domingo, 14 de mayo de 2017

Análisis del ransomware WannaCry

A estas alturas, ya todos los ciudadanos debemos saber casi por obligación qué es un Ransomware y más aún, en estos días (14 de Mayo de 2017) con el ataque masivo que se ha producido con el ransomware WannaCry. Un "juguete" más de los cyber-delincuentes que parece ser que han hecho uso del exploit EnternalBlue/DoublePulsar "fugado" de la NSA (National Security Agency US).


Básicamente se trata de un "malware" que codifica todos tus archivos importantes para pedirte una recompensa, por supuesto económica, a cambio de devolvértelos a su estado normal.


Así que, voy al grano con un pequeño y rápido análisis que acabo de hacer sobre este malware.






Partimos de una muestra capturada de dicho malware, la cual es un archivo binario (un ejecutable en sistemas operativos Windows). Un primer vistazo rápido para ver que tipo de archivo tenemos entre manos nos muestra lo siguiente:





Como podemos ver, se trata de un archivo PE de 32 bits, a priori programado en C++ y parece ser que utilizando el IDE de Microsoft Visual C++ 6.0. En este caso el malware viene como un archivo ejecutable con nombre "diskpart.exe" obviamente para intentar engañar a los técnicos haciéndoles creer que se trata de la herramienta del sistema que nos permite gestionar las particiones de un disco duro.

A continuación y como de costumbre echamos un vistazo a las secciones para ver si nos encontramos con las típicas de "casi" todo ejecutable de estas características o, por el contrario vemos alguna otra con nombre extraño que nos haga pensar que se trata de un binario compactado o empaquetado:


A priori nada raro que nos haga sospechar que estamos ante un empaquetado, aunque no tiene por que ser así. En cualquier caso, el siguiente paso que hago es echar un vistazo a la sección de datos y finalmente a la de recursos ".RSRC" la cual arroja una "grata" sorpresa. En los recursos tenemos una entrada con nombre "XIA":


Así que voy a ver que hay en ese recurso con un editor hexadecimal y en cuanto veo los caracteres de su comienzo, no hay duda, se trata de un archivo comprimido "ZIP", como vemos con su clásica cabecera "PK" comenzando en la dirección (OFFSET) previamente calculada (0x000100F0):


Ya os podéis imaginar cual es el siguiente paso que sigo, la adrenalina ya está a niveles casi descontrolados, así que a por ello ¿Qué habrá dentro de ese ZIP? Procedo en primer lugar a extraerlo del binario principal y guardarlo en un archivo, para su posterior descompresión.

¡Vaya! Resulta que se trata de un archivo comprimido en formato ZIP con contraseña. Bueno, ahora me tocará pegarme con el debugger para localizar la password, pensé en un primer momento. Pero, ¿y si antes miro las cadenas del binario principal?, para ver si los "inútiles" de los cyber-delincuentes no han sido del todo precavidos, o son unos novatillos. Pues voy a por ello y ¡zás! la suerte y la mediocridad de los cyber-delincuentes (menos mal) están de nuestro lado, como podemos ver en este pantallazo:


Ahí podemos ver una la cadena de texto, entre otras muchas, que nos abrirá las puertas al ZIP y por lo tanto nos permitirá descomprimirlo: 'WNcry@2ol7' Obviamente esto no salió a la primera, salió a la tercera ;)

Descomprimo el archivo ZIP para ve que me encuentro en su interior y esto es lo que hay:

Unos cuantos archivos interesantes con la extensión "WNRY", un par de archivos ejecutables con nombres: "TASKDL.EXE" y "TASKSE.EXE" que por buenas prácticas renombré a la extensión ".BIN" y finalmente una carpeta (directorio de toda la vida) llamada "MSG" y en cuyo interior nos encontramos con esta lista de archivos que hacen referencia a idiomas:


Todos como vemos también tienen esa curiosa extensión "WNRY" hemos de suponer que por abreviar el propio nombre del ransomware "WANNACRY". Por lo que se de analizar otros ransomware, posiblemente sean los pantallazos que muestran este tipo de malwares para pedirte la recompensa, pero eso ya lo veré.


Hasta este momento, parece obvio que el malware lo primero que va a hacer es extraer su recurso "XIA", descomprimirlo con la password mencionada y posiblemente comenzar a ejecutar uno de los dos archivos ".EXE". A partir de ahí comenzará muy probablemente a buscar archivos en el ordenador que cumplan ciertos requisitos, tipo documentos, archivos de proyectos de software conocido, etc. básicamente mirará sus extensiones (.DOC .PDF .JPG .PNG .C .CPP .TXT y un largo etc.)

Fijaros que curioso, un malware tan "dañino" que posiblemente no serviría PARA NADA, si todos nuestros archivos no tuvieran esas extensiones. Obviamente ya sacarían después alguna variante para atacar buscando en el contenido de los archivos para saber su tipo, pero de momento, en este caso no habría podido hacer NADA.

Y, finalmente, el malware intentará replicarse por la RED en la que se encuentre, aprovechándose de la vulnerabilidad en el servicio SMB, que dicho sea de paso se parcheó el 14 de Marzo del presente año 2017.

En fin, con más tiempo seguiría con el análisis, pero, el deber me llama y a estas alturas ya habrá muchas empresas/individuales haciendo un análisis más extenso del ransomware.

No hay comentarios:

Publicar un comentario