MalwareIntelligence es un sitio dedicado a la investigación sobre todas las cuestiones relacionadas con criminología informática, seguridad de la información en general y seguridad antimalware en particular, siempre desde una perspectiva estrechamente relacionado con el campo de inteligencia.

29.6.07

CUIDADO CON LAS RATAS
Las RATs en inglés, además de ser esos animales que viven por las alcantarillas en la ciudad de Gotham, son las Remote Administration Tools, es decir, las herramientas para administrar remotamente equipos. Este concepto tan técnico, recoje en muchos casos al conjunto de troyanos que circulan por Internet.

Unos de los "peores troyanos", o debo decir, de los "mejores troyanos", es Posion Ivy, "Hiedra venenosa". Tiene varias características que hacen de él una pieza de ingeniería única para lo que son los troyanos RAT, como son:

- Conexión reversa: Es decir, es él equipo troyanizado el que se conecta a la máquina del atacante, lo que le permite saltarse firewalls, NATs, etc...
- Cifrado de comunicaciones y transferencia de ficheros: Para saltarse IDS, Sniffers, etc...
- Gestión completa remota de ficheros, servicios, registro, wireless, aplicaciones instaladas, aplicaciones corriendo, etc...
- Robo de hashes de cuentas y de Wireless Zero Configuration.
- Shell Remota, Keylogger, Screen Recorder, sound recorder y Webcam recorder.

Consola de Administración Remota

Vamos, el amigo de los niños si te lo introducen en tu equipo. El nivel de peligrosidad de este troyano es altísimo, pues no solo sus características, sino además lo extendido que está, obligan a preocuparse por él, pero...¿realmente se preocupan por él?

La última versión, la 2.3.0 lleva ya más de una semana circulando por Internet y hoy he decidido ver, después de esos días que lleva rodando por el mundo de Internet, cuantos motores de antivirus se han preocupado por él, así que he hecho un troyano y he configurado el servidor con las opciones por defecto.

Consola de Creación del Servidor

Y lo he subido a Virustotal,como no, para ver cuantos, de los 31 motores de antivirus que tienen hoy en día integrados, lo detectaban.

Resultados en Virus Total

12 motores. Lo preocupante no es que lo detecten 12, lo preocupante es que sólo 12 motores detectan un troyano sobradamente conocido, con una larga historia, que se ha publicado por todo Internet y del que circulan montones de manuales para que cualquiera pueda hacer lo que desee con él.

¿Tan saturadas están las compañías Anti-Malware? ¿Hay dejadez?

Fuente: http://elladodelmal.blogspot.com

Ver más

JUEZA CONSIDERO QUE ENTRAR A UNA CUENTA DE CORREO NO ES DELITO
Una jueza consideró en Argentina que ingresar a una cuenta de correo no es delito ya que esta acción no se encuentra tipificada en el código penal argentino.

La jueza consideró que esa conducta es atípica, por lo que reclamó una reforma legal para que pueda ser castigada.

El fallo completo http://www.habeasdata.org/node/249

Ver más

28.6.07

TU AMIGO FALSO, EL MALWARE MENSAJERO
Desde el nacimiento de Internet, los sistemas de mensajería instantánea se han convertido en un medio de comunicación masivo y eficaz para cualquier usuario, en cualquier parte del mundo, debido a la simplicidad y rapidez de su manejo, constituyendo en la actualidad la vía de comunicación preferida a la hora de entablar una conversación en tiempo real.

En consecuencia, también se ha convertido en una fuente altamente explotable para la difusión y diseminación de códigos maliciosos de todo tipo, resultando que la mensajería instantánea sea un medio muy utilizado para este fin.

Un poco de historia
La forma de IM (Instant Messenger – Mensajería Instantánea) que se conoce en la actualidad tiene sus orígenes en un sistema generalizado de asistencia computacional creado en la década del ’70 denominado PLATO (Programmed Logic Automated Teaching Operations).

A partir de allí fueron naciendo otras aplicaciones, tales como Talk durante el año 1990 e implementado únicamente para sistemas UNIX/LINUX, e ICQ creado durante el año 1996 y disponible tanto para sistemas UNIX/LINUX como para Windows.

Desde entonces, muchas aplicaciones fueron surgiendo hasta llegar a las que se conocen actualmente, incluso combinando diferentes servicios como VoIP, videoconferencia, etc. Las aplicaciones más comunes y utilizadas son AOL Instant Messenger, Yahoo Messenger y MSN Messenger/Windows Live Messenger.


Imagen 1 – Clientes de mensajería instantánea

Infección a través del Messenger
Se mencionó que uno de los medios de comunicación más explotados para propagar malware son las vías de Chat. Precisamente, una de las aplicaciones más utilizadas y más explotadas es el Windows Messenger/MSN Messenger/Windows Live Messenger de Microsoft.

Uno de los tantos malware de este tipo es el gusano/troyano catalogado por ESET NOD32 bajo el nombre de Win32/Spy.Banker.CHC que utiliza la Ingeniería Social para intentar propagarse a través de los contactos del sistema infectado al momento de utilizar el cliente de mensajería instantánea.

Análisis superficial
Esta familia de códigos maliciosos está diseñada para enviar mensajes a cada uno de los contactos del usuario infectado, adjuntándose el siguiente mensaje en idioma portugués:

“Olha meu flogao atualizei
http://www.flogao-com-br.xxxxxx.ru/virgens.htm
espero que goste”


Imagen 2 - Enlace agregado al mensaje original

En ningún momento el usuario percibe que en realidad está enviando una invitación a descargar el malware.

El usuario desprevenido que haga clic sobre el enlace ingresará a una página web alojada en un sitio de Web Hosting y correo electrónico gratuito ubicado en Rusia. Aquí pueden ocurrir dos hechos:

Si el usuario mantiene su sistema operativo actualizado podría hacer clic en el vínculo mostrado en la imagen y observar que al pasar el mouse sobre el vínculo “CLIQUE AQUI”, este hace referencia a la dirección http://www.flogao-com-br.xxx.ru/extra.html.757674576945785.exe#/Carrinho/Amor/Saudades.imag/”, que remite a un archivo ejecutable (extensión “.exe”).


Imagen 3 – Redireccionamiento hacia un .exe y descarga del ejecutable

Si el usuario no mantiene actualizado su sistema, se explotará una vulnerabilidad del mismo permitiendo descargar y ejecutar, en forma totalmente silenciosa y automática, un programa del tipo “downloader” encargado de descargar otros códigos maliciosos una vez instalado en el sistema víctima. Cabe aclarar que, con el sólo hecho de ingresar a la dirección web, este archivo se descarga y ejecuta automáticamente sin el consentimiento del usuario y sin que se percate de ello.

Un análisis del código fuente de la página web exhibe la ejecución automática del archivo al momento de ingresar al sitio. Primero se distingue una etiqueta que vincula la dirección web con archivo ejecutable. A su vez, este posee incrustado un script ofuscado (Ofuscamiento: Técnica utilizada para hacer ilegible un código y dificultar su lectura.) escrito en lenguaje JavaScript que descarga y ejecuta otro archivo denominado ”pork.exe”, copia del ejecutable que se descarga en primera instancia.


Imagen 4 – Descarga del ejecutable

En cualquiera de los dos casos, el archivo ejecutable, es en realidad el gusano que se descarga e instala en la computadora. Al hacer clic sobre el enlace se presenta la típica ventana de descarga de archivos de Windows.

Al descargarse, se aloja en la carpeta temporal de Windows realizando una copia del troyano en la raíz del disco “X” bajo el nombre “system00.exe”. También se copia en la siguiente dirección “X:\WINDOWS\system32\” bajo el nombre de “windows.exe” (donde X es la unidad donde está instalado Windows).


Imagen 5 – Copia del troyano alojada en el disco “C” y en la carpeta “Temp”

En la imagen, se puede notar que los ejecutables creados por el código malicioso poseen íconos de aplicaciones comunes, como es el caso de los archivos de imagen o la llave asociada a elementos de seguridad del sistema.

Esta característica está presente en la mayoría del malware y constituye una de las técnicas más comunes: hacer creer al usuario que se tratan de archivos de imagen/seguridad cuando en realidad no lo son. Nótese además que los nombres que se utilizan pretenden hacer creer al usuario que están asociados al sistema.

Además de realizar copias de si mismo, el troyano manipula el registro del sistema creando las siguientes claves:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
C:\Arquivos de programas\My_Love.exe
C:\WINDOWS\system32\windows.exe


Imagen 6 – Manipulación del registro

Estas claves son creadas por el gusano con el objetivo de asegurar que en cada reinicio del sistema operativo arranque su proceso.

Si se observa con detalle la clave creada en el registro referida al ejecutable “My_Love.exe”,se puede ver que el mismo es creado en la carpeta “Arquivos de programas” y no en “Archivos de programas”.

Si el sistema operativo se encuentra en idioma portugués, el código malicioso realiza una copia en esta carpeta bajo un nombre que va cambiando a medida que se va modificando el código del mismo.

De aquí en más, cada vez que se establezca una conversación con algún contacto a través de cualquiera de los mensajeros de Microsoft, se adjuntará en el mensaje un enlace hacia la página web maliciosa.


Profundizando el análisis
Al descender un nivel en la página web se encuentran, además del troyano en sí mismo, los archivos ejecutables que el código malicioso descarga una vez que la máquina víctima ha sido comprometida.

Por otro lado, a través del seguimiento realizado a lo largo de unos días, se pudo establecer que los troyanos alojados en la página web maliciosa son constantemente modificados, no sólo en los nombres utilizados sino también en el código.

En la siguiente captura se observa el dinamismo con el cual se llevan a cabo las modificaciones de los códigos maliciosos por parte de sus autores.


Imagen 7 – Seguimiento del troyano

A simple vista, se observa que el archivo ejecutable que se intenta descargar en primera instancia bajo el nombre de “extra.html.757674576945785.exe” pesa 200.192 bytes y no fue modificado. Este archivo ejecutable, es en realidad el troyano detectado como Win32/TrojanDownloader.Banload.BJU por ESET NOD32, un tipo de código malicioso cuya tarea consiste en descargar otros especimenes de malware a la máquina infectada.

Además, para no ser fácilmente detectado por los productos de seguridad y minimizar su tamaño, todos los archivos están empaquetados con la aplicación “tElock 0.98b1”, una herramienta que además de comprimir, encripta archivos PE (Portable Executable).


Imagen 8 – Empaquetado del archivo

El archivo que simula ser una imagen, llamado “extra.jpg”, es en realidad un ejecutable que contiene al troyano Win32/Spy.Banker.CHC que se encarga de capturar información sobre sitios web de bancos brasileros. Al ver su contenido, se visualiza el indicador “MZ” correspondiente a archivos ejecutables (.exe, .dll, .ocx).



Imagen 9 – Malware desarrollado en Delphi

Como se puede apreciar en la captura, el código malicioso está escrito en lenguaje de programación Delphi.

Esta misma situación se presenta con el archivo llamado “ex.htm” que aparece en la última actualización realizada por los diseminadores del malware; es decir, este archivo simula tener extensión “.htm” (página web) pero en realidad es un archivo ejecutable.

Anteriormente se mencionó que este malware se ejecuta con el sólo hecho de ingresar a la página web maliciosa y que esta acción la lleva a cabo mediante un script ofuscado. Al realizar la conversión a “código legible” se puede ver el código fuente (en vbscript) que permite descargar el código malicioso en la carpeta temporal de Windows.

Para lograrlo, el troyano explota la vulnerabilidad solucionada en el boletín MS06-014 [1] de Windows que le permite ejecutar códigos en forma remota a través de su navegador Internet Explorer. En la siguiente captura se observa parte del mismo:


Imagen 10 – Exploit utilizado por el troyano para descargar y ejecutar “pork.exe”

Una vez que la computadora ha sido infectada, el troyano se copia en la carpeta de archivos temporales de Windows y al reiniciar el sistema se borra dejando copias de sí mismo en la carpeta “system32” y en la raíz del disco en donde se encuentre instalado el sistema operativo (comúnmente C:\).

Al arrancar sus procesos queda residente en memoria controlando los sitios visitados con el navegador Internet Explorer asegurándose, mediante la manipulación de la clave “Run” del registro, que sus procesos arrancarán en cada inicio del sistema.


Imagen 11 –Envío del mensaje con el enlace, copia del malware y manipulación del registro

Además, dependiendo del idioma del Sistema Operativo, crea una serie de archivos que son copias de cada troyano.

·Si el sistema operativo (SO) se encuentra en portugués, crea el archivo “My_Love.exe”, como se mencionó anteriormente, en la carpeta “Arquivos de programas” siendo una copia de “extra.jpg” y con un tamaño de 1.969 KB.

·Cuando se trata de un SO en español no crea éste archivo. Sin embargo lo agrega igualmente en la clave “Run” del registro. Se crean los archivos “system00.exe” que es una copia del mismo “extra.jpg” y “windows.exe” que es una copia de “extra.html.757674576945785.exe” y del ejecutable “pork.exe” con un peso de 196 KB.

·En caso de tratarse de un SO en inglés, crea los archivos “My_Love.exe” y “bios.exe” (copia de “extra.jpg”) en la dirección “X:\Documents and Settings\All Users\Start Menu\Programas\Startup”.

Resumiendo:

·extra.html.757674576945785.exe (downloader de 196 Kb) --> pork.exe --> windows.exe --> bios.exe
·extra.jpg (troyano banker de 1.969 Kb) --> My_Love.exe --> system00.exe

Inmediatamente después de haberse ejecutado, comienza a monitorear y registrar los sitios visitados por el usuario. En caso de que ingrese a determinadas páginas web, se activará el proceso asociado al “banker”.

Algunos de los sitios web que activarán la ejecución del troyano son los siguientes:
http://www.caixa.gov.br/
http://www.hsbc.com.br/

Al entrar a cualquiera de estas páginas web, el código malicioso cubre la sección del sitio del banco que permite el ingreso al home-banking real. En su lugar, muestra una imagen falsa con el objetivo de que el usuario ingrese a un formulario falso para registrar sus datos personales.

El malware ejecuta un proceso encargado de desplegar un banner que se superpone con el sector original en donde el usuario debe hacer clic para ingresar sus datos y operar en la entidad bancaria.

En el caso del primer sitio, el banner mostrado por el troyano se ubica en la parte superior de la página web:


Imagen 12 – Superposición del banner

Al hacer clic sobre el banner, se presenta la ventana, supuestamente original, que permite el ingreso de datos por parte del usuario.

Por intermedio de las siguientes capturas se pueden apreciar en forma cronológica, las diferentes pantallas que el código malicioso va presentando a medida que el usuario avanza en la navegación de la página web.

En primer lugar, una vez que el usuario ingresa sus datos y confirma (1), muestra una pantalla en la que se presentan los campos a llenar mediante la utilización del teclado virtual (2); una vez confirmado, el malware muestra otra ventana en la que se debe elegir una de las opciones mostradas en el menú izquierdo (3). Al hacer clic en cualquiera de las opciones, lanza una ventana de advertencia informando sobre la supuesta falta de una firma electrónica (4).


Imagen 13 - Pantallas desplegadas durante el ataque (I)

Al aceptar, despliega la pantalla para ingresar una firma electrónica (5) y por último, al confirmar esta acción, muestra una pequeña ventana en donde dice que la página se encuentra en mantenimiento, por ende, que se intente la operación en otro momento (6). Finalmente al aceptar, se cierra el navegador.


Imagen 14 – Pantallas desplegadas durante el ataque (II)

En forma similar, actúa sobre la página web del banco HSBC pero a diferencia de la anterior, resulta muy difícil darse cuenta a simple vista que se trata de una imagen engañosa debido al parecido con la original. A continuación, se puede observar el sector donde el código malicioso superpone la imagen.


Imagen 15 - Sector sustituido por el malware en el caso de HSBC

En el momento de ingresar a alguna de las entidades bancarias antes mencionadas, el malware ejecuta las acciones de superposición de imagen descriptas. Estas acciones son realizadas por el archivo “system00.exe” a través del proceso “ExperT”.


Imagen 16 - Imágenes manipuladas por el malware

Una vez que el usuario ha caído en la trampa del código malicioso introduciendo los datos en la entidad bancaria, el malware se encarga de establecer una conexión SMTP mediante la cual envía los datos del usuario a una cuenta de correo electrónico. La siguiente imagen muestra una captura del momento en que se activa dicha conexión.


Imagen 17 – Captura de tráfico SMTP

Conclusiones
Tanto los creadores como los diseminadores de malware, utilizan el ingenio para intentar engañar a sus víctimas por intermedio de técnicas de Ingeniería Social, demostrando una vez más que el eslabón más débil siempre es un usuario final no capacitado y que el objetivo principal del malware que actualmente se disemina en forma cotidiana, es netamente económico.

Así lo demuestra este ejemplar de código malicioso que, a través de la manipulación de un cliente de mensajería instantánea masiva, intenta infectar las computadoras de todos aquellos usuarios desprevenidos para realizar ataques a determinados sitios bancarios.

Si bien en lo presentado se trata del análisis de un malware cuyas características suponen que fue creado en Brasil y apunta a usuarios de ese país, en las últimas semanas se han reportado otros casos de códigos maliciosos similares que utilizan como medio de propagación a los clientes de mensajería instantánea. Uno de ellos es el gusano detectado por ESET NOD32 como Win32/VB.NKY que se propaga mostrando un mensaje en idioma español bajo el nombre de “Bush.exe” simulando ser una película en flash o como “yo_posse_007.jpg.exe”, una supuesta imagen de las vacaciones.

Además, es fundamental que el usuario tome conciencia de los peligros que corre por el sólo hecho de ingresar a determinadas páginas web, ya que muchos creadores de malware utilizan las funcionalidades de los scripts para infectar un sistema sin que el usuario se percate de ello. Es importante recordar que mientras se navega o se visualiza una página, pueden estar sucediendo -en forma oculta y totalmente transparente- actividades dañinas que ponen en peligro la confidencialidad del usuario.

También resulta interesante que esta característica puede presentarse cuando se hace alguna búsqueda como la que se muestra en la siguiente captura:


Imagen 18 – Búsqueda en google

Cabe destacar la importancia que tiene mantener el sistema operativo debidamente actualizado; si bien se sabe que es imposible que un sistema sea 100% seguro, se puede disminuir el riesgo actualizándolo, ya que como se pudo apreciar, el código malicioso en cuestión aprovecha una vulnerabilidad descubierta durante abril de 2006.

Adicionalmente, un punto primordial es contar con una herramienta de seguridad que solucione este problema, como con un antivirus actualizado que incorpore características de detección heurística y proactiva como ESET NOD32.

Por tales argumentos se puede decir que la mejor arma que posee el usuario para repeler este y cualquier otro tipo de metodologías que atenten contra la seguridad del sistema, y por ende, de la información contenida en ellos, radica principalmente en la educación. [2]

Jorge Mieres, Analista de Seguridad de ESET para Latinoamérica.

Más información:
[1] Boletín MS06-014 de Microsoft
http://www.microsoft.com/technet/sec.../ms06-014.mspx
http://www.microsoft.com/latam/techn.../ms06-014.mspx

[2] Plataforma Educativa de ESET Latinoamérica
http://edu.eset-la.com/

[3] Otros
http://www.eset-la.com/company/1602-eset-lanza-informe-troyanos-mensajeria-instantanea

Fuente: http://www.psicofxp.com/forums/articulos-de-informatica.520/463617-tu-amigo-falso-el-malware-mensajero.html

Ver más

QUE ES NMAP
Nmap es una aplicación multiplataforma usada para explorar redes y obtener información acerca de los servicios, sistemas operativos y vulnerabilidades derivadas de la conjunción de éstos.

Es muy usado por todo aquél que se interesa por las tareas de seguridad y hacking en general, desde Administradores de Sistemas a interesados con fines menos respetables. Las técnicas de escaneo que usa Nmap han sido ya implementadas en sistemas de detección de intrusos y firewalls, ya que los desarrolladores de sistemas de seguridad también usan Nmap en su trabajo y toman medidas. No obstante, pese a estar ampliamente documentado su funcionamiento, hay formas de escaneo que lo hacen difícil de detectar cuando se trata de obtener información.

Bueno, descargamos Nmap del sitio oficial para nuestra plataforma y lo instalamos. Si usamos Debian es mejor usar los repositorios:

$ apt-get install nmap

Comenzemos a escanear…

$ nmap -sP 192.168.1.0/24

Esto escaneará las 255 direcciones de la red 192.168.1.0 El atributo -sP indica que será un escaneo mediante ping. Envia un ping (ICMP echo request) y un paquete TCP ACK al puerto 80. Si el destino contesta con otro ping o con un paquete TCP RST significa que está operativo.

Tipos de escaneo en función de los paquetes

Si no queremos usar la técnica del ping y el paquete ACK para comprobar el equipo o la red hay varias opciones diferentes:

solo el ping
nmap -PE 192.168.1.0/24

sólo el paquete ACK dirigiéndolo a un puerto determinado, p. ej. el 20
nmap -PA20 192.168.1.0/24

paquetes SYN al puerto 20
nmap -PS20 192.168.1.0/24

paquetes UDP al puerto 20
nmap -PU20 192.168.1.0/24

paquetes timestamp
nmap -PP 192.168.1.0/24

paquetes netmask request
nmap -PM 192.168.1.0/24

Latencia en la red

Si la red a escanear es lenta, tiene mucho tráfico o somos nosotros los que generamos gran cantidad de tráfico, el tiempo de respuesta aumentará. Para mitigar estos inconvenientes podemos ajustar el tiempo de búsqueda que emplea nmap. La opción -T indica la política de tiempo a usar. Existen 6 niveles con números entre 0-5, cuanto más alto más rápido. Si no se especifica se usa -T3

$ nmap -T5 192.168.1.0/24

Escanearía la red 192.168.1.0 en modo Insane, muy rápido…

Más opciones de escaneo serian:

–max-hostgroup 150 (enviar 150 peticiones simultaneas de escaneo)
–scan-delay2s (retardo entre escaneo de 2 segundos)
-host-timeout500m (tiempo empleado para escanear cada host de 500 milisegundos)

Descubriendo servicios en un host

Nmap por defecto escanea los 65.535 puertos TCP del objetivo. Para solo escanear un determinado nº de puertos usaremos la opción -p

$ nmap -p 25,80,1000-4000 192.168.1.1

Con esto escaneamos el puerto 25,80 y del 1000 al 4000 del host 192.168.1.1

Hay varios estados posibles para un puerto. Si hay algún servicio escuchando en él, el estado es OPEN. Si no hay servicios en ese puerto puede respnder con un mensaje ICMP o simplemente con nada. En Linux estas respuestas vienen dadas por las reglas de IPTABLES REJECT (rechazar el paquete enviando un mensaje ICMP informando que el puerto esta cerrado) o DROP (tirar o ignorar el tráfico). En caso de que la petición sea ignorada Nmap mostrará el puerto como filtered, ya que no puede determinar si hay algún servicio o no en ese puerto.

También es posible que el equipo a sondear tenga los puertos abiertos pero tenga la política de no responder al ping ni al TCP ACK que usa Nmap para saber si el equipo está levantado. En ese caso el parámetro -P0 escaneará el objetivo asumiendo que el equipo está activo.

Sondeos sigilosos

SYN: Se trata en enviar un paquete TCP SYN al puerto a comprobar, y si hay algún servicio activo, el sistema escaneado continuará con la sequencia de conexión enviando un paquete TCP/SYN. En este punto Nmap tendría que proseguir enviando el ACK, pero no continúa con la secuencia de conexión y al no consumarse la conexión no queda registrado en los logs.

$ nmap -PS20 192.168.1.0/24

Una técnica parecida es enviar una secuencia incorrecta de paquetes TCP con la intención de valerse de los mensajes recogidos para obtener información. Por ejemplo, enviar un paquete TCP FIN que corresponde al final de una conexión o enviar paquetes sin ningún flag activado. Las respuestas pueden servir para identificar los puertos abiertos o el sistema operativo.

Fingerprinting

Nmap puede averiguar el sistema operativo del objetivo usando las pequeñas diferencias en la implementación de los protocolos. Aunque siguen el mismo estándard al programar los sistemas, existen algunas disimilitudes que usa Nmap para determinar el sistema operativo para ver como responde a ciertas secuencias TCP/IP. El atributo es -O

$ sudo nmap -O 192.168.1.33
Interesting ports on 192.168.1.33:
Not shown: 1676 closed ports
PORT STATE SERVICE
135/tcp open msrpc
139/tcp open netbios-ssn
445/tcp open microsoft-ds
1110/tcp open nfsd-status
MAC Address: 00:18:DE:A0:B2:C9 (Unknown)
Device type: general purpose
Running: Microsoft Windows 2003/.NET|NT/2K/XP
OS details: Microsoft Windows 2003 Server or XP SP2
Nmap finished: 1 IP address (1 host up) scanned in 3.451 seconds

La otra técnica de Fingerprinting se usa para comprovar las versiones del software que escucha en los puertos, es decir el servidor ftp, la versión de apache, etc… El parámetro es -sV

$ sudo nmap -sV -O -p 22,25,3306 localhost
Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2007-06-27 18:43 CEST
Warning: OS detection will be MUCH less reliable because we did not find at least 1 open and 1 closed TCP port
Interesting ports on localhost (127.0.0.1):
PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 4.3p2 Debian 9 (protocol 2.0)
25/tcp open smtp Exim smtpd 4.63
3306/tcp open mysql MySQL 5.0.32-Debian_7etch1-log
Device type: general purpose|printer|broadband router|telecom-misc
Running (JUST GUESSING) : Linux 2.4.X|2.5.X|2.6.X|2.3.X (95%), Lexmark embedded (93%), D-Link embedded (93%), Wooksung embedded (93%)
Aggressive OS guesses: Linux 2.4.0 - 2.5.20 (95%), Linux 2.4.18 (95%), Linux 2.4.18 - 2.4.20 (x86) (95%), Linux 2.4.20 (X86, Redhat 7.3) (95%), Linux 2.4.21 (x86, RedHat) (95%), Linux 2.4.22 (SPARC) (95%), Linux 2.4.30 (95%), Linux 2.4.7 - 2.6.11 (95%), Linux 2.5.25 - 2.6.8 or Gentoo 1.2 Linux 2.4.19 rc1-rc7 (95%), Linux 2.6.0-test10 (x86) (95%)
No exact OS matches for host (test conditions non-ideal).
Service Info: Host: xxxxx.xxxxxxxx; OS: Linux
Nmap finished: 1 IP address (1 host up) scanned in 10.892 seconds

Esto nos muestra información bastante valiosa sobre las versiones de SSH, Exim y MySQL así com el nombre y el dominio. También ha intentado determinar la versión del sistema operativo, pero no concreta la distribución usada (95% Gentoo) ni la versión del kernel. En la anterior prueba contra un Windows XP, si que es capaz de obtener información referente al sistema operativo, y en menos tiempo.

Todas las prácticas aquí mostradas se han realizado con fines experimentales, así que no os lanzéis ahora a escanear los pc de vuestro trabajo, instituto o universidad porque si vais con intenciones dudosas seguramente os pillarán. El contenido de este artículo es fruto de lectura de manuales, revistas, artículos y mi experiencia profesional-personal. Mis fuentes:

Fuente: http://www.thewilfamily.com/hacking/nmap-a-fondo-escaneo-de-redes-y-hosts

Ver más

RUTKOWSKA: "LA MAYORIA DE ATAQUES EXPLOTAN EL FACTOR HUMANO, LA ESTUPIDEZ DEL USUARIO"

Por MERCÈ MOLIST 28/06/2007

Joanna Rutkowska, experta en código malicioso, creó su primer virus a los 14 años. Hoy estudia cómo detenerlos - "Sólo con tener la tarjeta inalámbrica del portátil funcionando, sin conectarte, alguien puede controlarlo".

A los 14 años escribió su primer virus. A los 27, estudia cómo detenerlos. Joanna Rutkowska es polaca, experta en código malicioso y musa de la comunidad de seguridad informática. Le intriga saber si en España todos hacen la siesta: "Yo sí, cuando investigo algo complicado, y al despertar sé cómo resolverlo".

Pregunta. ¿Cuál es el estado del arte en el código malicioso?
Respuesta. Es más fácil crearlo que detectarlo. Las técnicas de los chicos malos están por delante de las nuestras.

P. ¿Los chicos malos le han pedido alguna vez sus conocimientos?
R. Acabo de crear mi propia empresa, Invisible Things, y entre otras cosas hacemos cursos. No sé si mis clientes son criminales o no.

P. Cada vez hay más complejidad y delincuencia. ¿Qué podemos hacer?
R. Por una parte está el factor humano y, por otra, el tecnológico. La mayoría de ataques explotan el factor humano, la estupidez de los usuarios. No podemos proteger totalmente a usuarios estúpidos.

P. ¿Y el tecnológico?
R. La tecnología suele tener fallos y hay ataques que no precisan de la intervención del usuario. Un ejemplo, que da miedo, es que sólo con tener la tarjeta inalámbrica de tu portátil funcionando, sin conectarte, alguien puede aprovechar un agujero del controlador y tomar el control de tu máquina.

P. ¿Cómo defendernos?
R. Escribiendo programas sin fallos, con mejores controles de calidad y educando a los desarrolladores para que hagan programas seguros.

P. ¿Es posible?
R. El sistema BSD tiene entusiastas auditando manualmente el código. Pero, aun así, se encuentran agujeros, a veces después de unos años. No es posible crear código 100% seguro.

P. ¿Y entonces?
R. Otra propuesta es diseñar el sistema operativo de tal forma que, aunque alguien explote un fallo, el sistema limite el alcance del ataque. Por ejemplo, con arquitecturas de micronúcleo.

P. ¿Qué?
R. Windows, Linux o Mac OS tienen grandes núcleos monolíticos, con millones de líneas de código donde no es raro que haya agujeros, y todo está allí. El micronúcleo es un núcleo diminuto que hace unas funciones básicas y el resto funciona en procesos aislados. Así, un ataque al núcleo no afecta a todo el sistema. El problema es que es un cambio drástico, pero el futuro va por aquí.

P. ¿Y mientras tanto?
R. Se están añadiendo herramientas especiales. Por ejemplo hacer que, cada vez que se pone en marcha el ordenador, los procesos estén en sitios diferentes. Así, el atacante no sabe dónde están las cosas.

P. ¿Y los antivirus?
R. No son más que parches. Se basan en bases de datos con miles de firmas de código malicioso y, por cada archivo que entra, comprueban si coincide con alguna. ¡Es un enfoque equivocado! No funciona contra nuevos ataques.

P. ¿Cómo deberían ser?
R. Con un diseño seguro de los sistemas operativos y tecnologías antiataques, los antivirus desaparecerían. Pero, en realidad, no se dirigen al factor tecnológico, sino al humano, avisando al usuario para que no abra tal adjunto. En la siguiente generación, cuando el humano esté educado, será diferente.

INVISIBLE THINGS: http://invisiblethings.org

Fuente: http://www.elpais.com/articulo/red/mayoria/ataques/explotan/factor/humano/estupidez/usuario/elp

Ver más

COMO FUNCIONAN LOS PROGRAMAS DE SEGURIDAD "ESPIAS" DE PC

En Internet existe gran cantidad de herramientas administrativas de utilidad para los responsables de redes informáticas que pueden ser utilizadas con otros fines por personas de la empresa. Cómo prevenirse del mal uso de sniffers, keyloggers, analizadores de servicios y administradores remotos.

Existen distintos tipos de software que pueden ser utilizados tanto de forma genuina como para acciones maliciosas dentro de las empresas, por eso depende completamente del administrador de la red y las políticas existentes para controlar el uso de este tipo de herramientas.

Cuando hablamos de seguridad en redes empresariales, es importante que tengamos en cuenta factores que van más allá de las intrusiones externas y el malware y que están relacionadas con aplicaciones que no son estrictamente maliciosas.

En Internet existe gran cantidad de herramientas administrativas de gran utilidad para los responsables de redes informáticas que pueden ser utilizadas con otros fines por personas de la empresa. Entre dichas aplicaciones podemos encontrar sniffers, keyloggers, analizadores de puertos/servicios y administradores remotos.

Existen versiones comerciales de dichas herramientas que no son creadas con fines maliciosos y se denominan greyware y/o aplicaciones potencialmente no deseadas, dado que pueden ser usadas tanto en forma genuina por responsables de redes empresariales como maliciosamente por atacantes.

Expliquemos cada una de estas aplicaciones para conocer el alcance de las mismas:

  • Los sniffers son programas capaces de monitorear el tráfico de la red y pueden ser utilizados para extraer información como usuarios y contraseñas de servicios internos y externos de la empresa.
  • Los keyloggers son aplicaciones que una vez instaladas en un equipo informático, monitorean todo aquello que se teclea en el mismo, lo almacenan y pueden remitirlo a una persona en forma remota a través de distintos medios como correo electrónico, FTP, etc.
  • Los analizadores de puertos permiten monitorear un equipo informático y detectar qué puertos y servicios están abiertos, para conocer así de qué manera es posible conectarse al mismo.
  • Los administradores remotos son herramientas que, si están instaladas en una computadora o servidor, brindan la posibilidad de administrarla en forma remota, teniendo un control casi total sobre el equipo.
Es normal que un administrador de red utilice alguna de estas herramientas en sus tareas diarias, por lo que no sería raro encontrarlas en una empresa. Sin embargo, no solo pueden ser utilizadas para fines administrativos.

La información es hoy por hoy uno de los principales bienes y la seguridad informática existe para permitir que la misma esté disponible cuando sea necesario y a su vez no pueda ser accedida por personas no autorizadas. Para lograr esto último, se utilizan medidas tales como protección mediante usuarios y contraseñas, los cuales terminan siendo “la llave” para el acceso a la información protegida.

Conocer un usuario y contraseña de algún servicio de una empresa es prácticamente equivalente a ver qué información se encuentra disponible allí. Y son esos datos los más buscados por terceros para diversos fines maliciosos.

Las aplicaciones antes mencionadas permiten conocer y tener acceso a usuarios y contraseñas, y sus servicios. Por ejemplo, un sniffer puede permitir a un atacante interno conocer las claves de acceso a un servicio al cual no debería acceder. Asimismo, un administrador remoto puede permitir a una persona no autorizada acceder y controlar otros equipos dentro de la empresa y realizar acciones en ellos que no estén permitidas.

Estas situaciones son potencialmente peligrosas para una empresa dado que pueden llevar a la disrupción de servicios de importancia y/o al robo de información interna y confidencial. Siendo la información uno de los principales activos de una compañía, controlar que este tipo de aplicaciones no sean usadas erróneamente debe ser tarea primordial del área de seguridad de la información de la institución.

Recomendaciones de seguridad
Hay diversos factores a considerar a la hora de contar con protección contra este tipo de aplicaciones.

Para comenzar, es importante tener en cuenta que dichas herramientas no son maliciosas o dañinas per se, lo cual lleva a que no sean detectadas normalmente por las soluciones de seguridad existentes. Como con cualquier herramienta mal utilizada en cualquier ambiente, no sólo el informático, se debe enfocar la solución del problema potencial desde diversos ángulos.

Es importante que las políticas de seguridad de la información de la empresa especifiquen claramente si el uso de alguna de dichas aplicaciones en particular está autorizado, y si lo está, dejar claro en qué términos y por qué personas.

Las políticas de seguridad también deben prever que solamente usuarios autorizados deben ser capaces de instalar software en los equipos de la empresa, de manera que se evite que se utilicen herramientas como las mencionadas anteriormente. Si sólo los administradores tienen permisos para instalar software, se puede prevenir que se utilicen aplicaciones no deseadas.

Asimismo, existen técnicas y software que permiten monitorear servidores claves y la red misma en busca de sniffers y/o analizadores de puertos; muchas de ellas también de uso e implementación gratuita, por lo que es recomendable que los administradores las utilicen.

Dado que muchos productos antivirus y/o antimalware detectan gran cantidad de administradores remotos y/o keyloggers bajo la categoría de aplicaciones potencialmente no deseadas y/o potencialmente peligrosas, es importante asegurarse que el producto utilizado en la empresa tenga dicha funcionalidad y, en ese caso, que la misma esté activa para que si algún equipo tiene instalado este tipo de software sin autorización, el mismo sea detectado y bloqueado.

Además, es importante que se utilicen protocolos seguros para la autenticación de servicios como el correo electrónico, aplicaciones, web, etc. Por ejemplo, comúnmente, las aplicaciones de correo electrónico son utilizadas para que transmitan usuario y contraseña en forma de texto plano, el cual es fácilmente legible si se pueden monitorear las actividades de red. Utilizando protocolos seguros, esos datos serán transmitidos en forma codificada, evitando su lectura.

La conjunción de las recomendaciones anteriores más una correcta administración de los recursos informáticos y un uso seguro de los mismos, permitirá incrementar el nivel de seguridad ante atacantes internos que utilicen aplicaciones de administración para obtener información interna de la empresa.

Ignacio M. Sbampato es vicepresidente de ESET para Latinoamérica. Especial para Infobaeprofesional.com

Fuente: http://www.infobaeprofesional.com/notas/48568-Como-funcionan-los-programas-de-seguridad-espias-

Ver más

27.6.07

MACAFEE REVELA LA GUERRA PSICOLOGICA QUE UTILIZAN LOS CIBERDELINCUENTES
Nota Segu-Info: parece que Mcafee descubrio la pólvora... o quizás la ingeniería social

McAfee ha anunciado las conclusiones de una nueva investigación que revela cómo el crimen organizado emplea juegos psicológicos para engañar a los usuarios para hacerse con su dinero y sus datos personales.

La investigación sobre las tendencias de los ciberdelitos, encargada por McAfee en asociación con el profesor Clive Hollin, de la Universidad de Leicester en el Reino Unido, indica que en los últimos timos por e-mail los ciberdelincuentes están persuadiendo nuestras vulnerabilidades psicológicas más profundas. Los ciberdelincuentes están constantemente utilizando astutas técnicas como asumir una identidad que genere confianza, o diálogos amables dirigidos hacia emociones humanas como miedo, inseguridad y avaricia.

Un primer ejemplo en el informe muestra cómo, con frecuencia, la curiosidad puede suponer nuestra perdición y una ganancia inesperada para los ciberdelincuentes. Más de 400 personas hicieron clic en el enlace de un anuncio on line en el que se prometía que, al hacerlo, tendría lugar una transmisión inmediata de un virus al ordenador.

El informe destaca cómo los cibercriminales trabajan duro para reducir nuestro escepticismo y convencernos de que el correo electrónico es legítimo. Ellos usan una combinación de trucos o juegos psicológicos para hacernos creer que el mail es de un amigo o una entidad fiable como lo son las compañías de tarjetas de crédito.

Para captar nuestra atención y hacer destacar al correo electrónico, utilizan titulares que apelan a nuestros intereses personales como “compras" o “citas".

El informe muestra también cómo los típicos timos por e-mail contendrán elementos esenciales que ponen en marcha y explotan las vulnerabilidades psicológicas humanas que nos conducen o nos influyen para hacer algo – por ejemplo, “pinche aquí y obtendrá una recompensa" o “pinche aquí para evitar algo que no quiere que ocurra".

Según el profesor Clive Hollin: “En condiciones propicias – poder de persuasión del comunicado y combinación idónea de factores coyunturales y personales – la mayoría de las personas pueden ser vulnerables a una información engañosa. Esto es así para todos los usuarios de ordenadores, sea cual sea su nivel de experiencia: si bien la ingenuidad puede explicarlo en parte, también los usuarios avanzados pueden ser embaucados y sugestionados por mensajes engañosos".

Fuente: http://www.diarioti.com/gate/n.php?id=14544

Ver más

25.6.07

TECNICAS MALWARE: FALSOS PROGRAMAS DE SEGURIDAD INFORMATICA
Una técnica Malware que se esta extendiendo mucho últimamente, son los falsos programas de seguridad informática, que te recomiendan que instales en anuncios de algunas webs.

Estos programas de seguridad se anuncian como anti-spyware, pero lo que hacen es infectar tu sistema con malware, además aunque tu sistema este limpio estos programas siempre dan falsos positivos para justificar su uso. Normalmente tienen otra característica añadida y es que son difíciles de desinstalar del sistema operativo.

Mi consejo es siempre, no instalar ningún software sin asegurarse de que se puede confiar en el proveedor, o en la fuente de donde se descarga. En el caso de que se tenga instalado uno de esos programas, o se desconfié de algún software instalado en el sistema, puede buscar en la lista de webs y falsos programas de seguridad de spywarewarrior.

Si tiene conocimientos avanzados puede monitorizar la aplicación sospechosa, con una herramienta muy practica para monitorizar procesos, se trata de RunAlyzer de los creadores de una de las mejores herramientas contra malware, Spybot-S&D.
En el caso de que quiera desinstalar la aplicación sospechosa de malware, le recomiendo para ello la herramienta MyUninstaller, con muchísimas más opciones que el complemento agregar o quitar programas de Windows. Y para borrar los restos de la aplicación manualmente la herramienta FileASSASSIN.

Mas información y descarga RunAlyzer:

Más información y descarga MyUninstaller:

Borrar archivos bloqueados por Windows con FileASSASSIN:

Lista de programas y webs falsos de seguridad informática en spywarewarrior:

Ver más

23.6.07

ANALIZANDO ARCHIVOS. BUSCANDO CODIGOS MALICIOSOS
En la actualidad la gama de amenazas que existe en la gran red de redes es muy amplia y variada pudiendo alimentar a nuestro sistema con una gran ensalada de códigos maliciosos que en la mayoría de los casos apuntan a intentar engañar a los usuarios menos informados.

Buscando códigos maliciosos
En este paper veremos que tan fácil es caer en las garras de los malware que se esconden dentro de páginas de descarga de archivos o programas del tipo P2P a la espera de que algún cibernauta las agarre y deposite su confianza en ellos.

Hay muchas personas que están acostumbradas a descargar cuanto pueden de Internet o probar todos los programas que se cruzan por delante, utilizando programas como emule o páginas de descarga directa como rapidshare, 4shared, etc., sin tomarse la molestia de escanear los archivos para ver si algún bichito se esconde entre las ranuras del archivo zipeado.

La página web que se utilizó para buscar archivos fue http://www.4shared.com/, 4shared es un site que nos ofrece en forma gratuita 1Gb de espacio para alojar lo que queramos, archivos de texto, programas, videos, etc. La verdad que es una herramienta bastante útil, el tema es que de la misma manera que encontramos cosas buenas también nos podemos encontrar con cualquier tipo de plaga.

La palabra clave que se utilizó para la búsqueda fue “Hotmail”, (¿quien no vio en algún foro, “necesito hackear la cuenta de Hotmail de mi novia, me pueden ayudar?”). Como si se pudiera violar la seguridad de la empresa de software mas grande del mundo. De los 15 archivos analizados 9 contenían algún código malicioso.

Vamos a ver un ejemplo utilizando la herramienta online de Virustotal, la cual busca en los archivos códigos maliciosos utilizando un motor de escaneo de 31 antivirus, y la herramienta gratuita Process Explorer de Sysinternals sobre un archivo llamado “hotmailaccount.zip”.


Como podrán observar en la imagen, de los 31 antivirus consultados, 25 detectaron algo raro. Veamos de que se trata. El archivo es en realidad un troyano del tipo rootkit llamado “Trojan.Downloader.Glukonat” que utiliza técnicas stealth para ocultarse y trabajar como backdoor, todos los otros nombres son alias y dependen del nombre que le den las firmas antivirus.

Una vez que el troyano se instala, suele dejar tres archivos en los equipos infectados, cuyos nombres son seleccionados al azar. Por ejemplo:

c:\windows\system32\conf.com
c:\windows\system32\confmser.dll
c:\windows\system32\confmsur.dll


Además cada vez que se reinicia el sistema, crea una clave en el registro similar a la siguiente

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Conf.com = c:\windows\system32\conf.com

Cabe aclarar que la limpieza de este tipo de troyanos, no pasa solo por quitar los archivos que crea en el sistema, y evitar su ejecución en cada reinicio. Por la naturaleza de sus acciones (backdoors que permiten que uno o más intrusos hagan lo que deseen en el equipo infectado), la única forma de dejar totalmente seguro y limpio al sistema es borrar y reinstalar todo el sistema operativo y los programas necesarios.

Otra línea roja que aparece en la imagen es la que identifica a otro malware. En este caso es el “W32/Smalltroj.coy”, también se trata de un troyano pero con características del tipo dropper (ejecutable que contiene varios virus en su interior) que instala un componente keylogger (captura y registra todo lo que se ingresa mediante el teclado) con la capacidad de registrar, entre otras cosas, nuestras contraseñas y enviarlas a un atacante o página controlada por éste.

Otros bichitos encontrados en los otros archivos analizados son:

  • Trojan-Spy.Win32.Banker.to: se trata de un troyano tipo spy (espia) que se instala en el registro del sistema y roba información de sitios web de bancos online, cuando se instala por primera vez se copia en: C:\Windows\svchosts.exe, y deja una clave en el registro: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    svchosts.
  • Backdoor.Small: es un troyano que tiene como fin dar acceso remoto a un atacante a la maquina infectada. Se instala en el sistema como un servicio llamado hwclock (mostrando el nombre Hardware Clock Driver) y se conecta a un canal IRC y espera una orden del usuario remoto. Puede descargar otros troyanos, y también puede explotar una de las vulnerabilidades de red en Windows para penetrar a otras máquinas de la misma red.
Otros archivos contenían algún otro tipo de códigos maliciosos, como por ejemplo, el “180solutions”, un adware que se encarga de monitorear las actividades del navegador y muestra publicidad pop-up e incluye funcionalidad para descargar, instalar y ejecutarse en forma silenciosa.

Para realizar este análisis he puesto como ejemplo la descarga de archivos desde una página que se ha vuelto bastante popular como lo es 4shared, pero este ejemplo sirve para otras páginas de este tipo como rapidshare o megaunpload, además se debería tener el mismo criterio con la utilización de programas de intercambio de archivos del tipo P2P como Emule, Kazaa, FileScope, Ares, etc.

Cabe aclarar que no se esta poniendo en tela de juicio los servicios que ofrecen estas páginas o la utilidad que se les da a los programas P2P, sino que sí son propensos, evidentemente por su naturaleza, a ser usados como “nidos de malware”.

El analisis
Hasta aquí vimos que tan fácil es diseminar archivos infectados utilizando servicios de consumo masivo, veamos ahora, de una forma mas detallada y con un ejemplo real, cuales son los pasos y mecanismos utilizados por un troyano para infectar una computadora.

En principio, vamos a hacer un escaneo online utilizando la herramienta del site virustotal para comprobar que realmente estamos en presencia de un troyano, el resultado es el siguiente:

Evidentemente, estamos en presencia de un archivo infectado, en este caso, se trata de un troyano diseñado para obtener las contraseñas de la máquina infectada para luego enviar la información a una dirección elegida por el atacante. Veamos si esto es cierto.

Supongamos que nos hemos bajado de la web un archivo zipeado que supuestamente contiene un programa cualquiera; como con todo programa que queremos instalar en Windows, le damos doble click.

Para realizar el seguimiento de las actividades de este troyano y para hacerlo un poco más didáctico, mostraré capturas de lo que nuestro bichito vaya haciendo.

Luego de ejecutar nuestro archivo infectado, lo primero que hace el troyano es agregar una clave al registro en la siguiente dirección: HKLM\Software\Microsoft\Windows\CurrentVersion\Run, esto lo hace para poder ejecutarse automáticamente en cada reinicio del sistema (la mayoría de los malware crean una clave en esta dirección del registro).

La siguiente imagen muestra una captura de esta clave del registro tomada antes de que el troyano infecte nuestra máquina.

En esta otra imagen vemos claramente una clave que antes no estaba bajo el nombre “WCheckUp” ubicada en la carpeta “SYSTEM” del sistema.

Ahora veamos que procesos están corriendo en nuestro sistema, para ello, ejecutamos la herramienta gratuita “Process Explorer” de Systernals.
http://www.microsoft.com/technet/sysinternals/utilities/ProcessExplorer.mspx

En la imagen podemos notar que tenemos un proceso que corre bajo el mismo nombre mostrado en la clave del registro que el troyano había creado, hacemos doble click sobre el mismo para entrar a sus propiedades y desde allí nos dirigimos a la solapa Strings para ver que contiene el proceso.

Vemos entonces que el troyano, además de agregar una clave en el registro nos desactiva el caché de contraseñas “Software\Microsoft\Windows\CurrentVersion\Policies\Network
DisablePwdCaching”, y la opción de evitar claves ocultas con HideSharePwds.

Además vemos otra vez el nombre del ejecutable creado e inmediatamente después vemos las siguientes líneas: smtp.mail.com (SMTP es el protocolo utilizado para enviar e-mail) y kinghack@hotmail.com (dirección de e-mail), esto nos indica claramente que el troyano, en algún momento, intentará enviar un correo electrónico a ésta dirección de correo, seguramente, con las contraseñas almacenadas en nuestra máquina.

Resumiendo el tema en cuestión, pudimos ver que el primer paso realizado por el troyano fue el de asegurarse que su proceso (WchekUp.exe) se ejecute automáticamente en cada reinicio del sistema como si fuese parte del núcleo del mismo, vimos también que el mecanismo utilizado para lograrlo fue el de manipular el registro, agregando una clave y desactivando otras.

Por otro lado, también pudimos ver que el troyano incorpora su propio servido SMTP, el cual utiliza para enviar la información robada a una determinada casilla de e-mail establecida previamente por el atacante.

Recuerden que un troyano es una aplicación maligna que aparenta ser útil y benigna, y que está constituido básicamente por dos archivos, un archivo cliente y un archivo servidor, donde el servidor es el encargado de abrir un puerto en la computadora (archivo infectado que ejecutamos) para que el atacante, por intermedio del archivo cliente, pida los datos en forma remota, en este caso, contraseñas y demás datos importantes.

Esta forma de analizar los procesos que ejecuta un malware es genérica, es decir, casi siempre crean una clave en la dirección del registro mencionada en este ejemplo, y también levantan uno o varios procesos que podemos ver fácilmente si utilizamos las herramientas correctas.

Desde la sección "papers" lo pueden descargar en formato pdf

jam

Ver más

AUDITORIA FORENSE: FILE CARVING SOBRE FUSE

Al realizar auditorías forenses, una de las labores principales consiste en la recolecta de información allí donde ha tenido lugar el incidente a investigar.

En ese lugar, llamado escenario, es donde deberían comenzar por lo general las labores de análisis postmortem. Es en este punto donde adquieren especial relevancia las técnicas para recuperar información en plaza, las cuales se conocen en el argot como técnicas de file carving.

Tal y como se puede comprobar en el documento In-Place File Carving, el file carving es el proceso cuya misión es recuperar ficheros en un escenario forense basando el análisis en contenidos y no en metadatos, con lo que este tipo de técnicas son especialmente útiles cuando se pretender recuperar estructuras corruptas. Los tipos usuales de carving son el basado en bloques, el de cabeceras y pies, el basado en características, los limitados en tamaño de fichero, el carving con validación, el carving semántico, el de recuperación de fragmentos y el basado en estructura de ficheros.

Si el sistema de ficheros emplea metadatos, generalmente se van a emplear para definir los tamaños de almacenamiento y para impedir la recuperación de ficheros dañados. No entraremos en este tipo de análisis.

El problema principal a la hora de aplicar técnicas de carving forense se debe a la parte automatizada del mismo. Las herramientas actuales provocan una cantidad de falsos positivos muy elevada, ya que hacen copias de los contenidos ficheros recuperados, con lo que el volumen se incrementa y así se incrementa el número de falsas detecciones.

El reto, por tanto, pasa por realizar carving sin hacer copias de contenidos, lo que hará más flexible el proceso, consumiendo menos recursos y evidentemente, menos tiempo de auditoría. Es por tanto que las técnicas modernas de carving en plaza están enfocadas precisamente a este objetivo reductor que hemos comentado.

En el documento citado, In-Place File Carving, podemos encontrar las respuestas a este reto, así como la arquitectura de un carver en plaza que trabaja sobre Filesystem in Userspace (FUSE). FUSE es un módulo de kernel UNIX libre, que permite que los usuarios no privilegiados puedan crear sus propios sistemas de ficheros sin escribir código de kernel. Está disponible para OpenSolaris, Mac OS X, Linux y FreeBSD. En el caso de NetBSD hay que emplear compatibilidad con PUFFS (Pass-to-Userspace Framework File System)

Todos estos detalles los podéis consultar en un extraordinario trabajo de investigación docente que nos ofrece una visión de la auditoría forense de alta especialización con sumo grado de detalle. Una lectura obligatoria para los profesionales/interesados en la materia.

Por cierto, a los que os pique el gusanillo por saber qué herramientas se suelen emplear para el carving, echad un ojo al File Carving Scalpel. Otra herramienta muy popular en este ambiente es Foremost, desarrollada originalmente por la Air Force Office of Special Investigations y el The Center for Information Systems Security Studies and Research norteamericanos.

También recomendable este trabajo de tesis doctorial, An analysis of disc carving techniques. Contiene un resumen y análisis de distintos tipois de carving.

Fuente: http://www.sahw.com

Ver más

TODO LO QUE DEBERIA SABER SOBRE MPACK
"El pasado día 19 alertábamos de un ataque a gran escala contra webs europeas, que tenía como último objetivo robar las claves de acceso a la banca por Internet de los usuarios que las visitaran. Después del aviso el ataque fue neutralizado en menos de 24 horas, a día de hoy podemos ofrecer nuevos datos sobre el incidente.

Más de 11.000
páginas webs fueron modificadas para redirigir a sus visitantes de forma oculta a un tercer servidor web malicioso. El usuario afectado en ningún momento era consciente de nada anormal, veía con normalidad la web a la que se había dirigido, toda la conexión maliciosa se hacía en un segundo plano."
(Una al día, 21/06/2007, Resaca del ataque masivo a través de webs comprometidas, http://www.hispasec.com/unaaldia/3162)

¿Qué es MPack?
MPack es una de las más recientes "caja de herramientas" pensada para manejar la infección de personas y servidores. No requiere conocimientos profundos, ni tampoco demasiado trabajo manual para utilizarla. Sin embargo, no es tan nueva como algunos piensan. Desde hace más de un año han sido reportados casos de ataques provocados por esta herramienta, la que ha tenido varias actualizaciones desde su creación.

¿Cualquier persona puede acceder a MPack?
Eventualmente si, pero debe tener dinero para comprarla. MPack se vende en foros underground de Rusia a precios que van de los 500 a los 1000 dólares. El autor (un grupo conocido como $ash), clama que los ataques tienen de un 45 a un 50 por ciento de probabilidades de ser exitosos.

¿Que hace MPack?
MPack son varios módulos. Su primer objetivo es comprometer un sitio Web. Pero básicamente, el que compra el programa, debe instalar el juego de herramientas en un servidor al que pueda acceder y comprar los nombres de usuario y contraseña para conseguir el acceso a servidores comprometidos.

Entonces, el atacante modifica los archivos existentes en esos servidores, agregando etiquetas IFRAME al código HTML, para que el visitante a esos sitios sea redireccionado al servidor del atacante.

Luego de logrado esto, otros componentes de MPack explotarán los potenciales agujeros de seguridad que el usuario tenga en su computadora, para poder descargar y ejecutar otros malwares.

Cada uno de los componentes de MPack que le permite explotar nuevas vulnerabilidades, tiene un costo extra, que puede ir de los 100 a los 300 dólares, o más en algunos casos.

¿Puede un usuario "infectarse" con MPack?
Un usuario común y corriente, no puede infectarse con MPack. Ni aún visitando un sitio comprometido con MPack se infectará con MPack. Su sistema será comprometido por cualquier otro malware que se pueda instalar en su PC, solo si no tiene todo su software al día (sistema operativo y aplicaciones que utiliza, esto incluye navegadores, reproductores multimedia, programas de mensajería instantánea, chat, IRC, correo electrónico, etc.)

Si el antivirus no detecta MPack, ¿me protege de MPack?
MPack es una herramienta que jamás llegará al PC del usuario común (y si lo hiciera, no haría absolutamente nada malo allí, ya que no es su objetivo). El antivirus nos protegerá de la mayoría de los malwares que los servidores comprometidos con MPack intentarán enviarnos cuando visitemos esos sitios.

Pero no hay nada nuevo en esto. Un antivirus debe protegernos siempre de la mayoría de los códigos maliciosos que intenten atacarnos. Aquí es donde se vuelve vital un producto antivirus con capacidad proactiva, ya que con MPack o sin MPack, un antivirus debe reaccionar a las nuevas amenazas, aún antes de que estas sean identificadas con un nombre.

De todos modos, es esencial mantener todos nuestros programas al día, con todas las últimas actualizaciones instaladas, porque MPack buscará las últimas vulnerabilidades descubiertas para comprometer los sistemas de los usuarios que no actualizan su software.

El consumidor medio puede estar consciente de que debe actualizar Windows con los parches de Microsoft (aunque a veces no lo haga), pero tal vez ignore que también debe actualizar todas las aplicaciones de terceros que utiliza.
(Más información: "Nuestra seguridad no solo depende del antivirus", http://www.vsantivirus.com/21-05-07.htm)

Si tengo un servidor web ¿me puede infectar MPack?
No es MPack el que puede infectar su servidor. Si MPack puede instalarse en el mismo, o modificar sus páginas, es porque su servidor tiene potenciales agujeros de seguridad que usted
ignora. Mantener al día el software que utiliza en su servidor web, es la mejor manera de protegerse de amenazas como MPack.

MPack no es la enfermedad, es el síntoma que le indica que su sistema tiene grandes vulnerabilidades. Hasta que no las corrija, aún cuando limpie los archivos modificados por MPack, estos volverán a ser fácilmente modificados.

Esa es la única razón de la gran cantidad de sitios web comprometidos de los que la prensa ha sacado grandes titulares en los últimos días. El problema principal no es MPack, el gran problema es que una inmensa cantidad de servidores no cuidan su seguridad manteniendo su software actualizado, y no cambia regularmente sus contraseñas, las que además deben ser siempre fuertes (es decir de muchos caracteres, letras y números, mayúsculas y minúsculas, etc.).

Más información:
MPack, el gran generador de "hypes"
http://www.vsantivirus.com/rab-MPack-hypes.htm

Malware empaquetado y a la venta
http://www.enciclopediavirus.com/noticias/verNoticia.php?id=821

Ataque vía web a gran escala
http://blog.hispasec.com/laboratorio/223

Marta Torné y el ataque basado en webs
http://blog.hispasec.com/laboratorio/224

¿Cómo comprometer más de 10.000 sitios web?
http://blog.hispasec.com/laboratorio/225

Resaca del ataque masivo a través de webs comprometidas
http://www.hispasec.com/unaaldia/3162

MPack uncovered!
http://blogs.pandasoftware.com/blogs/pandalabs/archive/2007/05/11/MPack-uncovered_2100_.aspx

MPack, Packed Full of Badness
http://www.symantec.com/enterprise/security_response/weblog/2007/05/MPack_packed_full_of_badness.html

Malicious Website / Malicious Code: Large scale European Web Attack
http://www.websense.com/securitylabs/alerts/alert.php?AlertID=782

MPack Analysis
http://isc.sans.org/diary.html?n&storyid=3015

Fuente: http://www.vsantivirus.com/faq-mpack.htm

Ver más