Muchas familias de ransomware intentan mediante vssadmin borrar todas las shadow copies del sistema, ya sabéis, las instantáneas que va tomando Windows para poder volver a un punto de restauración en caso necesario. Es decir, intentan que la víctima no pueda tirar de ningún backup. ¿Qué pasaría si pudiéramos interceptar ese intento y terminar el proceso que lo invoca? Pues esto es lo que hace la herramienta Raccine del archifamoso Florian Roth aka Neo23x0.
Funcionamiento
- Se intercepta la llamada a vssadmin.exe (y wmic.exe) y se pasa a raccine.exe como debugger (vssadmin.exe delete shadows se convierte en raccine.exe vssadmin.exe delete shadows)
- Luego se procesan los argumentos de la línea de comandos y se buscan combinaciones maliciosas usando reglas de Yara.
- Si no se puede encontrar una combinación maliciosa, se crea un nuevo proceso con los parámetros originales de la línea de comandos.
- Si
se encuentra una combinación maliciosa, se recopilan todos los PID de
los procesos principales y comienza a matarlos. Raccine
muestra una ventana de línea de comandos con los PID eliminados durante 5
segundos, lo loggea en el registro de eventos de Windows y luego sale.
Ventajas:
- El método es bastante genérico.
- No tenemos que reemplazar un archivo de sistema (vssadmin.exe o wmic.exe), lo que podría ocasionar problemas de integridad y podría romper nuestra vacuna cada vez que se parchee
- Permite usar reglas YARA para buscar parámetros maliciosos en la línea de comandos
- Los cambios son fáciles de deshacer
- Se ejecuta en Windows 7/Windows 2008 R2 o superior
- No se requiere un ejecutable en ejecución o un servicio adicional (sin agente)
Desventajas/Puntos ciegos
- El uso legítimo de vssadmin.exe para eliminar shadow copies (o cualquier otra combinación blacklisteada) ya no es posible
- Elimina todos los procesos que intentaron invocar vssadmin.exe, lo que podría ser un proceso de copia de seguridad (falso positivo)
- Esto no detectará métodos en los que el proceso malicioso no sea uno de los procesos en el árbol que ha invocado vssadmin.exe (por ejemplo, a través de schtasks)
Combinaciones maliciosas:
- delete y shadows (vssadmin, diskshadow)
- resize y shadowstorage (vssadmin)
- delete y shadowstorage (vssadmin)
- delete y shadowcopy (wmic)
- delete y catalog y -quiet (wbadmin)
- win32_shadowcopy o element de una lista de conandos encodeados (powershell)
- recoveryenabled (bcedit)
- ignoreallfailures (bcedit)
Lista de Powershell de comandos encodeados: JAB, SQBFAF, SQBuAH, SUVYI, cwBhA, aWV4I, aQBlAHgA y muchos más
Ejemplos de uso
Emotet sin Raccine - Link
Emotet con Raccine - Link (ignorar la actividad del proceso que está relacionada con la instalación de Raccine)
La infección se corta de raíz.
Detalles de la instalación y más info en: https://github.com/Neo23x0/Raccine
Comentarios
Publicar un comentario