Consulta técnica sobre FortiEDR
Introducción
El 23 de febrero de 2022, numerosas organizaciones dentro de Ucrania fueron objeto de ataques que empleaban el malware ‘KillDisk’ o ‘HermeticWiper’. Una vez implementado, este malware emplea varios controladores para corromper el registro de arranque maestro (MBR) del punto final de destino. Los clientes de FortiEDR están protegidos contra esta variante de malware. El contexto del empleo de estas muestras únicas es interesante, ya que parece no tener un resultado comercial para el adversario y no tiene otra funcionalidad que la diseñada para destruir irremediablemente los datos en un punto final. También es interesante que los informes indiquen que el ransomware se implementó junto con el software del limpiador, al igual que los ataques DDoS significativos, ambos probablemente implementados como señuelos para vincular la respuesta a incidentes y los recursos de seguridad a medida que el limpiador se ejecutaba en los entornos de destino.
Este artículo destacará cómo FortiEDR detecta y bloquea el comportamiento asociado con esta actividad de limpieza y cómo garantizar que FortiEDR esté configurado para ofrecer estas protecciones. Hay información coherente limitada que describe la cadena de ataque que conduce a la implementación de esta muestra, por lo que este artículo analizará varias muestras de HermeticWiper de forma aislada, con actualizaciones futuras del artículo a medida que se pueda verificar más información.
Detección y Mitigación con FortiEDR
El comportamiento de la muestra de HermeticWiper desencadena numerosas reglas en las políticas de seguridad de FortiEDR. Estas reglas se pueden ver a continuación. Debido al enriquecimiento automático de FortiEDR con la inteligencia de amenazas de FortiGuard, las muestras conocidas se marcan como ‘KillDisk.NCV!tr’. Debido a esta etiqueta, los intentos de lectura de archivos para este ejecutable se bloquearán antes de la ejecución. Los eventos generados durante la ejecución de este ejemplo se muestran a continuación en la Figura 1.
Figura 1 . FortiEDR detecta numerosos eventos de comportamiento relacionados con la ejecución del malware HermeticWiper. Estas detecciones y mitigaciones evitan que afecte los endpoints protegidos.
Para demostrar cómo FortiEDR también detecta archivos con un hash desconocido, añadimos algunos caracteres aleatorios al archivo y lo volvimos a ejecutar. Podemos ver a partir de esta detección que el hash ha cambiado y no coincide con una firma conocida. Independientemente de esto, FortiEDR aún marca este archivo como sospechoso, ya que el motor de aprendizaje automático de Fortinet Cloud Services evalúa que tiene una alta probabilidad de ser malicioso. Esta evaluación se puede ver a continuación en la Figura 2
Figura 2 . FortiEDR emplea múltiples sandboxes en línea y un motor de aprendizaje automático como parte del backend en la nube de Fortinet Cloud Services (FCS). Esto le permite detectar nuevas versiones de variantes de malware sin firmas conocidas, como se muestra arriba para una muestra desconocida de HermeticWiper.
Una vez ejecutado con los permisos adecuados (acceso de administrador), el limpiador extraerá una copia de un controlador de uno de sus recursos integrados según la arquitectura del objetivo y la escribirá brevemente en el disco. Los archivos se almacenan en el formato ‘ms-compressed’. Una vez escrito en el disco, en “C:WindowsSystem32Drivers<four_random_lowercse_letters>.sys”, el limpiador carga el controlador. Se puede observar que FortiEDR detecta este comportamiento en el evento que se muestra a continuación en la Figura 3 y se marca como «Modificar la configuración del sistema operativo».
Figura 3 . FortiEDR detecta y marca el ejecutable HermeticWiper cargando el controlador zddr.sys (empntdrv.sys). FortiEDR bloquearía este comportamiento en el modo ‘Proteger’.
Este controlador es una copia del controlador ‘empntdrv.sys’ o ‘EaseUS’, que es un controlador legítimo utilizado para la recuperación de datos. La escritura de este controlador es un comportamiento no estándar y sirve como un indicador de alta confianza disponible para buscar a través de la función Threat Hunting de FortiEDR que se trata en una sección posterior de este artículo. El nombre del controlador se aleatoriza en cada ejecución.
El limpiador carga este controlador y luego lo ejecuta para proporcionar acceso de disco sin procesar a todas las unidades físicas montadas. El limpiador utiliza el acceso otorgado por este controlador para acceder al Registro de arranque maestro (MBR) de cada unidad y sobrescribirlo con datos generados aleatoriamente, corrompiendo las unidades y dejándolas inutilizables. FortiEDR detectará y bloqueará el acceso directo al disco por parte del proceso malicioso como un evento malicioso de ‘Acceso a archivos’. Esto se puede observar en el evento representado en la Figura 4 a continuación.
Figura 4 . FortiEDR detecta y marca el controlador zddr.sys (empntdrv.sys) que intenta acceder y sobrescribir el MBR como actividad maliciosa. Este es el proceso de borrado, FortiEDR bloquearía este comportamiento en el modo ‘Proteger’.
Una vez que se ha escrito el MBR, el controlador se descarga y se elimina. Al reiniciar debido a la corrupción del MBR, el terminal de la víctima mostrará la pantalla que se muestra a continuación en la Figura 5.
Figura 5 . Pantalla que se muestra en el arranque luego de la corrupción del MBR por HermeticWiper
Como se destacó anteriormente, FortiEDR detectará y bloqueará la ejecución previa de esta familia de malware, incluso si se lanzan nuevas variantes debido a la integración de la inteligencia de amenazas, el sandboxing en línea y los motores de aprendizaje automático de FortiGuard. Además de esto, FortiEDR detectará y bloqueará el comportamiento posterior realizado por esta familia de malware, evitando que destruya los puntos finales de destino, incluso si se ejecutan muestras.
Caza de amenazas
Identifique el limpiador en función de los eventos de creación de archivos (controladores). Tenga en cuenta que el nombre del archivo cambia en cada ejecución (a un nombre de archivo de cuatro letras), por lo que esta búsqueda es relativamente genérica. Esta consulta deberá filtrarse por entorno. Por lo general, los controladores solo los instalan los instaladores a través de msiexec; sin embargo, el software de seguridad generalmente reside como un controlador, por lo que creará un nuevo controlador en la actualización que deberá filtrarse.
|
Identifique operaciones de registro anómalas asociadas con la ejecución del limpiador. El ‘showCompColor’ alterna si los archivos NTFS comprimidos y cifrados se muestran en color cuando se muestran a través del explorador y el valor ‘showInfoTip’ alterna si las descripciones emergentes para carpetas y elementos de escritorio se muestran al pasar el mouse. Los cambios en estas configuraciones de registro solo parecen afectar la salida de la GUI y su propósito dentro de la muestra parece tener un propósito práctico limitado.
|
MITRE ATT&CK
TA0005 – Evasión de defensa
Identificación de la técnica | Descripción de la técnica | Actividad observada |
T1070.001 | Eliminación del indicador en el host: Eliminación de archivos | HermaticWiper escribe un controlador en el disco desde uno de sus recursos internos y luego carga y ejecuta el controlador para acceder al disco sin procesar. Este controlador se elimina una vez que se completa el proceso de borrado. |
Identificación de la técnica | Descripción de la técnica | Actividad observada |
T1027 | Archivos o información ofuscados | HermaticWiper incluye los controladores necesarios como recursos en el ejecutable principal y los escribe en el disco según sea necesario durante la ejecución |
Identificación de la técnica | Descripción de la técnica | Actividad observada |
T1553.002 | Subvertir los controles de confianza: firma de código | Las muestras de HermaticWiper observadas en la naturaleza hasta ahora han sido firmadas por ‘Hermetica Digital Ltd’ con un certificado legítimo. El certificado no se ha asociado con una empresa legítima o un software legítimo en el momento del ataque. |
Identificación de la técnica | Descripción de la técnica | Actividad observada |
T1561.002 | Borrado de disco: Borrado de estructura de disco | HermaticWiper sobrescribe el Master Boot Record (MBR) de todas las unidades físicas conectadas a un punto final de destino. Esto hace que las unidades sean inútiles y hará que el punto final no se inicie. |
COI
Indicador Descripción | Indicador | Tipo de indicador | Táctica asociada | notas |
Ejecutable malicioso | 0d8cc992f279ec45e8b8dfd05a700ff1f0437f29 | hash SHA1 | Impacto | HermeticWiper Ejecutable |
Ejecutable malicioso | d9a3596af0463797df4ff25b7999184946e3bfa2 | hash SHA1 | Impacto | HermeticWiper Ejecutable |
Ejecutable malicioso | 912342f1c840a42f6b74132f8a7c4ffe7d40fb77 | hash SHA1 | Impacto | HermeticWiper Ejecutable |
Ejecutable malicioso | 61b25d11392172e587d8da3045812a66c3385451 | hash SHA1 | Impacto | HermeticWiper Ejecutable |
¡Déjanos cualquier duda sobre FortiEDR aquí abajo!
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!