{"id":2540,"date":"2021-01-29T08:49:50","date_gmt":"2021-01-29T13:49:50","guid":{"rendered":"https:\/\/cert.pa\/?p=2540"},"modified":"2021-01-29T08:49:50","modified_gmt":"2021-01-29T13:49:50","slug":"raccine-sencilla-proteccion-contra-ransomware","status":"publish","type":"post","link":"https:\/\/cert.pa\/?p=2540","title":{"rendered":"Raccine: sencilla protecci\u00f3n contra ransomware"},"content":{"rendered":"\n<p>Muchas\nfamilias de ransomware intentan mediante vssadmin borrar todas las shadow\ncopies del sistema. las instant\u00e1neas que va tomando Windows para poder volver a\nun punto de restauraci\u00f3n en caso necesario. Es decir, intentan que la v\u00edctima\nno pueda tirar de ning\u00fan backup. \u00bfQu\u00e9 pasar\u00eda si pudi\u00e9ramos interceptar ese\nintento y terminar el proceso que lo invoca? Pues esto es lo que hace la\nherramienta Raccine desarrollada por Florian Roth.<\/p>\n\n\n\n<figure class=\"wp-block-image\"><img loading=\"lazy\" decoding=\"async\" width=\"520\" height=\"538\" src=\"https:\/\/cert.pa\/wp-content\/uploads\/2021\/01\/1.png\" alt=\"\" class=\"wp-image-2541\" srcset=\"https:\/\/cert.pa\/wp-content\/uploads\/2021\/01\/1.png 520w, https:\/\/cert.pa\/wp-content\/uploads\/2021\/01\/1-290x300.png 290w\" sizes=\"auto, (max-width: 520px) 100vw, 520px\" \/><\/figure>\n\n\n\n<p>Funcionamiento<\/p>\n\n\n\n<ul class=\"wp-block-list\"><li>Se\nintercepta la llamada a vssadmin.exe (y wmic.exe) y se pasa a raccine.exe como\ndebugger (vssadmin.exe delete shadows se convierte en raccine.exe vssadmin.exe\ndelete shadows)<\/li><li>Luego\nse procesan los argumentos de la l\u00ednea de comandos y se buscan combinaciones\nmaliciosas usando reglas de Yara.<\/li><li>Si\nno se puede encontrar una combinaci\u00f3n maliciosa, se crea un nuevo proceso con\nlos par\u00e1metros originales de la l\u00ednea de comandos.<\/li><li>Si\nse encuentra una combinaci\u00f3n maliciosa, se recopilan todos los PID de los\nprocesos principales y comienza a matarlos. Raccine muestra una ventana de\nl\u00ednea de comandos con los PID eliminados durante 5 segundos, lo loggea en el\nregistro de eventos de Windows y luego sale.<\/li><\/ul>\n\n\n\n<p>Ventajas<\/p>\n\n\n\n<ul class=\"wp-block-list\"><li>El\nm\u00e9todo es bastante gen\u00e9rico.<\/li><li>No\ntenemos que reemplazar un archivo de sistema (vssadmin.exe o wmic.exe), lo que\npodr\u00eda ocasionar problemas de integridad y podr\u00eda romper nuestra vacuna cada\nvez que se parchee<\/li><li>Permite\nusar reglas YARA para buscar par\u00e1metros maliciosos en la l\u00ednea de comandos<\/li><li>Los\ncambios son f\u00e1ciles de deshacer<\/li><li>Se\nejecuta en Windows 7\/Windows 2008 R2 o superior<\/li><li>No\nse requiere un ejecutable en ejecuci\u00f3n o un servicio adicional (sin agente)<\/li><\/ul>\n\n\n\n<p>Desventajas\/Puntos\nciegos<\/p>\n\n\n\n<ul class=\"wp-block-list\"><li>El\nuso leg\u00edtimo de vssadmin.exe para eliminar shadow copies (o cualquier otra\ncombinaci\u00f3n blacklisteada) ya no es posible<\/li><li>Elimina\ntodos los procesos que intentaron invocar vssadmin.exe, lo que podr\u00eda ser un\nproceso de copia de seguridad (falso positivo)<\/li><li>Esto\nno detectar\u00e1 m\u00e9todos en los que el proceso malicioso no sea uno de los procesos\nen el \u00e1rbol que ha invocado vssadmin.exe (por ejemplo, a trav\u00e9s de schtasks)<\/li><\/ul>\n\n\n\n<p>Combinaciones\nmaliciosas<\/p>\n\n\n\n<ul class=\"wp-block-list\"><li>delete\ny shadows (vssadmin, diskshadow)<\/li><li>resize y shadowstorage (vssadmin)<\/li><li>delete y shadowstorage (vssadmin)<\/li><li>delete\ny shadowcopy (wmic)<\/li><li>delete\ny catalog y -quiet (wbadmin)<\/li><li>win32_shadowcopy\no element de una lista de conandos encodeados (powershell)<\/li><li>recoveryenabled\n(bcedit)<\/li><li>ignoreallfailures\n(bcedit)<\/li><\/ul>\n\n\n\n<p>Lista de\nPowershell de comandos encodeados: JAB, SQBFAF, SQBuAH, SUVYI, cwBhA, aWV4I,\naQBlAHgA y muchos m\u00e1s.<\/p>\n\n\n\n<p>Ejemplos\nde uso<\/p>\n\n\n\n<p>Emotet sin\nRaccine &#8211; <a href=\"https:\/\/app.any.run\/tasks\/b12f8ee2-f6cc-4571-bcc2-51e34c19941f\/\">https:\/\/app.any.run\/tasks\/b12f8ee2-f6cc-4571-bcc2-51e34c19941f\/<\/a><\/p>\n\n\n\n<figure class=\"wp-block-image\"><img loading=\"lazy\" decoding=\"async\" width=\"431\" height=\"227\" src=\"https:\/\/cert.pa\/wp-content\/uploads\/2021\/01\/2.png\" alt=\"\" class=\"wp-image-2542\" srcset=\"https:\/\/cert.pa\/wp-content\/uploads\/2021\/01\/2.png 431w, https:\/\/cert.pa\/wp-content\/uploads\/2021\/01\/2-300x158.png 300w\" sizes=\"auto, (max-width: 431px) 100vw, 431px\" \/><\/figure>\n\n\n\n<p>Emotet con\nRaccine &#8211; Link (ignorar la actividad del proceso que est\u00e1 relacionada con la\ninstalaci\u00f3n de Raccine)<\/p>\n\n\n\n<figure class=\"wp-block-image\"><img loading=\"lazy\" decoding=\"async\" width=\"409\" height=\"116\" src=\"https:\/\/cert.pa\/wp-content\/uploads\/2021\/01\/3.png\" alt=\"\" class=\"wp-image-2543\" srcset=\"https:\/\/cert.pa\/wp-content\/uploads\/2021\/01\/3.png 409w, https:\/\/cert.pa\/wp-content\/uploads\/2021\/01\/3-300x85.png 300w\" sizes=\"auto, (max-width: 409px) 100vw, 409px\" \/><\/figure>\n\n\n\n<p>La\ninfecci\u00f3n se corta de ra\u00edz.<\/p>\n\n\n\n<p>Detalles\nde la instalaci\u00f3n y m\u00e1s info: https:\/\/github.com\/Neo23x0\/Raccine<\/p>\n\n\n\n<p>Fuente: SeguInfo<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Muchas familias de ransomware intentan mediante vssadmin borrar todas las shadow copies del sistema. las instant\u00e1neas que va tomando Windows para poder volver a un punto de restauraci\u00f3n en caso necesario. Es decir, intentan que&#8230;<\/p>\n","protected":false},"author":4,"featured_media":2544,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"om_disable_all_campaigns":false,"_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"_uf_show_specific_survey":0,"_uf_disable_surveys":false,"footnotes":""},"categories":[3],"tags":[30],"class_list":["post-2540","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia-y-seguridad","tag-ransomware"],"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts\/2540","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=2540"}],"version-history":[{"count":1,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts\/2540\/revisions"}],"predecessor-version":[{"id":2545,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts\/2540\/revisions\/2545"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/media\/2544"}],"wp:attachment":[{"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=2540"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=2540"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=2540"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}