MalwareIntelligence es un sitio dedicado a la investigación sobre todas las cuestiones relacionadas con criminología informática, seguridad de la información en general y seguridad antimalware en particular, siempre desde una perspectiva estrechamente relacionado con el campo de inteligencia.

27.1.10

Automatización en la creación de exploits II

La explotación de vulnerabilidad representa en la actualidad una de las estrategias de infección más utilizadas en el escenario del crimeware, y si bien los exploits que permiten aprovechar ciertas debilidades no constituyen un concepto nuevo, lo cierto es que cada vez son más notorias sus acciones.

De hecho actualmente se siguen explotando, sobre todo a través de exploits pack, una gran cantidad de vulnerabilidades que muchas de ellas han sido solucionadas hace más de dos años.

Sin embargo, cuando estas vulnerabilidades son del tipo 0-Day, el problema se potencia. Casos como "Operación Aurora" que recientemente ha estado en boca de todos al explotar una vulnerabilidad del tipo 0-Day en Internet Explorer 6. Sí, leyeron bien… Internet Explorer 6; y que actualmente se está utilizando de forma masiva para diseminar malware pero no solo a través de la versión 6, sino también de la 7 y 8.

La vulnerabilidad está identificada como CVE-2010-0249, y al igual que sucedió con la vulnerabilidad explotada por el gusano conficker (MS08-067) donde se automatizó su creación, recientemente se ha conocido un constructor que permite automatizar la creación del exploit para Internet Explorer de forma extremadamente sencilla, cuestión que es habitual en este tipo de aplicaciones.

Esta aplicación es de origen chino y solo permite configurar la dirección web desde donde se intentará explotar la debilidad en el navegador. Luego genera un archivo llamado IE.html conteniendo el código del exploit y la url utilizada para el ataque, que se encuentra ofuscada.

Como condimentos relevantes de este asunto, el exploit generado (embebido en el html) es detectado por menos del 40% de las compañías antivirus según el reporte de virutotal. Mientras que el constructor es detectado, por el momento, por menos del 25%.

Por otro lado, la automatización de exploits genera una brecha dejando al descubierto que muchas operaciones "encubiertas" que forman parte de campañas de distracción tras simples ataques, se encuentran íntimamente relacionadas con asuntos de espionaje.

Información relacionada
Automatización en la creación de exploits
Automatización de procesos anti-análisis II
Automatización de procesos anti-análisis a través de crimeware

Jorge Mieres

1 comentarios:

jonathan dijo...

hola man es detectado solo por una falsa alerta de nod 32 ningun antivirus lo detecta aqui te dejo el reporte...

http://www.virustotal.com/file-scan/report.html?id=a6b99383504ab54f38257e99bc0d8471eed788d14acb5dec1da3cec01426704a-1291741565#