H1N1 Loader
El malware H1N1 se detectó por primera vez en la naturaleza como un cargador simple: tenía la tarea de entregar otras amenazas de malware más complejas a la computadora ya comprometida. Sin embargo, experimentó una rápida evolución, y los piratas informáticos detrás de él equiparon la amenaza con varias funciones amenazantes, como técnicas de ofuscación para obstaculizar cualquier intento de análisis, función de omisión del Control de cuentas de usuario, recopilación de datos y autopropagación en la red infiltrada. Por supuesto, las funciones del cargador se mantuvieron intactas.
El H1N1 se envió al sistema de destino a través de documentos de MS Word que contienen macros VBA corruptas. Para ocultar el verdadero propósito de la macro, una gran ofuscación, se implementa el uso de las funciones de cadena StrReverse, Ucase, Lcase, Right, Mid e Left. Los documentos envenenados utilizan tácticas de ingeniería social para convencer al usuario de que ejecute la macro dañada mostrando un bloque codificado acompañado del mensaje: "Habilitar contenido para ajustar este documento a su versión de Microsoft Word". El objetivo final de la macro es colocar un archivo ejecutable H1N1 en% temp% y luego ejecutarlo.
El propio H1N1 emplea dos técnicas de análisis y antidetección: la ofuscación de cadenas y la ofuscación de importaciones mediante hash de importación. La ofuscación de cadenas se logra mediante el uso de SUB, XOR y ADD con valores DWORD fijos. Cuando se resuelve cada operación, se utiliza como entrada para la siguiente.
Para evitar el Control de cuentas de usuario (UAC) de los sistemas Windows, H1N1 aprovechó una vulnerabilidad de secuestro de DLL. Obligó al instalador independiente de Windows Update (wusa.exe) a ejecutar un archivo DLL dañado como un proceso de alta integridad sin obtener una respuesta de UAC. Otra herramienta que se adjuntó al H1N1 fue una función de eliminación de procesos. La amenaza tiene una lista interna de procesos y, si se detecta una coincidencia en el sistema comprometido, se elimina mediante el comando ' cmd.exe / c net stop [Nombre del servicio] '. También se evita que el proceso se inicie en cualquier inicio posterior del sistema a través de ' cmd.exe / c sc config [Nombre del servicio] start = disabled .' La lista de H1N1 constaba de 5 procesos, siendo cuatro de ellos:
- MpsSvc - Servicio de firewall de Windows
- wscsvc - Servicio del Centro de seguridad de Windows
- WinDefend - Servicio de Windows Defender
- wuauserv: Servicio de actualización de Windows.
Un aspecto bastante peculiar del H1N1 fue su capacidad para eliminar las copias de seguridad del sistema. Esta funcionalidad es utilizada comúnmente por amenazas de ransomware, pero rara vez se evoca en otros tipos de malware. En este caso, las instantáneas de volumen de los archivos se eliminan a través de ' vssadmin.exe delete shadows / quiet / all ' , mientras que las opciones de recuperación de Windows predeterminadas se deshabilitaron al ejecutar los comandos bcdedit.
Sin embargo, el cambio de comportamiento más drástico fue la transición del H1N1 de ser un malware cargador a convertirse principalmente en una potente amenaza de exfiltración de datos. El cargador H1N1 podría extraer datos de información de inicio de sesión de Firefox. Buscó el archivo de datos de inicio de sesión 'logins.json' dentro de todos los perfiles del sistema y extrajo los valores que coincidían con las claves 'encryptedUsername', 'encryptedPassword' y 'hostname'. Para obtener acceso a las credenciales de inicio de sesión de Internet Explorer, la amenaza primero enumeró la caché de URL, codificó las URL allí y trató de hacerlas coincidir con los valores almacenados en - HKLM \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Windows Messaging Subsystem \ Profiles \ Outlook y HKLM \ Software \ Microsoft \ Office \ 15.0 \ Outlook \ Profiles \ Outlook.
H1N1 Loader es un ejemplo perfecto de cómo a través de la iteración y el desarrollo constante, incluso las amenazas no tan sofisticadas pueden convertirse en partes potentes de las herramientas de los ciberdelincuentes.
