Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

jueves, 21 de mayo de 2009

YES Exploit System. Manipulando la seguridad del atacante

Algunos de ellos desean utilizarte. Algunos de ellos desean ser utilizados por ti. Algunos de ellos desean abusar de ti. Algunos de ellos desean ser abusados. Yo quiero utilizarte y abusar de ti. Yo quiero saber que hay dentro de ti.

Eurythmics - 1983


Cualquier capa de seguridad que implementemos en un entorno de información busca proteger nuestros activos de potenciales acciones hostiles y nocivas, de las cuales los códigos maliciosos representan uno de los peligros más importantes contra los cuales se orientan e intentan proteger esos esquemas de seguridad.

En ese sentido, los aplicativos crimeware desarrollados para propagar diferentes amenazas y formar botnets (p.e. ZeuS, Unique, LeFiesta, YES Exploit, entre tantos otros) donde luego cada nodo infectado (zombi) es administrado vía web a través de un panel de control, están marcando una tendencia maliciosamente difícil de desprender de Internet.

Sin embargo, es muy ameno ver cómo esas medidas de protección que tanto buscamos a través de diferentes esquemas, en muchos casos, tampoco se tienen en cuenta del lado del crimeware :D dejando abierta la puerta del "parque" para que muchos nos podamos "divertir" al aprovechar sus debilidades.

Y esto no resulta tan ilógico si tenemos en cuenta que se trata de programas, de código, que como cualquier otro, siempre se encuentran propensos a diversos fallos de programación, malas configuraciones o incluso configuraciones por defecto.

Es así que la falta de seguridad le jugó en contra a un ejemplar de un conocido y muy activo Kit de administración y control vía web llamado YES Exploit System...

... que luego de sortear su esquema de autenticación se pudo acceder a información detallada de cada nodo que forma parte de la botnet que se administra por intermedio del crimeware.

En consecuencia, quien manipula una importante cantidad de computadoras,terminó siendo siendo manipulado :-)

Sin embargo, resulta una buena oportunidad para ver datos estadisticos que almacena el aplicativo malicioso. Entre ellos:
  • Navegadores y sus respectivas versiones en los cuales se explotaron vulnerabilidades
  • Diferentes plataformas vulneradas
  • Equipos controlados
  • País de origen de cada nodo infectado
Además de otra información relevante para que el atacante sepa que tipo de exploit deberá utilizar en relación a la tecnología que más se utiliza (IE 7 y Windows XP).
Sin embargo, también observamos que existen equipos controlados con plataformas Linux y MacOS. Si bien ambas plataformas no poseen la misma cantidad de víctimas como en el caso de las plataformas Microsoft, lentamente marca una tendencia sobre códigos maliciosos desarrollados para estas plataformas.

Información relacionada
YES Exploit System. Otro crimeware made in Rusia
ZeuS Carding World Template. Jugando a cambiar la cara de la botnet
Adrenalin botnet: zona de comando. El crimeware ruso marca la tendencia
Chamaleon botnet. Administración y monitoreo de descargas
Unique Sploits Pack. Crimeware para automatizar la explotación de vulnerabilidades
Barracuda Bot. Botnet activamente explotada
Creación Online de malware polimórfico basado en PoisonIvy


# pistus

0 comentarios:

Publicar un comentario en la entrada