El nuevo malware Rombertik ataca los discos duros y borra el MBR si se detecta

CarbonCrack

El juego del gato y el ratón entre los autores de malware y los sombreros blancos de seguridad puede haber entrado en una nueva fase esta semana, gracias a un nuevo y agresivo sistema de malware que no solo intenta ofuscar su propia operación, sino que escanea agresivamente en busca de pistas que otros están monitoreando sus acciones. Si detecta que está operando dentro de una máquina virtual, el malware, denominado Rombertik, se volverá nuclear e intentará sobrescribir el registro de arranque maestro del disco duro local.

El equipo de respuesta a amenazas de Cisco ha detallado el funcionamiento de Rombertik, y los vectores de ofuscación y ataque del malware son únicos. Una vez instalado, es un rastreador de datos bastante estándar que captura indiscriminadamente la información disponible en una PC infectada. Lo que distingue a Rombertik es la forma en que verifica si se está ejecutando en una caja de arena proporcionada por VM y las acciones que realiza si se encuentra en tal modo.

Flujo de compromiso

Click para agrandar



La infografía anterior desglosa cómo funciona el malware y qué hace. Rombertik contiene una gran cantidad de información diseñada para que parezca genuina; Cisco estima que el 97% del archivo empaquetado está dedicado a imágenes y funciones que el malware real nunca utiliza. Una vez que comienza a ejecutarse, el ejecutable comienza escribiendo 960 millones de bytes aleatorios en la memoria. Esto no tiene ninguna función útil, pero asegura que cualquier aplicación que intente rastrear la actividad del malware sea inundada por más de 100 GB de archivos de registro.

Una vez completada esta tarea, Rombertik realiza algunas llamadas de función no válidas específicas para verificar errores particulares (está buscando un error que una máquina virtual normalmente podría suprimir). Una vez que decide que no es ejecutándose dentro de una caja de arena, el malware comienza a descomprimirse. El código se confunde deliberadamente con docenas de funciones, saltos e hinchazón innecesaria (pero confusa).

Flujos de control

Los controles de seguridad están a la derecha y el código principal a la izquierda. Click para agrandar

Este mapa de complejidad muestra el código anti-análisis a la derecha, el ejecutable a la izquierda. Si bien el código anti-análisis puede parecer más desalentador, en realidad es un diagrama de flujo relativamente simple con una gran cantidad de iteraciones. El gráfico de la izquierda, por el contrario, es un lío de bloques de función, comprobaciones y cientos de nodos, todo ello destinado a evitar que los analistas lean lo que se ha escrito.

Al final de este proceso, Rombertik calcula un hash de 32 bits, lo compara con una muestra desempaquetada y, si detecta que se está ejecutando en una VM, declara inmediatamente la guerra contra el Master Boot Record de su disco duro. Si no puede acceder y sobrescribir el MBR, encripta todos los archivos dentro de la carpeta C: Documents and Settings Administrator usando una clave RC4. Si puede conseguir el MBR, sobrescribe los datos de la partición con bytes nulos, lo que dificulta enormemente la restauración de la unidad.

Entonces, ¿quién escribió Rombertik?

Lo extraño de Rombertik es que combina elementos del malware clásico (un intento de phishing inicial mal escrito y una captura de datos estándar de las sesiones del navegador) con algunos métodos anti-detección absolutamente de primer nivel y un gancho de derecha increíble si se detecta. Los autores de Rombertik han hecho todo lo posible para garantizar que el virus llegue al objetivo y pueda realizar sus acciones. Pero este es el tipo de técnica de ofuscación que esperaríamos ver en los productos de los actores estatales: si no es nuestro propio gobierno, luego de otra persona.

Nadie está hablando de ningún tipo de iniciativa del gobierno adjunto a Rombertik. En cierto modo, eso es en realidad más preocupante: un troyano de este complejo que fue diseñado por actores estatales es preocupante para empezar, pero estas técnicas que se están generalizando es casi peor. La publicación del blog de Cisco tiene más detalles sobre el malware y sus funciones: dale una lectura si quieres echar un vistazo a uno de los proyectos de malware más impresionantes hasta la fecha.

Copyright © Todos Los Derechos Reservados | 2007es.com