Showing posts with label muy. Show all posts
Showing posts with label muy. Show all posts
Friday, September 22, 2017
El creador de WannaCry es fan de Messi no es muy ambicioso y usa Microsoft Word habitualmente en coreano
El creador de WannaCry es fan de Messi no es muy ambicioso y usa Microsoft Word habitualmente en coreano
Esta semana, nuestros compa�eros del laboratorio de ElevenPaths terminaban por publicar su an�lisis de WannaCry desde el punto de vista de los metadatos. Un enfoque no se hab�a puesto encima de la mesa a�n y que ellos han querido tocar de forma minuciosa y que, desde el punto de la investigaci�n forense ha dado muchos frutos en el pasado.
 |
| Figura 1: Un an�lisis de WannaCry desde el punto de vista de los metadatos |
No quiero en este post repetir el sesudo an�lisis que han hecho mis compa�eros del laboratorio, as� que os invito a leerlo completamente para entender todos los detalles - que es donde suele estar el diablo - pero si os voy a hacer un resumen de los datos m�s importantes para que teng�is una lectura r�pida.
Al atacante le gusta Messi
O puede que lo odie, lo cierto es que es analizando los metadatos de los ficheros RTF con los que WannaCry configura los textos en la pantalla en la que informa a la v�ctima que ha sido infectado, es el usuario que aparece.
 |
| Figura 2: Textos multi-idioma en WannaDecryptor |
Puedes utilizar cualquier herramienta que extraiga metadatos de documentos RTF como nuestro MetaShield Clean-Up Online y analizar los resultados que se obtienen. En las cadenas se puede ver el nombre del usuario que es Messi.
 |
| Figura 3: Messi en el an�lisis de metadatos de los textos RTF de WannaCry con MetaShield Clean-Up Online |
Este nombre de usuario es el que el atacante utiliz� para crear o modificar con su editor de textos los ficheros RTF.
Utilizaci�n de Microsoft Word
Averiguar que el atacante utiliza Microsoft Word para crear los documentos RTF no es demasiado complejo, ya que, como sucede con muchas otras herramientas, Microsoft Word deja "Informaci�n Oculta" en los ficheros RTF. En las versiones m�s antiguas de Microsoft Office, es f�cil localizar esta versi�n en el atributo generator, pero no siempre aparece cuando son versiones modernas.
 |
| Figura 4: Especificaci�n RTF para el campo Generator |
Sin embargo, analizando c�mo implementa las especificaciones RTF se puede ver que el Internal Version Number - donde se guarda informaci�n de la versi�n del documento -sigue el estilo de Microsoft Office. Generalmente es un campo de 5 d�gitos, no muy bien documentado, y que otras herramientas utilizan de forma distinta. Para analizar los RTF utilizamos nuestra nueva herramienta MetaShield Clean-Up Online, donde se puede subir un documento en este formato y ver qu� metadatos tiene.
Utiliza Microsoft Word en Coreano
El indicio que nos lleva a pensar a que con gran probabilidad es Microsoft Office y con idioma en Coreano es, precisamente, la forma en que se comporta Microsoft Word con los idiomas cuando se hace esa configuraci�n.
 |
| Figura 5: Idiomas en el documento RTF de WannaCry |
En los documentos RTF usados en WannaCry salen tres idiomas, como se puede ver en la siguiente imagen que son Coreano, Ingl�s y �rabe. El primero de ellos aparece en la etiqueta del metadato deflang con el control plain, lo que indica que es el de por defecto. La cadena de metadatos exacta es:
tf1adeflang1025ansiansicpg1252uc2adeff31507deff0stshfdbch31505stshfloch31506stshfhich31506stshfbi0deflang1033deflangfe1042
El que se utilice el ingl�s es porque si se configurar una versi�n de Microsoft Word con el idioma Coreano, �ste software siempre a�ade el idioma ingl�s - es el comportamiento de Microsoft Office y pod�is comprobarlo -. Adem�s, el que aparezca el idioma �rabe es porque existen versiones de Microsoft Office "EMEA" en que el idioma por defecto para versiones asi�ticas, y se mete en el metadato adeflangfe.
 |
| Figura 6: Selecci�n de idioma por defecto en Microsoft Office |
En definitiva, analizando el comportamiento de Microsoft Word con este tipo de documentos hace pensar en que el idioma por defecto es Corenao, a pesar de que los documentos est�n escritos en Chino o Let�n.
Una cosa interesante es que se puede analizar cu�nto es el tiempo que ha tardado en editar cada uno de los ficheros RTF que se usa para todos los idiomas, y parece que se tom� mucho m�s tiempo para la versi�n de Chino Simplificado, y luego un poco menos para Ingl�s y B�lgaro, mientras que para el resto de los idiomas casi no dedica tiempo.
 |
| Figura 7: Tiempo de edici�n por tipo de fichero de idioma |
En el caso de las revisiones sucede lo mismo. Chino es la que m�s revisiones cuenta, lo que parece que le pudo llevar a matizar m�s el texto de ese idioma.
 |
| Figura 8: N�mero de revisiones por tipo de documento |
�Esto quiere decir algo? Pues lo que quieras interpretar, pero est� claro que el que escribi� esos documentos parec�a tener m�s inter�s - o conocimiento - del Chino tradicional que de otros idiomas.
Esta parte del an�lisis es de las m�s curiosas, ya que no solo tenemos la informaci�n de los metadatos de RTF y contamos tambi�n con los metadatos de los ficheros ZIP. En las versiones de WannaCry se utiliza un fichero ZIP para descargar el ransomware, y en �l se almacena la fecha del �ltimo acceso con su propia zona horaria. Analizando las fechas del ZIP se puede concluir que:
2017-04-27 17:25 (hora local del atacante): El atacante crea b.wnry, un fichero BMP en segundo plano y el r.wnry, que contiene el fichero "readme".
2017-05-09 16:57: El atacante crea otro zip con herramientas para conectarse a la red Tor y negociar el rescate. Se descargaron en el sistema de archivos del atacante a las 16:57, 09/05/2017, hora local del atacante, y son empaquetados e introducidos en un nuevo zip, s.wnry.
2017-05-10 01:16: El atacante crea en su sistema c.wnry, que contiene dominios onion de la red Tor y una cartera para bitcoins.
2017-05-11 15:59: Crea r.wnry que contiene instrucciones de borrado.
2017-05-11 16:47: Edita b.wnry.
2017-05-11 20:11: Edita c.wnry de nuevo.
2017-05-11 20:13: Introduce b.wnry en el zip y lo comprime con contrase�a.
2017-05-12 02:22: A�ade los ficheros EXE: u.wnry y t.wnry. El atacante empaqueta y establece una contrase�a. El payload de gusano est� listo.
Teniendo en cuenta que cada vez que se infecta un equipo se accede al fichero ZIP para extraer el ransomware, y que las primeras infecciones fueron descubiertas en la zona de Tailandia sobre las UTC 00:00, entonces podemos asumir cuales ser�an las zonas GMT posibles, es decir, que dentro de ese mismo d�a fueran posteriores a la fecha de creaci�n del ramsonware.
 |
| Figura 9: Zonas horarias v�lidas con las fechas de los archivos ZIP |
Podr�a ser coreano (UTC+9), pero tambi�n de cualquier zona entre UTC+3 y UTC+12 como pod�is ver en la infograf�a superior.
Por �ltimo, el tema del dinero es bastante pecuiliar. A d�a de hoy, tal y como vimos al principio, el autor no ha retirado ning�n BitCoin de los monederos, pero es que hemos revisado las carteras de la primera versi�n de WannaCry 1.0 (Sin contar con la "gusanificaci�n" v�a EternalBlue), y sigue sin haber retirado ning�n bitCoin de ellas.
 |
| Figura 10: Billetera BitCoin utilizada en WannaCry 1.0 |
Es decir, que el creador de estas dos campa�as WannaCry 1.0 y WannaCry 2.0 no ha retirado ning�n dinero de lo obtenido co el malware. Vamos, que o no ten�a ning�n inter�s en ello desde el minuto uno, o se ha arrepentido.
PD: M�s referencias.
- El ataque del ransomware WannaCry
- Telef�nica WannaCry File Restorer
- Telef�nica WannaCry File Restorer Desktop Version
- Telef�nica WannaCry File Restorer en Active Directory
- Latch Antiransonware para luchar contra el ransomware
Sigue Un inform�tico en el lado del mal - Google+ RSS 0xWord
download file now
Subscribe to:
Posts (Atom)