Se reveló una nueva variante
del malware KillDisk que afecta la división de arranque de una máquina,
reflejando un mensaje de error, estos avisos son frecuentes en los sistemas
afectados por las amenazas de borrador de MBR.
Esta amenaza fue detectada
como TROJ_KILLMBR.EE y TROJ_KILLDISK.IUE.
Durante una investigación se
descubrió que utilizaron Nullsoft Scriptable Install System (NSIS), una
aplicación de código abierto con la cual se crean programas de instalación, los
atacantes protegieron el malware con VMProtect
que actúa como protector de virtualización aplicado para resguardarse de
la ingeniería inversa, sin embargo, se encontró que puede eliminar el primer
sector del disco físico del equipo; este ataque fue creado para borrar todos los discos duros físicos de un sistema.
El portal de seguridad Trendmicro, explica como el malware
KillDisk se ejecuta del siguiente modo en el proceso de borrado de MBR:
-Utiliza
la interfaz de programación de aplicaciones (API) CreateFileA para \\. \ PHYSICALDRIVE0 para
recuperar el control del disco duro.
-Sobrescribe el primer sector del disco (512 bytes) con "0x00". El
primer sector es el MBR del disco.
-Intentará
realizar las rutinas anteriores (pasos 1-2) en \\. \ PHYSICALDRIVE1, \\. \
PHYSICALDRIVE2, \\. \ PHYSICALDRIVE3, y así sucesivamente, siempre que haya un
disco duro disponible.
-Por
último, obligará a la máquina a apagarse a través de API ExitWindows.
-Al
llamar a las API, el ejecutable principal soltará el archivo del componente%
User Temp% / ns {5 random characters} .tmp / System.dll. El archivo ejecutable
principal cargará el archivo de la biblioteca de enlace dinámico (DLL), que
tiene la función de exportación "Llamar" utilizada para llamar a las
API.
Recomendación
KillDisk, es capaz de
inutilizar un equipo afectado y las organizaciones pueden defenderse del
malware aplicando métodos de seguridad como arrays
para la administración de discos duros y
así resguardar las capas de infraestructura de TI, puertas de enlace, puntos
finales e incluso redes y servidores.
Es importante que también
puedan Identificar y abordar brechas de seguridad.
Monitoree sus sistemas para
que parchee y actualice redes, sistemas y programas, así como aplicaciones para
eliminar posibles vulnerabilidades explotables.
Indicadores de compromiso (IoC):
Hashes relacionados (SHA-256):
a3f2c60aa5af9d903a31ec3c1d02eeeb895c02fcf3094a049a3bdf3aa3d714c8-TROJ_KILLMBR.EE
1a09b182c63207aa6988b064ec0ee811c173724c33cf6dfe36437427a5c23446- TROJ_KILLDISK.IUE
1.Mensaje de error
2.Fragmento de código que muestra la rutina al borrar el primer sector del disco
3.Cómo el malware lleva a cabo su rutina de borrado MBR
Fuente: blog.trendmicro.com