28 de octubre de 2019

ESTEGANOGRAFÍA. Código malicioso oculto en archivos de audio WAV.

Investigadores de Blackberry Cylance Threat han descubierto recientemente código malicioso ofuscado dentro de archivos de audio en formato WAV. Al parecer, los archivos WAV incorporaban ocultos droppers para decodificar y ejecutar posteriormente código malicioso.
La implementación del código malicioso conseguía, en la mayoría de ocasiones, no corromper las estructuras fundamentales del archivo, permitiendo su reproducción sin anomalía reseñable o pérdida de calidad. En algunos casos, el código malicioso provocaba colateralmente que el contenido reproducido fuera ruido blanco.
El análisis de los investigadores revelaba que el código malicioso estaba relacionado con el minero XMRig Monero. También se han hallado evidencias en los archivos maliciosos de código directamente relacionado con el famoso framework de explotación Metasploit. Concretamente, el código encontrado se encargaba de generar una conexión reversa y entregar una shell al atacante.
Los droppers de los archivos maliciosos encargados de decodificar y llamar posteriomente al minero, son clasificados, fundamentalmente, en tres grupos según los investigadores:
  • Aquellos que emplean esteganografía de tipo LSB (Least Significant Bit) para ejecutar un archivo portable.
  • Otros que emplean un algoritmo de decodificación basado en un método de aleatorización rand() para decodificar y ejecutar un archivo portable.
  • Finalmente, muestras que emplean un algoritmo de decodificación basado en un método de aleatorización rand() para decodificar y ejecutar una shellcode.
La variedad de aproximaciones válidas para la inyección de estos payloads demuestra la viabilidad de la esteganografía como vector de infección a través del ocultamiento de código ejecutable en prácticamente cualquier tipo de archivo siempre que el atacante sea capaz de no corromper la estructura fundamental del contenedor.
A continuación se listan algunas de las firmas SHA-256 de los archivos implicados, para su comprobación y estudio en VirusTotal:
·        595A54F0BBF297041CE259461AE8A12F37FB29E5180705EAFB3668B4A491CECC
·        DB043392816146BBE6E9F3FE669459FEA52A82A77A033C86FD5BC2F4569839C9
·        A2923D838F2D301A7C4B46AC598A3F9C08358B763B1973B4B4C9A7C6ED8B6395
·        843CD23B0D32CB3A36B545B07787AC9DA516D20DB6504F9CDFFA806D725D57F0
·        7DC620E734465E2F5AAF49B5760DF634F8EC8EEAB29B5154CC6AF2FC2C4E1F7C
Más información y detalles técnicos:
Fuente: Hispasec