Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

miércoles, 9 de enero de 2008

CALL FOR PAPERS DE SEGU-INFO
En el día de la fecha realizamos la apertura del Call For Paper de Segu-Info, con el objetivo de que los participantes entreguen un documento con un tema de su elección y con la posibilidad de ganar importantes premios.

Este Call For Paper es una iniciativa de Segu-Info, la comunidad de Seguridad de la Información que reúne a más de 5.000 miembros en todo el mundo siendo esta, la más grande de habla hispana.

Si crees que este Call For Paper puede interesarle a alguno de tus conocidos o compañeros de trabajos, comunícaselo y reenviale este correo, así también nos estarás ayudando a difundir este concurso tan importante.

Esperamos contar con la participación de todos los interesados.

¡Gracias por participar del Call For Paper de Segu-Info!

SoloE

Fuente: www.segu-info.com.ar

Ver más

VIRUS DEL SECTOR DE ARRANQUE: ¿EL RETORNO?
a resultó curioso asistir hace unos meses a la reencarnación de Stoned.Angelina en miles de flamantes portátiles con Windows Vista, pero aquella curiosidad amenaza ahora convertirse en moda (retro, pero moda ;), al informar la gente de GMER de la aparición de un stealth MBR rootkit, es decir, otro sorprendente especimen que también habita el MBR, utilizando además técnicas de rootkit para ocultarse de Windows y de los antivirus habituales.

Esta pieza muestra cierta preferencia por ordenadores europeos, habiendo convertido ya a miles de ellos en su residencia habitual. Aunque el concepto data de varios años atrás, su aparición en vivo ha sido detectada a finales de 2007. No dispone aún de nombre oficial, parece ser de origen ruso y se ha podido desplegar a partir de sitios web infectados con exploits. Para colmo, sirve de escondrijo para troyanos ladrones de contraseñas y de momento sólo lo descubre el detector de rootkits de GMER, sucumbiendo luego a fixmbr...

Afecta a Windows XP en modo Administrador y menos a Windows Vista, en parte porque el código para este sistema tiene algún fallo y en parte gracias a la UAC.

Ver más

ATAQUE MASIVO A MILES DE SITIOS WEBS A TRAVÉS DE SCRIPTS

Tal y como comentabamos ayer se han encontrado gran cantidad de sitios conocidos y confiables (incluso mucho de ellos educativos, gubernamentales y de la lista Fortune 500) que apuntan a scripts hosteados en sitios chinos y que permiten la descarga de archivos ejecutables dañinos.

En este momento se registran alrededor de 120.000 sitios afectados, de los cuales un porcentaje importante son sitios en español (clic en la imagen para ver más grande).

Cantidad de sitios afectados

Aparentemente, a través de un ataque de SQL Injection, decenas de miles de sitios que utilizan Microsoft SQL Server han sido modificados agregando enlaces a sitios dañinos en sus tablas de la base de datos.

A través de estas modificaciones se ha logrado que cada vez que se ingrese al sitio atacado, se cargue en el navegador del usuario un Javascript que invoca a otros scripts que explotan diversas vulnerabiliades en el sistema operativo, navegador y aplicaciones del usuario:
  • Vulnerabilidad MDAC (Microsoft Data Access Components), ya corregida por Microsoft en abril de 2006 con la actualización MS06-014.
  • Vulnerabilidad en Yahoo! Messenger ya corregida.
  • Una vulnerabilidad en Real Player solucionada en octubre de 2007 y otra vulnerabilidad en RealPlayer reportada este 3 de enero y aún no corregida. Si Ud. dispone de Real Player instalado, extreme la precauciones.
A modo de ejemplo analicemos un caso de un conocido (y muy visitado) sitio de musica latinoamericano que se ha visto afectado. Al momento de escribir el presente, este sitio ya ha solucionado y solventado el ataque.

Al ingresar al sitio lo único que se notará es una carga "más lenta" del mismo. Esto sucede debido a que múltiples sitios y archivos están siendo invocados y descargados en este momento de otros servidores. En el sitio puede verse lo siguiente:

Sitio atacado

Al descargar el código fuente pueden verse los enlaces al script dañino en el sitio uc8010[dot]com (o ucmal[dot]com en otros casos) y ejecutando el archivo Javascript 0.js múltiples veces. Si Ud. es administrador de red le recomendamos bloquear estos sitios de inmediato.

Código HTML del sitio

Esto es debido a que la inyección SQL ha impactado en diversas tablas y esto permite la modificación masiva de las cabeceras del archivo HTML involucrado. Los dominios mencionados han sido registrados el 28 de diciembre pasado y evidentemente el único fin ha sido el de crear este ataque masivo.

A continuación, si el usuario dispone de algunas de las vulnerabilidades mencionadas, y no cuenta con una protección antivirus adecuada, se procederá a ejecutar 4 scripts ofuscados que descargan al menos 3 archivos ejecutables dañinos. Estos archivos ejecutables son detectados por la heurística avanzada de ESET NOD32.

Parte del código fuente del archivo 0.js es el siguiente, donde se invoca a un nuevo script llamado w.js:

Código HTML del script

Este script a su vez invoca a nuevos scripts y también ya puede verse el primer código ofuscado que comienza a realizar pruebas de vulnerabilidades en el sistema del usuario:

Código HTML del script
Este proceso de descarga de archivos Javascripts ofuscados (e incluso un Vbscript) continúa y luego de seguir todo el proceso completo se contará con los siguientes archivos descargados:

Archivos descargados

Como puede intuirse con los nombres de los mismos, cada uno de ellos explota una de las vulnerabilidades ya mencionadas. Si estos exploits tienen éxito, el sistema resultara infectado con algún tipo de malware. Los 3 archivos ejecutables que pueden verse en la imagen son troyanos ladrones de contraseñas de juegos en línea. Estos archivos ejecutables son detectados por la heurística avanzada de ESET NOD32 cuando intentan ser descargados:

Detección de ESET NOD32

Si Ud. es administrador de un sitio web recomendamos:
  • Ser muy cuidadosos cuando suceden este tipo de ataques
  • Verificar el código fuente de sus aplicaciones para evitar ataques de SQL Injection (hardening de aplicaciones)
  • Verificar su sitio continuamente para detectar posibles vectores de ataques
  • Bloquear los sitios mencionados en el presente
  • Si Ud. es una de las víctimas informar a sus clientes y visitantes, bajar el sitio si es necesario y solucionar el inconveniente (recuperar la base de datos, sanitizar el código fuente, etc.)
Si Ud. es usuario recomendamos:
  • Aplicar las actualizaciones del sistema operativo y las aplicaciones que utiliza
  • Bloquear los sitios mencionados en el presente
  • Instalar un antivirus con capacidades de detección heurística que evite la descarga de archivos dañinos
Fuentes:
http://blogs.eset-la.com/laboratorio/2008/01/08/ataque-masivo-sitios-web/
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9055858
http://isc.sans.org/diary.html?storyid=3810
http://explabs.blogspot.com/2008/01/so-this-is-kind-of-interesting.html
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9055599
http://www.informationweek.com/shared/printableArticle.jhtml?articleID=205600157
http://websmithrob.wordpress.com/2008/01/07/nuc8010com-real-exploit-hack-via-sql-injection/
http://blog.trendmicro.com/new-realplayer-exploit/
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=EXPL%5FREALPLAY%2EH
http://www.symantec.com/enterprise/security_response/
http://ddanchev.blogspot.com/2008/01/massive-realplayer-exploit-embedded.html

Ver más

EL COLECCIONISTA DE PERFILES

¿No os ha pasado alguna vez que habéis soñado con alguna cosa relacionada a vuestro trabajo? Seguro que sí, desde aventuras increíbles en las que dáis rienda suelta a vuestra imaginación, a finales de infarto donde muchas de vuestros deseos se hacen realidad. Pero también, a veces, en el momento adecuado, aparecen sueños raros.

Todo empezó hace ya bastante tiempo, cuando nos empezamos a dar cuenta de la gran cantidad de información que tienen los buscadores (El Buscador) sobre nosotros: qué queremos encontrar en Internet, qué correos recibimos, qué noticias nos interesan, qué blogs leemos, con quién nos relacionamos, ... Poco a poco se fueron alzando algunas voces intentando concienciarnos del poder que estaban adquiriendo, así como en diferentes partes del mundo se empezaron a tomar iniciativas en formas de leyes y directivas para proteger a sus ciudadanos.

Paralelamente, en nuestra sociedad, apareció paulatinamente la figura del coleccionista de perfiles, rol cuyo principal objetivo es la creación de un perfil personalizado de una persona real. Este comportamiento fue originándose en la clandestinidad, ayudado principalmente por el poco cuidado que tenemos a la hora de dar nuestros datos en Internet, sobre todo en las redes sociales.

Y en tercer lugar estamos nosotros, los ciudadanos, despreocupados por el uso indebido que pudiera realizarse con nuestros datos en Internet, ajenos a la utilización de los mismos ya sea para crear un perfil y ofrecernos ofertas personalizadas, o para robar nuestra identidad.
Pero, ¿cómo trabaja el coleccionista de perfiles? ¿tiene suficiente material para crear los perfiles? Rotundamente sí. Casi todos nosotros estamos inscritos en multitud de redes sociales: MySpace, LinkedIn, FaceBook, eConozco, Orkut, Fotolog, Flickr, Plaxo, Twitter, Bebo, SoulMe, etc., y además, puede que en alguna red pongamos datos falsos para no ser reconocidos, pero también en otros ponemos datos verdaderos, y siempre, hay un nexo de unión, ya sea un nombre de usuario, una fotografía, una frase, un nick, lo que sea, pero siempre hay forma de enlazar la página con datos falsos (pero que puede que tenga algún dato verdadero útil para nuestro coleccionista), y la página con datos verdaderos.

Hagamos una prueba: pidamos a un amigo que intente crear un perfil de nosotros en base a lo que vaya encontrando por Internet y que vayan apuntando en un papel (o en el vim el que prefiera) todos los datos que aparecen sobre lo que creen que somos nosotros:

  • Datos personales: nombre, dirección, correo, teléfono, fecha de nacimiento, estudios, trabajo, aficiones, música, deportes, ...
  • Fotografías
  • ¿A quién conocemos?
  • ¿Dónde ponemos comentarios?¿Qué ideas expreso con mis comentarios?
  • ¿A qué horas suelo estar conectado en ciertas páginas?
  • Etc.

¿Sorprendidos? Ahora pensemos en la figura del coleccionista, que está haciendo lo mismo para cada uno de nosotros. ¿Tiene un poder semejante a la información que dispone un buscador? No tan grande, pero aún así, es algo preocupante. ¿Es muy difícil crear una aplicación que vaya recorriendo todos los portales de redes sociales intentando "casar" todos los perfiles para crear un portal donde exista un perfil más completo de todos nosotros? No, de hecho es la que usa nuestro coleccionista.

En el sueño, con el paso del tiempo (la noche) el coleccionista se hacía con el control total del mundo, manipulando a su antojo todo lo que deseaba y negociando con la información que poseía. ¿Hasta donde somos vulnerables? Menos mal que en algún momento de la noche, quizás abrumado por las consecuencias, desperté con un pequeño sobresalto.

Recomendaciones para la utilización de redes virtualesSecurity Issues and Recommendations for Online Social Networks

Ver más

ONCE PHISHING EN SITIOS DE CORREO POPULARES

En junio de 2007 desde Segu-Info reportamos multiples casos de Phishing a cuentas Gmail realizadas a argentinos. En ese momento nadie tomó en serio estos casos y los mismos se han vuelto ha producir en estos días.

El mismo código fuente de aquella vez fue hallado en un reconocido hosting argentino en uno de sus servidores (accesible vía dirección IP), mediante el cual ofrecen servicios web a sus clientes. Estas páginas ya han sido dadas de baja por el proveedor por eso publicamos el caso.

Más alla del agujero de seguridad evidente en este proveedor, el caso habla a las claras de una persona o grupo que se dedica a subir estos sitios falsos para luego robar datos de usuarios desprevenidos.

Lo más curioso del caso es que los sitios web falsos, a pesar de permanecer muchos días online, no han tenido mayor recpercusión debido a que los correos que se envían no son masivos sino que parecen ser dirigidos a ciertas personas o empresas, lo que hablaría de un ataque premeditado.

Uno de estos correos nos fue facilitado por un damnificado:

Si se cae en la trampa y se ingresa a la dirección IP ofrecida, estaremos regalando nuestros datos a un estafador.

A continuación expongo las imágenes de los once formularios falsos, para que se tenga una idea clara de lo sucedido y de la magnitud del caso. Se puede apreciar como cambia el último número en cada una de las URL involucradas.

1. Gmail

2. MSN

3. Yahoo!

4. Fibertel

5. Ciudad

6. Arnet

7. Sion

8. Speedy

9. RSA

10. OWA

11. Ministerio de Planificación

Como puede apreciarse los servicios son múltiples y variables.
Analizando el código fuente de los HTML puede verse que los involucrados son los mismos y que realizan estas acciones en forma sistemática.

cfb

Fuente: www.segu-info.com.ar

Ver más