Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

miércoles, 30 de septiembre de 2009

Compendio mensual de información. Septiembre 2009

Pistus Malware Intelligence Blog
28.09.09 Propagación automática de códigos maliciosos vía http
26.09.09 Una recorrida por los últimos scareware XV
26.09.09 Nueva versión de Eleonore Exploits Pack In-the-Wild
24.09.09 CYBINT en el negocio de los ciber-delincuentes rusos
21.09.09 Eficacia de los antivirus frente a ZeuS
18.09.09 Inteligencia informática, Seguridad de la Información y Ciber-Guerra
17.09.09 Phoenix Exploit’s Kit. Otra alternativa para el control de botnets
17.09.09 Green IT utilizado para la propagación de scareware II
15.09.09 Green IT utilizado para la propagación de scareware
12.09.09 Una recorrida por los últimos scareware XIV
09.09.09 La peligrosidad de una nueva generación de bootkits
07.09.09 iNF`[LOADER]. Control de botnets, marihuana y propagación de malware
04.09.09 Bootkit multiplataforma al ataque. ¿La resurrección de los virus de arranque?

Evil Fingers Blog
29.09.09 Automatic propagation of malicious code via http
28.09.09 CYBINT in the business of Russian cybercriminals
26.09.09 A recent tour of scareware XV
26.09.09 New version of Eleonore Exploits Pack In-the-Wild
21.09.09 Effectiveness of the antivirus front ZeuS
20.09.09 Computer Intelligence, Information Security and Cyber-Warfare
19.09.09 Phoenix Exploit's Kit. Another alternative for controlling botnets
13.09.09 The danger of a new generation of bootkits
12.09.09 iNF`[LOADER]. Control of botnets, marihuana, and spreading malware
06.09.09 Bootkit multi-platform attack. Is the resurrection of the boot viruses?

ESET Latinoamérica Blog
30.09.09 Reporte de amenazas de septiembre
25.09.09 Agresiva generación de rootkits
18.09.09 El rogue se hace eco de las tecnologías verdes
11.09.09 Listado de programas de seguridad falsos VII
09.09.09 Facebook amenazado por una solución de seguridad antivirus falsa
08.09.09 Spam a través de Skype

Información relacionada
Compendio mensual de información 2009

Diciembre - Noviembre - Octubre - Septiembre - Agosto - Julio
Junio - Mayo - Abril - Marzo - Febrero - Enero

Jorge Mieres

Ver más

Publicado por Jorge Mieres 0 comentarios

lunes, 28 de septiembre de 2009

Propagación automática de códigos maliciosos vía http

Muy bien sabemos que los procesos por automatizar la propagación de malware es uno de los objetivos básicos de cualquier ciberdelincuente, independientemente de los vectores de ataque y tecnologías que se empleen.

En este sentido, Internet se ha transformado en la cuna que mece diferentes alternativas de piezas maliciosas a través de alternativas de ataque que día a día evolucionan. Hace varios años atrás era bastante difícil suponer que con el solo hecho de acceder a una página se corre el peligro de infección si se cumplen determinados requisitos en el sistema, requisitos que tienen que ver básicamente con las actualizaciones del sistema operativo y aplicaciones.

Hoy, nos encontramos con script’s cuyas instrucciones son creadas maliciosamente y forman parte de un ciclo de propagación e infección, lamentablemente, muy efectivo. Un ejemplo concreto, no solo de evolución sino también de efectividad, lo constituye la técnica Drive-by-Download junto a su versión evolucionada de ataques Multi-Stage; altamente empleada por botmasters para propagar amenazas.

El siguiente, es un escenario real que ejemplifica con mayor claridad lo que acabo de contar. Se trata de una página web alojada en Estados Unidos bajo la IP 66.116.197.186 en AS32392. A continuación se observa una captura de la web.

Los dominios alojados en esa misma IP son:
  • phonester.biz
  • phonester.com
  • phonester.info
  • phonester.net
  • phonester.org
Cuando se accede desde Windows, a través de un script embebido en el código HTML, se ejecuta automáticamente una ventana proponiendo la descarga de Flash Player. Obviamente, es falso. El archivo que se propaga se llama “install_flash_player.exe(abed2d16e5e4c3e369114d01dff4b19c) y posee un índice de detección bajo, ya que solo casi el 25% de los motores antivirus detecta el malware que se encuentra In-the-Wild.

Este procesamiento automático se lleva a cabo, como dije anteriormente, a través de un script, cuya captura se observa a continuación. La cuestión con esto es, probablemente, que cuando el usuario acceda no se lleve ningún indicio sobre contenidos maliciosos, de hecho la página no contiene enlaces, sólo una imagen.

Sin embargo, de forma transparente se ejecuta el script que incita a la descarga del falso Flash Player. Ahora… el tema no termina aquí. Desde un punto de vista más técnico, hay muchos detalles que son difíciles de no captar.

En principio, al desofuscar el script, obtenemos una serie de datos relevantes. El script posee etiquetas iframe que direccionan a una serie de páginas web desde donde se descargan otros archivos maliciosos.
  • diggstatistics.com/flash/pdf.php
  • diggstatistics.com/flash/directshow.php
  • diggstatistics.com/flash/exe.php
Los archivos que descarga son “tylda.exe(abed2d16e5e4c3e369114d01dff4b19c) que tiene una baja tasa de detección (5/41-12.20%) y “pdf.pdf(9cc400edcdc5492482f5599d43b76c0c) con una tasa de detección también baja (13/41-31.71%) y diseñado para explotar vulnerabilidades en Adobe reader y acrobat. Adobe util.printf overflow (CVE-2008-2992) y Adobe getIcon (CVE-2009-0927) respectivamente.

Por otro lado, en el hipotético caso de que el archivo que se descarga en primera instancia (install_flash_player.exe) sea ejecutado, este establecerá conexión contra 174.120.61.126/~garynic/ desde donde descargará el binario “coin.exe(258c0083f051b88ea36d3210eca18dd7) con un índice de detección también bastante pobre. Este archivo se descarga de forma aleatoria desde:
  • digital-plr.com
  • giggstatistics.com
  • xebrasearch.com
Con respecto al ASN en el cual se encuentran estas amenazas, pose un historial delictivo interesante, ya que es empleado para llevar a cabo actividades de phishing como propagación de malware. Según la siguiente imagen, el pico más alto de actividades de phishing se produjo el 1 de marzo de 2009, mientras que las de códigos maliciosos fue el 12 de septiembre de 2009.

Es decir, estas actividades se explotan en conjunto, no de manera aislada. Esta información no da la pauta de suponer que detrás de todas estas actividades delictivas se esconde la codicia de algún botmaster, ya que las acciones son típicas de una botnet.

Información relacionada
Propagación de Malware (...) con formato de blogging y BlackHat SEO
Simbiosis del malware actual. Koobface
Scareware. Repositorio de malware In-the-Wild
Masiva propagación de malware (...) sitios de entretenimiento
Análisis esquemático de un ataque de malware basado en web

Jorge Mieres

Ver más

Publicado por Jorge Mieres 5 comentarios

sábado, 26 de septiembre de 2009

Una recorrida por los últimos scareware XV

Nueva ola de scareware que corre en Internet. Como aclaro en cada una de las entradas de esta serie, la lista que componen las presentes URL's y direcciones IP representa tan sólo un porcentaje menor, muy pequeño, del impresionante caudal de IP's y dominios que día a día propagan este tipo de malware.

MicroVaccine
MD5: 96a2cfdb534b547518a446a48150624e
IP: 218.38.15.85
Korea, Republic Of Korea, Republic Of Seoul Hanaro Telecom Inc
Dominios asociados
clear-pc.net
microvaccine.net
vaccine2009.com
virusbye.net

Result: 24/41 (58.54%)

Omega AntiVir = Windows System Suite
IP: 64.86.16.161
Canada Canada Brampton Velcom
Dominios asociados
omegaantivir.com
trustshields.cn
update1.omegaantivir.com


Contraviro
MD5: 8b1555ab8de5f4884e95e72d1755c984
IP: 195.2.253.44
Russian Federation Russian Federation Madet Ltd
Dominios asociados
antiviruscontraviro.com
contraviro.com
securedpaymentprocessor.com


Result: 7/41 (17.07%)

Soft Safeness = Save Defender = Trust Warrior
IP: 83.233.30.66, 91.212.127.131
Sweden Sweden Stockholm Serverconnect I Norrland
United Kingdom United Kingdom Telos Solutions Ltd
Dominios asociados
mail.safetykeeper.com, mail.savekeeper.com, mail.softsafeness.com, ns1.safetykeeper.com, ns1.savekeeper.com, ns1.softsafeness.com, ns2.mitrokili.com, ns2.mredkizerut.com, ns2.ofcilamed.com, ns2.propinutrek.com, ns2.sdrukap.com, ns2.vcerukam.com, ns2.vderuwerol.com, ns2.vredupotre.com, ns2.vtromik.com, softsafeness.com, www.safetykeeper.com, www.softsafeness.com

MicroV3
MD5: 783385a90259131a89da62d10df67fa6
IP: 220.73.161.54
Korea, Republic Of Korea, Republic Of Seoul Thrunet Co. Ltd
Dominios asociados
cocoda.co.kr, dvccode.com
i-viewtec.com, microv3.com
newocn.net, phoneboja.com
rich09.com, samsung77.com
www.cocoda.co.kr
Result: 22/41 (53.66%)

malwareurlirblock.com/1/ (83.133.125.116) - Germany Germany Lncde-greatnet-newmedia
windows-protectionsuite.com (206.53.61.75) - Canada Canada Thornhill Rcp.net
antivirus-plus09.com/install/avplus.exe (195.95.151.176) - Ukraine Ukraine Kiev Limited Corp
windows-shield.com, adware-finder.com, av-safety.com, avidentify.com, avir-guardian.com
avir-protect.com
aviraplatinum.com
aviremover.com
aviremover2009.com
avirguardian.com
avremoverpro.com
awareprotect.com
awareremover.com
epcsecurity.com
esysprotect.com
intsecurepro.com
intsecureprof.com
oemantivir.com
osadwarekill.com
osawarepro.com
scanforspywarenow.com
virusermoverpro.com
viruskill2009.com
wins-guard.com
www.avir-guardian.com
www.avir-protect.com
www.esysprotector.com (91.206.201.8) -Ukraine Ukraine Pe Sergey Demin
scareware-killer.com (213.155.22.193) - Ukraine Ukraine Tehnologii Budushego Llc
windowsprotection-suite.net (64.213.140.68) - United States United States Global Crossing
smogcatalog.info/scan/vds.php (64.27.5.63) - United States United States Yucca Valley Airlinereservations.com Inc
weragumasekasuke.com/10580532 (204.12.219.133), vuilerdomegase.com/10580532 (204.12.219.132), vulertagulermos.com/10580532 (204.12.219.131), scukonherproger.com (204.12.219.149) - United States United States Kansas City Wholesale Internet Inc
luxmediacodec.com/av-scanner.0.exe (64.191.53.230) - United States United States Scranton Network Operations Center Inc
easynettest.com/install/ws.exe (62.90.136.237) - Israel Israel Haifa Barak I.t.c
ynoubfa.cn/?uid=186&pid=3&ttl=41a4951046e (64.86.25.201), trustsystem-protect.com, online-scanandsecure.net - (64.86.16.119) - Canada Canada Brampton Velcom
winfixscanner1.com/download/Soft_21.exe, delete-all-virus09.com (213.163.89.60) - Netherlands Netherlands Rotterdam Telos Solutions Ltd
lakrapi.com/1/antivirus_pro_2009_v3.18.exe (87.118.118.246) - Germany Germany Erfurt Keyweb Ag Ip Network
yourcomp.us/antivirus_setup.exe (91.212.198.152) - Russian Federation Russian Federation Individual Retailer Nevedomskiy A A

Proof Defender 2009
IP: 76.76.101.85
United States United States Portland Donald Wildes
Dominios asociados
defender-2009.com
ns1.pdefzone.com
ns2.pdefzone.com
proofdefender.com
proofdefender2009.com
www.pdefender2009.com
www.proofdefender.com

System Cleaner
IP: 69.64.33.242
United States United States Lancaster Hosting Solutions International Inc
Dominios asociados
brand-supplier.net, brands-house.com, brands-house.net, brands-sales.com, brands-vendor.com, brands-vendors.com, brands-vendors.net, discounts-shop.net, discounts-store.com, doctroshield2009.com, fashion-vendors.com, fashion-vendors.net, firstantivir2009.com, firstprotection2009.com, kicks-buy.com, kicks-buy.net, kicks-discount.com, kicks-discount.net, kicks-discounts.com, kicks-discounts.net. kicks-mall.com, kicks-shop.com, kicks-stock.com, kicks-supplier.com, kicks-vendors.com, kicks-vendors.net, liveantivir.com, liveprotectpro.com, luxury-mall.com, luxury-stock.com, myantivirus2009.com, mypharmshop.com, myprotectsuite.com, onguardsoft.com, onlineantivirpro.com, own-shoes.com, own-shoes.net, psp-shop.com, sneakers-buy.com, sneakers-sale.com, sneakers-sales.com, sneakers-stock.com, watches-supplier.com, www.luxury-mall.com

Privacy Center
MD5: 3731bde3c476993cbec9e849e4922c87
IP: 83.233.165.149
Sweden Sweden Stockholm Serverconnect I Norrland
Dominios asociados
crusade-new.com
privacy-software.info

Result: 6/41 (14.63%)

El objetivo es tomar esta información como recurso para bloquear las direcciones dañinas.

Información relacionada
Una recorrida por los últimos scareware XIV
Una recorrida por los últimos scareware XIII
Una recorrida por los últimos scareware XII
Una recorrida por los últimos scareware XI
Una recorrida por los últimos scareware X
Una recorrida por los últimos scareware IX
Una recorrida por los últimos scareware VIII
Una recorrida por los últimos scareware VII
Una recorrida por los últimos scareware VI
Una recorrida por los últimos scareware V
Una recorrida por los últimos scareware IV
Una recorrida por los últimos scareware III
Una recorrida por los últimos scareware II
Una recorrida por los últimos scareware I

Jorge Mieres

Ver más

Publicado por Jorge Mieres 0 comentarios

Nueva versión de Eleonore Exploits Pack In-the-Wild

Como es habitual, el crimeware sigue un ciclo de desarrollo que no pierde el eje gestado en las mentes de los ciberdelincuentes que se encuentran detrás de su comercialización: el dinero.

Este ciclo depende directamente de quien desarrolle el crimeware; por ejemplo, en el caso de ZeuS, el ciclo ronda los 30 días; es decir, aproximadamente, cada mes aparece una nueva versión de ZeuS, y así con cualquiera de las otras alternativas.

En este caso, se trata de una nueva versión, la 1.3B, de Eleonore Exploits Pack, este paquete diseñado para administrar y controlar zombis de una botnet que sigue un ciclo de desarrollo similar al mencionado anteriormente al referirme a ZeuS, uno de sus colegas.

Todavía no se ha puesto a la venta de forma directa esta versión de Eleonore Exp, sino que se encuentra disponible de manera exclusiva y, por el momento, solo existen algunas versiones de test con las cuales se está experimentando su funcionamiento.

En otras palabras, esta nueva versión no se encuentra en el ambiente clandestino especializado y es adquirida sólo a través de su programador.

Por el momento no he podido abordar con mayor profundidad este ejemplar, sin embargo, estimo que quizás el cambio más relevante radica en torno a la disponibilidad de nuevos exploits, optimización de la conectividad y mejoras en el proceso de inteligencia destinado a la obtención de datos estadísticos relacionados a las zombis (países, navegadote, OS, entre otros).

Aún así, esto refleja el “entusiasmo” con el cual los ciberdelincuentes trabajan para “optimizar” (mejoras diría su creador, quien se hace llamar Exmanoize) el abanico de funcionalidades maliciosas incorporadas en cada variante.

Información relacionada
Phoenix Exploit’s Kit. Otra alternativa para el control de botnets
iNF`[LOADER]. Control de botnets, marihuana y propagación de malware
Liberty Exploit System. Otra alternativa crimeware para el control de botnets
Eleonore Exploits Pack. Nuevo crimeware In-the-Wild

Jorge Mieres

Ver más

Publicado por Jorge Mieres 0 comentarios

jueves, 24 de septiembre de 2009

CYBINT en el negocio de los ciber-delincuentes rusos

Quienes siguen esporádicamente este blog habrán notado que casi todo este año he dedicado la mayoría de los post a poner en evidencia muchas de las aplicaciones que desde Rusia inundan un mercado clandestino donde crimeware de todo tipo se pone a disposición de ciber-delincuentes profesionales (botmasters, spammers, phishers, ¿ciber-sicarios?, ¿ciber-terroristas?, entre otros) pero sin descuidar a los aspirantes que buscan convertirse en delincuentes de alto rango.

En este sentido, el tiempo nos permite ser testigos de cómo se gesta esta industria clandestina alimentada fuertemente por países de Europa del Este (particularmente Rusia), China, y algunos países latinoamericanos encabezados por Brasil. Sin embargo, el caudal y la atención se centran en Rusia, y como dije en alguna oportunidad, me recuerda al mundo que describe Gibson en Neuromante, donde la comercialización clandestina de programas maliciosos se desarrolla en calles oscuras del suburbio.

Quizás, al igual que yo lo hice en algún momento, muchos se preguntarán, independientemente del tipo de crimeware que se oferte o de las motivaciones (la principal tiene un acrónimo: USD) de los ciber-delincuentes, ¿quiénes se encuentran detrás de esto?

Si tenemos en cuenta que la venta de programas se realiza en torno a un negocio oscuro que forma parte de una industria que opera desde la clandestinidad (RBN - Russian Business Network – Red de Negocios de Rusia), que existen células bien organizadas que llevan a cabo fraudes a través de Internet (p.e. scammers rusas), espionaje empresarial (contratando piratas informáticos), entre otras cosas, es fácil deducir que todo tiene una connotación mafiosa. Y si profundizamos más en torno al origen de la mafia rusa, concluiremos fácilmente en que fue gestada por ex agentes de la KGB (Inteligencia de la ex Unión Soviética).

De hecho, se estima que esta red criminal cuenta con ex agentes de lo que fue la KBG y que actualmente, en más de una oportunidad, ha trabajado en conjunto con la FSB (Federal Security Service of the Russian Federation), el sucesor de la KGB.

¿Qué quiero decir con esto? Aunque quizás lo que escribo puede parecer extremo, nos encontramos en tiempos en los cuales somos testigos de los conflictos virtuales que involucran a ciertos países. Esos ataques informáticos que vemos en las películas de Hollywood, un poco exagerados, en los últimos años han dejado la ficción para entrar en la escena del mundo real, y en este sentido, CYBINT (Cyber Intelligence) juega un rol fundamental.

Por ejemplo, cada vez son más los casos de defacement que, si bien no es algo nuevo, hacen noticia cuando se afecta la disponibilidad de los sitios web de los gobiernos que forman el centro de la ciber-guerra (Cyber-Warfare) de turno. Los ataques de DDoS (Distributed Denial Of Service), que se llevan a cabo a través de botnets, como el que sufrió el sitio web del presidente de Georgia durante el conflicto con Rusia, que de hecho los rusos se cargaron un par más (Estonia y Lituania), son claros ejemplos de acciones que buscan complementar las operaciones a nivel militar.

Lo llamativo de casos como los mencionados en el párrafo anterior, dejan en completa evidencia que existe una planificación previa, de forma coordinada; lo que no es otra cosa que un plan de inteligencia. En el caso de los defacement, aunque parezca trivial, podríamos decir que dentro del conflicto, forma parte de acciones psicológicas que buscan debilitar la moral del bando contrario.

Sin embargo, otros aspectos menos triviales también forman parte de los planes de inteligencia, y generalmente se explotan a través de recursos tecnológicos, p.e. atacar la disponibilidad de las redes telefónicas (COMINT), la interrupción de señales atacando satélites y otras redes (SIGINT), incluyendo las de carácter público, afectando la confidencialidad de las personas a través de malware.

Bajo toda esta escenografía, la RBN, una de las organizaciones ciber-criminales más grandes que opera bajo la infraestructura que ofrece Internet, es la base que permite cometer, desde Rusia (aunque hay un fuerte rumor en torno a que la RBN está migrando sus actividades hacia China), infinidad de acciones maliciosas canalizadas en pedofilia, pornografía, comercialización de crimeware, malware, phishing, botnets, y muchas más.

Esto demuestra que realmente los aspectos que involucra el ciber-crimen se encuentran controlados y dirigidos por una mafia en la cual, los ciber-delincuentes rusos conforman una de las piezas más importantes para el desarrollo de la industria crimeware a nivel global, y como podemos apreciar… Todo vale y todo se fusiona con todo…

Información relacionada
Inteligencia informática, Seguridad de la Información y Ciber-Guerra
Los precios del crimeware ruso. Parte 2

# Jorge Mieres

Ver más

Publicado por Jorge Mieres 0 comentarios

Suscribirse a: Entradas (Atom)