Llaves de registro maliciosas: inyección reflexiva

Share this…

A lo largo de los años hemos visto cómo los ciberdelincuentes han desarrollado y utilizado nuevas técnicas sofisticadas para sacar algún tipo de ventaja sobre los usuarios, pero hay algo que no ha cambiado y continúa siendo un desafío constante: lograr persistencia y evitar ser detectado, tanto por las soluciones de seguridad como por el ojo humano.

En los últimos meses comenzamos a recibir varios reportes que involucraban llaves de registro sospechosas, creadas en las máquinas de los usuarios. Por esta razón decidimos profundizar sobre el tema y se recolectaron datos interesantes que detallaremos a lo largo de la publicación.

Países como Perú, México, Ecuador y Guatemala, junto a otros de Latinoamérica, están siendo víctimas de un ataque en común. Como se observa en el siguiente mapa, es notable el porcentaje de detecciones en todo el mundo que hemos adquirido de nuestros sistemas. De igual forma, queda en evidencia que los usuarios latinoamericanos son un importante objetivo a considerar por los ciberdelincuentes a la hora de realizar ataques.

Análisis

El ataque inicia con la propagación masiva de correos electrónicos con archivos JavaScript maliciosos adjuntos. Luego de ser ejecutados, escriben una entrada en el registro de Windows con un nombre aleatorio y le asignan código cifrado con base 64 como valor, como se puede apreciar en la siguiente imagen:

Luego de extraer y decodificar el contenido del registro obtuvimos a la salida código PowerShell. Este lenguaje de scripting solo puede ser ejecutado e interpretado en plataformas Windows, ya que fue pensado para la administración de dicho sistema.

En la imagen que se encuentra a continuación tenemos una parte de este código, que tendrá como objetivo cargar en memoria un nuevo script e inyectar un ejecutable:

En la siguiente captura, del lado izquierdo, tenemos el otro script mencionado previamente, que será usado en tiempo real de ejecución. Esto quiere decir que en ningún momento se creará un archivo en disco.

La función Invoke-ReflectivePEInjection es a la cual se hará una llamada junto con los argumentos y parámetros que correspondan para inyectar los bytes de un ejecutable en el proceso de PowerShell.

En este caso particular, los atacantes hacen uso de una metodología llamada inyección reflexiva, que consiste en realizar una inyección de una DLL o un EXE en algún proceso, de manera que luego no será posible verlos con una herramienta de monitoreo. Entonces, la actividad maliciosa será transparente para el usuario y solo podrá ver procesos verídicos corriendo en su sistema:

Para finalizar, dejamos en evidencia al código malicioso que se intentó inyectar y correr en memoria, señalando la cabecera del binario en la imagen que se encuentra a continuación:

Este archivo es una variante de Win32/TrojanDownloader.Wauchos, que tiene como fin intentar descargar otro archivo malicioso, como por ejemplo un ransomware. Si verificamos el porcentaje de detecciones de Wauchos en los países que mencionamos al comienzo, vemos que son muy similares:

En resumen, los ciberdelicuentes crean campañas de spam con JavaScript maliciosos, los cuales crean llaves de registro que contienen scripts en PowerShell. Estos cargan en memoria un nuevo script en el mismo lenguaje e inyectan un troyano en un proceso que esté corriendo en el sistema, para descargar otro código malicioso.

Esta es una metodología empleada por los atacantes para evadir todo tipo de soluciones de seguridad que pudiese encontrarse en la máquina de la víctima.

Por estas razones, es importante estar informado y concientizarte acerca de los riesgos que existen al recibir un simple correo electrónico o navegar por Internet.

Fuente:https://www.welivesecurity.com/la-es/2017/05/03/llaves-maliciosas-inyeccion-reflexiva/