Cómo fortiedr protege contra hermeticwiper

Consulta técnica sobre FortiEDR

Introducción

 

El 23 de febrero de 2022, numerosas organizaciones dentro de Ucrania fueron objeto de ataques que empleaban el malware ‘KillDisk’ o ‘HermeticWiper’. Una vez implementado, este malware emplea varios controladores para corromper el registro de arranque maestro (MBR) del punto final de destino. Los clientes de FortiEDR están protegidos contra esta variante de malware. El contexto del empleo de estas muestras únicas es interesante, ya que parece no tener un resultado comercial para el adversario y no tiene otra funcionalidad que la diseñada para destruir irremediablemente los datos en un punto final. También es interesante que los informes indiquen que el ransomware se implementó junto con el software del limpiador, al igual que los ataques DDoS significativos, ambos probablemente implementados como señuelos para vincular la respuesta a incidentes y los recursos de seguridad a medida que el limpiador se ejecutaba en los entornos de destino.

 

Este artículo destacará cómo FortiEDR detecta y bloquea el comportamiento asociado con esta actividad de limpieza y cómo garantizar que FortiEDR esté configurado para ofrecer estas protecciones. Hay información coherente limitada que describe la cadena de ataque que conduce a la implementación de esta muestra, por lo que este artículo analizará varias muestras de HermeticWiper de forma aislada, con actualizaciones futuras del artículo a medida que se pueda verificar más información.

 

 

Detección y Mitigación con FortiEDR

 

El comportamiento de la muestra de HermeticWiper desencadena numerosas reglas en las políticas de seguridad de FortiEDR. Estas reglas se pueden ver a continuación. Debido al enriquecimiento automático de FortiEDR con la inteligencia de amenazas de FortiGuard, las muestras conocidas se marcan como ‘KillDisk.NCV!tr’. Debido a esta etiqueta, los intentos de lectura de archivos para este ejecutable se bloquearán antes de la ejecución. Los eventos generados durante la ejecución de este ejemplo se muestran a continuación en la Figura 1.

Figura 1 . FortiEDR detecta numerosos eventos de comportamiento relacionados con la ejecución del malware HermeticWiper. Estas detecciones y mitigaciones evitan que afecte los endpoints protegidos.

 

Para demostrar cómo FortiEDR también detecta archivos con un hash desconocido, añadimos algunos caracteres aleatorios al archivo y lo volvimos a ejecutar. Podemos ver a partir de esta detección que el hash ha cambiado y no coincide con una firma conocida. Independientemente de esto, FortiEDR aún marca este archivo como sospechoso, ya que el motor de aprendizaje automático de Fortinet Cloud Services evalúa que tiene una alta probabilidad de ser malicioso. Esta evaluación se puede ver a continuación en la Figura 2

Artículos relacionados  Se detectó lentitud en los nuevos sistemas Dell después de que falló la actualización del software de Dell

Figura 2 . FortiEDR emplea múltiples sandboxes en línea y un motor de aprendizaje automático como parte del backend en la nube de Fortinet Cloud Services (FCS). Esto le permite detectar nuevas versiones de variantes de malware sin firmas conocidas, como se muestra arriba para una muestra desconocida de HermeticWiper.

 

Una vez ejecutado con los permisos adecuados (acceso de administrador), el limpiador extraerá una copia de un controlador de uno de sus recursos integrados según la arquitectura del objetivo y la escribirá brevemente en el disco. Los archivos se almacenan en el formato ‘ms-compressed’. Una vez escrito en el disco, en “C:WindowsSystem32Drivers<four_random_lowercse_letters>.sys”, el limpiador carga el controlador. Se puede observar que FortiEDR detecta este comportamiento en el evento que se muestra a continuación en la Figura 3 y se marca como «Modificar la configuración del sistema operativo».

Figura 3 . FortiEDR detecta y marca el ejecutable HermeticWiper cargando el controlador zddr.sys (empntdrv.sys). FortiEDR bloquearía este comportamiento en el modo ‘Proteger’.

 

Este controlador es una copia del controlador ‘empntdrv.sys’ o ‘EaseUS’, que es un controlador legítimo utilizado para la recuperación de datos. La escritura de este controlador es un comportamiento no estándar y sirve como un indicador de alta confianza disponible para buscar a través de la función Threat Hunting de FortiEDR que se trata en una sección posterior de este artículo. El nombre del controlador se aleatoriza en cada ejecución.

 

El limpiador carga este controlador y luego lo ejecuta para proporcionar acceso de disco sin procesar a todas las unidades físicas montadas. El limpiador utiliza el acceso otorgado por este controlador para acceder al Registro de arranque maestro (MBR) de cada unidad y sobrescribirlo con datos generados aleatoriamente, corrompiendo las unidades y dejándolas inutilizables. FortiEDR detectará y bloqueará el acceso directo al disco por parte del proceso malicioso como un evento malicioso de ‘Acceso a archivos’. Esto se puede observar en el evento representado en la Figura 4 a continuación.

Artículos relacionados  Solución de problemas del recopilador de instalación de Linux

Figura 4 . FortiEDR detecta y marca el controlador zddr.sys (empntdrv.sys) que intenta acceder y sobrescribir el MBR como actividad maliciosa. Este es el proceso de borrado, FortiEDR bloquearía este comportamiento en el modo ‘Proteger’.

 

Una vez que se ha escrito el MBR, el controlador se descarga y se elimina. Al reiniciar debido a la corrupción del MBR, el terminal de la víctima mostrará la pantalla que se muestra a continuación en la Figura 5.

Figura 5 . Pantalla que se muestra en el arranque luego de la corrupción del MBR por HermeticWiper

 

Como se destacó anteriormente, FortiEDR detectará y bloqueará la ejecución previa de esta familia de malware, incluso si se lanzan nuevas variantes debido a la integración de la inteligencia de amenazas, el sandboxing en línea y los motores de aprendizaje automático de FortiGuard. Además de esto, FortiEDR detectará y bloqueará el comportamiento posterior realizado por esta familia de malware, evitando que destruya los puntos finales de destino, incluso si se ejecutan muestras.

 

Caza de amenazas

 

Identifique el limpiador en función de los eventos de creación de archivos (controladores). Tenga en cuenta que el nombre del archivo cambia en cada ejecución (a un nombre de archivo de cuatro letras), por lo que esta búsqueda es relativamente genérica. Esta consulta deberá filtrarse por entorno. Por lo general, los controladores solo los instalan los instaladores a través de msiexec; sin embargo, el software de seguridad generalmente reside como un controlador, por lo que creará un nuevo controlador en la actualización que deberá filtrarse.

Type:"File Create" AND Target.File.Path:"Windows\System32\Drivers" AND Target.File.Ext:"sys" AND Target.File.Name:????.sys NOT Source.Process.Name:"msiexec.exe"

 

Identifique operaciones de registro anómalas asociadas con la ejecución del limpiador. El ‘showCompColor’ alterna si los archivos NTFS comprimidos y cifrados se muestran en color cuando se muestran a través del explorador y el valor ‘showInfoTip’ alterna si las descripciones emergentes para carpetas y elementos de escritorio se muestran al pasar el mouse. Los cambios en estas configuraciones de registro solo parecen afectar la salida de la GUI y su propósito dentro de la muestra parece tener un propósito práctico limitado.

Artículos relacionados  Fortiedr - SSL en la configuración de Syslog
Type:"Value Set" AND Registry.Path:"HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced" AND Registry.Name:("ShowInfoTip" OR "ShowCompColor") AND Registry.Data:"0"

 

MITRE ATT&CK

 

TA0005 – Evasión de defensa

 

 

Identificación de la técnica

Descripción de la técnica

Actividad observada

T1070.001

Eliminación del indicador en el host: Eliminación de archivos

HermaticWiper escribe un controlador en el disco desde uno de sus recursos internos y luego carga y ejecuta el controlador para acceder al disco sin procesar. Este controlador se elimina una vez que se completa el proceso de borrado.

 

Identificación de la técnica

Descripción de la técnica

Actividad observada

T1027

Archivos o información ofuscados

HermaticWiper incluye los controladores necesarios como recursos en el ejecutable principal y los escribe en el disco según sea necesario durante la ejecución

 

Identificación de la técnica

Descripción de la técnica

Actividad observada

T1553.002

Subvertir los controles de confianza: firma de código

Las muestras de HermaticWiper observadas en la naturaleza hasta ahora han sido firmadas por ‘Hermetica Digital Ltd’ con un certificado legítimo. El certificado no se ha asociado con una empresa legítima o un software legítimo en el momento del ataque.

 

Identificación de la técnica

Descripción de la técnica

Actividad observada

T1561.002

Borrado de disco: Borrado de estructura de disco

HermaticWiper sobrescribe el Master Boot Record (MBR) de todas las unidades físicas conectadas a un punto final de destino. Esto hace que las unidades sean inútiles y hará que el punto final no se inicie.

 

COI

 

Indicador Descripción

Indicador

Tipo de indicador

Táctica asociada

notas

Ejecutable malicioso

0d8cc992f279ec45e8b8dfd05a700ff1f0437f29

hash SHA1

Impacto

HermeticWiper Ejecutable

Ejecutable malicioso

d9a3596af0463797df4ff25b7999184946e3bfa2

hash SHA1

Impacto

HermeticWiper Ejecutable

Ejecutable malicioso

912342f1c840a42f6b74132f8a7c4ffe7d40fb77

hash SHA1

Impacto

HermeticWiper Ejecutable

Ejecutable malicioso

61b25d11392172e587d8da3045812a66c3385451

hash SHA1

Impacto

HermeticWiper Ejecutable

¡Déjanos cualquier duda sobre FortiEDR aquí abajo!

¿Te ha resultado útil??

0 / 0

Deja una respuesta 0

Your email address will not be published. Required fields are marked *