Cómo fortiedr protege contra hermeticwiper

Consulta técnica sobre FortiEDR

Índice

1 Introducción
2 Detección y Mitigación con FortiEDR
3 Caza de amenazas
4 MITRE ATT&CK
5 COI

Introducción

El 23 de febrero de 2022, numerosas organizaciones dentro de Ucrania fueron objeto de ataques que empleaban el malware ‘KillDisk’ o ‘HermeticWiper’. Una vez implementado, este malware emplea varios controladores para corromper el registro de arranque maestro (MBR) del punto final de destino. Los clientes de FortiEDR están protegidos contra esta variante de malware. El contexto del empleo de estas muestras únicas es interesante, ya que parece no tener un resultado comercial para el adversario y no tiene otra funcionalidad que la diseñada para destruir irremediablemente los datos en un punto final. También es interesante que los informes indiquen que el ransomware se implementó junto con el software del limpiador, al igual que los ataques DDoS significativos, ambos probablemente implementados como señuelos para vincular la respuesta a incidentes y los recursos de seguridad a medida que el limpiador se ejecutaba en los entornos de destino.

Este artículo destacará cómo FortiEDR detecta y bloquea el comportamiento asociado con esta actividad de limpieza y cómo garantizar que FortiEDR esté configurado para ofrecer estas protecciones. Hay información coherente limitada que describe la cadena de ataque que conduce a la implementación de esta muestra, por lo que este artículo analizará varias muestras de HermeticWiper de forma aislada, con actualizaciones futuras del artículo a medida que se pueda verificar más información.

Detección y Mitigación con FortiEDR

El comportamiento de la muestra de HermeticWiper desencadena numerosas reglas en las políticas de seguridad de FortiEDR. Estas reglas se pueden ver a continuación. Debido al enriquecimiento automático de FortiEDR con la inteligencia de amenazas de FortiGuard, las muestras conocidas se marcan como ‘KillDisk.NCV!tr’. Debido a esta etiqueta, los intentos de lectura de archivos para este ejecutable se bloquearán antes de la ejecución. Los eventos generados durante la ejecución de este ejemplo se muestran a continuación en la Figura 1.

Figura 1 . FortiEDR detecta numerosos eventos de comportamiento relacionados con la ejecución del malware HermeticWiper. Estas detecciones y mitigaciones evitan que afecte los endpoints protegidos.

Para demostrar cómo FortiEDR también detecta archivos con un hash desconocido, añadimos algunos caracteres aleatorios al archivo y lo volvimos a ejecutar. Podemos ver a partir de esta detección que el hash ha cambiado y no coincide con una firma conocida. Independientemente de esto, FortiEDR aún marca este archivo como sospechoso, ya que el motor de aprendizaje automático de Fortinet Cloud Services evalúa que tiene una alta probabilidad de ser malicioso. Esta evaluación se puede ver a continuación en la Figura 2

Figura 2 . FortiEDR emplea múltiples sandboxes en línea y un motor de aprendizaje automático como parte del backend en la nube de Fortinet Cloud Services (FCS). Esto le permite detectar nuevas versiones de variantes de malware sin firmas conocidas, como se muestra arriba para una muestra desconocida de HermeticWiper.

Una vez ejecutado con los permisos adecuados (acceso de administrador), el limpiador extraerá una copia de un controlador de uno de sus recursos integrados según la arquitectura del objetivo y la escribirá brevemente en el disco. Los archivos se almacenan en el formato ‘ms-compressed’. Una vez escrito en el disco, en “C:WindowsSystem32Drivers<four_random_lowercse_letters>.sys”, el limpiador carga el controlador. Se puede observar que FortiEDR detecta este comportamiento en el evento que se muestra a continuación en la Figura 3 y se marca como «Modificar la configuración del sistema operativo».

Figura 3 . FortiEDR detecta y marca el ejecutable HermeticWiper cargando el controlador zddr.sys (empntdrv.sys). FortiEDR bloquearía este comportamiento en el modo ‘Proteger’.

Este controlador es una copia del controlador ‘empntdrv.sys’ o ‘EaseUS’, que es un controlador legítimo utilizado para la recuperación de datos. La escritura de este controlador es un comportamiento no estándar y sirve como un indicador de alta confianza disponible para buscar a través de la función Threat Hunting de FortiEDR que se trata en una sección posterior de este artículo. El nombre del controlador se aleatoriza en cada ejecución.

El limpiador carga este controlador y luego lo ejecuta para proporcionar acceso de disco sin procesar a todas las unidades físicas montadas. El limpiador utiliza el acceso otorgado por este controlador para acceder al Registro de arranque maestro (MBR) de cada unidad y sobrescribirlo con datos generados aleatoriamente, corrompiendo las unidades y dejándolas inutilizables. FortiEDR detectará y bloqueará el acceso directo al disco por parte del proceso malicioso como un evento malicioso de ‘Acceso a archivos’. Esto se puede observar en el evento representado en la Figura 4 a continuación.

Figura 4 . FortiEDR detecta y marca el controlador zddr.sys (empntdrv.sys) que intenta acceder y sobrescribir el MBR como actividad maliciosa. Este es el proceso de borrado, FortiEDR bloquearía este comportamiento en el modo ‘Proteger’.

Una vez que se ha escrito el MBR, el controlador se descarga y se elimina. Al reiniciar debido a la corrupción del MBR, el terminal de la víctima mostrará la pantalla que se muestra a continuación en la Figura 5.

Figura 5 . Pantalla que se muestra en el arranque luego de la corrupción del MBR por HermeticWiper

Como se destacó anteriormente, FortiEDR detectará y bloqueará la ejecución previa de esta familia de malware, incluso si se lanzan nuevas variantes debido a la integración de la inteligencia de amenazas, el sandboxing en línea y los motores de aprendizaje automático de FortiGuard. Además de esto, FortiEDR detectará y bloqueará el comportamiento posterior realizado por esta familia de malware, evitando que destruya los puntos finales de destino, incluso si se ejecutan muestras.

Caza de amenazas

Identifique el limpiador en función de los eventos de creación de archivos (controladores). Tenga en cuenta que el nombre del archivo cambia en cada ejecución (a un nombre de archivo de cuatro letras), por lo que esta búsqueda es relativamente genérica. Esta consulta deberá filtrarse por entorno. Por lo general, los controladores solo los instalan los instaladores a través de msiexec; sin embargo, el software de seguridad generalmente reside como un controlador, por lo que creará un nuevo controlador en la actualización que deberá filtrarse.

Type:"File Create" AND Target.File.Path:"Windows\System32\Drivers" AND Target.File.Ext:"sys" AND Target.File.Name:????.sys NOT Source.Process.Name:"msiexec.exe"

Identifique operaciones de registro anómalas asociadas con la ejecución del limpiador. El ‘showCompColor’ alterna si los archivos NTFS comprimidos y cifrados se muestran en color cuando se muestran a través del explorador y el valor ‘showInfoTip’ alterna si las descripciones emergentes para carpetas y elementos de escritorio se muestran al pasar el mouse. Los cambios en estas configuraciones de registro solo parecen afectar la salida de la GUI y su propósito dentro de la muestra parece tener un propósito práctico limitado.

Type:"Value Set" AND Registry.Path:"HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced" AND Registry.Name:("ShowInfoTip" OR "ShowCompColor") AND Registry.Data:"0"

MITRE ATT&CK

TA0005 – Evasión de defensa

Identificación de la técnica	Descripción de la técnica	Actividad observada
T1070.001	Eliminación del indicador en el host: Eliminación de archivos	HermaticWiper escribe un controlador en el disco desde uno de sus recursos internos y luego carga y ejecuta el controlador para acceder al disco sin procesar. Este controlador se elimina una vez que se completa el proceso de borrado.

Identificación de la técnica	Descripción de la técnica	Actividad observada
T1027	Archivos o información ofuscados	HermaticWiper incluye los controladores necesarios como recursos en el ejecutable principal y los escribe en el disco según sea necesario durante la ejecución

Identificación de la técnica	Descripción de la técnica	Actividad observada
T1553.002	Subvertir los controles de confianza: firma de código	Las muestras de HermaticWiper observadas en la naturaleza hasta ahora han sido firmadas por ‘Hermetica Digital Ltd’ con un certificado legítimo. El certificado no se ha asociado con una empresa legítima o un software legítimo en el momento del ataque.

Identificación de la técnica	Descripción de la técnica	Actividad observada
T1561.002	Borrado de disco: Borrado de estructura de disco	HermaticWiper sobrescribe el Master Boot Record (MBR) de todas las unidades físicas conectadas a un punto final de destino. Esto hace que las unidades sean inútiles y hará que el punto final no se inicie.

COI

Indicador Descripción	Indicador	Tipo de indicador	Táctica asociada	notas
Ejecutable malicioso	0d8cc992f279ec45e8b8dfd05a700ff1f0437f29	hash SHA1	Impacto	HermeticWiper Ejecutable
Ejecutable malicioso	d9a3596af0463797df4ff25b7999184946e3bfa2	hash SHA1	Impacto	HermeticWiper Ejecutable
Ejecutable malicioso	912342f1c840a42f6b74132f8a7c4ffe7d40fb77	hash SHA1	Impacto	HermeticWiper Ejecutable
Ejecutable malicioso	61b25d11392172e587d8da3045812a66c3385451	hash SHA1	Impacto	HermeticWiper Ejecutable

¡Déjanos cualquier duda sobre FortiEDR aquí abajo!

¿Te ha resultado útil??

0 / 0

Mila y César

Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.

¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!

Deja una respuesta 0

Otras preguntas sobre FortiEDR

La instalación de fortiedr en Windows 7 y Windows Server 2008 R2 SP1 requiere el parche KB de MS KB2921916
Consulta técnica sobre FortiEDR Descripción Este artículo describe la instalación de FortiEDR en dispositivos sin parches de Windows 7 y Windows Server 2008 R2 SP1 Alcance Solución Nota IMPORTANTE. La firma del código SHA1 caducó a principios de enero de 2020 y no se puede volver a emitir. El nuevo certificado está firmado Leer
Cómo activar un evento para que se muestre en la consola MGT fortiedr
Consulta técnica sobre FortiEDR Descripción Este artículo describe: Cómo desencadenar un evento para que se muestre en la consola MGT con la herramienta de prueba de conectividad Alcance FortiEDR Solución Nuestro equipo de Investigación y Desarrollo ha creado una herramienta que se puede utilizar para desencadenar un evento en un dispositivo con sistema operativo Windows. Leer
Cómo fortiedr protege contra la vulnerabilidad del protocolo de Microsoft Office CVE-2022-30190 ‘Follina’
Consulta técnica sobre FortiEDR Descripción Este artículo demuestra cómo FortiEDR brinda protección contra el comportamiento posterior a la explotación asociado con la vulnerabilidad CVE-2022-30190. El 28 de mayo de 2022, el usuario de Twitter nao_sec identificó un documento de Word anómalo enviado desde Bielorrusia que explota una nueva vulnerabilidad en los protocolos de Leer
La exportación de una gran cantidad de eventos a Excel se atasca en un 5 %
Consulta técnica sobre FortiEDR Descripción Este artículo trata sobre la exportación de una gran cantidad de eventos a Excel. Alcance FortiEDR Solución Esto es así por diseño: se agregaron dos nuevas propiedades para limitar la carga durante la exportación: 1) events.report.include.covering.query (falso de forma predeterminada). 2) events.report.max.rows (2000 por defecto). ¡Déjanos cualquier duda sobre Leer
Cómo fortiedr bloquea los ataques del ransomware dearcry
Consulta técnica sobre FortiEDR Descripción Este artículo describe cómo FortiEDR bloquea de forma nativa el ataque del ransomware DearCry. DearCry, o DoejoCrypt, se instala en ataques operados por humanos que utilizan las vulnerabilidades del servidor MS.Exchange. Estas son las etapas de ejecución observadas en FortiEDR. Pre-ejecución: Una vez ejecutados los bloques FortiEDR: Reglas activadas: Terminación Leer