EternalRocks, como funciona y como evitar la infección

Los amigos de lo ajeno han desarrollado una nueva forma de malware que aprovecha la misma vulnerabilidad –a saber, la que afecta al protocolo SMB 1.0 de Windows- para infectar equipos. Es decir, la misma vulnerabilidad que ha venido aprovechando el ransomware Wannacrypt / Wannacry.

Esta vez no se trata de una amenaza criptográfica sino más bien de un gusano tradicional. El descubridor se llama Miroslav Stampar, miembro del CERT del Gobierno de Croacia y creador de la herramienta sqlmap, y dio con esta nueva amenaza al quedar adherida a un honeypot que tiene en marcha.

EternalRocks emplea 7 exploits de la NSA

Dicho gusano pretende rentabilizar las debilidades de máquinas con sistema Windows, utilizando exploits ya conocidos desde el volcado de Shadow Brokers. Nada menos que 7 exploits diferentes, por los solo dos que el reciente Wannacry ha venido usando.

Exploits sobre el protocolo SMB para comprometer equipos vulnerables:

• ETERNALBLUE
• ETERNALCHAMPION
• ETERNALROMANCE
• ETERNALSYNERGY

Herramientas de la NSA utilizadas para reconocimiento de SMB:

• SMBTOUCH
• ARCHITOUCH

Por el contrario, el sobradamente conocido ciberataque de Wannacry solamente empleaba ETERNALBLUE para comprometer inicialmente el sistema y DOUBLEPULSAR para continuar propagándose a otros equipos.

El fin principal de este gusano es diferente del de un ransomware. No es destructivo de por sí, pero podría ser aparejado a cualquier tipo de carga deseada una vez infectadas las víctimas. Así que sí, también el ransomware podría venir por aquí.

No siendo detectado, el gusano EternalRocks podría propagarse rápidamente por internet y las redes privadas utilizando el protocolo de compartición de ficheros SMB, infectando sistemas que aún no estén parcheados rápidamente.

Análisis técnico

EternalRocks (también conocido como MicroBotMassive Net) descarga en el equipo un ejecutable alterado, de nombre UpdateInstaller.exe, que descarga los componentes .NET que precisa en fases posteriores, además de colocar TaskScheduler y la librería SharpZlib desde internet.

Primera fase

Mientras, descarga también un proceso svchost.exe modificado junto a otro taskhost.exe. El primero se utiliza para descargar e instalar Tor desde su web oficial, además de la URL (ubgdgno5eswkhmpy.onion) correspondiente a su Centro de Comando y Control (C&C) desde donde recogerá instrucciones y descargará otras amenazas.

Segunda fase

Una nueva variante del taskhost.exe (administrador de tareas en castellano) es descargada en torno a 24 horas después, desde la dirección: http://ubgdgno5eswkhmpy.onion/updates/download?id=PC

Tras la ejecución inicial se descarga el kit de exploit de Shadow Brokers (atención, malware). Luego se descomprimen los directorios payloads, configs y bins. Una vez hecho todo lo anterior es cuando tiene lugar el escaneo de puertos en el equipo para comprobar si el 445 -corresponde a SMB- está abierto de cara a Internet.

Mientras tanto, un proceso de Tor permanece a la escucha para recibir otras posibles instrucciones.

Rutas afectadas

• c:\Program Files\Microsoft Updates\SharpZLib.zip # variantes nuevas
• c:\Program Files\Microsoft Updates\svchost.exe
• c:\Program Files\Microsoft Updates\installed.fgh
• c:\Program Files\Microsoft Updates\ICSharpCode.SharpZipLib.dll # variantes nuevas
• c:\Program Files\Microsoft Updates\Microsoft.Win32.TaskScheduler.dll
• c:\Program Files\Microsoft Updates\SharpZLib\ # in newer variants
• c:\Program Files\Microsoft Updates\temp\tor.zip
• c:\Program Files\Microsoft Updates\temp\Tor\
• c:\Program Files\Microsoft Updates\required.glo
• c:\Program Files\Microsoft Updates\taskhost.exe
• c:\Program Files\Microsoft Updates\TaskScheduler.zip
• c:\Program Files\Microsoft Updates\TaskScheduler\
• c:\Program Files\Microsoft Updates\torunzip.exe # in older variants

Persistencia y procesos

Se definen dos tareas programadas en Windows para garantizar la persistencia del malware en el equipo. Estas dos tareas tienen múltiples «triggers» o desencadenadores así que pueden entrar en acción por condiciones dispares.

• ServiceHost >> C:\Program Files\Microsoft Updates\svchost.exe: al inicio de sistema, en el inicio de sesión, diariamente.
• TaskHost >> C:\Program Files\Microsoft Updates\taskhost.exe al inicio de sistema, en el inicio de sesión, diariamente.

Sin ingeniería social ni kill-switch

Además, todo esto ocurriría sin necesidad de poner en marcha elementos de ingeniería social. Es decir, que no hace falta el típico empleado despistado en la empresa para comenzar el desastre. Esto se debe a que bots automatizados recorren las redes escaneando los puertos del protocolo citado y viendo si están expuestos.

Detección: Tenable, Yara y Nessus

Además de quedar definidas las actualizaciones en sendos parches de Microsoft, Nessus dispone de una serie de plugins para reconocer y bloquear los peligros de EternalRocks y derivados que pudieran tener protocolos SMB en marcha.

ID plugin Nessus	Descripción
96982	Server Message Block Protocolo 1 activado (comprobación sin credenciales)
97086	Server Message Block Protocolo 1 activado
97737	MS17-010: Actualización de seguridad para servidor SMB Windows (4013389) (ETERNALBLUE) (ETERNALCHAMPION) (ETERNALROMANCE) (ETERNALSYNERGY)
97833	MS17-010: Actualización de seguridad para servidor SMB Windows (4013389) (ETERNALBLUE) (ETERNALCHAMPION) (ETERNALROMANCE) (ETERNALSYNERGY (sin credenciales)
99439	Detección de puerta trasera / implante SMB Server DOUBLEPULSAR

Finalmente, podemos optar por utilizar el plugin con ID 59275 para poder detectar aquellos equipos de nuestra infraestructura que puedan haberse infectado con el malware.

Detección mediante Yara

Aquellos administradores que prefieran emplear reglas Yara para identificar sistemas afectados por EternalRocks, pueden hacerlo mediante el plugin correspondiente en Nessus.

Conclusiones

Con la cantidad de ciberdelincuentes que están ahora mismo escudriñando la red en busca de equipos vulnerables mediante SMB, es obligatorio actualizar los equipos si aún no lo hemos hecho y comprobar las reglas del firewall/router, además de tener un buen antimalware actualizado. Ah, y esos backups!