•  
  •  
  •  
  •  
  •  

Escribe: Fidel Quevedo Linares

No hay que bajar la guardia. La ola de propagación masiva de “ransomware” fue sólo una demostración de la capacidad de una comunidad delictiva –cada vez más eficiente en el uso de sus herramientas– para poner en “jaque” a instituciones públicas y transnacionales.
La habilidad de identificar vulnerabilidades en dichas organizaciones, resulta una mina de oro para el cibercrimen pues, en la medida en que las empresas afectadas vayan cediendo a la extorsión del “Ransomware”, estos informáticos del mal, invertirán más recursos para investigar y analizar los flancos débiles que presentan los sistemas de seguridad.

Payload de WannaCry

Si a ello agregamos las teorías de la conspiración, en donde las agencias de seguridad norteamericanas, se miden con sus pares rusas y chinas por la hegemonía mundial, entonces las operaciones en línea y todos los sistemas en internet, amenazan en transformar a la “Nube”, en un nubarrón inmenso y oscuro.
Los alcances son realmente apocalípticos: no sólo pueden caer los sistemas financieros del mundo, sino –como lo predice la ciencia ficción— si los hackers del mal trasponen las barreras de seguridad de los sistemas de armas de las potencias mundiales, entonces el cibercrimen habrá puesto al mundo de rodillas.

 

Pero aún tenemos fe de que aún restan varios millones de “clicks” para llegar a tal situación. Aún aparecen antídotos contra el cibercrimen, como el caso del investigador británico quien bajo el alias @MalwareTechBlog tuvo la idea de comprar, por apenas 10,69 dólares, el dominio al que se conectaba la amenaza para concretar la infección, y desactivarla.
Aunque se dice que tal medida detuvo la propagación del “WannaCryptor” (mejor conocido como “Wannacry”) de manera accidental, sólo la imaginación del cerebro humano, acaso la computadora más poderosa del mundo, tuvo la capacidad de contener la amenaza.
Pero no sólo es la imaginación y la irrupción súbita de genialidad. Una cuota importante para enfrentar la amenaza, la constituye la “ingeniería reversa”. Así, por ejemplo, informáticos peruanos, vienen “desmantelando” el Wannacryptor, para conocer su estructura y la lógica de ataque del cibercriminal.

Desmantelando al “Wannacry”

Este ransomware, denominadado técnicamente por reconocidas empresas como “Win32/Filecoder.WannaCryptor.D”, y que se aprovecha de una vulnerabilidad en Windows, fue colocada en una “caja de arena” por informáticos peruanos de SECURITY LABS, para conocer su funcionamiento a través de procedimientos específicos.
“Primero se debe determinar el vector de infección que en la mayoría de casos viene en un documento, el mismo que tiene un troyano incrustado”, explica Erick Olórtegui, investigador de SECURITY LABS.

Erick Olórtegui, Especialista en Ciberseguridad de Security Labs

El experto, señala que este ransomware se ejecuta en un entorno aislado de la red que normalmente se utiliza. “Para ello, el laboratorio tiene dos redes. En una, trabajamos con muestras, ya que en algunos casos los malwares necesitan conexión para descargar el “.exe” que es el ransomware en sí”, explica Olórtegui.
Una vez obtenido el “.exe”, se procede a ejecutar el mismo dentro de un entorno virtual, para realizar el procedimiento mediante el cual el malware empieza a modificar los archivos.
“Ésta es una de las formas de realizar el análisis, pues existen dos tipos: Análisis Dinámico y análisis Estático de malware”, señala el informático.
Primero se ejecuta el análisis Dinámico, para luego hacer el Estático. En éste último es donde se desmantela el código malicioso con la técnica de ingeniería reversa, con el propósito de analizar su funcionamiento y descubrir que acciones realiza y cómo se propaga.
“Pese a la ingeniería reversa aplicada, éste tiene un tipo de malware que utiliza una técnica denominada ‘anti-debugging’ para impedir que se inspeccione su funcionamiento”, detalla el informático.
El anti-debugging es una técnica muy utilizada por el malware para impedir el “debugging”, que es el procedimiento para analizar paso a paso el funcionamiento de los programas, incluido el malware”, explica el experto, quien afirma que el “Wannacry”, está desmantelado, a la fecha, en un sesenta por ciento.

Herramientas y proceso de “disección”

Se debe preparar el Entorno Virtual, para ello se hace uso de programas como “RegShot” y las herramientas “Windows SysInternals” que son el “Process Monitor”, “Autoruns” y “TCPView”.
El “RegShot” saca una fotografía antes y después de la infección: una vista fotográfica del registro de Windows de una PC que está funcionando con normalidad.
Luego se compara con otra fotografía del registro de sistema luego de ser infectado. Para efectuar la comparación, se debe ejecutar el “autoruns” para ubicar dónde se está alojando el malware.
El Autoruns es una herramienta que permite monitorear los programas que se ejecutan automáticamente al iniciar Windows.


También se ejecuta el “TCPView” para ver las conexiones que realiza, junto con el “process monitor”, donde se apreciará qué otros medios utiliza el malware para ejecutar su infección y propagarse.
El análsis final es completado con herramientas especializadas llamadas “Disassemblers” que permiten convertir las instrucciones en código máquina del archivo ejecutable que contiene al ransomware, a un lenguaje de bajo nivel llamado “Assembler”, para ayudar a que los especialistas realicen un análisis minucioso que tendrá como resultado la elaboración de una solución (vacuna) contra el malware.

Agregue un comentario

Su dirección de correo no se hará público. Los campos requeridos están marcados *