Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

lunes, 2 de noviembre de 2009

ZoPAck. Nueva alternativa para la explotación de vulnerabilidades

Indudablemente, la problemática generada por las botnets a nivel global constituye una de las tendencias que en ningún paper se debería obviar. En este sentido, el desarrollo de aplicaciones destinadas al control y administración de zombis vía web, cuyas primeras repercusiones vieron la luz a fines del 2006 alcanzando en la actualidad la popularidad en la comunidad underground y delictiva, no cesa.

Bajo una particular interfaz de autenticación, aparece ZoPAck, un crimeware cuya primera incursión fue en el 2007, desarrollado en PHP y destinado a explotar vulnerabilidades a través de una importante gama de exploits.

La actualización a esta nueva versión, la 1.02, se produjo durante este mismo año 2009. Y si bien no se ha masificado su eso y no cuenta con la popularidad de otros, es un paquete que no tiene nada que envidiar a sus competidores y cumple de igual manera con el objetivo para el cual fue diseñado: reclutar zombis aprovechando debilidades en los sistemas operativos y aplicaciones.

Por intermedio de un archivo .pdf, provoca un desbordamiento de búfer (buffer overflows) en las aplicaciones Adobe Acrobat y Reader (CVE-2007-5659 y CVE-2008-0655), reclutando la zombi a través de la descarga de su ejecutable (file.exe) llamado desde el archivo exe.php. A continuación vemos parte de su código.
include "db.php";
include "mysql.php";
$db = new db;
$ip = getenv("REMOTE_ADDR");
$db->query("UPDATE statistics SET is_dw=1 WHERE ip='".$ip."'");
$filename = "./file.exe";
$size = filesize($filename);
$fp = fopen($filename, "r");
$source = fread($fp, $size);
fclose($fp);
La estructura de ZoPAck es muy sencilla al igual que su configuración permitiendo simplemente configurar a través de la interfaz los datos de autenticación y el dominio donde se alojará el crimeware para su acceso.

El módulo encargado de llevar los datos estadísticos, lo que a mí me gusta llamar el módulo de Inteligencia, le permite al botmaster recavar información relacionada a las características de cada computadora que forma parte de su red.

Esta característica podría tener dos lecturas. Por un lado, que el crimeware se encuentra diseñado con una notoria orientación a script kiddies o prospecto a delincuentes; por el otro, quizás el objetivo del autor (¿ZOPA?) es proporcionar una aplicación lo más optimizada posible para hacer de la labor de los ciber-delincuentes lo menos rigurosa posible.

En fin, un nuevo crimeware que se une a la colección de alternativas disponible en el mercado clandestino.

Información relacionada
ZeuS Botnet y su poder de reclutamiento zombi
DDBot. Más gestión de botnets vía web
Phoenix Exploit’s Kit. Otra alternativa para el control de botnets
iNF`[LOADER]. Control de botnets, (...) y propagación de malware
Fragus. Nueva botnet framework In-the-Wild
Liberty Exploit System. Otra alternativa (...) para el control de botnets
Eleonore Exploits Pack. Nuevo crimeware In-the-Wild
Los precios del crimeware ruso. Parte 2

Jorge Mieres

0 comentarios:

Publicar un comentario