Bienvenido a Tecnohackers

Tecnohackers » Hacking y Seguridad » Seguridad Informatica
 » 

Evitar Infectarse Con Archivos JS Adjuntos y Ransomware



Autor Tema: Evitar Infectarse Con Archivos JS Adjuntos y Ransomware  (Leído 406 veces)

Conectado zolo

  • Consigliere
  • Master
  • *****
  • Mensajes: 22819
  • Un Mes, Un Año o Toda Una Vida, Da Igual, Estare
Evitar Infectarse Con Archivos JS Adjuntos y Ransomware
« en: Abril 01, 2016, 08:16:59 am »
Desde hace un par de semanas el malware conocido como JS/Nemucod o JS/Locky se ha popularizado a través de campaña de spam que propaga archivos comprimidos ZIP y RAR con archivos JS (Javascript). Este JS posteriormente descarga y ejecuta un troyano que suele ser un ransomware, variantes de Locky, TeslaCrypt, Rowti, Fareit, Ursnif o cualquier otro de moda.

En la siguiente imagen se puede ver el archivo RAR adjunto y el achivo JS ofuscado, para dificultar su análisis:



Como puede verse, el usuario debe descomprimir el ZIP/RAR y ejecutar el archivo JS para que este descargue y ejecute el malware.

Más allá del motivo inexplicable de porque un usuario haría tal cosa, lo cierto es que el éxito de Nemucod/Locky queda en evidencia al analizar el crecimiento de la cantidad de infecciones con ransomware, sobre todo de distintas versiones de Locky y Tesla.

El archivo JS desofuscado finalmente se conecta a un servidor remoto y descarga el archivo EXE del troyano. Luego, lo ejecuta automáticamente y este comienza el cifrado de todos los documentos del usuario.

En este caso los dominios desde donde se descarga el EXE pueden ser You are not allowed to view links. Register or Login[ELIMINADO].ir o You are not allowed to view links. Register or Login[ELIMINADO].tk/76g8h8y7. El archivo JS es detectado por varios antivirus, al igual que el ejecutable (60% aproximadamente).

Pero, llegada esta instancia, si que el archivo JS es ejecutado haciendo doble clic, pocas son las medidas de seguridad que pueden funcionar para protegerlo.

La pregunta es, ¿ qué sucede al hacer doble clic sobre el archivo JS ? ¿ Se puede evitar ?
Al hacer doble clic sobre un archivo VBS/JS, Windows por defecto ejecuta la aplicación Windows Based



Como el nombre de la aplicación no dice nada, es necesario saber que se trata del c:\windows\system32\wscript.exe. Para evitar que este archivo se ejecute, y por lo tanto tampoco se ejecute el JS descargado, basta con cambiar la aplicación por defecto y, por ejemplo hacer que el responsable de abrir los archivos Javascript y Visualscript sea el bloc de notas (notepad.exe)

Además y como un punto adicional también se puede evitar que se ejecuten wscript.exe y cscript.exe (su hermano de línea de comandos). Para ello, simplemente hay que eliminar el permiso de ejecución de dichos archivos.

Ante todo, se debe cambiar el dueño de dichos archivos ya que el dueño por defecto es "TrustedInstaller". El nuevo dueño debe ser el usuario actual (el que se encuentra logueado) o un administrador local. Una vez cambiado el dueño, simplemente se debe eliminar el permiso de "Ejecución" y dejar sólo el permiso de "Lectura".



La siguiente alternativa (más prolija) es desactivar WSH a través de la siguiente clave de registro:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows Script Host\Settings - Enabled = 0

El mismo efecto se puede lograr a través de Software Restriction Policies de Windows.

Ya sea que se hayan quitado los permisos al archivo ejecutable o se haya deshabilitado WSH a través del registro, al intentar abrir un VBS/JS, el resultado será el siguiente:



En el caso de trabajar en una organización con Active Directory (AD), este bloqueo se puede aplicar directamente sobre el dominio, a todos los usuarios del mismo y a través de una política de grupo. Se puede utilizar el Editor de Directivas Local para crear la restricción sobre los archivos ejecutables de WSH.

Es decir que en este caso el administrador del AD puede decidir bloquear los scripts de modo que, si un usuario "desorientado" hace doble clic sobre un VBS/JS, no se ejecuten y reciban la alerta correspondiente.

Nota final: por las dudas y por si todo lo anterior falla, puedes utilizar estas herramientas, o seguir estos consejos y, en el Día Mundial del Backup, procede a realizar una copia de seguridad de tus archivos

Fuente: Cristian / Segu-Info
You are not allowed to view links. Register or Login

Tags:
Tags:

 


SMF 2.0.11 | SMF © 2015, Simple Machines
Paginas Afiliadas
Twitter - FaceBook - Daraxblog
Designed by Smf Personal