El atacante intentó propagarse dentro de la organización infectando máquinas que ejecutaban Windows 7, explotando la conocida vulnerabilidad EternalBlue

El pasado mes de diciembre de 2019, Guardicore Labs proporcionó una respuesta a un ataque que afectó a una mediana empresa del sector de la tecnología médica. La red víctima estaba infectada con un malware perfectamente bien oculto, que escondía un criptominero Monero dentro de archivos WAV. 

El atacante intentó propagarse dentro de la organización infectando máquinas que ejecutaban Windows 7, sistema operativo que pronto llegará al final de su vida útil, explotando la famosa y agresiva vulnerabilidad EternalBlue.

Los primeros indicios de infección aparecieron el 14 de octubre en varias máquinas con Windows dentro de la red de la víctima, en forma de pantallazo azul (BSOD – Blue Screen of Death). Un pantallazo azul indica un error en el modo de kernel, lo que en sí mismo es un hecho inusual. Las pantallas azules llevaron a la compañía a consultar con su MSSP Blue Bastion, que unió fuerzas con Guardicore Labs para proceder con la investigación.

Desafortunadamente, las máquinas no estaban configuradas para conservar los volcados de memoria del kernel, lo que podría haber sido útil para el análisis forense y para entender la causa primera de los errores. Sin embargo, Guardicore se apoyó en otros recursos disponibles y restos de ataque para analizar los flujos de infección y post infección. Estos incluían la plataforma Guardicore Centra, volcados de registro, imágenes forenses y registros de servicios de red.

Infección: Powershell codificado en el registro

Continuamos inspeccionando las máquinas que experimentan pantallas azules en los mapas de visibilidad de la herramienta Guardicore Centra. Una de las máquinas ejecutó una larga línea de comandos, accediendo a datos sospechosos en la clave de registro HKLM. Consultamos la red y encontramos más de 800 terminales – más del 50% de toda la red – con datos inusuales. 

Como parte de los esfuerzos de remediación, la compañía víctima instaló una plataforma EDR. Allí, vimos pruebas de la carga del malware: en el árbol de procesos de una máquina infectada, observamos un script de Powershell que generaba otros procesos llamados cscdll.dll y cscomp.dll. Estos archivos son los responsables de compilar C# y se ejecutan cuando se carga el código C# y se ejecuta desde la memoria. En ese momento, recomendamos a la compañía que bloqueara toda la ejecución de Powershell en la red para prevenir cualquier otra infección.

Propagación por la red: Movimientos laterales con EternalBlue

Gracias a las capacidades de detección de infracciones de Centra, encontramos un par de incidentes en la red en los que se explotó EternalBlue. Esto, combinado con los escaneos de puertos SMB, muestra que el atacante utilizó la popular y largamente conocida vulnerabilidad como su estrategia de movimiento lateral. 

Tras este descubrimiento, Guardicore recomendó a la compañía que bloqueara todo el tráfico SMB entre las máquinas. La compañía había etiquetado las máquinas remotas en Centra con antelación, mucho antes de que fueran violadas, lo que hizo que la creación y aplicación de la política fuera significativamente más rápida.

La instrucción de bloquear el tráfico SMB entre máquinas remotas (etiquetadas como «Workstation») ayudó a impedir que el atacante se moviera lateralmente.

Análisis de malware: Monero Miner en un archivo WAV

Guardicore Labs realizó un ejercicio de ingeniería inversa de la carga útil de malware y encontró un archivo ejecutable de varias capas. Durante su ejecución, el payload desempaqueta sus módulos uno tras otro y ejecuta el código desempaquetado en cada iteración.

El malware contiene un módulo de criptografía basado en el minador de CPU XMRig de código abierto. Utiliza el algoritmo CryptonightR para extraer Monero, una criptodivisa bastante popular. Además, el malware hace uso de la esteganografía y esconde sus módulos maliciosos dentro de archivos WAV de aspecto limpio. La técnica fue reportada recientemente, pero esta fue la primera vez que se vio como parte de un flujo de ataque completo.

Facilitar la respuesta a los incidentes

El ataque se limpió eliminando el malware, terminando los procesos maliciosos y eliminando las claves del registro que contenían las cargas binarias. Poco después de estos pasos, todos los indicadores de compromiso (pantallas azules, comunicación de red sospechosa, procesos Powershell, etc.) desaparecieron.

Hay dos tipos de empresas: las que han sido hackeadas y las que aún no saben que han sido hackeadas. Tarde o temprano, un centro de datos puede ser atacado e infectado con malware. 

Sin embargo, la respuesta a incidentes puede ser bastante engorrosa. Desde Guardicore recomendamos estas medidas que pueden ayudar a facilitar el proceso de investigación y remediación en esos momentos críticos:

• Registros

Para poder conservar los registros, las organizaciones deben habilitar el reenvío de registros en máquinas con Windows y Linux a servidores centralizados y reforzados.

• Volcados de emergencia

Configurar el sistema para guardar volcados completos de caídas puede ser útil para analizar los ataques que causan tales fallas en el proceso. 

• ¡No tocar!

Por último y lo más importante, aunque el instinto inmediato nos dice que limpiemos las máquinas infectadas, se debe aislar y mitigar, pero no destruir las pruebas de la investigación. Y, por supuesto, consultar siempre a los profesionales de respuesta a incidentes antes de hacer nada.