US-CERT fue notificado
por un tercero de confianza que los delincuentes están usando un gusano
que utiliza el protocolo Server Message Block (SMB) para llevar a cabo
los
ataques a la empresa Sony Pictures. De acuerdo al informe de US-CERT y
el FBI, este
SMB Worm Tool está "equipado" con cinco componentes diseñados para realizar distintos tipos de intrusión y ataques.
SMB Worm Tool utiliza un ataque de fuerza bruta para propagarse
mediante el servicio de SMB en el puerto 445 sobre Windows. El gusano se
conecta a casa cada cinco minutos para enviar el registro de datos
obtenidos a su Centro de Comando y Control (C&C). La
herramienta
también acepta nuevos comandos y tareas desde el C&C: el primer
subproceso llama a casa y envía registros de los comandos exitosos y el
segundo subproceso intenta adivinar las contraseñas para las conexiones
SMB. Si se acierta la contraseña, se establece un recurso compartido, se
copia y se ejecuta un archivo para infectar al
host.
Los cinco componentes de SMB Worm Tool son :
- Componente de escucha: durante su instalación, una porción de los binarios es descifrada usando AES, con una llave que derivada de la frase "National Football League". A partir de este momento comienza a escuchar en el puerto TCP 195 (para "sensvc.exe" y "msensvc.exe") y en el puerto TCP 444 (para "netcfg.dll"). Cada mensaje enviado desde y hacia este componente es precedido con su longitud y una cadena codificada con XOR con el byte "0x1F". En la conexión inicial, la víctima envía la cadena "HTTP/1.1 GET /dns?" y el controlador responde con la cadena "200 www.yahoo.com! �" (para "sensvc.exe" y "msensvc.exe") o con la cadena "RESPONSE 200 OK!!" (para "netcfg.dll"). El controlador envía el byte "!" (0x21) para poner fin a la conexión.
- Backdoor: este componente está diseñado como un servicio DLL.
Incluye funcionalidades tales como transferencia de archivos,
relevamiento del sistema, manipulación de procesos y capacidades de
proxy. El listener puede también realizar la ejecución de código
arbitrario y ejecutar comandos. Esta herramienta incluye una función
para abrir puertos en firewall de la víctima y sacar provecho de los
mecanismos Plug and Play universal (UPNP) para descubrir routers y dispositivos de puerta de enlace, añadir puertos, permitir conexiones entrantes a la víctima, etc.
- Proxy: este componente se instala como un servicio y se
configura para escuchar en el puerto TCP 443 u otro configurable. Esta
herramienta tiene funcionalidades básica de backdoor, incluida la capacidad de realizar un fingerprinting
de la máquina víctima, ejecutar comandos remotos, realizar listados de
directorios, realizar listados de procesos y transferencia de archivos.
- Destrucción del disco: esta herramienta limpia disco el duro a
medida que se pretende destruir los datos más allá del punto de
recuperación y complicar la recuperación de la máquina de la víctima. El
programa escribe sobre porciones de hasta las primeras cuatro unidades
físicas y sobrescribir el registro Master Boot Record (MBR) con
un programa diseñado para causar más daño si el disco es reiniciado. Si
el agente sólo tiene acceso a nivel de usuario, el resultado incluye la
eliminación de archivos específicos y la máquina víctima seguiría siendo
utilizable.
- Propagación en la red: este malware tiene la capacidad de
propagarse en la red de a través de los recursos compartidos de Windows.
Basado en la contraseña proporcionada en su archivo de configuración el
malware tendrá acceso a recursos compartidos de red con el fin de
cargar una copia del componente de destrucción y comenzar el proceso de
limpieza en los sistemas remotos. El malware utiliza varios métodos para
acceder a archivos compartidos en los sistemas remotos y comenzar a
borrar archivos. La comprobación se realiza en "hostname�dmin$system32" y "hostnameshared$system32".
US-CERT dispones de una lista de los
indicadores de compromiso (IOCs) que deben añadirse a las soluciones de seguridad de red para determinar si están presentes en una red.
La investigación sobre el ataque a Sony continúa y si bien Sony no ha
proporcionado muchos detalles a la opinión pública, la empresa
presuntamente está trabajando FireEye Mandiant en el aspecto de la
investigación forense.
Fuente:
US-CERT 
