Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

sábado, 23 de junio de 2007

ANALIZANDO ARCHIVOS. BUSCANDO CODIGOS MALICIOSOS
En la actualidad la gama de amenazas que existe en la gran red de redes es muy amplia y variada pudiendo alimentar a nuestro sistema con una gran ensalada de códigos maliciosos que en la mayoría de los casos apuntan a intentar engañar a los usuarios menos informados.

Buscando códigos maliciosos
En este paper veremos que tan fácil es caer en las garras de los malware que se esconden dentro de páginas de descarga de archivos o programas del tipo P2P a la espera de que algún cibernauta las agarre y deposite su confianza en ellos.

Hay muchas personas que están acostumbradas a descargar cuanto pueden de Internet o probar todos los programas que se cruzan por delante, utilizando programas como emule o páginas de descarga directa como rapidshare, 4shared, etc., sin tomarse la molestia de escanear los archivos para ver si algún bichito se esconde entre las ranuras del archivo zipeado.

La página web que se utilizó para buscar archivos fue http://www.4shared.com/, 4shared es un site que nos ofrece en forma gratuita 1Gb de espacio para alojar lo que queramos, archivos de texto, programas, videos, etc. La verdad que es una herramienta bastante útil, el tema es que de la misma manera que encontramos cosas buenas también nos podemos encontrar con cualquier tipo de plaga.

La palabra clave que se utilizó para la búsqueda fue “Hotmail”, (¿quien no vio en algún foro, “necesito hackear la cuenta de Hotmail de mi novia, me pueden ayudar?”). Como si se pudiera violar la seguridad de la empresa de software mas grande del mundo. De los 15 archivos analizados 9 contenían algún código malicioso.

Vamos a ver un ejemplo utilizando la herramienta online de Virustotal, la cual busca en los archivos códigos maliciosos utilizando un motor de escaneo de 31 antivirus, y la herramienta gratuita Process Explorer de Sysinternals sobre un archivo llamado “hotmailaccount.zip”.


Como podrán observar en la imagen, de los 31 antivirus consultados, 25 detectaron algo raro. Veamos de que se trata. El archivo es en realidad un troyano del tipo rootkit llamado “Trojan.Downloader.Glukonat” que utiliza técnicas stealth para ocultarse y trabajar como backdoor, todos los otros nombres son alias y dependen del nombre que le den las firmas antivirus.

Una vez que el troyano se instala, suele dejar tres archivos en los equipos infectados, cuyos nombres son seleccionados al azar. Por ejemplo:

c:\windows\system32\conf.com
c:\windows\system32\confmser.dll
c:\windows\system32\confmsur.dll


Además cada vez que se reinicia el sistema, crea una clave en el registro similar a la siguiente

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Conf.com = c:\windows\system32\conf.com

Cabe aclarar que la limpieza de este tipo de troyanos, no pasa solo por quitar los archivos que crea en el sistema, y evitar su ejecución en cada reinicio. Por la naturaleza de sus acciones (backdoors que permiten que uno o más intrusos hagan lo que deseen en el equipo infectado), la única forma de dejar totalmente seguro y limpio al sistema es borrar y reinstalar todo el sistema operativo y los programas necesarios.

Otra línea roja que aparece en la imagen es la que identifica a otro malware. En este caso es el “W32/Smalltroj.coy”, también se trata de un troyano pero con características del tipo dropper (ejecutable que contiene varios virus en su interior) que instala un componente keylogger (captura y registra todo lo que se ingresa mediante el teclado) con la capacidad de registrar, entre otras cosas, nuestras contraseñas y enviarlas a un atacante o página controlada por éste.

Otros bichitos encontrados en los otros archivos analizados son:

  • Trojan-Spy.Win32.Banker.to: se trata de un troyano tipo spy (espia) que se instala en el registro del sistema y roba información de sitios web de bancos online, cuando se instala por primera vez se copia en: C:\Windows\svchosts.exe, y deja una clave en el registro: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    svchosts.
  • Backdoor.Small: es un troyano que tiene como fin dar acceso remoto a un atacante a la maquina infectada. Se instala en el sistema como un servicio llamado hwclock (mostrando el nombre Hardware Clock Driver) y se conecta a un canal IRC y espera una orden del usuario remoto. Puede descargar otros troyanos, y también puede explotar una de las vulnerabilidades de red en Windows para penetrar a otras máquinas de la misma red.
Otros archivos contenían algún otro tipo de códigos maliciosos, como por ejemplo, el “180solutions”, un adware que se encarga de monitorear las actividades del navegador y muestra publicidad pop-up e incluye funcionalidad para descargar, instalar y ejecutarse en forma silenciosa.

Para realizar este análisis he puesto como ejemplo la descarga de archivos desde una página que se ha vuelto bastante popular como lo es 4shared, pero este ejemplo sirve para otras páginas de este tipo como rapidshare o megaunpload, además se debería tener el mismo criterio con la utilización de programas de intercambio de archivos del tipo P2P como Emule, Kazaa, FileScope, Ares, etc.

Cabe aclarar que no se esta poniendo en tela de juicio los servicios que ofrecen estas páginas o la utilidad que se les da a los programas P2P, sino que sí son propensos, evidentemente por su naturaleza, a ser usados como “nidos de malware”.

El analisis
Hasta aquí vimos que tan fácil es diseminar archivos infectados utilizando servicios de consumo masivo, veamos ahora, de una forma mas detallada y con un ejemplo real, cuales son los pasos y mecanismos utilizados por un troyano para infectar una computadora.

En principio, vamos a hacer un escaneo online utilizando la herramienta del site virustotal para comprobar que realmente estamos en presencia de un troyano, el resultado es el siguiente:

Evidentemente, estamos en presencia de un archivo infectado, en este caso, se trata de un troyano diseñado para obtener las contraseñas de la máquina infectada para luego enviar la información a una dirección elegida por el atacante. Veamos si esto es cierto.

Supongamos que nos hemos bajado de la web un archivo zipeado que supuestamente contiene un programa cualquiera; como con todo programa que queremos instalar en Windows, le damos doble click.

Para realizar el seguimiento de las actividades de este troyano y para hacerlo un poco más didáctico, mostraré capturas de lo que nuestro bichito vaya haciendo.

Luego de ejecutar nuestro archivo infectado, lo primero que hace el troyano es agregar una clave al registro en la siguiente dirección: HKLM\Software\Microsoft\Windows\CurrentVersion\Run, esto lo hace para poder ejecutarse automáticamente en cada reinicio del sistema (la mayoría de los malware crean una clave en esta dirección del registro).

La siguiente imagen muestra una captura de esta clave del registro tomada antes de que el troyano infecte nuestra máquina.

En esta otra imagen vemos claramente una clave que antes no estaba bajo el nombre “WCheckUp” ubicada en la carpeta “SYSTEM” del sistema.

Ahora veamos que procesos están corriendo en nuestro sistema, para ello, ejecutamos la herramienta gratuita “Process Explorer” de Systernals.
http://www.microsoft.com/technet/sysinternals/utilities/ProcessExplorer.mspx

En la imagen podemos notar que tenemos un proceso que corre bajo el mismo nombre mostrado en la clave del registro que el troyano había creado, hacemos doble click sobre el mismo para entrar a sus propiedades y desde allí nos dirigimos a la solapa Strings para ver que contiene el proceso.

Vemos entonces que el troyano, además de agregar una clave en el registro nos desactiva el caché de contraseñas “Software\Microsoft\Windows\CurrentVersion\Policies\Network
DisablePwdCaching”, y la opción de evitar claves ocultas con HideSharePwds.

Además vemos otra vez el nombre del ejecutable creado e inmediatamente después vemos las siguientes líneas: smtp.mail.com (SMTP es el protocolo utilizado para enviar e-mail) y kinghack@hotmail.com (dirección de e-mail), esto nos indica claramente que el troyano, en algún momento, intentará enviar un correo electrónico a ésta dirección de correo, seguramente, con las contraseñas almacenadas en nuestra máquina.

Resumiendo el tema en cuestión, pudimos ver que el primer paso realizado por el troyano fue el de asegurarse que su proceso (WchekUp.exe) se ejecute automáticamente en cada reinicio del sistema como si fuese parte del núcleo del mismo, vimos también que el mecanismo utilizado para lograrlo fue el de manipular el registro, agregando una clave y desactivando otras.

Por otro lado, también pudimos ver que el troyano incorpora su propio servido SMTP, el cual utiliza para enviar la información robada a una determinada casilla de e-mail establecida previamente por el atacante.

Recuerden que un troyano es una aplicación maligna que aparenta ser útil y benigna, y que está constituido básicamente por dos archivos, un archivo cliente y un archivo servidor, donde el servidor es el encargado de abrir un puerto en la computadora (archivo infectado que ejecutamos) para que el atacante, por intermedio del archivo cliente, pida los datos en forma remota, en este caso, contraseñas y demás datos importantes.

Esta forma de analizar los procesos que ejecuta un malware es genérica, es decir, casi siempre crean una clave en la dirección del registro mencionada en este ejemplo, y también levantan uno o varios procesos que podemos ver fácilmente si utilizamos las herramientas correctas.

Desde la sección "papers" lo pueden descargar en formato pdf

jam

Ver más

AUDITORIA FORENSE: FILE CARVING SOBRE FUSE

Al realizar auditorías forenses, una de las labores principales consiste en la recolecta de información allí donde ha tenido lugar el incidente a investigar.

En ese lugar, llamado escenario, es donde deberían comenzar por lo general las labores de análisis postmortem. Es en este punto donde adquieren especial relevancia las técnicas para recuperar información en plaza, las cuales se conocen en el argot como técnicas de file carving.

Tal y como se puede comprobar en el documento In-Place File Carving, el file carving es el proceso cuya misión es recuperar ficheros en un escenario forense basando el análisis en contenidos y no en metadatos, con lo que este tipo de técnicas son especialmente útiles cuando se pretender recuperar estructuras corruptas. Los tipos usuales de carving son el basado en bloques, el de cabeceras y pies, el basado en características, los limitados en tamaño de fichero, el carving con validación, el carving semántico, el de recuperación de fragmentos y el basado en estructura de ficheros.

Si el sistema de ficheros emplea metadatos, generalmente se van a emplear para definir los tamaños de almacenamiento y para impedir la recuperación de ficheros dañados. No entraremos en este tipo de análisis.

El problema principal a la hora de aplicar técnicas de carving forense se debe a la parte automatizada del mismo. Las herramientas actuales provocan una cantidad de falsos positivos muy elevada, ya que hacen copias de los contenidos ficheros recuperados, con lo que el volumen se incrementa y así se incrementa el número de falsas detecciones.

El reto, por tanto, pasa por realizar carving sin hacer copias de contenidos, lo que hará más flexible el proceso, consumiendo menos recursos y evidentemente, menos tiempo de auditoría. Es por tanto que las técnicas modernas de carving en plaza están enfocadas precisamente a este objetivo reductor que hemos comentado.

En el documento citado, In-Place File Carving, podemos encontrar las respuestas a este reto, así como la arquitectura de un carver en plaza que trabaja sobre Filesystem in Userspace (FUSE). FUSE es un módulo de kernel UNIX libre, que permite que los usuarios no privilegiados puedan crear sus propios sistemas de ficheros sin escribir código de kernel. Está disponible para OpenSolaris, Mac OS X, Linux y FreeBSD. En el caso de NetBSD hay que emplear compatibilidad con PUFFS (Pass-to-Userspace Framework File System)

Todos estos detalles los podéis consultar en un extraordinario trabajo de investigación docente que nos ofrece una visión de la auditoría forense de alta especialización con sumo grado de detalle. Una lectura obligatoria para los profesionales/interesados en la materia.

Por cierto, a los que os pique el gusanillo por saber qué herramientas se suelen emplear para el carving, echad un ojo al File Carving Scalpel. Otra herramienta muy popular en este ambiente es Foremost, desarrollada originalmente por la Air Force Office of Special Investigations y el The Center for Information Systems Security Studies and Research norteamericanos.

También recomendable este trabajo de tesis doctorial, An analysis of disc carving techniques. Contiene un resumen y análisis de distintos tipois de carving.

Fuente: http://www.sahw.com

Ver más

TODO LO QUE DEBERIA SABER SOBRE MPACK
"El pasado día 19 alertábamos de un ataque a gran escala contra webs europeas, que tenía como último objetivo robar las claves de acceso a la banca por Internet de los usuarios que las visitaran. Después del aviso el ataque fue neutralizado en menos de 24 horas, a día de hoy podemos ofrecer nuevos datos sobre el incidente.

Más de 11.000
páginas webs fueron modificadas para redirigir a sus visitantes de forma oculta a un tercer servidor web malicioso. El usuario afectado en ningún momento era consciente de nada anormal, veía con normalidad la web a la que se había dirigido, toda la conexión maliciosa se hacía en un segundo plano."
(Una al día, 21/06/2007, Resaca del ataque masivo a través de webs comprometidas, http://www.hispasec.com/unaaldia/3162)

¿Qué es MPack?
MPack es una de las más recientes "caja de herramientas" pensada para manejar la infección de personas y servidores. No requiere conocimientos profundos, ni tampoco demasiado trabajo manual para utilizarla. Sin embargo, no es tan nueva como algunos piensan. Desde hace más de un año han sido reportados casos de ataques provocados por esta herramienta, la que ha tenido varias actualizaciones desde su creación.

¿Cualquier persona puede acceder a MPack?
Eventualmente si, pero debe tener dinero para comprarla. MPack se vende en foros underground de Rusia a precios que van de los 500 a los 1000 dólares. El autor (un grupo conocido como $ash), clama que los ataques tienen de un 45 a un 50 por ciento de probabilidades de ser exitosos.

¿Que hace MPack?
MPack son varios módulos. Su primer objetivo es comprometer un sitio Web. Pero básicamente, el que compra el programa, debe instalar el juego de herramientas en un servidor al que pueda acceder y comprar los nombres de usuario y contraseña para conseguir el acceso a servidores comprometidos.

Entonces, el atacante modifica los archivos existentes en esos servidores, agregando etiquetas IFRAME al código HTML, para que el visitante a esos sitios sea redireccionado al servidor del atacante.

Luego de logrado esto, otros componentes de MPack explotarán los potenciales agujeros de seguridad que el usuario tenga en su computadora, para poder descargar y ejecutar otros malwares.

Cada uno de los componentes de MPack que le permite explotar nuevas vulnerabilidades, tiene un costo extra, que puede ir de los 100 a los 300 dólares, o más en algunos casos.

¿Puede un usuario "infectarse" con MPack?
Un usuario común y corriente, no puede infectarse con MPack. Ni aún visitando un sitio comprometido con MPack se infectará con MPack. Su sistema será comprometido por cualquier otro malware que se pueda instalar en su PC, solo si no tiene todo su software al día (sistema operativo y aplicaciones que utiliza, esto incluye navegadores, reproductores multimedia, programas de mensajería instantánea, chat, IRC, correo electrónico, etc.)

Si el antivirus no detecta MPack, ¿me protege de MPack?
MPack es una herramienta que jamás llegará al PC del usuario común (y si lo hiciera, no haría absolutamente nada malo allí, ya que no es su objetivo). El antivirus nos protegerá de la mayoría de los malwares que los servidores comprometidos con MPack intentarán enviarnos cuando visitemos esos sitios.

Pero no hay nada nuevo en esto. Un antivirus debe protegernos siempre de la mayoría de los códigos maliciosos que intenten atacarnos. Aquí es donde se vuelve vital un producto antivirus con capacidad proactiva, ya que con MPack o sin MPack, un antivirus debe reaccionar a las nuevas amenazas, aún antes de que estas sean identificadas con un nombre.

De todos modos, es esencial mantener todos nuestros programas al día, con todas las últimas actualizaciones instaladas, porque MPack buscará las últimas vulnerabilidades descubiertas para comprometer los sistemas de los usuarios que no actualizan su software.

El consumidor medio puede estar consciente de que debe actualizar Windows con los parches de Microsoft (aunque a veces no lo haga), pero tal vez ignore que también debe actualizar todas las aplicaciones de terceros que utiliza.
(Más información: "Nuestra seguridad no solo depende del antivirus", http://www.vsantivirus.com/21-05-07.htm)

Si tengo un servidor web ¿me puede infectar MPack?
No es MPack el que puede infectar su servidor. Si MPack puede instalarse en el mismo, o modificar sus páginas, es porque su servidor tiene potenciales agujeros de seguridad que usted
ignora. Mantener al día el software que utiliza en su servidor web, es la mejor manera de protegerse de amenazas como MPack.

MPack no es la enfermedad, es el síntoma que le indica que su sistema tiene grandes vulnerabilidades. Hasta que no las corrija, aún cuando limpie los archivos modificados por MPack, estos volverán a ser fácilmente modificados.

Esa es la única razón de la gran cantidad de sitios web comprometidos de los que la prensa ha sacado grandes titulares en los últimos días. El problema principal no es MPack, el gran problema es que una inmensa cantidad de servidores no cuidan su seguridad manteniendo su software actualizado, y no cambia regularmente sus contraseñas, las que además deben ser siempre fuertes (es decir de muchos caracteres, letras y números, mayúsculas y minúsculas, etc.).

Más información:
MPack, el gran generador de "hypes"
http://www.vsantivirus.com/rab-MPack-hypes.htm

Malware empaquetado y a la venta
http://www.enciclopediavirus.com/noticias/verNoticia.php?id=821

Ataque vía web a gran escala
http://blog.hispasec.com/laboratorio/223

Marta Torné y el ataque basado en webs
http://blog.hispasec.com/laboratorio/224

¿Cómo comprometer más de 10.000 sitios web?
http://blog.hispasec.com/laboratorio/225

Resaca del ataque masivo a través de webs comprometidas
http://www.hispasec.com/unaaldia/3162

MPack uncovered!
http://blogs.pandasoftware.com/blogs/pandalabs/archive/2007/05/11/MPack-uncovered_2100_.aspx

MPack, Packed Full of Badness
http://www.symantec.com/enterprise/security_response/weblog/2007/05/MPack_packed_full_of_badness.html

Malicious Website / Malicious Code: Large scale European Web Attack
http://www.websense.com/securitylabs/alerts/alert.php?AlertID=782

MPack Analysis
http://isc.sans.org/diary.html?n&storyid=3015

Fuente: http://www.vsantivirus.com/faq-mpack.htm

Ver más