Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

jueves, 30 de abril de 2009

Compendio mensual de información. Abril 2009

Pistus Malware Intelligence Blog
22.04.09 Adrenalin botnet: zona de comando. El crimeware ruso marca la tendencia
18.04.09 Scripting attack II. Conjunción de crimeware para obtener mayor volumen de infección
18.04.09 Chamaleon botnet. Administración y monitoreo de descargas
15.04.09 Scripting attack. Explotación múltiple de vulnerabilidades
13.04.09 Continúa la importante y masiva campaña scareware
12.04.09 YES Exploit System. Otro crimeware made in Rusia
10.04.09 Falsas páginas utilizadas como vector de propagación de malware
09.04.09 Drive-by-Download y Drive-by-Update como parte del proceso de infección
07.04.09 Waledac. Seguimiento detallado de una amenaza latente
04.04.09 Conficker IV. Dominios relacionados... y controversiales
03.04.09 Conficker III. Campaña de propagación de falsas herramientas de limpieza
02.04.09 Conficker II. Infección distribuida del gusano mediático
01.04.09 Conficker. Cuando lo mediático se hace eco de todos...

EvilFingers Blog
20.04.09 Scripting attack II. Conjunction of crimeware for increased infection
19.04.09 Continuing the important and massive campaign scareware
16.04.09 Scripting attack. Exploitation of multiple vulnerabilities
14.04.09 YES Exploit System. Another crimeware made in Russia
11.04.09 Fake page used as a vector for spreading malware
08.04.09 Waledac. Follow-up of a latent threat
04.04.09 Conficker IV. Related domains ... and controversial
03.04.09 Conficker III. Campaign of spreading false cleaning tools
02.04.09 Conficker II. Worm infection distributed
01.04.09 Conficker. When the media echoed all neglecting the problem of substance

ESET Latinoamérica Blog
27.04.09 Botnets. Una breve mirada al interior de ZeuS
21.04.09 Particular estrategia de Ingeniería Social
16.04.09 Bloqueo de puertos USB con ESET NOD32
15.04.09 Listado de programas de seguridad falsos V
08.04.09 Informe sobre el troyano Waledac
07.04.09 Notificación sobre actualizaciones en ESET NOD32 v4
01.04.09 Reporte de amenazas de Marzo

Información relacionada
Compendio mensual de información. Marzo 2009
Compendio mensual de información. Febrero 2009
Compendio mensual de información. Enero 2009

# pistus

Ver más

Publicado por Jorge Mieres 0 comentarios

miércoles, 22 de abril de 2009

Adrenaline botnet: zona de comando. El crimeware ruso marca la tendencia

A los diferentes paquetes crimeware que de manera breve hemos tratado en alguna oportunidad, se le suma Adrenaline.

Otro crimeware de origen Ruso de sólo unos pocos meses de vida y que no pretende ser mejor ni peor que otros de su familia, ni tampoco, casi seguro, le disgusta "trabajar" en conjunto con otros crimeware :-)

Aunque esta última frase parezca una publicidad de venta, en realidad refleja un poco la situación actual de la diseminación de malware y empleo de crimeware. Cosa que pudimos comprobar a través de Scripting attack II.

Y decimos que Adrenaline no es muy diferente a otros porque también permite diseminar código dañino a través de script ofuscados escondiendo exploits, inyección de código dañino en el código fuente de páginas web, empleo de Drive-by-Download, robo de información a través de sniffer, administración y control remoto vía web, etc.

Sin embargo, posee algunas características que lo diferencian de otros, quizás de ello se desprenda su elevado costo también en comparación con sus competidores (aproximadamente USD 3500), como:
  • recolección de certificados digitales,
  • diferentes metodologías de inyección de código viral,
  • hace uso de pharming local para lograr redireccionamientos obligados sin que el usuario lo perciba,
  • implementa keylogger con captura de pantalla,
  • implementa técnicas de evasión para evitar ser detectado por herramientas de seguridad como firewalls y antirootkits,
  • módulos específicos para la limpieza de huellas,
  • cifrado de la información que recolecta.

Entre otras cosas más, posee otra característica llamativa que no es novedosa pero sí un tanto particular: elimina malware de la competencia :-)

Como se aprecia claramente, la tendencia marca que Internet es el máximo exponente en plataformas de ataque, sobre todo a través de aplicaciones crimeware como las que venimos comentando habitualmente en este blog.

Aún así, hay un par de preguntas que dan vueltas en mi cabeza, y que básicamente se traducen en: ¿por qué cada vez hay más paquetes de automatización crimeware? y ¿por qué el elevado costo?

Intentando analizarlo un poquito, quizás las respuestas las tenemos frente a los ojos en la vida cotidiana de quienes nos dedicamos al campo de la seguridad. La respuesta a la primera pregunta, puede tener una perspectiva tendenciosa canalizada en el dinero; es decir, evidentemente, la información posee la catalogación de máximo valor (por mínima que sea y sin importar su clasificación) y teniendo en cuenta eso, los delincuentes informáticos buscan obtener dinero con esa información, transformándose todo el mundo del malware en un gran negocio, altamente redituable y difícil de quebrar.

Por otro lado, todo esto supone un problema asociado que no se puede obviar que pasa por el hecho de que el crimeware sea ofrecido a medida y con soporte técnico 24x7, lo que implica que cada vez más usuarios con mente delictiva se postulen como aspirantes en la búsqueda de obtener el provecho económico que el crimeware, en el concepto más amplio de su palabra, supone como organización delictiva a través de Internet.

En torno a la segunda, quizás la respuesta se encuentre directamente relacionada en que el costo que supone la adquisición de un Kit de este estilo, puede ser recuperado en muy poco tiempo; sobre todo, teniendo presente que las botnets que se administran a través de estos aplicativos, suelen ser alquiladas a otros botmasters, a spammers o a otros personajes de este oscuro submundo que, como lo mencioné en otro post, me recuerda a los relatos de William Gibson en Neuromante.

Información relacionada
Chamaleon botnet. Administración y monitoreo de descargas
YES Exploit System. Otro crimeware made in Rusia
Unique Sploits Pack. Crimeware para automatizar la explotación de vulnerabilidades
Zeus Botnet. Masiva propagación de su troyano. Segunda parte
Barracuda Bot. Botnet activamente explotada
Creación Online de malware polimórfico basado en PoisonIvy

# pistus

Ver más

Publicado por Jorge Mieres 0 comentarios

sábado, 18 de abril de 2009

Scripting attack II. Conjunción de crimeware para obtener mayor volumen de infección

Otra técnica ampliamente utilizada por los delincuentes informáticos para atacar equipos vía web a través de scripting es la inyección de las instrucciones maliciosas en el código de la página.

En este caso, una página web alojada en un servidor vulnerado es utilizada como vector para la propagación de malware por intermedio de la explotación de vulnerabilidades en equipos desprotegidos. Algunas de las páginas empleadas son:

http://team-sleep.by .ru/default2 .html
http://team-sleep.by .ru/demo .html
http://team-sleep.by .ru/disco .html
http://team-sleep.by .ru/downloads .html
http://team-sleep.by .ru/enter .html
http://team-sleep.by .ru/gold .html
http://team-sleep.by .ru/googleanalyticsru .html
http://team-sleep.by .ru/guest .html
http://team-sleep.by .ru/guestbook .html
http://team-sleep.by .ru/media .html
http://team-sleep.by .ru/menu .html
http://team-sleep.by .ru/news .html
http://team-sleep.by .ru/photo2 .html
http://team-sleep.by .ru/poem .html
http://team-sleep.by .ru/press_reviews .html
http://team-sleep.by .ru/team-sleep .html
http://team-sleep.by .ru/wallpapers .html
http://team-sleep.by .ru/gmail .php
http://team-sleep.by .ru/haitou .php
http://team-sleep.by .ru/in .php
http://team-sleep.by .ru/xxx .php
http://team-sleep.by .ru/photo/team .html
http://team-sleep.by .ru/photo/wallz .html
http://team-sleep.by .ru/photo/live/index2 .html
http://team-sleep.by .ru/photo/live/imagepages/image1 .html
http://team-sleep.by .ru/photo/members/imagepages/image1 .html
http://team-sleep.by .ru/photo/team/imagepages/image1 .html

La lista es larga (98 páginas de un mismo sitio). Sin embargo, a través del gráfico quedan todas representadas.

Cada una de estas direcciones web son diseminadas a través de canales como el correo electrónico o clientes de mensajería instantánea empleando alguna estrategia de Ingeniería Social, y alojan varios script ofuscados que contienen diferentes exploits.

Al desofuscar los scripts, nos encontramos con el empleo de etiquetas iframe que redireccionan a otras URL's como:
  • http://5rublei .com/unique/index .php
  • http://tochtonenado .com/yes/index .php
Un punto sumamente interesante en relación al crimeware, nos remite directamente al concepto mismo de vulnerabilidad; es decir, el crimeware no queda exento a debilidades por fallos de diseño en su código, lo cual nos permite profundizar un poco más el conocimiento el crimeware violando su integridad.

Tal cual lo ven en la imagen, resulta que se trata del empleo en conjunto de dos conocidos crimeware, Unique Sploits Pack y YES Exploit System.

Esto demuestra que los delincuentes informáticos buscan constantemente encontrar una manera rápida y sencilla, cuanto más automatizada mejor, diferentes formas de ataque que permita aumentar las ganancias.

De esta forma, la labor "profesional" que se esconde detrás de estas actividades maliciosas donde el malware es el principal actor buscando continuamente ampliar el abanico de infecciones, los botmaster logran realizar actividades dañinas con un mayor caudal de distribución.

Información relacionada
Scripting attack. Explotación múltiple de vulnerabilidades
Explotación de vulnerabilidades a través de archivos PDF
Explotando vulnerabilidades a través de SWF
Explotación de vulnerabilidades a través de JS
Explotación masiva de vulnerabilidades a través de servidores fantasmas
Análisis esquemático de un ataque de malware basado en web
LuckySploit, la mano derecha de Zeus
Anatomía del exploit MS08-078 by FireEye

# pistus

Ver más

Publicado por Jorge Mieres 1 comentarios

Chamaleon botnet. Administración y monitoreo de descargas

La oferta de crimeware por parte de la superpotencia energética es muy amplia. La mayoría de los Kits de automatización de infecciones y administración vía web, son diseñados en Rusia y la propagación de malware a través de ellas, se exportan a nivel global.

Chamaleon es otro crimeware que, aunque con menos funcionalidades que otros Kits, sigue la tendencia de poder monitorear una serie de datos estadísticos por intermedio de un panel de control y administración.

A través de un sencillo menú, este crimeware permite administrar diferentes cuestiones que desde el punto de vista estadístico, los delincuentes informáticos necesitan para tener una idea global de qué tipo de exploits utilizar. Por ejemplo, en la siguiente captura se aprecia la cantidad de navegadores que accedieron a la descarga de malware y sistemas operativos afectados.

Incluso, una detallada discriminación por países de nodos comprometidos a través de un módulo GeoIP que forma parte del Kit.

El crimeware, utiliza varios scripts destinados a explotar vulnerabilidades en los navegadores y sistemas operativos.

A través de los cuales descarga los siguientes archivos:
  • test.pdf - 14/40 (35.00%) (MD5: 9c1c623fe3a5dfbe2e9e9739386510e1)
  • 22.pdf - 12/40 (30.00%) (MD5: 9b7ecfe7f925d06903f7e303a3595c02)
  • file2.exe - 28/40 (70.00%) (MD5: 221e923fcab13951da7b3e652f3a8bab)
Todos, códigos maliciosos que actualmente presentan un bajo índice de detección por parte de las compañías antivirus.

Información relacionada
YES Exploit System. Otro crimeware made in Rusia
Barracuda Bot. Botnet activamente explotada
Los precios del crimeware Ruso
Unique Sploits Pack. Crimeware para automatizar la explotación de vulnerabilidades

# pistus

Ver más

Publicado por Jorge Mieres 0 comentarios

miércoles, 15 de abril de 2009

Scripting attack. Explotación múltiple de vulnerabilidades

La ejecución de códigos maliciosos a través de ataques scripting forman parte del folklore actual de los códigos maliciosos. Sin embargo, detrás de toda esta batería de métodos de infección, se encuentran involucradas aplicaciones diseñadas íntegramente para cometer este tipo actos dañinos.

Por lo general, se trata de aplicativos crimeware como zeus, barracuda, chamaleon, YES, etc., o shells remotas escritas en PHP, como en este caso, la conocida r57shell.

Existen muchas aplicaciones de este estilo (c99shell, c100shell, locus, netshell, etc.) que son implantadas, generalmente, en servidores vulnerados a través de RFI (Remote File Inclusion - Inclusión Remota de Archivos) y utilizadas para realizar massive-defacement; es decir, desfiguración masiva de páginas web.

Sin embargo, si bien es habitual que el fin sea este, también son plenamente empleadas para ataques vía web a través de códigos maliciosos como DDoS, SQL Injection y reclutamiento de computadoras zombis, entre otros.

Como podemos apreciar a través de esta segunda captura, las funcionalidades que ofrece r57shell son muchísimas, y no responden a una condición casual ni trivial, ya que la intención es poder controlar completamente el servidor donde se haya implantado. Es decir, se trata de un backdoor a partir del cual un atacante toma control total del servidor, y de cada uno de los nodos alojados en el mismo.

En este caso, la shell en PHP estaba siendo utilizada para propagar malware a través de la explotación de las siguientes vulnerabilidades:
Todos los exploits para estas vulnerabilidades se encuentran en un solo script cuya apariencia es similar al siguiente, que dicho sea de paso, la captura ha sido cortada.

Al desofuscar el script, se obtienen las siguientes URL's:
  • http://vsedlysna.ru/img/site/2/load.php?id=83 --> Descarga el archivo load.exe (MD5: 22027b5c4394c7095c4310e2ec605808) enpaquetado con ASPack v2.12.
  • http://vsedlysna.ru/img/site/2/pdf.php?id=83 --> Descarga el archivo 9040.pdf (MD5: 3b9e76642e96f3626cf25b7f3f9d6c3a) cuyo nombre de archivo es un valor aleatorio que cambia en cada descarga adopatando nombres como 8795.pdf, 7436.pdf, 6100.pdf, etc.
  • http://vsedlysna.ru/img/site/2/pdf.php?id=83&vis=1 --> Descarga otro archivo con extensión pdf cuyo nombre varía en cada acceso siguiendo la misma metodología que el caso anterior. En este caso, el archivo se llama 4099.pdf (MD5: 5caf548ff3e6ae0c9101ae647757a099).
Información relacionada
YES Exploit System. Otro crimeware made in Rusia
Zeus Botnet. Masiva propagación de su troyano. Segunda parte
Barracuda Bot. Botnet activamente explotada
Los precios del crimeware Ruso
Unique Sploits Pack. Crimeware para automatizar la explotación de vulnerabilidades

# pistus

Ver más

Publicado por Jorge Mieres 0 comentarios

Suscribirse a: Entradas (Atom)