El mundo de antivirus

jueves, 10 de mayo de 2018

Muchos recuerdan la epidemia de WannaCry, a la que “El mundo de antivirus” ha dedicado varias ediciones. Vamos a recordarle una cosa:

Resulta que mientras todo el mundo le tenía miedo a WannaCry, Adylkuzz se difundía con más éxito. Pero los medios de comunicación no lo mencionaron.

En algún momento mencionamos este troyano para confirmar que frecuentemente en los medios de comunicación se presta más atención a los programas menos peligrosos y nocivos.

Al mismo tiempo, Adylkuzz era mucho más interesante que WannaCry. Y permitía ganar dinero con criptomoneda. Es un miner avanzado que no simplemente iniciaba el módulo de mining, sino infectaba los procesos iniciados.

Es interesante que Adylkuzz «se preocupa» del usuario – una vez infectado, cierra el puerto 445, y luego los demás sucesores de WannaCry ya no pueden penetrar en el equipo.

Una vez iniciado el exploit correctamente a través del protocolo SMB, los malintencionados usaron el código del núcleo para la implementación en el proceso lsass.exe, siempre presente en los sistemas Windows. Esta infección aseguraba la “supervivencia” del troyano. Así mismo, la mayor parte de las acciones se realizaban con las utilidades propias de Windows u otras herramientas no nocivas.

Además, los creadores de virus creaban un nuevo usuario, cargaban las utilidades necesarias, en caso necesario, las actualizaban si en el equipo se usaban las versiones antiguas, añadían todo lo necesario en el autoinicio… Y, por supuesto, el uso de la utilidad Mimikatz para recabar los datos de la cuenta del usuario y acceder a varias estaciones de la red para convertirlas en los nodos de mining de criptomoneda Monero.

Para más información, consulte aquí y aquí. Dr.Web detectó este programa nocivo como Backdoor.Spy.3365.

Como miner, adylkuzz consumía completamente todos los recursos disponibles, controlaba el administrador de tareas.exe pqrq que el mismo visualizara el uso normal del sistema.

https://null0x4d5a.blogspot.ru/2017/05/behavioral-analysis-of-adylkuzz.html

Por lo tanto, un miner no es simplemente algún programa “iniciado”.

Otro miner avanzado se conoce como CoinMiner (en clasificación de Dr.Web - Trojan.BtcMine.1505). También usa la vulnerabilidad EternalBlue de la colección NSA para infectar (la vulnerabilidad se usa para eliminar e iniciar el backdoor en el sistema), pero para iniciar los comandos administrativos en los sistemas infectados se usan los scripts de herramientas de administración Windows (Windows Management Instrumentation, WMI). CoinMiner no se guarda en el disco como archivo (es una amenaza sin archivo) y usa WMI para ocultar su presencia. En particular, para ejecutar los scripts se usaba la aplicación de los scripts WMI Standard Event (scrcons.exe).

WMI es un componente estándar de Windows y sirve para resolver las tareas cotidianas de administración, así mismo, para su automatización, iniciar programas a la hora establecida, recibir la información sobre las aplicaciones instaladas, supervisar los cambios en las carpetas…

Y los scripts WMI son los scripts JScript…

Otra vez vamos a comentar lo de WannaCry, igual que al principio de esta edición – los expertos de la empresa de investigación británica Kryptos Logic confirman (https://www.bleepingcomputer.com/news/security/wannacry-ransomware-sinkhole-data-now-available-to-organizations) que solo en marzo de 2018 se registraron unas 100 millones consultas al dominio que desactiva WannaCry, realizadas desde 2,7 millones de direcciones IP únicas. WannaCry, un conjunto nocivo, pero no el más peligroso, sigue difundiéndose.