Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

lunes, 31 de agosto de 2009

Compendio mensual de información. Agosto 2009

Pistus Malware Intelligence Blog
29.08.09 Hybrid Botnet Control System. Desarrollo de http bot en perl
24.08.09 Una recorrida por los últimos scareware XIII
17.08.09 Desarrollo de crimeware Open Source para controlar y administrar botnets
15.08.09 Fragus. Nueva botnet framework In-the-Wild
14.08.09 Liberty Exploit System. Otra alternativa crimeware para el control de botnets
12.08.09 Los precios del crimeware ruso. Parte 2
08.08.09 TRiAD Botnet III. Administración remota de zombis multiplataforma
07.08.09 Una recorrida por los últimos scareware XII
04.08.09 Eleonore Exploits Pack. Nuevo crimeware In-the-Wild
03.08.09 TRiAD Botnet II. Administración remota de zombis multiplataforma

EvilFingers Blog
28.08.09 Development of Open Source crimeware to control and manage botnets
15.08.09 Fragus. New botnet framework In-the-Wild
13.08.09 Prices of Russian crimeware. Part 2
08.08.09 TRiAD Botnet III. Administración remota de zombis multiplataforma


ESET Latinoamérica Blog
31.08.09 Reporte de amenazas de Agosto
19.08.09 Técnicas maliciosas anti-análisis II
17.08.09 La gira de ESET sobre Seguridad Antivirus estará presente en Nicaragua
11.08.09 Código malicioso made in Brasil
11.08.09 Elk Cloner. La cápsula del tiempo
08.08.09 Ataque de phishing a Twitter
05.08.09 Malware afirmando que Michael Jackson está vivo

Información relacionada
Compendio mensual de información. Julio 2009
Compendio mensual de información. Junio 2009
Compendio mensual de información. Mayo 2009
Compendio mensual de información. Abril 2009
Compendio mensual de información. Marzo 2009
Compendio mensual de información. Febrero 2009
Compendio mensual de información. Enero 2009


# pistus

Ver más

sábado, 29 de agosto de 2009

Hybrid Botnet Control System. Desarrollo de http bot en perl

El desarrollo de crimeware es cada vez más abierto. Sus creadores buscan constantemente implementar en los programas dañinos mecanismos evasivos cada vez mas eficaces con un mínimo impacto de recursos no solo en el equipo controlado arbitrariamente sino también en los servidores que los alojan, existiendo en la actualidad una gama de alternativas realmente importante que van desde "productos" pagos a gratuitos.

En este sentido, en algún momento había mencionado el desarrollo Open Source de crimeware donde conté sobre la creación de dos proyectos paralelos; y si bien no se tratan de aplicaciones complejas presentan dos características llamativas.

Por un lado, su descarga es libre, lo cual significa que el concepto adoptado en la aplicación puede ser ampliado (o “mejorado” diría su autor) por otros desarrolladores agregando funcionalidades mucho más complejas.

Por otro lado, no entra (en primera instancia) en el ciclo del mercado clandestino de comercialización de crimeware; y, en el caso particular de Hybrid Botnet Control System y a diferencia de los aplicativos web de este estilo, el bot se encuentra escrito en Perl, algo no habitual (de hecho creo que si no es el primero es uno de ellos).

Por lo demás, es básicamente similar a cualquiera de las alternativas disponibles en el mercado negro. Es decir, el panel de administración es vía web, escrito en PHP y la base de datos se almacena en un MySQL.

Otro aspecto común es que generalmente el desarrollo y comercialización de los aplicativos diseñados para el control y administración (C&C) de botnets posee su cuna en países como Rusia, y si bien el panel de control vía web de Hybrid se encuentra basado en uno de los primeros aplicativos de origen ruso que implantaron el concepto de administración vía http llamado Black Energy (a quien pertenece la captura que muestra el sistema de autenticación), parecería que su base de desarrollo no se encuentra en Europa del Este.

De todos modos, sea cual fuese el origen de su desarrollo, estas actividades no hacen otra cosa que ayudar a incrementar los ingresos de ciber-delincuentes y alimentar el ciclo delictivo muy arraigado bajo el concepto de crimeware, marcando una tendencia difícil de frenar debido al abanico de alternativas que pueden ser implementadas e implantadas a través de este tipo de iniciativas.

Información relacionada
Desarrollo de crimeware Open Source para controlar y...
TRiAD Botnet III. Administración remota de zombis multi...
TRiAD Botnet II. Administración remota de zombis multi...
TRiAD Botnet. Administración remota de zombis en Linux

# Jorge Mieres

Ver más

lunes, 24 de agosto de 2009

Una recorrida por los últimos scareware XIII

Más dominios, direcciones IP y hosting relacionados con códigos maliciosos tipo scareware (rogue) que durante este mes se encuentran diseminando amenazas. Como siempre, la recomendación es bloquear estas direcciones y dominios.

Antivirus Security
MD5: db924706a824c5c43feebbe6a781d1ba
IP: 84.16.237.52
Germany Germany Berlin Netdirekt E.k
Dominios asociados
best-antivirus-security .com

Result: 29/41 (70.73%)



Malware Remobal Tool

MD5: 72b06c550ccbd110be2a4ce66b7bd7c1
IP: 174.132.250.194
United States United States Dallas Theplanet.com Internet Services Inc
Dominios asociados
malwarebot.org
malwaree.com
malwaree.org
remove-a360.com
remove-antivirus-360.com
remove-antivirus-system-pro.com
remove-antivirusbest.com
remove-av360.com, remove-ie-security.com, remove-malware-defender.com, remove-malware-doctor.com, remove-ms-antispyware.com, remove-personal-antivirus.com, remove-personal-defender.com, remove-spyware-guard.com, remove-spyware-protect-2009.com, remove-spyware-protect.com, remove-system-guard.com, remove-ultra-antivir-2009.com, remove-ultra-antivirus-2009.com, remove-virus-alarm.com, remove-virus-melt.com, remove, winpc-antivirus.com, remove-winpc-defender.com, smitfraudfixtool.com, vundofix.org, vundofixtool.com, www-malware.org, www.av360removaltool.com, www.malwarebot.org, www.malwaree.com, www.malwaree.org, www.remove-ms-antispyware.com, antivirus360remover.com, av360removaltool.com

Result: 9/41 (21.95%)

akaysu.cn, ajowah.cn/installer_1.exe, atiqad.cn/video.php?wm=70157&n=15, atiqad.cn/installer_70157.exe, akaysu.cn/video.php?wm=70157&n=15 (195.95.151.174), getavplusnow .com/se.exe, antivirusplus-ok.com/redirect.php, getavplusnow .com/install/InternetExplorer.dll (195.95.151.176) - Ukraine Ukraine Kiev Eastnet-ua-net
mirmuzappar .net/setup.exe (210.51.181.129) - China China Beijing Cnc Idc Customer
rondo-trips.cn/go.php?id=2010-10&key=b8c7c33ca&p=1 (83.133.123.113) - Germany Germany Lncde-greatnet-newmedia
kahold.info/download/install.php (204.27.57.227) - United States United States Kansas City Aarons.net
downloadxxtube .com/download/setup.exe (78.159.98.70) - Germany Germany Berlin Netdirekt E.k
www.antispyware.com, adwarealert.com/install.php (75.125.200.226), regsweep.com/install.php (75.125.241.58) - United States United States Dallas Theplanet.com Internet Services Inc
pluspromooffer.com/srm/adv/142, showpromooffer.com/srm/adv/142 (212.95.53.143) - Lithuania Lithuania Kaunas Netdirect-uab-retrogarsas
microwaresoftware.com/download.php (89.149.207.120) - Germany Germany Berlin Netdirekt E.k
guardlab2009 .net/InstallerWF.exe (76.76.103.164) - Malaysia Malaysia Ronn Chang
online-defenderv9.com (94.102.51.26) - Netherlands Netherlands Amsterdam As29073 Ecatel Ltd

Error Repair Tool
IP: 75.125.61.163
United States United States Dallas Theplanet.com Internet Services Inc
Dominios asociados
errorrepairtool .com, errorsrepair .com
errorstool .com, www.errorstool .com


Antivirus System Pro = System Guard 2009
IP: 91.206.201.8
Ukraine Ukraine Pe Sergey Demin
Dominios asociados
oemantivir.com
avir-guardian.com
avir-protect.com
aviremover.com, aviremover2009.com, avirguardian.com, avirprotect.com, avremoverpro.com, awareprotect.com, esysprotect.com, esysprotector.com, intsecurepro.com, intsecureprof.com, osguardpro.com, ossecure2009.com, scanforspywarenow.com, www.avir-guardian.com, www.avir-protect.com, www.esysprotector.com

Save Soldier
MD5: 71f3f5fa2d4d5a48aaecde6cc926c28a
IP: 194.54.81.18
Ukraine Ukraine Realon Service Llc
Dominios asociados
savesoldier .com
wersincast .com
winbluesoft.net
winishield .com

Result: 6/41 (14.64%)

Información relacionada
Una recorrida por los últimos scareware XII
Una recorrida por los últimos scareware XI
Una recorrida por los últimos scareware X
Una recorrida por los últimos scareware IX
Una recorrida por los últimos scareware VIII
Una recorrida por los últimos scareware VII
Una recorrida por los últimos scareware VI
Una recorrida por los últimos scareware V
Una recorrida por los últimos scareware IV
Una recorrida por los últimos scareware III
Una recorrida por los últimos scareware II
Una recorrida por los últimos scareware

# pistus

Ver más

lunes, 17 de agosto de 2009

Desarrollo de crimeware Open Source para controlar y administrar botnets

El desarrollo de aplicativos web orientados al control y administración de botnets a través del protocolo http, se encuentra en un nivel muy avanzado por parte de la comunidad underground de Europa del Este, y en particular desde Rusia, donde ciber-delincuentes inundan constantemente el mercado clandestino de crimeware comercializando paquetes como Eleonore, ZeuS, ElFiesta, Adrenaline, entre muchos otros.

Sin embargo, este modelo de negocio que ya se encuentra implantado, se expande hacia otros territorios donde la ambición de ciber-delincuentes se ve espejada por esta tendencia difícil de frenar, pero con otras filosofías: Crimeware Open Source. Es decir, desarrollo de programas de código abierto diseñados para ser utilizados con fines delictivos a través de Internet.

En este caso, se trata de una familia de crimeware diseñados para el control y administración de redes zombis.

Se trata de una serie de proyectos que buscan, como dice el autor (cuyo nick es “cross”), dejar claro que el desarrollo de botnets en Perl es posible. Bajo el slogan “x1Machine Remote Administration System” pone a disposición del ciber-crimen organizado dos proyectos orientados al manipuleo de botnets llamados Hybrid y TRiAD.

Hybrid Project
El proyecto “Híbrido” es el más ambicioso. Se encuentra escrito en Perl, funciona sólo en plataformas GNU/Linux y permite, como es común en la mayoría del crimeware actual de este estilo, administrar botnets por http. Si bien su autor manifiesta que no fue concebido con fines maliciosos, la leyenda que se encuentra en la interfaz de la versión 1 (la imagen que a continuación se muestra) dice BotNet Control System, lo cual es contradictorio.

La configuración se realiza por intermedio de un pequeño panel al cual se accede a través del archivo HyGen.pl.

La versión 2 (siguiente captura) mantiene las mismas características que su antecesor. Por el momento, se encuentra en estado de “Prueba de concepto” (PoC). Sin embargo, puede ser manipulado por cualquier ciber-delincuente para hacerlo completamente funcional y agregar más componentes para abusar de los zombis.

Un detalle interesante es que su interfaz se encuentra basada en BlackEnergy, una de las primeras botnet basadas en administración vía http diseñada para realizar ataques DDoS (Denegación de Servicio Distribuida).



TRiAD Project
Sobre este crimeware ya hemos hablado. Se trata de un proyecto paralelo cuya primera versión (siguiente captura) está diseñada, al igual que el proyecto Hybrid, para operar bajo entornos GNU/Linux.

Esta primera versión nació a principios de 2009 y ya cuenta con tres versiones que incorporan algunas funcionalidades más. Se encuentra escrito en C y a través de ella se pueden llevar a cabo tres actividades dañinas: ejecución de ataques de Denegación de Servicio Distribuida (DDoS), BindShell (ejecución de una shell y apertura de puertos) y ReverseShell (aviso de conexión de una zombi).

TRiAD HTTP Control System v2 es la segunda versión del proyecto que evolucionó para convertirse en un crimeware multiplataforma que puede ser implementado en sistemas Windows y GNU/Linux.

Esta versión, además de contar con las funcionalidades presentes en la versión 1, posee nuevas características: eliminación de la bot, apagar y reinicio del equipo de forma remota. La siguiente captura corresponde a la página de descarga.

Al igual que la segunda versión, TRiAD http Control System v3 se encuentra escrito en C, compilado con GCC y es corre bajo Windows y GNU/Linux. Sus características son:

En sistemas GNU/Linux:
  • Syn Flood con source IP spoofing: [SynStorm]-[Host]-[Port]-[Nr of Packets]-[Delay]
  • Small HTTP Server: [HTTP Server]-[Port]-[Time(minutes)]
  • Bind Shell: [Bind Shell]-[Port]-[Allowed IP Address]
Mientras que la versión para plataformas Windows cuenta con:
  • UDP Flood: [Reverse Shell]-[Host]-[Port]
  • Small Proxy Server: [UdpStorm]-[Target IP]-[Target Port]-[Nr of Packets]-[Delay]
  • Reverse Shell: [Proxy Server]-[Port]-[Time(minutes)]
Independientemente de la plataforma, ambas poseen en común la posibilidad de:
  • Sleep: Modo “dormido”
  • Reboot remote machine: Reiniciar el equipo de forma remota
  • Shutdown remote machine: Apagar el equipo de forma remota
  • Delete bot from remote machine: Eliminar la bot de forma remota

Evidentemente, esta situación supone una serie de aspectos agravantes que hacen de este tipo de “iniciativas” fuentes ideales tanto para script kiddies aspirantes a ciber-delincuentes por su condición de gratuito, como para desarrolladores profesionales que pueden personalizar su código para agregar funcionalidades que se adapten a las necesidades de cada comprador (por lo general, botmasters) en función de la plataforma que se desea explotar.

Información relacionada
TRiAD Botnet III. Administración remota de zombis multi...
TRiAD Botnet II. Administración remota de zombis multi...
TRiAD Botnet. Administración remota de zombis en Linux

# Jorge Mieres

Ver más

sábado, 15 de agosto de 2009

Fragus. Nueva botnet framework In-the-Wild

Una nueva aplicación web escrita en php y desarrollada como sistema de administración de exploits, diseminación de malware y control de botnets, ha entrado al mercado clandestino de crimeware prometiendo ser uno de los más explotados.

Se trata de Fragus v1.0, que se ha sumado desde julio de 2009 a la gran lista de aplicativos de este estilo que pretenden acaparar el mercado negro. Su desarrollo esta originado en Rusia y se inserta al mercado con un costo suficientemente “competitivo”.

En los últimos meses han surgido nuevos framework para el control y administración de botnets que hacen de ello una tarea muy sencilla como Liberty Exploit System y Eleonora Exploit Pack; entre algunos otros mucho más antiguos que han actualizado sus funcionalidades como YES Exploit System y ElFiesta.

Sin embargo, el hecho de encontrar cada vez más aplicativos maliciosos de este estilo In-the-Wild no es una situación casual, sino que responde a un modelo de negocio que se esconde detrás del desarrollo de crimeware y se retroalimenta a si mismo con la comercialización de un gran abanico de opciones.

Desde un punto de vista general, Fragus cuenta con una interfaz atractiva, soporte para idioma inglés y ruso, y un sencillo sistema de estadísticas que permite obtener y comparar información relacionada a los navegadores, sistemas operativos (incluyendo sus versiones) y países en los cuales se han reclutado los zombis que forman parte de la red (lo que es lo mismo: una estrategia de inteligencia que permite relacionar información de forma oportuna). La siguiente captura muestra el control estadístico.

Además posee otras características como:
  • Posibilidad de chequear de forma rápida los datos a través de un resumen al cual se accede sin cargar la página.
  • Administrar el upload de archivos desde el mismo panel de administración.
  • Permite especificar un nombre al archivo binario que se subirá al sistema.
  • Posibilidad de distinguir el tráfico realizado por un “cliente” para mantener cada estadística de forma independiente.
  • Permite elegir el archivo a subir desde el panel de administración o realizar una carga de forma aleatoria.
  • Permite a sus “clientes” mantener su propio kit de exploits seleccionándolos desde una lista.
  • También permite controlar la información estadística desde un dominio independiente al del panel de administración, lo cual permite acceder a la información sin realizar el proceso de autenticación.
  • Permite limpiar la información estadística a nivel general o en particular de cada “cliente”.
  • Toda la configuración de las opciones que ofrece Fragus para la administración y control de botnets se pueden realizar fácilmente desde el Framework.
  • Posee un sistema de búsqueda interno que permite buscar y encontrar rápidamente enlaces con iframe en el tráfico abierto. También en general o en particular para cada “cliente”.
Además, Fragus también permite explotar vulnerabilidades en imágenes de alta calidad, editar la cantidad de dominios necesarios para realizar una migración de la información sin perder el tráfico, editar una dirección URL en la cual explotar paquetes de visitas dos veces o más; es decir, descargar desde la misma página varios binarios, pdf, swf dependiendo del exploit.

Ejemplos de malware diseminado por Fragus son:
Su sistema modular permite añadir exploits fácilmente y posee un cripter (optativo) escrito desde cero que, según el autor, evita la detección por parte de una gran cantidad de compañías antivirus sin sobrecargar el navegador. Pero no obstante, también permite seleccionar un cripter diferente dándole al “cliente” la posibilidad de decidir qué cripter utilizar sin limitarlo al incorporado por defecto. El autor también asegura que Fragus está optimizado para funcionar sin problemas con grandes flujos de tráfico y carga mínima en el servidor.

Otro aspecto que resalta, y que lo diferencia de los clásicos crimeware de su tipo es que posee una instrucción destinada a evitar la detección del dominio utilizado por parte de los searchbots, (el dominio asociado a Fragus por defecto cuando se lanzo el crimeware es fragus.cn) y el proceso de instalación no es engorroso ni necesita tocar algún archivo de configuración de forma manual, ya que posee un asistente de ayuda que permite tenerlo instalado en pocos minutos.

Entre los exploits que posee preinstalados se encuentran:
  • MDAC
  • PDF printf()
  • PDF collectEmailInfo()
  • PDF getIcon()
  • MS DirectShow
  • MS09-002 - for IE7
  • MS Spreadsheet
  • AOL IWinAmp
  • MS Snapshot MS COM
El costo de esta primera version de Fragus es USD 800. Este valor incluye el código fuente que se encuentra protegido con IonCube. El costo del cripter (escrito desde cero) es de USD 150 y por otros USD 30 se esconde el funcionamiento del crimeware para evadir su detección, quizás con técnicas fast-flux.

En definitiva, el “servicio” completo de Fragus posee un costo de USD 980 y, como es habitual en este mercado clandestino, el “trato” de compra se realiza a través de ICQ y la transacción del dinero a través de WebMoney.

Como podemos apreciar, este nuevo crimeware que se inserta en la escena delictiva promete ser muy competitivo. Además, el malware que tiene por defecto listo para su diseminación posee una tasa de detección preocupantemente baja, lo cual transforma a esta aplicación web en una seria amenaza.

Información relacionada
Liberty Exploit System. Otra alternativa crimeware para el control de botnets
Los precios del crimeware ruso. Parte 2
Eleonore Exploits Pack. Nuevo crimeware In-the-Wild

# Jorge Mieres

Ver más

viernes, 14 de agosto de 2009

Liberty Exploit System. Otra alternativa crimeware para el control de botnets

El mercado negro controlado por ciber-delincuentes sigue generando productos “competitivos” dentro de un negocio donde el bajo costo del crimeware marca y justifica su uso masivo. En este sentido, las botnets se ven beneficiadas por el desarrollo de aplicativos web destinados a hacer de su administración, una tarea fácil e intuitiva; además de alimentar constantemente el proceso delictivo del cual forman parte.

Otra de las alternativas que se suma es este negocio clandestino es Liberty Exploit System, cuyo autor recientemente a puesto a disposición del ciber-crimen una nueva versión, la 1.0.5, y de la cual manifiesta que posee una excelente relación “precio/calidad”.

Su valor es de USD 500. Por USD 20 más se consigue la “ventaja” de acceder a un cripter, y por otros USD 50 se ofrece el cambio de dominios cuando el utilizado ha sido bloqueado, lo que demuestra el tipo de servicios que ofrece el crimeware en general. Además, el sistema de pago se realiza solamente a través de WebMoney.

A diferencia de su antecesor, la versión 1.0.4, no trae incorporado por defecto la explotación de vulnerabilidades en Sun Java JRE/JDK, pero puede ser solicitado. Además se agregó un exploit para MS DirectShow. El paquete se compone de los siguientes exploits preinstalados:
Algunas características a destacar de la aplicación web (maliciosa) es el bloque de reacceso a la página, es decir, sólo se accede a la página que posee el exploit una sola vez, luego de eso la bloquea; la base de datos se maneja con MySQL, la optimización que ofrece para operar con grandes flujos de información es interesante, instalación sumamente sencilla, permite incorporar técnicas anti-análisis, entre otras.

Con respecto al panel de administración (dicho sea de paso sencillo y minimalista), a través de este se realiza un seguimiento detallado a nivel estadístico sobre el tipo y versión de navegadores explotados, los países donde se poseen zombis, el tipo de tráfico, entre otros. Además, algo que diferencia a este crimeware, ya que no todos lo poseen, es un sistema de estadísticas gráfico, mediante el cual se generan tortas con información relevante sobre los aspectos antes mencionados. En la captura se ve un ejemplo.

Este sistema estadístico y recolección de información es lo que llama la atención, en general, en todos el crimeware de este estilo, ya que independientemente de la perspectiva que la analicemos, no es más que la obtención de información elaborada, lo que en otros ambientes se conoce como Inteligencia.

Esto da lugar a comprender y a comenzar a tener en cuenta en su justa medida, que las botnets, como las conocemos hoy en día, representan un grave problema de seguridad a nivel global, no solo por la propagación de malware sino que también por que son empleadas para llevar a cabo otras maniobras de ataque donde los objetivos van más allá de los usuarios hogareños.

Información relacionada
Los precios del crimeware ruso. Parte 2
TRiAD Botnet III. Administración remota de zombis multiplataforma
Eleonore Exploits Pack. Nuevo crimeware In-the-Wild
Mirando de cerca la estructura de Unique Sploits Pack
Adrenaline botnet: zona de comando. El crimeware ruso...
YES Exploit System. Otro crimeware made in Rusia

# pistus

Ver más

miércoles, 12 de agosto de 2009

Los precios del crimeware ruso. Parte 2

Las actividades delictivas de las cuales cotidianamente se alimentan los ciber-delincuentes a través de un modelo de negocio implantado por ellos mismos, se canalizan a través de la comercialización clandestina que ofrecen “servicios” cada vez más profesionales que se adaptan a las necesidades del ciber-crimen organizado.

En consecuencia, día a día surgen nuevas aplicaciones crimeware destinadas a acrecentar la economía de los ciber-delincuentes, sea cual fuese el rol que cumplen dentro de la cadena delictiva. Algunos de esos crimeware se reflejan a continuación, destacando el costo que poseen dentro del mercado clandestino.

CRUM Cryptor Polymorphic v2.6
Se trata de un aplicativo del tipo Crypter. Su característica principal radica en la capacidad de generar malware polimórfico cifrando cada archivo creado con una clave aleatoria de 256 bytes. También ofrece la posibilidad de someter el malware a procesos anti-análisis como la detección de máquinas virtuales. Su costo es de USD 200 e incluye actualizaciones posteriores de forma gratuitas.

CRUM Joiner Polymorphic v3.1
En este caso, la función principal radica en la capacidad de fusionar archivos de cualquier tipo sin límite en cuanto a la cantidad. Al igual que el anterior permite someter el binario a un proceso de cifrado de 256 bytes, con capacidades polimórficas y detección de máquinas virtuales. Su precio es de USD 100 y las actualizaciones son gratuitas.

Más información sobre esta familia de crimeware.

Eleonore Exploits Pack v1.2
Eleonore es un paquete de explotación de vulnerabilidades y control de redes zombis. El costo de la última versión es de USD 700. Por un costo adicional de USD 50 se accede a su crypter.

Por defecto, el crimeware se encuentra vinculado a una serie de dominios; sin embargo existe la posibilidad de desvincularlos dejándolo libre pero su valor asciende a USD 1500, incluyendo el crypter. Esta diseñado para explotar las siguientes vulnerabilidades: MDAC, MS009-02, Telnet - Opera, Font tags - FireFox, PDF collab.getIcon, PDF Util.Printf, PDF collab.collectEmailInfo, DirectX DirectShow y Spreadsheet.

Eleonore Exploits Pack v1.1
La versión anterior tiene un costo de USD 500 y a diferencia de la versión 1.2, no posee el módulo exploit Spreadsheet.

Más información sobre Eleonore Exploits Pack

Unique Sploits Pack v2.1
Otro de los aplicativos diseñados par administrar botnets vía web a través del protocolo http. SU valor actual es de USD 750 e incluye un crypter y actualizaciones posteriores gratuitas. Para quienes poseen versiones antiguas, la actualización a esta versión tiene un valor agregado de USD 200.

Las vulnerabilidades que permite explotar son: MDAC para IE 6, PDF exploit para IE 7, Opera y Firefox, PDF exploit para Adobe Acrobat 9, PDF Doble. Descarga de manera simultánea dos exploits en PDF, MS Office Snapshot para IE 6 y 7, IE 7 XML SPL, Firefox Embed, IE 7 Uninitialized Memory Corruption Exploit, SPL Amaya 11, Foxit Reader 3.0. PDF Buffer Overflow Exploit.

Más información sobre Unique Sploits Pack

Adrenaline
Otro de los tantos crimeware diseñados para explotar vulnerabilidades y controlar botnets vía http. Entre las funcionalidades que posee se destacan la posibilidad de hacer uso de pharming local, keylogging, robo de certificados digitales, cifrado de información, técnicas anti-detección, limpieza de huellas, inyección de código viral, entre otros. Su valor es de USD 3000.

Más información sobre Adrenaline Pack

YES Exploit System v2.0.1
Uno de los kits de explotación más utilizados. Posee una interfaz que se asemeja a la de un sistema operativo con un menú "Inicio" desde el cual se accede a las diferentes funcionalidades del mismo. El costo de la última versión al día de la fecha (agosto de 2009) es de USD 800.

YES Exploit System v1.2.0

Algunas paquetes de la primera generación, aún muy activas, varían su precio en función de las versiones. En el caso de la versión 1.2.0, el costo ronda los USD 700.

Más información sobre YES Exploit System

Barracuda Botnet v3.0
Última versión de este aplicativo web que a pesar de contar con varios años de existencia, sigue teniendo un costo relativamente elevado en comparación de sus pares. Se trata de un crimeware que posee dos versiones de comercialización, la versión Full a un costo de USD 1600 y la versión Lite a USD 1000.

Además, este paquete es modular, lo que significa que se pueden agregar módulos conforme a las necesidades del botmaster que la compre o alquile. Los módulos que pueden ser adquiridos son:
  • Módulo DDoS (HTTP GET/POST flood, UDP flood, ICMP flood, TCP flood, IP Spoofing) a un costo de USD 900.
  • Módulo Email Grabber que permite recolectar direcciones de correo almacenadas en la zombi. Su valor es de USD 600.
  • Módulo Proxy, permite aumentar el número de conexiones simultáneas para un más "eficaz" envío de spam. Su valor es de USD 500.
  • Módulo PWDGRAB. Netamente orientado al robo de información privada. El valor del mismo es de USD 500.
  • Módulo SSLSOCKS. Este módulo se encuentra en su etapa beta y permite "construir una VPN" a través de la botnet. El precio es de USD 500.
Con respecto a versiones anteriores, la 2.2 se comercializa a USD 600 y la versión 2.0 a USD 300.

Más información sobre este crimeware

ZeuEsta Exploit Pack v7.0
Se trata de una "adaptación" privada que se compone de la combinación de dos crimeware muy activos: ZeuS v1.2.4.6 y SPack Exploit Kit. Su costo es de USD 600 y por USD 100 mensuales más se accede a un hosting. Originalmente estaba compuesto por la fusión entre ZeuS y ElFiesta hasta que durante abril de este año (2009) se actualizó reemplazando ElFiesta por SPack Exploit Kit.

Si bien esta fusión de crimeware no es originalmente una creación desarrollada íntegramente por rusos, las diferentes versiones de ZeuS sí lo son y por ese motivo se contempló plasmar su costo.

ZeuEsta Exploit Pack v5.0
Esta versión se consigue en el mercado clandestino a un costo de USD 150 la versión “no oficial”, es decir, la comercializada por terceros y no por el propio autor. Esta versión se compone por ZeuS v1.1.2.2 y ElFiesta.

ElFiesta v3
Otro de los crimeware más explotados por botmasters. En este caso, se trata de la versión 3 cuyo costo es de USD 800.

El aplicativo posee módulos que permiten explotar más de veinte vulnerabilidades de las cuales las que poseen mayor nivel de eficacia son los exploits para archivos PDF y SWF.

Más información sobre ElFiesta

Liberty Exploit System v1.0.5
Un nuevo paquete crimeware de reciente aparición que posee una serie de características particulares que lo hacen, según su propio autor, un aplicativo ideal por su relación precio/calidad.

Por defecto posee preinstalado los siguientes exploits: MS06-014 Internet Explorer (MDAC) Remote Code Execution Exploit, PDF util.printf(), PDF collab.collectEmailInfo(), PDF collab.getIcon(), Flash 9 y MS DirectShow. Su costo es de USD 500.

Neon Exploit System v2.0.5
Neon sufrió una leve rebaja de USD 100. Ahora, su costo es de USD 400 y no de USD 500. Entre los módulos de exploits que se encuentran preinstalados y preconfigurados se encuentran: IE7 MC, PDF collab, PDF util.printf, PDF foxit reader, MDAC, Snapshot y Flash 9.

Limbo Trojan Kit
Limbo es uno de los crimeware menos populares del mercado clandestino de comercialización rusa. Sin embargo, ello no significa que su peligrosidad sea menor. Con un costo por debajo de otros crimeware mucho más populares, su costo es de USD 300.

Entre sus funcionalidades se destacan la actualización del binario, limpieza de huellas (cache, cookies, etc.), reinicio del sistema operativo (Windows) y destrucción en caso de ser necesario. Además posee capacidad de keyloggin para capturar todas las contraseñas que se accedan a través de Internet Explorer y las que se encuentren almacenas en el browser, entre otras.

Fragus v1.0
Un muy nuevo aplicativo web que accede a la industria del crimeware a un costo de USD 800. Sus características se centran que el soporte multilingüe (inglés y ruso), sistema estadístico sobre el navegador y sistemas operativos (incluyendo sus versiones) y países, capacidad de personalizar los módulos de exploits e incorporar nuevos, inyección de etiquetas iframe, cifrado de archivos, posee un crypter que forma parte del paquete, sin embargo, es posible añadir uno personal.


Como podemos apreciar, la automatización de procesos maliciosos, servicios y ofertas toma relevancia en la compra, venta y alquiler de eficaces “armas” informáticas pensadas netamente con fines delictivos y lucrativos.

En este sentido, los costos del crimeware generado desde Rusia se mueve en función de lo que dicte el mercado, incluso, generando modelos de negocios alternativos como por ejemplo, enfocar el lucro en ofrecer soporte técnico a través de servicios profesionales y personalizados de mantenimiento y actualización de crimeware, retroalimentando así el mercado negro.

Información relacionada
Los precios del Crimeware ruso
Comercio Ruso de versiones privadas de crimeware...
Automatización de procesos anti-análisis II
Eleonore Exploits Pack. Nuevo crimeware In-the-Wild
Mirando de cerca la estructura de Unique Sploits Pack
Adrenaline botnet: zona de comando. El crimeware ruso...
YES Exploit System. Otro crimeware made in Rusia
Barracuda Bot. Botnet activamente explotada
ElFiesta. Reclutamiento zombi a través de múltiples amenazas

# Jorge Mieres

Ver más

sábado, 8 de agosto de 2009

TRiAD Botnet III. Administración remota de zombis multiplataforma

TRiAD es un aplicativo web diseñado para controlar y administrar botnets a través de plataformas GNU/Linux y MS Windows por intermedio del protocolo http y del cual ya hemos hablado recientemente. Forma parte de un proyecto aún más ambicioso por parte de su autor (quien se hace llamar “cross”), denominado Hybrid Remote Administration System y del cual hablaremos en poco tiempo ;P

En esta oportunidad, se trata de la versión 3 de TRiAD Botnet. Esta aplicación web que todavía esta en “pañales” pero que a pesar de ello se encuentra en constante desarrollo y que a partir de la versión 2 se convirtió en un crimeware multiplataforma. Su nombre completo es en realidad TRiAD HTTP Control System v0.3.

Esta última versión del crimeware posee leves diferencias (mejoras diría el creador) con respecto a su antecesor. A primera vista, resalta en su nueva interfaz, algo que podríamos decir, caracteriza al aplicativo.

Al igual que los anteriores, se encuentra escrito en C++ y compilado con GCC.

Si bien no posee funcionalidades estadísticas como si encontramos en aplicativos crimeware más complejos, cuenta con una serie de opciones que lo hace un peligro latente. Por el momento, sus funcionalidades son:

En sistemas GNU/Linux:
  • Syn Flood con source IP spoofing: [SynStorm]-[Host]-[Port]-[Nr of Packets]-[Delay]
  • Small HTTP Server: [HTTP Server]-[Port]-[Time(minutes)]
  • Bind Shell: [Bind Shell]-[Port]-[Allowed IP Address]
Mientras que la versión para plataformas Windows cuenta con:
  • UDP Flood: [Reverse Shell]-[Host]-[Port]
  • Small Proxy Server: [UdpStorm]-[Target IP]-[Target Port]-[Nr of Packets]-[Delay]
  • Reverse Shell: [Proxy Server]-[Port]-[Time(minutes)]
Independientemente de la plataforma, ambas poseen en común la posibilidad de:
  • Sleep: Modo “dormido”
  • Reboot remote machine: Reiniciar el equipo de forma remota
  • Shutdown remote machine: Apagar el equipo de forma remota
  • Delete bot from remote machine: Eliminar la bot de forma remota
Mediante una reciente actualización, por ahora, sólo para la versión que corre en GNU/Linux, se establece la posibilidad de generar el archivo de configuración mediante una GUI, de esta forma, el proceso es mucho más sencillo.

El archivo de configuración generado luego se compilará para crear la bot obteniendo así un nuevo crimeware a través de unos simples pasos.

Sin embargo, esto genera una contra que tiene que ver con una cuestión de optimización ya que al momento de actualizar los bots, se tendría que hacer de forma individual, lo cual es molesto para un botmaster avanzado.

El crimeware de este estilo ha generado una tendencia difícil de frenar, que marca un antes y un después en torno al control y administración de botnets que supone un mayor esfuerzo por parte de las comunidades de seguridad en la lucha contra el ciber-crimen organizado de las cuales forman parte en el estado actual de las actividades delictivas cometidas a través de Internet.

Información relacionada
TRiAD Botnet II. Administración remota de zombis...
TRiAD Botnet. Administración remota de zombis en Linux
Eleonore Exploits Pack. Nuevo crimeware In-the-Wild
Especial!! ZeuS Botnet for Dummies
ElFiesta. Reclutamiento zombi a través de múltiples amenazas
Adrenalin botnet: zona de comando. El crimeware ruso marca...
Chamaleon botnet. Administración y monitoreo de descargas
YES Exploit System. Otro crimeware made in Rusia
Barracuda Bot. Botnet activamente explotada
Unique Sploits Pack. Crimeware para automatizar...

Actividades botnets
Fusión. Un concepto adoptado por el crimeware actual
ZeuS Carding World Template. Jugando a cambiar la cara...
Unique Sploits Pack. Manipulando la seguridad del atacante...
Scripting attack II. Conjunción de crimeware para obtener...
Zeus Botnet. Masiva propagación de su troyano. Segunda parte
Danmec Bot, redes Fast-Flux y reclutamiento de Zombies PCs

# Jorge Mieres

Ver más

viernes, 7 de agosto de 2009

Una recorrida por los últimos scareware XII

Considerando que la mejor forma de prevenir las amenazas es conocerlas, ponemos a disposición este nuevo grupo de dominios, junto a sus respectivas direcciones IP, comprometidos para propagar códigos maliciosos del tipo scareware, también llamado rogue.

Como siempre, el objetivo de mostrar estas direcciones es tener la posibilidad de bloquearlas a través de los mecanismos que habitualmente se empleen.

Cabe recordar que esta lista representa solo una muy pequeña proporción del volumen total de malware de este estilo que día a día bombardea la web.

PC Security 2009
IP: 72.52.210.131, 72.52.210.132, 72.52.210.133
United States United States Lansing Liquid Web Inc
Dominios asociados
pcsecurity09.com, pc-security09.com, pcsecurity-09.com, pcsecurity09.com, pcsecurity-2009.com



Home Antivirus 2010
MD5: 30d09989020fcb8f12a1aa3f87b4efa9
IP: 72.52.210.131, 72.52.210.132, 72.52.210.133
United States United States Lansing Liquid Web Inc
Dominios asociados
homeantivirus2010.com, home-anti-virus2010.com, homeantivirus-2010.com, home-antivirus-2010.com, homeanti-virus-2010.com, home-anti-virus-2010.com, homeav2010.com, home-av2010.com, homeav-2010.com, home-av-2010.com

Result: 22/41 (53.66%)

hotlife.us/mediastream/components/SecureLiveVideo.exe (67.212.162.250) - United States Singlehop Inc
rundaqimao.com/1/installer/Installer.exe?u=1025&...t=2 (74.222.134.20) - United States Orange Vpls Inc. D/b/a Krypt Technologies
od32qjx6meqos.cn/ue.php (220.196.59.23) - China United Network Communications Corporation Limited
nextantivirusplus.com/install/AntivirusPlus.grn (195.95.151.176) - Ukraine Kiev Eastnet-ua-net
explorersecurityhelper.com/block.php (83.133.123.113) - Germany Lncde-greatnet-newmedia
http://downloadsoftwareserver4.com/xpdeluxe.exe (89.248.168.79) - Netherlands As29073 Ecatel Ltd

antivirus-quickscanv5.com, antivirusonlinescanv9.com, antivirusscannerv9.com, fastvirusscanv6.com, firstspywarescannerv1.com, folder-antivirus-scanv1.com, mysafecomputerscan.com, onlineantispywarescanv6.com, onlineantivirusscanv4.com, personalfolderscanv2.com, personalonlinescanv3.com, privatevirusscannerv8.com, securefolderscannerv6.com, t370.hc-server.com, totalsecurityscannerv3.com (83.133.126.155) - Germany Lncde-greatnet-newmedia

212.117.174.14/racing.exe, clean-pc-now.net, clean-pc-now.org, fast-spyware-cleaner.com, fast-spyware-cleaner.net, fast-spyware-cleaner.org, free-spyware-checker.org, free-spyware-cleaner.com, free-spyware-cleaner.net, kill-spyware-now.org, scan-pc-now.com, scan-pc-now.org, spyware-killer.biz, spyware-scaner.com, spyware-scaner.net, spyware-scaner.org (212.117.160.18) Result: 4/41 (9.76%) - Luxembourg Root Esolutions
core2623.racingmoney-0110.com/d_program_all.cgi?host=host&id=0 (95.169.190.147) Descarga el binario PC_Protect.exe - Russian Federation Keyweb Online Limited Ip Network

PC Antispyware 2010
MD5: 30d09989020fcb8f12a1aa3f87b4efa9
IP: 174.139.243.46, 174.139.5.51, 216.86.144.130, 174.139.243.42, 174.139.243.43, 174.139.243.45, 209.31.180.232, 209.31.180.233, 209.31.180.235, 209.31.180.234, 209.31.180.237, 209.31.180.240
United States United States Chicago Nozone Inc
United States United States Orange Vpls Inc. D/b/a Krypt Technologies
United States United States Austin Supporting Act Technologies Llc
Dominios asociados
pc-anti-spyware-20-10.com, pcantispyware2010.com, pc-antispyware-2010.com, pcanti-spyware-2010.com, pc-anti-spyware-2010.com, pcantispyware20-10.com, pc-antispyware20-10.com, pcantispyware-20-10.com, pcantispyware-2010.com, pc-antispyware-20-10.com, pc-anti-spyware2010.com, pc-anti-spyware20-10.com, pc-antispy2010.com, p-c-anti-spyware-2010.com

Result: 22/41 (53.66%)

Windows System Suite
IP: 64.213.140.69
United States United States Global Crossing
Dominios asociados
fastantivirpro.com, malwarecatcher.net, mykeepplace.net, pay2.malwarecatcher.net, pay2.malwaresdestructor.com, prestotuneup.com, safe-pay-vault.com, trustshields.cn, update2.virusshieldpro.com, update2.windowspcsuite.com, update2.windowssystemsuite.com, virussweeper-scan.net
websystemsec.info, windowsprotectionsuite.com, windowssystemsuite.com, www.fastantivirpro.com, www.malwarecatcher.net, www.prestotuneup.com, www.protectsystem.info, www.virussweeper-scan.net

UnVirex
MD5: c20478d4f1b10d40831dd3d4cf9ba7a0
IP: 195.2.253.43
Russian Federation Russian Federation Madet Ltd
Dominios asociados
unvirex.com



Result: 30/41 (73.17%)


Información relacionada

Una recorrida por los últimos scareware XI
Una recorrida por los últimos scareware X
Una recorrida por los últimos scareware IX
Una recorrida por los últimos scareware VIII
Una recorrida por los últimos scareware VII
Una recorrida por los últimos scareware VI
Una recorrida por los últimos scareware V
Una recorrida por los últimos scareware IV
Una recorrida por los últimos scareware III
Una recorrida por los últimos scareware II
Una recorrida por los últimos scareware

# pistus

Ver más