Ir al contenido principal

Análisis del ransomware WannaCry

A estas alturas, ya todos los ciudadanos debemos saber casi por obligación qué es un Ransomware y más aún, en estos días (14 de Mayo de 2017) con el ataque masivo que se ha producido con el ransomware WannaCry. Un "juguete" más de los cyber-delincuentes que parece ser que han hecho uso del exploit EnternalBlue/DoublePulsar "fugado" de la NSA (National Security Agency US).


Básicamente se trata de un "malware" que codifica todos tus archivos importantes para pedirte una recompensa, por supuesto económica, a cambio de devolvértelos a su estado normal.


Así que, voy al grano con un pequeño y rápido análisis que acabo de hacer sobre este malware.






Partimos de una muestra capturada de dicho malware, la cual es un archivo binario (un ejecutable en sistemas operativos Windows). Un primer vistazo rápido para ver que tipo de archivo tenemos entre manos nos muestra lo siguiente:





Como podemos ver, se trata de un archivo PE de 32 bits, a priori programado en C++ y parece ser que utilizando el IDE de Microsoft Visual C++ 6.0. En este caso el malware viene como un archivo ejecutable con nombre "diskpart.exe" obviamente para intentar engañar a los técnicos haciéndoles creer que se trata de la herramienta del sistema que nos permite gestionar las particiones de un disco duro.

A continuación y como de costumbre echamos un vistazo a las secciones para ver si nos encontramos con las típicas de "casi" todo ejecutable de estas características o, por el contrario vemos alguna otra con nombre extraño que nos haga pensar que se trata de un binario compactado o empaquetado:


A priori nada raro que nos haga sospechar que estamos ante un empaquetado, aunque no tiene por que ser así. En cualquier caso, el siguiente paso que hago es echar un vistazo a la sección de datos y finalmente a la de recursos ".RSRC" la cual arroja una "grata" sorpresa. En los recursos tenemos una entrada con nombre "XIA":


Así que voy a ver que hay en ese recurso con un editor hexadecimal y en cuanto veo los caracteres de su comienzo, no hay duda, se trata de un archivo comprimido "ZIP", como vemos con su clásica cabecera "PK" comenzando en la dirección (OFFSET) previamente calculada (0x000100F0):


Ya os podéis imaginar cual es el siguiente paso que sigo, la adrenalina ya está a niveles casi descontrolados, así que a por ello ¿Qué habrá dentro de ese ZIP? Procedo en primer lugar a extraerlo del binario principal y guardarlo en un archivo, para su posterior descompresión.

¡Vaya! Resulta que se trata de un archivo comprimido en formato ZIP con contraseña. Bueno, ahora me tocará pegarme con el debugger para localizar la password, pensé en un primer momento. Pero, ¿y si antes miro las cadenas del binario principal?, para ver si los "inútiles" de los cyber-delincuentes no han sido del todo precavidos, o son unos novatillos. Pues voy a por ello y ¡zás! la suerte y la mediocridad de los cyber-delincuentes (menos mal) están de nuestro lado, como podemos ver en este pantallazo:


Ahí podemos ver una la cadena de texto, entre otras muchas, que nos abrirá las puertas al ZIP y por lo tanto nos permitirá descomprimirlo: 'WNcry@2ol7' Obviamente esto no salió a la primera, salió a la tercera ;)

Descomprimo el archivo ZIP para ve que me encuentro en su interior y esto es lo que hay:

Unos cuantos archivos interesantes con la extensión "WNRY", un par de archivos ejecutables con nombres: "TASKDL.EXE" y "TASKSE.EXE" que por buenas prácticas renombré a la extensión ".BIN" y finalmente una carpeta (directorio de toda la vida) llamada "MSG" y en cuyo interior nos encontramos con esta lista de archivos que hacen referencia a idiomas:


Todos como vemos también tienen esa curiosa extensión "WNRY" hemos de suponer que por abreviar el propio nombre del ransomware "WANNACRY". Por lo que se de analizar otros ransomware, posiblemente sean los pantallazos que muestran este tipo de malwares para pedirte la recompensa, pero eso ya lo veré.


Hasta este momento, parece obvio que el malware lo primero que va a hacer es extraer su recurso "XIA", descomprimirlo con la password mencionada y posiblemente comenzar a ejecutar uno de los dos archivos ".EXE". A partir de ahí comenzará muy probablemente a buscar archivos en el ordenador que cumplan ciertos requisitos, tipo documentos, archivos de proyectos de software conocido, etc. básicamente mirará sus extensiones (.DOC .PDF .JPG .PNG .C .CPP .TXT y un largo etc.)

Fijaros que curioso, un malware tan "dañino" que posiblemente no serviría PARA NADA, si todos nuestros archivos no tuvieran esas extensiones. Obviamente ya sacarían después alguna variante para atacar buscando en el contenido de los archivos para saber su tipo, pero de momento, en este caso no habría podido hacer NADA.

Y, finalmente, el malware intentará replicarse por la RED en la que se encuentre, aprovechándose de la vulnerabilidad en el servicio SMB, que dicho sea de paso se parcheó el 14 de Marzo del presente año 2017.

En fin, con más tiempo seguiría con el análisis, pero, el deber me llama y a estas alturas ya habrá muchas empresas/individuales haciendo un análisis más extenso del ransomware.

Comentarios

Entradas populares de este blog

Como usar el TL431 (muy facil)

En este artículo, no vamos a entrar en el funcionamiento interno de este IC, ni tampoco en sus características técnicas, puesto que para esos fines ya existe su hoja de datos correspondiente. Más bien, lo que pretendo aquí es dejar constancia de como podemos utilizar este IC desde un punto de vista práctico, útil y sobre todo de una manera sencilla, con el objetivo de que cualquiera pueda utilizarlo. Si has llegado hasta aquí, probablemente ya sabes que por internet hay mucha información sobre este IC, pero también bastante confusa o excesivamente técnica, sin mostrar tan siquiera un ejemplo de funcionamiento, o como calcular sus pasivos. Pues se acabó, a partir de hoy y después de leer este post, ya te quedará claro como utilizar el TL431 para obtener una tensión de referencia estable y precisa. Vamos al grano y que mejor que empezar aclarando que el TL431 NO ES EXACTAMENTE UN ZENER como se empeñan en decir en muchos sitios, es verdad que se le conoce como el Zener Progra

Expresión Regular para números en Notación Científica (1.5e-10)

No cabe duda que las expresiones regulares tienen un potencial de mucho valor a la hora de analizar textos, ya sea para marcado, búsqueda de patrones, o incluso la programación de un compilador, un analizador de frases, de expresiones matemáticas, etc.   En esta ocasión he tenido que echar mano de ellas para el análisis de textos matemáticos en los cuales aparecen números en Notación Científica (con exponentes del tipo 1.5E-10). Pues bien, una expresión regular que me está funcionando bastante bien es la siguiente:   [-+]?[0-9]*\.?[0-9]+([eE][-+]?[0-9]+)?    Esta expresión regular se puede descomponer en los siguientes bloques, para poder interpretarla con mayor facilidad:  El primer bloque [-+]? está indicando que el número podría estar precedido opcionalmente de un signo - o un signo + El segundo bloque [0-9]* indica que podría aparecer un número de 0 o más dígitos del 0 al 9  El tercer bloque indica que también de manera opcional podría aparecer un pun

Árbol binario de expresión y Notación Posfija (II)

En una publicación anterior, hablaba sobre que es la notación posfija, para que puede ser útil y mostraba un pequeño ejemplo con una expresión aritmética simple: (9 - (5 + 2)) * 3 Pues bien, hoy voy a mostraros como podemos crear el árbol binario correspondiente para analizar o evaluar esta expresión, haciendo uso del recorrido en postorden. Lo primero que debemos hacer es crear el árbol, respetando las siguientes reglas: ⦁ Los nodos con hijos (padres) representarán los operadores de la expresión. ⦁ Las hojas (terminales sin hijos) representarán los operandos. ⦁ Los paréntesis generan sub-árboles. A continuación podemos ver cómo queda el árbol para la expresión del ejemplo (9 - (5 + 2)) * 3: Si queremos obtener la notación postfija a partir de este árbol de expresión, debemos recorrerlo en postorden (nodo izquierdo – nodo derecho – nodo central), obteniendo la expresión: 952+-3x Así, si quisiéramos evaluar la expresión, podemos hacer uso de un algoritmo