En los últimos meses, los reportes de amenazas analizadas por PandaLabs muestran un marcado aumento en el malware que se instala a través del Protocolo de escritorio remoto (Remote Desktop Protocol o RDP en inglés). A diario somos testigos de miles de intentos de infección que utilizan ransomware, secuestro del equipo para minería de bitcoins,etc. que tienen en común la vía de entrada: acceso a través de RDP tras conseguir las credenciales mediante un ataque de fuerza bruta.
Lamentablemente, así como el RDP tiene una variedad de propósitos útiles, en manos equivocadas constituye un arma de control remoto que pone a tu equipo en manos de los cibercriminales. Hablamos ya de una historia común entre RDP y los ataques de ransomware, sobretodo en el ámbito empresarial.
El nuevo ataque descubierto utiliza la misma técnica de entrada, aunque su objetivo difiere por completo de los analizados anteriormente, centrado ahora en la búsqueda de Terminales de Punto de Venta (TPVs) y de cajeros automáticos una vez comprometido el equipo. ¿El motivo? Son terminales sencillos de atacar de manera anónima desde internet y el lucro económico de vender la información robada es elevado.
RDPPatcher , un ataque de venta de accesos en el “mercado negro”
En este caso que nos ocupa el ataque de fuerza bruta duró algo más de 2 meses hasta que en enero de 2017 consiguieron dar con las credenciales y acceder al equipo. Una vez comprometido el equipo, los cibercriminales trataron de infectarlo con malware. Al ser bloqueado por Adaptive Defense modificaron el malware e intentaron de nuevo infectar el equipo, de nuevo sin éxito ya que la solución de ciberseguridad avanzada de Panda no basa su protección en firmas y no necesita conocer el malware de antemano para detenerlo.
El análisis del malware nos deja bastante claro cuál era el propósito de este ataque. Los hashes de los 2 ficheros son los siguientes:
MD5 d78be752e991ccbec16f11e4fc6b2115
SHA1 4cc9d2c98f22aefab50ee217c1a0d872e93ce541
MD5 950e8614db5c567f66d0900ad09e45ac
SHA1 9355a60dd51cfd02a921444e92e012e25d0a6be
Este troyano, detectado como Trj/RDPPatcher.A modifica el registro de Windows para cambiar el tipo de validación RDP (Remote Desktop Protocol). Estas son las entradas que modifica en el sistema: ambos están programados en Delphi y empaquetados con Aspack. Tras desempaquetarlos comprobamos que se eran muy similares y analizamos el más reciente: (950e8614db5c567f66d0900ad09e45ac).
HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp /v UserAuthentication /t REG_DWORD /d 1
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp” /v UserAuthentication /t REG_DWORD /d 1
Y borra las siguientes en caso de que estén presentes en el sistema:
“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System” /v legalnoticecaption /f
“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System” /v legalnoticetext /f
A continuación deja en el directorio %TEMP% otro fichero (MD5: 78D4E9BA8F641970162260273722C887) que se trata de una versión de la aplicación rdpwrap y lo ejecuta a través del comando runas con los parámetros “-i –s” para habilitar sesiones concurrentes de RDP en el equipo.
Tras esto realiza un perfilado de la máquina obteniendo diferente información de la misma:
- Nombre de Usuario
- Nombre del equipo
- Tiempo que lleva encendido el equipo
- Versión del sistema operativo
- Idioma
- Máquina virtual
- Memoria
- Nombre del procesador
- Nº de núcleos del procesador
- Velocidad del procesador
- Antivirus
A continuación se conecta al servidor de control (C&C server) para acceder a un listado de servicios que miden la velocidad de conexión a Internet, y tras utilizarlo guarda los datos de velocidad de bajada y subida. Acto seguido comprueba qué antivirus tiene instalado el equipo. Al contrario de lo que estamos acostumbrados a ver en la mayoría de ataques de malware, no realiza esto para eliminar el antivirus instalado o para cambiar su comportamiento, simplemente está recogiendo la información.
Este es el listado que hemos extraído del binario con los procesos que busca:
Vea aquí la tabla1
Una vez hecho esto se dedica a buscar diferente tipo de software para seguir con el perfilado del equipo. Principalmente busca software de TPVs, cajeros automáticos y de juegos y apuestas online. A continuación podéis ver una pequeña parte (el total son varios cientos) del listado de software que busca:
Vea aquí la tabla2.
También se encarga de revisar el historial de navegación, donde contiene otro listado categorizado por áreas de interés:
Vea aquí la tabla3.
Estas cadenas son buscadas por el malware en los historiales de navegación, se emplean para “etiquetar” la máquina en base al software y páginas web utilizadas. Una vez termina con la recolección de datos del sistema, realiza una petición web al servidor C&C (Command and Control). Para ocultar el envío de esta información en los sistemas de detección por tráfico de red, primero la cifra con AES128 usando el password “8c@mj}||v*{hGqvYUG” que está embebido en la muestra analizada y luego lo codifica en base64.
El servidor C&C utilizado por esta muestra de malware se encuentra ubicado en Gibraltar:
Conclusión
Como hemos visto el atacante lo que busca en primer lugar es “inventariar” el equipo, recopilando todo tipo de información (hardware, software, páginas web visitadas, velocidad de conexión a Internet), e instalar una aplicación que permite múltiples sesiones RDP. En ningún momento roba credenciales u otro tipo de datos.
La explicación a esto es muy sencilla: los ciberdelincuentes detrás de estos ataques venden el acceso a estos ordenadores comprometidos por un módico precio. Al tener tanta información de cada equipo pueden vender el acceso a otros grupos de ciberdelincuentes especializados en diferentes áreas. Por ejemplo, grupos especializados en robo de datos de tarjetas de crédito de TPVs pueden adquirir equipos que tengan software de TPVs, etc. El cibercrimen es ya un lucrativo negocio.
Panda Security es una empresa especializada en la creación de productos de seguridad para endpoints que son parte del portfolio de soluciones de seguridad IT de WatchGuard. Centrada inicialmente en la creación de software antivirus, la compañía ha ampliado sus objetivos expandiendo su línea de negocio hacia los servicios de ciberseguridad avanzada con tecnologías para la prevención del cibercrimen.
3 comments