para proteger y evitar que el ransomware dañe a sus victimas puede parecer casi imposible.
Cómo funciona el RansomWare: Obtención de derechos de acceso
Con miles de diferentes variantes de ransomware por ahí y cada vez más al día, explicando los pasos precisos de cómo funciona ransomware para asumir un sistema varían a través de diferentes cepas. En general, una vez que se ejecuta ransomware no pierde tiempo explorando unidades locales y conectadas para que los archivos se cifren.
Consejo : Ya que muchas variantes de ransomware tratarán de cifrar unidades conectadas y compartidas, es fundamental mantener los discos duros externos desconectados de su computadora cuando no esté realizando copias de seguridad. Si están conectados cuando estás siendo atacado, lo más probable es que también esté cifrado.
Algunas variantes como Locky y DMA Locker pueden incluso encriptar las asignaciones de red sin asignar, haciendo que la proliferación de la infección sea aún más generalizada.
Todo esto sucede en cuestión de segundos. Literalmente.
Sin embargo, mucho sucede en estos segundos, así que echemos un vistazo a algunas de las diferentes maneras que el ransomware busca tomar el control de su computadora.
Ofuscación e inyección de proceso
Cuando se entrega a su sistema, un ransomware suele ser embalado por algún tipo de ofuscador o empacador. Al igual que con el lenguaje hablado, la ofuscación utiliza expresiones ambiguas y confusas para componer enunciados que ocultan el significado real.
Pero, ¿cómo se ve eso en el contexto del software?
En primer lugar, los desarrolladores de ransomware ofuscan el código para ocultar su propósito. Tome el software anti-malware por ejemplo : Si ransomware se ejecuta exactamente como se escribió debe activar su software de seguridad y bloquear esa acción. Pero, ¿ y si su sistema piensa que está ejecutando un programa típico de Windows?
Este es el objetivo del ransomware de la ofuscación: permanecer sin ser detectado.
En segundo lugar, el malware a menudo recibe ingeniería inversa por los investigadores de seguridad para extraer el código, averiguar cómo funciona y, a continuación , crear un decrypter para desbloquear el ransomware. Si el código fuente se ha ofuscado, esto se convierte en una tarea mucho más difícil. Si un investigador de seguridad está buscando en código jibberish puede ser casi imposible determinar el código fuente.
Este método se hace aún más fácil mediante el uso de software de ofuscación automática. Este software cambia automáticamente los datos del archivo de varia maneras por lo que no se parece mucho al original. Sin embargo, el archivo todavía puede ejecutarse perfectamente bien.
Definición rápida : La ofuscación es un proceso mediante el cual el ransomware cambia los datos del archivo de varias maneras para que no se parezca al código fuente original. Esto oculta el verdadero propósito del archivo mientras se sigue permitiendo que el archivo se ejecute.
Una vez que el archivo ofuscado ha comenzado a correr en su sistema, el ransomware se desempaquetará en la memoria.
Ya que los ofuscados se pueden aplicar varias veces en muchas capas, desempaquetar puede incluso suceder repetidamente, dependiendo de las configuraciones usadas. Una manera de desempaquetar este trabajo es a través de la inyección de código en un proceso recién creado que engañe al sistema para arrancar el ransomware.
UAC bypass
User account control (UAC) es una medida de seguridad que Microsoft introdujo originalmente con Windows Vista. Basándose en el principio del privilegio mínimo , Windows por defecto limita todas las aplicaciones de su computadora a privilegios de usuario estándar. Si una aplicación solicita privilegios más altos, verá aparecer la siguiente ventana emergente en su computadora, que requiere que un usuario con derechos de administrador confirme para continuar.
Esta es la parte que da miedo de cómo funciona ransomware en este escenario en particular: Con UAC bypass, ransomware puede detener este popup que siempre aparece. con UAC baypass ransomware opera con mayores privilegios que le permite hacer cambios en su sistema e interactuar con otros programas sin que te des cuenta.
Pero ¿cómo lo hace exactamente?
Veamos Erebus ransomware como ejemplo :
Explorado en profundidad por Matt Nelsen, Erebus se copia a un archivo de nombre aleatorio en la misma carpeta que el UAC. A continuación , modifica el registro de Windows con el fin de secuestrar la asociación para la extensión de archivo .msc. Esto básicamente significa que lanzará el nombre aleatorio Erebus archivo ejecutado(.exe) en lugar de solicitar la ventana de permisos UAC.
Erebus trampea su computadora para abrir el archivo Erebus en el nivel de permisos más alto en su computadora. Esto significa que todo sucede en el fondo sin alertarle o pedirle que apruebe el lanzamiento de la aplicación.
Como Visor de eventos se ejecuta en el mismo modo (Nivel de administración) elevada, el archivo ejecutable Erebus(.exe) también pondrá en marcha con los mismos privilegios. Esto le permite omitir completamente el Control de Cuentas de Usuario.
Definición rápida: El Bypass de control de cuentas de usuario (UAC) es un proceso mediante el cual el malware puede elevar sus propios privilegios al nivel de administración sin su aprobación, lo que le permite realizar cambios en su sistema, como cifrar todos sus archivos.
Pero, ¿cómo evitar un Bypass UAC?
Mientras que el ransomware que utiliza la inyección de proceso intenta evitar la detección mediante el uso de la tecnología de ofuscación, la última técnica de bypass UAC difiere en su enfoque. El investigador de seguridad Matt Nelson explica cómo en su blog y resumido a continuación :
La mayoría (si no todas) las técnicas de bypass UAC anteriores requirieron la eliminación de un archivo(normalmente una biblioteca de vínculos dinámicos o DLL) en el sistema de archivos. Hacer esto aumenta el riesgo de que un atacante sea atrapado en el acto o más tarde cuando se investiga un sistema infectado, particularmente si su código fuente no se obscurece como se explicó anteriormente, Dado que la técnica de bypass UAC no suelta un archivo tradicional, ese riesgo adicional para el atacante se mitiga.
Esta técnica de UAC Bypass no requiere ninguna inyección de proceso tal como la técnica típica de ofuscación y de inyección de proceso. Esto significa que el ataque no será señalado por las soluciones de seguridad que supervisan este tipo de comportamiento. ( Nota: las soluciones de Emsisoft supervisan este tipo de comportamiento.)
Básicamente, este método reduce significativamente el riesgo para el atacante porque no están colocando un archivo tradicional en el sistema de archivos que se puede encontrar y identificar más tarde. Es un nuevo método y está ganando mucha tracción. Dos cepas, el ransomware de Erebus y el troyano Banking de Dridex, han adoptado este método y han estado circulando desde principios de 2017.
Estableciendo persistencia : Ransomware se hace cómodo
Ocasionalmente ransomware intentará permanecer en su sistema el mayor tiempo posible creando lo que se llama persistencia. Esto asegura que el ransomware se quedará en el sistema, continúa cifrando los nuevos archivos a medida que se copian e incluso infectan a las nuevas víctimas propagándolas a otras unidades.
Hay muchas formas diferentes de ransomware puede lograr persistencia. A continuación se destacan las más comunes:
Plantación de llaves
Las claves de ejecución se encuentran en el registro, así que cada vez que un usuario inicia sesión, los programas que se enumeran allí se están ejecutando. Estos no funcionan en modo seguro a menos que prefijados por un asterisco, lo que significa que el programa se ejecutará en modo normal y seguro. Si usted tiene un ransomware persistente que parece seguir volviendo una y otra vez no importa cuántas veces piensa que ha matado, este podría ser su problema.
Un ejemplo de ello es el Javascript RAA ransomware, que apareció en 2016.
Programar Tareas
Las tareas programadas son otro método que hemos visto el uso de ransomware, lo que permite una mayor flexibilidad cuando un programa debe ejecutarse. por ejemplo, puede configurar un programa para que se ejecute cada 30 minutos, lo que significa que vea el mismo malware en el inicio y cada 30 minutos después. Se sabe que algunas variantes de ransomware, como CTB Locker o CryLocker, emplean esta técnica.
Incorporación de un acceso directo
Si un acceso directo al archivo de malware o copia del archivo de malware se encuentra en la carpeta de inicio, se ejecutará cuando se inicia el equipo.
Recientemente se ha observado un uso más sofisticado de atajos en ransomware como Spora. Tomando las características de un gusano, el ransomware establecerá el atributo "Oculto" a los archivos y carpetas en la raíz de todas las unidades. A continuación, creará atajos (.lnk) con los mismos nombres que los ocultos y borrará el símbolo de flecha asociado en el registro que normalmente indica un icono de acceso directo. El atajo en sí contendrá los argumentos para abrir el archivo original o la carpeta, así como el archivo ransomware, asegurando que el sistema continúe siendo inutilizable hasta que se desinfecta.
Servidores de comando y control: Llamando a casa
Hemos visto cómo funciona el ransomware en su sistema. Una vez que el ransomware haya establecido una retención firme, la mayoría de ellos se comunicarán con un servidor de comando y control (también conocido como C2) de su computadora para una variedad de propósitos.
Normalmente, los delincuentes utilizarán dominios codificados o direcciones IP para el C2. Estos servidores C2 se pueden alojar en sitios web hackeados; Nemucod ransomware es un ejemplo de ransomware que utiliza sitios web hackeados como el C2. Esta familia de malware hacke sitios web, agrega una carpeta al FTP (usualmente llamado contador) y usa ese sitio como el sitio web para alojar no sólo el malware que se descarga para infectar a las víctimas (el propio troyano bancario Kovter ), Pero también alberga el "portal de pago", donde la víctima luego va a conseguir el decrypter si optaban por pagar.
Alternativamente, se emplea un algoritmo de generación de dominio (DGA). Una DGA es un pedazo de código en el ransomware que generará y contactará numerosos dominios. El autor del malware sabrá en qué orden se generarán estos dominios y elegirá uno de ellos para registrarse. La ventaja de DGA sobre los dominios codificados es que hace difícil eliminar todos los dominios a la vez, así que a menudo hay lugar para que el ransomware y las páginas de pago de rescate se alojen.
Una vez que se establece la conexión, el ransomware puede enviar información sobre su sistema al servidor, incluyendo;
El sistema operativo que utilice.
El nombre de su computadora, su nombre de usuario.
El país en el que se encuentra.
Su ID de usuario.
La clave de cifrado (si es generada por el malware).
Por el contrario, el servidor C2 puede enviar información de nuevo al ransomware, como la clave de cifrado generada por el servidor para cifrar sus archivos, una dirección de bitcoin generada en la que se le pedirá que pague el rescate, un ID de usuario para acceder al portal y URL del sitio de pago (Nota: cubriremos este aspecto en un próximo post de esta serie).
En algunos casos, el C2 puede también instruir al ransomware a descargar otro malware una vez que haya terminado de encriptar o hacer copias de sus archivos para ser utilizado para chantajearle por más dinero en el futuro.
Conclusion
Como puedes ver, hay varias maneras en que el ransomware se apodera de tu sistema y todo tipo de cambios que puede hacer para hacerlo inutilizable. Desde la obtención de derechos de administrador o eludirlos por completo, estableciendo la persistencia cambiando las entradas del registro y configurando accesos directos, hasta la comunicación con un servidor de comando y control: el funcionamiento del ransomware se está volviendo cada vez más sofisticado.