“Todo comenzó un frío día de enero en una ciudad costera del noreste de Inglaterra. Un lugar con una prominente industria petroquímica, con todo tipo de empresas del sector. En una de estas empresas el día comenzó de forma normal…”
Así comienza el informe de Panda al que han bautizado como Operación Oil Tanker: La Amenaza Fantasma y que nos narra la comprometida situación en la que se encontró una de las empresas encargadas del transporte marítimo de petróleo.
El responsable de seguridad informática de Black Gold – alias que han dado a la compañía con el objetivo de mantener su anonimato – decidió participar en un programa piloto de un nuevo servicio que monitorizaba las ejecuciones en los endpoints y le aportaba información del estado de seguridad de todo su parque. Evidentemente, esta decisión no la tomó de forma arbitraria, sino con el conocimiento de causa de cualquier responsable de seguridad, preocupado por la peligrosa situación a la que se exponen día a día empresas de todo el mundo y por el aumento de ataques de malware.
Cualquier responsable en su situación estaría alerta y, por lo tanto, la opción más lógica sería pensar que cualquier protección es poca para evitar riesgos. Esto nos lleva a pensar que, si nos ofrecen un programa piloto para mejorar la seguridad de nuestra compañía, lo más lógico será probarlo a ver si nos sirve y, de hecho, durante tres meses el programa reportó información que ayudaba a identificar equipos que estaban en riesgo por ejecutar aplicaciones vulnerables.
El problema real llegó en forma de correo electrónico a la bandeja de una de las secretarias de la compañía. Un simple e-mail con un PDF – de unos 4Mb – adjunto, que contenía información sobre el mercado petrolífero y resultó estar en blanco. Muchos actuaríamos de la misma forma que actuó la secretaria, simplemente pensando que quién envió el PDF lo había adjuntado de forma incorrecta, no le daríamos mayor importancia y continuaríamos revisando el correo y trabajando en nuestro ordenador de forma habitual. Esta tranquilidad, sobre todo en grandes empresas con una seguridad muy planificada, suele surgir del pensamiento de que dicho correo ha pasado por varios filtros antes de llegar a nuestras manos y, por lo tanto, no debe existir ningún riesgo en él. Sin embrago, el correo electrónico que se acababa de abrir, provocó una alerta en el sistema de seguridad porque una amenaza desconocida estaba intentando robar credenciales del ordenador y enviarlas al exterior.
Se bautizó como “la amenaza fantasma” porque ningún antivirus fue capaz de detectarlo
Hasta aquí, la amenaza actuaba de forma bastante habitual. Casi todos los ataques de los hackers tratan de robar información de sus víctimas y el hecho de que no lo detecten los antivirus no es tan extraño, puesto que cada día aparecen más de 250.000 nuevas muestras de malware. Lo desconcertante de este ataque es que no utilizaba malware, sino que se servía de un icono de documentos de Adobe Acrobat Reader para engañar a la víctima. Al pinchar sobre el icono se ejecutaba un archivo autodescomprimible que creaba una carpeta con seis ficheros, ejecutaba uno de ellos y finalizaba, sin ningún tipo de comportamiento malicioso que pudiera hacer saltar la alarma.
Ataque: primera parte
Al pinchar sobre el icono del PDF se inicia una serie de acciones en cadena como la descompresión de los seis archivos y la ejecución del stat.vbs que, a su vez, ejecuta un segundo fichero llamado deca.bat, encargado de abrir el fichero pic.pdf – la imagen el PDF en blanco – y ejecuta el fichero dcp.exe. Este fichero dcp.exe es una herramienta gratuita que permite cifrar ficheros y que se utiliza para descifrar los dos ficheros restantes (unzip2.exe y bare.zip que se descifran como unzip.exe y bar.zip).
Una vez hecho esto utiliza el programa unzip.exe para descomprimir en otra carpeta el contenido de bare. zip, que contiene un total de 12 ficheros (sai.vbs, ici.bat, cogi.reg, aagi.bat, image.abc, images.abc, picture viewer.abc, mdei.abc, keeprun.ini, iei.bat, di.vbs y iewi.bat). El primero en ejecutarse es sai.vbs, pero hasta este momento no se produce ningún comportamiento que destaque del resto de los ataques que se ven a diario.
Segunda parte del ataque
Hasta este momento el ataque se ha instalado correctamente en el ordenador, pero a partir de este punto va a empezar a modificar el sistema para irse abriendo camino hacia los datos que los atacantes quieren obtener. De esta forma, el sai.vbs ejecuta un fichero .bat que modifica el registro de Windows, de este modo, cada vez que se inicie el sistema se ejecuta el fichero aagi.bat que, a su vez, hace una copia de los cuatro fichero que tienen extensión .abc y cambia su extensión a .exe.
En principio, son aplicaciones legales que cualquier usuario podría utilizar. Las tres primeras son herramientas que vuelcan todas las credenciales de nuestro ordenador – cliente de correo local y navegador – en un fichero de texto, mientras que la cuarta se encarga de ejecutar una aplicación cada cierto tiempo y es muy útil para terminales que tienen que estar siempre ejecutando una misma aplicación (en este caso, está configurada para ejecutar otro fichero .bat cada hora).
Mediante el comando del sistema attrib, las dos carpetas creadas se marcan como ocultas, desactiva el firewall de Windows y renombra los ficheros de texto que contienen las credenciales al formato PIC_%d_%t, donde %d es la fecha y %t es la hora actual, de esta forma se puede saber en qué momento se ha obtenido la información que contienen. Finalmente, utiliza el comando ftp para subir estos ficheros a un ftp externo controlado por los atacantes.
El ataque estaba preparado para evitar posibles contratiempos como que alguien pudiese borrar algún archivo o carpeta
Sin embargo, para evitar posibles contratiempos como que a alguien se le ocurra borrar alguno de estos archivos o carpetas, el fichero iei.bat se ejecuta cada hora y se encarga de lo siguiente: Vuelve a copiar los ficheros .abc a .exe, por si hubieran sido eliminados, borra los ficheros de texto con credenciales que han sido ya subidos al ftp, vuelve a introducir la entrada de registro de Windows por si hubiera sido eliminada, ejecuta las aplicaciones que extraen las credenciales, renombra los ficheros resultantes y los sube de nuevo al ftp.
Finalmente, cada hora se ejecuta el fichero iei.bat, que básicamente realiza lo siguiente: Vuelve a copiar los ficheros .abc a .exe, por si hubieran sido eliminados. Borra los ficheros de texto con credenciales que han sido ya subidos al ftp, vuelve a introducir la entrada de registro de Windows por si hubiera sido eliminada, ejecuta las aplicaciones que extraen las credenciales, renombra los ficheros resultantes y los sube de nuevo al ftp.
En ningún momento del proceso se utiliza malware. Casi todo son aplicaciones y herramientas legales que los usuarios, con un poco de conocimiento, pueden utilizar. De esta forma y aparentemente, ningún antivirus era capaz de detectar el ataque. Además, las peculiaridades de su comportamiento en ejecución hacían prever que otras capas de protección proactivas, incluidas en la mayoría de soluciones antivirus, no se activarían ante lo que parecían acciones inofensivas, por este motivo Panda lo denominó “La Amenaza Fantasma”.
[button link=»http://www.pandasecurity.com/spain/mediacenter/src/uploads/2015/05/Oil-Tanker_ES.pdf» icon=»Select a Icon» size=»small» side=»left» target=»» color=»b6b6b6″ textcolor=»ffffff»]Aquí os dejamos el informe completo de Panda[/button]
