Acuerdo con los profesionales de empresa de seguridad informática en México, Wiper Malware el gusano de Server Message Block (SMB) se utiliza para llevar a cabo las actividades de explotación cibernéticos recientemente dirigidos a SONY. Este Gusano SMB está equipado con un implante para escuchar, puerta trasera con proxy, herramienta para destruir el disco duro de la victima indico experto de seguridad en la nube en México.
Este gusano utiliza un ataque de autenticación de la fuerza bruta para propagarse a través de recursos compartidos de Windows SMB señaló Mike Stevens maestro de formación de hacking ético en México de la organización International Institute of Cyber Security. Wiper se conecta a servidor de control cada cinco minutos para enviar los datos de registro a servidores de comando y control si se ha extendido con éxito a otros hosts de Windows a través del puerto SMB 445. El gusano también acepta nuevas tareas de exploración cuando se conecta a los servidores de control. Hay dos programas principales en ese gusano: el primero programa contacta servidores de hacker y manda registros, y el segundo programa intenta adivinar las contraseñas para las conexiones SMB. Si se adivina correctamente la contraseña, se establece un recurso compartido de archivos y se copia y ejecuta en el nuevo host para infectarlo.
El gusano tiene un implante para escuchar. Durante la instalación de este gusano, una parte de los binarios se descifra utilizando AES, con una clave derivada menciono el experto de empresa de seguridad informática . Además, este implante recibe las conexiones en el puerto TCP 195 y 444. Cada mensaje enviado desde y hacia este implante es precedido con su longitud y después, XOR codificado con el byte 0x1F. Tras la conexión inicial, la víctima envía la frase, “HTTP /1.1 GET/dns?\x00”. Entonces el controlador responde con la frase “200 www.yahoo.com!\x00” (para “sensvc.exe” y “msensvc.exe”) o con la frase “RESPUESTA 200 OK !!” (para “netcfg.dll”). El controlador envía el byte “!” (0x21) para finalizar la conexión de red. Este mensaje especial no está precedido con longitud o esta XOR codificado.
Wiper tine una puerta trasera que está diseñado como un servicio de DLL. Incluye funciones como transferencia de archivos, encuesta del sistema, la manipulación de procesos, búsqueda de archivos basados sobre el tiempo y la capacidad de proxy para evitar sistemas de seguridad en la nube. El hacker también puede realizar la ejecución de código arbitrario y ejecutar comandos. La puerta trasera incluye la funcionalidad para abrir puertos en el firewall de una víctima y tomar ventaja de Universal Plug and Play (UPnP) mecanismos para descubrir routers y dispositivos de gateways, y hacer asignaciones de puerto, lo que permite conexiones de entrada a equipo de víctima. Puerta trasera escucha las comunicaciones en el puerto TCP 443.
Este gusano es una herramienta destructiva de Disco Duro para los hackers. Según Jim Taylor experto de seguridad en la nube que con acceso root, el gusano limpia los datos más allá del punto de recuperación y para complicar la recuperación de la máquina de la víctima. Hace sobre-escribir el registro maestro de inicio (MBR) con un programa diseñado para causar más daño si se vuelve a arrancar el disco duro. Esto resulta que el equipo de la víctima no siendo operativo con los datos irrecuperables. Si el malware tiene acceso a nivel de usuario, el resultado incluye los archivos específicos que se borran y están prácticamente irrecuperables, pero el equipo de la víctima seguiría siendo utilizable.
El gusano tiene la capacidad de propagarse a través de la red de destino a través de una función de recursos compartidos de Windows. Basado en el nombre de usuario / contraseña proporcionado en el archivo de configuración y el nombre de host / dirección IP de los sistemas de destino, el gusano accederá a recursos compartidos de red a distancia para subir una copia del wiper malware y comenzar el proceso de limpieza en estos sistemas remotos confirma maestro de hacking ético. El gusano utiliza varios métodos para acceder a los recursos compartidos en los sistemas remotos para comenzar limpiando archivos. Comprobación de recursos compartidos existentes a través de “\\hostname\admin$\system32” y “\\hostname\shared$\system32” o crear un nuevo recurso compartido “cmd.exe /q /c net share shared$=%SystemRoot% /GRANT:everyone, FULL”. Una vez conseguido, el gusano carga una copia del archivo de wiper “taskhostXX.exe”, cambia el tiempo de archivo para que coincida con el archivo “calc.exe” built-in, e inicia el proceso remoto. El proceso remoto se inicia a través del comando “cmd.exe /c wmic.exe /node:hostname /user:username /password:pass PROCESS CALL CREATE”. Nombre de host, nombre de usuario y contraseña se obtendrán a partir del archivo de configuración. Posteriormente, el recurso compartido de red remoto se elimina a través de “cmd.exe /q /c net share shared$ /delete”. Una vez que el wiper gusano se ha cargado, se informa sobre su estado de nuevo a direcciones IP’s de hacker.
Para estar protegido contra la explotación de Wiper malware, los usuarios pueden seguir algunos consejos de seguridad de Mike Stevens profesor de formación de hacking ético en México, tales como implementar las firmas de SNORT mencionadas abajo para proteger su empresa contra WIPER Malware.
Snort signatures:
alert tcp any any -> any any (msg:”Wiper 1″; sid:42000001; rev:1; flow:established; content:”|be 64 ba f2 a8 64|”; depth:6; offset:16; classtype:bad-unknown;)
alert tcp any any -> any any (msg:”Wiper 2″; sid:42000002; rev:1; flow:established; content:”|c9 06 d9 96 fc 37 23 5a fe f9 40 ba 4c 94 14 98|”; depth:16; classtype:bad-unknown;)
alert tcp any any -> any any (msg:”Wiper 3″; sid:42000003; rev:1; flow:established; content:”|aa 64 ba f2 56|”; depth:50; classtype:bad-unknown;)
alert ip any any -> any any (msg:”Wiper 4″; sid:42000004; rev:1; content:”|aa 74 ba f2 b9 75|”; depth:74; classtype:bad-unknown;)
alert tcp any any -> any [8000,8080] (msg:”Wiper 5″; sid:42000005; rev:1; flow:established,to_server; dsize:42; byte_test:2,=,40,0,little; content:”|04 00 00 00|”; depth:4; offset:38; classtype:bad-unknown;)
alert tcp any any -> any any (msg:”Listening Implant 1″; sid:42000006; rev:1; flow:established; content:”|0c 1f 1f 1f 4d 5a 4c 4f 50 51 4c 5a 3f 2d 2f 2f 3f 50 54 3e 3e 3e|”; depth:22; classtype:bad-unknown;)
alert tcp any any -> any any (msg:”Listening Implant 2″; sid:42000007; rev:1; flow:established; content:”|d3 c4 d2 d1 ce cf d2 c4 a1 b3 b1 b1 a1 ce ca a0 a0 a0|”; depth:18; classtype:bad-unknown;)
alert ip any any -> any any (msg:”Listening Implant 3″; sid:42000008; rev:1; content:”|17 08 14 13 67 0f 13 13 17 67 15 02 16 12 02 14 13 78 47 47|”; depth:24; classtype:bad-unknown;)
alert ip any any -> any any (msg:”Listening Implant 4″; sid:42000009; rev:1; content:”|4f 50 4c 4b 3f 57 4b 4b 4f 3f 4d 5a 4e 4a 5a 4c 4b 20 1f|”; depth:23; classtype:bad-unknown;)
alert ip any any -> any any (msg:”Listening Implant 5″; sid:42000010; rev:1; content:”|15 02 14 17 08 09 14 02 67 75 77 77 67 08 0c 66 66 66|”; depth:22; classtype:bad-unknown;)
alert tcp any any -> any any (msg:”Listening Implant 6″; sid:42000011; rev:1; flow:established; content:”|09 22 33 30 28 35 2c|”; fast_pattern:only; classtype:bad-unknown;)
alert tcp any any -> any any (msg:”Listening Implant 7″; sid:42000012; rev:1; flow:established; content:”|13 2f 22 35 22 67 26 35 22 29 27 33 67 28 37 22 29 67 37 28 35 33 34 69|”; fast_pattern:only; classtype:bad-unknown;)
alert tcp any any -> any any (msg:”Listening Implant 8″; sid:42000013; rev:1; flow:established; content:”|43 47 47 47 45 67 47 47 43 47 47 47 44 67 47 47|”; classtype:bad-unknown;)
alert tcp any any -> any any (msg:”Listening Implant 9″; sid:42000014; rev:1; flow:established; content:”|43 47 47 47 42 67 47 47 43 47 47 47 4f 67 47 47 43 47 47 47 43 67 47 47 43 47 47 47 4e 67 47 47|”; classtype:bad-unknown;)
alert tcp any any -> any any (msg:”Listening Implant 10″; sid:42000015; rev:1; flow:established; content:”|d1 ce d2 d5 a1 c9 d5 d5 d1 a1 d3 c4 d0 d4 c4 d2 d5 be|”; depth:18; classtype:bad-unknown;)
alert tcp any any -> any any (msg:”Listening Implant 11″; sid:42000016; rev:1; flow:established; content:”|17 08 14 13 67 0f 13 13 17 67 15 02 16 12 02 14 13 78|”; depth:18; classtype:bad-unknown;)
alert tcp any any -> any any (msg:”Listening Implant 12″; sid:42000017; rev:1; flow:established; content:”|0c 1f 1f 1f 4f 50 4c 4b 3f 57 4b 4b 4f 3f 4d 5a 4e 4a 5a 4c 4b 20|”; classtype:bad-unknown;)
alert tcp any 488 -> any any (msg:”Lightweight Backdoor 1″; sid:42000018; rev:1; flow:established,from_server; content:”|60 db 37 37 37 37 37 37|”; fast_pattern:only; classtype:bad-unknown;)
alert tcp any any -> any 488 (msg:”Lightweight Backdoor 2″; sid:42000019; rev:1; flow:established,to_server; content:”|60 db 37 37 37 37 37 37|”; fast_pattern:only; classtype:bad-unknown;)
alert tcp any any -> any any (msg:”Lightweight Backdoor 3″; sid:42000020; rev:1; flow:established; content:”|4c 4c|”; depth:2; offset:16; content:”|75 14 2a 2a|”; distance:4; within:4; classtype:bad-unknown;)
alert tcp any any -> any any (msg:”Lightweight Backdoor 4″; sid:42000021; rev:1; flow:established; content:”|8a 10 80 c2 67 80 f2 24 88 10|”; fast_pattern:only; content:”|8a 10 80 f2 24 80 ea 67 88 10|”; classtype:bad-unknown;)
alert tcp any 488 -> any any (msg:”Lightweight Backdoor 5″; sid:42000022; rev:1; flow:established,from_server; content:”|65 db 37 37 37 37 37 37|”; fast_pattern:only; classtype:bad-unknown;)
alert tcp any any -> any 488 (msg:”Lightweight Backdoor 6″; sid:42000023; rev:1; flow:established,to_server; content:”|65 db 37 37 37 37 37 37|”; fast_pattern:only; classtype:bad-unknown;)
alert tcp any [547,8080,133,117,189,159] -> any any (msg:”Lightweight Backdoor 7″; sid:42000024; rev:1; flow:established,from_server; content:”|7b 08 2a 2a|”; offset:17; content:”|08 2a 2a 01 00|”; distance:0; classtype:bad-unknown;)
alert tcp any any -> any any (msg:”Lightweight Backdoor 8″; sid:42000025; rev:1; flow:established; content:”|8a 10 80 ea 62 80 f2 b4 88 10|”; fast_pattern:only; content:”|8a 10 80 f2 b4 80 c2 62 88 10|”; classtype:bad-unknown;)
alert tcp any any -> any any (msg:”Lightweight Backdoor 9″; sid:42000026; rev:1; flow:established; content:”|8a 10 80 c2 4e 80 f2 79 88 10|”; fast_pattern:only; content:”|8a 10 80 f2 79 80 ea 4e 88 10|”; classtype:bad-unknown;)
alert tcp any any -> any any (msg:”Lightweight Backdoor 10″; sid:42000027; rev:1; flow:established; content:”Sleepy!@#qaz13402scvsde890″; fast_pattern:only; content:”BC435@PRO62384923412!@3!”; nocase; classtype:bad-unknown;)
alert tcp any any -> any any (msg:”Proxy Tool 1″; sid:42000028; rev:1; flow:established; content:”|8a 10 80 c2 3a 80 f2 73 88 10|”; fast_pattern:only; content:”|8a 10 80 f2 73 80 ea 3a 88 10|”; classtype:bad-unknown;)
alert tcp any any -> any any (msg:”Proxy Tool 2″; sid:42000029; rev:1; flow:established; content:!”HTTP/1″; content:”|e2 1d 49 49|”; depth:4; fast_pattern; content:”|49 49 49 49|”; distance:4; within:4; classtype:bad-unknown;)
alert tcp any any -> any any (msg:”Proxy Tool 3″; sid:42000030; rev:1; flow:established; content:”|82 f4 de d4 d3 c2 ca f5 c8 c8 d3 82 fb f4 de d4 d3 c2 ca 94 95 fb d4 d1 c4 cf c8 d4 d3 89 c2 df c2 87 8a cc 87 00|”; fast_pattern:only; classtype:bad-unknown;)
alert tcp any any -> any [8000,8080] (msg:”WIPER4″;flow: established, to_server;dsize:42;content:”|28 00|”;depth:2;content:”|04 00 00 00|”;offset:38;depth:4;sid:123;)
Para asegurarse de que el equipo no se ha afectado por el Wiper malware, realiza un análisis completo de los sistemas, se recomiendan expertos de seguridad informática.
Es un conocido experto en seguridad móvil y análisis de malware. Estudió Ciencias de la Computación en la NYU y comenzó a trabajar como analista de seguridad cibernética en 2003. Trabaja activamente como experto en antimalware. También trabajó para empresas de seguridad como Kaspersky Lab. Su trabajo diario incluye investigar sobre nuevos incidentes de malware y ciberseguridad. También tiene un profundo nivel de conocimiento en seguridad móvil y vulnerabilidades móviles.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad