Protege lo creado

Otros recursos

  • free.drweb-av.es — utilidades gratuitas, complementos, informadores
  • av-desk.com — un servicio en Internet para los proveedores de servicios Dr.Web AV-Desk
  • curenet.drweb.com — utilidad de desinfección de red Dr.Web CureNet!
Cerrar

Mi biblioteca
Mi biblioteca

+ Añadir a la biblioteca

Soporte
Soporte 24 horas | Normas de contactar

Sus solicitudes

Perfil

Un programa legal como canal de penetración de los troyanos miners en la empresa

Un ejemplo de peritaje de un incidente informático vinculado a virus por los expertos de la empresa Doctor Web

En primavera del año 2019 un cliente corporativo contactó con el servicio de soporte técnico de Doctor Web sobre problemas de funcionamiento del servidor. La carga a las potencias de computación era muy alta y no se sabía de dónde provenía la misma. Dr.Web estaba instalado en este servidor.

Como no era un caso típico, y nuestros expertos sospecharon que fuera algún software malicioso (aunque no hubo detecciones de ningún ataque de Dr.Web), los expertos de la empresa Doctor Web decidieron investigar el caso.

Tareas del peritaje

Los expertos tenía varias tareas.

  1. Detectar la causa del consumo de recursos raramente alto (enseguida se supuso que se trataba de un software malicioso).
  2. Supervisar el origen y el modo del ataque, para prevenir la difusión posterior del programa malicioso. Hacer una descripción detallada del ataque.
  3. A base de la investigación realizada, crear recomendaciones para mejorar las medidas de seguridad en la red del cliente.
  4. Si es posible, ayudar a los cuerpos de seguridad a localizar al culpable del ataque.

Curso de la investigación

Para el peritaje, fue realizado un análisis de logs del antivirus Dr.Web. Esto permitió detectar la primera pista y detectar la aplicación que consumía los recursos del servidor de forma oculta, así como el modo de penetración del malintencionado en el sistema. Era claro que la actividad maliciosa estaba vinculada al funcionamiento de un programa de un desarrollador ruso conocido, usado por el cliente.

Los expertos contactaron al desarrollador de este programa. Gracias a la comunicación con el mismo, no solamente fue detectado el modo del ataque, sino también fue localizado el malintencionado que lo hbía organizado. Resultó ser un empleado de la empresa desarrolladora.

El incidente y las medidas tomadas

Los datos recibidos durante el peritaje permitieron recuperar completamente lo sucedido.

La infección empezó con una vulnerabilidad RCE en un producto legal. A través de un exploit en la parte del cliente víctima se creaba una cuenta administrativa para acceder a través de RDP. Luego el malintencionado entraba de forma manual al servidor RDP y, usando el software legal ProcessHacker, «mataba» el antivirus instalado o simplemente lo desactivaba directamente a través de GUI — si el antivirus no estaba protegido con la contraseña. De esta forma, la protección antivirus no era eficaz porque una persona con permisos de administrador la desactivaba.

Al tener acceso en el sistema, el malintencionado cargaba un troyano miner al servidor y lo iniciaba. El proceso de mining generaba la carga de las potencias de computación del servidor. En la última versión del troyano detectada todas las acciones para desactivar los antivirus estaban automatizadas.

La información sobre la vulnerabilidad fue transferida por los expertos de Doctor Web al desarrollador del software para que el mismo pudiera corregirla de forma oportuna. El desarrollador entregó a los expertos el disco duro del equipo de trabajo del informático sospechoso para la investigación. Como resultado del análisis de este dispositivo y los honeypots usados por Doctor Web fueron detectados varios expolits más. Al mismo tiempo en el disco fueron detectados varios tipos de programas maliciosos anteriormente desconocidos para Dr.Web y una lista de víctimas atacadas de la misma forma. Entre las víctimas, hubo usuarios de varios productos antivirus. Una vez analizados los códigos fuente recibidos del nuevo software malicioso, la base de virus de Dr.Web se completó con nuevas entradas.

Gracias al peritaje del Doctor Web, el malintencionado fue detectado, acusado y despedido. La información sobre el mismo fue transferida a los cuerpos de seguridad. Pero, una vez despedido, el mismo cambió de domicilio y desapareció.

El cliente recibió recomendaciones sobre la configuración del antivirus Dr.Web que permitirán evitar otra infección. Cabe destacar que si esta configuración hubiera sido establecido al principio, nuestro clienta no habría sido víctima porque el malintencionado no sería capaz de desactivar Dr.Web en su servidor.

Las recomendaciones de nuestros expertos eran las siguientes:

  1. Establecer la protección de contraseña para cambiar la configuración Dr.Web;
  2. En la configuración el componente Protección preventiva temporalmente activar el bloqueo de la carga de los controladores para que un malintencionado no pueda cargar el controlador del software ProcessHacker. Para evitar el uso automático de ProcessHacker para desactivar el antivirus, fue mejorado el analizador heurístico de Dr.Web.

El desarrollador del software donde fue detectada la vulnerabilidad crítica tomo varios pasos importantes no solo para corregir el caso «aquí y ahora», sino para evitar los incidentes similares en el futuro.

  1. Corregidas las vulnerabilidades detectadas y realizado un análisis detallado del código, lo cual permitió localizar varios otros exploits que fueron eliminados de forma operativa.
  2. Se inició un trabajo para hacerles a los usuarios entender la necesidad de mantener el software actualizado e instalar de forma inmediata las actualizaciones críticas.
  3. Se recomienda a los usuarios evitar la conexión directa del programa a Internet.

Resultado: que pasó y que podría pasar

El incidente fue resuelto bastante rápido y con pérdidas mínimas El cliente de la empresa Doctor Web resolvió el problema y estaba satisfecho con el trabajo de nuestros expertos, el desarrollador del software tomó todas las medidas necesarias para quitar las vulnerabilidades, y el hacker tuvo que tratar con la policía.

Pero cabe destacar que en este caso la víctima «ha tenido bastante suerte». El malintencionado, al tener acceso al sistema, instalaba allí un troyano minero que «solo» cargaba mucho los recursos del sistema, sin hacer más daño directo. Como se trataba de un software específico que normalmente está en el mismo servidor que, por ejemplo, las aplicaciones tipo 1C, la situación pudo desarrollarse de otro forma. Por ejemplo, si en vez del miner hubiera un troyano cifrador (lo cual planificaba el malintencionado), el daño habría sido mucho más importantes. El funcionamiento de los servidores atacados habría sido parado, y los archivos con datos de importancia crítica, cifrados, y, como suele pasar con mucha frecuencia, con bastante probabilidad, sin posibilidad de recuperarlos.


En caso de emergencia (desaparece el dinero o los datos, se filtran las contraseñas de los recursos corporativos, los equipos no funcionan de forma estable etc.) y Vd. supone que pueden ser las acciones de un software malicioso, pida un peritaje de IIV en la empresa Doctor Web. 28 años de experiencia en el ámbito antivirus y nuestros métodos exclusivos de detección de las amenazas más nuevas ayudarán a analizar lo sucedido, y el equipamiento especial que permite copiar la información según los procedimientos legales, asegurará los elementos probatorios definitivos en el juzgado.

Enviar una solicitud de peritaje

Más información sobre el peritaje

Desarrollador ruso de antivirus Dr.Web
Experiencia de desarrollo a partir del año 1992
Dr.Web se usa en más de 200 países del mundo
Entrega de antivirus como servicio a partir del año 2007
Soporte 24 horas

Dr.Web © Doctor Web
2003 — 2021

Doctor Web es un productor ruso de los medios antivirus de protección de la información bajo la marca Dr.Web. Los productos Dr.Web se desarrollan a partir del año 1992.

125124, Rusia, Moscú, c/3 Yamskogo Polya, 2, edif.12А