Informe y analisis de malware
Dario CzenczekInforme20 de Octubre de 2022
486 Palabras (2 Páginas)106 Visitas
Proyecto Final Primera entrega
Dato fuente de la información
Para la elaboración del presente informe, han sido analizadas las siguientes fuentes de información:
- Informe de estatus de situación actual
- Muestra de malware entregado por el equipo de soporte técnico de LexCorp.
Análisis de Malware
El presente informe responde a la necesidad de conocer el alcance del incidente de seguridad provocada por el cifrado masivo de archivos (ransomware) en la infraestructura de LexCorp, identificado del 20 al 23 de junio de 2021. Con base en las actuaciones de respuesta, los técnicos de LexCorp tomaron las
medidas de contención que consideraron necesarias y llevaron a cabo la restauración de los sistemas afectados por el ataque. Como resultado del análisis de malware, se ha identificado lo siguiente:
Adicionales:
- No se ha podido determinar inequívocamente la vía de entrada del ataque debido a la ausencia de fuentes de datos clave que permitan conocer el alcance completo del incidente.
- No obstante, planteo las siguientes hipótesis en base a las fuentes de información analizada:
- ◆ Un usuario abrió un correo e hizo click a un mail con link malicioso que descargo la muestra del malware (En este caso un ransomware)
- ◆ Descargado el archivo, ejecutó el .zip explotando el archivo que de inmediato inició el proceso de encriptación.
- ◆ Realizó posible movimiento lateral a otros servidores (Servidor de archivos compartidos) ya que se comparte carpetas de toda la red.
Muestra analizada con Any.run
Nombre del archivo | SAľURN_RANSOM.exe |
Fecha de análisis | Apíil 27, 2022 at 13:39:05 |
OS utilizado para análisis | Windows 7 Píofessional Seívice Pack 1 (build: 7601, 32 bit) |
MD5 | BBD4C2D2C72648C8F871B36261BE23FD |
Comportamiento
[pic 1][pic 2]
Información estática
EXE
MachineType: , Intel 386 or later, and compatibles / TimeStamp: , 2018:02:14 20:19:14+01:00 PEType: , PE32 / LinkerVersion: , 14.11 / CodeSize: , 211968 / InitializedDataSize: , 137728 UninitializedDataSize: , 0 / EntryPoint: , 0x151bc / OSVersion: , 6 / ImageVersion: , 0 SubsystemVersion: , 6 / Subsystem: , Windows GUI
Screenshot de la simulación
[pic 3]
Diagrama de procesos de comportamiento
[pic 4]
Eventos asociados
[pic 5]
HTTP Request
[pic 6]
Conexiones
[pic 7]
DNS Request
[pic 8]
Amenazas
[pic 9]
Conclusiones
Comportamiento del Malware: Evasion / Loader Nombre general: SATURN
Investigación del malware: Ransomware SATURN Tipo de malware: Ransomware
Información de SATURN:
Saturn es un Ransomware-as-a-Service (RaaS) que proporciona a los usuarios todo lo necesario para lanzar ataques sin necesidad de tener grandes conocimientos informáticos. A diferencia de otros RaaS que se pueden comprar en la Dark Web, Saturn es de acceso completamente gratuito. Lo que tienen que hacer los aspirantes es apuntarse al programa de afiliados en el portal que han lanzado los creadores, y una vez aprobada su solicitud reciben las instrucciones necesarias para empezar a distribuir el ransomware.
...