CozyDuke: No tan Mono

cozyduke    Llevo trabajando desde hace ya varias semanas en el análisis -desde el ámbito forense-, del comportamiento de ciertas aplicaciones informáticas y cómo éstas interactúan/afectan al sistema operativo. El objetivo de mi trabajo consistía en instalar una aplicación concreta dentro de una SandBox incluida a su vez dentro de un entorno virtual, para después comprobar qué cambios se habían producido en diferentes áreas del sistema operativo, como el registro, directorios y memoria, analizando los ficheros que habían sido modificados tras la instalación. Una vez identificados los archivos creados/modificados durante la ejecución del programa, había que analizarlos con un editor hexadecimal, en busca de patrones que tuvieran algo que ver con lo instalado.

    Como ocurre muchas veces en este tipo de investigación forense, en la que las búsquedas a ciegas suelen regalarte alguna que otra sorpresa, me encontré que en el volcado de memoria había varias cadenas “win32….”, que hacían referencia a Malware de diferente índole. En principio suele ser normal encontrarse las típicas cadenas de MalWare/AdWare que sirven para emponzoñar los sistemas con publicidad, en cuanto detectan que tienes conexión a internet. Sin embargo me chocó encontrarme varias cadenas unidas, como “OnionDuke.a” (con sus variantes .b y .c), más las cadenas “CozyBear” (con su variante cozyDuke), y la no menos interesante cadena “win32/obfuscator”.

codigocozyduke     Para los expertos en ciberseguridad ninguna de estas cadenas le sonará a chino (más bien les sonarán a Ruso): OnionDuke y CozyBear (o CozyDuke) presentaban estructuras de código similares a otras APT’s (amenazas persistentes avanzadas), de origen ruso -como MiniDuke o CosmicDuke-, por lo que es fácil deducir que pertenecen al mismo grupo de ciberdelincuentes rusos. Para aquellos lectores que lo desconozcan, CozyDuke se creó para intentar acceder a la Casa Blanca -que reconoció haber sufrido una intrusión-, y a otros países como Alemania, Corea del Sur y Uzbekistan.

videoCozyDuke    La forma de contagio de CozyDuke seguía una línea ya clásica basada en ingeniería social. Una de las formas de infección se producía tras la recepción de un correo con un link que apuntaba a una página web comprometida. Llegaron a comprometerse incluso páginas web de cierta entidad y reputación y de las que nada hacía pensar que pudieran estar contaminadas. La otra forma venía a través de un vídeo en FlashPlayer (que contenía el código malicioso), en el que aparecían unos divertidos chimpancés trabajando en una oficina; y mientras se visualizaba el vídeo, la aplicación “player.exe” lanzaba el código de CozyDuke que anulaba las técnicas de detección de los antivirus, al igual que “win32/Obfuscator” (que nos encontramos junto con las cadenas ya explicadas), al tiempo que se conectaba a servidores externos para bajarse nuevas cadenas víricas.

    Después de encontrarme con estas cadenas de código malicioso en una máquina virtual -que si bien es cierto había estado conectada a entornos TOR, no se había conectado a ningún sitio raro-, lo único que puede sacarse en conclusión es que si Google y Apple han decidido desterrar Flasplayer y otras herramientas alegando falta de seguridad, puede basarse en buena medida a lo fácil que es contagiarse de estas herramientas de MalWare, que pasan por otra parte completamente desapercibidas a los antivirus normales.

    Por tanto tomemos todas las precauciones posibles al recibir correos electrónicos con ficheros adjuntos de origen dudoso y, al tiempo, tengamos cuidado a la hora de difundir vídeos en FlashPlayer que, amén de las imágenes, pueden contener software malicioso que tome el control de nuestra máquina.

    Y, por supuesto, nunca bajemos la guardia en lo referente a tener nuestro sistema operativo permanentemente actualizado, o a tener instalados los últimos parches de seguridad de aquellas aplicaciones que utilicemos de forma común, como java, herramientas de Adobe, etc. y, cómo no, un buen antivirus siempre actualizado.

José Aurelio García

Auditor y Perito Informático-Perito en Piratería Industrial e Intelectual-Informático Forense

Vp. Asociación Nacional de Ciberseguridad y Pericia Tecnológica – ANCITE

Informático Forense – El Blog de Auditores y Peritos Informáticos

[email protected]

Leave a Reply