Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

miércoles, 27 de mayo de 2009

Unique Sploits Pack. Manipulando la seguridad del atacante II

Unique Sploits Pack es otra de las alternativas que ofrece el submundo clandestino de la venta de crimeware de origen ruso. Sin embargo, posee una particularidad en relación a otros de su especie: incorpora un módulo llamado Vparivatel mediante el cual propaga rogue a través de Ingeniería Social.

En este caso, se trata de una versión beta de este crimeware que, aparentemente lleva poco tiempo activo ya que en los pocos días que venimos siguiéndolo, luego de "violar" su esquema de autenticación, no ha alcanzado un nivel de infección llamativo, por ende, tampoco ha logrado un número importantes de zombis.

Aún así, esta amenaza se encuentra activa y propagando diferentes amenazas, pero antes de ver cuáles son los códigos maliciosos que disemina, miremos un poco más de cerca algunos datos estadísticos que nos permiten tener una idea lo suficientemente concreta de la actividad que posee la botnet.

De la captura podemos desprender que:
  • El sistema operativo más explotados por este crimeware es Windows XP SP1.
  • El segundo lugar lo ocupan "otras" plataformas "no windows".
  • Windows XP SP2 es el tercero en la lista de los OS más explotados.
  • Internet Explorer en sus versiones 5.5, 6.0, 7.0 y Firefox 3.0.5 son los navegadores que más a vulnerado el crimeware a través de sus amenazas.
  • El ítem "others" en Browser, representa a navegadores como Opera y Amaya.
En cuanto a las zombis que ha logrado (hasta el momento) reclutar, se encuentran en diferentes países, los cuales podemos observar a través de la siguiente imagen.

Sin embargo, el módulo Vparivatel parecería no ser tan efectivo hasta el momento ya que no posee actividad "positiva" para el botmaster :D

Entre las amenazas que propaga Unique Sploits Pack se encuentran, según identificación de kaspersky:
El primero de ellos con una tasa de detección mediocre del 27.50% en base a 40 motores antivirus (11/40); y el segundo con un índice un poco más alto 43.59%, es decir, 17 compañías antivirus de 40 detectan la amenaza.

Estos códigos maliciosos son propagados a través de diferentes vulnerabilidades de las cuales algunas son más nuevas que otras, pero a pesar de la antiguedad de la mayor parte de vulnerabilidades que se explotan a través de este crimeware, siguen siendo muy efectivas.

No sólo se explotan vulnerabilidades en los navegadores web más populares (IE, Firefox y Opera), sino que también vulnerabilidades de dos lectores de archivos PDF ampliamente utilizados en la actualidad: Adobe Acrobar Reader y Foxit Reader.

Como se mencionó en un principio, actualmente este paquete crimeware se encuentra propagando malware de manera activa explotando diferentes vulnerabilidades en los equipos víctimas, y a pesar de no tener por el momento un número importante de máquinas controladas, no deja de ser una potencial y constante amenaza para la salud del sistema que obliga a mantener las actualizaciones de seguridad (del OS y de las aplicaciones) al día.

Información relacionada
YES Exploit System. Manipulando la seguridad del atacante
Unique Sploits Pack. Crimeware para automatizar la explotación de vulnerabilidades

# pistus

Ver más

Publicado por Jorge Mieres 0 comentarios

sábado, 23 de mayo de 2009

PHP Shell Attack II - Dive Shell

Los aplicativos escritos en php que permiten ejecutar comandos en equipos vulnerados a través de una shell remota (backdoor) previamente implantada no es un concepto nuevo. De hecho, los defacer las utilizan para desfigurar sitios web (una filosofía un tanto olvidada limitada tan sólo a algunos "nostálgicos" hacktivistas y a prematuros aspirantes a ciberdelincuentes).

Si bien son conceptos diferentes, quizás se podría decir que estos aplicativos escritos en PHP son el hermano "antiguo" de los paquetes crimeware que conocemos hoy y que permiten, no sólo hacer defacing sino que también ejecutar diferentes amenazas a través de diferentes técnicas de ataque e intrusión con herramientas como ZeuS, YES, Unique, Adrenalin, entre tantas otras.

Los grupos de ciberdelincuentes que se dedican a estas actividades suelen desarrollar sus propias armas: las shell en php. Muchos pensarán que para estos casos, hablar de ciberdelincuentes es un poco extremo, pero si consideramos que un defacing es una intrusión no autorizada y bajo ese concepto, por más que se argumente ser una especie de "auditoria" que intenta descubrir las vulnerabilidades para que el webmaster del sitio (o el administrador del servidor) las solucione o que sólo es una faceta destinada a "observar" los sistemas, la intrusión no deja de ser una acción poco ética e ilegal dependiendo el país donde se realice.

En este caso, la aplicación llamada Dive Shell fue creada por un grupo de defacers llamado Emperor Hacking Team que, entre otras cosas, son autores de desfiguraciones como las siguientes:

La interfaz del backdoor escrito en php es la siguiente:

La aplicación, que trabaja desde el servidor, permite la ejecución de comandos sin importar la plataforma en la que se opere, lo que evidentemente constituye un grave peligro en los servidores débiles.

Aunque el defacing parezca ser una actividad olvidada, la realidad es que constantemente se realizar desfiguraciones de sitios web y de manera esporádica suelen aparecer algunos; sin embargo, casos recientes como el ejecutado contra el NIC de Ecuador o el de Google Marruecos, pueden despertar de manera potencial una "moda" causando un efecto retro, sobre todo en los medios de información.

Información relacionada
PHP Shell Attack I - SimShell
Desfiguración de sitios web III

# pistus

Ver más

Publicado por Jorge Mieres 0 comentarios

jueves, 21 de mayo de 2009

YES Exploit System. Manipulando la seguridad del atacante

Algunos de ellos desean utilizarte. Algunos de ellos desean ser utilizados por ti. Algunos de ellos desean abusar de ti. Algunos de ellos desean ser abusados. Yo quiero utilizarte y abusar de ti. Yo quiero saber que hay dentro de ti.

Eurythmics - 1983


Cualquier capa de seguridad que implementemos en un entorno de información busca proteger nuestros activos de potenciales acciones hostiles y nocivas, de las cuales los códigos maliciosos representan uno de los peligros más importantes contra los cuales se orientan e intentan proteger esos esquemas de seguridad.

En ese sentido, los aplicativos crimeware desarrollados para propagar diferentes amenazas y formar botnets (p.e. ZeuS, Unique, LeFiesta, YES Exploit, entre tantos otros) donde luego cada nodo infectado (zombi) es administrado vía web a través de un panel de control, están marcando una tendencia maliciosamente difícil de desprender de Internet.

Sin embargo, es muy ameno ver cómo esas medidas de protección que tanto buscamos a través de diferentes esquemas, en muchos casos, tampoco se tienen en cuenta del lado del crimeware :D dejando abierta la puerta del "parque" para que muchos nos podamos "divertir" al aprovechar sus debilidades.

Y esto no resulta tan ilógico si tenemos en cuenta que se trata de programas, de código, que como cualquier otro, siempre se encuentran propensos a diversos fallos de programación, malas configuraciones o incluso configuraciones por defecto.

Es así que la falta de seguridad le jugó en contra a un ejemplar de un conocido y muy activo Kit de administración y control vía web llamado YES Exploit System...

... que luego de sortear su esquema de autenticación se pudo acceder a información detallada de cada nodo que forma parte de la botnet que se administra por intermedio del crimeware.

En consecuencia, quien manipula una importante cantidad de computadoras,terminó siendo siendo manipulado :-)

Sin embargo, resulta una buena oportunidad para ver datos estadisticos que almacena el aplicativo malicioso. Entre ellos:
  • Navegadores y sus respectivas versiones en los cuales se explotaron vulnerabilidades
  • Diferentes plataformas vulneradas
  • Equipos controlados
  • País de origen de cada nodo infectado
Además de otra información relevante para que el atacante sepa que tipo de exploit deberá utilizar en relación a la tecnología que más se utiliza (IE 7 y Windows XP).
Sin embargo, también observamos que existen equipos controlados con plataformas Linux y MacOS. Si bien ambas plataformas no poseen la misma cantidad de víctimas como en el caso de las plataformas Microsoft, lentamente marca una tendencia sobre códigos maliciosos desarrollados para estas plataformas.

Información relacionada
YES Exploit System. Otro crimeware made in Rusia
ZeuS Carding World Template. Jugando a cambiar la cara de la botnet
Adrenalin botnet: zona de comando. El crimeware ruso marca la tendencia
Chamaleon botnet. Administración y monitoreo de descargas
Unique Sploits Pack. Crimeware para automatizar la explotación de vulnerabilidades
Barracuda Bot. Botnet activamente explotada
Creación Online de malware polimórfico basado en PoisonIvy

# pistus

Ver más

Publicado por Jorge Mieres 0 comentarios

lunes, 18 de mayo de 2009

Defacing como noticia

Hace un rato, chequeando mis correos veo que se ha publicado un nuevo boletín de la comunidad de seguridad hispanohablante Segu-Info, y en el cual leo que han hecho una cobertura en relación a los casos de defacing que últimamente han hecho ruido en los medios de información.

En consecuencia, es muy grato ver cómo, desde este mismo blog, que nació como un espacio de ocio personal y poco a poco ha ido planteando un camino que intenta mostrar diferentes vetas de las acciones maliciosas del malware “sin esconder” absolutamente nada, no nos encontramos demasiado lejos de los temas actuales que en materia de seguridad surgen en general ni de los problemas en relación a los códigos maliciosos en particular; ni tampoco, en cuanto a las proyecciones sobre lo que creemos surgirá a futuro.

Como en el tema que nos atrae en esta oportunidad, el “defacing como noticia”, y del cual desde principio de año venimos comentando algunos de sus aspectos que parecían olvidados pero que hoy hacen bastante ruido; incluso, mostrando herramientas universalmente empleadas para cometer este tipo de intrusiones no autorizadas.

Nos complace saber que el camino que seguimos no se encuentra al margen de los problemas y riesgos a los cuales nos exponemos cotidianamente y que en muchos casos nos golpean de cerca, con el ánimo de crear un espacio de encuentro donde la información, en base a la investigación, sea compartida sin que se ofusque.

Información relacionada
PHP Shell Attack I - SimShell
Scripting attack. Explotación múltiple de vulnerabilidades
Desfiguración de sitios web III
Desfiguración de sitios web II
Desfiguración de sitios web I

# pistus

Ver más

Publicado por Jorge Mieres 0 comentarios

Masiva propagación de malware a través de falsos sitios de entretenimiento

Los casos de propagación de códigos maliciosos a través de diferentes metodologías de engaño constituyen una parte fundamental dentro del ciclo de diseminación que los desarrolladores de malware emplean.

Los recursos que se ofrecen a través de Internet con fines de entretenimiento suelen constituir uno de los blancos más explotados para la diseminación de código nocivo, y a tal efecto he recibido muchas consultas en torno a sitios web con material infantil de entretenimiento que aloja alguna inyección de código dañino o descarga de malware.

Un ejemplo concreto lo constituyen las estrategias de engaño que aprovechan Ingeniería Social visual para explotar recursos masivamente buscados en la nube de información y del cual he mostrado varios ejemplos.

En este sentido, otras de las alternativas maliciosamente gestadas en la mente de algún desarrollador malicioso son los sitios intencionalmente creados para la propagación de código malicioso.

Por ejemplo, un falso sitio del proyecto Emule (el famoso programa cliente para descarga de archivos a través de redes P2P), desde donde se descarga un binario llamado
Actualmente con muy baja tasa de detección; sólo 3 de 40 antivirus.

También un falso sitio del reproductor de videos Live Player, desde el cual se descarga el ejecutable llamado
Detectado por 9 de 40 motores antivirus.

Esto se está explotando activamente a través de una campaña que engloba sitios web promocionando programas masivamente utilizados. Los dominios involucrados son:

backstripgirls .com
buscalisto .com download.hot-tv .com
download.live-player .com
download.official-emule .com
download.original-solitaire .com
download.speed-downloading .com
download.web-mediaplayer .com
favorit-network .com
games-attack .com
go-astro .com go-turf .com
gomusic .com
gomusic .net
hot-tv .com
littlesmileys .com
live-player .com
official-bittorrent .com
original-solitaire .com
pc-on-internet .com
schnellsucher .com
search-solver .com
speed-downloading .com
static.favorit-creatives .com
vl02.c76.fvtn .net
web-mediaplayer .com
www.buscalisto .com
www.favorit-network .com
www.games-attack .com
www.gomusic .com
www.hot-tv .com
www.live-player .com
www.official-bittorrent .com
www.official-emule .com
www.pc-on-internet .com
www.schnellsucher .com
www.search-solver .com
www.smilymail .com
www.speed-downloading .com
www.trovarapido .com
www.web-mediaplayer .com

Incluso, a través de una búsqueda se obtiene que estos sitios poseen un buen posicionamiento web, quizás a través de técnicas Black Hat SEO.

Esto demuestra el "entusiasmo" que los creadores y diseminadores de malware depositan en estas acciones delictiva buscando claramente engañar a los usuarios al intentar captar la atención con métodos propagandistas de promoción de malware a través de falsos sitios.

Información relacionada
Campaña de propagación de XP Police Antivirus a través de Ingeniería Social Visual

# pistus

Ver más

Publicado por Jorge Mieres 0 comentarios

Suscribirse a: Entradas (Atom)