Scripting attack. Explotación múltiple de vulnerabilidades

La ejecución de códigos maliciosos a través de ataques scripting forman parte del folklore actual de los códigos maliciosos. Sin embargo, detrás de toda esta batería de métodos de infección, se encuentran involucradas aplicaciones diseñadas íntegramente para cometer este tipo actos dañinos.

Por lo general, se trata de aplicativos crimeware como zeus, barracuda, chamaleon, YES, etc., o shells remotas escritas en PHP, como en este caso, la conocida r57shell.

Existen muchas aplicaciones de este estilo (c99shell, c100shell, locus, netshell, etc.) que son implantadas, generalmente, en servidores vulnerados a través de RFI (Remote File Inclusion - Inclusión Remota de Archivos) y utilizadas para realizar massive-defacement; es decir, desfiguración masiva de páginas web.

Sin embargo, si bien es habitual que el fin sea este, también son plenamente empleadas para ataques vía web a través de códigos maliciosos como DDoS, SQL Injection y reclutamiento de computadoras zombis, entre otros.

Como podemos apreciar a través de esta segunda captura, las funcionalidades que ofrece r57shell son muchísimas, y no responden a una condición casual ni trivial, ya que la intención es poder controlar completamente el servidor donde se haya implantado. Es decir, se trata de un backdoor a partir del cual un atacante toma control total del servidor, y de cada uno de los nodos alojados en el mismo.

En este caso, la shell en PHP estaba siendo utilizada para propagar malware a través de la explotación de las siguientes vulnerabilidades:

• SuperBuddy LinkSBIcons. (CVE-2006-5820)
• Office Snapshot Viewer. (CVE-2008-2463)
• WksPictureInterface. (CVE-2008-1898)
• OurGame various errors. (SA30469)
• GomPlayer OpenURL. (CVE-2007-5779)
• QuickTime RTSP. (CVE-2007-0015)
• NCTAudioFile2 SetFormatLikeSample. (CVE-2007-0018)
• Creative CacheFolder. (CVE-2008-0955)
• Windows Media Encoder. (CVE-2008-3008)
• Yahoo! Webcam Uploader. (CVE-2007-3147)
• Aurigma Photo Uploader. (CVE-2008-0660)
• Yahoo! Webcam Viewer. (CVE-2007-3148)
• Adobe Collab overflow. (CVE-2007-5659)
• Adobe util.printf overflow. (CVE-2008-2992)

Todos los exploits para estas vulnerabilidades se encuentran en un solo script cuya apariencia es similar al siguiente, que dicho sea de paso, la captura ha sido cortada.

Al desofuscar el script, se obtienen las siguientes URL's:

• http://vsedlysna.ru/img/site/2/load.php?id=83 --> Descarga el archivo load.exe (MD5: 22027b5c4394c7095c4310e2ec605808) enpaquetado con ASPack v2.12.
• http://vsedlysna.ru/img/site/2/pdf.php?id=83 --> Descarga el archivo 9040.pdf (MD5: 3b9e76642e96f3626cf25b7f3f9d6c3a) cuyo nombre de archivo es un valor aleatorio que cambia en cada descarga adopatando nombres como 8795.pdf, 7436.pdf, 6100.pdf, etc.
• http://vsedlysna.ru/img/site/2/pdf.php?id=83&vis=1 --> Descarga otro archivo con extensión pdf cuyo nombre varía en cada acceso siguiendo la misma metodología que el caso anterior. En este caso, el archivo se llama 4099.pdf (MD5: 5caf548ff3e6ae0c9101ae647757a099).

Información relacionada
YES Exploit System. Otro crimeware made in Rusia
Zeus Botnet. Masiva propagación de su troyano. Segunda parte
Barracuda Bot. Botnet activamente explotada
Los precios del crimeware Ruso
Unique Sploits Pack. Crimeware para automatizar la explotación de vulnerabilidades

# pistus