Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

sábado, 20 de febrero de 2010

SpyEye se mete de lleno en la escena del crimeware

SpyEye es un troyano que se caracteriza fundamentalmente por dos razones: su similitud con lo que hasta el momento podríamos llamar "la creme de la creme": ZeuS; y la incorporación de una funcionalidad que permite "cortar la cabeza de ZeuS" de los equipos que compartan infección con SpyEye. La siguiente imagen muestra la bienvenida al C&C (Panel de comando y control) de SpyEye.


Además, al igual que ZeuS posee funciones de keylogging registrando información sensible y privada de los equipos víctimas, entre muchas otras, todas administrables vía web desde un panel de control.

Por otro lado, desde el punto de vista "visual", el autor de SpyEye de esforzó en crear un paquete "bonito" con iconografía descriptiva que hacen de esto un sistema de gestión criminal bastante intuitivo, ideal para los aspirantes a ciberdelincuentes.

En este sentido, cabe aclarar que estas últimas palabras (que parecen destacar este crimeware como si fuese algo interesante) no buscan promocionar ni legitimar este ni ningún otro crimeware, ni tampoco las actividades que podrían realizarse por intermedio de ellas. Aclarado de forma breve este asunto, a continuación pueden ver una imagen que muestra el módulo de estadísticas que, aunque bastante rústico, se encuentra hecho en flash (algo no tan común en este tipo de crimeware).


Con respecto a este crimeware, desde Malware Intelligence hemos hecho una cobertura de sus actividades, canalizando parte de la información obtenida a través de dos informes que describen sus actividades tanto desde el punto de vista técnico como, por decirlo de alguna forma, desde el punto de vista psicosocial, "mano a mano con su creador".

SpyEye Bot. Nuevo bot en el mercado (versión en inglés)
Esta noticia fue escrita por Mariano Miguel quien es Malware Researcher en Malware Intelligence.

SpyEye Bot. Análisis de una nueva alternativa del escenario crimeware (versión en inglés)
Este documento describe las actividades de SpyEye desde una perspectiva técnica y fue escrito por quien esto escribe. Agradezco a INTECO-CERT de España por hacerse eco de este documento y publicarlo en su sección de Estudios e Informes. También agradezco a Darren Spruell de EmergingThreats por crear la firma IDS en función de la información proporcionada.


SpyEye Bot (Part two). Conversations with the creator of crimeware (sólo en inglés).
La segunda parte del informe, fue escrito por Ben Koehl quien es Crimeware Researcher de Malware Intelligence, y por el momento se encuentra disponible sólo en inglés. Mis felicitaciones a Ben por la investigación y a los amigos de la casa NoVirusThanks por también publicar ambos papers.

Ver más

lunes, 8 de febrero de 2010

Malware Intelligence en SANS Audiocast

SANS (SysAdmin, Audit, Network, Security) es el Instituto más conocido sobre todo lo relacionado a seguridad de la información y cabeza de las certificaciones más prestigiosas. Cuenta con un amplio repertorio de documentación de investigación y además posee un sistema de alerta temprana ante incidentes de seguridad denominado Internet Storm Center. Sin lugar a dudas representa la fuente de información más grande.

Posee una sección llamada SANS Audiocast a cargo del instructor John Strand donde semanalmente publican un audio exponiendo diversas temáticas relevantes en materia de seguridad, y en su episodio #3 del 12 de enero de 2010, Malware Intelligence formó parte del mismo bajo la temática Crimeware-as-a-Service and antivirus evasion schemes.








Jorge Mieres

Ver más

Malware Intelligence Rogue database en Malware Domain Blocklist (DNS-BH)

Como ya sabemos, el rogue (también conocido bajo el término scareware) es un tipo de malware, que básicamente simula ser un programa de seguridad, habitualmente un antivirus, y que en todo momento intenta que la víctima compre el supuesto antivirus o herramienta de seguridad a través de una estrategia agresiva de advertencias sobre problemas de infección que, por supuesto, son falsos.

El uso de Ingeniería Social se ha transformado en un patrón indiscutible para la diseminación/infección de esta amenaza, y aunque no deja de ser un tipo de código dañino más, responde a la generación de malware que centra sus esfuerzos en robar dinero por intermedio de acciones fraudulentas.

Quizás uno de los "detalles" que vale la pena no dejar pasar es que, si bien, podemos aproximar, algo así como más del 90% (y quizás más) del rogue que actualmente circula por Internet se encuentra diseñado para plataformas Windows, existen casos para MacOS (aún no he visto para Linux) por lo que no me sorprendería cruzarme con alguno diseñado para telefonía celular de alta gama.

Quienes se encuentran detrás de su diseminación forman parte, como asociados (afiliados), de un negocio realmente grande, donde de forma siempre fraudulenta se perfeccionan las estrategias destinadas a atraer prospectos desde diferentes capas, a saber:

Dentro de este ciclo de propagación/infección se utilizan varias técnicas (BlackHat SEO, exploit pack, cifrado, fast-flux, entre otros) que no dicen más que… "Hey, Ladies & Gentlemen, tengan cuidado… nos perfeccionamos cada vez más", dejando en evidencia su profesionalización dentro del esquema de oportunidades delictivas que ofrecen los creadores de rogue.

Desde Malware Intelligence hemos hecho una cobertura bastante extensa durante el 2009, bajo el nombre Una recorrida por los últimos scareware (A recent tour of scareware), exponiendo información sobre las familias de rogue más relevantes, mencionando sólo el más conocido de cada familia; y donde nuestra intención es proporcionar información que permita prevenir los casos de infección, por ejemplo, bloqueando las direcciones IP.

Una recorrida por los últimos scareware XXVersión en inglés

Ahora Malware Intelligence forma parte de la base de datos de Malware Domain Blocklist (DNS-BH) colaborando con la información recolectada sobre scareware.

En el siguiente enlace pueden obtener la lista con direcciones IP y nombre de dominios que poseen contenidos maliciosos obtenidos desde Malware Intelligence, junto a las de malwareurl.com: 182 malicious domains to block.

Jorge Mieres

Ver más

sábado, 6 de febrero de 2010

Eleonore Exploit Pack y su evolución en el campo del crimeware

Eleonore Exploit Pack es un crimeware que desde su aparición a mediados del 2009 cuenta con amplia aceptación en el mercado underground. Actualmente es muy utilizado para reclutar zombis infectando los equipos con malware que se ejecuta explotando vulnerabilidades.

En el caso de este exploit pack en particular, la última versión (1.3.2) posee, por defecto, la posibilidad de atacar a través de 14 debilidades en varias aplicaciones. En este sentido cabe mencionar que muchos de los exploits incorporados poseen solución a través de su parche desde hace varios años (MS06-006 por ejemplo); aún así, el índice de infección explotando estas vulnerabilidades es alto.

Aunque la problemática que se presenta no es para nada trivial, a esta altura del partido ya no nos sorprende, sobre todo, luego de conocer el ataque dirigido llamado "Operación Aurora" cuyo malware rompió las barreras de seguridad de grandes compañías explotando una vulnerabilidad crítica en Internet Explorer 6.


En Malware Intelligence hemos escrito un pequeño informe que describe su evolución, mencionando los exploit incorporados en cada una de sus seis versiones, con el costo de cada una de ellas en función del momento en que era lanzado al mercado clandestino. Cabe mencionar que aunque todavía no es oficial, se estima que la última versión está siendo comercializada a un valor de 1200 dólares estadounidenses.

El artículo llamado Estado del arte en Eleonore Exploit Pack lo pueden leer tanto en inglés como en español. Otras referencias son: 



Otros amigos de la casa que han abordado a Eleonore Exploit Pack son Brian Krebs desde su blog KrebsOnSecurity y Giuseppe Bonfa con un interesante análisis del exploit pack escrito en su blog EvilCodeCave.

Jorge Mieres

Ver más