Anatomía del exploit MS08-078 by FireEye

Luego de darme una vuelta por un conocido foro de seguridad e intentar colaborar con el tópico que se refiere al problema ocasionado por el gusano conficker que se propaga a través de una vulnerabilidad solucionada en el boletín MS08-067, que como ustedes saben, son poco los programas antivirus que eliminan la amenaza de manera efectiva.

Me colgué leyendo un artículo de la empresa FireEye que trata sobre otra vulnerabilidad, muy conocida y solucionada en boletín MS08-078, activamente explotada por alguna familia de gusanos y troyanos, por lo que me gustaría compartir las apreciaciones que surgen de lo escrito por esta empresa en su blog.

Lo que se plantea en primera instancia, es la incógnita de saber qué sucede en el navegador web cuando un usuario accede a una página que contiene el exploit para esta vulnerabilidad. En la URL que se tomó como ejemplo, se ve el empleo de ofuscación como método para evitar la detección del script malicioso, escrito en JavaScript, que se encuentra incrustado en el código.

En JavaScript presenta dos segmentos separados y bien diferenciados de los cuales, el primero de ellos muestra un VBScript sin codificar:

Mientras que el segundo, posee nuevamente una codificación que busca dejar ilegible el código real:

Pero en definitiva, cuál es la carga útil de este tipo de script, es decir, qué sucede en el preciso momento que el exploit detecta la vulnerabilidad. Básicamente, el exploit se encarga de descargar y ejecutar un código malicioso en el equipo víctima.

Pero antes de ejecutarlo, se realiza dos copias de sí mismo, una en la carpeta C:\WINDOWS (quit.exe) y la otra en los temporales del usuario local (svchoost.exe). Ejecutándose luego, en primera instancia, manera automática el binario svchoost.exe.

Luego, el archivo svchoost.exe se autoelimina y se establece una conexión a través del puerto 53 para descarga otros archivos maliciosos (200512.exe).

Entre el malware que descarga a posterior se encuentran, un keylogger, un backdoor y un malware creado para robar contraseñas de juegos en línea.

Además, crea la clave necesaria en el registro que le permite ejecutarse cada vez que inicia el sistema operativo.

Como verán, las acciones que realiza este malware son bastantes complejas en su conjunto, captura las pulsaciones del teclado, roba contraseñas, abre puertas traseras y convierte al equipo en parte de una botnet. Todo se lleva a cabo de manera casi instantánea y de manera transparente para el usuario.

La URL que se utilizó para describir el exploit todavía se encuentra activa. Pueden ver el reporte de VirusTotal que muestra el estado de detección del malware hasta el momento.

Estas técnicas son muy utilizadas por el malware para explotar vulnerabilidades vía web. Muchos son los casos que se pueden nombrar que utilizan Drive-by-Download para infectar a los usuarios cuyo sistema posee la vulnerabilidad, nada más ni nada menos, con el sólo hecho de acceder a la página con contenido malicioso.

# pistus

Ver más

Una recorrida por los últimos scareware

Los llamados scareware, también conocidos como rogue, corresponden a una serie de programas que buscan causar miedo en los usuarios a través de falsos mensajes o exageradas alertas sobre infecciones o problemas críticos en el sistema que en realidad no existen en el equipo.

En la mayoría de los casos simulan ser programa legítimos de seguridad antivirus orientados a plataformas Windows (los más utilizados) pero también existen casos de scareware para plataformas Mac. Sus objetivos particulares se centran, por un lado, en la descarga de otros códigos maliciosos y, por el otro, buscan que el usuario “compre” el falso producto.

El único medio disponible para la compra es Internet, lo cual implica que el usuario deba acceder desde el mismo sitio web del scareware a un formulario e ingresar allí información confidencial como lo es el número de tarjeta de crédito. Demás esta decir que el usuario jamás recibe el supuesto producto.

Pero hagamos un pequeño recorrido por los scareware de la última semana:

Astrum Antivirus Pro
MD5: f5efcde3fd38255e00c3c69a31709c56

IP: USA - Noc4hosts Inc

Dominios asociados:
Astrumavr.com=74.50.119.187
Astrumavrpro.com=74.50.119.187
Astrumsup.com=74.50.119.187

VT Report: Result: 17/38 (44.74%)





Express Antivirus 2009
MD5: 614601490986f7bd1687c63bf5381cef


IP: Alemania - Netdirekt E. K

Dominios asociados:
Expressantivirus2009.com=217.20.112.98

VT Report: Result: 11/38 (28.95%)







Antivirus Security
MD5: d7282fa6b657a1db2da3bfc64371785c


IP: Alemania - Netdirekt E. K

Dominios asociados:
Antivirussecurity-solution.com=89.149.255.191

VT Report: Result: 30/38 (78.95%)







Total Protect 2009
MD5: 5deacc3d6662b8cad0c53a712f97245e


IP: Letonia - Zlkon

Dominios asociados:
Totalprotect2009.com=94.247.3.60 Securitysolutionsnetworks.com=94.247.3.61

VT Report: Result: 19/38 (50%)








Internet Antivirus Pro
MD5: 6a4337a335e5445892190de3470bb296


IP: Letonia - Zlkon

Dominios asociados:
Avpaymentpro.com=94.247.3.41
Cokiran.com=94.247.3.41
Go-scan-pro.com=94.247.3.41

VT Report: Result: 5/38 (13.16%)





iSafe AntiVirus
MD5: b5fb5e2cc0aefa942ff1b6b860ff24ad

IP: Letonia - Zlkon

Dominios asociados:
Isafe- antivirus.com=94.247.3.240
Isaferantivirus.com=94.247.3.240
Isafeantivirus.com=94.247.3.240

VT Report: Result: 17/38 (44.74%)




# pistus

Ver más

Estado de la seguridad según Microsoft

En el último Informe de Inteligencia de Seguridad de Microsoft, que ofrece datos estadísticos recavados entre Enero y Junio del año pasado, se desprenden datos más que interesantes sobre la situación que refleja en la actualidad el estado de la seguridad a nivel global.

El mismo se encuentra enfocado en detallar, siempre desde el punto de vista de los especialistas de Microsoft, las vulnerabilidades que se dieron en los diferentes estratos tecnológicos que necesitan un nivel adecuado de protección, y que si bien no es muy diferente a lo que muchos podemos apreciar, resulta un buen punto de partida para idear estrategias de seguridad más efectivas.

Según este informe, la tendencia en las vulnerabilidades disminuyó un 23% durante el semestre en cuestión con relación a todo el año 2007, y más del 90% de estas vulnerabilidades explotaron aplicaciones. Asimismo, el 32% de las vulnerabilidades en aplicaciones de Microsoft poseían un código exploit público y disponible en Internet.

Entre aquellas (vulnerabilidades) basadas en el navegador, el 42% se dieron sobre plataformas WinXP; mientras que, con una gran diferencia, sólo el 6% explotaron Vista. Sin embargo, nada más que el 50% de las 10 vulnerabilidades más críticas afectaron a XP y ninguna a Vista.

Sin bien lo manifestado por Microsoft a través de este informe es positivo teniendo en cuenta la disminución de los porcentajes antes mencionados, vale la pena hacer un punto aparte en esta instancia y reflexionar sobre algo, que aún hoy sigue siendo preocupante: la falta de actualización en los equipos. De hecho, algo se había mencionado cuando se habló sobre las violaciones de seguridad más comunes.

Si observamos bien el gráfico, deducimos que las cinco vulnerabilidades que explotaron XP son:

• MS06-014 (MDAC_RDS). Crítica solucionada en abril de 2006.
• MS06-071 (MSXML_setRequestHeader). Crítica solucionada en noviembre de 2006.
• MS06-057 (WebViewFolderIcon). Crítica solucionada en octubre de 2006.
• MS06-067 (DirectAnimation_KeyFrame). Crítica solucionada en noviembre de 2006.
• MS06-055 (VML). Crítica solucionada en septiembre de 2006.

Todas vulnerabilidades consideradas críticas y solucionadas durante el año 2006 que explotaron, y seguramente seguirán explotando :-(, equipos durante el 2008, dos años después.

Realmente preocupante, ya que deja completamente al descubierto la falta de ¿responsabilidad? concientización y sensibilización frente al problema que ocasiona la falta de responsabilidad actualización, tanto a nivel cliente como a nivel servidor.

El informe también cubre la amenaza de los códigos maliciosos explicando que la solución antivirus de Microsoft, llamada MSRT (Malicious Software Removal Tool - Herramienta de eliminación de software malintencionado) eliminó más del 30% del malware mundial, donde la tasa de infección estuvo dominada por dos familias de malware que esta herramienta detecta como Win32/Zlob y Win32/Renos. En una mirada más cercana a Win32/AntivirusXP se explica la relación que existe entre Renos y AntivirusXP.

Otro dato más que interesante a tener en cuenta, es el relacionado a los países que tuvieron la mayor tasa de infección y cuál fue el malware que dominó esta tasa de infección. En este aspecto se desprende que los países son:

• Brasil: donde más del 60% de los equipos se encontraban comprometidos con algún tipo de código malicioso, predominantemente, troyanos del tipo banker.
• China: donde predominaron las aplicaciones potencialmente indeseadas como el adware, sobre todo aquellos con capacidades de secuestrar el navegador (browser hijacking).
• Italia: donde también predominó el adware infectando equipos a través de clientes para redes P2P y barras de tareas.
• Corea: en este país, insisto, según Microsoft, la mayor tasa de infección fue provocada por virus como Virut y Patite a través de redes P2P.
• España: donde los gusanos constituyeron la mayor amenaza con la tasa de infección más alta.
• USA: donde abundaron los troyanos de la familia Zlob.

Con respecto a lo anteriormente mencionado, debo reconocer que me llama poderosamente la atención que Corea haya tenido una importante tasa de infección provocada por los clásicos virus, ya que este fue perdiendo terreno a lo largo del tiempo y en la actualidad representa un porcentaje mínimo del importante caudal de malware que se disemina a nivel mundial.

En lo que a diseminación de malware a través de correo electrónico se refiere, de este informe también resulta que el 97,8% de los archivos adjuntos bloqueados en servidor Exchange eran con extensión .html y .zip. Es decir, la mayor cantidad de códigos dañinos que se propagan a través del correo electrónico, poseen cualquiera de estas dos extensiones de archivo.

Por último, los ataques de phishing y el spam no se escaparon del reporte. Se desprende que:

• el 71,4% del spam, estuvo representado por la industria farmacéutica con productos como el viagra, el cialis y otros fármacos,
• el 9.6% con cuestiones relacionadas al mercado de valores,
• el 8.6% a material explícito,
• y el porcentaje restante se repartió entre phishing (2.5%), casinos en línea (3.8%), venta de programas (1.1%), scam (1.1%) y algo que empezamos a ver desde principios del año 2008, los diplomas de altos estudios fraudulentos (1.9%).

De todas formas, los códigos maliciosos son y serán constituyendo una de las amenazas más importantes para la seguridad de los diferentes niveles de usuario y para las compañías, y en general todas las amenazas expuestas en este documento, por lo que seguramente, el siguiente informe desprenderá otro puñado de datos “jugosos”.

# pistus

Ver más

Desfiguración de sitios web de fin de semana

Websites defacement of weekend

El defacement, o defacing, consiste básicamente en la modificación de una página web de manera no autorizada; es decir, la modificación de una página que no es realizada por el administrador de esa página web.

La persona que realiza un defacing recibe el nombre de defacer y, en la mayoría de los casos, suelen responder a un sentimiento hacktivista utilizándolo como método de manifestación en contra de decisiones políticas o sociales de algunos países, sin embargo, también es utilizado con fines maliciosos como la propagación de malware o, en el menor de los casos, simplemente dar a conocer la vulnerabilidad para que sea solucionada.

Algunos defacing que se produjeron durante la última semana son:

• Ref.: # 00001
• Defacer: Keremhan
• Grupo: The Turkish Hacker

• Ref.: # 00138
• Defacer: NikitiN
• Grupo: LatinHackTeam (Argentina, Chile, Uruguay, Ecuador, Perú, México, Venezuela, España, Holanda)

• Ref.: # 00117
• Defacer: Scream
• Grupo: Team Saw (Arabia Saudita)

Desfiguración histórica
Defacing realizado a la Comisión Nacional de Comunicaciones de Argentina el 10 de abril de 1999.

• Ref.: # 00001h
• Defacer: dr_fdisk^ (Argentina)
  
• Grupo: --
  

# pistus

Ver más

Malware preinstalado

Con la leyenda “You've been iframed”, “Usted ha sido iframeado” o algo similar, bajo el título principal, leo una noticia en The Register sobre la aparente diseminación de malware por parte de la empresa Samsung, a través de un CD.

Según la fuente de información mencionada, se trata de un portarretratos digital, exactamente el modelo SPF-85H 8-inch Digital Photo Frame, cuyo programa de manejo fotográfico incluido en el CD que acompaña el dispositivo, se encontraría infectado con un código malicioso.

En este caso, la infección sería provocada por una variante de la familia del virus Sality, un malware muy peligroso que posee capacidades polimórficas, y busca infectar los archivos ejecutables que encuentra en el sistema víctima.

Según la misma empresa Samsung, el problema “sólo” estaría limitado a la infección en sistemas Windows XP y, si bien al infectar “sólo” esta plataforma se mantiene un filtro importante, no es un problema menor ni se debe minimizarlo como se intenta hacer desde el sitio web de Samsung, que de hecho ha publicado una pequeña guía de desinfección.

Muchos dispositivos como reproductores MP3 y GPS ya han tenido problemas de este tipo, incluso algunas PC’s como el caso de la Eee Box mini PC de Asus o el reciente de Lenovo que he leído hace un tiempo en el blog de virusattack.

Si bien este tipo de acontecimientos no son una novedad a esta altura de la era digital, constituye un problema realmente preocupante teniendo en cuenta que cada vez son más los dispositivos comprometidos con algún programa dañino antes de llegar al usuario final, ya que deja en evidencia el pobre control de calidad que realizan algunas compañías, más allá de los servicios tercerizados que esta tenga, la responsabilidad de trasmitir confianza a los usuarios y mantener la “seguridad electrónica” recae netamente en la compañía misma.

# pistus

Ver más