Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

viernes, 31 de julio de 2009

Compendio mensual de información. Julio 2009

Pistus Malware Intelligence Blog
30.07.09 Una recorrida por los últimos scareware XI
25.07.09 TRiAD Botnet. Administración remota de zombis en Linux
15.07.09 Software as a Service en la industria del malware
11.07.09 Especial!! ZeuS Botnet for Dummies
08.07.09 Waledac/Storm. Pasado y presente de una amenaza latente
05.07.09 Automatización de procesos anti-análisis II
04.07.09 Masiva campaña de propagación/infección lanzada por Waledac utilizando como excusa el día de la Independencia de EEUU

03.07.09 Propagación de Malware a través de sitios con formato de blogging y BlackHat SEO

EvilFingers Blog
26.07.09 Software as a Service on the malware industry
16.07.09 Especial!! ZeuS Botnet for Dummies
09.07.09 Waledac/Storm. Past and present a threat
05.07.09 Massive campaign to spread/infection Waledac launched by using as excuse the Independence Day of USA


ESET Latinoamérica Blog
31.07.09 Reporte de amenazas de Julio
21.07.09 Listado de programas de seguridad falsos VI
15.07.09 Malware se aprovecha de la reciente muerte de Marco Antonio Gallego
14.07.09 ElFiesta. Otro crimeware al servicio del malware
09.07.09 Páginas de warez con formato de blog que propagan malware
06.07.09 Malware aprovecha como excusa autopsia de Michael Jackson
01.07.09 Reporte de amenazas de Junio


Información relacionada
Compendio mensual de información. Junio 2009
Compendio mensual de información. Mayo 2009
Compendio mensual de información. Abril 2009
Compendio mensual de información. Marzo 2009
Compendio mensual de información. Febrero 2009
Compendio mensual de información. Enero 2009


# pistus

Ver más

jueves, 30 de julio de 2009

Una recorrida por los últimos scareware XI

Los programas maliciosos tipo scareware siguen en aumento y ya han alcanzado un alto nivel de propagación e infección a nivel global, combinando diferentes metodologías de engaño para el proceso de propagación y empleando nuevos dominios.

A continuación se exponen algunos de ellos para que puedan ser bloqueados y minimizar así el potencial riesgo de infección. Sin embargo, cabe aclarar que esta lista representa sólo un pequeño porcentaje del inmenso volumen de scareware que a diario aparece.

XP Deluxe Protector
MD5: 8df5930924c6ba659033554764beed67
IP: 85.10.194.157, 213.182.197.46
Germany Germany Gunzenhausen Hetzner-rz-nbg-net
Dominios asociados
xp-deluxeprotector .com
xpdeluxeprotector .com
antispy2009 .net
antispy2009 .net/onlinescan/index.php
butterflysearch .net

Result: 24/41 (58.54%)

retulahertomanof.com/2/installer/Installer.exe?u=1025&s=e8f4f9a25ccda16144f11cd34e2528ff&t=2 (98.126.38.28) - United States Orange Vpls Inc. D/b/a Krypt Technologies
wertabulionsedaf .com/2/installer/Installer.exe?u=1025&s=e8f4f9a25ccda16144f11cd34e2528ff&t=2 (174.37.235.106) - United States Softlayer Technologies Inc
download.sttcounter.cn (211.95.78.98) Install.exe - China United Telecommunications Corporation
securedvirusproscanner.com (94.102.48.29)
personalfolderscanv2 .com (78.46.251.41) - Germany Siarhei Shandrokha
bestdomus .com/Klitecodec.exe (216.39.57.104) - United States Sunnyvale Altavista Company
downloadsoftwareserver3 .com/xpdeluxe.exe (213.182.197.46) - Latvia Riga Real_host_net
exereload .com (95.211.8.20) - Netherlands Netherlands Leaseweb

scanworldwideweb .com/download.php?affid=18911, securityscanavailable .com/hitin.php?land=20&affid=20100 (209.44.126.22), scanriteweb .com/hitin.php?land=98&affid=16100 (209.44.126.36), namearra.info (209.44.126.152), totalsecuritysite.com/scan.php?affid=20900 (209.44.126.81) - Canada Laval Netelligent Hosting Services Inc

goscaniron .com, goscanslim .com, goslimscan.com (38.105.19.27) - United States Psinet Inc
pornotube915 .com/scan (78.46.88.142) - Germany Gunzenhausen Hetzner-rz-nbg-net

befynru .cn/?wm=70106, dakbesy .cn/?wm=70106, atoylev .cn/?wm=70321 (195.95.151.174) - Ukraine Kiev Eastnet-ua-net

ancom1 .ru/tds/go.php?sid=&sref= (87.118.84.124) - Germany Erfurt Keyweb Ag Ip Network
genantivirus .com (188.40.52.180) - Germany Hetzner
zocleaner .com/download.php?affid=00000, sucupdate.com/download.php?affid=00000, ircleaner .com (89.149.250.12) - install.exe - Poland Netdirect-net-dediserv

sprut-cluster .info (174.142.113.206), anti-virus-best.com (174.142.113.202) - Canada Iweb Technologies Inc

Home Antivirus 2010
MD5: 28b293e5556cd6490c6bd50e762711e0
IP: 72.52.210.131
Germany Germany Gunzenhausen Hetzner-rz-nbg-net
Dominios asociados
home-anti-virus2010 .com
homeantivirus2010 .com
homeav2010 .com

Result: 14/40 (35%)



Información relacionada

Una recorrida por los últimos scareware X
Una recorrida por los últimos scareware IX
Una recorrida por los últimos scareware VIII
Una recorrida por los últimos scareware VII
Una recorrida por los últimos scareware VI
Una recorrida por los últimos scareware V
Una recorrida por los últimos scareware IV
Una recorrida por los últimos scareware III
Una recorrida por los últimos scareware II
Una recorrida por los últimos scareware

# pistus

Ver más

sábado, 25 de julio de 2009

TRiAD Botnet. Administración remota de zombis en Linux

La posibilidad de administrar botnets a través del protocolo http parecería ser un requisito fundamental para los desarrolladores de estos aplicativos web que colaboran activamente con el crimeware actual.

En este sentido, otra de las alternativas se llama TRiAD BotNet Control System, un sistema de control remoto para plataformas Linux. Si bien este aplicativo web posee un tiempo de vida todavía prematuro (su primer lanzamiento data del 18 de febrero de 2009), ya se encuentran disponibles tres versiones que poseen entre sí algunas diferencias interesantes.

Pero haciendo un paréntesis por el momento sobre los aspectos técnicos que posee TRiAD BotNet, uno de los factores más llamativos que particularmente presenta esta aplicación (y en general las de su estilo) esta constituido por lo vistoso del diseño, donde el pensamiento que se esconde detrás de ello parecería ser el de marcar “el estilo” del autor.

Incluso, el mismo criterio parece estar presente también en aplicativos crimeware más complejos, en términos de funcionalidades y opciones propuestas, que el mencionado. Caso ZeuS por ejemplo.

Por otro lado, otra característica que se percibe en el desarrollo actual de crimeware de este estilo es el mayor énfasis en optimizar los procesos involucrados en la implementación de las botnets, el control de los zombis y su administración. Donde, sin perder esa primera característica planteada (el diseño) que hace del aplicativo más “amigable”, también presenta sencillez junto a un estilo minimalista.

Sin embargo, sea como sea en términos de diseño, en cuanto al tipo de funcionalidades que presenten o el costo de su adquisición; las botnets y el ejército de computadoras zombis que el botmaster tenga bajo su mando constituyen un potencial peligro y un centro de ataque vía web difícil de frenar en estos tiempos.

En este caso, se trata de la primera versión de una familia de aplicativos web, TRiAD BotNet (escritos en C), diseñados como sistemas de control de botnets que posee un hermano mayor llamado Hybrid, con la particularidad de estar diseñados para controlar zombis en distribuciones Linux.

Aunque esta versión de TRiAD corre solamente en plataformas Linux, sus posteriores versiones son multiplataformas (Linux y Windows). Permite ejecutar sólo tres de las funciones básicas de administración de cualquier botnet: ejecución de ataques DDoS, ejecución de una shell y apertura de puertos (BindShell), y aviso de conexión de una zombi (ReverseShell).

Desde el punto de vista estructural, el módulo de ataque de Denegación de Servicio Distribuida se concentra en un archivo llamado dos.php cuya información se guarda en el archivo dos.txt.


if ($action){
$file = fopen("dos.txt","w+"); fwrite($file,$cmd); fseek($file,0); $line = fread($file,100);echo "Command:
$line
";
fclose($file);

En lo que respecta a la BindShell, a través de sólo seis comandos se establece lo necesario para ejecutar una shell y dejar una puerta abierta disponible para el botmaster. Estos comandos se visualizan en la captura que representa el módulo en cuestión, que toma la información desde el archivo cmd.php reflejando el resultado en cmd.txt.


if ($action){
$file = fopen("cmd.txt","w+"); fwrite($file,$cmd); fseek($file,0); $line = fread($file,100); echo "Command:
$line
";
0 fclose($file);

El módulo ReverseShell informa cada vez que una zombi es reclutada y cada vez que establece conexión a Internet. Esta información es almacenada en una pequeña tabla que muestra cantidad de zombis activos, dirección IP del host objeto de ataque y el comando ejecutado.


$machines = new Online(); if ($machines->count() == 1) {
echo "--> " . $machines->count() . " bot ";
} else {

echo "--> " . $machines->count() . " bots ";
}

$ddos = fopen("dos.txt","r"); $line = fread($ddos,100);
echo "
$line
";
fclose($ddos);

$plik = fopen("cmd.txt","r"); $linia = fread($plik,100);
echo "
$linia
";
fclose($plik);

Las botnets constituyen un grave problema para la seguridad de cualquier entorno de información conectado a Internet, y el desarrollo de aplicativos crimeware es cada vez más alto. Incluso, como en este caso donde el código fuente es libre, existe un agravante: cualquier persona con los conocimientos necesarios pueda manipular el código y adaptar/agregar funcionalidad a la botnet.

Aún así, aunque el desarrollo de crimeware no represente un negocio para el creador de estos aplicativos, no deja de colaborar en una industria con objetivos maliciosos ampliando el abanico de alternativas destinadas a engrosas otros negocios relacionados.

Información relacionada
Especial!! ZeuS Botnet for Dummies
ElFiesta. Reclutamiento zombi a través de múltiples amenazas
Mirando de cerca la estructura de Unique Sploits Pack
Adrenalin botnet. El crimeware ruso marca la tendencia
Chamaleon botnet. Administración y monitoreo de descargas
YES Exploit System. Otro crimeware made in Rusia
Barracuda Bot. Botnet activamente explotada
Unique Sploits Pack. Crimeware para automatizar la explotación...

# pistus

Ver más

miércoles, 15 de julio de 2009

Software as a Service en la industria del malware

Hace varios años que tenemos la posibilidad de interactuar con diferentes recursos que se ofrecen vía web sin la necesidad de emplear los recursos, a nivel local, de nuestros equipos; por ejemplo, recuerdo un sistema operativo (eyeOS) que aplicaba en su momento, y aplica, este concepto, además de otros que habitualmente solemos utilizar como Google Apps.

Sin embargo, en la actualidad este concepto responde a una denominación que esta marcando una tendencia bajo el nombre de Cloud Computing (computación en nube) que ofrece una gama variada de servicios que utilizan como infraestructura central Internet (la nube). Cuando los servicios que se ofrecen son programas, es conocido bajo el acrónimo SaaS (Software as a Services – Software como servicio).

La cuestión es que bajo este nuevo fenómeno, los desarrolladores de malware no se quedaron al margen y dan lugar a una nueva nomenclatura que acompaña el concepto de Cloud Computing, MaaSMalware as a Service.

Hace unos meses mencionaba un servicio online pago que permite crear códigos maliciosos con capacidades polimórficas basados en el famoso troyano PoisonIvy, denominado PoisonIvy Polymorphic Online Builder.

Sumándose a esta tendencia de ofrecer servicios a través del protocolo HTTP, aparecen varias alternativas como un servicio similar al anteriormente mencionado, pero gratuito, llamado FUDSOnly Online Crypter, que canaliza su actividad en la manipulación en línea de códigos maliciosos con el ánimo de evitar su detección por parte de las compañías antivirus; contribuyendo a la causa que persiguen los desarrolladores de malware de implementar en sus creaciones procesos anti-análisis.

Básicamente se trata de un crypter. Un tipo de programa generalmente utilizado para cifrar los binarios utilizados en la distribución de códigos maliciosos. Este "servicio" posee la "ventaja" de no necesitar descargar ni ejecutar el crypter de forma local en la PC, sino que todo el proceso se lleva a cabo vía web.

Al finalizar el proceso, el aplicativo devuelve la siguiente leyenda "Su archivo ha sido encriptado sin errores, Servicio ofrecido por FUDSOnly. Click AQUI para descargar." que posee el enlace para descargar el archivo manipulado.

Como "extra", el "servicio" ofrece la posibilidad de insertar en el archivo cifrado con el crypter el Eof Data (información del server que se ubica al final del archivo) para aquellos códigos maliciosos que no lo soporten, a través de un pequeño programa llamado ReEoF.

Este servicio ofrecido para manipular malware, ha tenido una versión previa que demuestra que el concepto ya había sido adoptado por los ciber-delincuentes hace bastante tiempo.

De hecho, son muchos los servicios de este estilo que se han subido a la ola.

La industria del malware se suma al concepto que aglomera los servicios en línea propuestos por la Cloud Computing, ampliando la posibilidad y peligrosidad de las amenazas, de continuar con el cotidiano bombardeo que hacen contra los entornos de información, en busca de ampliar la oferta delictiva.

Información relacionada
Creación Online de malware polimórfico basado en PoisonIvy

# Jorge Mieres

Ver más

sábado, 11 de julio de 2009

Especial!! ZeuS Botnet for Dummies

Luego de abordar con bastante énfasis las actividades realizadas por una de las botnets más activas del momento, ZeuS, veamos una descripción más detallada de su capacidad delictiva.

Si hablamos de malware y botnets, sin lugar a dudas ZeuS posee una particular ventaja debido a la cantidad de zombis que forman parte de su plantel. Zeus está diseñado para robar cualquier tipo de información que se encuentre depositada en los equipos víctimas de forma remota, y realizar otros ataques también orientados al robo de información como phishing.

Por tal motivo, podríamos decir que Zeus es un spyware, aunque también tiene capacidades propias de otros tipos de códigos maliciosos como backdoors, troyanos y virus. Sin embargo, su autor menciona en el manual de instalación que no le agrada llamar de ninguna de esas formas a este crimeware, sino que prefiere referirse a la misma como un "software bot".

A pesar de la cara externa que conocemos de ZeuS (su interfaz web de administración y control de zombis), presenta ciertas características que constantemente evolucionan y se profesionalizan logrando una mayor flexibilidad y capacidad de adaptación para garantizar su funcionamiento sobre diferentes versiones de Windows. Esto hace de ZeuS una amenaza muy peligrosa y latente para cualquier sistema de información.

En este sentido, ZeuS también asegura su rendimiento “trabajando” en el nivel de privilegios 3 (donde corren las aplicaciones) del sistema operativo evitando así incompatibilidades entre la aplicación y los dispositivos del equipo (que funcionan en niveles más bajos). Aunque parezca un dato irrelevante, esto le permite conseguir una mayor flexibilidad y por ende un mayor rendimiento al momento de realizar las actividades fraudulentas y delictivas para las cuales fue concebido.

La última versión de ZeuS se encuentra escrita con la versión 9 del lenguaje C++, y entre las funcionalidades que posee este aplicativo web (malicioso), podemos mencionar:
  • Monitorea el tráfico de red (sniffer) del protocolo TCP.
  • Intercepta las conexiones FTP y POP3 de cualquier puerto.
  • Intercepta las solicitudes http y HTTPS de todas las aplicaciones que funcionen con la librería wininet.dll (por ejemplo IE). Esto desmitifica el mito en cuanto a que ZeuS utiliza BHO para interceptar las solicitudes a través de IE.
  • Funciones de servidor (socks4/4a/5).
  • Backconnect para todos los servicios del equipo infectado ((RDP, Socks, FTP, etc.).
  • Obtiene capturas de pantallas en tiempo real.
  • Capacidad de realizar ataques de phishing.
  • Incorpora mecanismos anti-análisis.
  • Constructor interno del troyano que disemina y archivo de configuración.
  • Cifrado polimórfico.
Otro dato técnico importante es que toda la comunicación realizada por ZeuS es a través de un algoritmo de cifrado simétrico (RC4).

El servidor es el corazón de ZeuS, y de cualquier botnet, ya que es quien permite obtener todos los registros de los equipos infectados que forman parte de la botnet y ejecutar comandos de manera remota.

Por otro lado, muchas botnets utilizan servidores virtuales para realizar sus maniobras delictivas. Sin embargo, esto juega en contra de la botnet cuando es muy grande, caso ZeuS, ya que por lo general, los servidores virtuales no poseen demasiados recursos, por lo tanto, es habitual que los botmaster utilicen servidores dedicados para alojar la bot. Esto es un dato importante a tener en cuenta durante la faz de investigación.

En consecuencia, y como toda aplicación, necesita un mínimo de recursos para poder correr de manera satisfactoria, en el caso de esta botnet, los requisitos son tan sólo disponer de 2GB de memoria RAM y 2x de frecuencia de CPU a 2 GHz. Como vemos, los requisitos mínimos no son para nada un limitante VIP. Cualquier usuario puede implementar ZeuS, incluso, sin contar con esos requisitos mínimos.

Además, se supone que el equipo donde se ejecuta es un servidor HTTP con PHP (lenguaje en el que se suele desarrollar estos crimeware), y MySQL (para crear la base de datos con la información estadística que se desprende de su actividad). Otro requisito es Zend Optimizer, necesario para optimizar y proteger los scripts.

Con respecto a las actualizaciones, ZeuS también las tiene, pueden ser “pisadas” por versiones más recientes sin demasiados esfuerzos. Durante el último semestre se han liberado cinco versiones (a razón de una cada aprox. 35 días) con corrección de errores, cambios y nuevas características, sin contar las versiones con arreglos menores.

Luego de mirar el diagrama, muchos se preguntaran qué significa el número de cada versión. A modo didáctico podríamos decir que si tenemos la versión "A.B.C.D"…

A significa un cambio completo del paquete crimeware.
B
representa cambios importantes que causan incompatibilidad total o parcial con versiones anteriores.
C especifica corrección de errores, funcionalidades incorporadas, mejoras, etc.
D es el número de refuds (cambios) para la versión actual.

Esto es sólo un pantallazo general de lo que puede y representa ZeuS en cuanto a las capacidades y maniobras que posee dentro de un ambiente delictivo donde los aplicativos crimeware son los actores principales.

Información relacionada

Botnet. Securización en la nueva versión de ZeuS
ZeuS Carding World Template. Jugando a cambiar la cara de la botnet
Entidades financieras en la mira de la botnet ZeuS. Segunda parte
Entidades financieras en la mira de la botnet ZeuS. Primera parte
ZeuS Botnet. Masiva propagación de su troyano. Segunda parte
ZeuS Botnet. Masiva propagación de su troyano. Primera parte
LuckySploit, la mano derecha de ZeuS

# Jorge Mieres

Ver más

miércoles, 8 de julio de 2009

Waledac/Storm. Pasado y presente de una amenaza latente

A principios del 2007 saltaba de la oscuridad un código malicioso que comenzaría a ser motivo de importantes noticias debido a su particulares estrategias de engaño y por una importante campaña de infección a nivel global que aún hoy siguen siendo motivo de investigación por parte de la comunidad de seguridad.

Se trata de Storm, también conocido como Nuwar o Zhelatin dependiendo de la identidad asignada por las compañías antivirus, aunque es más conocido como “tormenta”, quizás en alusión a la forma en que arrasaba los sistemas por los cuales pasaba transformándolos en zombis, reclutando los equipos bajo el mando de su botnet.

En la actualidad, la amenaza que representó Storm no ha quedado a un costado, sino que traspasó sus características al hermano gemelo, Waledac, que mantiene como esencia la característica de intentar innovar en cuanto a las excusas que propone para su propagación, y que recientemente se ha despertado luego de un periodo de hibernación.

Algunas características de esta amenaza son:
  • La propagación se realiza a través del correo electrónico no deseado (spam)
  • Utiliza estrategias de engaño (Ingeniería Social) diferentes en cada campaña de propagación
  • A través de un enlace incrustado en el cuerpo del mensaje direccionan a una página desde donde se descarga el malware
  • Los equipos infectados forman parte de una botnet
  • Completan su ciclo de infección a través de la diseminación de spam
  • Utilizan redes Fast-Flux
  • Poseen capacidades polimórfica a nivel del servidor
Durante prácticamente todo el 2007, Storm (cuyas primeras apariciones utilizaban como estrategia de engaño la visualización de un video sobre una tormenta desatada en Europa) utilizó como medio de propagación/infección el correo electrónico con asuntos y temáticas muy variadas que incitaban a hacer clic sobre un enlace incrustado en el cuerpo del mensaje que, en algunos casos direccionaba hacia una página (algunas de ellas, además de propagar Storm intentaban explotar vulnerabilidades utilizando etiquetas iframe como recursos), y en otros direccionaba a la descarga directa de un binario, Storm en ambos casos.

Ya para el próximo año (2008), Storm incorporó el “efecto sorpresa” vinculando el enlace del correo electrónico siempre a un sitio web que acompañaba la excusa expuesta en el asunto del correo junto a una imagen alusiva, también a la temática que, al igual que en el 2007, rotaba con cada suceso importante (día de San Valentín, Independencia de EEUU, navidad, etc). Además, algunas variantes se propagaron a través de blogs.

Luego de varios meses de inactividad en cuanto a la propagación de la amenaza, durante enero de este año aparece Waledac, un troyano que utiliza los mismos mecanismos empleados por Storm y muchos profesionales de seguridad comienzan ver la similitud entre ellos.

Luego de varias investigaciones, se afirma que Waledac es el, se podría decir, el hermano gemelo de Storm. Utilizando las mismas metodologías de Ingeniería Social con una amplia cartera de imágenes y temáticas que utiliza como excusa para captar la atención de los usuarios. Pasando por las típicas imágenes un tanto "amorosas" durante el mes de San Valentín, asuntos sobre supuestos atentados terroristas, entre otros, hasta llegar a la reciente sobre un supuesto video en YouTube.

Existen, entre otras, dos características sumamente interesantes tanto en Waledac como en Storm: la utilización de redes Fast-Flux y capacidades polimórficas en el servidor.

La primera de ellas permite que las amenazas se propaguen a través de diferentes direcciones IP y utilizando diferentes nombres de dominio que van rotando constantemente entre sí intercambiando la resolución de nombres. Esto provoca que, a través de un determinado tiempo de vida (TTL) previamente configurado cada x cantidad de saltos entre nodos (equipos infectados), desde un mismo dominio, se descargue un prototipo diferente del malware.

Lo que da lugar a la segunda característica, el polimorfismo. De esta manera, cada vez que el paquete (malware) alcanza el TTL establecido se intenta descargar una versión diferente del código malicioso que se "modifica" cada cierta cantidad de tiempo (también previamente establecido por el atacante) estableciendo la capacidad polimórfica.

En el siguiente diagrama se establece la relación directa que, a lo largo del tiempo, la amenaza fue utilizando en cuanto a las estrategias de engaño.

Cada uno de las zombis que forman parte de la botnet creada por Waledac, focalizan sus intenciones en el envío de spam. En este sentido, un dato muy interesante extraído de un informe, afirma que Waledac posee la capacidad de enviar aproximadamente 150.000 correos spam por día.

Quizás, luego de saber que Storm/Waledac se encuentra ejecutando campañas de propagación con altos índices de infección y masificadas a escala mundial, es evidente que sus creadores continúan con sus maniobras delictivas por una cuestión financiera, lo cual no es ninguna novedad para el malware de nuestros días.

Información relacionada
Masiva campaña de propagación/infección lanzada por Waledac utilizando como excusa el día de la Independencia de EEUU
Estrategia BlackHat SEO propuesta por Waledac
Waledac. Seguimiento detallado de una amenaza latente
Más Waledac en acción ¿Puedes adivinar cuánto te amo gano?
Waledac más amoroso que nunca
Waledac e Ingeniería Social en San Valentín

# Jorge Mieres

Ver más

domingo, 5 de julio de 2009

Automatización de procesos anti-análisis II

Los mecanismos maliciosos utilizados tanto en el proceso de propagación como en los métodos de infección evolucionan de manera progresiva gracias a los desarrolladores de crimeware que constantemente perfeccionan sus creaciones con el objeto de aumentar su economía.

Esta realidad da cuenta clara que el desarrollo de malware constituye un negocio donde muchos “emprendedores” toman la posta del tema lanzando al mercado viral nuevas alternativas que colaborar activamente en la generación automatizada de códigos maliciosos incorporando procesos auto-defensivos que provocan un efecto negativo para el análisis e investigación de malware.

Hace un tiempo hablábamos de uno de los aplicativos crimeware de origen ruso que se sumaba de manera feroz a la cartera de ofertas que presenta, y representa, el comercio clandestino de malware: la familia de software dañino con características polimórficas de CRUM.

A principios de mes, sus creadores lanzaron oficialmente, con fuegos artificiales, nueva versión de sus dos aplicativos crimeware estrellas CRUM Cryptor Polymorphic (v2.6) y CRUM Joiner Polymorphic (v3.1), ambos escritos en Delphi y ASM.

El primero de ellos se trata de un “cripter” polimórfico, un programa cuyo objetivo es cifrar cada archivo procesado. En este caso, el cifrado es a través de una clave aleatoria de 256 bytes. Al mismo tiempo, el archivo dañino también es sometido a polimorfismo con lo cual en cada proceso se obtiene un archivo diferente, lo que es igual a decir… un malware diferente.

Con un valor de USD 200, este crimeware promete, entre muchas otras, las siguientes funcionalidades:
  • Windows 2000, Windows XP SP3, Windows Server 2003 y Windows Vista
  • Cifrado polimórfico
  • Cifrado con clave aleatoria de 256 bytes, en versiones anteriores el cifrado es de 128 bytes
  • Por defecto, el punto de entrada está siempre en la primera sección del binario; sin embargo, puede ser configurado para que sea aleatorio
  • Anti-VM. Evita la ejecución del binario en máquinas virtuales
  • Anti-dump. Evita el volcado de memoria
  • Sustitución de "pixels" del icono al azar
  • Capacidad para cambiar o borrar el icono
  • Permite cifrado bajo línea de comandos
Quizás este crimeware parezca un tanto trivial pero su funcionalidad de polimorfismo lo convierte en una amenazas muy peligrosa ya que la mutación que se produce en cada uno de los archivos no es superficial, no cambia algún time stamp sino que realiza importantes cambios en el binario modificando completamente su estructura, formando en cada proceso un nuevo prototipo de malware.

En cuanto al hermano menor de la familia, CRUM Joiner Polymorphic, se encuentra diseñado, como su nombre lo indica, para fusionar (concepto adoptado por el crimeware actual) archivos sin importar su extensión y está escrito en MASM32.

Su precio es de USD 100 y entre sus características se destaca que:
  • Al igual que el hermano mayor, posee capacidades polimórficas
  • Permite fusionar una cantidad ilimitada de archivos con cualquier extensión (mp3, avi, doc, bmp, jpg, exe)
  • Configurar opciones de funcionalidad en el archivo final (carpeta de alojamiento, atributos, etc.)
  • Permite seleccionar la iconografía. Por defecto, el software trae 40 imágenes
  • Cifrado del binario con clave aleatoria de 256 bytes
  • Soporta Drag & Drop
  • Capacidad de seleccionar la extensión del archivo final
  • Extracción de iconos de archivos
  • Capacidad anti-análisis. No permite la ejecución del binario en máquinas virtuales
Con respecto a las condiciones de venta y uso del crimeware, el autor solicita no compartir el cripter ni sus componentes (esto atenta contra el “negocio”), utilizarlo con fines comerciales (una contradicción evidente) ni someterlo al análisis a través de sitios online como VirusTotal (esto aumenta el índice de detección de su binario). Requerimientos que parecen ser un tanto infantiles.

El objetivo que se encuentra detrás del desarrollo de estos aplicativos es aumentar el ciclo de vida de los códigos maliciosos que son sometidos a los procesos maliciosos propuestos por la aplicación, añadiéndole características anti-análisis que entorpecen su análisis y su posterior detección por parte de las compañías antivirus.

Información relacionada
Los precios del crimeware ruso
Comercio Ruso de versiones privadas de crimeware ¡Aproveche la oferta!
Automatización de procesos anti-análisis a través de crimeware

# pistus

Ver más

sábado, 4 de julio de 2009

Masiva campaña de propagación/infección lanzada por Waledac utilizando como excusa el día de la Independencia de EEUU

Luego de un largo tiempo de inactividad, el creador (o creadores) del troyano Waledac, vuelven a ejecutar, hoy 4 de Julio (Día de la Independencia estadounidense), una nueva campaña de propagación utilizando el mismo mecanismo que caracteriza a Waledac, y caracterizó a Nuwar en su momento; Ingeniería Social.

En esta oportunidad la excusa es el Día de la Independencia de EEUU que se festeja hoy mismo y el mecanismo de propagación consiste en la simulación de un supuesto video mostrando los juegos artificiales por la celebración del especial día en cuestión.

Es probable que esta masiva campaña de propagación/infección termine con un índice de infección bastante alto debido a que el vector por el cual se está diseminando la amenazas es el correo electrónico que respetando una característica propia del spam, la masividad, legará a millones de usuarios aprovechando el poder computacional de la botnet formada por Waledac.

Por el momento no posee alguna característica relevante que diferencie el mecanismo de diseminación empleado en esta oportunidad con relación a las anteriores, quizás el periodo de actividad quede prolongado por un buen tiempo.

Aún así, las analogías que encontramos son evidentes. Por ejemplo, sigue haciendo uso de técnicas BlackHat SEO en la composición de los nombres de dominios haciendo alusión a la excusa que utiliza (firework, 4th, independence, happy, july, movies, video).

Entre los nombres de dominios creados a partir de estas palabras se encuentran (propagando waledac de manera activa):

videoindependence .com
video4thjuly .com
outdoorindependence .com
moviesindependence .com
movieindependence .com
moviesfireworks .com
moviefireworks .com
movies4thjuly .com
movie4thjuly .com
interactiveindependence .com
holifireworks .com
holidaysfirework .com
happyindependence .com
4thfirework .com
freeindependence .com
4thfirework .com


Los nombres de binarios utilizados por Waledac hasta el momento son:

install.exe 885ac83376824a152f2422249cf4d7e5
install.exe b5f3d0150fb4b7e30e7a64d788e779e0
install.exe 424a85c096ce6d9cbbe8deb35a042fda

movie.exe 74c3b53958527b8469efa6e6d8bccaf9
movie.exe 2740cee619deccad6ed49ff6a23ebd14
movie.exe a45d0405518ad2c294ed1b151e808f55
movie.exe 426e031049675c8136c6739530057ba5
movie.exe 395b1d4a68f435416cbb69cae0c220c7
movie.exe 28de1675b2694927c16d34eacdafbc56

run.exe 30a6e0e3bdb000ce85dc8d754582f107
run.exe b14c93fb2cf91d2a03e20f7165101f5e
run.exe 3083b6bc236121e6150f13f3d0560635

fireworks.exe c62c388472695589bd5e0f4989d93ab0
fireworks.exe ae2fc409bd054047f9582fb9f76eb1aa
fireworks.exe 1b21e77b08c31bf99e5cc3f6cfd11954

setup.exe 3c067587383d3c26a3b656f25c54ea47
setup.exe f2589d96b7f6838ae322e4c6739efd07
setup.exe 543630de475994ce778fa35ce45984f4
setup.exe 9fa07157ee1e1c1b86a27df816596d13

patch.exe dcde62f021146696100d87b9c741be73
patch.exe 6811725f3cdda17ba5f8877f02a796d4
patch.exe d655566ba4911fc0ff60d197d54dff2c
patch.exe 395b1d4a68f435416cbb69cae0c220c7

video.exe 499db7f0870ce5de80193996179445e5
video.exe c1a3ef240be48fb500167aaedb72bdcf
video.exe 02ed2300a349a0c20c5b15b06130ba1f


A través del seguimiento que realiza sudosecure.net de esta amenaza desde que nació bajo el nombre de Nuwar, podemos observar esta información de manera gráfica.

Del mismo modo, podemos visualizar de manera gráfica mucha información relevante, como por ejemplo las direcciones IP involucradas en la diseminación de Waledac. En este caso, el Top 10 y, teniendo en cuenta que la campaña esta focalizada en el territorio estadounidense (aunque esto no significa que la cantidad de usuarios infectados se limite a EEUU), es lógico creer que la mayor cantidad de infecciones se darán en primera instancia en este país.

Por otro lado, Waledac sigue implementando como técnica de ocultación técnicas Fast-Flux, utilizando diferentes direcciones IP para un mismo dominio.

videoindependence .com
98.211.105.230 > United States
76.106.189.169 > United States
201.213.72.205 > Argentina
201.21.134.78 > Brazil
201.6.212.62 > Brazil
201.212.3.94 > Argentina
69.148.172.231 > United States
99.141.124.192 > United States


video4thjuly .com
72.225.252.27 > United States
71.193.54.175 > United States
84.109.243.13 > Israel
200.108.196.153 > Uruguay
201.241.106.65 > Chile
200.26.178.12 > Paraguay
201.213.101.148 > Argentina
81.97.116.82 > United Kingdom
76.103.252.191 > United States
201.6.229.122 > Brazil
68.56.57.51 > United States
200.112.184.67 > Argentina
67.242.8.170 > United States
82.162.25.19 > Russian Federation
84.253.71.15 > Russian Federation


Waledac ha salido nuevamente de las sombras activando su clásica estrategia de diseminación que seguramente seguirá con su campaña de propagación/infección ampliando su botnet con el reclutamiento de más zombis.

Información relacionada
Estrategia BlackHat SEO propuesta por Waledac
Waledac. Seguimiento detallado de una amenaza latente
Más Waledac en acción ¿Puedes adivinar cuánto te amo gano?
Waledac más amoroso que nunca
Waledac e Ingeniería Social en San Valentín

# pistus

Ver más

viernes, 3 de julio de 2009

Propagación de Malware a través de sitios con formato de blogging y BlackHat SEO

Ya hemos visto y mencionado en algún momento que las estrategias utilizadas durante los procesos de diseminación de códigos maliciosos involucran cada vez más técnicas de BackHat SEO para lograr diferentes vectores de acceso a la descarga del archivo dañino que se busca propagar.

Combinado esto con Ingeniería Social y nombres de dominios con palabras muy demandadas a través de motores de búsqueda que hacen referencia a sitios web con un importante y masivo caudal de uso como Rapidshare, Megaupload y otras relacionadas a música, juegos, películas, etc, hacen en su conjunto, un método de propagación muy efectivo.

Actualmente se esta llevando a cabo una importante campaña propagandista a través de sitios web que simulan toda una estructura de blogging y utilizan palabras muy buscadas y combinadas entre sí para formar el nombre de los dominios llamativos para descargar malware empleando técnicas BlackHat SEO para lograr un buen posicionamiento en los buscadores. Entre las palabras empleadas se encuentran: rapidshare, megaupload, free, games, soft, warez, ftp, music, full, pub, movies, cat, catalog, download.

Entre los dominios creados a partir de la combinación de estas palabras se encuentran:

freesoftcat .com (78.109.22.131)
movie-rapidshare .com
music-rapidshare .com
warez-catalog .com
games-rapidshare .com
www.downloads-rapidshare .com
www.freesoftcat .com
www.movie-megaupload.com
www.movie-rapidshare .com
www.music-rapidshare .com
www.warez-catalog .com

free-full .com (213.155.3.240)
moviesrapidshare .org
musicrapidshare .org
softrapidshare .com
softrapidshare .org
www.free-full .com
www.musicrapidshare .org
www.softrapidshare .com

free-full-rapidshare .com (78.109.22.135)
www.free-full-rapidshare .com

cpmusicpub .com (213.155.3.250)
ftp-warez .org
soft-rapidshare .net
www.ftp-warez .org
www.soft-rapidshare .net

free-games-rapidshare .com (78.109.22.140)
tsautah .org
www.free-games-rapidshare .com
www.soft-warez .org
www.tsautah .org

La búsqueda en motores de palabras o temáticas que forman parte de las páginas poseen un posicionamiento muy eficaz, apareciendo, como en el ejemplo, en los primeros puestos.

Desde los diferentes sitios se descarga una batería importante de malware no sólo en cantidad sino también en variedad. Alguno de los archivos dañino son:
Las técnicas BackHat SEO presentan un nuevo enfoque de propagación de malware que los desarrolladores de malware no dejan a un costado, marcando una tendencia y campaña de infección eficaz y agresiva difícil de controlar a través de mecanismos convencionales.

Información relacionada
Estrategia BackHat SEO propuesta por Waledac

# pistus

Ver más