Friday, September 22, 2017
El creador de WannaCry es fan de Messi no es muy ambicioso y usa Microsoft Word habitualmente en coreano
El creador de WannaCry es fan de Messi no es muy ambicioso y usa Microsoft Word habitualmente en coreano
Esta semana, nuestros compa�eros del laboratorio de ElevenPaths terminaban por publicar su an�lisis de WannaCry desde el punto de vista de los metadatos. Un enfoque no se hab�a puesto encima de la mesa a�n y que ellos han querido tocar de forma minuciosa y que, desde el punto de la investigaci�n forense ha dado muchos frutos en el pasado.
 |
| Figura 1: Un an�lisis de WannaCry desde el punto de vista de los metadatos |
No quiero en este post repetir el sesudo an�lisis que han hecho mis compa�eros del laboratorio, as� que os invito a leerlo completamente para entender todos los detalles - que es donde suele estar el diablo - pero si os voy a hacer un resumen de los datos m�s importantes para que teng�is una lectura r�pida.
Al atacante le gusta Messi
O puede que lo odie, lo cierto es que es analizando los metadatos de los ficheros RTF con los que WannaCry configura los textos en la pantalla en la que informa a la v�ctima que ha sido infectado, es el usuario que aparece.
 |
| Figura 2: Textos multi-idioma en WannaDecryptor |
Puedes utilizar cualquier herramienta que extraiga metadatos de documentos RTF como nuestro MetaShield Clean-Up Online y analizar los resultados que se obtienen. En las cadenas se puede ver el nombre del usuario que es Messi.
 |
| Figura 3: Messi en el an�lisis de metadatos de los textos RTF de WannaCry con MetaShield Clean-Up Online |
Este nombre de usuario es el que el atacante utiliz� para crear o modificar con su editor de textos los ficheros RTF.
Utilizaci�n de Microsoft Word
Averiguar que el atacante utiliza Microsoft Word para crear los documentos RTF no es demasiado complejo, ya que, como sucede con muchas otras herramientas, Microsoft Word deja "Informaci�n Oculta" en los ficheros RTF. En las versiones m�s antiguas de Microsoft Office, es f�cil localizar esta versi�n en el atributo generator, pero no siempre aparece cuando son versiones modernas.
 |
| Figura 4: Especificaci�n RTF para el campo Generator |
Sin embargo, analizando c�mo implementa las especificaciones RTF se puede ver que el Internal Version Number - donde se guarda informaci�n de la versi�n del documento -sigue el estilo de Microsoft Office. Generalmente es un campo de 5 d�gitos, no muy bien documentado, y que otras herramientas utilizan de forma distinta. Para analizar los RTF utilizamos nuestra nueva herramienta MetaShield Clean-Up Online, donde se puede subir un documento en este formato y ver qu� metadatos tiene.
Utiliza Microsoft Word en Coreano
El indicio que nos lleva a pensar a que con gran probabilidad es Microsoft Office y con idioma en Coreano es, precisamente, la forma en que se comporta Microsoft Word con los idiomas cuando se hace esa configuraci�n.
 |
| Figura 5: Idiomas en el documento RTF de WannaCry |
En los documentos RTF usados en WannaCry salen tres idiomas, como se puede ver en la siguiente imagen que son Coreano, Ingl�s y �rabe. El primero de ellos aparece en la etiqueta del metadato deflang con el control plain, lo que indica que es el de por defecto. La cadena de metadatos exacta es:
tf1adeflang1025ansiansicpg1252uc2adeff31507deff0stshfdbch31505stshfloch31506stshfhich31506stshfbi0deflang1033deflangfe1042
El que se utilice el ingl�s es porque si se configurar una versi�n de Microsoft Word con el idioma Coreano, �ste software siempre a�ade el idioma ingl�s - es el comportamiento de Microsoft Office y pod�is comprobarlo -. Adem�s, el que aparezca el idioma �rabe es porque existen versiones de Microsoft Office "EMEA" en que el idioma por defecto para versiones asi�ticas, y se mete en el metadato adeflangfe.
 |
| Figura 6: Selecci�n de idioma por defecto en Microsoft Office |
En definitiva, analizando el comportamiento de Microsoft Word con este tipo de documentos hace pensar en que el idioma por defecto es Corenao, a pesar de que los documentos est�n escritos en Chino o Let�n.
Una cosa interesante es que se puede analizar cu�nto es el tiempo que ha tardado en editar cada uno de los ficheros RTF que se usa para todos los idiomas, y parece que se tom� mucho m�s tiempo para la versi�n de Chino Simplificado, y luego un poco menos para Ingl�s y B�lgaro, mientras que para el resto de los idiomas casi no dedica tiempo.
 |
| Figura 7: Tiempo de edici�n por tipo de fichero de idioma |
En el caso de las revisiones sucede lo mismo. Chino es la que m�s revisiones cuenta, lo que parece que le pudo llevar a matizar m�s el texto de ese idioma.
 |
| Figura 8: N�mero de revisiones por tipo de documento |
�Esto quiere decir algo? Pues lo que quieras interpretar, pero est� claro que el que escribi� esos documentos parec�a tener m�s inter�s - o conocimiento - del Chino tradicional que de otros idiomas.
Esta parte del an�lisis es de las m�s curiosas, ya que no solo tenemos la informaci�n de los metadatos de RTF y contamos tambi�n con los metadatos de los ficheros ZIP. En las versiones de WannaCry se utiliza un fichero ZIP para descargar el ransomware, y en �l se almacena la fecha del �ltimo acceso con su propia zona horaria. Analizando las fechas del ZIP se puede concluir que:
2017-04-27 17:25 (hora local del atacante): El atacante crea b.wnry, un fichero BMP en segundo plano y el r.wnry, que contiene el fichero "readme".
2017-05-09 16:57: El atacante crea otro zip con herramientas para conectarse a la red Tor y negociar el rescate. Se descargaron en el sistema de archivos del atacante a las 16:57, 09/05/2017, hora local del atacante, y son empaquetados e introducidos en un nuevo zip, s.wnry.
2017-05-10 01:16: El atacante crea en su sistema c.wnry, que contiene dominios onion de la red Tor y una cartera para bitcoins.
2017-05-11 15:59: Crea r.wnry que contiene instrucciones de borrado.
2017-05-11 16:47: Edita b.wnry.
2017-05-11 20:11: Edita c.wnry de nuevo.
2017-05-11 20:13: Introduce b.wnry en el zip y lo comprime con contrase�a.
2017-05-12 02:22: A�ade los ficheros EXE: u.wnry y t.wnry. El atacante empaqueta y establece una contrase�a. El payload de gusano est� listo.
Teniendo en cuenta que cada vez que se infecta un equipo se accede al fichero ZIP para extraer el ransomware, y que las primeras infecciones fueron descubiertas en la zona de Tailandia sobre las UTC 00:00, entonces podemos asumir cuales ser�an las zonas GMT posibles, es decir, que dentro de ese mismo d�a fueran posteriores a la fecha de creaci�n del ramsonware.
 |
| Figura 9: Zonas horarias v�lidas con las fechas de los archivos ZIP |
Podr�a ser coreano (UTC+9), pero tambi�n de cualquier zona entre UTC+3 y UTC+12 como pod�is ver en la infograf�a superior.
Por �ltimo, el tema del dinero es bastante pecuiliar. A d�a de hoy, tal y como vimos al principio, el autor no ha retirado ning�n BitCoin de los monederos, pero es que hemos revisado las carteras de la primera versi�n de WannaCry 1.0 (Sin contar con la "gusanificaci�n" v�a EternalBlue), y sigue sin haber retirado ning�n bitCoin de ellas.
 |
| Figura 10: Billetera BitCoin utilizada en WannaCry 1.0 |
Es decir, que el creador de estas dos campa�as WannaCry 1.0 y WannaCry 2.0 no ha retirado ning�n dinero de lo obtenido co el malware. Vamos, que o no ten�a ning�n inter�s en ello desde el minuto uno, o se ha arrepentido.
PD: M�s referencias.
- El ataque del ransomware WannaCry
- Telef�nica WannaCry File Restorer
- Telef�nica WannaCry File Restorer Desktop Version
- Telef�nica WannaCry File Restorer en Active Directory
- Latch Antiransonware para luchar contra el ransomware
Sigue Un inform�tico en el lado del mal - Google+ RSS 0xWord
download file now
