Ir al contenido principal

Análisis del ransomware WannaCry

A estas alturas, ya todos los ciudadanos debemos saber casi por obligación qué es un Ransomware y más aún, en estos días (14 de Mayo de 2017) con el ataque masivo que se ha producido con el ransomware WannaCry. Un "juguete" más de los cyber-delincuentes que parece ser que han hecho uso del exploit EnternalBlue/DoublePulsar "fugado" de la NSA (National Security Agency US).


Básicamente se trata de un "malware" que codifica todos tus archivos importantes para pedirte una recompensa, por supuesto económica, a cambio de devolvértelos a su estado normal.


Así que, voy al grano con un pequeño y rápido análisis que acabo de hacer sobre este malware.






Partimos de una muestra capturada de dicho malware, la cual es un archivo binario (un ejecutable en sistemas operativos Windows). Un primer vistazo rápido para ver que tipo de archivo tenemos entre manos nos muestra lo siguiente:





Como podemos ver, se trata de un archivo PE de 32 bits, a priori programado en C++ y parece ser que utilizando el IDE de Microsoft Visual C++ 6.0. En este caso el malware viene como un archivo ejecutable con nombre "diskpart.exe" obviamente para intentar engañar a los técnicos haciéndoles creer que se trata de la herramienta del sistema que nos permite gestionar las particiones de un disco duro.

A continuación y como de costumbre echamos un vistazo a las secciones para ver si nos encontramos con las típicas de "casi" todo ejecutable de estas características o, por el contrario vemos alguna otra con nombre extraño que nos haga pensar que se trata de un binario compactado o empaquetado:


A priori nada raro que nos haga sospechar que estamos ante un empaquetado, aunque no tiene por que ser así. En cualquier caso, el siguiente paso que hago es echar un vistazo a la sección de datos y finalmente a la de recursos ".RSRC" la cual arroja una "grata" sorpresa. En los recursos tenemos una entrada con nombre "XIA":


Así que voy a ver que hay en ese recurso con un editor hexadecimal y en cuanto veo los caracteres de su comienzo, no hay duda, se trata de un archivo comprimido "ZIP", como vemos con su clásica cabecera "PK" comenzando en la dirección (OFFSET) previamente calculada (0x000100F0):


Ya os podéis imaginar cual es el siguiente paso que sigo, la adrenalina ya está a niveles casi descontrolados, así que a por ello ¿Qué habrá dentro de ese ZIP? Procedo en primer lugar a extraerlo del binario principal y guardarlo en un archivo, para su posterior descompresión.

¡Vaya! Resulta que se trata de un archivo comprimido en formato ZIP con contraseña. Bueno, ahora me tocará pegarme con el debugger para localizar la password, pensé en un primer momento. Pero, ¿y si antes miro las cadenas del binario principal?, para ver si los "inútiles" de los cyber-delincuentes no han sido del todo precavidos, o son unos novatillos. Pues voy a por ello y ¡zás! la suerte y la mediocridad de los cyber-delincuentes (menos mal) están de nuestro lado, como podemos ver en este pantallazo:


Ahí podemos ver una la cadena de texto, entre otras muchas, que nos abrirá las puertas al ZIP y por lo tanto nos permitirá descomprimirlo: 'WNcry@2ol7' Obviamente esto no salió a la primera, salió a la tercera ;)

Descomprimo el archivo ZIP para ve que me encuentro en su interior y esto es lo que hay:

Unos cuantos archivos interesantes con la extensión "WNRY", un par de archivos ejecutables con nombres: "TASKDL.EXE" y "TASKSE.EXE" que por buenas prácticas renombré a la extensión ".BIN" y finalmente una carpeta (directorio de toda la vida) llamada "MSG" y en cuyo interior nos encontramos con esta lista de archivos que hacen referencia a idiomas:


Todos como vemos también tienen esa curiosa extensión "WNRY" hemos de suponer que por abreviar el propio nombre del ransomware "WANNACRY". Por lo que se de analizar otros ransomware, posiblemente sean los pantallazos que muestran este tipo de malwares para pedirte la recompensa, pero eso ya lo veré.


Hasta este momento, parece obvio que el malware lo primero que va a hacer es extraer su recurso "XIA", descomprimirlo con la password mencionada y posiblemente comenzar a ejecutar uno de los dos archivos ".EXE". A partir de ahí comenzará muy probablemente a buscar archivos en el ordenador que cumplan ciertos requisitos, tipo documentos, archivos de proyectos de software conocido, etc. básicamente mirará sus extensiones (.DOC .PDF .JPG .PNG .C .CPP .TXT y un largo etc.)

Fijaros que curioso, un malware tan "dañino" que posiblemente no serviría PARA NADA, si todos nuestros archivos no tuvieran esas extensiones. Obviamente ya sacarían después alguna variante para atacar buscando en el contenido de los archivos para saber su tipo, pero de momento, en este caso no habría podido hacer NADA.

Y, finalmente, el malware intentará replicarse por la RED en la que se encuentre, aprovechándose de la vulnerabilidad en el servicio SMB, que dicho sea de paso se parcheó el 14 de Marzo del presente año 2017.

En fin, con más tiempo seguiría con el análisis, pero, el deber me llama y a estas alturas ya habrá muchas empresas/individuales haciendo un análisis más extenso del ransomware.

Comentarios

Entradas populares de este blog

Driver L293D de Texas Instruments

El L293D de Texas Instruments es sin lugar a dudas un circuito integrado de un gran valor cuando necesitamos controlar motores de corriente continua o bipolares de pasos (Bipolar stepping motors)Es cierto que se trata de un puente en H (o medios puentes), en este caso cuádruple, que sin bien podríamos crearlo con transistores, el echo de que se encuentre integrado en un único chip es de agradecer.Capáz de conducir corrientes bidireccionales de hasta 1 amperio en el modelo L293 y hasta 600 mA en el modelo L293D y con tensiones que van desde los 4.5V hasta los 36V en ambos modelos.Por supuesto podemos utilizarlo en otras aplicaciones o para controlar otros componentes: motores de corriente continua, relés, motores de paso bipolares, solenoides en general y cualquier carga que requiera una alta corriente y tensión.Las entradas son de tipo TTL y se activan por parejas, es decir, desde la pata Enable 1,2EN, activamoslas entradas 1 y 2 y desde la pata Enable 3,4EN activamos la 3 y la 4. Cad…

Árbol binario de expresión y Notación Posfija (II)

En una publicación anterior, hablaba sobre que es la notación posfija, para que puede ser útil y mostraba un pequeño ejemplo con una expresión aritmética simple:
(9 - (5 + 2)) * 3
Pues bien, hoy voy a mostraros como podemos crear el árbol binario correspondiente para analizar o evaluar esta expresión, haciendo uso del recorrido en postorden.
Lo primero que debemos hacer es crear el árbol, respetando las siguientes reglas:
⦁ Los nodos con hijos (padres) representarán los operadores de la expresión.
⦁ Las hojas (terminales sin hijos) representarán los operandos.
⦁ Los paréntesis generan sub-árboles.
A continuación podemos ver cómo queda el árbol para la expresión del ejemplo (9 - (5 + 2)) * 3:




Si queremos obtener la notación postfija a partir de este árbol de expresión, debemos recorrerlo en postorden (nodo izquierdo – nodo derecho – nodo central), obteniendo la expresión: 952+-3x
Así, si quisiéramos evaluar la expresión, podemos hacer uso de un algoritmo recursivo. A continuación tene…

GNUPG - Instalación en Windows

Podemos descargar GNUPG para windows en su versión 1.4.9 desde aquí.El proceso de instalación de GNUPG es un proceso muy sencillo que básicamente consiste en pulsar siguiente..., instalar y finalizar. Una vez instalado estará en "C:\Program Files\GNU\GnuPG", eso si no hemos cambiado nosotros la ubicación, la cual será muy importante recordar.

Para poder utilizar cómodamente GNUPG desde la "Shell de comandos", tenemos que asegurarnos de que en la variable de entorno PATH, está añadido el path al directorio de instalación de GNUPG. Esto no es estrictamente necesario, ya que, podemos acceder al directorio de GNUPG y desde ahí ejecutar los comandos pero, personalmente recomiendo que asigneis a la variable de entorno PATH los valores correctos para poder ejecutar GNUPG desde cualquier ubicación.

Hay varias formas de modificar o añadir variables de entorno. Podemos hacerlo desde la propia shell o desde el panel de control de windows. Una forma rápida de llegar a la ventana…