Explotación de la Vulnerabilidad EternalBlue: Un Ataque Detallado a la Granja del Observatorio

Los ataques basados en la explotación de vulnerabilidades son comunes, pero algunos, como el uso de EternalBlue, son especialmente preocupantes debido al potencial destructivo que tienen. En este post, desglosaremos cómo los atacantes utilizaron esta vulnerabilidad para obtener acceso inicial a una granja de servidores, ejecutar código malicioso y mantener el control sobre el sistema, evadiendo detección y desactivando defensas clave.

Acceso Inicial: La Puerta Abierta con EternalBlue

El ataque comienza con la explotación de EternalBlue, una vulnerabilidad crítica en el protocolo SMB (Server Message Block) de Windows que fue revelada en 2017. Esta falla permite a los atacantes ejecutar código malicioso de forma remota, sin necesidad de autenticación, dándoles acceso como administradores a los sistemas afectados.

En este caso, los atacantes aprovecharon esta debilidad para infiltrarse en los servidores de una granja del observatorio. Una vez dentro, crearon un recurso compartido administrativo oculto, lo que les permitió mantener una puerta abierta en la máquina comprometida. Para consolidar su acceso, los cibercriminales ejecutaron un archivo por lotes malicioso denominado p.bat.

p.bat: El Corazón del Ataque

El archivo p.bat es una pieza clave en el ataque, ya que realizó una serie de acciones maliciosas que permitieron a los atacantes controlar y manipular el sistema comprometido. Algunas de las acciones ejecutadas por p.bat incluyen:

• Creación y ejecución de archivos ejecutables maliciosos: Los atacantes cargaron otros programas dañinos diseñados para ampliar el alcance del ataque.
• Apertura de puertos del firewall: Modificaron las reglas del firewall para permitir la comunicación entre el sistema comprometido y servidores externos. Este es un paso común en ataques de criptominería, donde el tráfico malicioso se disfraza para parecer inofensivo.
• Configuración del reenvío de puertos: Esto facilita la comunicación de vuelta al servidor de comando y control (C2) de los atacantes, permitiéndoles manejar el ataque a distancia.
• Programación de tareas para persistencia: Se añadieron tareas programadas que ejecutaban scripts maliciosos a intervalos regulares, lo que ayudaba a los atacantes a mantener el control a largo plazo.

Mecanismos Antidetección y Disfraz de svchost.exe

El p.bat también incluía mecanismos diseñados para evitar la detección, utilizando técnicas para ocultar su actividad maliciosa en el sistema. Uno de los métodos utilizados fue la creación de un ejecutable malicioso disfrazado como svchost.exe, un proceso legítimo de Windows.

Este ejecutable malicioso tenía dos propósitos principales:

1. Deshabilitar Windows Defender: Al desactivar el monitoreo en tiempo real y establecer exclusiones, los atacantes redujeron la probabilidad de que sus acciones fueran detectadas.
2. Reforzar las mismas acciones maliciosas que p.bat: Continuaron con la apertura de puertos y la configuración de reglas de firewall, así como la programación de tareas maliciosas para garantizar la persistencia en el sistema.

Eliminación de Huellas y Control Exclusivo

Uno de los pasos finales del ataque fue la eliminación del recurso compartido administrativo previamente creado. Esto permitió a los atacantes ocultar sus huellas y reducir las pistas que podrían haber alertado a los administradores del sistema. Al eliminar este acceso compartido, los atacantes también aseguraron que tenían control exclusivo sobre el sistema comprometido, dificultando cualquier intento de recuperación por parte de los administradores.

Flujo Gráfico del Ataque

El flujo del ataque se puede resumir en los siguientes pasos:

1. Explotación de SMB con EternalBlue: Los atacantes obtienen acceso al sistema utilizando la vulnerabilidad para elevar privilegios.
2. Creación de un recurso compartido oculto: Un recurso en la unidad C: se utiliza para mantener la persistencia.
3. Ejecución de p.bat: Configura reglas de firewall y tareas programadas, posiblemente para criptominería, redirigiendo tráfico a través del puerto 53 (usualmente utilizado para DNS).
4. Programación de tareas maliciosas: Se descargan y ejecutan scripts adicionales de malware, manteniendo el control a largo plazo.

Uso de PowerShell y Tareas Programadas

Uno de los métodos más empleados por los atacantes en este caso fue el uso de PowerShell, una herramienta potente y versátil integrada en los sistemas Windows. El script malicioso utilizaba PowerShell para descargar y ejecutar un segundo script desde una URL maliciosa, relacionada con el malware LemonDuck, conocido por sus capacidades de propagación y persistencia.

Si PowerShell no estaba disponible, el malware ajustaba su estrategia, manipulando el Programador de Tareas de Windows para ejecutar scripts alternativos en intervalos regulares. Esta flexibilidad es una característica distintiva de ataques avanzados, donde los atacantes adaptan sus métodos según el entorno de la víctima.

Flujo de ataque

Desactivación de Windows Defender y Persistencia

Uno de los primeros movimientos del malware fue desactivar Windows Defender, eliminando el monitoreo en tiempo real y excluyendo toda la unidad C: de los análisis. Esto le permitió operar sin ser detectado. Además, se abrieron puertos y se configuró un proxy, lo que permitió la comunicación con un servidor de comando y control (C2).

Para evadir aún más la detección, los atacantes cambiaron el nombre de los ejecutables maliciosos y utilizaron múltiples URL de descarga y nombres de tareas programadas, lo que complicaba la identificación y eliminación del malware.

Método de Explotación: El Papel de LemonDuck

El análisis reveló que el malware msInstall.exe era una variante de LemonDuck, conocido por atacar sistemas Windows y expandirse utilizando métodos de fuerza bruta para acceder a sistemas vulnerables. Una vez dentro, este malware utiliza EternalBlue para obtener privilegios de SISTEMA, estableciendo tareas programadas y modificando reglas de firewall para persistir en la máquina comprometida.

Además de estas acciones, LemonDuck también utilizó la herramienta Mimikatz para robar credenciales, lo que facilitó el movimiento lateral dentro de la red, permitiendo a los atacantes comprometer otros sistemas conectados.

Evadiendo la Detección y Múltiples Cargas Maliciosas

Una característica notable de este ataque fue su capacidad para evadir la detección. Los atacantes cambiaron los nombres de los archivos ejecutables, usaron diferentes métodos para descargar malware y ajustaron las tareas programadas según las circunstancias, garantizando que su ataque persistiera incluso si algunos de sus vectores de ataque fueran bloqueados.

El malware se aseguraba de que, si se eliminaba una tarea, otra continuaría ejecutando sus acciones maliciosas. Esta resiliencia en el ataque sugiere que los cibercriminales estaban bien preparados para mantener el control a largo plazo del sistema.

El ataque a la granja del observatorio, facilitado por la explotación de la vulnerabilidad EternalBlue, es un ejemplo clásico de cómo los ciberdelincuentes pueden obtener acceso, persistir y evadir la detección durante largos períodos. Utilizando técnicas avanzadas como scripts maliciosos, PowerShell y tareas programadas, los atacantes desactivaron las defensas del sistema, abrieron puertas traseras y mantuvieron el control de la máquina comprometida.

La capacidad de los atacantes para adaptarse y esconderse dentro de sistemas críticos subraya la importancia de mantener los sistemas actualizados y reforzar las defensas contra amenazas sofisticadas. La vigilancia constante y el uso de soluciones de ciberseguridad adecuadas son fundamentales para prevenir ataques similares en el futuro.

#Cybersecurity ? #Malware ? #EternalBlue ? #WindowsDefender ⛔ #PowerShell ? #SMBExploit ? #NetworkSecurity ? #LemonDuck ? #FirewallProtection ? #ThreatHunting ?