Energía negra

Kit de herramientas para generar malware

El malware BlackEnergy se informó por primera vez en 2007 como un conjunto de herramientas basado en HTTP que generaba bots para ejecutar ataques distribuidos de denegación de servicio ^{. [1]} Fue creado por el hacker ruso Dmyrtro Oleksiuk alrededor de 2007. Oleksiuk también utilizó el alias Cr4sh . ^[2] En 2010, BlackEnergy 2 surgió con capacidades más allá de DDoS. En 2014, BlackEnergy 3 vino equipado con una variedad de complementos . ^[3] A un grupo con sede en Rusia conocido como Sandworm (también conocido como Voodoo Bear) se le atribuye el uso de ataques dirigidos de BlackEnergy. El ataque se distribuye a través de un documento de Word o un archivo adjunto de PowerPoint en un correo electrónico, atrayendo a las víctimas para que hagan clic en el archivo aparentemente legítimo. ^[4]

Energía negra 1 (BE1)

El código de BlackEnergy facilita distintos tipos de ataques para infectar las máquinas objetivo. También está equipado con scripts del lado del servidor que los perpetradores pueden desarrollar en el servidor de comando y control (C&C). Los cibercriminales utilizan el kit de herramientas de creación de bots BlackEnergy para generar archivos ejecutables de cliente de bot personalizados que luego se distribuyen a los objetivos a través de campañas de correo electrónico no deseado y de phishing . ^[5] BE1 carece de las funcionalidades de explotación y depende de herramientas externas para cargar el bot. ^[6] BlackEnergy se puede detectar utilizando las firmas YARA proporcionadas por el Departamento de Seguridad Nacional de los Estados Unidos (DHS).

Características principales

^[6]

• Puede apuntar a más de una dirección IP por nombre de host
• Tiene un cifrador en tiempo de ejecución para evadir la detección del software antivirus.
• Oculta sus procesos en un controlador del sistema (syssrv.sys)

Tipos de comandos

• Comandos de ataque DDoS (por ejemplo, inundación ICMP, inundación TCP SYN, inundación UDP, inundación HTTP GET, inundación DNS, etc.) ^{[1] [ aclaración necesaria ]}
• Descargue comandos para recuperar y ejecutar ejecutables nuevos o actualizados desde su servidor
• Comandos de control (por ejemplo, detenerse, esperar o morir)

Energía negra 2 (BE2)

BlackEnergy 2 utiliza sofisticadas técnicas de inyección de rootkits y procesos, un cifrado robusto y una arquitectura modular conocida como "dropper". ^[7] Esto descifra y descomprime el binario del controlador del rootkit y lo instala en la máquina víctima como un servidor con un nombre generado aleatoriamente. Como actualización de BlackEnergy 1, combina el código fuente de rootkits más antiguo con nuevas funciones para desempaquetar e inyectar módulos en los procesos del usuario. ^[7] El contenido empaquetado se comprime utilizando el algoritmo LZ77 y se cifra utilizando una versión modificada del cifrado RC4 . Una clave de 128 bits codificada de forma rígida descifra el contenido incrustado. Para descifrar el tráfico de red, el cifrado utiliza la cadena de identificación única del bot como clave. Una segunda variación del esquema de cifrado/compresión agrega un vector de inicialización al cifrado RC4 modificado para protección adicional en el dropper y el stub de desempaquetado del rootkit, pero no se utiliza en el rootkit interno ni en los módulos del espacio de usuario. La modificación principal en la implementación de RC4 en BlackEnergy 2 radica en el algoritmo de programación de claves. ^[7]

Capacidades

• Puede ejecutar archivos locales
• Puede descargar y ejecutar archivos remotos
• Se actualiza a sí mismo y a sus complementos con servidores de comando y control.
• Puede ejecutar comandos de morir o destruir.

Energía negra 3 (BE3)

La última versión completa de BlackEnergy apareció en 2014. Los cambios simplificaron el código del malware: el instalador de esta versión coloca el componente principal de la biblioteca vinculada dinámicamente (DLL) directamente en la carpeta de datos de la aplicación local. ^[8] Esta variante del malware estuvo involucrada en el ciberataque a la red eléctrica de Ucrania en diciembre de 2015. [ ^9]

Complementos

^[3]

• fs.dll — Operaciones del sistema de archivos
• si.dll — Información del sistema, “BlackEnergy Lite”
• jn.dll — Infector parasitario
• ki.dll — Registro de pulsaciones de teclas
• ps.dll — Ladrón de contraseñas
• ss.dll — Capturas de pantalla
• vs.dll : detección de red, ejecución remota
• tv.dll — Visor de equipos
• rd.dll : un pseudo-escritorio remoto simple
• up.dll — Actualizar malware
• dc.dll — Lista de cuentas de Windows
• bs.dll : consulta información sobre hardware del sistema, BIOS y Windows
• dstr.dll — Destruye el sistema
• scan.dll — Escaneo de red

Referencias

1. Nazario, Jose (octubre de 2007). «BlackEnergy DDoS Bot Analysis» (PDF) . Arbor Networks . Archivado desde el original (PDF) el 21 de febrero de 2020. Consultado el 17 de abril de 2019 .
2. Greenberg, Andy (2019). Sandworm: una nueva era de ciberguerra y la caza de los hackers más peligrosos del Kremlin . Nueva York: Doubleday. ISBN 978-0-385-54440-5.
3. "El troyano BlackEnergy actualizado se vuelve más poderoso - Blogs de McAfee". 14 de enero de 2016.
4. "Detalles sobre las campañas de PowerPoint de BlackEnergy de agosto". 4 de octubre de 2014.
5. "BlackEnergy APT Malware - Enlace RSA". community.rsa.com . 23 de marzo de 2016.
6. Khan, Rafiullah; Maynard, Peter; McLaughlin, Kieran; Laverty, David M.; Sezer, Sakir (1 de octubre de 2016). Análisis de amenazas del malware BlackEnergy para el control y la supervisión en tiempo real basados ​​en sincrofasores en redes inteligentes (PDF) . Actas del 4.º Simposio internacional de investigación en ciberseguridad de ICS y SCADA 2016. doi :10.14236/ewic/ICS2016.7. Archivado desde el original (PDF) el 20 de octubre de 2016 . Consultado el 5 de noviembre de 2022 .
7. Joe Stewart (3 de marzo de 2010). "Análisis de amenazas de BlackEnergy versión 2". www.secureworks.com .
8. "Informe ThreatSTOP: BlackEnergy" (PDF) . threatstop.com . 7 de marzo de 2016. Archivado (PDF) del original el 28 de mayo de 2022 . Consultado el 5 de noviembre de 2022 .
9. Cherepanov A., Lipovsky R. (7 de octubre de 2016). "BlackEnergy: lo que realmente sabemos sobre los infames ataques cibernéticos" (PDF) .