Locky y Cerber perfeccionan sus técnicas de camuflaje

Desde mediados de enero, los investigadores observan que las últimas versiones de los programas nocivos Cerber y Locky han aprendido con bastante éxito a evadir los sistemas de detección de malware existentes. Para lograrlo, usan una infraestructura que permite ocultar código malicioso dentro de un instalador NSIS y utilizar múltiples niveles de ofuscación y cifrado antes de ejecutar código en la memoria.

No se sabe cómo esto se hizo posible. Quizá fue debido a que se puso en venta la infraestructura necesaria en los foros clandestinos o a la posible colaboración entre los autores de ambos programas nocivos. Lo único que se sabe con certeza es que las últimas versiones de ambas familias muestran un comportamiento similar.

“Los hackers siempre buscan encontrar nuevas maneras de ejecutar código malicioso. Tan pronto como averiguamos cómo funciona una técnica, ya están desarrollando una nueva”, afirmó Tom Nipravski, investigador informático de Deep Instinct. “En los últimos dos meses hemos visto una nueva tendencia, el uso de NSIS. Sospechamos que puede tratarse de una infraestructura compartida, porque los diversos tipos de extorsionistas se comportan exactamente de la misma manera”.

Nipravski, autor de un informe sobre las últimas tendencias en el mundo de malware, dijo que la nueva tecnología no sólo la usan Cerber (versiones 5.1 y 4) y Locky (varias de sus versiones), sino también diferentes versiones de Cryptolocker y CryptoWall.

“Suponemos que esta infraestructura está a la venta en las profundidades de la Dark Web, pero no podemos estar plenamente seguros.” Sin embargo, debe ser una infraestructura común, porque la conducta de todos (los programas maliciosos) es exactamente la misma”, remarcó. “La tendencia se viene observando en los últimos dos meses, e incluso las últimas versiones de Locky y Cerber utilizan NSIS”.

NSIS, abreviatura de Nullsoft Scriptable Install System, es un sistema de creación de programas de instalación para Windows, basado en código abierto. Es un elemento clave de la técnica de ofuscación del código malicioso que usan las últimas compañías de extorsión, que permite ocultar el código ejecutable a los sistemas de detección. Según el informe Nipravski, el plug-in SYSTEM en el instalador NSIS llama una función Win32 API, dando al atacante la posibilidad de asignar memoria al contenido ejecutable y ejecutar un código “stub” que descifra la carga útil.

“Gracias al complemento SYSTEM, se puede llamar funciones dentro de Windows y hacer lo que el delincuente quiera”. Los hackers asignan un sector de la memoria y le incrustan el código para después ejecutarlo”, declaró Nipravski. “Como el código está ofuscado, sólo se ve el código “stub” responsable de ejecutar XOR en el siguiente paso del código. Las soluciones de seguridad no ven lo que sucede con el código en sí. “Sólo pueden grabar lo que hace el pequeño “stub”, y no hace nada, excepto la operación XOR en unos pocos bytes.”

El instalador NSIS proporciona a los delincuentes una forma fácil de ejecutar código malicioso, subrayó Nipravski. Pero, según afirma, esto no es todo.

Por ejemplo, los ataques utilizan la técnica Heavens´s Gate para llamar un código de 64 bits desde un proceso de 32 bits, lo que permite omitir los hooks a las API utilizadas en los sistemas de detección. Heaven’s Gate utiliza llamadas de sistema en lugar de las API estándar, y también las utiliza para ofuscar el código, ya que los depuradores existentes no siempre funcionan bien cuando el código de 64 bits se ejecuta a partir de un proceso de 32 bits.

También se utiliza una técnica denominada Process Hollowing para iniciar el instalador. Con su ayuda, los atacantes crean procesos en estado de espera y reemplazan la imagen de un proceso con la imagen que desean ocultar. El instalador está cifrado dentro del instalador NSIS y se descifra durante la ejecución.

“Todo sucede dentro de la memoria. El atacante crea un proceso en estado de espera, sustituye la imagen del proceso con la del extorsionador, y redirecciona el punto de entrada del nuevo proceso al código malicioso”, explicó Nipravski. “Es decir, cuando se reanuda el proceso, este empieza a llamar al código del malware, y no al código original”.

Nipravski concluyó que la creación de procesos en estado de espera y la redistribución de imágenes deben considerarse una actividad sospechosa.

“Los hackers utilizan la técnica Process Hollowing cada vez para de una manera diferente, para que sea más difícil reconocer y rastrear la actividad maliciosa”, dijo el experto. “Ejecutar un proceso en estado de espera es algo normal. Pero si se reemplaza la imagen, se convierte en algo sospechoso. Esta es la primera vez que veo esta técnica. Cuando un antivirus analiza archivos ejecutables, determina si se los debe ejecutar, pero una vez realizado el análisis, se puede hacer cualquier cosa con ellos. Y los ciberdelincuentes se aprovechan de esto”.

Fuentes: Threatpost