ANÁLISIS DE AMENAZAS

CARLOS ANDRÉS AMOROCHO

JHONATAN FABIAN PÁEZ
BOGOTÁ
OCTUBRE 2021

Contenido
INFORME EJECUTIVO ........................................................................................................................... 2
ESCENARIO ........................................................................................................................................... 3
CONCLUSIONES................................................................................................................................. 14
REFERENCIAS ........................................................................................................................................ 15

INFORME EJECUTIVO

Actualmente atacantes o ciberdelincuentes sofisticados, se encuentran empleando nuevos TTPs,

con el objetivo de lograr sus objetivos criminales, causando grandes impactos en infraestructura,
reputación y diferentes pérdidas económicas en grandes y pequeñas organizaciones.
Teniendo en cuenta las diversas situaciones por las que el mundo se ha encontrado afectado,
han surgido diversos problemas para las organizaciones, en las que ciberdelincuentes han
apuntado agresivamente a sistemas de soporte como Microsoft Exchange y OWA,
específicamente sistemas Client Access Servers (CAS). De igual manera los sistemas y servicios
web, pueden permitir ataques en los que se capturen datos importantes de organizaciones, o
personas naturales, entre los más comunes podemos encontrar ataques como phishing,
ingeniería social, ransomware, archivos gusanos adentro de aplicaciones ofimáticas, exposición
de bases de datos.
Por estas razones, se desea realizar una revisión e investigación al hash del activo entregado
previamente, con el fin de validar la naturaleza de este, su lenguaje, principales afectaciones,
entre otros, para poder tomar acciones al respecto de acuerdo con los resultados obtenidos.
Estas capacidades y enfoques permiten generar estrategias de planeación, preparación y
practica para genera una mayor resiliencia en la ciberseguridad y protección de sus activos.
Según los resultados presentados, en las tres pruebas realizadas, apuntan al mismo objetivo, el
proceso que mencionaron desconocer es uno generado por el malware de tipo Troyano llamado
Emotet.
Emotet es un malware que está dirigido para el sector bancario, hospitales o instituciones
gubernamentales, se propaga principalmente a través de correos electrónicos, spam. Los correos
electrónicos de Emotet pueden contener imágenes de marcas conocidas, esto con el fin de
parecer un correo electrónico legítimo de dicha compañía que se esté suplantando. Este malware
usa un lenguaje tentador para la víctima, añadiendo frases como “Su factura” o “Información de
pago”, y así poder obligar al usuario a dar click sobre dicho archivo malicioso.
Este malware usa una serie de tácticas para intentar evitar la detección del software de protección
que tenga la víctima, aparte de esto, es polimórfico, es decir que puede cambiar por sí mismo
cada vez que se descarga y así evitar la detección basada en firmas; es un software avanzado,
este malware puede obtener información para identificar donde se está ejecutando, si lo está
haciendo en una máquina virtual este permanecerá inactivo, lo mismo si detecta un entorno de
sandbox.
El Troyano identificado tienen una función en específico y es actuar como un gestor de descargas
“downloader” de otros malware, como Trickbot, cifradores de archivos, extracción de datos
(credenciales financieras y personales, direcciones de correo electrónico, etc).

ESCENARIO

Para este caso, se presentará un análisis detallado del malware siguiendo la metodología de la llamada
(Pirámide del dolor).
En primer lugar, empezamos por su base, para este caso tenemos por los valores hash, los
cuales cambian con mayor constancia a través del tiempo, ya que un malware puede ir
cambiando contantemente.
Valores HASH
Para este caso tenemos el siguiente hash inicial, sobre el cual comenzara la investigación.
Una vez puesto este hash, se logro obtener algunos otros tipos, los cuales se relacionan
directamente con el malware, se puede encontrar algoritmos como MD5, SHA-1, SHA-256, entre
otros.

Ilustración 1 Valores HASH

Es importante aclarar que estos algoritmos garantizan la integridad del archivo, es decir una vez
que se modifique algo del archivo, cambiara totalmente los valores de estos hashes.
Direcciones IP
En segundo lugar, tenemos las direcciones IP, las cuales tienen una vida mas larga en cuanto al
ciclo de vida de estos archivos, sin embargo, los atacantes suelen cambiar estas direcciones IP
con mayor frecuencia.

Ilustración 2 Direcciones IP

En la imagen anterior se logra evidenciar las direcciones ip, bajo las cuales se encontraba activo
y relacionado el archivo malware, podemos encontrar ocho direcciones, con mayor tendencia a
operar en la región estadounidense, con esta información podemos empezar a suponer y perfilar
el origen del malware.
Dominios
En tercer lugar, tenemos los dominios que de igual manera tienen un ciclo de vida corta dentro
de un malware, ya que los ciberdelincuentes están en constante cambio, para poder seducir a
las víctimas a través ataques como ingeniería social o phishing.
 Ilustración 3 Dominios

De esta manera podemos encontrar los dominios relacionados con el archivo hash, donde una
vez consultados y analizados es posible tener algunos de los nombres con los que se encuentra
relacionado el malware.

Ilustración 4 Nombres Malware

De igual forma podemos observar, la fecha de creación, ultimo análisis, como también la primera
aparición, esto es importante ya que podemos filtrar nuestras búsquedas para posteriormente
lograr obtener datos mas importantes adentro del archivo y poder conocer su operabilidad.
Red y Hosts
Para este eslabón de la pirámide podemos encontrar los hosts de los servicios, los puertos, el
origen desde el cual operaban, y los procesos asociados a ellos, como se puede encontrar en
las siguientes imágenes todos los protocolos son web, esto puede suponer que los
ciberdelincuentes operaban para ataques como phishing o ingeniería social, logrando que la
víctima pudiera descargar el archivo infectado.

Ilustración 5 Hosts

Ilustración 6 Hosts

Herramientas
Podemos encontrar las siguientes propiedades que, en común con los analizadores de malware,
permiten conocer diferentes datos como el tamaño total del ejecutable, las arquitecturas bajo las
cuales puede operar el malware, en este caso se puede identificar que es posible ejecutarlo, para
arquitecturas de 34 y 64 bits, el paquete o compilador bajo el cual aparentemente se construyó
el ejecutable, en este caso encontramos que es posible ejecutarlo bajo el paquete de visual c++.
Bajo estos metadatos o información que componen el archivo es posible empezar una
investigación que nos permita conocer más acerca del malware que se está ejecutando.
 Ilustración 7 Herramientas

Con ayuda de Hybrid Analysis, es posible detectar el lenguaje de creación del malware entre
otros datos.

Ilustración 8 Metadatos

Es posible detectar el lenguaje de origen del virus, también podemos visualizar un contenido
relacionado y la cantidad de archivos que contiene su desarrollo, esto puede indicar que tiene
programado las técnicas de evasión, detección de entornos seguros y máquinas virtuales para
detener su ejecución y evitar la detección del mismo, es posible que podamos ver relación alguna
con el uso de código polimórfico en los archivos de codificación del malware.
 Ilustración 9 Librerías

Estos son los objetos importados por el malware, los procesos relacionados son librerías que ya
existen en la máquina objetivo debido al uso de Visual Studio, las librerías necesarias del
malware para realizar su ejecución. Conocer esta información nos puede brindar más información
sobre el malware, conociendo a que puede acceder, como puede acceder, esto nos podría dar
pistas sobre su funcionamiento dentro del objetivo a infectar.

Ilustración 10 Archivos importados y exportados

Como es posible evidenciar, el malware obtiene acceso privilegiado y crea diferentes llaves de
registro en el sistema, además logra acceder a diferentes archivos que solo pueden ser alterados
a nivel de administrador, conocer los archivos que importa nos facilita el entendimiento del
malware, conocer que ataca primero, que altera y el orden nos da un conocimiento sobre su
funcionamiento.
El archivo exportado, es el proceso que este crea cuando ya el objetivo se encuentra
comprometido, es decir, visualizar este proceso significa que el archivo malicioso ya está
trabajando y afectando los activos.
Con ayuda del servicio web de Virus total, es posible revisar un análisis dinámico ya realizado,
a continuación, se presentan los resultados obtenidos.
 Ilustración 11 Acciones ejecutadas por el malware

Como podemos evidenciar, las acciones ejecutas por el malware tienen privilegios de
administrador al momento de su ejecución, logra crear copias de archivos en la carpeta raíz del
sistema y a su vez crear procesos asociados a este, podemos suponer que estas acciones son
para lograr evadir ciertos protocolos de seguridad además de preparar el entorno para posibles
infecciones de otro tipo que puedan resultar mucha más críticas para la organización.
De igual manera podemos ver que el ejecutable, no contiene ningún icono y su idioma
predeterminado se encuentra en inglés.

Ilustración 12 Icono e idioma

Si ejecutamos un análisis de código para el ejecutable, podemos encontrar el código en mayor

parte se encuentra cifrado bajo código ASCII.
 Ilustración 13 Herramientas más empleadas

TTPs
A continuación, se presenta el listado de los posibles escenarios en los que se pueden
comprometer el malware, en diferentes sistemas operativos como Windows y Android, en
Windows es posible que a través de archivos compartidos por una red especifica, archivos
adjuntos por medio de un correo electrónico, se pueda inyectar el malware. En dispositivos
Android a través de mensajes de texto, conexiones con servidores externos, se pueda generar
una persistencia y afectación de estos dispositivos.

Ilustración 14 Resultados obtenidos en JoeSandbox Cloud

En la siguiente imagen se puede observar una técnica que usan los ciberdelincuentes, para
generar una ejecución adentro de dispositivos Windows a través de los sistemas de control del
sistema operativo.
El administrador de control de servicios es accesible para los usuarios a través de componentes
GUI, así como utilidades del sistema como sc.exe, sobre la cual los ciberdelincuentes pueden
aprovechar para ejecutar comandos o cargas útiles a través de un servicio temporal de Windows.
Si un servicio se usa solo para ejecutar un binario o un script y no para persistir, es probable que
vuelva a su forma original poco después de que se reinicie el servicio para que el servicio no se
deje roto, como es el caso del administrador común psexec, por lo tanto, es importante
Asegúrese de que los usuarios con un nivel de permiso inferior no puedan reemplazar ni modificar
los archivos binarios de servicio de alto nivel de permisos.

Ilustración 15 Ejecución malware

Una vez un ciberdelincuente logra inyectar el código o malware adentro de un servicio, en

seguida busca generar una persistencia en los equipos, es decir, impedir que su código o
malware sea borrado fácilmente, a continuación, se presentan algunos ataques de persistencia
comunes, relacionados con el malware.

Ilustración 16 Persistencia malware

La carga, descarga y manipulación de módulos en sistemas Linux se puede detectar mediante

la supervisión de los siguientes comandos: modprobe, insmod, lsmod, rmmod, o modinfo Los
LKM se cargan normalmente en /lib/modules y han tenido la extensión “.ko” desde la versión
2.6 del kernel de Linux.
Las herramientas comunes para detectar rootkits de Linux incluyen: rkhunter, chrootkit, aunque
los rootkits pueden estar diseñados para evadir ciertas herramientas de detección.
De igual manera se presentan algunos tipos de evasión en la defensa de antivirus para el
malware.
Para generar una escalada de privilegios en el sistema se utiliza una técnica llamada hooking.
Los ciberdelincuentes pueden conectarse a las funciones de programación de aplicaciones (API)
de Windows para recopilar credenciales de usuario, estos delincuentes suelen usar los
mecanismos de enlace o links maliciosos, los cuales pueden capturar llamadas de las API que
incluyen parámetros que revelan las credenciales de autenticación del usuario.

Ilustración 17 Escalada de privilegios

Es importante supervisar las llamadas al SetWindowsHookEx y SetWinEventHook funciones,

que instalan un procedimiento de enganchado que permiten privilegios a los atacantes. También
se debe considerar analizar cadenas de almacenamiento para prevenir llamadas incorrectas de
las API.

Ilustración 18 Tecnicas de evacion de defensas malware

Es importante verificar los empaquetadores del software que se descarga, ya que algunos
permiten comprimirlos a través de diferentes algoritmos de cifrado lo que hace que algunos de
los analizadores no los puedan reconocer y por lo tanto permitir daños en los sistemas.

CONCLUSIONES
• Emotet se transmite, principalmente, por correo electrónico, por ello se debe tener
especial precaución a la hora de ejecutar cualquier tipo de adjunto o enlace proveniente
del correo, incluso los provenientes de contactos conocidos, ya que Emotet puede
suplantar su identidad.

• Tanto las URLs, como los adjuntos, se pueden analizar por medio de herramientas, como
Virus Total o URLhaus. También es aconsejable deshabilitar las macros de terceros por
defecto, y nunca habilitarla a no ser que se esté seguro de su legitimidad.
 • Emotet también utiliza vulnerabilidades conocidas, como EternalBlue/DoublePulsar y
ataques de fuerza bruta, por lo que siempre se debe contar con los sistemas actualizados
a la última versión disponible y utilizar contraseñas robustas.
• El CERT de Japón ha publicado en su repositorio de GitHub una herramienta llamada
EmoCheck destinada a comprobar si el malware Emotet está presente en el dispositivo.
• Si este software detecta evidencias, ofrecerá información para su desinfección, como el
nombre del proceso, el identificador del proceso y la ruta absoluta donde se encuentra
alojado el malware. En caso de infección, lo recomendable es terminar el proceso
identificado y eliminar el archivo malicioso.
• También es aconsejable analizar el sistema con otras herramientas antimalware.
• Aislar de la red las máquinas infectadas por la amenaza.
• Desactivar servicios relacionados con el protocolo SMB sino son utilizados, en el caso de
que sean necesarios, mantener actualizados estos con los últimos parches de seguridad.
• Disponer de las últimas actualizaciones de aplicaciones y sistema operativo instaladas.
• Software antivirus y antimalware actualizados.
• Analizar mediante un sandbox todos los archivos adjuntos en correos electrónicos para
verificar su legitimidad.
• Detectar nuevos IoC asociados a la amenaza y que estén activados en el SIEM1 para

la monitorización de reglas a partir de patrones, reglas YARA y expresiones regulares como

medida proactiva para evitar nuevos incidentes.

• Generar reglas para bloquear tráfico entrante y saliente hacia cualquier IoC relacionado
con la amenaza en Firewalls, WAF, Gateway, IDS, Proxies, Routers y resto de
dispositivos del perímetro.
• Añadir todas las direcciones IP y dominios relacionados con la amenaza en la blacklist.
• Verificar logs de dispositivos perimetrales de seguridad en busca de patrones de
comportamiento de la amenaza.
• Evitar instalar software no oficial.
• Tener activado el UAC (control de cuentas de usuario de Windows.
• Formación de concienciación sobre amenazas por parte de los empleados como puede
ser el Phishing.

REFERENCIAS
• Virus Total https://www.virustotal.com/
• JoeSandbox Cloud https://www.joesandbox.com/
• IBM X Force https://exchange.xforce.ibmcloud.com/
• https://es.malwarebytes.com/emotet/
• https://www.incibe-cert.es/blog/emotet-caracteristicas-y-funcionamiento
• https://www.hornetsecurity.com/es/knowledge-base/emotet-el-malware-mas-peligroso-del-
mundo/
• https://www.xataka.com/pro/emotet-malware-2014-que-esta-causando-estragos-2020-que-
estan-alertando-agencias-seguridad-muchos-paises