Técnica 15 de mayo de 2017
Un dominio de 41 caracteres ha sido clave para detener la campaña del ransonmware WannaCry . Un investigador del malware descubrió el dominio en el código y registró el dominio.
Es frecuente que el malware apunte a dominios no registrados, sin embargo algo raro sucedió cuando se registró el dominio iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. WannaCry paró. Es habitual que el código incluya variaciones del dominio que va mutando con el tiempo, pero no era este el caso. Lo que hacía era conectarse al dominio, si no se podía conectar secuestraba el sistema, pero si podía conectarse no hacía nada.
Se cree que el dominio formaba parte de una medida de seguridad de los autores del WannaCry para prevenir análisis más profundos cuando los investigadores estuvieran diseccionando el malware.
En este caso el registro del dominio sirvió también para analizar la propagación del WannaCry. En algunos laboratorios que diseccionan malware capturan el tráfico e independientemente de si el dominio está registrado o no devuelven una respuesta positiva.
Preguntar por un dominio no registrado les permitía saber que estaban en un entorno de análisis. Esta técnica no es nueva ya que el troyano Necurs pregunta por 5 dominios y si todos devuelven la misma IP no hace nada.
Los comentarios están cerrados