Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

sábado, 15 de agosto de 2009

Fragus. Nueva botnet framework In-the-Wild

Una nueva aplicación web escrita en php y desarrollada como sistema de administración de exploits, diseminación de malware y control de botnets, ha entrado al mercado clandestino de crimeware prometiendo ser uno de los más explotados.

Se trata de Fragus v1.0, que se ha sumado desde julio de 2009 a la gran lista de aplicativos de este estilo que pretenden acaparar el mercado negro. Su desarrollo esta originado en Rusia y se inserta al mercado con un costo suficientemente “competitivo”.

En los últimos meses han surgido nuevos framework para el control y administración de botnets que hacen de ello una tarea muy sencilla como Liberty Exploit System y Eleonora Exploit Pack; entre algunos otros mucho más antiguos que han actualizado sus funcionalidades como YES Exploit System y ElFiesta.

Sin embargo, el hecho de encontrar cada vez más aplicativos maliciosos de este estilo In-the-Wild no es una situación casual, sino que responde a un modelo de negocio que se esconde detrás del desarrollo de crimeware y se retroalimenta a si mismo con la comercialización de un gran abanico de opciones.

Desde un punto de vista general, Fragus cuenta con una interfaz atractiva, soporte para idioma inglés y ruso, y un sencillo sistema de estadísticas que permite obtener y comparar información relacionada a los navegadores, sistemas operativos (incluyendo sus versiones) y países en los cuales se han reclutado los zombis que forman parte de la red (lo que es lo mismo: una estrategia de inteligencia que permite relacionar información de forma oportuna). La siguiente captura muestra el control estadístico.

Además posee otras características como:
  • Posibilidad de chequear de forma rápida los datos a través de un resumen al cual se accede sin cargar la página.
  • Administrar el upload de archivos desde el mismo panel de administración.
  • Permite especificar un nombre al archivo binario que se subirá al sistema.
  • Posibilidad de distinguir el tráfico realizado por un “cliente” para mantener cada estadística de forma independiente.
  • Permite elegir el archivo a subir desde el panel de administración o realizar una carga de forma aleatoria.
  • Permite a sus “clientes” mantener su propio kit de exploits seleccionándolos desde una lista.
  • También permite controlar la información estadística desde un dominio independiente al del panel de administración, lo cual permite acceder a la información sin realizar el proceso de autenticación.
  • Permite limpiar la información estadística a nivel general o en particular de cada “cliente”.
  • Toda la configuración de las opciones que ofrece Fragus para la administración y control de botnets se pueden realizar fácilmente desde el Framework.
  • Posee un sistema de búsqueda interno que permite buscar y encontrar rápidamente enlaces con iframe en el tráfico abierto. También en general o en particular para cada “cliente”.
Además, Fragus también permite explotar vulnerabilidades en imágenes de alta calidad, editar la cantidad de dominios necesarios para realizar una migración de la información sin perder el tráfico, editar una dirección URL en la cual explotar paquetes de visitas dos veces o más; es decir, descargar desde la misma página varios binarios, pdf, swf dependiendo del exploit.

Ejemplos de malware diseminado por Fragus son:
Su sistema modular permite añadir exploits fácilmente y posee un cripter (optativo) escrito desde cero que, según el autor, evita la detección por parte de una gran cantidad de compañías antivirus sin sobrecargar el navegador. Pero no obstante, también permite seleccionar un cripter diferente dándole al “cliente” la posibilidad de decidir qué cripter utilizar sin limitarlo al incorporado por defecto. El autor también asegura que Fragus está optimizado para funcionar sin problemas con grandes flujos de tráfico y carga mínima en el servidor.

Otro aspecto que resalta, y que lo diferencia de los clásicos crimeware de su tipo es que posee una instrucción destinada a evitar la detección del dominio utilizado por parte de los searchbots, (el dominio asociado a Fragus por defecto cuando se lanzo el crimeware es fragus.cn) y el proceso de instalación no es engorroso ni necesita tocar algún archivo de configuración de forma manual, ya que posee un asistente de ayuda que permite tenerlo instalado en pocos minutos.

Entre los exploits que posee preinstalados se encuentran:
  • MDAC
  • PDF printf()
  • PDF collectEmailInfo()
  • PDF getIcon()
  • MS DirectShow
  • MS09-002 - for IE7
  • MS Spreadsheet
  • AOL IWinAmp
  • MS Snapshot MS COM
El costo de esta primera version de Fragus es USD 800. Este valor incluye el código fuente que se encuentra protegido con IonCube. El costo del cripter (escrito desde cero) es de USD 150 y por otros USD 30 se esconde el funcionamiento del crimeware para evadir su detección, quizás con técnicas fast-flux.

En definitiva, el “servicio” completo de Fragus posee un costo de USD 980 y, como es habitual en este mercado clandestino, el “trato” de compra se realiza a través de ICQ y la transacción del dinero a través de WebMoney.

Como podemos apreciar, este nuevo crimeware que se inserta en la escena delictiva promete ser muy competitivo. Además, el malware que tiene por defecto listo para su diseminación posee una tasa de detección preocupantemente baja, lo cual transforma a esta aplicación web en una seria amenaza.

Información relacionada
Liberty Exploit System. Otra alternativa crimeware para el control de botnets
Los precios del crimeware ruso. Parte 2
Eleonore Exploits Pack. Nuevo crimeware In-the-Wild

# Jorge Mieres

Ver más