18/05/2024

malware

TAF 4: Autoinfeccion con Malware

Guido Rosales 22/03/2019

Continuando con la SAGA TAF - Técnicas Anti Forenses, hoy vamos a referirnos a la acción de AUTOINFECCION CON MALWARE.

Se debe entender que MALWARE es un nombre genérico para diferentes tipos de programas maliciosos, es decir, programas construidos para hacer cosas raras, generalmente con desconocimiento del usuario en el dispositivo infectado.

La clasificación de malware es muy amplia, podemos ver algo en la imagen siguiente:

En que consiste la AUTOINFECCION?

Ya sea de manera particular mediante la acumulación de programas maliciosos o descargando ejemplos de estos de manera intencional

Malware detectado, pero no necesariamente eliminado. Puede quedar en estado de cuarentena, pero sigue latente en el computador. Todo dependerá de la acción siguiente a su detección.

Muestra de un sitio web donde uno puede encontrar muestras de malware. Imaginen un laboratorio de bioquímica donde tienen diferentes cepas de virus, pero cualquiera puede acceder a ellos y descargar unos cuantos.

Evidentemente para esto debe ocurrir una de 2 cosas:

  1. El equipo NO tiene antivirus o este esta completamente desactualizado
  2. El usuario desactiva o reconfigura el antivirus para permitir el ingreso de estos programas. Es como retirar al guardia de la puesta para que entren los ladrones.

Al final, el efecto es tener dispositivos tanto de procesamiento como de almacenamiento con varias muestras de virus.

EFECTO ANTIFORENSE

La acción del Malware es muy diversa, desde simplemente existir, robar claves, colocar archivos, acceder a otros equipos, robar datos, etc. Si el sospechosos ha procedido a ejecutar como acto preparatorio esta TAF, entonces cuando su equipo tenga que ser analizado podrá recurrir a la llave MALWARE para eludir responsabilidad. Es decir apelar a la inocencia parcial o toral y decir que algún intruso mediante técnicas de intrusión con malware ha logrado colocar, borrar u otra acción.

Se han dado casos donde los sospechosos han mantenido esta condición pelando luego a la inocencia parcial por hackers o intrusos que hubieran comprometido sus equipos y acciones desde estos mediante el accionar de algún malware.
No vamos a descartar la DUDA RAZONABLE, dado que en algunos casos el usuario infectado puede ceder claves que posteriormente son utilizadas para la comisión de algún delito.
 
Pregunto a los colegas del aea legal Podría darse una figura de inimputabilidad informática?
 
CONDICION DE INIMPUTABLE.
Un sujeto inimputable es aquel que no es responsable penalmente de un ilícito que cometió ya que no está en condiciones de comprender su accionar o las consecuencias de éste.

Podar pedir como punto pericial. la indetificacion de malware en su equipo. Incluso podria tener activado alguno. Ojo. Algo asi como apelar a la demencia temporal.

Por si acaso esta técnica puede ser también defensiva en caso de ver comprometidos sus archivos. Activar un Ransomware, pero estas TAF la veremos en otro capitulo.

Ultima recomendación para los colegas peritos informáticos: El análisis de evidencia digital debe ser realizado en una suerte de SANDBOX o ambiente aislado para mitigar el riesgo de virus.

No se olviden de leer las TAFs ya publicadas:

  1. TAF1: Modificacion de hora y fecha
  2. TAF2: DEFRAGmentacion de disco
  3. TAF3: Borrado seguro

El RANSOMWARE – Un completo Dolor de CABEZA empresarial

Guido Rosales 15/03/2019

Definitivamente los Directores, gerentes, dueños de negocios, abogados y mucha gente GENERACIÓN X, no entienden la lógica del Ransomware hasta que deben PAGAR a un desconocido, un monto significativo por recuperar algo que esta en sus manos, pero no pueden usarlo.

1. El ransomware es como un virus humano. Puede llegar por cualquier lado, el paciente cero puede ser solo portador, pero infecta a todos en la red empresarial. No te salva los talismanes virtuales llamados Antivirus. Esos vienen como consejo gratuito "Te lo dije, te lo dije"

2. La vacuna que le sirvió a a alguien no necesariamente aplica en todos los casos. El código de este malware puede tener muchas mutaciones en poco tiempo.

3. Puedes probar una recuperacion manual, siempre y cuando los datos no hayan parado tu negocio. El tiempo juega en contra. Al final esta latente la pregunta. Y si pagamos?. si lo intentas nunca sobre origial. Siempre sobre copia forense

4. Pagar puede no asegurarte la recuperación. Los últimos ataques vienen con una demo de recuperación por ejemplo para archivos pequeños y cantidad limitada. Con eso el atacante te demuestra su "Buena FE" y te garantiza que podrás recuperar tus archivos.

5. Si pagas unos cuantos miles de Dolares se hará difícil contabilizarlos. Quizá sea mejor hacerlo figurar como Soporte técnico.

6. Los de sistemas no son 100% culpables. La mayor parte de las empresas nunca tienen presupuesto para licencias o dispositivos de respaldo. Así que de alguna manera obligan al técnico para conseguir software pirata, acceso a sitios de cracks, donde muy probablemente cogió la infección!!

7. Nadie tiene tiempo de hacer los backups hasta que la información DESAPARECE. Ahi los gerentes preguntan y hasta investigan que hacer respaldos era muy facil y util.

8. No pierdas el tiempo convocando a tu abogado para interponer una demanda. Realmente es muy difícil determinar autoria. Salvo sea un sabotaje de esos que se producen cuando tu escala salarial es una pirámide con 2 niveles. Inmortales 20% y el resto 80%. Ademas puedes estar en la misma situación de desconocimiento de los hechos digitales!!

9. Si nada funciona, entonces CRIONIZACION FORENSE.Puede ser que un un futuro cercano se de la cura a tus males.

 

 

Etc. Etc. Podríamos seguir, pero mejor ire a hacer respaldos!!! hagan lo mismo que este malware esta peor que DENGUE!!

 

ALERTA YPT: MALWARE SUELTO INTENTA ATACAR BANCO LOCAL

Guido Rosales 05/12/2017

Este mensaje es una alerta concreta para clientes no solo del Banco que se menciona en las capturas de pantalla, sino de todos los clientes de Bancos Bolivianos en general. Aun queda mucho por hacer en temas de sensibilizacion para lograr una actitud defensiva ante la llegada de correos como el que ahora es descrito:

Me di el tiempo mínimo para analizar el correo, dado que no es un banco del otro lado del mundo, sino uno nuestro, boliviano y las posibles victimas igualmente.

Espero que tanto el Banco como ASOBAN hagan correr sus oficios correspondientes y considerando que este correo fue enviado a eso de las 5AM y siendo las 10:00 son 5 horas para disparar sus protocolos de alerta.

Ahí vamos con el análisis

El cuerpo del correo trae una frase muy de enganche, como que el pago no se recibió. Sin duda fin de año muchos esperan cerrar un año con ventas y los pagos son muy esperados. La redacción tiene su atractivo, por la ortografía y signos de puntuación.

Lo primero que destaca, claro para alguien que vive medio de esto, es la dirección del dominio. No se si fue error intencional, es una prueba de concepto que alguien esta haciendo para validar cuantos caen, pero al final es llamativo. Al nombre desplegado le falta una letra.

Normalmente a continuación se analiza la cabecera del correo. Ahi nos encontramos que se esta involucrando dominios del vecino pais Paraguay. Ya corrimos las acciones de alerta correspondientes.

Inclusive se ve una cuenta de correo gmail que seguramente se esta utilizando para medir el impacto.

Analizando el archivo adjunto se ve inicialmente un archivo PDF, lastimosamente muchos antivirus no lo reconocen como algo peligroso.

El archivo comprimido dentro trae un archivo .exe generalmente se hace esto para saltar controles perimetrales que evitan el trafico de ejecutables via correo.

En modo comprimido solo lo reconocen 3 de 60 productos

Enviando la muestra ya en modo descomprimido se observa que solo 6 antivirus reconocen la muestra, al resto se les paso. Y el resto lastimosamente son el top 5 de los antivirus que tenemos en el país.

En modo descomprimido ya son 6 de 60 que lo identifican como un archivo EXE dañino.

Por supuesto que el análisis del ejecutable trae cosas mas interesantes como la metadata que sabemos puede ser falseada, pero no deja de ser interesante, la llamada a librerias de Visualbasic, por ahi aparece algo como una dirección web, etc, etc.

 

CONCLUSIÓN:

La curiosidad mato al gato y aunque murió sabiendo, puede afectar a todos los gatos vecinos.

Si no esperan un correo tan atractivo, mejor no lo abran. Si quieren pueden derivarlos para que nos entretengamos y podamos compartir estas experiencias.

Así como estar muy abrigado no nos protege siempre de un resfrió, ningún producto antivirus podrá tener una eficacia del 100%. todas las medidas de protección suman.

 

 

 

Te pueden interesar

portada curso NMSI NETHO

Curso: Nivel de madurez con NETHO e ISO 27001:2022

Guido Rosales 05/02/2024
perito informatico

Pericias: Lecciones aprendidas

Guido Rosales 02/11/2023
hack banking

Seminario Presencial Tarija: Banca digital ciber riesgos, estafas y pericias forenses

Guido Rosales 28/10/2023
criptolavanderia

Seminario: PREVENCION DEL LAVADO DE CRIPTOACTIVOS

Guido Rosales 05/10/2023
ciberguerra rusia ucrania

Por qué la Ciberguerra Rusia-Ucrania debe preocuparnos como Pais?

Guido Rosales 03/09/2023