[Désm~ítíf~ícác~íóñ dé~ técñí~cás d~é ráñ~sómw~áré ú~sáñd~ó éñs~ámbl~ádós~.ÑÉT: 5 t~écñíc~ás pr~íñcí~pálé~s]

[Lós átáqúés dé ráñsómwáré próspéráñ ál évádír lá détéccíóñ ý lúégó cífrár lós dátós éñ úñ sístémá. Éñ él áñálísís déspúés dé úñ átáqúé ráñsómwáré, á méñúdó léémós sóbré cómó él átáqúé útílízó úñá cómbíñácíóñ dé díféréñtés típós dé árchívós júñtó cóñ úñá váríédád dé técñícás.]

[Éñtó~ñcés~, ¿qúé sí~gñíf~ícá t~ódó é~stó é~ñ réá~lídá~d¿ Éñ~ éstá~ sérí~é, ló d~ésgl~ósár~émós~ tódó~ úsáñ~dó él~ .Ñét m~árcó~ dé só~ftwá~ré pá~rá mó~strá~r cómó~ sé há~céñ p~ósíb~lés é~stás~ cápá~cídá~dés d~é ráñ~sómw~áré.]

[Éñ mí áñtéríór séríé dé trés pártés sóbré Málwáré Páýlóáds áñd Béácóñs, él fócó éstábá éñ Métásplóít Márcó dé Prúébás dé Péñétrácíóñ. Ñósótrós úsámós sú ýá cóñféccíóñádó médídór dé médícíóñ cárgá útíl dé málwáré párá móstrár váríás técñícás dél átácáñté. Él prímér ártícúló éxámíñó cómó sé íñícíáñ lás cómúñícácíóñés málícíósás, lá íñfráéstrúctúrá dél átácáñté ý él áñálísís fóréñsé dé úñ átáqúé. Él ségúñdó ártícúló áñálízó cátégóríás ý típós dé cárgás útílés júñtó cóñ álgúñás técñícás dé máñípúlácíóñ éñ mémóríá. Él párté fíñál dé ésá séríé sé céñtró éñ lás técñícás dé évásíóñ ý mítígácíóñ.]

[Éñ éstá séríé, créárémós ñúéstrós própíós árchívós dé cárgá útíl íñdívídúálés (támbíéñ cóñócídós cómó éñsámblájés) ápróvécháñdó .Ñét éñtórñó dé sóftwáré, péró cóñ úñ éñfóqúé éñ él ráñsómwáré. Cóméñzárémós pór désglósár lás cápácídádés dé ráñsómwáré ý málwáré éñ técñícás dé éjémpló íñdívídúálés párá cómpréñdér cómó fúñcíóñáñ pór sí mísmás. Álgúñás dé éstás técñícás íñdívídúálés sóñ, éñ últímá íñstáñcíá, lás qúé sé cómbíñáñ éñ úñá sólá cárgá útíl dé ráñsómwáré málícíósó cóñ úñ éféctó á méñúdó dévástádór.]

[Técñí~cá 1: Dé~scár~gádó~rés, g~ótér~ós ý c~árgá~dóré~s]

[Cóméñzámós pór óbsérvár cómó él ráñsómwáré ó él málwáré púédéñ cóñéctársé fúérá dé úñá réd íñféctádá. Éstá és lá cápácídád dé cóñéctársé á úñ sístémá rémótó, déscárgár cárgás útílés ádícíóñálés, sóltárló éñ él sístémá cómprómétídó ý éjécútárló (és décír, téñérló cárgádó éñ lá mémóríá).]

[Á cóñ~tíñú~ácíóñ~ sé mú~éstr~á úñ é~jémp~ló dé~ .Ñét á~plíc~ácíóñ~ dé líñ~éá dé~ cómá~ñdós~ (cóñs~ólá) q~úé:]

• [Áctúá~ cómó~ úñ dé~scár~gádó~r méd~íáñt~é lá d~éscá~rgá d~é ótr~á ápl~ícác~íóñ éj~écút~áblé~ rémó~tá (pú~ttý.é~xé) dé~sdé Í~ñtér~ñét]
• [Déjá~ cáér~ lá áp~lícá~cíóñ d~éscá~rgád~á éñ ú~ñ tém~p cár~pétá~ éñ él~ dísc~ó éñ l~á cóm~pútá~dórá~]
• [Cámb~íé él~ ñómb~ré dé~ lá áp~lícá~cíóñ á~ pútt~ý_ñé~w.éxé~‍]
• [Éjéc~útá á~útóm~átícá~méñt~é lá á~plíc~ácíóñ~ désc~árgá~dá éñ~ él éq~úípó~ párá~ qúé s~é cár~gúé é~ñ lá m~émór~íá]

[Cúáñdó sé útílízá lá púéstá éñ éscéñá dé cárgá útíl, ló qúé sígñífícá téñér váríós árchívós málícíósós hácíéñdó cósás díféréñtés, él Stágér (péqúéñá cárgá útíl íñícíál) púédé cóñvértírsé éñ él déscárgádór ý támbíéñ, vágáméñté, él gótéró párá él éscéñáríó (príñcípál cárgá útíl más gráñdé). Támbíéñ pódríá sér él cárgádór dél éscéñáríó. Lás técñícás émpléádás dépéñdéráñ dé lá éválúácíóñ dél ríésgó dé détéccíóñ pór párté dél áctór dé áméñázás, támbíéñ cóñócídás cómó cóñsídérácíóñés dé ségúrídád ópérácíóñál.]

[Á déscárgádór és réspóñsáblé dé lá éxtráccíóñ dé úñá cárgá útíl dé úñá fúéñté rémótá, cómó úñ sérvídór wéb ó úñ sérvídór FTP. Éstó súélé sér á trávés dé Íñtérñét. Pór ló táñtó, úñ déscárgádór réqúérírá qúé sé íñtéñté álgúñá cóñéxíóñ dé réd párá llégár á lá fúéñté rémótá.]

[Á gótéró, pór ótró ládó, és él príñcípál réspóñsáblé dé éñtrégár ó déjár cáér úñá cárgá útíl éñ úñ sístémá dé víctímás. Pór ló táñtó, úñ déscárgádór támbíéñ púédé sér úñ gótéró, péró úñ gótéró púédé ñó sér ñécésáríáméñté úñ déscárgádór pórqúé úñ gótéró ýá púédé téñér lá cárgá útíl málícíósá íñcrústádá éñ él cómó árchívós éjécútáblés pórtátílés (PÉ) ó DLL. Éstós típós dé árchívós sé áñálízáráñ más ádéláñté. Lós gótérós sé útílízáñ cómúñméñté éñ lós átáqúés; éjémplós pópúlárés sóñ lós átáqúés á lá cádéñá dé súmíñístró Sólárwíñds ý Káséýá. Ámbós íñvólúcráróñ él úsó dé sóftwáré dé ágéñté dé próvéédór cómprómétídó útílízádó cómó dróppérs párá cárgás útílés málícíósás. Ésté últímó, síéñdó útílízádó pór él RéVíl ráñsómwáré grúpó.]

[Á cárgádórá és réspóñsáblé dé cóñfígúrár él sístémá dé lá víctímá párá éjécútár ótrá cárgá útíl málícíósá, éspécíálméñté éñ él cásó dé cárgás útílés dé sóló mémóríá. Éñ ésté cásó, lá cóñfígúrácíóñ sígñífícá gáráñtízár lá ásígñácíóñ dé éspácíó dé mémóríá ñécésáríá á méñúdó médíáñté lá íñýéccíóñ dé úñá DLL éñ él éspácíó dé mémóríá dé ótró prócésó ý lúégó cóñfígúrár lós pérmísós dé mémóríá córréctós. Á cóñtíñúácíóñ, él cárgádór láñzá lá cárgá útíl ó éjécútá lós súbprócésós ñécésáríós.‍]

[Técñí~cá 2: ÉX~É cár~gáñd~ó úñ á~rchí~vó DL~L]

[Lás cárgás útílés dé ráñsómwáré púédéñ éstár éñ fórmá dé úñ árchívó ÉXÉ ó úñ árchívó DLL. Á cóñtíñúácíóñ, ñós fíjámós éñ cómó úñ árchívó éjécútáblé dé Wíñdóws, támbíéñ cóñócídó cómó árchívó ÉXÉ, púédé cárgár ló qúé sé cóñócé cómó árchívó dé bíblíótécá dé víñcúlós díñámícós (DLL) párá ápróvéchár él códígó qúé cóñtíéñé.]

[ÉXÉ ý úñá DLL sóñ dós típós dé .Ñét éñsámblájés qúé cóñtíéñéñ íñstrúccíóñés dé códígó dé prógrámácíóñ dé cómpútádórás é íñfórmácíóñ ásócíádá (métádátós). Éstás íñstrúccíóñés ý métádátós sé éñsámbláñ júñtós éñ úñ úñícó árchívó résúltáñté: ÉXÉ ó DLL .Ñét móñtájé. Éstós dós típós dé árchívós pérmítéñ qúé él códígó dé prógrámácíóñ dé cómpútádórás séá éjécútádó (ÉXÉ) éñ úñ sístémá Wíñdóws ó álmácéñádó cómó úñ árchívó dé bíblíótécá (DLL) qúé lúégó púédé sér 'préstádó' ý léídó pór ótrós árchívós. Éñ él cásó dé úñá DLL, ésté prócésó és múý párécídó á cómó váríás pérsóñás púédéñ pédír préstádó él mísmó líbró dé úñá bíblíótécá éñ díféréñtés móméñtós párá léér sú cóñtéñídó. Éñ lá ségúñdá párté dé éstá séríé, éxplórárémós éstós dós éñsámblájés cóñ más détállé éñ rélácíóñ cóñ él .Ñét. márcó dé sóftwáré.]

[Pór áhórá, áqúí háý úñ éjémpló múý séñcílló párá démóstrár él úsó dé éstós dós típós dé .Ñét éñsámbládós: úñ éjécútáblé (ÉXÉ) qúé éjécútá sú própíó códígó ý lúégó cárgá ý léé códígó éxtérñó dé úñ árchívó DLL. Lúégó, él éjécútáblé pásá álgúñá éñtrádá ál códígó DLL cárgádó. Fíñálméñté, lá DLL útílízá lá éñtrádá récíbídá dél ÉXÉ párá móstrár úñ méñsájé ál úsúáríó qúé éjécútá lá áplícácíóñ. Á cóñtíñúácíóñ sé múéstrá él códígó éñ áccíóñ:]

[Éstá séñcíllá áplícácíóñ támbíéñ démúéstrá lá rélácíóñ éñtré ÉXÉ ý úñá DLL .Ñét ásámbléás. Ésté típó dé rélácíóñ és útílízádó légítímáméñté pór múchás áplícácíóñés ý sístémás ópérátívós (bíblíótécás cómpártídás), íñclúídó él própíó sístémá ópérátívó Wíñdóws. Wíñdóws émpáqúétá úñá gráñ cáñtídád dé sú própíó códígó cómó DLL párá qúé púédá sér cómpártídó pór díféréñtés áplícácíóñés.]

[Lá sígúíéñté ímágéñ múéstrá él códígó dé prógrámácíóñ táñtó párá ÉXÉ cómó párá DLL éñ él éjémpló áñtéríór. Él códígó sé éscríbé úsáñdó él léñgúájé dé prógrámácíóñ C #, qúé és úñó dé lós léñgúájés sópórtádós pór .Ñét. Éñ lá ímágéñ, lás référéñcíás dél códígó DLL éstáñ résáltádás párá él éñfásís:]

[Lás DLL sóñ úñ médíó éfícáz dé éscríbír úñ frágméñtó dé códígó úñá véz dé úñá máñérá qúé lúégó púédé sér útílízádá múchás vécés pór díféréñtés éjécútáblés cómó úñá bíblíótécá cómpártídá ó díñámícá. Cómó résúltádó dé éstó, támbíéñ és múý útílízádó pór múchás fámílíás dé málwáré ý ráñsómwáré. Técñícás cómó lá cárgá látérál dé DLL ý él sécúéstró dé DLL sóñ técñícás málícíósás cómúñés qúé ápróvécháñ lá rélácíóñ éñtré éstás .Ñét ásámbléás.‍]

[Técñí~cá 3: Ré~cóñ ý~ láñz~ámíé~ñtó v~ívíé~ñdó d~é lós~ bíñá~ríós~ térr~éstr~és‍]

[Cóñtíñúámós cóñ úñá cómbíñácíóñ dé técñícás ímpórtáñtés: lá cápácídád dé récópílár íñfórmácíóñ útíl sóbré úñ sístémá dé déstíñó (Díscóvérý) ý ál mísmó tíémpó láñzár ótrós bíñáríós ó éjécútáblés éñ ésé sístémá (Spáwñíñg). Éñ lá ímágéñ áqúí, ñúéstró éjécútáblé pérsóñálízádó íñícíál láñzá úñ éjécútáblé ñátívó ó bíñáríó éñ él sístémá Wíñdóws óbjétívó, móstráñdó úñ átáqúé dé Lívíñg óff thé láñd (LótL).]

[Él éjémpló múéstrá ñúéstrá áplícácíóñ C# íñícíál éjécútáñdósé ý lúégó prócédíéñdó á récópílár íñfórmácíóñ útíl sóbré él sístémá dé déstíñó, qúé sé múéstrá éñ él téxtó vérdé éñ lá sálídá. Óbsérvé lá íñfórmácíóñ dé lá úñídád qúé sé récópílá. Éstá íñfórmácíóñ púédé sér ápróvéchádá pór él ráñsómwáré párá ápúñtár á árchívós éñ éstás úñídádés ý lúégó sér éxfíltrádá áñtés dél cífrádó párá úñá démáñdá dé réscáté géñérálméñté élévádá.]

[Lá áplícácíóñ cóñtíñúá íñícíáñdó úñ éjécútáblé dél sístémá éxtérñó: lá líñéá dé cómáñdós dé Wíñdóws (cmd.éxé) éjécútáblé. Á cóñtíñúácíóñ, lá áplícácíóñ pérsóñálízádá pásá álgúñós cómáñdós dé Wíñdóws á Wíñdóws cmd.éxé prócésó párá móstrár (móstrádó éñ téxtó rójó), éñ ésté cásó lá íñfórmácíóñ dé vérsíóñ dél sístémá Wíñdóws. Éñ béñéfícíó dé ésté ártícúló, lá áplícácíóñ C# pérsóñálízádá múéstrá él résúltádó dé lás áccíóñés qúé réálízá ásí cómó íñfórmácíóñ sóbré él prócésó íñícíádó. Éstá cápácídád dé láñzár ótrás áplícácíóñés éxtérñás támbíéñ és útíl párá íñícíár prócésós dé víctímás ý évéñtúálméñté íñýéctár códígó málícíósó.]

[‍Técñí~cá 4: Có~dífí~cácí~óñ dé d~átós~‍]

[Ótrá técñícá útíl és lá códífícácíóñ dé dátós. Ésté és él prócésó dé úsár úñ álgórítmó párá répréséñtár dátós éñ úñá fórmá díféréñté. Pór éjémpló, úñ típó dé códífícácíóñ, básé64, sé úsá légítímáméñté éñ álgúñás sólícítúdés wéb párá pásár dátós dé ídá ý vúéltá, cómó lá áútórízácíóñ HTTP ý lá áútéñtícácíóñ básícá éñ lás llámádás ÁPÍ. Síñ émbárgó, él mísmó éjémpló dé códífícácíóñ básé64 támbíéñ púédé áýúdár á ócúltár cíértó téxtó ý cómáñdós útílízádós pór úñ prógrámá málícíósó ó cárgá útíl. Sé púédé úsár párá ófúscár pártés dél códígó, cómó ÚRL dé dévólúcíóñ dé llámádá ó úñ árchívó. Tál técñícá sé múéstrá á cóñtíñúácíóñ éñ ñúéstró prógrámá íñdépéñdíéñté C#.]

[Éñ ésté éjémpló éspécífícó dé áplícácíóñ, él códígó tómá álgúñ téxtó qúé éñ ésté cásó és lá ÚRL”https://lístéñér.málwáré.bád”, ló cóñvíérté éñ úñá mátríz dé býtés dé cómpútádórá ý lúégó éjécútá él álgórítmó dé códífícácíóñ básé64 éñ lós býtés párá cóñvértírló ál téxtó ÁSCÍÍ álfáñúmérícó dé”ÁHR0CHM6LÝ9SÁXÑ0ZW5LCÍ5TýWX3ÝXJLLmJHzá==” qúé sé múéstrá débájó dé lá séccíóñ códífícádór dé lá páñtállá dé lá áplícácíóñ áñtéríór. Ésté prócésó sé púédé révértír prógrámátícáméñté párá récúpérár él téxtó órígíñál cómó sé múéstrá éñ lá séccíóñ décódífícádór. Ál hácérló, lá ÚRL sé ócúltá á pléñá vístá ý ñó sé púédé détérmíñár dé íñmédíátó ló qúé és: úñá ÚRL málícíósá.]

[‍Técñí~cá 5: Cí~frád~ó‍]

[Pór últímó, ñós fíjámós éñ él cífrádó. Éñcríptár árchívós éñ úñ sístémá cómprómétídó és dé ló qúé ráñsómwáré sé há cóñvértídó éñ síñóñímó. Dé ñúévó, éstá és úñá cápácídád légítímá párá áségúrár lós dátós éñ répósó qúé, cómó lá máýóríá dé lás ótrás técñícás, sé há útílízádó cóñ fíñés málícíósós éñ ráñsómwáré.]

[Éñ él~ sígú~íéñt~é éjé~mpló~, téñé~mós ú~ñá áp~lícá~cíóñ d~é cíf~rádó~ C#. Prí~méró~ hácé~ úñá c~ópíá~ dél á~rchí~vó dé~stíñ~ádó á~l cíf~rádó~ ý lúé~gó éñ~críp~tá lá~ cópí~á, déj~áñdó~ íñtá~ctó é~l órí~gíñá~l.]

[Áqúí, é~l cóñ~téñí~dó ór~ígíñ~ál dé~l árc~hívó~ óríg~íñál~, Dátá~1.txt, s~é cóp~íáñ é~ñ ótr~ó árc~hívó~, Dátá~1-Éñcr~ýpté~d.txt~, ý lúé~gó és~té ñú~évó á~rchí~vó sé~ éñcr~íptá~.]

[Él cífrádó és úñá dé lás príñcípálés técñícás útílízádás pór él ráñsómwáré ý cóñstítúýé lá básé párá máñtéñér sístémás cómprómétídós párá óbtéñér úñ réscáté. Támbíéñ púédé sér útíl párá ócúltár cárgás útílés dé málwáré ó cárgádórés éñ tráñsító ó éñ répósó párá évádír lá détéccíóñ.]

[Léá l~á pár~té 2 dé~ lá sé~ríé é~l 22 dé m~áýó]

[Él pr~óxímó~ ártíc~úló é~xpló~rárá l~á .Ñét~ márc~ó dé s~óftw~áré ý~ léñg~úájé~ dé pr~ógrá~mácí~óñ C# ás~ócíá~dó có~mó ré~féré~ñcíá~ párá~ álgú~ñás d~é lás~ táctí~cás ý~ técñí~cás q~úé sé~ múés~tráñ~ áqúí ý~ cómó s~é fác~ílít~áñ éñ~ últím~á íñs~táñc~íá.]

[Más íñ~fórm~ácíóñ~ ácér~cá dé~ cómó l~á Ség~méñt~ácíóñ~ dé có~ñfíá~ñzá c~éró d~é Íll~úmíó~ púéd~é áýú~dárl~é á có~ñtéñ~ér lá~s bré~chás~ dé rá~ñsóm~wáré~.
]