Phirautee PoC Criptovirus Concienciar Usuarios Ataques
Phirautee PoC Criptovirus Concienciar Usuarios Ataques

Phirautee: PoC de Criptovirus para Concienciar Usuarios sobre Ataques

Una prueba de concepto de criptovirus para concienciar a los usuarios sobre los ataques y las implicaciones de los ransomwares. Phirautee está escrito exclusivamente con PowerShell y no requiere ninguna biblioteca de terceros. Esta herramienta roba la información, retiene los datos de una organización como rehén a cambio de pagos o encripta/borra permanentemente los datos de la organización.

Phirautee es un ransomware de tipo Living off the Land (LotL), lo que significa que utiliza comandos y operaciones legítimas de PowerShell para trabajar contra el sistema operativo.

Capturas de pantalla

Ventana emergente de rescate:

Pop-up de Ransomware
Pop-up de Ransomware

Fondo de escritorio tras una infección exitosa:

Fondo de Pantalla Ransomware

Presentación de DEF CON

Ver presentación completa aquí.

Presentación DEF CON

Aviso legal

Aviso Legal

Este proyecto no debe ser usado para propósitos ilegales o para hackear sistemas donde no se tiene permiso, es estrictamente para propósitos educativos y para que la gente experimente.

  • Realizar cualquier intento de hackeo o prueba sin el permiso por escrito del propietario del sistema informático es ilegal.
  • Si recientemente has sufrido una brecha o has sido objetivo de un ransomware y has encontrado técnicas o herramientas ilustradas en esta presentación similares, esto no incrimina mi participación de ninguna manera, ni implica ninguna conexión entre yo y los atacantes.
  • Las herramientas y técnicas siguen siendo universales y los probadores de penetración y los consultores de seguridad las utilizan a menudo durante los compromisos.
  • El proyecto Phirautee no debe utilizarse con fines ilegales. Es estrictamente para fines educativos y de investigación y para que la gente experimente.

DEF CON 28 Modo Seguro

En los últimos años, el ransomware se ha vuelto salvaje y organizaciones de todo el mundo están siendo atacadas, lo que ha provocado daños e interrupciones. Como todos sabemos, el panorama de las amenazas está cambiando rápidamente y oímos hablar de la infección por ransomware en las oficinas o lo leemos en las noticias. ¿Te has preguntado alguna vez cómo escriben los actores de las amenazas los ransomwares? ¿Qué nivel de sofisticación y comprensión se requiere para atacar a una organización? En esta demostración, utilizaremos los comandos nativos de Windows para crear un ransomware y atacar un host mediante phishing.

Presentamos Phirautee, una prueba de concepto de criptovirus para concienciar a los usuarios sobre los ataques y las implicaciones de los ransomwares. Phirautee está escrito exclusivamente con PowerShell y no requiere ninguna biblioteca de terceros. Esta herramienta roba la información, retiene los datos de una organización como rehén a cambio de pagos o cifra/elimina permanentemente los datos de la organización. La herramienta utiliza criptografía de clave pública para cifrar los datos en el disco. Antes de cifrarlos, exfiltra los archivos de la red al atacante. Una vez encriptados y exfiltrados los archivos, los archivos originales se borran permanentemente del host y entonces la herramienta pide un rescate.

El rescate se pide utilizando la criptomoneda para los pagos, por lo que las transacciones son más difíciles de rastrear para las fuerzas del orden. Durante la demostración de Phirautee, verás una cadena de ataque completa, es decir, desde la recepción del ataque de ransomware a través de un correo electrónico de phishing y cómo los archivos se cifran en los sistemas comprometidos. Se proporcionará un recorrido detallado del código fuente para entender cómo los hackers utilizan métodos simples para crear algo peligroso. Terminaré la demostración con varios mecanismos de defensa realizando un análisis forense de Phirautee utilizando herramientas disponibles públicamente.

Introducción a Phirautee

  • Phirautee es una herramienta de prueba de concepto de ransomware escrita exclusivamente con PowerShell.
  • Utiliza comandos de Living off the Land (LotL) para trabajar contra el sistema operativo y cifrar los archivos de la máquina.
  • Esta herramienta puede utilizarse durante las pruebas de penetración de la infraestructura interna o durante el ejercicio del equipo rojo para validar la respuesta del equipo azul/SOC a los ataques de rescate.
  • Utiliza la criptografía de clave pública para cifrar el contenido del usuario y exfiltra los archivos grandes a través de Google Drive.
  • Si el ataque tiene éxito, el ransomware pide un pago de 0,10 BTC (~1k USD).
  • Detección:
    • La extensión de los archivos encriptados se cambia a “.phirautee”
    • El fondo de escritorio del host comprometido se cambia por el fondo Phirautee
    • El escritorio tendrá el archivo Phirautee.txt

Configuración del ataque Phirautee

  • Servidor y dominio de phishing para dirigirse a una organización.
  • Servidor de correo electrónico para enviar documentos maliciosos como archivo adjunto al usuario objetivo.
  • Archivo macro incrustado como adjunto al usuario que extrae el ransomware del servidor remoto a la máquina objetivo y lo ejecuta en una memoria.
  • Modifica un par de parámetros en el archivo del ransomware para utilizarlo en tu caso de uso.
  • Para la exfiltración de datos::
    • Cuenta de Gmail desechable
    • Acceso de la API de Gmail a un Google Drive desechable
    • Configuración de la aplicación web en el Google

Pasos para configurar la exfiltración de datos mediante Google Drive

Google ofrece una API REST a la que se puede acceder a través de PowerShell para realizar operaciones en los archivos como la subida, la descarga y la eliminación. La API REST te permite aprovechar el almacenamiento de Google Drive desde tu aplicación.

Configurar exfiltración datos con Google Drive

Sigue los siguientes pasos para realizar la exfiltración a través del ransomware phirautee.

  • Paso 1: Visita esto
  • Paso 2: Haz clic en “CREAR PROYECTO“.
  • Paso 3: Una vez creado el proyecto, habilita la API de Google Drive haciendo clic en “Habilitar APIS Y SERVICIOS“.
  • Paso 4: Localiza las APIs relacionadas con Google Drive en la Biblioteca AOI:
  • Paso 5: Una vez localizada habilita la API. Esto permitirá el acceso a varias operaciones a través de Google Drive.
  • Paso 6: Después de habilitar el acceso a la API haga clic en el botón “Crear credenciales”.
  • Paso 7: Ahora crea las credenciales OAuth Client ID
  • Paso 8: Selecciona Aplicación Web como tipo de producto y configura la URI de redirección autorizada a esta URL
Authorized redirect URI
Authorized redirect URI
  • Paso 9: Guarda tu ID de cliente y tu secreto. Si no lo haces, siempre puede acceder a las credenciales en APIs & Services. Ahora dirígete aquí.
  • Paso 10: Haz clic en el icono del engranaje y marca la opción “Usar tus propias credenciales OAuth“.
Usar propias credenciales OAuth
Usar propias credenciales OAuth
  • Paso 11: Autoriza la API (ver aquí) y luego haz clic en “Intercambiar código de autorización para tokens“. Esto debería dar 200 OK en la respuesta. Asegúrate de guardar tu token de acceso de actualización. Lo necesitaremos en el Phirautee para subir archivos de gran tamaño a la cuenta de Google desechable.

Uso de claves simétricas y servicio SMTP anónimo

  • Phirautee utiliza dos claves simétricas únicas
    • Una para la clave privada del certificado que se genera en la máquina del usuario.
    • La otra para subir los datos exfiltrados a Google Drive
  • Las claves privadas se envían a Pokemail como archivos encriptados en zip.
  • Phirautee utiliza los servicios de Pokemail para distribuir la infraestructura de ataque creando una dirección de correo electrónico aleatoria basada en la ubicación.
Phirautee y Pokemail
Phirautee y Pokemail
Ubicación con Pokemail
Ubicación con Pokemail
  • Utiliza una clave RSA de 2048 bits para cifrar los archivos de la máquina infectada.
  • La clave privada del certificado se envía al atacante utilizando un secreto pre-compartido, también conocido como clave simétrica.

IoCs para Phirautee

Rutas de los archivos:
C:\temp\cert.cer
c:\temp\sys.txt
c:\temp\backup.zip
c:\temp\sys1.txt
c:\temp\steal.zip
C:\users\$env:USERNAME\PhirauteeBackground-3.jpg

MD5s:
77EA9D33D144072F7B35C10691124D16
4E123FF3A7833F0C8AC6F749D337444D

Dominios utilizados para exfil:
https://smtp.pokemail.net
https://www.googleapis.com
https://accounts.google.com
https://raw.githubusercontent.com 

Archivos de registro:
HKCU:\Control Panel\Desktop

Estrategias de mitigación

  • Segmentación de la red y detección de movimientos laterales. Sigue el principio de acceso con mínimos privilegios o restringe el acceso a los servidores sensibles. Hacer uso de MFA en todos los portales importantes.
  • Desactivar PowerShell para los usuarios de dominio estándar y realizar listas blancas de aplicaciones.
  • Realizar copias de seguridad frecuentes en toda la red (si es posible, sin conexión).
  • Aplicar parches y tener un programa de gestión de vulnerabilidades.
  • Disponer de un equipo dedicado a la respuesta a incidentes y desarrollar un plan para eventos de ransomware.
  • Invertir en un buen producto IDS/IPS/EDR/AV/CASB.
  • Validar la eficacia de tus herramientas y tecnologías de defensa mediante ejercicios ofensivos previamente aprobados.
  • Organiza sesiones de formación sobre phishing y usuarios para tus empleados.
  • Disponer de un ciberseguro que te ayude a cubrir los costes en caso de que tenga que pagar el rescate. Además, haga revisar tus pólizas de seguro para asegurarte de que no hay agujeros.
  • Pide ayuda a los federales locales para obtener las claves de descifrado.
Dark Mode

Phirautee (este enlace se abre en una nueva ventana) por Viralmaniar (este enlace se abre en una nueva ventana)

A proof of concept crypto virus to spread user awareness about attacks and implications of ransomwares. Phirautee is written purely using PowerShell and does not require any third-party libraries. This tool steals the information, holds an organisation’s data to hostage for payments or permanently encrypts/deletes the organisation data.

Más artículos
GNU Parallel Ejecutar comandos simultáneamente Linux
GNU Parallel: Ejecutar comandos simultáneamente en Linux