Consulta técnica sobre FortiEDR
Índice
- 1 Introducción
- 2 Ejecución inicial
- 3 Modificación del Registro
- 4 Eliminación de instantáneas
- 5 Acceso al servicio
- 6 Intento de eliminación de archivos
- 7 Nota de rescate
- 8 Evento de creación de archivos
- 9 Intento de lectura de archivo
- 10 Procesos de Terminación
- 11 Servicios de inhabilitación
- 12 Caza de amenazas
- 13 MITRE ATT&CK
Introducción
Spook ransomware es la variante de ransomware Prometheus actualmente empleada por el grupo de ransomware Spook. El grupo comenzó a operar a fines de septiembre de 2021 y ha realizado una serie de compromisos a gran escala en todo el mundo. Al igual que otros grupos de ransomware, Spook realiza una ‘doble extorsión’ al ofrecer a la venta datos robados si la víctima no paga el ransomware, además de cifrar los archivos de la víctima.
La mayoría de las variantes de ransomware cifran sigilosamente los archivos del sistema infectado para evitar la detección temprana. En estos casos, la víctima solo notará que ya está infectada cuando un usuario identifique una nota de rescate o cuando intente acceder a un archivo, y es inaccesible debido al cifrado. Spook ransomware es un poco diferente. Muestra una ventana de consola mientras cifra los archivos de la víctima y advierte al usuario que no la cierre.
Spook ransomware cambia el nombre del archivo infectado agregando una cadena aleatoria, «PUUEQS8AEJ», al nombre del archivo. Durante el cifrado, el ransomware suelta dos versiones de la nota de rescate (hta y txt), donde la única diferencia es que la versión hta tiene un ícono gráfico y una cadena «Spook» con una fuente más grande.
Además, para que el proceso de encriptación funcione sin problemas, el ransomware fuerza la finalización de los procesos que pueden inhibir su funcionamiento. También deshabilita algunos servicios que pueden tener un identificador abierto para algunos archivos de datos.
En este artículo, profundizaremos en el comportamiento del ransomware y veremos cómo FortiEDR protege los endpoints del ransomware Spook.
Ejecución inicial
Spook ransomware es un ejecutable .NET. Para el análisis a continuación, numerosas muestras de Spook se analizaron dinámicamente en un entorno de laboratorio ejecutándose directamente a través de la GUI de Windows en el contexto del usuario.
Cuando se ejecuta, el ransomware Spook crea una ventana de consola con el título “Esta ventana de consola se cerrará sola. NO LO CIERRE MANUALMENTE O SE FINALIZARÁ TODO EL PROCESO”. A medida que se ejecuta la muestra de ransomware, la consola muestra el nombre de los archivos que se cifran, incluido el tiempo transcurrido durante el proceso de cifrado.
Figura 1 . Muestra de las ventanas de la consola Spook que se muestra durante el cifrado.
Según la versión, el ransomware Spook agrega la cadena aleatoria «PUUEQS8AEJ» o «NMU7PHR3V5» al nombre del archivo cifrado. Un ejemplo de un nuevo nombre de archivo es «RecordedTV.library-ms.PUUEQS8AEJ» o «RecordedTV.library-ms. NMU7PHR3V5”, mientras que a continuación se muestra una muestra del contenido de un archivo cifrado:
Figura 2 . contenido del archivo encriptado “RecordedTV.library-ms.PUUEQS8AEJ”
Modificación del Registro
El ransomware modifica dos claves de registro, «legalnoticecaption» y «legalnoticetext». Estas claves de registro hacen que el texto se muestre como notificaciones que aparecen después de reiniciar un sistema comprometido y notifican al usuario que el sistema está infectado por el ransomware Spook.
La clave de registro «legalnoticecaption» (ruta completa «HKLMSOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystemlegalnoticecaption») se establece en «SU EMPRESA FUE HACKEADA Y COMPROMETIDA!!!». La clave de registro «legalnoticetext ” (ruta completa «HKLMSOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystemlegalnoticetext») se establece en «¡Todos sus archivos importantes han sido cifrados! ¡Tus archivos están seguros! Solo modificado.(AES) Ningún software disponible en Internet puede ayudarte. Somos los únicos capaces de descifrar sus archivos. Hemos DESCARGADO sus datos PRIVADOS SENSIBLES”.
El «título de aviso legal» y el «texto de aviso legal» se utilizan para mostrar un mensaje durante el inicio de Windows. La Figura 4 muestra la notificación con el título definido bajo la tecla ‘legalnoticecaption’ que se muestra después de que se realiza la infección de todo el sistema, mientras que la Figura 5 muestra la pantalla que se muestra cuando el usuario reinicia una máquina infectada, antes de iniciar sesión.
Figura 3 . Spook sample modificó los valores de registro para las claves de registro «legalnoticecaption» y «legalnoticetext» para mostrar una nota de rescate al arrancar.
Figura 4 . La notificación se muestra una vez que se realiza la infección de todo el sistema.
Figura 5 . Mensaje que se muestra cuando se reinicia un sistema infectado.
Eliminación de instantáneas
Además de cifrar los archivos en el host comprometido, el ransomware Spook también intenta eliminar las instantáneas de volumen. La eliminación se realiza ejecutando los siguientes comandos de PowerShell “Get-WmiObject Win32_Shadowcopy | ParaCada-Objeto { $_Delete(); }”. El ransomware como Spook a menudo está diseñado para eliminar instantáneas de volumen para evitar que se usen para restaurar archivos cifrados.
Esta ejecución de script de PowerShell desencadena 2 eventos en FortiEDR como se muestra en las siguientes secciones:
Acceso al servicio
Se activa un evento de acceso al servicio en FortiEDR cuando el ransomware spook usa un comando de PowerShell «Get-WmiObject» para acceder al servicio WMI.
Figura 6 . La regla de acceso al servicio de WMI se activa cuando se usa un comando de PowerShell «Get-WmiObject», en este caso para recuperar objetos win32_ShadowCopy.
Intento de eliminación de archivos
El evento File Delete Attempt se activa en FortiEDR cuando spook ransomware elimina un archivo temporal, en este caso, el archivo temporal es «__PSScriptPolicyTest_hc1qmay3.tm2.ps1», que se genera cuando se usa PowerShell para intentar eliminar las instantáneas de volumen.
Figura 7 . Evento de intento de eliminación de archivos activado en FortiEDR
Nota de rescate
Spook ransomware lanza dos versiones de la nota de rescate. Uno como archivo hta y el otro como archivo txt, como se muestra a continuación en las Figuras 8 y 9. El contenido de ambos archivos de notas de rescate es similar, excepto que el archivo hta contiene el logotipo del ransomware Spook.
Figura 8 . versión hta de la nota de rescate, tenga en cuenta la inclusión del logotipo reconocible de Spook
Figura 9 . versión txt de la nota de rescate
Evento de creación de archivos
FortiEDR detecta la creación de la versión txt de la nota de rescate, RESTORE_FILES_INFO.txt, como se muestra a continuación. Debido a la naturaleza sospechosa del ejecutable ‘spook.exe’. Casi todas las acciones realizadas por el proceso asociado se marcarán como maliciosas. Esto se puede ver en la Figura 8 a continuación, donde podemos ver que FortiEDR ha marcado spook.exe como ‘Ejecutable no confirmado’ y ‘Archivo malicioso detectado’. El indicador ‘Ejecutable no confirmado’ indica que FortiEDR no ha podido confirmar que el archivo es legítimo y el archivo contiene datos en archivos que el sistema operativo no aplica. El indicador ‘Archivo malicioso detectado’ indica que este archivo tiene indicadores maliciosos. En combinación,
Figura 10 . Creación de la versión txt de la nota de rescate detectada por FortiEDR
Intento de lectura de archivo
Cuando el malware muestra la versión hta de la nota de rescate, desencadena un evento de intento de lectura de archivo en FortiEDR, como se muestra en la siguiente figura:
Contenido…
Figura 11 . Evento de intento de lectura de archivo al mostrar la versión hta de la nota de rescate.
Procesos de Terminación
La mayoría del malware prefiere finalizar procesos dentro de categorías específicas, como aplicaciones de seguridad, software antimalware, herramientas de análisis de malware o aplicaciones de monitoreo del sistema. Para spook ransomware, tiene una lista de procesos que intenta terminar que parece de naturaleza aleatoria. Intenta finalizar procesos relacionados con aplicaciones de bases de datos (mysqld.exe, sqlservr.exe, sqlbrowser.exe y sqlagent.exe), aplicaciones de MS Office (excel.exe, powerpnt.exe y winword.exe), aplicaciones de navegador (firefoxconfig .exe y tbirdconfig.exe) y otras aplicaciones. A continuación se incluye una lista completa de aplicaciones.
La razón más probable por la que el ransomware Spook intenta terminar estos procesos es poder cifrar los archivos de datos controlados por dichas aplicaciones. También es notable que Spook ransomware nunca verifica si alguno de dichos procesos se está ejecutando. Simplemente ejecuta el comando «taskkill.exe /IM <aplicación> /F» donde está cualquier <aplicación> de la lista, y el parámetro «/IM» es para especificar el nombre de la imagen del proceso a terminar, y «/ F” para forzar la terminación.
Figura 12 . Lista de procesos terminados pero que asustan al ransomware antes del cifrado
Figura 13 . Lista de procesos para la terminación (en el depurador) como se muestra en la muestra Spook analizada.
Al usar la función Threat Hunting en FortiEDR, podemos buscar eventos que muestren el intento del ransomware de finalizar estos procesos emitiendo la consulta a continuación.
|
Figura 14 . Los eventos de Threat Hunting muestran que la muestra de Spook intenta eliminar una serie de procesos antes del cifrado.
Servicios de inhabilitación
Spook ransomware también deshabilita algunos servicios que pueden evitar el cifrado de algunos archivos de datos relacionados. La mayoría de los servicios deshabilitados están relacionados con la base de datos SQL (SQLWriter, SstpSvc, SQLTELEMETRY$ECWDB2 y SQLTELEMETRY). También deshabilita SstpSvc (Servicio de protocolo de túnel de socket seguro) que brinda soporte a SSTP para conectarse a computadoras remotas mediante VPN.
Usando la consulta de Threat Hunting a continuación, podemos identificar la desactivación de los servicios mencionados:
|
Figura 15 . Eventos de Threat Hunting que muestran los servicios deshabilitados por Spook ransomware
Caza de amenazas
Para buscar las claves de registro “legalnoticecaption” y “legalnoticetext” modificadas:
|
Para buscar archivos cifrados según las extensiones de archivo agregadas:
|
Para buscar la versión hta de la nota de rescate:
|
Para buscar la versión txt de la nota de rescate:
|
Para buscar la versión hta de la nota de rescate abierta por mshta:
|
Para buscar la ejecución de PowerShell que intenta eliminar las instantáneas:
|
Para buscar invocar el proceso de PowerShell para ejecutar un script malicioso:
|
Para buscar la lista de procesos que el ransomware intenta terminar:
|
Para buscar servicios deshabilitados por Spook ransomware:
|
MITRE ATT&CK
TA0005 – Evasión de defensa
Identificación de la técnica | Descripción de la técnica | Actividad observada |
T1112 | Modificar registro | Spook ransomware modifica los valores de registro bajo las claves de registro «legalnoticetext» y «legalnoticecaption» para mostrar notas de rescate después de reiniciar |
Identificación de la técnica | Descripción de la técnica | Actividad observada |
T1562.001 | Debilitar defensas: deshabilitar o modificar herramientas | El ransomware Spook usa taskkill.exe para finalizar los procesos en los puntos finales afectados antes de iniciar el proceso de encriptación. |
T1059 – Ejecución
Identificación de la técnica | Descripción de la técnica | Actividad observada |
T1059.001 | Intérprete de comandos y secuencias de comandos: PowerShell | Spook ransomware utiliza comandos de PowerShell para eliminar las instantáneas de volumen. |
Identificación de la técnica | Descripción de la técnica | Actividad observada |
T1047 | Instrumentación de Administración Windows | Spook ransomware usa el comando de PowerShell «Get-WmiObject» para acceder al servicio WMI para identificar y luego eliminar las instantáneas de volumen |
TA0040 – Impacto
Identificación de la técnica | Descripción de la técnica | Actividad observada |
T1486 | Datos cifrados para impacto | Spook ransomware cifra los archivos en el sistema infectado. |
Identificación de la técnica | Descripción de la técnica | Actividad observada |
T1490 | Inhibir la recuperación del sistema | El ransomware Spook intenta eliminar las instantáneas ejecutando el script de PowerShell “Get-WmiObject Win32_Shadowcopy | ParaCada-Objeto { $_Delete(); }” |
Identificación de la técnica | Descripción de la técnica | Actividad observada |
T1489 | Parada de servicio | El ransomware Spook deshabilita los servicios para permitir que el proceso de cifrado cifre de manera más efectiva los archivos clave en los puntos finales afectados. |
¡Déjanos cualquier duda sobre FortiEDR aquí abajo!
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!