Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Datos Generales
MD5: f83fb9ce6a83da58b20685c1d7e1e546
SHA-1: 01c459b549c1c2a68208d38d4ba5e36d29212a4f
SHA-256: e8a091a84dd2ea7ee429135ff48e9f48f7787637ccb79f6c3eb42f34588bc684
Su complejidad radica en la presencia de múltiples payloads dentro del ejecutable principal, cada
uno con funciones específicas.
La nota de rescate y acciones indican un intento de extorsión económica a través del cifrado de
archivos.
Ficheros Ejecutables
• e8a091a84dd2ea7ee429135ff48e9f48f7787637ccb79f6c3eb42f
34588bc684.exe
* Es el primer ejecutable, inicia en la ruta:
C:\Users\ama\AppData\Local\Temp\e8a091a84dd2ea7ee429.exe
* Contiene varios Payload dentro que despliegan en cola cuando este es ejecutado.
* SHA 256 de los payloads:
Primer PE desplegado
1fa139868fe2eb94833583e8a10aadd6f5cf5120ce018b888c60f86d6dc8e011
Segundo PE desplegado dentro del anterior
dc0266804bd2bfc83109152fef734d54f7a7d0c09487096a368ae45518d2ca13
Tercer PE desplegado luego del anterior
d2fea84b5e114e97a6e3b2c58239aea82bbaf94acc42a96d93b60cac22ebcdbc
• WMIC.exe
* Borra los back ups del sistema
* Se encuentra dentro de un Payload
• VSSVC.exe
* Se mantiene activo durante 300 segundos (sleep)
* Este .exe es una técnica Anti-Sandbox que mantiene el malware inactivo hasta cierto
acontecimiento o fecha / horario
* Se conecta a IPs detectadas como maliciosas:
• IP: 92.63.32.55:80
• IP: 92.63.15.8:80
• IP: 92.63.32.2:80
• IP: 92.63.37.100|80
• IP: 92.63.8.47|80
• IP: 104.208.16.93|80
• IP: 92.63.11.151|80
• IP: 92.63.17.245
Análisis Estático
Entropía del archivo .data: 7.99 (datos altamente cifrados / ofuscados) debido a múltiples payloads
que realizan acciones en cola
Ejecuta en segundo plano, utiliza comandos para evadir defensas, accede a carpetas públicas y
utiliza PowerShell para descargas.
Realiza peticiones HTTP a diversas direcciones IP, algunas de ellas identificadas como maliciosas.
Strings Analisis
`scalar deleting destructor' -> En C++, los "destructores" son métodos especiales de las
clases que se utilizan para realizar tareas de limpieza o liberación de recursos cuando un
objeto sale del ámbito
`local vftable' -> La manipulación de vftables es una técnica común en ingeniería inversa y
análisis de malware. Al modificar o manipular la vftable, un atacante podría alterar el flujo
de ejecución del programa o incluso intentar evadir la detección.
GetCurrentProcess -> Api de Windows. Podría indicar que el malware está realizando
operaciones específicas en relación con el proceso actual, como la manipulación de
memoria, la inyección de código malicioso, o la obtención de información sobre el entorno
de ejecución.
EnumSystemLocalesEx -> Función de API de Windows que se utiliza para enumerar los
locales del sistema. Esta función es comúnmente utilizada para obtener información sobre
configuraciones regionales y de idioma del sistema.
-connection reset -> indica la posibilidad de que el malware esté relacionado con la
manipulación de conexiones de red
-TlsSetValue -> Las variables TLS son almacenadas en un espacio de memoria local al hilo
(thread)
-CreateSemaphoreExW -> trabaja en memoria y hilos para que los procesos funcionen de a
uno y no se sobre escriban
-ExitProcess -> API de Windows utilizada para terminar el proceso actual en un programa
-CreateThread -> función CreateThread de la API de Windows, la cual se utiliza para crear
un nuevo hilo de ejecución en un proceso.
-`vector deleting destructor' -> sugiere que se está utilizando un destructor especial
relacionado con la eliminación de elementos de un vector
-timed_out -> La cadena podría estar relacionada con la gestión de operaciones que
involucran la espera de ciertos eventos o la finalización de tareas.
-WriteFile -> el malware está realizando operaciones de escritura, ya sea para manipular
archivos en el sistema o para interactuar con dispositivos de entrada/salida
-HeapAlloc -> podría utilizar HeapAlloc para reservar memoria dinámicamente durante su
ejecución
-operation_would_block -> podría ser parte de una estrategia para eludir la detección o
para mejorar la eficiencia en la ejecución de sus funciones.
Evitación de Defensas: Ejecuta en segundo plano, utiliza comandos para evadir defensas, accede a
carpetas públicas y utiliza PowerShell para descargas.
Comandos y Control: Carga librerías de sistema, realiza peticiones HTTP con PowerShell y se
conecta a diversas IPs.
Impacto: Funciona como ransomware, cifrando datos masivamente y destruyendo logs y ficheros.
Firmas Detectadas: Se mencionan firmas que indican robo de datos y envio a botnet, acceso a
carpetas públicas, métodos anti-debugging, creación de clave pública, manipulación de tiempo
local, y ejecución de comandos.
Análisis de URLs en Herramientas: Utiliza diversas URLs para peticiones HTTP, algunas ya
identificadas como maliciosas.
Incluye una nota de rescate que exige el pago para recuperar los archivos cifrados.
Nota de Rescate:
Attention! Your documents, photos, databases, and other important files have been encrypted!
our files have been encrypted using strong reliable algorithms RSA-2048 and ChaCha20 with an unique private key for your system
href=https://en.wikipedia.org/wiki/RSA_(cryptosystem)
The only way to recover (decrypt) your files is to buy decryptor with the unique private key<
Attention! Only we can recover your files! If someone tell you that he can do this, kindly ask him to proof!
By us you can decrypt one of your files for free as a proof of work that we have the method to decrypt the rest of your data.
In order to either buy the private key or make test decryption contact us via email:
emember to hurry up as email address may not be available for very long as soon as law enforcements of different countries always trying to seize
emails used in ransom companies
If you are willing to pay but you are not sure knock us and we will save your e-mail address. In case the listed addresses are seized we will write you
from the new one
Below you will see a big base64 blob, you will need to email us and copy this blob to us.<br>you can click on it, and it will be copied into the clipboard.
If you have troubles copying it, just send us the file you are currently reading, as an attachment.
Comportamiento
• Al observar el comportamiento del código, podemos notar varias cosas. En primer lugar,
parece que el programa está bien diseñado para manejar la memoria y los recursos.
• Hay partes del código que parecen estar tratando de ocultarse o evadir la detección.
• El programa parece estar interesado en obtener información sobre el proceso en ejecución
y la configuración regional horaria del sistema. Tambien está recopilando datos sobre el
entorno en el que se está ejecutando.
• Se detectan actividades relacionadas con la red, como la interrupción de conexiones, lo
cual podría significar que el programa está tratando de manipular o controlar el estado de
la red de alguna manera.
• La manipulación de hilos y memoria sugiere que el programa está controlando
detalladamente cómo se ejecutan ciertas operaciones, lo cual podría ser parte de una
estrategia.
• Además, la presencia de referencias a fechas específicas podría indicar que el programa
tiene eventos programados para ejecutarse en momentos específicos, lo cual agrega otra
capa de complejidad a su funcionamiento.
COMANDOS EJECUTADOS
• "C:\n\..\Windows\bf\i\bafi\..\..\..\system32\ww\d\r\..\..\..\wbem\ljrx\bqo\..\..\wmic.exe"
shadowcopy delete
• "C:\kqkmy\..\Windows\olk\..\system32\nxoal\y\..\..\wbem\gwb\ybby\..\..\wmic.exe"
shadowcopy delete
• C:\Windows\system32\vssvc.exe
Mitigación
Recomendaciones
Investigación de IP
• IP: 92.63.32.55:80 :
* htxuy.do?shcg=4n53137cc&iluy=6m3bn0&itgt=46qrf34a6&yd=b1yas13
* bbgigatr.shtml?xq=y&f=6
• IP: 92.63.15.8:80 :
* beursbsmbd.shtml?mk=qyh5&l=25uv78c5&o=ki4&dy=1p477n
• IP: 92.63.32.2:80 :
* hkljjrxl.jspx?dmra=73phj567l3&swa=pvuks05t22
• IP: 92.63.37.100|80 :
* task/task/cakyy.jsp?vqb=6q1&grq=r2
• IP: 92.63.8.47|80 :
* login/account/n.action
• IP: 104.208.16.93|80
desconocida
• IP: 92.63.11.151|80 :
* tlgklp.do
• IP: 92.63.17.245
desconocida
• http://92.63.194.20/register/lrc.html?nj=k5n7&i=y2n1mi33&kqk=1g3&sa=w6iwvj02
• http://92.63.17.245/forum/gjymwqonl.action?s=ebc87jh5
• http://92.63.194.3/wire/p.asp?qwn=ts1f0w20&aqp=82423r&d=2d08ipa5
• 92.63.17.245
• 92.63.194.20
• 92.63.194.3
ANALISIS DE HASHES
• e8a091a84dd2ea7ee429135ff48e9f48f7787637ccb79f6c3eb42f34588bc6
84
VIRUS TOTAL :
Ransomware Maze confirmado por comunidad, incidentes desde 2019 hasta 2023.
IP: 92.63.32.55 Ip maliciosa desde 2019 MGK Rafal de Polonia
https://www.virustotal.com/gui/file/e8a091a84dd2ea7ee429135ff48e9f48f7787637ccb79f
6c3eb42f34588bc684/community
JOE SANDBOX :
Ransomware Maze atribuido por los grupos FIN6 y TA2101. En url se encuentran los
archivos creados y descargados (por el malware) con posibilidad de descarga para analizar.
https://www.joesandbox.com/analysis/1288464/0/html
TRIA.GE :
Ransomware Maze con IPs en Rusia, Turkia, Polonia y Estados Unidos
• 1fa139868fe2eb94833583e8a10aadd6f5cf5120ce018b888c60f86d6dc8e011
* Sin informacion
• dc0266804bd2bfc83109152fef734d54f7a7d0c09487096a368ae45518d2ca13
* Sin informacion
• d2fea84b5e114e97a6e3b2c58239aea82bbaf94acc42a96d93b60cac22ebcdbc
* Sin informacion
URL ANALIZADAS
Análisis en https://urlscan.io/ y https://www.browserling.com/
1. htxuy.do?shcg=4n53137cc&iluy=6m3bn0&itgt=46qrf34a6&yd=b1yas13
• Sin informacion y limpia segun anti virus
• WEB TIRADA ABAJO
2. login/account/n.action
• Web tirada
3. hkljjrxl.jspx?dmra=73phj567l3&swa=pvuks05t22
• Sin informacion
4. task/task/cakyy.jsp?vqb=6q1&grq=r2
• sin informacion
5. bbgigatr.shtml?xq=y&f=6
• sin informacion
6. tlgklp.do
• sin informacion
7. beursbsmbd.shtml?mk=qyh5&l=25uv78c5&o=ki4&dy=1p477n
• sin informacion
MISP PUBLICADO
https://13.48.162.234/events/index/searchemail:alumno15@keepcoding.io
No he podido descargarlo para adjuntarlo
Conclusiones
El malware utiliza diversas tácticas para eludir la detección, como esconderse de las herramientas
de seguridad y realizar acciones destructivas en segundo plano. Se conecta a direcciones de
internet maliciosas y utiliza métodos avanzados para lograr sus objetivos.
Las herramientas de seguridad detectan la presencia de este malware y lo relacionan con grupos
criminales conocidos. Es crucial tomar medidas preventivas, como mantener el software
actualizado, bloquear conexiones a direcciones sospechosas y contar con soluciones de seguridad
efectivas.
En caso de infección, se recomienda no pagar rescates, ya que no hay garantía de que se recuperen
los archivos y puede financiar actividades delictivas. En cambio, es fundamental contar con copias
de seguridad actualizadas y buscar la asistencia de profesionales en ciberseguridad para limpiar y
proteger el sistema.