MalwareIntelligence es un sitio dedicado a la investigación sobre todas las cuestiones relacionadas con criminología informática, seguridad de la información en general y seguridad antimalware en particular, siempre desde una perspectiva estrechamente relacionado con el campo de inteligencia.

8.9.10

Phoenix Exploit’s Kit v2.1 Inside

Este crimeware es uno de los más utilizados por los ciber-delincuentes para recolectar información de inteligencia que permita conocer las tendencias en torno a usos y costumbres por parte de las personas que utilizan Internet cotidianamente.

Esta información de interés busca obtener en tiempo y forma un detalle completo de las víctimas que, a posterior, les permita a los delincuentes conocer sobre qué factores enfatizar sus "mejoras" en la aplicación web, y a los botmaster pensar en alguna estrategia de diseminación de malware.

¿Para qué? Obtener información procesada (inteligencia) es clave porque les permite contar con información real sobre las diferentes tecnologías utilizadas por las personas. Este tipo de maniobras es ampliamente utilizado por los delincuentes. ¿Alguna vez se preguntaron por qué Koobface se propaga por redes sociales? 

Por ejemplo, la mayoría del crimeware de este estilo acopian datos sobre:
  • Tipo y versión de plataformas. Permite conocer cuáles son los sistemas operativos más utilizados y los más vulnerables.
  • Tipo y versión de navegadores. Busca comprender la misma característica que el punto anterior.
  • Países afectados. Permite conocer la cantidad de computadoras víctimas en cada país. De esta manera, el botmaster podría discriminar la propagación de malware orientando su promoción a países particulares.
¿Por qué? Porque toda esta información le permite al desarrollador poder agregar y/o mejorar los exploits que incorpora en versiones "mejoradas" del "producto". Además, en función del último punto por ejemplo, la sencillez en cuanto a la fácil lectura de los datos estadísticos hace que muchos botmaster utilicen PEK (Phoenix Exploit’s Kit) para propagar malware que es utilizado como "puente" para registrar descargas e instalaciones exitosas para incrementar su economía a través de sistemas de afiliados del tipo Pay-per-Install.

Actualmente el desarrollo de PEK se encuentra en su versión 2.3r, siendo esta una versión preliminar a la 2.4 y que se encuentra en su etapa de "testeo" desde mediados de agosto de 2010. La última versión "estable" es la 2.3.

Sin embargo, este post trata sobre la versión 2.1 de Phoenix Exploit’s Kit, y veremos que desde el punto de vista visual no cambió en sus versiones anteriores ni cambia en las posteriores.

Por defecto posee 10 exploits, que son los siguientes:
Esta versión arrastró la característica Phoenix Triple System incorporada a partir de la versión 1.4, que básicamente consiste en un sistema de cifrado para los binarios ejecutables que se diseminan. El objetivo de esto es entorpecer los procesos de análisis sobre el malware.

Se compone de 6 módulos de los cuales 4 proporcionan información de interés de cada equipo que forma parte de la botnet.

Simple statistics
Es una visión general de los datos recolectados, mediante el cual se visualiza información sobre los navegadores que presentan el mayor porcentaje de explotación exitosa detallando la cantidad de visitas en cada uno de ellos, cantidad total de visitas y los exploits que posee el paquete. En este caso se trata de una versión actualizada donde se le incorporaron algunos exploits

Advanced statistics
Básicamente posee un nivel más de detalle sobre los sistemas operativos y navegadores afectados, incorporando como dato útil la versión de cada uno de ellos. En este caso, los tres sistemas operativos más comprometidos son Windows XP, Vista y Seven respectivamente, y con un porcentaje mínimo comparado con estos pero mayor a Windows ME, 2000 y 2003, se encuentran las plataformas Linux.

Curiosamente, en cuanto a los navegadores, los tres que cuentan con mayor tasa de vulnerabilidad son Firefox 3.6, InternetExplorer 8 y 7 respectivamente.


 Countries statistics
Información relacionada a los países en los cuales se encuentran los equipos comprometidos. El detalle de esta información está en la cantidad de visitas desde determinado país y la cantidad de exploits que han tenido éxito, también discriminados por países.

Referers statistics
Información de los sitios web de referencia a Phoenix Exploit’s Kit. La característica principal radica en que el patrón seguido por PEK es el referenciamiento desde páginas pornográficas desde las cuales se explota a través del navegador algunos de los exploits pre-compilados en el paquete. Este módulo muestra la lista de páginas, la cantidad de visitas por páginas y la cantidad de exploits que han tenido éxito junto a un promedio expresado en porcentajes.

La lista que presenta la versión empleada para este artículo es muy larga, pero se encuentra completa en el siguiente enlace: PEK v2.1 Referers List.

Upload .exe
Este módulo es el que permite actualizar el código malicioso a diseminar. Generalmente sólo lo cambian cada vez que someten el binario ejecutable a procesos de cifrado del servicio Phoenix Triple System, o cuando los botmaster cambian su estrategia de infección en función de nuevos objetivos para con el malware. Cambio de sistema de afiliados que diseminan su propio malware por ejemplo.

En este caso, PEK es utilizado para propagar una versión del troyano generado con ZeuS:
En el White paper llamado Phoenix Exploit’s Kit. De la mitología a un negocio delictivo pueden obtener mayor información sobre las diferentes versiones de este crimeware.

Información relacionada
Estado del arte en Phoenix Exploit's Kit [White paper]

Campaña de infección a través de Phoenix Exploit’s Pack
Phoenix Exploit's Kit and Pay-per-Install via PC Defender Antivirus
Phoenix Exploit’s Kit. Otra alternativa para el control de botnets



Jorge Mieres
Founder & Director of MalwareIntelligence
Crimeware & Intelligence Analyst Researcher

0 comentarios: