La US-CERT (United States Computer Emergency Readiness Team) ha emitido una alerta describiendo el gusano utilizado contra SONY y los diversos componentes del malware. En la alerta se analiza el comportamiento y los diferentes componentes de esta ciber arma.
Tras las declaraciones de Obama acusando a Corea del Norte de estar tras el ataque a SONY, no se ha tardado mucho en tener más información sobre la ciber arma utilizada en el mismo. Se trata de un gusano que explota el Server Message Block (SMB). El SMB es un protocolo un protocolo de red para compartir archivos, impresoras, etc.. entre nodos de una red.
El gusano utiliza un sistema de fuerza bruta para propagarse a través de SMB por toda la red. Conecta con el C&C para enviar registros de actividad y para recibir nuevas tareas de escaneo. Una vez que consigue usuario/contraseña correctos para un nuevo nodo de red, se copia y empieza a ejecutarse en el mismo. El malware se compone de diversos elementos:
- Comunicación - Se instalan diversos servicios que quedan a la escucha en puerto TCP 195 ("sensvc.exe" y "msensvc.exe") y en puerto TCP 444 ("netcfg.dll") enviando y recibiendo mensajes codificados.
- Backdoor - El backdoor que utiliza el gusano incluye funcionalidades como transferencia de datos, vigilancia del sistema, manipulación de procesos, capacidad para modificar fechas en ficheros y capacidades de proxy. También puede ejecutar código y comandos. Además es capaz de abrir puertos en el firewall de la víctima y utilizar UPnP para descubrir routers y gateways añadiendo mapeo de puertos permitiendo conexiones entrantes en redes con NAT.
- Proxy - La herramienta de proxy, cuenta también con capacidades de backdoor, fingerprint, ejecutar comandos remotos, listado de directorios y transferencia de ficheros.
- Destrucción de disco duro y ficheros - Diseñada para eliminar datos más allá del punto de recuperación. En el caso que se tengan permisos de administrador en la máquina, sobreescribirá porciones de los discos duros y el MBR, con un programa diseñado para causar aún más daño si el disco duro se reinicia, dejando el disco duro totalmente inoperativo. Esta herramienta también utiliza una variante para Windows 7 en el que el sistema operativo continua operando en un modo degradado hasta que se reinicia, momento en el cual el MBR modificado elimina el disco duro. En el caso que no se tenga acceso de administrador, se eliminan ficheros específicos, pero manteniendo el sistema en funcionamiento.
- Propagación en red - El malware es capaz de distribuirse por la red a través de los elementos compartidos de windows utilizando la tabla de hosts/IP y los datos recopilados de nombres de usuario/contraseñas distribuyendo de esta manera el componente de eliminación de ficheros. Incluso es capaz de crear nuevos recursos compartidos, eliminándolos una vez ha distribuido el malware al objetivo.
Como podemos ver,en la detallada alerta del US-CERT, un gusano con unas espectaculares capacidades de distribución, robo de datos y eliminación de información que se une a la lista cada vez mayor de complejas ciber armas descubiertas en los últimos años. Estados Unidos anunció una respuesta proporcional a este ataque y sin duda cuenta con ciber armas capaces de llevar a cabo estas amenazas, aunque está por ver si nos llegaremos a enterar de las características de esta respuesta que sin duda a cierta escala ya se está llevando a cabo.
Fuente US-CERT
