Poweliks – el Malware se esconde en el Registro

0

POWELIKS supone un nuvo paso en la evolución del malware

Los laboratorios de la firma Trend Micro han investigado un nuvo tipo de malware o virus que no necesita instalar ningún componente o proceso en el sistema. Simplemente se oculta en varios rincones del Registro de Windows, de una forma muy inteligente.

TROJ POWELIKS.A

Con este nombre han bautizado en Trend Micro a la amenaza. El malware esconde su código íntegramente en el Registro de Windows, esto le confiere al virus mecanismos para pasar desapercibido. Cuando se ejecuta, TROJ_POWELIKS.A descarga archivos, que puede utilizar para conseguir una capacidad aún mayor. Los equipos afectados por este malware también se arriesgan a ser infectados por otras familias de malware. Además, Poweliks tiene la habilidad de recopilar información del sistema, lo que otorgaría datos valiosos a los atacantes, para volver a atacar a la víctima.

Mecanismo de evasión

Además del mecanismo de ocultación, este método dificultaría a los investigadores forenses la tarea de resolución, pues no hay referencias a archivos. Las amenazas procuran, en la medida de lo posible, evitar ser detectadas en el sistema y la red.

Según Trend Micro, TROJ_POWELIKS comprueba si la opción Powershell de Windows está habilitada en el sistema afectado. En caso negativo, la descarga e instala en el sistema. Esta potente herramienta servirá al malware para ejecutar un script codificado (siendo a su vez una DLL) que será responsable en el futuro de continuar descargando otro malware.

Esta técnica se usa como parte de un sistema de evasión, ya que no será directamente ejecutado por Windows o cualquier otro programa, lo que le asegura persistencia, algo que los atacantes siempre desean.

Después se crea una entrada de Inicio vacía (NULL) utilizando la API ZwSetValueKey:

La primera carpeta de registro donde encontramos a POWELIKS

Esto no es algo necesariamente novedoso, estando documentado en MSDN. Mediante un registro con valor vacío en el registro, los usuarios no pueden ver el contenido o editar la clave con valor vacío. Aunque existe una opción para borrar esta clave, el hecho de borrarla solo arrojará un error, debido al valor nulo de la misma. Sin embargo, los datos concretos se podrán ejecutar al inicio de Windows sin problema. 

También se crea otra clave de Registro que contiene el código del malware. Mirad la siguiente imagen:

Siguiente entrada afectada por malware en el Registro de Windows

Los datos del registro son un archivo codificado. Después de desbloquearlo, se puede ver en su interior un archivo tipo DLL con el siguiente código:

Archivo DLL descodificado

Esta librería .DLL es entonces inyectada en el proceso de sistema . Este código recién inyectado ya es capaz de descargar nuevo malware, que comprometería todo el sistema. Además, comenzará a escudriñar el sistema y recopilar información sobre el mismo:

  • Sistema operativo y arquitectura de procesador
  • UUID
  • Versión del malware
  • Fecha de lanzamiento

Esta información se envía después mediante un comando POST con este formato:

  • http://178[dot]89[dot]159[dot]34/q/type={status: start, install, exist, cmd or low}&version=1.0&aid={id}&builddate=%s&id={iuuid}&os={OS version}_{OS architecture}

Los archivos .EXE y .DLL son detectados por la solución antivirus de Trend Micro con el nombre de TROJ_POWELIKS.A y el script Javascript como JS_POWELIKS.A. Este malware hace uso de estos hashes:

  • EXE – BFA2DC3B9956A88A2E56BD6AB68D1F4F675A425A
  • DLL – 3506CE5C88EE880B404618D7759271DED72453FE

¿Una evolución natural?

Los cibercriminales utilizan a menudo nuevas tácticas o mecanismos que puedan asegurarles más éxito/persistencia. Pueden ser atributos de archivos ocultos o alguna técnica más novedosa de tipo rootkit. En el pasado hemos visto ejemplos como:

  • Uso de la red Tor
  • Abuso de la herramienta PowerShell de Windows
  • Impedimento de la ejecución de antimalware
  • Ocultación del tráfico de red
  • Uso de DGA o Algoritmo de Generación de Dominios, como el usado en DOWNAD

El uso exclusivo del Registro de Windows por parte del malware es una noticia preocupante y que requiere mejoras futuras en seguridad. Primero, porque el usuario común no va a comprobar nunca el Registro de Windows en busca de claves sospechosas. Segundo, porque las soluciones antivirus actuales se apoyan en la detección basada en archivos, por lo que no serán útiles frente a esas amenazas

Compartir.

Sobre el Autor

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.

Dejar una Respuesta

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR