Uso de máquina virtual por parte de los atacantes para ocultar ransomware


Las máquinas virtuales son una herramienta importante para los analistas de amenazas, ya que depuran e investigan el malware. Pero ahora hay un caso documentado de actores cibernéticos maliciosos que explotan una VM a su favor en un intento de ocultar un ataque de ransomware Ragnar Locker .

Los investigadores de Sophos , que descubrieron la técnica, afirman que ese truco es el primero en un ataque de ransomware y probablemente cualquier tipo de campaña de malware. La táctica "se presta muy bien al ransomware porque quiere encriptar archivos, y los atacantes querrían que lo haga una aplicación confiable", dijo Mark Loman, director de ingeniería, mitigación de amenazas, en Sophos, en una entrevista con SC Media .

En una publicación de blog sobre el tema, Loman explica que un ataque de ransomware que aprovecha un entorno VM "lleva la evasión de defensa a un nuevo nivel". Esto se debe a que, si bien el código malicioso puede atacar los discos y unidades de un host infectado, el software de seguridad instalado en dicho host no puede alcanzar el malware. "Los defensores solo tienen una vista de la máquina física, no de la máquina virtual", explicó Loman en su entrevista.

Sophos identificó la tecnología VM como un hipervisor Oracle VirtualBox desde 2009, pero en ese momento se conocía como Sun xVM VirtualBox, (versión 3.0.4). Oracle luego adquiriría Sun Microsystems.

Según la publicación del blog, la técnica de ataque utiliza una tarea de Objetos de directiva de grupo de Windows para ejecutar Microsoft Installer y luego instalar un paquete MSI sin firmar desde un servidor web remoto. El paquete implementa la VM, un archivo de imagen de disco virtual (VDI) que contiene el ejecutable del ransomware y varios archivos adicionales que admiten la cadena de infección.

Como parte del proceso de infección, Ragnar Locker elimina instantáneas para impedir la restauración de archivos, y enumera “todos los discos locales, unidades extraíbles conectadas y unidades de red mapeadas en la máquina física, para que puedan configurarse para acceder desde dentro de la máquina virtual "a través de carpetas compartidas, la publicación del blog continúa.

“… [Para] ser efectivo, un ransomware en el plano virtual [necesita] afectar los datos en el mundo físico. Para que esto suceda, el ataque canalizó los conductos desde el plano virtual al dominio físico a través de carpetas compartidas, que es una característica normal de un hipervisor que ejecuta una máquina virtual ", explicó Loman en su entrevista. "Aunque la protección de punto final solo puede controlar la máquina física y no tiene influencia en la virtual, la máquina 'fantasma' está fuera del alcance de la detección de malware, por lo que el binario ransomware tiene total libertad en la máquina virtual".

A continuación, el ransomware clasifica a través de una lista de nombres de procesos y servicios, y termina los que están abiertos para que puedan encriptarse a medida que se ejecuta el ransomware. Estas listas "se adaptan al entorno de red de la organización víctima, incluidos los nombres de procesos y servicios que pertenecen al software de protección de punto final", explica Sophos.

Ahí no es donde termina la personalización: Sophos observó que el ransomware se compila individualmente para cada objetivo, como lo demuestran las notas de rescate únicas que hacen referencia específica al nombre de la organización víctima, explica el informe.

Con el ransomware operando dentro del entorno virtualizado, "su proceso y sus comportamientos pueden ejecutarse sin obstáculos, porque están fuera del alcance del software de seguridad en la máquina host física", indica la publicación del blog.

Afortunadamente, Loman le dijo a SC Media, que tales ataques pueden detectarse antes de que el daño esté hecho. Explicó que “la protección de punto final con un modelo de confianza cero contra ransomware aún puede monitorear el conocido proceso de hipervisor que ejecuta la máquina virtual. Al vigilar de cerca cada archivo que el hipervisor toca en el mundo físico, puede detectar si un documento o una imagen se deforman por el cifrado ".

No olvides Compartir... 
Siguenos en twitter: @disoftin - @fredyavila

Publicar un comentario

0 Comentarios