miércoles, marzo 06, 2013

PowerShell y RansomWare: Desde Rusia con Amor

Lleva ya muchos años entre los usuarios de Windows la PowerShell, sin embargo, el número de usuarios que se han familiarizado con ella es muy pequeño. A pesar de ello, en los sistemas con Windows hay una herramienta muy poderosa que permite hacer muchas, muchas cosas. Nosotros le tenemos mucho cariño, especialmente en entornos Citrix o Terminal Services, donde normalmente abre muchas puertas, pero puede usarse para casi todo en Windows, como configurar interfaces de red, gestionar los servicios del sistema o el despliegue de aplicaciones.

Esta potencia no parece haber pasada desapercibida para el mundo del malware, y ayer mismo en Naked Security hablaban de un RansomWare creado en Rusia que utiliza un par de scripts, distribuidos por medio de una campaña de spam con un archivo adjunto con extensión HTA, que se utilizan para descargar Windows PowerShell desde una cuenta de Dropbox si la víctima no la tiene en su máquina el primero y para cifrar 167 tipos de archivos en la máquina de la víctima el segundo, este escrito en PowerShell.

Figura 1: El script de cifrado escrito en PowerShell

La clave usada para cifrar los archivos depende de la versión del ransomware, y puede ser un Universally Unique Identifier (UUID) que se almacena con extensión .FTCODE o una clave de 50 caracteres aleatoria - con 4 de ellos no alfabéticos - que se almacena con extensión .BTCODE.

No es que hacer un malware en PowerShell le ponga las cosas muy complicadas a los reversers, ya que poder analizar el script pone las cosas muy sencillas, y por tanto las claves pueden ser recuperadas también con la misma PowerShell, usando los comandos Get-wmiobject Win32_ComputerSystemProduct UUID para el primer tipo de clave, y con Gwmi win32_computerSystem Model para el segundo tipo.  

Desde luego, todo este tipo de cosas lo que deberían hacer es animarte a conocer un poco más de PowerShell, para que realmente le saques partido a esta potente shell.

Saludos Malignos!

1 comentario:

Anónimo dijo...

nos como vivi tanto tiempo sin ps :)

Entrada destacada

Tu Latch "Hack Your Innovation Contest": Haz un PoC & Hack por 1.000 €

El pasado Telefónica Innovation Day 2024 lanzamos oficialmente el " Tu Latch Hack Your Innovation Contest " en el que repartimos ...

Entradas populares