Energía Negra

Kit de herramientas para generar malware

BlackEnergy Malware se informó por primera vez en 2007 como un conjunto de herramientas basado en HTTP que generaba bots para ejecutar ataques distribuidos de denegación de servicio . ^[1] En 2010, BlackEnergy 2 surgió con capacidades más allá de DDoS. En 2014, BlackEnergy 3 vino equipado con una variedad de complementos . ^[2] A un grupo con sede en Rusia conocido como Sandworm (también conocido como Voodoo Bear) se le atribuye el uso de ataques dirigidos a BlackEnergy. El ataque se distribuye a través de un documento de Word o un archivo adjunto de PowerPoint en un correo electrónico, incitando a las víctimas a hacer clic en el archivo aparentemente legítimo. ^[3]

Energía Negra 1 (BE1)

El código de BlackEnergy facilita diferentes tipos de ataques para infectar las máquinas objetivo. También está equipado con scripts del lado del servidor que los perpetradores pueden desarrollar en el servidor de comando y control (C&C). Los ciberdelincuentes utilizan el kit de herramientas de creación de bots de BlackEnergy para generar archivos ejecutables de clientes de bots personalizados que luego se distribuyen a los objetivos a través de correos electrónicos no deseados y campañas de phishing . ^[4] BE1 carece de funcionalidades de explotación y depende de herramientas externas para cargar el bot. ^[5] BlackEnergy se puede detectar utilizando las firmas YARA proporcionadas por el Departamento de Seguridad Nacional de los Estados Unidos (DHS).

Características clave

^[5]

• Puede apuntar a más de una dirección IP por nombre de host
• Tiene un cifrado en tiempo de ejecución para evadir la detección del software antivirus.
• Oculta sus procesos en un controlador del sistema (syssrv.sys)

Tipos de comando

• Comandos de ataque DDoS (por ejemplo, inundación ICMP, inundación TCP SYN, inundación UDP, inundación HTTP get, inundación DNS, etc.) ^{[1] [ se necesita aclaración ]}
• Descargue comandos para recuperar e iniciar ejecutables nuevos o actualizados desde su servidor
• Comandos de control (por ejemplo, detener, esperar o morir)

Energía Negra 2 (BE2)

BlackEnergy 2 utiliza sofisticadas técnicas de inyección de procesos/ rootkits , cifrado robusto y una arquitectura modular conocida como "cuentagotas". ^[6] Esto descifra y descomprime el binario del controlador rootkit y lo instala en la máquina víctima como un servidor con un nombre generado aleatoriamente. Como actualización de BlackEnergy 1, combina el código fuente de rootkit más antiguo con nuevas funciones para descomprimir e inyectar módulos en los procesos del usuario. ^[6] El contenido empaquetado se comprime utilizando el algoritmo LZ77 y se cifra utilizando una versión modificada del cifrado RC4 . Una clave codificada de 128 bits descifra el contenido incrustado. Para descifrar el tráfico de la red, el cifrado utiliza la cadena de identificación única del bot como clave. Una segunda variación del esquema de cifrado/compresión añade un vector de inicialización al cifrado RC4 modificado para una protección adicional en el dropper y el código auxiliar de descompresión del rootkit, pero no se utiliza en el rootkit interno ni en los módulos del espacio de usuario. La principal modificación en la implementación RC4 en BlackEnergy 2 radica en el algoritmo de programación de claves. ^[6]

Capacidades

• Puede ejecutar archivos locales
• Puede descargar y ejecutar archivos remotos
• Se actualiza a sí mismo y sus complementos con servidores de comando y control.
• Puede ejecutar comandos de morir o destruir

Energía Negra 3 (BE3)

La última versión completa de BlackEnergy surgió en 2014. Los cambios simplificaron el código de malware: el instalador de esta versión coloca el componente principal de la biblioteca vinculada dinámicamente (DLL) directamente en la carpeta de datos de la aplicación local. ^[7] Esta variante del malware estuvo involucrada en el ciberataque a la red eléctrica de Ucrania en diciembre de 2015 . ^[8]

Complementos

^[2]

• fs.dll : operaciones del sistema de archivos
• si.dll : información del sistema, “BlackEnergy Lite”
• jn.dll — Infectador parásito
• ki.dll : registro de pulsaciones de teclas
• ps.dll : ladrón de contraseñas
• ss.dll — Capturas de pantalla
• vs.dll : descubrimiento de red, ejecución remota
• tv.dll — Visor de equipos
• rd.dll : pseudo “escritorio remoto” simple
• up.dll : actualización de malware
• dc.dll : lista de cuentas de Windows
• bs.dll : consulta el hardware del sistema, la BIOS y la información de Windows
• dstr.dll - Destruye el sistema
• scan.dll : escaneo de red

Referencias

1. Nazario, José (octubre de 2007). "Análisis del bot BlackEnergy DDoS" (PDF) . Redes de cenadores . Archivado desde el original (PDF) el 21 de febrero de 2020 . Consultado el 17 de abril de 2019 .
2. "El troyano BlackEnergy actualizado se vuelve más potente - Blogs de McAfee". 14 de enero de 2016.
3. "Detalles sobre las campañas de PowerPoint de BlackEnergy de agosto". 4 de octubre de 2014.
4. "Malware BlackEnergy APT: enlace RSA". comunidad.rsa.com . 23 de marzo de 2016.
5. Khan, Rafiullah; Maynard, Pedro; McLaughlin, Kieran; Laverty, David M.; Sezer, Sakir (1 de octubre de 2016). Análisis de amenazas del malware BlackEnergy para control y monitoreo en tiempo real basado en sincrofasores en redes inteligentes (PDF) . Actas del 4º Simposio Internacional de Investigación en Seguridad Cibernética ICS y SCADA 2016. doi :10.14236/ewic/ICS2016.7. Archivado desde el original (PDF) el 20 de octubre de 2016 . Consultado el 5 de noviembre de 2022 .
6. Joe Stewart (3 de marzo de 2010). "Análisis de amenazas de BlackEnergy versión 2". www.secureworks.com .
7. "Informe ThreatSTOP: BlackEnergy" (PDF) . amenazasstop.com . 7 de marzo de 2016. Archivado (PDF) desde el original el 28 de mayo de 2022 . Consultado el 5 de noviembre de 2022 .
8. Cherepanov A., Lipovsky R. (7 de octubre de 2016). "BlackEnergy: lo que realmente sabemos sobre los notorios ciberataques" (PDF) .