Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

domingo, 4 de octubre de 2009

Automatización en la creación de exploits

En la mayoría de los casos, una de las piezas más comunes que se utilizan en cualquier ataque son los exploits, y en el mundo de los códigos maliciosos también. Todos los ataques utilizando malware y que se llevan a cabo aprovechando la infraestructura que ofrece Internet, involucran como componente esencial el aprovechamiento de vulnerabilidades.

Independientemente de las vulnerabilidades públicas que día a día aparecen (y sin incluir las del tipo 0-Day) las más relevantes, por ser las más explotadas, son las que aprovechan debilidades en aplicaciones diseñadas para visualizar archivos .pdf, .swf y, por supuesto, las de Windows.

En este sentido, el hecho de que estén de "moda" es un atributo que creo, se basa principalmente en la prematura conciencia sobre los riesgos de seguridad que todavía pareceríamos tener. Que aún hoy se estén explotando vulnerabilidades solucionadas hace más de tres años es la evidencia más clara; y que además, conforman una de las estrategias fundamentales que utilizan los botmasters para reclutar zombis a gran escala.

Incluso, en la actualidad, ya nadie se sorprende de que las aplicaciones web diseñadas para controlar y administrar botnets a través del protocolo http, se vendan con módulos de exploits pre-configurados, como en el caso de YES Exploit System o Liberty Exploit System, entre tantas otras.

Por otro lado, el negocio del crimeware busca constantemente diseñar "recursos" automatizados que permitan optimizar sus "servicios" y comienzan a aparecer en el mercado clandestino, recursos pensados no solo para automatizar el desarrollo de amenazas sino que también para hacer de esas amenazas lo más complejas posibles.

Cifrado de malware, técnicas anti-debugger, técnicas anti-analisis como la detección de entornos controlados (VirtualBox, VMWare, Virtual PC, SandBox, etc.) y la automatización en la creación de exploits son pruebas fieles que a granel existen en el mercado clandestino de crimeware.

Este último punto en particular, la producción automatizada de exploits, ha generado importantes problemas en los últimos años. Sin irnos demasiado lejos, recordemos el grave problema de seguridad que representó conficker a finales del año pasado al propagarse a través de una vulnerabilidad en la familia de sistemas operativos de Microsoft. Sin embargo, su origen estuvo marcado antes de su aparición.

El proceso de explotación se generó en base a una vulnerabilidad critica sobre el servicio RPC publicada el 23 de octubre de 2008 (MS08-067), que forzó a Microsoft ha lanzar el parche rompiendo su ciclo habitual (el segundo martes de cada mes). Inmediatamente después comenzó a ser explotada por el troyano Gimmiv y la vulnerabilidad aprovechada por un exploit creado por "ph4nt0m".

Desde allí, la vulnerabilidad fue aprovechada por varios códigos maliciosos. En noviembre, aparece una aplicación que permite automatizar el proceso de creación de exploits para esta debilidad de seguridad, y que además incorpora un escáner de puertos cuyo objetivo es encontrar equipos vulnerables. La aplicación tiene su origen en China.

Un dato curioso es que la versión original de este programa no contiene "sorpresas". Sin embargo, versiones posteriores manipuladas de forma intencionalmente maliciosa ofician a modo de "trampa cazabobo" incorporando un backdoor que se instala de forma silenciosa en el equipo de quien pretende utilizar la aplicación. Es decir, cazador cazado...

También durante noviembre de 2008 aparece la primera versión de conficker, un gusano que de manera efectiva explota esta vulnerabilidad provocando un gran malestar en muchas compañías que sufrieron sus consecuencias en sus redes, y sin lugar a dudas, uno de los códigos maliciosos más mediáticos de la historia.

Durante este año 2009, se conoce otra vulnerabilidad (MS09-002), pero esta vez en Internet Explorer 7, que permite la ejecución de código al momento de acceder a una página web, y comienza a ser incorporada en las aplicaciones web para el control y administración de botnets, explotado los equipos a través de archivos pdf, archivos .doc, ataques Drive-by-Download y ataques Multi-Stage.

Entre ellas, Phoenix Exploit’s Kit, Fragus, Liberty Exploit System, Eleonore Exploits Pack, Unique Sploits Pack, entre otros.

Pero también aparece una herramienta que permite explotar la vulnerabilidad a través de un proceso de creación de exploits específicos para la misma, que comienza a circular por foros de origen Israelí.

El programa genera un script ofuscado en JS que esconde el exploit.

De esta forma, se propaga el exploit a través de páginas web que explotan en los sistemas Windows por medio del navegador IE7 vulnerable.

Estos exploits son utilizados activamente por los ciberdelincuentes para iniciar los procesos de diseminación e infección, y las aplicaciones que lo generan de forma automática se encuentran In-the-Wild, con el agravente de que su desarrollo no se encuentra limitado a profundos conocimientos de programación.

Como podemos deducir, la gestión e implementación de actualizaciones de seguridad, tanto de los sistemas operativos como de las aplicaciones, no posee una fundamentación trivial, sino que es un aspecto muy importante para mantener la salud de los equipos.

Información relacionada
Conficker IV. Dominios relacionados... y controversiales
Conficker III. Campaña de propagación de falsas herramientas de limpieza
Conficker II. Infección distribuida del gusano mediático
Conficker. Cuando lo mediático se hace eco (...) problema de fondo
Anatomía del exploit MS08-078 by FireEye

Jorge Mieres

Ver más

Publicado por Jorge Mieres 0 comentarios

jueves, 1 de octubre de 2009

Rompiendo el esquema convencional de infección

Luego de varios años de estar en el ámbito de seguridad de la información, y en particular seguridad antivirus, uno tiene la suerte de escuchar comentarios que intentando justificar lo injustificable se asemejan más a mitos que a verdades.

Hace poco tiempo un periodista nos preguntaba cuál es nuestra sensación frente a usuarios medianamente avanzados que aseguran no necesitar software de seguridad antivirus porque saben lo que realmente tienen en su equipo.

Si bien esto puede ser cierto, creo que no debemos pecar de arrogantes. ¿Qué quiero decir con esto? Muchas veces confiamos en saber lo que hacemos y luego nos encontramos con que aquello que parecía trivial resulto ser muy peligroso. Obviamente el caso utópico seria el de un usuario conciente de los peligros que existen en la nube (esta palabra tan de moda para referirse a Internet) y obre en consecuencia a través de mecanismos de prevención.

Sin embargo, muchas veces, esos aspectos triviales nos llevan a crear en nuestra mente una falsa sensación de seguridad, creyendo que la tenemos cuando en realidad no. Trasladado este aspecto al mundo del malware, es más habitual de lo que se cree.

Repasemos en primera instancia la estructura de un código malicioso convencional. Podríamos decir que se encuentra, básicamente, compuesto de tres módulos: de daño, de auto-defensa y de comunicación.

El módulo de daño, está diseñado para ejecutar las instrucciones dañinas como la eliminación de información, el cifrado de archivos, el envío de spam, de mensajes a los contactos del MSN, de ejecutar ataques DDoS, keylogging, entre muchas cosas más.

El módulo de auto-defensa se encargará de controlar aquellos aspectos que atenten contra sus instrucciones maliciosas, por ejemplo, desactivando los programas de seguridad (firewall, antivirus); bloqueando el acceso a funcionalidades nativas del sistema operativo (registro, CMD, Administrador de tareas), incluso bloqueando también el acceso a las páginas web de los antivirus para evitar su actualización. En este módulo también se incluyen técnicas más avanzadas como rootkit, detección de máquinas virtuales, anti-debugging, entre otros.

En cuanto al módulo de comunicación, que no necesariamente tiene que estar presente pero que es característico del malware actual, se encargará de establecer una comunicación contra un servidor malicioso (que puede ser una zombi) para descargar otros códigos maliciosos, actualizar su propio código, continuar con su ciclo de propagación, manipular la conexión de red (DNS, SMTP, proxys HTTP), cifrar la información robada, y más dependiendo del tipo de malware.

Todas estas actividades permiten evidenciar la presencia de malware en el equipo, y de ellas se aferran las soluciones antivirus durante el proceso de detección. Sin embargo… ¿qué pasa cuando este esquema se rompe? Esto sucede en el siguiente ejemplo:

Tenemos un archivo que se propaga a través de correo electrónico simulando ser un video, su nombre es videotestimonio.mpeg.exe (Ingeniería Social aplicada al archivo). El usuario ejecuta ese archivo e inmediatamente se ejecuta una instancia del navegador que muestra un video alojado en YouTube que hace referencia a lo que alude el nombre del archivo.

Es decir, no quedan procesos residentes en memoria, no se manipula ninguna clave del registro, la PC no presenta síntomas extraños y el usuario visualizó lo que se le prometió. Sin embargo, en segundo plano pasó algo.

El código malicioso agregó información en el archivo host llevando a cabo un ataque de pharming local, destinado a realizar ataques de phishing contra la víctima. En este caso, el malware no posee módulos de comunicación, ni de auto-defensa, sólo un módulo de ataque que lo único que hace es agregar información en el host; rompiendo así el esquema convencional de infección. En base a esto… ¿la máquina está infectada? Sí ¿el antivirus lo detectará? Lo más probable es que no porque el archivo host no es un malware.

En cuanto al desarrollo del código malicioso, también es trivial. Simplemente se compone de un archivo .bat (video.bat) que posee las instrucciones necesarias para agregar información en el archivo host, comprimido con WinRAR generando un archivo SFX (videotestimonio.mpeg.exe) con dos líneas de código que ejecutan el archivo .bat.

Independientemente de lo trivial del malware. Los efectos que se pueden lograr a través de esta técnica son muy peligrosos. Además, la tasa de detección es muy baja. Sólo el 12/41 (29.27%).

Evidentemente, la confianza no es tan saludable, sobre todo en un ambiente tan ambiguo como lo es Internet.

Información relacionada
Propagación automática de códigos maliciosos vía http
Simbiosis del malware actual. Koobface
Análisis esquemático de un ataque de malware basado en web

Pistus

Ver más

Publicado por Jorge Mieres 3 comentarios

miércoles, 30 de septiembre de 2009

Compendio mensual de información. Septiembre 2009

Pistus Malware Intelligence Blog
28.09.09 Propagación automática de códigos maliciosos vía http
26.09.09 Una recorrida por los últimos scareware XV
26.09.09 Nueva versión de Eleonore Exploits Pack In-the-Wild
24.09.09 CYBINT en el negocio de los ciber-delincuentes rusos
21.09.09 Eficacia de los antivirus frente a ZeuS
18.09.09 Inteligencia informática, Seguridad de la Información y Ciber-Guerra
17.09.09 Phoenix Exploit’s Kit. Otra alternativa para el control de botnets
17.09.09 Green IT utilizado para la propagación de scareware II
15.09.09 Green IT utilizado para la propagación de scareware
12.09.09 Una recorrida por los últimos scareware XIV
09.09.09 La peligrosidad de una nueva generación de bootkits
07.09.09 iNF`[LOADER]. Control de botnets, marihuana y propagación de malware
04.09.09 Bootkit multiplataforma al ataque. ¿La resurrección de los virus de arranque?

Evil Fingers Blog
29.09.09 Automatic propagation of malicious code via http
28.09.09 CYBINT in the business of Russian cybercriminals
26.09.09 A recent tour of scareware XV
26.09.09 New version of Eleonore Exploits Pack In-the-Wild
21.09.09 Effectiveness of the antivirus front ZeuS
20.09.09 Computer Intelligence, Information Security and Cyber-Warfare
19.09.09 Phoenix Exploit's Kit. Another alternative for controlling botnets
13.09.09 The danger of a new generation of bootkits
12.09.09 iNF`[LOADER]. Control of botnets, marihuana, and spreading malware
06.09.09 Bootkit multi-platform attack. Is the resurrection of the boot viruses?

ESET Latinoamérica Blog
30.09.09 Reporte de amenazas de septiembre
25.09.09 Agresiva generación de rootkits
18.09.09 El rogue se hace eco de las tecnologías verdes
11.09.09 Listado de programas de seguridad falsos VII
09.09.09 Facebook amenazado por una solución de seguridad antivirus falsa
08.09.09 Spam a través de Skype

Información relacionada
Compendio mensual de información 2009

Diciembre - Noviembre - Octubre - Septiembre - Agosto - Julio
Junio - Mayo - Abril - Marzo - Febrero - Enero

Jorge Mieres

Ver más

Publicado por Jorge Mieres 0 comentarios

lunes, 28 de septiembre de 2009

Propagación automática de códigos maliciosos vía http

Muy bien sabemos que los procesos por automatizar la propagación de malware es uno de los objetivos básicos de cualquier ciberdelincuente, independientemente de los vectores de ataque y tecnologías que se empleen.

En este sentido, Internet se ha transformado en la cuna que mece diferentes alternativas de piezas maliciosas a través de alternativas de ataque que día a día evolucionan. Hace varios años atrás era bastante difícil suponer que con el solo hecho de acceder a una página se corre el peligro de infección si se cumplen determinados requisitos en el sistema, requisitos que tienen que ver básicamente con las actualizaciones del sistema operativo y aplicaciones.

Hoy, nos encontramos con script’s cuyas instrucciones son creadas maliciosamente y forman parte de un ciclo de propagación e infección, lamentablemente, muy efectivo. Un ejemplo concreto, no solo de evolución sino también de efectividad, lo constituye la técnica Drive-by-Download junto a su versión evolucionada de ataques Multi-Stage; altamente empleada por botmasters para propagar amenazas.

El siguiente, es un escenario real que ejemplifica con mayor claridad lo que acabo de contar. Se trata de una página web alojada en Estados Unidos bajo la IP 66.116.197.186 en AS32392. A continuación se observa una captura de la web.

Los dominios alojados en esa misma IP son:
  • phonester.biz
  • phonester.com
  • phonester.info
  • phonester.net
  • phonester.org
Cuando se accede desde Windows, a través de un script embebido en el código HTML, se ejecuta automáticamente una ventana proponiendo la descarga de Flash Player. Obviamente, es falso. El archivo que se propaga se llama “install_flash_player.exe(abed2d16e5e4c3e369114d01dff4b19c) y posee un índice de detección bajo, ya que solo casi el 25% de los motores antivirus detecta el malware que se encuentra In-the-Wild.

Este procesamiento automático se lleva a cabo, como dije anteriormente, a través de un script, cuya captura se observa a continuación. La cuestión con esto es, probablemente, que cuando el usuario acceda no se lleve ningún indicio sobre contenidos maliciosos, de hecho la página no contiene enlaces, sólo una imagen.

Sin embargo, de forma transparente se ejecuta el script que incita a la descarga del falso Flash Player. Ahora… el tema no termina aquí. Desde un punto de vista más técnico, hay muchos detalles que son difíciles de no captar.

En principio, al desofuscar el script, obtenemos una serie de datos relevantes. El script posee etiquetas iframe que direccionan a una serie de páginas web desde donde se descargan otros archivos maliciosos.
  • diggstatistics.com/flash/pdf.php
  • diggstatistics.com/flash/directshow.php
  • diggstatistics.com/flash/exe.php
Los archivos que descarga son “tylda.exe(abed2d16e5e4c3e369114d01dff4b19c) que tiene una baja tasa de detección (5/41-12.20%) y “pdf.pdf(9cc400edcdc5492482f5599d43b76c0c) con una tasa de detección también baja (13/41-31.71%) y diseñado para explotar vulnerabilidades en Adobe reader y acrobat. Adobe util.printf overflow (CVE-2008-2992) y Adobe getIcon (CVE-2009-0927) respectivamente.

Por otro lado, en el hipotético caso de que el archivo que se descarga en primera instancia (install_flash_player.exe) sea ejecutado, este establecerá conexión contra 174.120.61.126/~garynic/ desde donde descargará el binario “coin.exe(258c0083f051b88ea36d3210eca18dd7) con un índice de detección también bastante pobre. Este archivo se descarga de forma aleatoria desde:
  • digital-plr.com
  • giggstatistics.com
  • xebrasearch.com
Con respecto al ASN en el cual se encuentran estas amenazas, pose un historial delictivo interesante, ya que es empleado para llevar a cabo actividades de phishing como propagación de malware. Según la siguiente imagen, el pico más alto de actividades de phishing se produjo el 1 de marzo de 2009, mientras que las de códigos maliciosos fue el 12 de septiembre de 2009.

Es decir, estas actividades se explotan en conjunto, no de manera aislada. Esta información no da la pauta de suponer que detrás de todas estas actividades delictivas se esconde la codicia de algún botmaster, ya que las acciones son típicas de una botnet.

Información relacionada
Propagación de Malware (...) con formato de blogging y BlackHat SEO
Simbiosis del malware actual. Koobface
Scareware. Repositorio de malware In-the-Wild
Masiva propagación de malware (...) sitios de entretenimiento
Análisis esquemático de un ataque de malware basado en web

Jorge Mieres

Ver más

Publicado por Jorge Mieres 5 comentarios

sábado, 26 de septiembre de 2009

Una recorrida por los últimos scareware XV

Nueva ola de scareware que corre en Internet. Como aclaro en cada una de las entradas de esta serie, la lista que componen las presentes URL's y direcciones IP representa tan sólo un porcentaje menor, muy pequeño, del impresionante caudal de IP's y dominios que día a día propagan este tipo de malware.

MicroVaccine
MD5: 96a2cfdb534b547518a446a48150624e
IP: 218.38.15.85
Korea, Republic Of Korea, Republic Of Seoul Hanaro Telecom Inc
Dominios asociados
clear-pc.net
microvaccine.net
vaccine2009.com
virusbye.net

Result: 24/41 (58.54%)

Omega AntiVir = Windows System Suite
IP: 64.86.16.161
Canada Canada Brampton Velcom
Dominios asociados
omegaantivir.com
trustshields.cn
update1.omegaantivir.com


Contraviro
MD5: 8b1555ab8de5f4884e95e72d1755c984
IP: 195.2.253.44
Russian Federation Russian Federation Madet Ltd
Dominios asociados
antiviruscontraviro.com
contraviro.com
securedpaymentprocessor.com


Result: 7/41 (17.07%)

Soft Safeness = Save Defender = Trust Warrior
IP: 83.233.30.66, 91.212.127.131
Sweden Sweden Stockholm Serverconnect I Norrland
United Kingdom United Kingdom Telos Solutions Ltd
Dominios asociados
mail.safetykeeper.com, mail.savekeeper.com, mail.softsafeness.com, ns1.safetykeeper.com, ns1.savekeeper.com, ns1.softsafeness.com, ns2.mitrokili.com, ns2.mredkizerut.com, ns2.ofcilamed.com, ns2.propinutrek.com, ns2.sdrukap.com, ns2.vcerukam.com, ns2.vderuwerol.com, ns2.vredupotre.com, ns2.vtromik.com, softsafeness.com, www.safetykeeper.com, www.softsafeness.com

MicroV3
MD5: 783385a90259131a89da62d10df67fa6
IP: 220.73.161.54
Korea, Republic Of Korea, Republic Of Seoul Thrunet Co. Ltd
Dominios asociados
cocoda.co.kr, dvccode.com
i-viewtec.com, microv3.com
newocn.net, phoneboja.com
rich09.com, samsung77.com
www.cocoda.co.kr
Result: 22/41 (53.66%)

malwareurlirblock.com/1/ (83.133.125.116) - Germany Germany Lncde-greatnet-newmedia
windows-protectionsuite.com (206.53.61.75) - Canada Canada Thornhill Rcp.net
antivirus-plus09.com/install/avplus.exe (195.95.151.176) - Ukraine Ukraine Kiev Limited Corp
windows-shield.com, adware-finder.com, av-safety.com, avidentify.com, avir-guardian.com
avir-protect.com
aviraplatinum.com
aviremover.com
aviremover2009.com
avirguardian.com
avremoverpro.com
awareprotect.com
awareremover.com
epcsecurity.com
esysprotect.com
intsecurepro.com
intsecureprof.com
oemantivir.com
osadwarekill.com
osawarepro.com
scanforspywarenow.com
virusermoverpro.com
viruskill2009.com
wins-guard.com
www.avir-guardian.com
www.avir-protect.com
www.esysprotector.com (91.206.201.8) -Ukraine Ukraine Pe Sergey Demin
scareware-killer.com (213.155.22.193) - Ukraine Ukraine Tehnologii Budushego Llc
windowsprotection-suite.net (64.213.140.68) - United States United States Global Crossing
smogcatalog.info/scan/vds.php (64.27.5.63) - United States United States Yucca Valley Airlinereservations.com Inc
weragumasekasuke.com/10580532 (204.12.219.133), vuilerdomegase.com/10580532 (204.12.219.132), vulertagulermos.com/10580532 (204.12.219.131), scukonherproger.com (204.12.219.149) - United States United States Kansas City Wholesale Internet Inc
luxmediacodec.com/av-scanner.0.exe (64.191.53.230) - United States United States Scranton Network Operations Center Inc
easynettest.com/install/ws.exe (62.90.136.237) - Israel Israel Haifa Barak I.t.c
ynoubfa.cn/?uid=186&pid=3&ttl=41a4951046e (64.86.25.201), trustsystem-protect.com, online-scanandsecure.net - (64.86.16.119) - Canada Canada Brampton Velcom
winfixscanner1.com/download/Soft_21.exe, delete-all-virus09.com (213.163.89.60) - Netherlands Netherlands Rotterdam Telos Solutions Ltd
lakrapi.com/1/antivirus_pro_2009_v3.18.exe (87.118.118.246) - Germany Germany Erfurt Keyweb Ag Ip Network
yourcomp.us/antivirus_setup.exe (91.212.198.152) - Russian Federation Russian Federation Individual Retailer Nevedomskiy A A

Proof Defender 2009
IP: 76.76.101.85
United States United States Portland Donald Wildes
Dominios asociados
defender-2009.com
ns1.pdefzone.com
ns2.pdefzone.com
proofdefender.com
proofdefender2009.com
www.pdefender2009.com
www.proofdefender.com

System Cleaner
IP: 69.64.33.242
United States United States Lancaster Hosting Solutions International Inc
Dominios asociados
brand-supplier.net, brands-house.com, brands-house.net, brands-sales.com, brands-vendor.com, brands-vendors.com, brands-vendors.net, discounts-shop.net, discounts-store.com, doctroshield2009.com, fashion-vendors.com, fashion-vendors.net, firstantivir2009.com, firstprotection2009.com, kicks-buy.com, kicks-buy.net, kicks-discount.com, kicks-discount.net, kicks-discounts.com, kicks-discounts.net. kicks-mall.com, kicks-shop.com, kicks-stock.com, kicks-supplier.com, kicks-vendors.com, kicks-vendors.net, liveantivir.com, liveprotectpro.com, luxury-mall.com, luxury-stock.com, myantivirus2009.com, mypharmshop.com, myprotectsuite.com, onguardsoft.com, onlineantivirpro.com, own-shoes.com, own-shoes.net, psp-shop.com, sneakers-buy.com, sneakers-sale.com, sneakers-sales.com, sneakers-stock.com, watches-supplier.com, www.luxury-mall.com

Privacy Center
MD5: 3731bde3c476993cbec9e849e4922c87
IP: 83.233.165.149
Sweden Sweden Stockholm Serverconnect I Norrland
Dominios asociados
crusade-new.com
privacy-software.info

Result: 6/41 (14.63%)

El objetivo es tomar esta información como recurso para bloquear las direcciones dañinas.

Información relacionada
Una recorrida por los últimos scareware XIV
Una recorrida por los últimos scareware XIII
Una recorrida por los últimos scareware XII
Una recorrida por los últimos scareware XI
Una recorrida por los últimos scareware X
Una recorrida por los últimos scareware IX
Una recorrida por los últimos scareware VIII
Una recorrida por los últimos scareware VII
Una recorrida por los últimos scareware VI
Una recorrida por los últimos scareware V
Una recorrida por los últimos scareware IV
Una recorrida por los últimos scareware III
Una recorrida por los últimos scareware II
Una recorrida por los últimos scareware I

Jorge Mieres

Ver más

Publicado por Jorge Mieres 0 comentarios

Suscribirse a: Comentarios (Atom)