Investigación de incidentes: robos en el sistema de banca a distancia

Con cada vez mayor frecuencia Kaspersky Lab se enfrenta a la labor de investigar en detalle los incidentes de seguridad informática relacionados con software malicioso.

En el presente artículo analizaremos un ataque típico lanzado por los delincuentes y que tiene como objetivo robar el dinero de las compañías aprovechándose del sistema de banca a distancia.

El incidente

No hace mucho tiempo, una organización solicitó a Kaspersky Lab investigar un incidente en su sistema de servicios bancarios a distancia. Un empleado del banco había llamado a la sección de contabilidad de esta organización y pedido confirmar un pago de cerca de tres millones de rublos. En la organización nadie sabía nada sobre el pago, el contabler afirmaba que no lo había realizado y que en el momento de la transacción no estaba en su puesto de trabajo, porque estaba almorzando.

El contable usaba en su ordenador un software bancario para crear las órdenes de pago y enviarlas al banco, y en el archivo de registros de éste había dos pagos sospechosos a una misma dirección. šEl primer pago, de cerca de 300.000 rublos, se había realizado con éxito, ya que la suma estaba dentro de los límites a los que estaban acostumbrados los empleados del banco. Pero el segundo pago, de cerca de 3.000.000 de rublos, provocó sospechas entre los empleados.

Como el contable no había realizado los pagos, en la organización empezaron a sospechar un ataque mediante software malicioso. Pero ¿de qué manera se había hecho el ataque, tomando en cuenta que se usaba un software bancario especial, que exigía el uso de contraseña y de un fichero especial para entrar al sistema de banca a distancia y la dirección IP del remitente de la orden de pago se verificaba en el banco?

La investigación

Los principales objetivos de la investigación del incidente viral son: determinar a ciencia cierta las consecuencias del ataque, trazar el círculo de los equipos comprometidos y descubrir los métodos usados por el programa malicioso para penetrar en el equipo víctima. Al recibir esta información, la organización puede minimizar las pérdidas causadas por el incidente, además de detectar los lugares vulnerables de la defensa y tomar precauciones para evitar incidentes similares en el futuro.

Durante la investigación también podemos descubrir ejemplares de programas maliciosos no detectados anteriormente y agregarlos a la bases de datos antivirus, para proteger a las víctimas potenciales.

Para llevar a cabo la investigación de este incidente, se envió una imagen del disco duro del ordenador del contador al equipo de Soluciones Urgentes de Emergencias Informáticas.

Acceso remoto al ordenador

Durante el análisis inicial del disco duro del ordenador del contador encontramos una versión modificada del programa legal Remote Manipulator System, que permite administrar un ordenador a distancia. Los contables y administradores de sistemas usan con frecuencia programas similares. Pero el programa que encontramos estaba en un catálogo sospechoso, tenía un nombre sospechoso (“C:windowsdotcomwmiterm.exe” – es una ruta muy del sistema, incluso un usuario avanzado no sospecharía nada malo) y estaba modificado de tal forma que su funcionamiento ocurría de forma inadvertida:

• El icono en el panel de tareas de Windows era invisible.
• La llave del registro donde el programa guarda su configuración estaba modificada (en vez de [HKLMSYSTEMRemote Manipulator Systemv4] figuraba [HKLMSYSTEMSystemSystemRemote Windows], de nuevo algo muy parecido a una llave del sistema en el registro).
• La visualización de la ventana del programa estaba desactivada.

Estos cambios son típicos de los programas maliciosos, por eso hemos agregado la detección de este malware a las bases antivirus bajo el nombre Backdoor.Win32.RMS.

Durante el análisis de las actividades de Backdoor.Win32.RMS nos quedó claro que con la ayuda de este programa los delincuentes habían descargado en el ordenador otro programa malicioso, Backdoor.Win32.Agent (agregamos la detección de este programa malicioso a las bases antivirus inmediatamente después de descubrirlo). Este backdoor era un VNC (Virtual Network Computing), que permite el acceso directo al equipo de la víctima. Es interesante que en el código de este programa malicioso haya muchas similitudes con el módulo hVNC del troyano Carberp (como consecuencia del acceso libre al código fuente de este troyano).

¿De qué manera penetró el programa malicioso Backdoor.Win32.RMS al ordenador del contable?

Infección del equipo

De la base de datos de Microsoft Outlook (fichero “outlook.pst” en el disco duro) extrajimos un mensaje que contenía un adjunto llamado “solicitud de IFNC No AC-4-31339.doc”. Nuestro antivirus detecta este documento de ofimática como Exploit.MSWord.CVE-2012-0158.

Los delincuentes usaron métodos de ingeniería social: en el texto del mensaje enviado en nombre del Servicio Federal de Impuestos pedían celeridad en el procesamiento del mensaje y se incluían los datos reales de empleados del servicio de impuestos.

Seguramente el contable abrió el documento que, usando una vulnerabilidad de Microsoft Office Word descargaba desde un servidor remoto un archivo comprimido que se descomprimía de forma automática. El archivo contenía 2 ficheros: “SYST.EXE” (era el programa compresor 7zip con el nombre cambiado) y “SYST”.

Durante la descompresión automática el archivo original lanzaba el programa descompresor SYST.EXE con parámetros que descomprimían el archivo protegido con contraseña SYST usando una contraseña integrada en el primero. Este truco, usar un archivo protegido por contraseña sirve para evitar que el antivirus lo abra, y así reducir las probabilidades de que detecte programa maliciosos.

Como resultado de la descompresión de SYST se creaba el fichero Backdoor.Win32.RMS, detectado anteriormente y el script INST.CMD, que instalaba el backdoor en el sistema (era justo el script el que copiaba el software malicioso en el catálogo “C:windowsdotcom”).

Después de la detección de los backdoors, nos hicimos una idea de cómo se había llevado a cabo el robo de dinero. Si los delincuentes tenían acceso remoto al ordenador, entonces podían crear su propia orden de pago, con lo que el fichero clave y la dirección IP del remitente serían legítimas. Pero en este caso quedaría sin solucionar el problema de la contraseña del software bancario. Y nos dimos cuenta de que había que buscar un programa de captura de pulsaciones de teclas (keylogger).

El keylogger

Nos llamó la atención el fichero “Svchost.exe” ubicado en la raíz del disco del sistema. El fichero era un keylogger (detectado con el veredicto Trojan-Spy.Win32.Delf) con funciones adicionales de administración de Backdoor.Win32.RMS. Estas funciones poco comunes, al parecer, eran imprescindibles para que los delincuentes puedan controlar la versión modificada de Remote Manipulator System, ya que habían hecho invisible para el usuario lal interfaz del programa, haciendo imposible que este gestione su configuración.

También detectamos que este keylogger se descargaba mediante el malware Backdoor.Win32.RMS.

El keylogger no sólo enviaba regularmente al servidor un registro con la información robada, sino que almacenaba una versión actualizada del registro en el disco duro del equipo infectado. Entre la información robada por el keylogger encontramos la contraseña del software bancario.

Esquema del ataque

Como resultado de la investigación pudimos esbozar el siguiente esquema de las acciones de los delincuentes:

1. Durante el ataque dirigido, mediante la ingeniería social y las vulnerabilidades de Microsoft Word se había infectado el equipo del contable con Backdoor.Win32.RMS.
2. Mediante este backdoor los delincuentes también descargaron en el equipo infectado dos programas maliciosos más: šun keylogger (Trojan-Spy.Win32.Delf) y un backdoor (Trojan-Spy.Win32.Delf), que brindaba acceso remoto VNC al equipo de la víctima.
3. El keylogger interceptó el programa de acceso al sistema de banca en Internet.
4. Mientras el contable no estaba en su puesto de trabajo, los delincuentes, mediante Backdoor.Win32.Agent y usando el acceso VNC al equipo, iniciaron el sistema de banca en Internet en nombre del contable.
5. Usando la contraseña interceptada con el keylogger, los delincuentes informáticos crearon y enviaron al banco una orden de pago por un total de cerca de 300.000 rublos.
6. Un poco más tarde crearon y enviaron al banco otra orden de pago de cerca de tres millones de rublos.

Cuando la investigación estaba llegando a su fin, detectamos otro hecho curioso: Las direcciones IP de los servidores de administración de todos los programas maliciosos usados en el ataque pertenecían a una sola subred.

Esquema del ataque realizado por los delincuentes

Como resultado de la investigación quedó claro que los delincuentes actuaron de una forma muy rápida y realizaron sus planes delictivos en sólo cuatro días. De ellos, los primeros tres días se usaron para la preparación del ataque, y todas las demás acciones relacionadas con el robo de dinero las llevaron a cabo en sólo unas horas del cuarto día.

Día 1. Los delincuentes enviaron un mensaje al contable de la compañía. El contable leyó el mensaje, abrió el adjunto y se instaló en su ordenador el programa Backdoor.Win32.RMS. Los siguientes días los delincuentes observaron las acciones del contable.

Día 4. Los delincuentes, con la ayuda del programa Backdoor.Win32.RMS descargaron el keylogger Trojan-Spy.Win32.Delf e interceptaron la contraseña del software bancario. Un poco después descargaron Backdoor.Win32.Agent y con su ayuda se conectaron al equipo del contable. A continuación los delincuentes enviaron las órdenes de pago al banco.

Notificación de las víctimas de los delincuentes

Como los delincuentes usaron varias direcciones IP pertenecientes a una sola subred, decidimos investigar más a fondo los servidores de administración. Resulta que los delincuentes cometieron un error al configurar el servidor y como resultado, cualquier usuario puede ver las solicitudes HTTP enviadas a los servidores de los delincuentes. De esta manera pudimos averiguar las direcciones IP desde donde se enviaron las solicitudes mediante el protocolo del keylogger. Resultó que el keylogger había infectado varios equipos con diferentes direcciones IP.

El keylogger tenía una peculiaridad: al iniciarse en un equipo infectado, descargaba desde el servidor de administración la última versión del registro. Así, el contenido del registro del keylogger estaba a disposición de cualquier usuario que abriese en el navegador una página similar a http://SERVER_NAME/JOURNAL_NAME”. Nosotros decidimos analizar con más profundidad las solicitudes HTTP enviadas al servidor de los delincuentes y vimos en ellas los nombres de los registros que los keyloggers enviaban al servidor de administración. Esto nos permitieron obtener el contenido de todos los registros de las víctimas del keylogger. Con frecuencia los registros contenían el nombre de la organización a la que pertenecía el equipo infectado y los datos de contacto de la víctima (y la dirección IP de ésta se podía averiguar mediante una vulnerabilidad del servidor de administración). Esta información permitía conectarse con otras víctimas (la mayor parte de las cuales eran contables de organizaciones medianas y pequeñas) y advertirles que estaban infectadas, algo que nos agradecieron mucho.

Peculiaridades de los ataques bancarios

Como ya hemos dicho al principio de este artículo, el ataque que estamos analizando se puede llamar “ataque para robar dinero”.

1. 1. Los delincuentes usan activamente trucos de ingeniería social para obligar a los usuarios a abrir el fichero malicioso.

El personal que tiene acceso a la información comercial importante y a las finanzas de la compañía necesita pasar cursos de fundamentos de seguridad informática. En la compañía deben regir políticas de seguridad que reduzcan al mínimo el riesgo de infección de la red corporativa por una simple negligencia de sus empleados.

1. 1. En los ataques selectivos contra blancos importantes pueden usarse nuevos exploits para vulnerabilidades aún no publicadas. En estos casos, los métodos comunes de detección de ataques, por ejemplo el IDS pueden resultar insuficientes.

Pero los exploits de día cero son demasiado caros para usarlos en ataques contra compañías comunes. Como regla, en estos casos se usan exploits para vulnerabilidades ya conocidas. En situaciones similares la defensa puede consistir en actualizar a tiempo el software (sobre todo MS Office y Java) y usar una solución de protección de buena calidad, con tecnologías modernas de defensa contra exploits.

1. 1. Otra peculiaridad del ataque es que utilizó software legal. Esta tendencia se está desarrollando activamente y podemos ver que en muchos ataques los delincuentes usan aplicaciones legítimas para obtener acceso remoto, descargar e iniciar ficheros maliciosos, etc.

Los programas antivirus no detectan estos programas legales y la única tarea de los delincuentes al usarlos para sus objetivos es hacer que funcionen de forma camuflada. En este ataque resolvieron esta tarea mediante la modificación del fichero ejecutable del programa Remote Manipulator System, lo que nos permitió añadir la firma del fichero alterado a las bases antivirus.

En caso de que se use software legal sin adulterar, la única solución será que el sistema de seguridad notifique de forma obligatoria si se lanza un programa potencialmente indeseable. Los usuarios, sobre todo aquellos que trabajan con documentos financieros y otros documentos importantes, tienen que recordar que ningún sistema de seguridad puede brindar una protección absoluta. También hay que prestar atención a las notificaciones del sistema y el comportamiento anormal del ordenador y avisar al servicio de seguridad sobre todos los sucesos sospechosos.

Lo ideal sería que en los ordenadores usados para realizar pagos en el sistema de banca a distancia se usara el modo de prohibición predeterminada de software de terceros que no esté en la lista de admitidos. Lo mismo se aplica a los ordenadores en los que los usuarios corporativos trabajan con información comercial importante.

Conclusión

En la actualidad, la principal fuerza que mueve a los delincuentes informáticos es el lucro. El acceso a los sistemas de banca en Internet es el acceso más directo y evidente al dinero de las compañías, y como consecuencia, a la posibilidad de robarlo. No es sorprendente que los sistemas de acceso a la banca por Internet se estén convirtiendo en un blanco cada vez más popular entre los delincuentes.

Los sistemas de acceso remoto a la banca cuentan con una defensa integrada, con cuyo funcionamiento están bien familiarizados sus usuarios… y también los delincuentes. šEl uso de contraseñas, ficheros clave, llaves hardware y la limitación de acceso por dirección IP les da a los usuarios una falsa sensación de seguridad absoluta.

Pero todas estas medidas por separado o en su conjunto no aumentan la seguridad si el equipo en que se ejecutan ya está comprometido. La contraseña se puede interceptar, el fichero clave se puede copiar y si los delincuentes crean un escritorio oculto, pueden utilizar la dirección IP original y la llave de software conectada por el contable.

Con todo, durante la investigación de los incidentes solemos toparnos con frecuencia con la siguiente situación: en el ordenador se ejecutó un software malicioso, y después de cierto tiempo el antivirus actualizó sus basesš y lo borró. Después, en el ordenador donde ocurrió el incidente se sigue trabajando y realizando operaciones de contabilidad, con la seguridad de que la amenaza ha quedado atrás.

Es necesario comprender que si el programa malicioso ya se ha ejecutado, hay que considerar que el ordenador está infectado, ya que con frecuencia el primer fichero es sólo un descargador. Los principales programas maliciosos que descargan el primer fichero se renuevan constantemente, para evitar que los detecten los antivirus. O, como ya hemos mencionado más arriba, se descargan programas legales configurados por los delincuentes para que se conecten con sus servidores. En esta situación los programas que llevan a cabo las acciones maliciosas quedan sin detectar. š

Las pérdidas de la compañía causadas por este descuido pueden ser muy sensibles. Si en el ordenador que contiene información de importancia crítica se ha detectado un programa malicioso, hay tomar medidas inmediatas de reacción ante el incidente.

Pero, como nos muestra nuestra experiencia, las organizaciones sólo toman medidas de emergencia cuando se revelan las consecuencias de los ataques de los delincuentes: pérdidas financieras o pérdida del acceso a servicios críticos. Y en la mayoría de los casos las medidas que toman las corporaciones como reacción a estos incidentes resultan inefectivas y con frecuencia complican la investigación.

Como las variantes de los ataques pueden ser muchas, no existen métodos universales y ni siempre efectivos de reaccionar ante los incidentes. Por ejemplo, en algunos casos apagar de inmediato el ordenador permite conservar los datos que el programa malicioso podría borrar definitivamente después de cierto tiempo. En otras situaciones, apagar el ordenador puede llevar a que se pierdan de la memoria operativa del ordenador datos imprescindibles para la investigación. Sólo un especialista de investigación de incidentes puede tomar la decisión correcta.

En cualquier caso, al surgir la primera sospecha de penetración, es necesario desconectar de Internet y de la red corporativa los equipos que se sospeche estén comprometidos y optar por los servicios de especialistas en la investigación de incidentes virales.

Solo se pueden eliminar las consecuencias del incidente después de una investigación minuciosa.