Análysis Malware Remcos en Entornos Virtualizados

Abstract

[ES] A lo largo de los últimos años, los ciberataques tanto a entidades públicas, privadas e infraestructuras críticas, han sufrido un aumento bastante notable. En ocasiones, el resultado de dichos ataques puede ser la consecuencia de pérdidas económicas millonarias y también de vidas humanas. Sucesivamente, con más asiduidad el número de dispositivos conectados a Internet también se está incrementando, provocando que se amplíe la superficie de ataque. De igual manera, los ataques que se experimentan han evolucionado, y cada vez suelen ser más sofisticados, dañinos y sigilosos. Asimismo, muchos de ellos son llevados a cabo por grupos APT (Advanced Persistent Threat) o grupos de cibercriminales especializados en sectores concretos, cuya finalidad en muchos de los casos es obtener un beneficio económico, competitivo o comercial, saboteando servicios esenciales o robando información sensible de entidades u organizaciones. De forma paralela, los grupos APT pueden haber infectado un sistema y estar presentes durante un periodo de tiempo prolongado, pudiendo perdurar incluso años. Paralelamente, los grupos de ciberdelincuentes requieren de tecnología y herramientas, o mejor dicho de programas maliciosos, conocidos comúnmente como malware, para llevar a cabo acciones indeseadas. Llegados a este punto de inflexión, resulta de especial interés conocer en profundidad de que tecnología están haciendo uso los grupos APT y de esta forma prevenir, evitar o reducir el impacto de las amenazas. Por consiguiente, el trabajo presenta una breve introducción que puede servir de guía inicial para todo aquel interesado en el análisis malware. De igual manera, se presenta un amplio listado de herramientas para el estudio de programas maliciosos, en el que se describe su funcionalidad, seguido de unas pinceladas, que aportarán una base de conocimientos indispensable, para poder seguir el trabajo. Consecutivamente, se realizará un caso práctico en el que se estudia un RAT, que en nuestro caso es un Remcos, que se ha elegido ya que es un malware que consta de cierta complejidad, y como herramienta de administración remota puede combinarse con otro tipo de malware, para llevar ataques de diversos tipos. A modo de ejemplo, se detalla que se podría emplear para exfiltrar información en la fase inicial de un ataque ransomware. Por otro lado, este malware nos permitirá afianzar conceptos sin correr excesivos riesgos, debido a que no es suficientemente sofisticado, al menos en la versión 1.7 Pro que se analiza, como para escapar del entorno virtual. Seguidamente, lo mencionado previamente se complementará con un análisis estático básico, dinámico básico y estático avanzado, que nos otorgarán una visión del comportamiento del malware, cruciales para desarrollar vacunas que nos permitan detener su ejecución.

[CA] Al llarg dels anys, el ciberatacs tant a entitats públiques com privades tenint en compte també les infrastructures crítiques han patit un augment notable. En ocasions, el resultat pot esdevindre pèrdues econòmiques milionàries y humanes. Successivament, amb més assiduïtat el nombre de dispositius conectats a Internet també està creixent, el que pot provocar que la superfície que tenen els ciber delinqüens disponible siga major. D’altra banda, els atacs son més sofisticats y els duen a terme grups especialitzats, coneguts con APT (Advanced Persistent Threat), que es focalitzen en sectors determinats y poden romandre molt de temps en el sistema infectat. Axí mateix, la finalitat moltes voltes es obtindre benefici econòmic, competitiu o comercial, sabotejant serveis essencials o robant informació privilegiada d’entitats. Consecutivamente, el grups de ciber criminals requerixen disposar de tecnología y software maliciós , amplamente conegut com malware per a realitzar intrusions. De la mateixa manera és especialment interessant saber que programes empren els ciberatacants per a previndre els incidents. Seguidament, aquest treball te com a objectiu ser una guia de referència per a qualsevol que vulga tindre unes nocions bàsiques i apronfundir un poc en l’anàlisi malware. D’igual manera, es mostra un llarg llistat de ferramentes idònies per a l’estudi de software maliciós, descrivint en cadascuna d’elles la seua funcionalitat. Consecutivamente, s’efectuarà un cas pràctic en el que s’analitzarà un Remcos, que es un malware de tipus RAT, que s’ha escollit perque consta de certa complexitat, però no es prou avançat per escapar-se de laboratori virtual. Addicionalment, pot combinar-se amb altres tipus de malware per a realitzar atacs mes complexos, com és la fase inicial d’exfiltració d’informació d’un atac de ransomware. Així mateix, el Remcos ens permetrà afemar coneixements sense córrer cap risc elevat. L’esmentat prèviament es complementarà amb un anàlisi estàtic bàsic, un anàlisi dinàmic bàsic, un anàlisi dinàmic avançat que en permetran obtindre una àmplia visió per a desenvolupar vacunes que detinguen l’execució del Remcos

[EN] Over the course of last years, cyber attacks in public and private organizations and critical infrastructures have suffered a surge. Nowadays, more and more devices and connected to Internet, which triggers that the attack surface being widened. Subsecuently, the aftermath could unleash big amounts of financial and human losses. Conversely, these sort of attacks are evolving in a more complex and stealthy way, which cause them to be more harmful than before. Subsecuently, the threat actors involve in them, are knows a APT (Advanced Persistent Threat) who are organized cybercriminal groups specialized in particular sectors, with the aim of obtaining crucial information that could provide an economic benefit or a commercial advantage. Consequently, cybercriminals are required to use techonology and certain malicious software, often recognized as malware. On the other hand, is essential to delve in the matter and comprehend what malicious programmes are being used to decrease or prevent cyber attacks and threats. Moreover, the main point of this work is to give a little guide that supply an overview to everybody interested in malware analysis. In addition, is it exposed a considerable survey of malware analysis tools, describing the functionality of each one, followed by an elementary understanding background. Successively, a practical analysis will be shown utilizing a Remcos RAT as a malware sample, which is challenging, however, is not enough sophisticated to escape from the virtual environment. On the other hand, as a remote administration tool a Remcos could be used in combination with other kind of malware to perform more complex attacks. As an illustration, it could be employed for the initial information exfiltrattion phase of a ransomware attack. Moreover, this kind of malware will make us improve our knowledge with taking big risks. Finally, the previous assignment will be enriched with a basic static analysis, a basic dynamic analysis, an advanced static analysis and vaccine development thwart succesfully Remcos execution.