Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

miércoles, 30 de septiembre de 2009

Compendio mensual de información. Septiembre 2009

Pistus Malware Intelligence Blog
28.09.09 Propagación automática de códigos maliciosos vía http
26.09.09 Una recorrida por los últimos scareware XV
26.09.09 Nueva versión de Eleonore Exploits Pack In-the-Wild
24.09.09 CYBINT en el negocio de los ciber-delincuentes rusos
21.09.09 Eficacia de los antivirus frente a ZeuS
18.09.09
Inteligencia informática, Seguridad de la Información y Ciber-Guerra
17.09.09 Phoenix Exploit’s Kit. Otra alternativa para el control de botnets
17.09.09 Green IT utilizado para la propagación de scareware II
15.09.09 Green IT utilizado para la propagación de scareware
12.09.09 Una recorrida por los últimos scareware XIV
09.09.09 La peligrosidad de una nueva generación de bootkits
07.09.09 iNF`[LOADER]. Control de botnets, marihuana y propagación de malware
04.09.09 Bootkit multiplataforma al ataque. ¿La resurrección de los virus de arranque?

Evil Fingers Blog
29.09.09 Automatic propagation of malicious code via http
28.09.09 CYBINT in the business of Russian cybercriminals
26.09.09 A recent tour of scareware XV
26.09.09 New version of Eleonore Exploits Pack In-the-Wild
21.09.09 Effectiveness of the antivirus front ZeuS
20.09.09 Computer Intelligence, Information Security and Cyber-Warfare
19.09.09
Phoenix Exploit's Kit. Another alternative for controlling botnets
13.09.09 The danger of a new generation of bootkits
12.09.09 iNF`[LOADER]. Control of botnets, marihuana, and spreading malware
06.09.09 Bootkit multi-platform attack. Is the resurrection of the boot viruses?


ESET Latinoamérica Blog
30.09.09 Reporte de amenazas de septiembre
25.09.09 Agresiva generación de rootkits
18.09.09 El rogue se hace eco de las tecnologías verdes
11.09.09 Listado de programas de seguridad falsos VII
09.09.09 Facebook amenazado por una solución de seguridad antivirus falsa
08.09.09 Spam a través de Skype


Información relacionada
Compendio mensual de información 2009

Diciembre - Noviembre - Octubre - Septiembre - Agosto - Julio
Junio - Mayo
- Abril - Marzo - Febrero - Enero

Jorge Mieres

Ver más

lunes, 28 de septiembre de 2009

Propagación automática de códigos maliciosos vía http

Muy bien sabemos que los procesos por automatizar la propagación de malware es uno de los objetivos básicos de cualquier ciberdelincuente, independientemente de los vectores de ataque y tecnologías que se empleen.

En este sentido, Internet se ha transformado en la cuna que mece diferentes alternativas de piezas maliciosas a través de alternativas de ataque que día a día evolucionan. Hace varios años atrás era bastante difícil suponer que con el solo hecho de acceder a una página se corre el peligro de infección si se cumplen determinados requisitos en el sistema, requisitos que tienen que ver básicamente con las actualizaciones del sistema operativo y aplicaciones.

Hoy, nos encontramos con script’s cuyas instrucciones son creadas maliciosamente y forman parte de un ciclo de propagación e infección, lamentablemente, muy efectivo. Un ejemplo concreto, no solo de evolución sino también de efectividad, lo constituye la técnica Drive-by-Download junto a su versión evolucionada de ataques Multi-Stage; altamente empleada por botmasters para propagar amenazas.

El siguiente, es un escenario real que ejemplifica con mayor claridad lo que acabo de contar. Se trata de una página web alojada en Estados Unidos bajo la IP 66.116.197.186 en AS32392. A continuación se observa una captura de la web.

Los dominios alojados en esa misma IP son:
  • phonester.biz
  • phonester.com
  • phonester.info
  • phonester.net
  • phonester.org
Cuando se accede desde Windows, a través de un script embebido en el código HTML, se ejecuta automáticamente una ventana proponiendo la descarga de Flash Player. Obviamente, es falso. El archivo que se propaga se llama “install_flash_player.exe(abed2d16e5e4c3e369114d01dff4b19c) y posee un índice de detección bajo, ya que solo casi el 25% de los motores antivirus detecta el malware que se encuentra In-the-Wild.

Este procesamiento automático se lleva a cabo, como dije anteriormente, a través de un script, cuya captura se observa a continuación. La cuestión con esto es, probablemente, que cuando el usuario acceda no se lleve ningún indicio sobre contenidos maliciosos, de hecho la página no contiene enlaces, sólo una imagen.

Sin embargo, de forma transparente se ejecuta el script que incita a la descarga del falso Flash Player. Ahora… el tema no termina aquí. Desde un punto de vista más técnico, hay muchos detalles que son difíciles de no captar.

En principio, al desofuscar el script, obtenemos una serie de datos relevantes. El script posee etiquetas iframe que direccionan a una serie de páginas web desde donde se descargan otros archivos maliciosos.
  • diggstatistics.com/flash/pdf.php
  • diggstatistics.com/flash/directshow.php
  • diggstatistics.com/flash/exe.php
Los archivos que descarga son “tylda.exe(abed2d16e5e4c3e369114d01dff4b19c) que tiene una baja tasa de detección (5/41-12.20%) y “pdf.pdf(9cc400edcdc5492482f5599d43b76c0c) con una tasa de detección también baja (13/41-31.71%) y diseñado para explotar vulnerabilidades en Adobe reader y acrobat. Adobe util.printf overflow (CVE-2008-2992) y Adobe getIcon (CVE-2009-0927) respectivamente.

Por otro lado, en el hipotético caso de que el archivo que se descarga en primera instancia (install_flash_player.exe) sea ejecutado, este establecerá conexión contra 174.120.61.126/~garynic/ desde donde descargará el binario “coin.exe(258c0083f051b88ea36d3210eca18dd7) con un índice de detección también bastante pobre. Este archivo se descarga de forma aleatoria desde:
  • digital-plr.com
  • giggstatistics.com
  • xebrasearch.com
Con respecto al ASN en el cual se encuentran estas amenazas, pose un historial delictivo interesante, ya que es empleado para llevar a cabo actividades de phishing como propagación de malware. Según la siguiente imagen, el pico más alto de actividades de phishing se produjo el 1 de marzo de 2009, mientras que las de códigos maliciosos fue el 12 de septiembre de 2009.

Es decir, estas actividades se explotan en conjunto, no de manera aislada. Esta información no da la pauta de suponer que detrás de todas estas actividades delictivas se esconde la codicia de algún botmaster, ya que las acciones son típicas de una botnet.

Información relacionada
Propagación de Malware (...) con formato de blogging y BlackHat SEO
Simbiosis del malware actual. Koobface
Scareware. Repositorio de malware In-the-Wild
Masiva propagación de malware (...) sitios de entretenimiento
Análisis esquemático de un ataque de malware basado en web

Jorge Mieres

Ver más

sábado, 26 de septiembre de 2009

Una recorrida por los últimos scareware XV

Nueva ola de scareware que corre en Internet. Como aclaro en cada una de las entradas de esta serie, la lista que componen las presentes URL's y direcciones IP representa tan sólo un porcentaje menor, muy pequeño, del impresionante caudal de IP's y dominios que día a día propagan este tipo de malware.

MicroVaccine
MD5: 96a2cfdb534b547518a446a48150624e
IP: 218.38.15.85
Korea, Republic Of Korea, Republic Of Seoul Hanaro Telecom Inc
Dominios asociados
clear-pc.net
microvaccine.net
vaccine2009.com
virusbye.net

Result: 24/41 (58.54%)

Omega AntiVir = Windows System Suite
IP: 64.86.16.161
Canada Canada Brampton Velcom
Dominios asociados
omegaantivir.com
trustshields.cn
update1.omegaantivir.com


Contraviro
MD5: 8b1555ab8de5f4884e95e72d1755c984
IP: 195.2.253.44
Russian Federation Russian Federation Madet Ltd
Dominios asociados
antiviruscontraviro.com
contraviro.com
securedpaymentprocessor.com


Result: 7/41 (17.07%)

Soft Safeness = Save Defender = Trust Warrior
IP: 83.233.30.66, 91.212.127.131
Sweden Sweden Stockholm Serverconnect I Norrland
United Kingdom United Kingdom Telos Solutions Ltd
Dominios asociados
mail.safetykeeper.com, mail.savekeeper.com, mail.softsafeness.com, ns1.safetykeeper.com, ns1.savekeeper.com, ns1.softsafeness.com, ns2.mitrokili.com, ns2.mredkizerut.com, ns2.ofcilamed.com, ns2.propinutrek.com, ns2.sdrukap.com, ns2.vcerukam.com, ns2.vderuwerol.com, ns2.vredupotre.com, ns2.vtromik.com, softsafeness.com, www.safetykeeper.com, www.softsafeness.com

MicroV3
MD5: 783385a90259131a89da62d10df67fa6
IP: 220.73.161.54
Korea, Republic Of Korea, Republic Of Seoul Thrunet Co. Ltd
Dominios asociados
cocoda.co.kr, dvccode.com
i-viewtec.com, microv3.com
newocn.net, phoneboja.com
rich09.com, samsung77.com
www.cocoda.co.kr
Result: 22/41 (53.66%)

malwareurlirblock.com/1/ (83.133.125.116) - Germany Germany Lncde-greatnet-newmedia
windows-protectionsuite.com (206.53.61.75) - Canada Canada Thornhill Rcp.net
antivirus-plus09.com/install/avplus.exe (195.95.151.176) - Ukraine Ukraine Kiev Limited Corp
windows-shield.com, adware-finder.com, av-safety.com, avidentify.com, avir-guardian.com
avir-protect.com
aviraplatinum.com
aviremover.com
aviremover2009.com
avirguardian.com
avremoverpro.com
awareprotect.com
awareremover.com
epcsecurity.com
esysprotect.com
intsecurepro.com
intsecureprof.com
oemantivir.com
osadwarekill.com
osawarepro.com
scanforspywarenow.com
virusermoverpro.com
viruskill2009.com
wins-guard.com
www.avir-guardian.com
www.avir-protect.com
www.esysprotector.com (91.206.201.8) -Ukraine Ukraine Pe Sergey Demin
scareware-killer.com (213.155.22.193) - Ukraine Ukraine Tehnologii Budushego Llc
windowsprotection-suite.net (64.213.140.68) - United States United States Global Crossing
smogcatalog.info/scan/vds.php (64.27.5.63) - United States United States Yucca Valley Airlinereservations.com Inc
weragumasekasuke.com/10580532 (204.12.219.133), vuilerdomegase.com/10580532 (204.12.219.132), vulertagulermos.com/10580532 (204.12.219.131), scukonherproger.com (204.12.219.149) - United States United States Kansas City Wholesale Internet Inc
luxmediacodec.com/av-scanner.0.exe (64.191.53.230) - United States United States Scranton Network Operations Center Inc
easynettest.com/install/ws.exe (62.90.136.237) - Israel Israel Haifa Barak I.t.c
ynoubfa.cn/?uid=186&pid=3&ttl=41a4951046e (64.86.25.201), trustsystem-protect.com, online-scanandsecure.net - (64.86.16.119) - Canada Canada Brampton Velcom
winfixscanner1.com/download/Soft_21.exe, delete-all-virus09.com (213.163.89.60) - Netherlands Netherlands Rotterdam Telos Solutions Ltd
lakrapi.com/1/antivirus_pro_2009_v3.18.exe (87.118.118.246) - Germany Germany Erfurt Keyweb Ag Ip Network
yourcomp.us/antivirus_setup.exe (91.212.198.152) - Russian Federation Russian Federation Individual Retailer Nevedomskiy A A

Proof Defender 2009
IP: 76.76.101.85
United States United States Portland Donald Wildes
Dominios asociados
defender-2009.com
ns1.pdefzone.com
ns2.pdefzone.com
proofdefender.com
proofdefender2009.com
www.pdefender2009.com
www.proofdefender.com

System Cleaner
IP: 69.64.33.242
United States United States Lancaster Hosting Solutions International Inc
Dominios asociados
brand-supplier.net, brands-house.com, brands-house.net, brands-sales.com, brands-vendor.com, brands-vendors.com, brands-vendors.net, discounts-shop.net, discounts-store.com, doctroshield2009.com, fashion-vendors.com, fashion-vendors.net, firstantivir2009.com, firstprotection2009.com, kicks-buy.com, kicks-buy.net, kicks-discount.com, kicks-discount.net, kicks-discounts.com, kicks-discounts.net. kicks-mall.com, kicks-shop.com, kicks-stock.com, kicks-supplier.com, kicks-vendors.com, kicks-vendors.net, liveantivir.com, liveprotectpro.com, luxury-mall.com, luxury-stock.com, myantivirus2009.com, mypharmshop.com, myprotectsuite.com, onguardsoft.com, onlineantivirpro.com, own-shoes.com, own-shoes.net, psp-shop.com, sneakers-buy.com, sneakers-sale.com, sneakers-sales.com, sneakers-stock.com, watches-supplier.com, www.luxury-mall.com

Privacy Center
MD5: 3731bde3c476993cbec9e849e4922c87
IP: 83.233.165.149
Sweden Sweden Stockholm Serverconnect I Norrland
Dominios asociados
crusade-new.com
privacy-software.info

Result: 6/41 (14.63%)

El objetivo es tomar esta información como recurso para bloquear las direcciones dañinas.

Información relacionada
Una recorrida por los últimos scareware XIV
Una recorrida por los últimos scareware XIII
Una recorrida por los últimos scareware XII
Una recorrida por los últimos scareware XI
Una recorrida por los últimos scareware X
Una recorrida por los últimos scareware IX
Una recorrida por los últimos scareware VIII
Una recorrida por los últimos scareware VII
Una recorrida por los últimos scareware VI
Una recorrida por los últimos scareware V
Una recorrida por los últimos scareware IV
Una recorrida por los últimos scareware III
Una recorrida por los últimos scareware II
Una recorrida por los últimos scareware I

Jorge Mieres

Ver más

Nueva versión de Eleonore Exploits Pack In-the-Wild

Como es habitual, el crimeware sigue un ciclo de desarrollo que no pierde el eje gestado en las mentes de los ciberdelincuentes que se encuentran detrás de su comercialización: el dinero.

Este ciclo depende directamente de quien desarrolle el crimeware; por ejemplo, en el caso de ZeuS, el ciclo ronda los 30 días; es decir, aproximadamente, cada mes aparece una nueva versión de ZeuS, y así con cualquiera de las otras alternativas.

En este caso, se trata de una nueva versión, la 1.3B, de Eleonore Exploits Pack, este paquete diseñado para administrar y controlar zombis de una botnet que sigue un ciclo de desarrollo similar al mencionado anteriormente al referirme a ZeuS, uno de sus colegas.

Todavía no se ha puesto a la venta de forma directa esta versión de Eleonore Exp, sino que se encuentra disponible de manera exclusiva y, por el momento, solo existen algunas versiones de test con las cuales se está experimentando su funcionamiento.

En otras palabras, esta nueva versión no se encuentra en el ambiente clandestino especializado y es adquirida sólo a través de su programador.

Por el momento no he podido abordar con mayor profundidad este ejemplar, sin embargo, estimo que quizás el cambio más relevante radica en torno a la disponibilidad de nuevos exploits, optimización de la conectividad y mejoras en el proceso de inteligencia destinado a la obtención de datos estadísticos relacionados a las zombis (países, navegadote, OS, entre otros).

Aún así, esto refleja el “entusiasmo” con el cual los ciberdelincuentes trabajan para “optimizar” (mejoras diría su creador, quien se hace llamar Exmanoize) el abanico de funcionalidades maliciosas incorporadas en cada variante.

Información relacionada
Phoenix Exploit’s Kit. Otra alternativa para el control de botnets
iNF`[LOADER]. Control de botnets, marihuana y propagación de malware
Liberty Exploit System. Otra alternativa crimeware para el control de botnets
Eleonore Exploits Pack. Nuevo crimeware In-the-Wild

Jorge Mieres

Ver más

jueves, 24 de septiembre de 2009

CYBINT en el negocio de los ciber-delincuentes rusos

Quienes siguen esporádicamente este blog habrán notado que casi todo este año he dedicado la mayoría de los post a poner en evidencia muchas de las aplicaciones que desde Rusia inundan un mercado clandestino donde crimeware de todo tipo se pone a disposición de ciber-delincuentes profesionales (botmasters, spammers, phishers, ¿ciber-sicarios?, ¿ciber-terroristas?, entre otros) pero sin descuidar a los aspirantes que buscan convertirse en delincuentes de alto rango.

En este sentido, el tiempo nos permite ser testigos de cómo se gesta esta industria clandestina alimentada fuertemente por países de Europa del Este (particularmente Rusia), China, y algunos países latinoamericanos encabezados por Brasil. Sin embargo, el caudal y la atención se centran en Rusia, y como dije en alguna oportunidad, me recuerda al mundo que describe Gibson en Neuromante, donde la comercialización clandestina de programas maliciosos se desarrolla en calles oscuras del suburbio.

Quizás, al igual que yo lo hice en algún momento, muchos se preguntarán, independientemente del tipo de crimeware que se oferte o de las motivaciones (la principal tiene un acrónimo: USD) de los ciber-delincuentes, ¿quiénes se encuentran detrás de esto?

Si tenemos en cuenta que la venta de programas se realiza en torno a un negocio oscuro que forma parte de una industria que opera desde la clandestinidad (RBN - Russian Business Network – Red de Negocios de Rusia), que existen células bien organizadas que llevan a cabo fraudes a través de Internet (p.e. scammers rusas), espionaje empresarial (contratando piratas informáticos), entre otras cosas, es fácil deducir que todo tiene una connotación mafiosa. Y si profundizamos más en torno al origen de la mafia rusa, concluiremos fácilmente en que fue gestada por ex agentes de la KGB (Inteligencia de la ex Unión Soviética).

De hecho, se estima que esta red criminal cuenta con ex agentes de lo que fue la KBG y que actualmente, en más de una oportunidad, ha trabajado en conjunto con la FSB (Federal Security Service of the Russian Federation), el sucesor de la KGB.

¿Qué quiero decir con esto? Aunque quizás lo que escribo puede parecer extremo, nos encontramos en tiempos en los cuales somos testigos de los conflictos virtuales que involucran a ciertos países. Esos ataques informáticos que vemos en las películas de Hollywood, un poco exagerados, en los últimos años han dejado la ficción para entrar en la escena del mundo real, y en este sentido, CYBINT (Cyber Intelligence) juega un rol fundamental.

Por ejemplo, cada vez son más los casos de defacement que, si bien no es algo nuevo, hacen noticia cuando se afecta la disponibilidad de los sitios web de los gobiernos que forman el centro de la ciber-guerra (Cyber-Warfare) de turno. Los ataques de DDoS (Distributed Denial Of Service), que se llevan a cabo a través de botnets, como el que sufrió el sitio web del presidente de Georgia durante el conflicto con Rusia, que de hecho los rusos se cargaron un par más (Estonia y Lituania), son claros ejemplos de acciones que buscan complementar las operaciones a nivel militar.

Lo llamativo de casos como los mencionados en el párrafo anterior, dejan en completa evidencia que existe una planificación previa, de forma coordinada; lo que no es otra cosa que un plan de inteligencia. En el caso de los defacement, aunque parezca trivial, podríamos decir que dentro del conflicto, forma parte de acciones psicológicas que buscan debilitar la moral del bando contrario.

Sin embargo, otros aspectos menos triviales también forman parte de los planes de inteligencia, y generalmente se explotan a través de recursos tecnológicos, p.e. atacar la disponibilidad de las redes telefónicas (COMINT), la interrupción de señales atacando satélites y otras redes (SIGINT), incluyendo las de carácter público, afectando la confidencialidad de las personas a través de malware.

Bajo toda esta escenografía, la RBN, una de las organizaciones ciber-criminales más grandes que opera bajo la infraestructura que ofrece Internet, es la base que permite cometer, desde Rusia (aunque hay un fuerte rumor en torno a que la RBN está migrando sus actividades hacia China), infinidad de acciones maliciosas canalizadas en pedofilia, pornografía, comercialización de crimeware, malware, phishing, botnets, y muchas más.

Esto demuestra que realmente los aspectos que involucra el ciber-crimen se encuentran controlados y dirigidos por una mafia en la cual, los ciber-delincuentes rusos conforman una de las piezas más importantes para el desarrollo de la industria crimeware a nivel global, y como podemos apreciar… Todo vale y todo se fusiona con todo…

Información relacionada
Inteligencia informática, Seguridad de la Información y Ciber-Guerra
Los precios del crimeware ruso. Parte 2

# Jorge Mieres

Ver más

lunes, 21 de septiembre de 2009

Eficacia de los antivirus frente a ZeuS

Luego de la liberación del código de ZeuS durante el 2007, sin lugar a dudas, además de ser una de las botnets más grandes, su troyano se ha convertido en uno de los que posee un mayor índice de infección a nivel global.

En este mismo blog hemos abordado algunas características de esta botnet, que con más de 20 versiones desde su aparición, últimamente ha tomado mayor relevancia en los medios de información especializados gracias a una serie de informes que describen algunos de sus aspectos más relevantes

Por ejemplo RSA, hace poco tiempo publicó un informe sobre fraudes en línea describiendo la incorporación de un componente Jabber que de forma instantánea alerta a los botmasters cuando se ha reclutado una nueva zombi. S21Sec recientemente realizó un seminario en línea sobre la evolución de ZeuS en el que describieron sus patrones más relevantes entre otros detalles técnicos.

Se suma a esta ola la empresa Trusteer, que según un corto pero interesante informe liberado recientemente, presenta a ZeuS desde una perspectiva diferente. Bajo el título "Measuring the in-the-wild effectiveness of Antivirus against Zeus" deja en evidencia la eficacia de las soluciones de seguridad antivirus frente al código malicioso que propaga esta botnet en particular.

Hay algunos datos interesantes que se desprenden del informe. Según el mismo, actualmente ZeuS posee bajo su mando aproximadamente 3,6 millones de computadoras sólo en USA y a nivel global el 44% de las zombis que forman parte de botnets; lo cual deja bien claro que actualmente es la red de zombis más grande.

En este sentido, la respuesta que podría dar fundamento fuerte a estos datos quizás se deba a la popularidad que ha tenido ZeuS en el ambiente clandestino de comercialización del mercado ruso gracias a su bajo costo, del crimeware en general, y a la liberación de sus primeras versiones en diferentes foros desde los cuales es posible conseguirlos de forma gratuita.

De hecho, de las dos generaciones de ZeuS (versión 1 y 2) un alto porcentaje de botnets In-the-Wild pertenecen a la primera generación con un amplio repertorio de versiones que van desde la 1.0.x.x a la 1.1.x.x.

Actualmente, ZeuS se encuentra por su versión pública 1.2.5 aunque existen versiones privadas con algunas modificaciones (mejoras para los botmasters) que por el momento no se consiguen en la clandestinidad under pero que se encuentran In-the-Wild como el caso de la versión 1.2.7.

Sin embargo, lo más importante de este informe, como lo mencioné líneas arriba, se canaliza en la eficacia de los antivirus en cuanto al índice de detección que presentan de su troyano.

Si bien los datos reportados por Trusteer son muy interesantes hay una serie de cuestiones que se deben tener en cuenta. Una de ellas y que cabe aclarar es que ZeuS posee una aplicación interna mediante la cual se genera el binario a propagar y el archivo de configuración desde el que toma la información fraudulenta para los ataques de phishing y demás. Pero además, permite ejecutar otros ataques a través de exploits diseñados para aprovechar vulnerabilidades de las aplicaciones de flash y lectores PDF mediante archivos .pdf y .swf.

Por otra parte, la muestra tomada para el análisis fue de 10.000 zombis, que si bien no refleja un dato real de equipos infectados con ZeuS permite obtener información precisa y una idea lo suficientemente concreta sobre el riego de seguridad que representa el malware.

Lo más preocupante, según el informe, los datos de infección recogidos se encuentran basados en tres factores que involucran directamente a los antivirus y de los cuales se desprenden los siguientes niveles de eficacia:
  • Computadoras sin antivirus: el 31% infectados con ZeuS
  • Computadoras con antivirus desactualizado: el 14% infectados con ZeuS
  • Computadoras con antivirus actualizado: el 55% infectados con ZeuS
Esto significa que la eficacia de los programas antivirus es baja, porque el índice de detección de ZeuS es bajo. ZeuS es un código malicioso complejo que desde el principio incorpora un módulo de cifrado y esto hay que tener en cuenta.

Cada distribución de su binario significa una nueva variante que amplia nuevamente el tiempo de respuesta de los AV incorporando nuevas víctimas e incrementando su familia. Más complejo aún, si tenemos en cuenta que el binario puede ser (y lo es) sometido a procesos anti-análisis que se ofrecen a granel en Internet.

Información relacionada
Especial!! ZeuS Botnet for Dummies
Fusión. Un concepto adoptado por el crimeware actual
Botnet. Securización en la nueva versión de ZeuS
ZeuS Carding World Template. (...) la cara de la botnet
Entidades financieras en la mira de la botnet Zeus II
Entidades financieras en la mira de la botnet Zeus I
LuckySploit, la mano derecha de Zeus
ZeuS Botnet. Masiva propagación de su troyano II
ZeuS Botnet. Masiva propagación de su troyano I

Otros paquetes para control de botnets
Phoenix Exploit’s Kit
iNF`[LOADER]
Hybrid Botnet Control System
Botnet Open Source
Fragus
Liberty Exploit System
TRiAD HTTP Control System
Eleonora Exploit Pack
ElFiesta
Unique Sploits Pack
Adrenaline
Chamaleon
YES Exploit System
Barracuda

Actividades botnet
Waledac/Storm. Pasado y presente de una amenaza latente
Simbiosis del malware actual. Koobface
Entendiendo las redes Fast-Flux
Danmec Bot, redes Fast-Flux y reclutamiento de Zombies PCs

Jorge Mieres

Ver más

viernes, 18 de septiembre de 2009

Inteligencia informática, Seguridad de la Información y Ciber-Guerra

Sin lugar a dudas, cada vez somos más dependientes de la tecnología y las redes computacionales, no solo a nivel hogareño, sino que también en niveles mucho más altos como lo son los empresariales y gubernamentales donde la necesidad de obtener y preservar la información se tornan acciones relevantes.

Bajo este escenario, se generan nuevos desafíos y nuevas estrategias para abordar esos desafíos que, al mismo tiempo, marcan las reglas de un juego donde los recursos tecnológicos, la información y los procesos de inteligencia son las piezas fundamentales para asegurar la continuidad de los negocios (en materia comercial) y la operatividad de proyectos gubernamentales/militares en cualquiera de sus niveles.

Por un lado, porque los ambientes empresariales invierten dinero en nuevas y mejores tecnologías que permitan garantizar la persistencia de sus negocios y evitar que su información llegue a manos de la competencia, cuidándola celosamente a través de esquemas de seguridad que buscan frenar el accionar de sicarios informáticos que a menudo se contratan para realizar espionaje.

Por el otro, los Estados también invierten en tecnologías a través de sus servicios de inteligencia (estatales y militares) dando origen a nuevas formas de obtener información de manera oportuna bajo el empleo de recursos técnicos y diferentes fuentes de información; canalizando así una gran competencia que intenta constantemente avanzar sobre sus enemigos para apoderarse de la información que delate los planes (geopolíticos, militares y económicos) de otras naciones.

Esto hace que inevitablemente, desde un punto de vista particular, quienes nos dedicamos a seguridad de la información debamos canalizar parte de los esfuerzos en agregar al estado del arte ciertas actividades y metodologías que antiguamente sólo se adjudicaban a los servicios de inteligencia.

En este sentido, las iniciativas gubernamentales por proteger sus perímetros tecnológicos reciben especial atención por parte de diferentes Estados que se encuentran involucrados en una guerra que se gesta en un escenario que muchos pueden considerar nuevo, pero que sin embargo no lo es: el virtual, y cuyas estrategias de “combate” se llevan a cabo a puertas cerradas empleando algo tan común en la actualidad como lo es Internet.

Estos combates, no se basan en asesinatos en masa como en una guerra convencional, sino que se basan en aspectos informáticos y tecnológicos. En consecuencia, quienes mejor tecnologías desarrollen y mejor la apliquen, gozaran de la capacidad para obtener mayor y mejor nivel de información. Esta forma de lucha no convencional y a gran escala recibe el nombre de Cyber-Warfare, o según su traducción al español, Ciber-Guerra.

¿De qué estamos hablando? Se trata de la utilización de medios informáticos para llevar a cabo una guerra a través de Internet. Bajo esta perspectiva, se torna necesario recurrir a Inteligencia Informática (CYBINT - Cyber Intelligence).

Desde una perspectiva amplia, la Cyber-Warfare no es diferente a lo que realizan los especialistas en Seguridad de la Información al tratar de diseñar estrategias defensivas, y ofensivas, destinadas a la salvaguarda y protección de la información, ya sea a nivel gubernamental o privado.

¿Podemos decir entonces que quienes nos dedicamos a esto somos soldados de una guerra virtual que se desarrolla a nivel mundial? Yo diría que indirectamente sí. Que formamos parte de una gran guerra virtual que se alimenta de otras más chicas y particulares.

Desde la existencia misma de los servicios de inteligencia, la información pasó a ser el botín de guerra y, al mismo tiempo, el alimento con el que día a día se nutren independientemente de los métodos y mecanismos que se utilicen para su obtención. Entonces es evidentemente la razón por la cual se diseñan mecanismos que permitan obtenerla en tiempo y forma.

Se gestan estrategias y tácticas de combate virtual y hasta hipótesis de conflictos planeadas minuciosamente por analistas de inteligencia y otros personajes del ambiente secreto que se entretienen desde un escritorio diseñando los planes de acción que permitan implantar rumores, acciones de desvío y campañas de propaganda para encubrir cuestiones “beneficiosas” (en el sentido amplio de la palabra) sin llamar la atención de los demás; incluso, a través de malware.

Es entonces que una de las piezas mas importantes de la Cyber-Warfare es la Guerra de información (Information Warfare), o simplemente GI; pero a través de medios informáticos y donde los soldados son personas con amplios conocimientos informáticos que no arriesgan sus vidas en el campo de batalla, sus armas son las computadoras y sus municiones son los bits.

Los servicios de inteligencia lo saben muy bien y siempre estuvieron involucrados en maniobras computacionales destinadas a “saber más de los otros” (personas, gobiernos, empresas…), recurriendo al espionaje informático por medio de acciones que involucran recursos tecnológicos como COMINT (Communications Intelligence) y otras no tanto como HUMINT (Human Intelligence) pero que guardan relación directa con Seguridad de la Información, entre otras actividades propias de la inteligencia militar.

Todas estas cuestiones las vimos directamente aplicadas en conflictos relevantes que se gestaron en los últimos años con casos como los de USA e Israel, Rusia y Estonia, entre otros donde el hacktivismo, el vandalismo informático, las campañas propagandistas y las estrategias de acción psicológicas inundan Internet con el solo hecho de debilitar al oponente.

La primera pregunta que quizás se crea en la mente es ¿por qué utilizar la tecnología de esta forma? Bueno... Sun Tzu lo aclaro de manera excelente cuando todavía no se hablaba de todo esto: “El enemigo que actúa aisladamente, que carece de estrategia y que toma a la ligera a sus adversarios, inevitablemente acabará siendo derrotado”.

# Jorge Mieres

Ver más

jueves, 17 de septiembre de 2009

Phoenix Exploit’s Kit. Otra alternativa para el control de botnets

Se trata de otra de las alternativas existentes en el mercado clandestino de crimeware. En este caso, otra aplicación web desarrolla en php y originaria de Europa del Este. Phoenix Exploit’s Kit.

Este paquete se compone de nueve (9) exploits:
  • IE6 MDAC
  • MS Office Snapshot
  • PDF Collab / printf / getIcon en Adobe Reader
  • IE7 MEMCOR en Internet Explorer 7, Windows XP y Windows Vista
  • FF Embed
  • Flash 9 en plugin vulnerable de Shockwave Flash
  • IE6/IE7 DSHOW
  • JAVA en JRE
  • Flash 10 en las versiones 10.0.12.36 y 10.0.22.87 de Flash Player
En cuanto al procesamiento de información, Phoenix permite, como es habitual en la mayoría de este tipo de programas, obtener datos estadísticos sobre los tipos de navegadores (MSIE, Firefox, Opera, entre otros), versiones de los navegadores, tipo de sistemas operativos infectados, paises de origen y algunos datos mas que en su conjunto se transforman en un proceso de Inteligencia habitual llevado a cabo por los botmasters.

Si bien Phoenix Exploit’s Kit no es un desarrollo reciente, su primera versión surgió en el auge de este tipo de crimeware (2007), actualmente se encuentra en el “negocio” clandestino a un precio competido que ronda los USD 400 al ser adquirido con un dominio.

Phoenix se suma a la colección y a la oferta de un mundo delictivo que día a día mueve el engranaje underground de los negocios oscuros y clandestinos del mercado ruso de crimeware.

Información relacionada
iNF`[LOADER]. Control de botnets, marihuana y (...) malware
Fragus. Nueva botnet framework In-the-Wild
Liberty Exploit System. Otra alternativa crimeware...
Los precios del crimeware ruso. Parte 2
Eleonore Exploits Pack. Nuevo crimeware In-the-Wild

Jorge Mieres

Ver más

Green IT utilizado para la propagación de scareware II

Anteriormente habíamos visto la utilización como estrategia de engaño y “recurso de atracción”, ciertos aspectos relativos a la llamada computación verde (Green IT), empleando fundamentos de venta fuertes para relacionar la problemática que plantea Green IT con los códigos maliciosos desde una perspectiva un tanto analítica.

Sin embargo, existen aspectos técnicos que podemos relacionar y cuyos datos procesar de forma sencilla para entender, con mayor nivel de profundidad, el modo de operación de los ciberdelincuentes que se encuentran detrás de estas amenazas y el uso, o abuso, de diferentes técnicas.

Continuando con el ejemplo del anterior post que habla sobre el scareware Green IT, por el momento se desprende que los dominios utilizados para propagar la amenaza se encuentran alojados bajo la dirección IP 174.142.96.2. Estos dominios son:
  • avsolutiondwn .info
  • green-av-pre .com
  • green-av-pro .com
  • my-green-av-pro .com
  • my-green-av .com
  • ntrytodownload .info
  • progresivescan .info
  • zp4.green-av .com
El hosting se encuentra ubicado en Canada Canada. Precisamente en Montreal, en la compañía Iweb Technologies Inc que ofrece servicios de alojamiento web a bajo costo.

Cabe destacar que en esta compañía se han alojado códigos maliciosos tipo scareware como iMunizator, MacSweeper (ambos diseñados para explotar MacOS), Antivirus Best, Total Security, AV Protect y Virus Doctor, entre tantos otros.

En cuanto al Número de Sistema Autónomo (Autonomous Systems Number - ASN) se trata del 32613 (AS32613)

Incluso, según el servicio FastFlux Tracker de dnsbl.abuse.ch, este ASN se encuentra asociado a actividades relacionadas con botnets que hacen uso de técnicas Fast-Flux.

En base a este poco volumen de información, se puede deducir fácilmente que cuando de hacer dinero a través de mecanismos fraudulentos se refiere, entran en juego diferentes actores y técnicas que interactúan entre sí para obtener un mayor rédito económico, intentar que la amenaza propagada llegue a la mayor cantidad de usuarios posible y, al mismo tiempo, el rastreo del origen de la diseminación se transforme en una tarea engorrosa.

Información relacionada
Una recorrida por los últimos scareware X
Atacando sistemas Mac a través de falsa herramienta de seguridad
Entendiendo las redes Fast-Flux

# Jorge Mieres

Ver más

martes, 15 de septiembre de 2009

Green IT utilizado para la propagación de scareware

Hace un tiempo escuchaba una charla muy interesante en un evento de tecnología muy importante en Centro América, en donde se mostraban ciertos aspectos tecnológicos que, de utilizarlos con un mayor nivel de eficiencia, ayudan a disminuir el impacto que estos provocan sobre el sistema ambiental. Esto se conoce bajo la nomenclatura de Green IT, cuya traducción al español es Tecnologías verdes o computación verde.

Se trata básicamente de un concepto que busca definir un nivel de eficacia y eficiencia energética adecuada buscando un equilibrio que permita minimizar el impacto negativo que hasta el momento provocan los recursos tecnológicos sobre el medio ambiente.

La cuestión es que ciertos scareware (rogue) se han hecho eco de este concepto para lograr la atención de quienes nos encontramos interesados en la problemática generada por los recursos tecnológicos sobre el medio ambiental, utilizando, como es habitual en este tipo de malware, las clásicas maniobras de engaño que las caracterizan y que buscan una "inversión" por parte de los usuarios desprevenidos.

Se trata de la propagación de los scareware conocidos como Green Antivirus y Ecology Green PC.

En el caso de Green AV, y en razón del concepto que representa la computación verde, una de las estrategias de engaño que utiliza se basa en la promesa de "donar" USD 2 por cada venta para colaborar en la "salvación" de los árboles de la selva Amazónica, la selva tropical más grande del planeta.

Pero también los propagadores de esta amenaza, poseen un fuerte argumento que relaciona la protección del medio ambiente con el daño provocado por códigos maliciosos.

Bajo la frase "We thought that our application can guard not only your PC, but whole Earth - our home planet.", algo así como que el producto ofrecido (GreenAV) no solo protege el equipo de malware sino también ayuda a proteger el planeta; la estrategia maliciosa canaliza su argumento en que las consecuencias provocadas por diferentes códigos maliciosos (sobrecarga en el consumo de recursos) repercute en un mayor consumo energético por parte de la PC, aumentando los residuos no reciclables y desprendiendo así desechos tóxicos que perjudican el medio ambiental.


Más allá de lo verdadero del argumento, se trata de una estrategia que fundamenta de forma coherente la relación entre el malware y el medio ambiente para atraer más usuario e incitarlos a la compra de esa "buena solución de seguridad".

En la zona de pre-venta del sitio web, la estrategia fraudulenta se apoya aún más sobre la supuesta contribución que hasta el momento se ha concretado, mostrando el valor donado. En nuestro ejemplo la suma es de USD 23.965, 5005 sobre un valor real del malware "solución de seguridad antivirus ecológica" de casi USD 100, cuando un programa antivirus legítimo y con reputación posee un valor que ronda los USD 50.

Otro aspecto llamativo es el medio de pago que se emplea. Hace unos años, se utilizaba el mismo método pero con páginas clonadas de los servicios que permiten realizar pagos en línea, donde una de las recomendaciones más fuertes era verificar que la información depositada viaje segura (https).

Ahora, esto se realiza directamente empleando recursos válidos y legítimos, donde la información fluye de forma cifrada (lo podemos observar en la siguiente imagen). En este caso, utilizando el servicio que ofrece la compañía estadounidense Plimus, a través de un formulario que automáticamente realiza la conversión de la moneda en función del país desde el cual se acceda a la página.

Estas cuestiones a nivel estratégico planteadas para la propagación, en este caso, de scareware marca el nivel de profesionalismo y esfuerzo que depositan constantemente los desarrolladores maliciosos y demás personajes de este ambiente clandestino, como los spammers y botmasters, que se valen de maniobras similares de propagación a través, incluso, de botnets.

Es evidente también que cualquier noticia/novedad/tecnología olo que sea, es empleada de forma maliciosa enmascarada como benigna tras estrategias de Ingeniería Social.

Información relacionada
Una recorrida por los últimos scareware XIV
Supuesto Códec para crear videos HD utilizado como carnada para scam
Scareware. Repositorio de malware In-the-Wild
Scareware. Estrategia de engaño propuesta por Personal Antivirus
Campaña de propagación del scareware MalwareRemovalBot
Continúa la importante y masiva campaña scareware
Campaña de infección scareware a través de falso explorador de Windows
Nueva estrategia de IS para diseminar scareware

# Jorge Mieres

Ver más

sábado, 12 de septiembre de 2009

Una recorrida por los últimos scareware XIV

El scareware sigue su carrera de infección a través del reclutamiento de infinidad de dominios a disposición de los diseminadores, métodos de propagación cada vez más agresivos y mecanismos de engaño cada vez más profesionalizados y personalizados.

Lo que se presenta a continuación es una muestra más tomada de los últimos scareware, o rogue, que se encuentran circulando In-the-Wild por Internet buscando víctimas desprevenidas, y que representa solamente una pequeñísima porción del volumen diario.

Como siempre, lo recomendable es bloquear las direcciones IP que propagan estas amenazas.

Windows System Suite
IP: 64.213.140.69, 206.53.61.70, 206.53.61.74, 206.53.61.75, 206.53.61.72
United States United States Global Crossing
Canada Canada Brampton Rcp.net
Dominios asociados
fastantivirpro.com
malwarecatcher.net
mykeepplace.net
mysystemshield.net
pay2.malwarecatcher.net
pay2.malwaresdestructor.com
prestotuneup.com
shieldsystem.net
trustshields.cn
update2.virusshieldpro.com
update2.windowspcsuite.com
update2.windowsprotectionsuite.com
update2.windowssystemsuite.com
update2.winprotection-suite.com
websystemsec.info
windowsprotectionsuite.com
windowssystemsuite.com
download.fastantivirus09.com
fastantivirus09.com
files.fastantivirus09.com
pay2.fastantivirus09.com
pay2.virusshieldpro.com
promo.fastantivirus09.com
softdialog.com
update2.fastantivirpro.com
update2.fastantivirus09.com
update2.malwarecatcher.net
winprotection-suite.com
pay1.virusshieldpro.com
paymentvirusmelt.cn
update1.malwarecatcher.net
update1.windowspcsuite.com
update1.windowssecuritysuite.com
windowssecuritysuite-pro.com
www.gurusecurity.com

Registry Doktor 2009
MD5: 928a479a2896a150263fec2d4b41fa2f
IP: 97.74.143.59, 209.216.193.124
United States United States Scottsdale Godaddy.com Inc
United States United States San Diego Deploylinux Consulting Inc



Result: 8/41 (19.51%)

nameguards.cn/1/update.php?id=5 (91.212.198.152) - Russian Federation Individual Retailer Nevedomskiy A A
Con relación a este dominio, existe una clara fusión entre la propagación de diferentes códigos maliciosos, comúnmente a través de exploits que intentan aprovechar vulnerabilidades utilizando archivos PDF y SWF, donde el engranaje que mueve todo el mecanismo son las botnets. En este caso particular, se trata de una botnet controlada vía web a través de la aplicación rusa escrita en PHP llamada Liberty Exploit System. Su panel C&C se encuentra en http://nameguards.cn/1/admin.php

Green AV

IP: 174.142.96.2
Canada Canada Montreal Iweb Technologies Inc
Dominios asociados
avsolutiondwn.info
green-av-pro.com
mail.green-av-pro.com, mail.greencustomersupport.com, mail.my-green-av-pro.com, my-green-av-pro.com, my-green-av.com, ntrytodownload.info, p4678z.my-green-av.com, progresivescan.info, zp4.green-av.com

lowexe.com/av-scanner.48040.exe (213.239.211.251) - Germany Hetzner-rz-nbg-net
clean-all-spyware.com (88.198.105.149) - Germany Dmitry Lysenko
getyoursecuritynowv2.com (88.198.120.177) - Germany Hetzner
rude-xxx-tube.com/cgi-bin/update.pl?adv=1014&p=9 (92.241.177.207), downloadavr3.com/cgi-bin/download.pl?code=0001014 - Russian Federation Netplace
radioheadicon.cn, antivirusonlinescan03.com, antivirusonlinescan03.com/download/Scanner-7939d6_2006-71.exe (94.102.48.29) - Netherlands As29073 Ecatel Ltd
trafforgood.com/go.php?sid=1 (209.250.241.212) - United States Secaucus Rackvibe Llc
counterweb.cn/kl/index.php?out=1251137800 (112.137.162.150) - Malaysia Kuala Lumpur Tm Net Sdn Bhd
clean-all-spyware07.com/download/Antivirus_156.exe, best-virus-scanner6.com/download/Antivirus_156.exe (193.169.12.70) - Belize Financial Company Titan Ltd
winfirewallupdatesv2.com/Driver.exe (89.47.237.52) - Romania Baia Mare Sc Globe Hosting Srl
prikulamud.com/download/0540f0d2bb566d0ed0d80150e2b728ef/3656b9eddb95cfb9d7f013ed46b015a2/14 (83.233.30.64) - Sweden Serverconnect I Norrland

Ecology Green PC
IP: 84.16.249.95
Germany Germany Berlin Netdirekt E.k
Dominios asociados
internetserviceteam.com
basebilling.com
cnsbill.com
continental-systems.com
ecologygreenpc.com
lifeecocenter.com
secure.basebilling.com

Total Security
MD5: 6135d8ce3381aee310797cf0e1683779
IP: 213.163.91.240
Netherlands Netherlands Rotterdam Datatran Systems Ip Space

Result: 0/41 (0.00%)




Información relacionada

Una recorrida por los últimos scareware XIII
Una recorrida por los últimos scareware XII
Una recorrida por los últimos scareware XI
Una recorrida por los últimos scareware X
Una recorrida por los últimos scareware IX
Una recorrida por los últimos scareware VIII
Una recorrida por los últimos scareware VII
Una recorrida por los últimos scareware VI
Una recorrida por los últimos scareware V
Una recorrida por los últimos scareware IV
Una recorrida por los últimos scareware III
Una recorrida por los últimos scareware II
Una recorrida por los últimos scareware

# Jorge Mieres

Ver más