Ciberguerra: ¿Cuáles son las explicaciones o detalles del ataque de piratería en Corea del Sur en marzo de 2013?

Aquí está mi análisis técnico de los vectores de malware y ataque utilizados en el ataque del 20 de marzo, basado en la información obtenida de los medios de comunicación, y los informes técnicos de varios laboratorios de investigación de malware como AhnLab, Imperva, Symantec, Avast, Kaspersky, Alienvault y Sophos. Este material está tomado de un documento en proceso de publicación.

Descargo de responsabilidad: no tengo acceso a ninguna muestra de malware. La validez de la información a continuación depende completamente de la precisión de los informes técnicos de las fuentes mencionadas anteriormente.

Anatomía del ataque

Las emisoras de televisión YTN, MBC y KBS, Shinhan, Nonghyup y los bancos Jeju, así como el operador de telecomunicaciones LG U + fueron blanco de este reciente ataque. La Agencia de Seguridad de Internet de Corea (KISA) informó que cerca de 48,000 computadoras se vieron afectadas, lo que hace que los servicios sean inaccesibles y se necesitan semanas para restaurar completamente todas las funciones [1]. En términos de impacto, los atacantes lograron penetrar con éxito en las redes objetivo, convertirse en activos críticos, eliminar los sistemas, provocar la denegación de servicios y generar suficiente respuesta pública para estimular a los medios a utilizar terminología como el ciber terror y el avance amenazas persistentes Analizamos en profundidad el malware, los vectores de ataque utilizados y luego discutimos si las reclamaciones en los medios están justificadas. Según el equipo investigador formado por elementos gubernamentales, militares y civiles, se recogieron hasta 76 muestras de malware de máquinas infectadas [2]. Presentamos el vector de ataque primario más probable utilizado por los atacantes al analizar la información resumida de los informes de Avast [3], Trend Micro [4] y Symantec [5] [6] emitidos en los primeros días posteriores al ataque.
Fig. 1. Vector de ataque oscuro de Seúl

• ¿Por qué es importante escanear activamente el software antivirus?
• Cómo hackear en unos minutos
• Si te piratean, ¿lo sabrás?
• ¿Qué conocimiento tienen los desarrolladores web de pila completa sobre ciberseguridad, cifrado, algoritmos, etc., o son temas separados?
• ¿Alguien puede ver alguna de las muchas contraseñas que creo?

1. Spearphishing

Los investigadores de Trend Micro descubrieron un correo electrónico de phishing enviado a organizaciones surcoreanas el 19 de marzo. El correo electrónico contenía un descargador de troyanos malicioso que, según informaron, fue detectado por Deep Discovery y otro software. Es probable que este sea el punto de ataque inicial.

2. Plataforma de lanzamiento: secuencias de comandos entre sitios

Avast detectó los ataques originados en el sitio web del Consejo de Derechos de Propiedad de Software de Corea (SPC) (한국 소프트웨어 저작권 협회, SPC 입니다.), Posiblemente infectados a través del correo electrónico de phishing enviado el 19. El uso de un sitio web / servidor legítimo en la nación / región objetivo para lanzar ataques es una táctica común utilizada para minimizar la detección. El sitio web de SPC contenía javascripts que hacían que el navegador del cliente cargara un iframe cargando el contenido de Rootadmin2012.com, el sitio de ataque principal que aloja las cargas maliciosas.

3. Explotación

El examen de Rootadmin2012.com reveló un montón de spray y códigos de shell con referencias a Internet Explorer (IE). Avast logró identificar la vulnerabilidad explotada como CVE-2012-1889 [7] que permite a los atacantes remotos ejecutar código arbitrario o causar una denegación de servicio a través de un sitio web diseñado. La vulnerabilidad se dirige a Microsoft XML Core Services 3.0 – 6.0 con un exploit de metasploit publicado dirigido a MS XML Core Services 3.0 a través de IE6 e IE7 sobre Windows XP [8]. Después de obtener acceso, el archivo de descarga de la segunda etapa (sun.exe) realiza las siguientes acciones:

1. Verifique la conexión a Internet: descargue una imagen de 네이버 :: 나의 경쟁력, 네이버.
2. Intoxicación de caché de DNS local: agrega nuevas entradas al archivo de hosts (Fig. 2) en las solicitudes de redireccionamiento de Windows a ciertos sitios web bancarios a 126.114.224.53, un servidor ubicado en Japón con página URL en Bbtec.
   Fig. 2. Nuevas entradas agregadas al archivo de hosts de Windows
3. Actualizar contador de descargas: ejecuta un script de contador abriendo Myadmin2012.com.
4. Se hace persistente: modifica el registro de Windows agregando valor con el nombre “skunser” y los datos “C: \ ntldrs \ svchest.exe”, donde se copió previamente.
5. Descargar backdoor: Descarga el archivo cuentagotas pao.exe de la página en Hisunpharm y lo almacena en C: \ Archivos de programa \ tongji2.exe
6. Descarte y ejecute el archivo por lotes: programa el descargador cada 30 minutos y garantiza que svchest.exe se inicie con privilegios del sistema local.

4. Post-explotación

El módulo tongji2.exe se inyecta en iexplore.exe en un intento de enmascararse. Avast clasificó esto como un troyano de puerta trasera y un infostealer. Este malware permitió a los atacantes controlar la computadora como una parte zombie comprometida de una red botnet más amplia, una teoría sugerida por Alienvault [9], limpiar discos duros y recolectar información personal. El examen de los nombres de archivo y el protector ejecutable Safeengine sugieren que el malware se fabricó en China. Aunque capaz de ejecutar muchas funciones, solo varias fueron ampliamente utilizadas en el ataque:

1. Deshabilitación del antivirus : el malware intenta deshabilitar los antivirus Ahnlab y Hauri.
2. Comando y control (C&C): utilizando un simple bucle XOR para el cifrado, el malware intenta conectarse a eicp.net a través del puerto 889 para comunicarse con los atacantes.
3. Limpiador de disco duro: Symantec identificó Trojan.Jokra como el componente de malware que limpia los discos duros en este ataque. Es probable que se haya descargado en la computadora de la víctima después de recibir una instrucción de los servidores de C&C. El malware sobrescribe el registro de inicio maestro (MBR) y el resto del disco duro con las cadenas “PRINCIPES” o “HASTATI”. Otras unidades conectadas o dispositivos extraíbles también pueden ser el objetivo. Luego, el malware obliga a la computadora a reiniciarse, por lo que queda inutilizable. Una característica interesante de este malware es que tiene componentes para eliminar los discos duros en las plataformas Windows y Linux. El análisis detallado de Jokra se puede encontrar aquí [10].
4. Recolección de información: después de obtener privilegios de root, los atacantes pueden interceptar cualquier información que salga de la computadora infectada. Sin embargo, uno de los más evidentes fue el robo de credenciales de usuario. Como resultado del envenenamiento de DNS, los usuarios creen que están accediendo al sitio web auténtico de banca por Internet, pero son engañados para interactuar con un sitio web falso. Aparece un mensaje de error que indica que la computadora del usuario estaba infectada por un virus y que, por razones de seguridad, deben solicitar un servicio de prevención de fraude. Si el usuario hace clic en el botón Aceptar, se lo dirige a una página que solicita su nombre y número de identificación nacional. Si el formato ingresado es correcto, se le pide al usuario que complete más detalles, incluyendo dirección, número de teléfono, etc.

Las fuentes se pueden encontrar en el pie de página de mi blog Dark Seoul – Postmortem