UNIVERSIDAD DEL VALLE DE

PUEBLA
COORDINACION DE POSGRADO

AFTERMIDNIGHT

TRABAJO RECEPCIONAL EN LA MODALIDAD DE:

INVESTIGACIÓN
COMO REQUISITO PARA PASAR EL CURSO DE

REDES Y SEGURIDAD

PRESENTA:

EDUARDO GARCIA GARCIA

ASESORES:

DR. IVO HUMBERTO PINEDA LOPEZ

HEROICA PUEBLA DE ZARAGOZA, PUEBLA. JUNIO 2017

 Redes y Seguridad
Eduardo Garcia Garcia

Usamos las TIC como vía de comunicación

para personas que perciben el mundo de manera diferente.

Universidad del Valle de Puebla 1

Maestría en Administración de Tecnologías de la Información
 Redes y Seguridad
Eduardo Garcia Garcia

INDICE
INTRODUCCIÓN ................................................................................................................. 3
AfterMidnight ...................................................................................................................... 4
Como funciona ................................................................................................................... 6
AlphaGremlin ...................................................................................................................... 7
INFORME .............................................................................................................................. 8
CONLUSIÓN ...................................................................................................................... 11
BIBLIOGRAFIAS Y CITAS .............................................................................................. 12

Universidad del Valle de Puebla 2

Maestría en Administración de Tecnologías de la Información
 Redes y Seguridad
Eduardo Garcia Garcia

INTRODUCCIÓN

El trabajo de investigación que a continuación se presenta, tiene como objetivo

conocer y analizar las herramientas de hacking que usa la CIA de los Estados
Unidos de América, Dichos programas han sido revelados por medio del portal de
Wikileaks.
Concretamente la investigación es de carácter técnico para el ámbito universitario y
público en general, porque aparte de obtener un nuevo aprendizaje sobre las
nuevas tecnólogas “masivas” esta información es esencial para dar a conocer las
herramientas usadas para hacking potencialmente peligrosas que ahora se
encuentran en manos equivocadas, así como lo menciona en el siguiente portal:
[http://omicrono.elespanol.com/2017/03/herramientas-de-hacking-de-la-cia/].

Universidad del Valle de Puebla 3

Maestría en Administración de Tecnologías de la Información
 Redes y Seguridad
Eduardo Garcia Garcia

AfterMidnight
Las nuevas amenazas que fueron publicadas en el portal de Wikileaks son
AfterMidnight y Assasin tienen como rasgo común el hecho de permitir a los
atacantes (en este caso la CIA) poder revisar y checar todos los movimientos de los
usuarios sin que ellos se den cuenta alguna. Son disfrazados como un servicio DLL
de Windows y ejecuta de manera segura un Gremlin por medio de un sistema
Listening Post (LP) en HTTPS, llamado Octopus en el primer caso y un implante
automatizado que puede proveer una plataforma de colecciones simples en
computadoras a distancia con el OS de Microsoft.
AfterMidnight o “Después de Media Noche” en español forma parte de la filtración
a gran escala de archivos sobre armas cibernéticas de la CIA denominada 'Vault 7'.
AfterMidnight forma parte de un par de frameworks de malware de la CIA para la
plataforma Microsoft Windows (AfterMidnight & Assasin).
Este malware permite a los operadores cargar dinámicamente y ejecutar cargas
útiles de maliciosas en un equipo destino.
El controlador principal de la carga útil maliciosa, disfrazado como un archivo de
biblioteca de vínculo dinámico de Windows (DLL) persevera y ejecuta "Gremlins"
pequeñas cargas útiles que permanecen ocultas en la máquina de destino por
subvertir la funcionalidad del software de destino a través de un sistema de Listening
Post (LP) basado en HTTPS llamado "Octopus". Una vez instalado en una máquina
de destino AM volverá a llamar a un LP configurado en una programación
configurable, comprobando si hay un nuevo plan para ejecutarlo. Si lo hay, descarga
y almacena todos los componentes necesarios antes de cargar todos los nuevos
Gremlins en la memoria.

Universidad del Valle de Puebla 4

Maestría en Administración de Tecnologías de la Información
 Redes y Seguridad
Eduardo Garcia Garcia

AfterMidnight puede utilizar sofisticados "Gremlins" con una amplia gama de

capacidades.
Los Gremlins son esencialmente explotaciones de Windows individuales algunos
socavan la funcionalidad, algunos ex filtran los datos personales del objetivo, etc.
que luego son alimentados a un "puesto de escucha" seguro llamado
"Octopus". AfterMidnight se puede configurar con opciones de cómo y cuándo
contactará con el puesto de escucha y recibirá nuevos comandos y / o Gremlins.
Varios Gremlins están incorporados en AfterMidnight, pero uno de los más notables
de estos sería el "molesto" Proceso Gremlin:

“El Proceso Gremlin tiene la capacidad de subvertir la ejecución de procesos existentes

o iniciados de una manera molesta ya sea retrasando temporalmente la ejecución de
un proceso, matando un proceso existente o "bloqueando" un proceso
permanentemente, requiriendo al usuario matar manualmente el proceso.
Estas actividades se pueden configurar para que se produzcan después de un período
de tiempo establecido (más o menos un jitter) y se pueden configurar para afectar
sólo a un cierto porcentaje de procesos de destino. ”

Universidad del Valle de Puebla 5

Maestría en Administración de Tecnologías de la Información
 Redes y Seguridad
Eduardo Garcia Garcia

Como funciona:
El malware de AfterMidnight es desarrollado en la plataforma Python versión 3.4 y
ocupa WSGI que es el servidor apache junto con OPENSSL que será para los
protocolos TLS (Transport Layer Security) y SSL donde viajara el Gremlin de
manera encriptada.
Todo el procesamiento de los resultados se realiza en el computador a ejecutar AM
en modo consola que se pueden ejecutar tanto el Linux como en Windows. Estos
resultados son planes que es un conjunto de órdenes que serán ejecutados estos
no genera cola de tareas ya que cada ejecución es de una sola vez y una vez
ejecutando espera otro plan.
Los LP son los pulpos que es la aplicación Python WSGI que se encargara en hacer
posible la conexión en los objetivos.

1. Se carga la DLL
2. EL servicio DLL encuentra media noche Core (lo lee
en la memoria y lo carga) se envían los Gremlins.
3. EL núcleo descarga el plan y los Gremlins necesarios y
la clave LP
4. El núcleo Carga el AlphaGremlin y ejecuta el plan
5. Los Gremlins se cargan según el plan

En la ejecución el computador AM se basa y reacciona de acuerdo a las

configuraciones y planes. Cada vez que se carga un Archivo DLL, AM comprobara
el registro local para ver si se instala como un servicio y si no lo es de igual forma
ya se generó un servicio y continúa la ejecución local.
Nota Importante: AM debe de conocer su propio camino para ser capaz de auto –
instalar.
Existen razones para desinstalar el Gremlin, lo mas común es que ha expirado la
fecha en el que debería de actuar el Gremlin, El temporizador expira o que el archivo
de AfterMidnight no está presente en el arranque.

Universidad del Valle de Puebla 6

Maestría en Administración de Tecnologías de la Información
 Redes y Seguridad
Eduardo Garcia Garcia

AlphaGremlin

AlphaGremlin fue desarrollado junto con AfterMidnight y es funcionalmente similar

a un AfterMidnight Gremlin pero con muchas adiciones notables. Por ejemplo
AlphaGremlin puede ser configurado con su propio horario y plan separado de
AfterMidnight. Además, AlphaGremlin incluye un lenguaje de script personalizado
que permite al operador programar cosas como comandos de consola para ejecutar
rutinariamente en un destino e informar a Octopus.
AlphaGremlin es parte de la suite AM, que en el proceso no se llaman directamente,
el usuario añade comandos al campo .config. Y se ejecutan en la cmd en casos
totalmente separados. De manera alternativa los usuarios pueden programar los
comandos para ejecutarlos en periodos de tiempo.

Ejemplo:

El comando se ejecuta solo una vez, los resultados de la ejecución “ipconfig” en la

cmd son enviados de vuelta en donde podrían ser descifrados y leídos. Pero si por
alguna razón AlphaGremlin (AG) aún está en ejecución; e comando
GREMLIMN_CLOSE_ID le dará final a la instancia de forma segura y así evitar una
pérdida de memoria, pero si el AG se cierra de una manera diferente, esto no
garantía estos resultados.

Universidad del Valle de Puebla 7

Maestría en Administración de Tecnologías de la Información
 Redes y Seguridad
Eduardo Garcia Garcia

INFORME
Una vez instalado el malware de AfterMidnight en el equipo destino AM se llaman a
los LP configurado en un horario que también es configurable para una
comprobación que tiene como propósito ver si hay un nuevo plan que ejecutar, si
hay algún plan se descarga y almacena todos los componentes que necesita antes
de cargar los nuevos Gremlins en la memoria. Todo el almacenamiento local se cifra
con una clave LP que no se almacena en el cliente. Si el equipo destino AM no es
capaz de ponerse en contacto con los LP será incapaz de ejecutar cualquier tipo de
carga útil, es decir no tendrá función alguna.

En la actualidad existe un ataque similar al AfterMidnight, inclusive WikiLeaks

publico AfterMidnight y Assasin 2 horas antes de dicho ataque. Como son
herramientas muy difíciles de conseguir algunos hackers aprovecharon el malware
malicioso y provocaron el atentado.

Según el portal de ww.abc.net.au informa sobre el mayor brote de Ramsomware

que golpeo cerca de 100 países por este ataque cibernético que bloquea los
ordenadores y se mantiene archivo de los usuarios en este caso AM y así pedir
rescates en una multitud de hospitales, empresas y agencias gubernamentales.

Ramsomware:
En el portal de Avast dice que Ramsomware es una técnica que los hackers utilizan para
bloquear sus dispositivos y exigir un rescate a cambio de recuperar el acceso.

Los primeros ataques reportados fueron en Gran Bretaña donde los Hospitales y
diversas clínicas se vieron obligadas a rechazar pacientes al no tener acceso a los
ordenadores. Los ordenadores fueron engañados por abrir archivos adjuntos
maliciosos de malware que fueron recibidos por correo electrónico en donde fue

Universidad del Valle de Puebla 8

Maestría en Administración de Tecnologías de la Información
 Redes y Seguridad
Eduardo Garcia Garcia
disfrazado por facturas, ofertas de trabajo, advertencias de seguridad y otros tipos
de archivos legítimos. El ataque de Ramsomware exigía pagos de $300 a $600 para
restaurar el acceso.

Imagen representativa del ciberataque donde podemos apreciar el rescate pedido. (Fuente
recopilada del portal http://www.abc.net.au/news/2017-05-13/biggest-ransomware-
outbreak-in-history-hits-nearly-100-nations/8523102)

Se puede apreciar que el rescate es pedido en $USD o en su caso son pedidos con
la moneda virtual Bitcoin.
¿Qué es Bitcoin?
Según la página oficial de bitcoin [https://bitcoin.org/es/], Bitcoin usa tecnología peer-to-
peer o entre pares para operar sin una autoridad central o bancos; la gestión de las
transacciones y la emisión de bitcoins es llevada a cabo de forma colectiva por la red.
Bitcoin es de código abierto; su diseño es público, nadie es dueño o controla Bitcoin y
todo el mundo puede participar. Por medio de sus muchas propiedades únicas, Bitcoin
permite usos interesantes no contemplados por ningún sistema de pagos anterior.

Universidad del Valle de Puebla 9

Maestría en Administración de Tecnologías de la Información
 Redes y Seguridad
Eduardo Garcia Garcia
El software malicioso detrás del ataque pasa la vulnerabilidad de Microsoft Windows
que supuestamente fue identificado por la CIA, es un malware para sus propios
propósitos de recolección de inteligencia.

El fabricante de software de seguridad AVAST dijo que se observaron infecciones

en 99 países con Rusia, Ucrania y Taiwán como los objetivos principales. Mientras
que Chris Wysopal de la empresa de seguridad de software Veracode había dicho
que probablemente organizaciones criminales están detrás del ataque de malware
malicioso, debido a la rapidez con el que se propago el ataque.

"Por lo que muchas organizaciones en el mismo día para ser golpeados, esto no tiene
precedentes", dijo Wysopal.

Alan Woodward, profesor visitante de la computación en la Universidad de Surrey,

dijo que no creía que se trataba de un ataque dirigido.
Aquí se sospecha que el malware propagado fue obra de hackers que utilizaron y
reconfiguraron el malware producto de la propagación de información de la CIA, ya
que se asemeja al malware AfterMidnight.

La CIA había hecho un comunicado el viernes por la noche, que estaba al tanto de
los informes del mayor ataque de Ramsomware y que estaba dispuesto a prestar
apoyo técnico.
Microsoft dijo que estaba llevando acabo actualizaciones automáticas de Windows
para defender a sus clientes; dicho parche fue emitido el 14 de marzo, dos días
después del ataque.

Universidad del Valle de Puebla 10

Maestría en Administración de Tecnologías de la Información
 Redes y Seguridad
Eduardo Garcia Garcia

CONLUSIÓN
En conclusión, las herramientas de malware maliciosas pueden estar en manos
equivocadas, al poco tiempo de haberse revelado información muy útil para los
hackers ya se han puesto en alerta muchas empresas en todo el mundo, desde lo
ocurrido en el caso de Ramsomware, donde se utilizó el malware de AfterMidnight.
Debido a esto los desarrolladores de antivirus también han mejorado su seguridad
introduciendo en sus productos la protección anti Ramsomware a alguna anomalía
similar que surja en ataque al computador. De igual forma Microsoft debe de
ponerse al tanto de las nuevas amenazas y mejorar su sistema de protección para
evitar ataques de estas nuevas tendencias para el público.
AfterMidnight es un claro ejemplo que la CIA de los Estados Unidos ocupa estos
malware para sus propósitos secretos y que el mundo no tenía conocimiento alguno
de estas tecnologías.

Universidad del Valle de Puebla 11

Maestría en Administración de Tecnologías de la Información
 Redes y Seguridad
Eduardo Garcia Garcia

BIBLIOGRAFIAS Y CITAS

Aninimo. (Mayo de 2017). REDDIT and the ALIEN. Obtenido de

https://www.reddit.com/r/WikiLeaks/comments/6auulj/wikileaks_vault_7_part_ix_a
ftermidnight/
Anonimo. (12 de Mayo de 2017). FayerWayer. Obtenido de
https://www.fayerwayer.com/2017/05/wikileaks-publica-dos-nuevos-malwares-
desarrollados-por-la-cia-justo-hoy-dia/
AVAST Software s.r.o. (2017). AVAST. Obtenido de https://www.avast.com/es-es/c-
ransomware
Bitcoin. (2017). Bitcoin. Obtenido de https://bitcoin.org/es/
CIA. (2014). AfterMidnight_V1_0_Users_Guide. Wikileaks.
CIA. (2014). AlphaGremlin_v01_0_Users_Guide. Wikileaks.
El_brujo. (14 de Mayo de 2017). Blog de elhacker.NET. Obtenido de
http://blog.elhacker.net/2017/05/wikileaks-desvela-mas-malware-de-la-cia-
AfterMidnight-Assassin.html
Khandelwal, S. (14 de Mayo de 2017). The Hacker News. Obtenido de
http://thehackernews.com/2017/05/windows-malware-framework.html
NEWS, A. (13 de Mayo de 2017). ABC NEWS. Obtenido de
http://www.abc.net.au/news/2017-05-13/biggest-ransomware-outbreak-in-history-
hits-nearly-100-nations/8523102

Universidad del Valle de Puebla 12

Maestría en Administración de Tecnologías de la Información