Buscar este blog

martes, 7 de abril de 2015

Como prevenir el Cryptolocker con APT de Watchguard




El dia 31 de marzo hubo un gran ataque masivo, del virus de Cryptolocker , Gracias , nuestro amigo Guillermo Fernandez de Watchguard, nos envio las pruebas para poder ver como funciona correctamente el APT de Watchguard.

Lo primero nos llega el correo falso de la entidad de correos:


Entrando en el enlace, te carga una página web falsa. En mi caso no me remitió a correos24.net. sino que lo hizo a correos-espana.biz, este dominio cambia continuamente , y no se puede bloquear por estos dominios.


Al entrar dentro de la misma e introducir el captcha, te descarga el zip con el ejecutable del cryptolocker, esto cambia , a veces se baja directamente un .exe sin comprimir.

Primero lo que hice fue subir el archivo a virustotal para ver si después de 24h, cuántos antivirus lo cogían:


La mayoria de los antivirus no lo detectan, los antivirus no valen para este tipo de virus, son virus camuflados y sobre todo que se encapsulan y en muy dificil de detectar , el problema es que cambian de fichero cada dia o cada muy poco tiempo.

Posteriormente reactivé el HTTPs con DPI para que lo analizase:

2015-04-01 20:43:03 Allow 192.168.21.3 64.235.151.43 http/tcp 51062 443 21-AP200_ZAMAK 6-ONT ProxyAllow: HTTP Request categories   (HTTPS-proxy-00) HTTP-Client ZAMAK.1 proc_id="http-proxy" rc="590" msg_id="1AFF-0021" proxy_act="HTTP-Client ZAMAK.1" cats="Personal Network Storage and Backup" op="GET" dstname="copy.com:443" arg="/uFzlJZEcUtDLyjzO/carta_certificada_26558.zip"       Traffic

2015-04-01 20:43:20 Allow 192.168.21.3 64.235.151.43 http/tcp 51062 443 21-AP200_ZAMAK 6-ONT ProxyAllow: HTTP File submitted to APT analysis server   (HTTPS-proxy-00) HTTP-Client ZAMAK.1 proc_id="http-proxy" rc="590" msg_id="1AFF-0036" proxy_act="HTTP-Client ZAMAK.1" host="copy.com" path="/uFzlJZEcUtDLyjzO/carta_certificada_26558.zip" md5="89f64c23d41aadb2cef500cf7065cd16" task_uuid=""             Traffic

El fichero lo tienen almacenado en copy.com, y era 0day, por lo que nadie aún lo había subido a Lastline.

Pasados unos minutos volví a mirar a ver qué había visto en el fichero y nada más volver a intentar descargarlo, ya me lo bloqueaba:

2015-04-01 21:18:19 Deny 192.168.21.3 64.235.151.42 http/tcp 51440 443 21-AP200_ZAMAK 6-ONT ProxyDrop: HTTP APT detected   (HTTPS-proxy-00) HTTP-Client ZAMAK.1 proc_id="http-proxy" rc="594" msg_id="1AFF-0034" proxy_act="HTTP-Client ZAMAK.1" host="copy.com" path="/uFzlJZEcUtDLyjzO/carta_certificada_26558.zip" md5="89f64c23d41aadb2cef500cf7065cd16" task_uuid="3213a9b351574241a9224f8ff357d46b" threat_level="high"          Traffic

Y por supuesto, catalogado como amenaza alta:



Esta claro que el APT lo detecta, APT analiza el comportamiento de los ficheros que no se fia, los sube al servidor de lastline, que es la empresa que firma el APT de Watchguard, y si no lo conoce analiza el comportamiento del fichero, esta claro que un Word , o una Excell no deberian de tocar registro, o ficheros del sistema, y asi mismo los ficheros ejecutables.

Muchas Gracias por la Colaboracion en este de post de Guillermo Fernandez ....


Saludos.



No hay comentarios:

Publicar un comentario