{"id":565,"date":"2024-12-24T05:53:35","date_gmt":"2024-12-24T05:53:35","guid":{"rendered":"https:\/\/www.gdata.com.mx\/blog\/?p=565"},"modified":"2026-05-07T00:47:40","modified_gmt":"2026-05-07T00:47:40","slug":"analisis-de-malware-un-cargador-de-rootkits-de-kernel-land-para-fk_undead","status":"publish","type":"post","link":"https:\/\/www.gdata.com.mx\/blog\/analisis-de-malware-un-cargador-de-rootkits-de-kernel-land-para-fk_undead\/","title":{"rendered":"An\u00e1lisis De Malware:\u00a0Un Cargador De Rootkits De Kernel Land para FK_Undead"},"content":{"rendered":"\n
\"\"<\/figure>\n\n\n\n

Descubrimos un cargador de rootkits de Windows [F1] para la familia de malware FK_Undead. La familia de malware es conocida por interceptar el tr\u00e1fico de red de los usuarios mediante la manipulaci\u00f3n de las configuraciones de proxy. Hasta donde sabemos, el cargador de rootkits no se ha analizado oficialmente antes. Tal y como requiere cualquier controlador del kernel de Windows, el cargador de rootkits est\u00e1 firmado v\u00e1lidamente con el certificado del editor de compatibilidad de hardware de Microsoft Windows (consulte la huella digital [T1]). Es compatible con diferentes versiones de Windows y est\u00e1 protegido con VMProtect.<\/p>\n\n\n\n

\n\n\n\n

Instalaci\u00f3n del rootkit<\/strong><\/p>\n\n\n\n

Antes de que se ejecute la funcionalidad del cargador del rootkit, primero debe instalarse como un servicio del sistema. De acuerdo con VirusTotal<\/a>, el cargador de rootkits es eliminado e instalado por un ejecutable malicioso que se disfraza de \u00abAplicaciones de Microsoft Foundation\u00bb [F2]. El dropper coloca el cargador de rootkits en \u00abC:\\Windows\\System32\\drivers\\ws3ifsl.sys\u00bb [P1] y lo registra como un servicio del sistema en modo de usuario [P2]. El nombre \u00abws3ifsl\u00bb probablemente se eligi\u00f3 para disfrazarse como Winsock2<\/a> IFS Layer (ws2ifsl.sys), que es una utilidad leg\u00edtima de Windows para la comunicaci\u00f3n de sockets.<\/p>\n\n\n\n

Una vez que se ejecuta el controlador, primero se mueve de \u00abC:\\Windows\\System32\\drivers\\ws3ifsl.sys\u00bb [P1] a \u00abC:\\ProgramData\\Microsoft\\Windows\\EventStore.dat\u00bb [P3]. A continuaci\u00f3n, suprime el servicio antiguo \u00abws3ifsl\u00bb y registra un nuevo servicio del sistema denominado \u00abEventStore\u00bb que apunta a la nueva ubicaci\u00f3n [P3] (consulte la figura 1). Sin embargo, esta vez el servicio est\u00e1 configurado para cargarse como\u00a0controlador del kernel<\/a>\u00a0con \u00abTipo\u00bb igual a \u00ab1\u00bb. Lo m\u00e1s probable es que esto se haga para evitar que los usuarios detecten el servicio en el Administrador de tareas de Windows o en la informaci\u00f3n general de Servicios.<\/a><\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Figura 1 – Servicio de controlador del kernel de EventStore<\/p>\n\n\n\n

Emulaci\u00f3n con speakeasy<\/strong><\/p>\n\n\n\n

Dado que los sistemas de sandbox automatizados tradicionales generalmente no son capaces de activar las funciones de un controlador de kernel, empleamos el emulador speakeasy de Mandiant<\/a> en su lugar. La herramienta nos permite capturar los accesos a memoria para extraer las cadenas planas protegidas por VMProtect y crear volcados de memoria. Aumentamos el tiempo de espera de emulaci\u00f3n predeterminado de 60 segundos a 10 minutos:<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Despu\u00e9s de que speakeasy emul\u00f3 las 15 llamadas API a la interfaz del kernel \u00abntoskrnl.exe\u00bb, encontramos varias cadenas interesantes. Entre ellos hay cuatro URL que apuntan a una direcci\u00f3n HTTP que contiene el puerto poco com\u00fan 38005 [U1-4]. En el momento de la publicaci\u00f3n de esta entrada del blog, los dominios ya no est\u00e1n registrados. Las direcciones URL [U1-2] alojaban previamente el archivo [F3] y las direcciones URL [U3-4] serv\u00edan el archivo [F4]. Los archivos [F3-4] contienen un blob codificado en base64 que resulta ser puntos muertos con bytes de aspecto aleatorio al principio y una direcci\u00f3n URL HTTP al final. Como se muestra en la Figura 2, los puntos muertos solo difieren en las rutas de URL [U5-6], que alojan la carga \u00fatil cifrada de la segunda etapa que pertenece a la familia de malware FK_Undead.<\/a><\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Figura 2 \u2013 Vista hexadecimal de Deaddrop<\/p>\n\n\n\n

An\u00e1lisis de la gota muerta<\/strong><\/p>\n\n\n\n

El controlador utiliza diferentes puntos muertos y cargas \u00fatiles FK_Undead en funci\u00f3n de la versi\u00f3n de Windows. Determina la versi\u00f3n de Windows llamando a la rutina del sistema \u00abRtlGetVersion\u00bb o, alternativamente, a la funci\u00f3n obsoleta \u00abPsGetVersion\u00bb. Si el n\u00famero de versi\u00f3n de Windows es igual a 10.0, descargar\u00e1 el punto muerto \u00abauth.bin\u00bb [F3] de la URL [U1], de lo contrario, \u00abauth7.bin\u00bb [F4] de la URL [U3] a \u00abC:\\ProgramData\\Microsoft\\Windows\\Templates.log\u00bb [P4]. Si se produce un error en la descarga, intenta obtener el punto muerto de la URL [U2] o [U4]. Una vez finalizada la descarga, descodifica el blob base64 y descifra los primeros 16 bytes con AES-128. Mientras que la clave AES (\u00ab0XMTXKEDTNLDKADSLIOKJASDF\u00bb)<\/strong> tiene una longitud de 25 bytes, solo se utilizan los primeros 16 bytes en el paso de expansi\u00f3n de la clave AES.<\/p>\n\n\n\n

El contenido y la estructura del archivo de punto muerto descifrado se visualizan en la figura 3. Consta de un marcador de inicio y fin, dos delimitadores como bytes \u00ab0D 0A\u00bb, una semilla de ocho bytes de largo y la URL de la carga \u00fatil FK_Undead. Despu\u00e9s de analizar el archivo del punto muerto, el cargador de rootkits descarga la carga \u00fatil \u00abtxlsddlx64.dat\u00bb [F5] o \u00abtxlsddlx64_7.dat\u00bb [F6] y la almacena en la carpeta de datos del programa de Windows con un nombre de archivo derivado de una huella digital basada en el GUID de la m\u00e1quina y la semilla de tama\u00f1o fijo.<\/a><\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Figura 3 – Estructura de la gota muerta<\/p>\n\n\n\n

Finalmente, el archivo de punto muerto descargado anteriormente \u00abTemplate.log\u00bb [P4] se mueve un directorio m\u00e1s arriba a \u00abC:\\ProgramData\\Microsoft\\Templates.tmp\u00bb [P5]. Si el controlador malicioso se carga de nuevo, primero comprueba si \u00abTemplates.tmp\u00bb [P5] ya existe antes de intentar descargarlo de nuevo.<\/p>\n\n\n\n

Descifrar la carga \u00fatil FK_Undead<\/strong><\/p>\n\n\n\n

Una vez que la carga \u00fatil se descarga correctamente, el cargador de rootkits la descifra invirtiendo cada bit (consulte la Figura 4).<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Figura 4 – Descifrado de la carga \u00fatil txlsddlx64.dat y txlsddlx64_7.dat<\/p>\n\n\n\n

La carga vuelve a ser un controlador firmado protegido con VMProtect [F7-8]. Identificamos la muestra como una variante de la familia de malware FK_Undead. Como ya se describi\u00f3 en publicaciones de blog anteriores<\/a>, enruta el tr\u00e1fico de usuarios a trav\u00e9s de servidores controlados por atacantes mediante PAC (configuraci\u00f3n autom\u00e1tica de proxy).<\/p>\n\n\n\n

Posteriormente, el cargador de rootkits registra el controlador de FK_Undead como un nuevo servicio del sistema utilizando la misma funci\u00f3n que para el servicio EventStore, pero con la huella digital generada como DisplayName y nombre de archivo en ImagePath (consulte la figura 5).<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Figura 5 \u2013 FK_Undead Kernel Driver Service (<huella dactilar> es el marcador de posici\u00f3n para la huella digital)<\/p>\n\n\n\n

Capacidades de evasi\u00f3n del rootkit<\/strong><\/p>\n\n\n\n

El cargador de rootkits toma varias medidas para disfrazarse y evitar ser detectado. En primer lugar, comprueba si existen archivos relacionados con PC Hunter (pchunter64as.sys) o Windows Kernel Explorer (WIN64AST.SYS) en el sistema. Si este es el caso, simplemente se abortar\u00e1.
Adem\u00e1s, escanea si est\u00e1n presentes los controladores de VMWare (vmci.sys, vmmouse.sys, vmrawdsk.sys) o VirtualBox (VBoxGuest.sys, VBoxMouse.sys, VBoxSF.sys, VBoxWddm.sys). Sin embargo, el cargador de rootkits no aplica ninguna mitigaci\u00f3n si se encuentra alguno de los archivos. Adem\u00e1s, encontramos una funci\u00f3n no utilizada sub_180016DD0 que comprueba si hay una conexi\u00f3n a Internet disponible descargando un archivo de un servidor controlado por el atacante [U7-8] y guard\u00e1ndolo en \u00abC:\\ProgramData\\Microsoft\\Crypto\\RSA\\connect.dat\u00bb [P11] (ver Figura 6). Desafortunadamente, no pudimos obtener los archivos porque el dominio ya no est\u00e1 registrado.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Figura 6 \u2013 Prueba de conexi\u00f3n no utilizada<\/p>\n\n\n\n

La funci\u00f3n no utilizada y las mitigaciones faltantes para VMWare y VirtualBox indican que el cargador de rootkits a\u00fan se est\u00e1 desarrollando o que el c\u00f3digo se ha copiado y adaptado.<\/p>\n\n\n\n

Por \u00faltimo, el cargador de rootkits registra varias rutinas de notificaci\u00f3n mediante PsSetLoadImageNotifyRoutine<\/a> y PsSetCreateProcessNotifyRoutine<\/a> que se activan si se cargan los siguientes ejecutables o controladores:<\/p>\n\n\n\n

    \n
  1. regedit.exe<\/li>\n\n\n\n
  2. 360Safe.exe<\/li>\n\n\n\n
  3. 360sd.exe<\/li>\n\n\n\n
  4. SuperKiller.exe<\/li>\n\n\n\n
  5. register.exe<\/li>\n\n\n\n
  6. HRSword.exe<\/li>\n\n\n\n
  7. WIN64AST.SYS<\/li>\n\n\n\n
  8. pchunter64as.sys<\/li>\n\n\n\n
  9. PCHunter64ar.sys<\/li>\n<\/ol>\n\n\n\n

    Si se descubre un proceso de este tipo, se espera hasta que ninguno de los SYSTEM. Los archivos LOG [P6] ya no se abren mediante otro proceso. Una vez que esto se cumple, llama a sub_180015680<\/em> para eliminar las entradas de servicio del registro que el cargador de rootkits cre\u00f3 antes para s\u00ed mismo y para la carga \u00fatil descargada [P7-10] (consulte la Figura 7). Por lo tanto, se esconde de la detecci\u00f3n por parte de las soluciones de seguridad o los respondedores de incidentes.<\/p>\n\n\n\n

    Archivos<\/strong><\/p>\n\n\n\n

    [F1] Cargador de rootkits (ws3ifsl.sys \/ EventStore.dat)<\/p>\n\n\n\n

    adf0bed4734b416c0c958e096593e93726ba9eb2b39c88645e02033755e16a1b<\/p>\n\n\n\n

    [F2] Cuentagotas de rootkits<\/p>\n\n\n\n

    046442a7e16166225a0c070bf8d311caddc48cbe61a4b82d462d8dd4501cfd00<\/p>\n\n\n\n

    [F3] Gota muerta 1 (auth.bin)<\/p>\n\n\n\n

    33a305cf2ff910c833e3c8efd77e9f55fc1344215f75a4c8feda6fd5d8e98628<\/p>\n\n\n\n

    [F4] Deaddrop 2 (auth7.bin)<\/p>\n\n\n\n

    6af4343fd0ce9b27a2862f75d409d4021efc3160c40a5bda174b2ad30086722d<\/p>\n\n\n\n

    [F5] Carga FK_Undead cifrada 1 (txlsddlx64.dat)<\/p>\n\n\n\n

    10d8591dd18e061febabe0384dc64e5516b7e7e54be87ca0ac35e11f698b0cc2<\/p>\n\n\n\n

    [F6] Carga FK_Undead cifrada 2 (txlsddlx64_7.dat)<\/p>\n\n\n\n

    ca8061f5ee59cba8f8f4e036eddc5f470e0936ebec470a0ebd4e84ab0475ece2<\/p>\n\n\n\n

    [F7] Carga \u00fatil FK_Undead descifrada 1 (txlsddlx64.dat)<\/p>\n\n\n\n

    708f4f45f7515d2b94de5772ee883cfd579dbff216e8a8db3181d2cf0e2a2770<\/p>\n\n\n\n

    [F8] Carga FK_Undead desencriptada 2 (txlsddlx64_7.dat)<\/p>\n\n\n\n

    1f5dcc5b0916a77087f160130d5eadb26fe8ee9d47177d19944773d562c03e8e<\/p>\n\n\n\n

    Direcciones URL<\/strong><\/p>\n\n\n\n

    [U1] hxxp:\/\/tjxgood[.]COM:38005\/auth.bin<\/p>\n\n\n\n

    [U2] hxxp:\/\/tjxupdates[.]COM:38005\/auth.bin<\/p>\n\n\n\n

    [U3] hxxp:\/\/tjxgood[.]COM:38005\/auth7.bin<\/p>\n\n\n\n

    [U4] hxxp:\/\/tjxupdates[.]COM:38005\/auth7.bin<\/p>\n\n\n\n

    [U5] hxxp:\/\/101[.]37[.]76[.]254:31005\/txlsddlx64.dat<\/p>\n\n\n\n

    [U6] hxxp:\/\/101[.]37[.]76[.]254:31005\/txlsddlx64_7.dat<\/p>\n\n\n\n

    [U7] hxxp:\/\/microsoftdns2.com:27688\/html\/png\/V[aaaaMMddHHmmssfff].dat<\/p>\n\n\n\n

    [U8] hxxp:\/\/microsoftdns2.com:27688\/html\/jpg\/U[aaaaMMddHHmmssfff].dat<\/p>\n\n\n\n

    Caminos<\/strong><\/p>\n\n\n\n

    [P1] C:\\Windows\\System32\\drivers\\ws3ifsl.sys<\/p>\n\n\n\n

    [P2] HKLM\\System\\CurrentControlSet\\services\\ws3ifsl<\/p>\n\n\n\n

    [P3] C:\\ProgramData\\Microsoft\\Windows\\EventStore.dat<\/p>\n\n\n\n

    [P4] C:\\ProgramData\\Microsoft\\Windows\\Templates.log<\/p>\n\n\n\n

    [P5] C:\\ProgramData\\Microsoft\\Templates.tmp<\/p>\n\n\n\n

    [P6] C:\\Windows\\System32\\config\\SYSTEM. REGISTRO[1-5]<\/p>\n\n\n\n

    [p\u00e1g. 7] HKLM\\SYSTEM\\CurrentControlSet\\Services\\[EventStore\/<fingerprint>]<\/p>\n\n\n\n

    [p\u00e1g. 8] HKLM\\SYSTEM\\ControlSet001\\Services\\[EventStore\/<fingerprint>]<\/p>\n\n\n\n

    [p\u00e1g. 9] HKLM\\SYSTEM\\ControlSet002\\Services\\[EventStore\/<fingerprint>]<\/p>\n\n\n\n

    [P10] HKLM\\SYSTEM\\ControlSet003\\Services\\[EventStore\/<fingerprint>]<\/p>\n\n\n\n

    [P\u00e1g. 11] C:\\ProgramData\\Microsoft\\Crypto\\RSA\\connect.dat<\/p>\n\n\n\n

    Huella digital del certificado<\/strong><\/p>\n\n\n\n

    [T1] e2d6c9b698932d209c9fab3f96c48d476a44669a<\/p>\n\n\n\n

    \n\n\n\n

    Enlace: An\u00e1lisis de malware: un cargador de rootkits de Kernel Land para FK_Undead<\/a> Blog de G DATA Marius Benthin<\/strong><\/p>\n","protected":false},"excerpt":{"rendered":"

    \"\"<\/p>\n

    Descubrimos un cargador de rootkits de Windows [F1] para la familia de malware FK_Undead. La familia de malware es conocida por interceptar el tr\u00e1fico de red de los usuarios mediante la manipulaci\u00f3n de las configuraciones de proxy. Hasta donde sabemos, el cargador de rootkits no se ha analizado oficialmente antes. Tal y como requiere cualquier controlador del kernel de Windows, el cargador de rootkits est\u00e1 firmado v\u00e1lidamente con el certificado del editor de compatibilidad de hardware de Microsoft Windows (consulte la huella digital [T1]).<\/p>\n","protected":false},"author":1,"featured_media":578,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[],"class_list":["post-565","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-vulnerabilidades"],"jetpack_featured_media_url":"https:\/\/www.gdata.com.mx\/blog\/wp-content\/uploads\/2024\/12\/G_DATA_Blog_FK_Undead_Rootkit_Title_NEU.jpg","featured_image_src":"https:\/\/www.gdata.com.mx\/blog\/wp-content\/uploads\/2024\/12\/G_DATA_Blog_FK_Undead_Rootkit_Title_NEU-150x150.jpg","_links":{"self":[{"href":"https:\/\/www.gdata.com.mx\/blog\/wp-json\/wp\/v2\/posts\/565","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.gdata.com.mx\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.gdata.com.mx\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.gdata.com.mx\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.gdata.com.mx\/blog\/wp-json\/wp\/v2\/comments?post=565"}],"version-history":[{"count":3,"href":"https:\/\/www.gdata.com.mx\/blog\/wp-json\/wp\/v2\/posts\/565\/revisions"}],"predecessor-version":[{"id":577,"href":"https:\/\/www.gdata.com.mx\/blog\/wp-json\/wp\/v2\/posts\/565\/revisions\/577"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.gdata.com.mx\/blog\/wp-json\/wp\/v2\/media\/578"}],"wp:attachment":[{"href":"https:\/\/www.gdata.com.mx\/blog\/wp-json\/wp\/v2\/media?parent=565"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.gdata.com.mx\/blog\/wp-json\/wp\/v2\/categories?post=565"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.gdata.com.mx\/blog\/wp-json\/wp\/v2\/tags?post=565"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}