Malware en Chile Del email al compromiso de
- Slides: 55
Malware en Chile Del email al compromiso de la red Ricardo Monreal Llop Chile Malware Intelligence – Telefónica 1
¿Quién soy? » MSc Computing and Security » OSCP » Experiencia en: • • e. Commerce Gobierno Telco Fundaciones Lamentablemete no soy fotogénico 2
Temario » Email • • Ejemplos Protecciones » Detección de correo malicioso » Campañas maliciosas • • Emotet N 40 » Noticias recientes » Conclusiones 3
Emails “maliciosos” 4
Analizando… 5
¿Y las protecciones? SPF: Sender Policy Framework https: //mxtoolbox. com/spf. aspx 6
Problema » SPF protégé el “From” solo si la cabecera “Return-Path” no está seteada. » “Return-Path” puede estar configurada para el dominio malicioso de origen 7
¿Qué más hacer? DMARC https: //mxtoolbox. com/DMARC. aspx 8
¿Cómo detectar correo malicioso? » SPAM vs Malspam » SPAM • • Promociones Noticias Enviado por “mailers conocidos” Desuscribirse “real” » Malspam • • SPAM + interacción Todos links son iguales 9
Ejemplos de Malspam » Campañas que afectan a Chile • EMOTET • N 40 10
EMOTET » Malware por correo (Malspam) » Campaña Internacional » Tiene varias funcionalidades: • • • Recolector de password: redes, correo, etc. Gusano: infección por SMB o fuerza bruta Distribuye otros malware » Qué NO es • • No es malware bancario No es Ransomware 11
Mapa de C&C (20/03) Fuente: https: //feodotracker. abuse. ch/statistics/ 12
Mapa de C&C (02/04) Fuente: https: //feodotracker. abuse. ch/statistics/ 13
Mapa de C&C (10/04) Fuente: https: //feodotracker. abuse. ch/statistics/ 14
Ciclo de infección 15
Atacantes https: //www. crowdstrike. com/resources/reports/2019 -crowdstrike-global-threat-report/ 16
Atacantes » Equipo organizado • • Pocas personas “Mummy Spider” (Crowdstrike) » Apoyan a otras organizaciones criminales • Distribuyen Trickbot, Bokbot, Dridex » Abusan de sitios Wordpress y Drupal » Actualizan constantemente el código 17
Víctimas TODOS 18
El correo » Intenta convencer de acciones rápidas • Documentación vencida » Descargar Factura o Boleta • Archivo Word 19
Dropper » Es un documento Word • Están probando variantes » Abusa de confianza • Click en “habilitar edición” es automático » Tienen 2 “Epoch” • Definen 2 grupos de C&C 20
Análisis de Dropper » Logran ejecutar código CMD o Powershell » Evolucionan en la ofuscación • • ‘Mal’+‘ware’ “{2}{1}” -f ‘ware’, ‘Mal’ » Descarga stage 2 de 5 URL (por Epoch) 21
DEMO https: //github. com/joydragon/IOC_Emotet 22
Stage 2 » Se descarga y ejecuta de fondo • Sin interacciones del usuario » Existen algunas rutas predeterminadas • • %windir%system 32culturesource. exe %Local. App. Data%culturesourceculturesour ce. exe https: //www. fortinet. com/blog/threat-research/analysis-of-a-fresh-variant-of-the-emotet-malware. html 23
Análisis de Stage 2 » Está analizado por investigadores de todo el mundo » Módulos: • • • Fuerza bruta en LAN Robo de correos de Outlook Instalación de Trickbot https: //www. fortinet. com/blog/threat-research/analysis-of-the-new-modules-that-emotet-spreads. html 24
Equipo infectado » ¿Qué hacer ahora? • Robar correos • Infectar otros equipos de la red • “Controlar equipo” 25
Impacto » Probabilidad de infección: Alta • Eslabón débil es el usuario » Probabilidad de detección temprana: Media Empresas de seguridad están usando listas negras » Probabilidad de detección post infección: Baja • Muy difícil de hacer forense • 26
Detección y Prevención » Detección • • Ejecución de macros “on. Load” Ejecución de comando CMD o Powershell desde Word Stage 2 ubicado en %Local. App. Data%culturesource. exe Comunicación con IP/Puerto de IOC (recolectar diariamente) - https: //pastebin. com/u/jroosen/1 - https: //feodotracker. abuse. ch/blocklist/ » Prevención • • Quitar usuarios con privilegios de administrador local Bloqueo de macros a “usuarios comunes” Deshabilitar Powershell Educación, educación 27
Ejemplos de Malspam » Campañas que afectan a Chile • EMOTET • N 40 28
N 40 » Malware por correo » Detectado por Telefónica Chile • • Miguel Méndez y Claudio Cortés Difusión de Elevenpath » Troyano Bancario » Tiene varias funcionalidades » • RAT • Keylogger • Browser Overlay • Bitcoin stealer Que NO es N 40 • No es EMOTET • No es Ransomware 29
Ciclo de infección: N 40 32
Atacantes » Equipo brasileño » Llevan 2 -3 años » Atacan bancos de Chile 33
Víctimas » Usuarios de Chile, Brasil, etc. » Clientes bancarios » Potencialmente todos nosotros 34
Correo malicioso » Correo de multiples formas » Siempre con un link llamando a la acción 35
Dropper » Es un archivo comprimido (. zip) que contiene: • VBE/VBS • CMD -> VBS o JS • LNK -> PS 1 36
Comportamiento C: \Program. Data\ 37
Comportamiento » Crea archivos en %USERPROFILE%%USERNAME% » C: UsersRicardo » C: UsersRicardo. js » Descarga archivos en C: Program. Data 38
Stage 2 » Utiliza distintos métodos de infección de stage 2 • (2018) • • aplicación válida que ejecuta binarios ofuscados (2018 -2019) vmnat. exe • • Auto. IT 3 aplicación válida de VMWare vulnerable a. dll hijacking (2019) • Nv. Smart. Max. exe aplicación válida de Nvidia vulnerable a. dll hijacking 39
DLL Hijacking shfolder. dll SHGet. Folder. Pathw 40
Funcionalidades N 40 » Keylogger • Espera a que teclees “cosas interesantes” • URL de banco • Claves de webmail 41
Funcionalidades N 40 » Web Injection • Modifica sitio del banco • Pide cosas “inusuales” 42
Funcionalidades N 40 » Descarga nuevos “binarios” • Actualizaciones • Herramientas nuevas 43
Funcionalidades N 40 » Robo de portapapeles (BTC) 1 PPVzjf. PZece 9 mw. JKd. PB 5 Kbhv 4 Ji. Sem. FCu CTRL+V 1 CMGi. EZ 7 shf 179 Hz. XBq 5 KKWVG 3 Bz. KMKQg. S Wallet Atacante 44
Impacto » Probabilidad de infección: Alta • Eslabón débil es el usuario » Probabilidad de detección temprana: Baja • Aún no se masifica su detección » Probabilidad de detección post infección: Muy Baja • Muy difícil de hacer forense 45
Detección y Prevención » Detección • • Monitoreo de carpeta %USERPROFILE% Monitoreo de archivos en C: Program. Data » Prevención • • Quitar usuarios con privilegios de administrador local Revisión de adjuntos con extensiones maliciosas en correo Deshabilitar Powershell Educación, educación 46
Actualidad noticiosa 47
Comunicado 22 -23 Marzo 48
Discusión al respecto » Análisis del comunicado Son 3 campañas distintas » Generó muchas reacciones Se pedían explicaciones y reacciones » Comunidades de seguridad confundidas Se copia/difunde? Se analiza/espera? 49
Nuestro análisis » Semana 18/03 » Comunicado 22/03 – 23/03 Alerta sobre 3 de las 4 amenazas anteriores Amenaza “Zonidel” no tuvo descripción 50
¿Cómo mejorar el flujo? » Comenzar con pocos datos » Apoyo en expertos del área » Generar informe técnico posterior que transparente y sustente la alerta 51
Conclusiones » Amenazas dejaron de ser simples Grupos altamente organizados para el crimen » Estamos trabajando en Seguridad Somos personas/comunidades activas y en alerta » Comuniquémonos y compartamos Fortalezcamos las redes 52
Muchas Gracias!
Información sobre IOC Emotet » Existen fuentes abiertas » https: //feodotracker. abuse. ch/blocklist/ » https: //pastebin. com/u/jroosen/1 » Existen perfiles en Twitter » https: //twitter. com/Cryptolaemus 1 » https: //twitter. com/jroosen 54
MISP » Sistema de recolección de IOC » Ayuda a tener información histórica de campañas » Telefónica (2018 -09) » FINSIN (2018 -05) 55
MISP 56
Telefónica » MISP con casi 400 investigaciones » Equipo de Laboratorio de Investigación » Monitoreo de amenazas » Investigación de amenazas avanzadas 57