Estas herramientas se usan en investigaciones de seguridad y otros propósitos autorizados. Sin embargo, los cibercriminales han encontrado una forma de explotarlas y usarlas en campañas de ransomware. ¿Cuáles son estas herramientas y cómo se están convirtiendo en armas?
Por Janus Agcaoili y Earle Earnshaw
Mientras los operadores de ransomware continúan equipándose con más armas en su arsenal, el desafío se vuelve cada vez más grande para las organizaciones que pueden sufrir graves consecuencias como resultado de estos ataques. Las organizaciones que son afectadas por los ataques de ransomware típicamente incurren en pérdidas y daños financieros, además de perder acceso a los sistemas o incluso la exposición de datos sensibles.
La mayoría de las campañas recientes de ransomware han adoptado técnicas de doble extorsión, en las cuales los actores maliciosos encriptan los archivos de una empresa y publican sus datos sensibles al público. Respecto a su evolución, anticipamos en nuestras predicciones de seguridad que el ransomware en el 2021 se convertiría en una amenaza aún más siniestra, ya que se ha vuelto mucho más dirigida y han surgido nuevas familias (como Egregor). Este año, los cibercriminales también continuarán abusando de herramientas legítimas para facilitar los ataques de ransomware.
Por sí solas, estas herramientas no son inherentemente maliciosas. Todo lo contrario, fueron creadas para ayudar a realizar investigaciones de seguridad o mejorar la eficiencia de los programas. Sin embargo, como muchas otras tecnologías, los cibercriminales han encontrado una forma de explotarlas. Eventualmente, estas herramientas se convirtieron en un componente típico de las campañas de ransomware y, en algunos casos, incluso de otros ciberataques. El National Cyber Security Centre (NCSC) del Reino Unido ha publicado una lista de dichas herramientas en un reporte. hay varias razones por las cuales el uso de herramientas legítimas para las campañas de ransomware es una opción tan atractiva para los cibercriminales. Por una parte, ya que estas herramientas no son por sí solas maliciosas, pueden ayudar a evadir la detección. Tampoco afecta el hecho de que muchas de estas herramientas son de código abierto, y por lo tanto el público puede acceder a ellas y usarlas de forma gratuita. Finalmente, la utilidad de las capacidades de las herramientas – las mismas que benefician a los investigadores de seguridad – representan una ventaja para los cibercriminales. Por lo tanto, estas plataformas se convierten en advertidamente en espadas de doble filo. En este artículo, discutimos algunos de estas herramientas legítimas que se han visto afectadas: Cobalt Strike, PsExec, Mimikatz, Process Hacker, AdFind, y MegaSync.
Herramientas legítimas comúnmente abusadas
Este es un resumen de algunas de las herramientas legítimas más comunes que se ven abusadas:
| Herramienta | Uso previsto | Cómo se usa para campañas de ransomware | Campañas de ransomware que han usado esta herramienta |
| Cobalt Strike | Simulación de amenazas | Movimiento lateral | Clop, Conti, DoppelPaymer, Egregor, Hello (WickrMe), Nefilim, NetWalker, ProLock, RansomExx, Ryuk |
| PsExec | Ejecutar procesos en otros sistemas | Ejecución arbitraria de shells de comandos, movimiento lateral | DoppelPaymer, Nefilim, NetWalker, Maze, Petya, ProLock, Ryuk, Sodinokibi |
| Mimikatz | Código proof-of-concept para demostrar vulnerabilidades | Dumping de credenciales | DoppelPaymer, Nefilim, NetWalker, Maze, ProLock, RansomExx, Sodinokibi |
| Process Hacker | Monitoreo de recursos del Sistema, debugging de software y detección de malware | Descubrimiento y finalización de procesos/servicios (incluyendo soluciones de antimalware) | Crysis, Nefilim, Sodinokibi |
| AdFind | Herramienta de búsqueda de Active Directory (AD) | Descubrimiento de AD (puede ser un prerrequisito para el movimiento lateral) | Nefilim, NetWalker, ProLock, Sodinokibi |
| MegaSync | Sincronización basada en la nube | Exfiltración de datos | Hades, LockBit, Nefilim |
Tabla 1. Herramientas legítimas convertidas en armas
Algunas de las herramientas listadas en la siguiente figura también tienen propósitos similares con otras plataformas. Por ejemplo, como Process Hacker, PC Hunter, GMER, y Revo Uninstaller pueden ser explotadas para finalizar soluciones de antimalware. De la misma forma, tanto Mimikatz como LaZagne pueden usarse para el dumping de credenciales.
[image url=”http://blog.la.trendmicro.com/wp-content/uploads/2021/08/Captura-de-Pantalla-2021-08-17-a-las-15.16.39-300×177.png” raw=”true” alignment=”center” margin_left=”0″ margin_right=”0″ margin_top=”0″ margin_bottom=”0″ width=”300″ height=”177″]
Notoriamente, algunas campañas usan varias herramientas al mismo tiempo, en lugar de una sola herramienta a la vez ya que una herramienta puede habilitar a otra. Por ejemplo, Mimikatz, el cual puede abusarse para robar credenciales, puede otorgar acceso a funciones PsExec que requieran de privilegios de administración. Una de las campañas que usaba varias herramientas al mismo tiempo es Nefilim, la cual usaba AdFind, Cobalt Strike, Mimikatz, Process Hacker, PsExec, y MegaSync, entre otros.
[image url=”http://blog.la.trendmicro.com/wp-content/uploads/2021/08/Captura-de-Pantalla-2021-08-17-a-las-15.17.29-300×300.png” raw=”true” alignment=”center” margin_left=”0″ margin_right=”0″ margin_top=”0″ margin_bottom=”0″ width=”300″ height=”300″]
En las próximas secciones, detallamos los usos de estas herramientas y cúales son los usos que se les dan en las campañas de ransomware.
Cobalt Strike
Uso previsto: Cobalt Strike debería utilizarse como un software para simular amenazas que puede realizar reconocimiento, comunicación encubierta, spear phishing y post-explotación. Los investigadores de seguridad lo utilizan para una variedad de funciones, incluyendo pruebas de penetración.
Posibles usos para ransomware: Los cibercriminales usan esta herramienta en campañas para lograr el movimiento lateral o como backdoor. Como un RAT, también tiene muchas otras capacidades. Esta herramienta puede evadir la detección al ocultar shellcode y usando Malleable Command and Control (también conocido Malleable C2).
Campañas en las que se usó: Algunas campañas de ransomware que abusaron de Cobalt Strike fueron Conti, Clop, DoppelPaymer, Egregor, Hello(WickrMe), NetWalker, Nefilim, ProLock, RansomExx, Ryuk, y Sodinokibi. También encontramos que es compatible con el ransomware proof-of-concept Povlsomware.
En nuestro análisis reciente de Conti, el ransomware sucesor de Ryuk, discutimos cómo los beacons de Cobalt Strike (la carga maliciosa encubierta de Cobalt Strike) sirvieron como backdoors para el ataque. La herramienta también se utilizó para el movimiento lateral. Esto se realizó a través de acciones como acceder y hacer dumping de hashes de credenciales de LSASS, usando las contraseñas recopiladas para avanzar el movimiento, mandar archivos a dispositivos remotos y usar comandos de Windows Management Instrumentation (WMI) para correr una copia DLL o EXE de sí mismo.
PsExec
Uso previsto: PsExec es una herramienta “ligera de reemplazo de telnet” que permite que los usuarios corran procesos de Windows Server en sistemas remotos. También tiene una característica de interactividad completa para las aplicaciones de consola sin necesitar instalar manualmente el cliente del software.
Posibles usos para ransomware: Los atacantes pueden aprovechar las características que permiten que un usuario ejecute procesos en sistemas remotos, y por eso PsExec puede abusarse por medio de ejecución arbitraria de comandos y movimiento lateral. PsExec también puede usarse para la propagación y la ejecución remota de ransomware.
Campañas en las que se usó: PxExec se ha explotado en campañas de ransomware como Nefilim, Ryuk, y Sodinokibi. También se usó en DoppelPaymer, NetWalker, Maze, Petya, y ProLock.
Descubierto a principios de 2020, Nefilim es uno de los tipos recientes de ransomware que amenaza a las organizaciones no solamente con la encripción de datos, sino también con la exposición de información sensible. También se encontraron similitudes con Nemty 2.5. En particular, una campaña de Nefilim aprovechó PsExec de varias formas: para copiar un archivo .bat (el cual contiene credenciales de administración) que entonces se ejecutaría remotamente para detener los servicios y ejecutar el ransomware.
Mimikatz
Uso previsto: En sus propias palabras, el creador de Mimikatz lo concibe como “una pequeña herramienta para jugar con la seguridad de Windows.” Mimikatz se desarrolló como un código proof-of-concept para demostrar las vulnerabilidades en los protocolos de autenticación de Microsoft. Puede recolectar contraseñas, hashes, códigos PIN y tickets de Kerberos.
Posibles usos para ransomware: Los cibercriminales utilizan las características de Mimikatz para realizar dumping de credenciales y obtener nombres de usuarios, contraseñas y otras credenciales que puedan usarse para escalar privilegios en otras fases del ataque.
Campañas en las que se usó: Ataques en los que se abusó de Mimikatz incluyen DoppelPaymer, Nefilim, NetWalker, Maze, ProLock, RansomExx, y Sodinokibi.
NetWalker puede ejecutarse sin archivos usando programas legítimos en el sistema; el ransomware no está compilado pero está escrito en PowerShell y se ejecuta directamente en la memoria sin necesidad de almacenar el binario per se en el disco. La muestra de la campaña que observamos abusó de Invoke-Mimikatz de PowerSploit, un programa de código abierto que puede cargar Mimikatz. Después de cargarse, la herramienta puede entonces realizar dumping de credenciales. Otras campañas también han mostrado cómo NetWalker lanza Mimikatz para robar credenciales que se usarían para lanzar PsExec y desplegar el ransomware.
Herramienta similar: LaZagne, una aplicación de código abierto usada para recuperar contraseñas para varios tipos de software, también ha sido explotada para dumping de credenciales para múltiples variantes de ransomware como RansomExx and Nefilim y NetWalker. NetPass también puede usarse para recopilar credenciales.
Process Hacker
Uso previsto: Process Hacker es una herramienta gratuita que se usa para identificar y detener procesos. También puede emplearse para detener malware, monitorear recursos del sistema y retirar bugs del software. Puede señalar desvíos en procesos, procesos que están usando un archivo en particular, programas que tienen conexiones activas de red e información en tiempo real en el acceso y uso de discos, entre otras cosas.
Posibles usos para ransomware: Ya que Process Hacker puede utilizarse para obtener una visión general de los procesos que se están usando en un momento dado, los cibercriminales abusan de esta función para las campañas de ransomware para descubrir y finalizar procesos y servicios arbitrarios, incluyendo aquellos relacionados con el antimalware.
Campañas en las que se usó: Las campañas que se beneficiaron de esta herramienta incluyen a Crysis, Nefilim, y Sodinokibi. La herramienta se utilizó para identificar y deshabilitar soluciones de antimalware.
Crysis (también conocida como Dharma) ha, en varias ocasiones, utilizado Process Hacker para alterar procesos y soluciones de seguridad. el instalador de la herramienta también fue parte de un ataque en el 2018 como prc.exe. un ataque más reciente también incluye la herramienta (como Processhacker.exe) para realizar funciones similares.
Herramienta similar: las herramientas como PC Hunter (el cual otorga acceso a los procesos del sistema, kernel modes y hooks), GMER (el cual detecta y elimina rootkits) y Revo Unistaller (el cual puede desinstalar aplicaciones y programas) también finalizan programas y soluciones de antimalware. Similar al caso de Process Hacker, los tres han sido utilizados en campañas de Crysis y Nefilim.
AdFind
Uso previsto: AdFind es una herramienta gratuita de consulta AD en la línea de comando que puede usarse para recolectar información del AD. AdFind puede consultar el AD para computadoras, identificar usuarios de dominio y grupos de dominio, extraer información subred del AD y recolectar información acerca de las unidades organizacionales en los dominios.
Posibles usos para ransomware: AdFind puede usarse para descubrir computadoras, usuarios o grupos con el AD como herramienta de reconocimiento, así como equipar el ransomware con los recursos que necesita para el movimiento lateral a través del AD.
Campañas en las que se usó: Nefilim, NetWalker, ProLock, y Sodinokibi están entre las familias de ransomware que explotaron AdFind.
Para ProLock, AdFind se usó como una herramienta de reconocimiento para realizar solicitudes al AD para la campaña de ransomware ProLock.
Herramienta similar: BloodHound, el cual puede rastrear relaciones en los dominios del AD y SMB Tool, el cual puede mostrar recursos compartidos en una red.
MegaSync
Uso previsto: MegaSync es una herramienta de sincronización basada en la nube que está diseñada para trabajar con el servicio de archivos compartidos MEGA. Permite que los usuarios ingresen archivos a dispositivos y también puede usarse para almacenar y administrar archivos, así como para la colaboración y compartir datos con otros usos
Posibles usos para ransomware: MEGA y MegaSync pueden usarse para la exfiltración de datos – un paso crítico para las campañas recientes de ransomware que utilizan la técnica de doble extorsión, ya que no solamente encriptan los archivos sino también amenazan con exponer al público los datos sensibles de la empresa.
Campañas en las que se usó: Hades, LockBit, y Nefilim son algunas de las campañas de ransomware que han utilizado esta herramienta.
LockBit es una de las variantes de ransomware que emplea la técnica de doble extorsión. El ransomware LockBit emplea MegaSync para la exfiltración, aprovechando el almacenamiento y la facilidad de uso de la herramienta para rápidamente subir archivos desde el sistema afectado.
Defensa Contra Enemigos Ocultos
El hecho de que se estén explotando herramientas legítimas hace que la detección sea crítica para que los equipos de seguridad puedan detener una campaña de ransomware. Sin embargo, esto es más fácil decirlo que hacerlo, ya que estas herramientas pueden evadir la detección de varias maneras. Una es a través de las características que pueden usarse para implementar las técnicas de evasión, como en el caso de Cobalt Strike. Los cibercriminales también pueden alterar el código de estas herramientas para realizar ajustes en las partes que detonan las soluciones antimalware.
Además, cuando se les detecta desde un solo punto de entrada (por ejemplo, cuando se mira solamente al endpoint), las detecciones podrían para ser benignas por sí mismas, incluso cuando deberían de detonar la alarma – es decir, si se las viera desde una perspectiva más amplia con un mayor contexto en relación con otras capas como los correos electrónicos, servidores y workloads en la nube.
Al rastrear las campañas de ransomware, las organizaciones estarán mejor protegidas y no dependieran solamente de las elecciones en archivos y hashes, pero también el monitorear el comportamiento a lo largo de las distintas capas. eso es lo que hicimos para nuestra investigación reciente del ransomware Conti, el cual rastreamos utilizando Trend Micro Vision One™.
Las soluciones como Trend Micro Vision One brindan mejor visibilidad y detecciones correlacionadas a lo largo de las capas (endpoints, servidores, correos electrónicos y worloads en la nube), asegurando que no se pasa por alto ningún evento significativo. Esto permite una respuesta más ágil ante las amenazas antes de que puedan causar algún daño real al sistema.
Indicadores de Compromiso (IOCs)
| Herramienta | Detección de Patrón de Trend Micro |
| Cobalt Strike | Backdoor.Win64.COBEACON.SMA |
| PsExec | N/A
Recomendación: Busque actividades sospechosas de PSExec en la red SMB y las carpetas compartidas |
| Mimikatz | HackTool.Win32.MIMIKATZ.SMGD |
| Process Hacker | PUA.Win64.ProcHack.AC |
| PC Hunter | PUA.Win64.PCHunter.A |
| GMER | PUA.Win32.GMER.A |
| LaZagne | HackTool.Win64.LAZAGNE.AE |
Leave a Reply