Waledac. Seguimiento detallado de una amenaza latente

Las noticias controversiales de los últimos días en torno al gusano Conficker, han "tapado" bastante las acciones dañinas de otras amenazas que, por su menor cobertura mediática, no han tenido una significativa publicidad ni demanda por parte de los medios de información, o desinformación en algunos casos. Sin embargo, aún así, siguen aumentando su cobertura de infección. Uno de estos casos es Waledac.

Este troyano, cuya campaña de infección comenzó a gestarse a través de un amplio repertorio de amorosas imágenes y, últimamente falsas noticias sobre explosiones, utilizadas como estrategias de Ingeniería Social, sigue teniendo un alto índice de infección a nivel global. En este sentido, muchos esperamos que en cualquier momento, al estilo Nuwar, modifique nuevamente la estrategia de engaño visual.

Sudosecure viene realizando un excelente trabajo rastreando los pasos de Waledac desde su aparición ofreciendo informes actualizados con datos detallados sobre el estado actual del troyano. De este seguimiento podemos desprender información como por ejemplo, el top 10 de los binarios más descargados y las 10 direcciones IP más utilizadas para descargarlos.

Los 10 países que más propagan Waledac y los 10 dominios más utilizados.

Incluso, el número de direcciones IP propagando el troyano en los últimos 30 días.

Claramente se percibe el grado de propagación a nivel global. Y cada vez que veo cosas por el estilo, me pregunto cuál es el nivel de propagación, en este caso, de Waledac a nivel local (Argentina). Esta información también puede ser desprendida de las estadísticas que se encuentran en sudosecure.

Para clarificar un poco la incógnita, he realizado un sencillo gráfico que muestra la relación de dominios, direcciones IP y ubicación desde la cuál se produce la diseminación de Waledac.

Es decir, cada una de las direcciones IP representa un equipo infectado. El gráfico está realizado en base a los primeros 50 dominios que propagan Waledac desde la Argentina.

En algunos casos notarán que una misma dirección IP es utilizada por varios dominios y viceversa, esto es porque Waledac utiliza mecanismos complejos de propagación como lo son las redes Fast-Flux.

Quizás muchos de nosotros nos olvidemos que Waledac transforma los equipos de usuarios desprevenido en zombis para alimentar, aún más, la importante botnet desde la cual, entre otras cosas, distribuye spam de manera distribuida.

Información relacionada
Más Waledac en acción ¿Puedes adivinar cuánto te amo gano?
Waledac más amoroso que nunca
Waledac e Ingeniería Social en San Valentín

# pistus

Ver más

Conficker IV. Dominios relacionados... y controversiales

Luego de publicar Conficker III. Campaña de propagación de falsas herramientas de limpieza, tanto en este mismo blog como en el blog de evilfingers, he recibido algunos correos preguntando por qué había publicado nombres de dominios que no guardan relación alguna con lo que se expresa en el post en cuestión; es decir, con falsas herramientas de limpieza.

Sin embargo, y teniendo en cuenta esta situación, resulta necesario aclarar cómo se ha tejido una gran estrategia propagandista para "aprovechar", de manera positiva en algunos casos y negativa en otros, la gran demanda que atrajo la palabra "conficker" como consecuencia de la gran oleada de supersticiones que rondan en torno al gusano.

¿Qué quiero decir con esto?, la situación hizo que la palabra sea utilizada como campaña para atraer más visitas y más publicidad.

La cuestión es que la campaña tuvo dos vertientes bien diferenciadas. Una dada por quienes se encuentran bajo la bandera de la seguridad, donde, con la intención de generar un efecto "imán" al utilizar la palabra "conficker", algunas compañías han adquirido los dominios que en un primer momento habían sido utilizados con fines maliciosos, para redireccionar hacia la descarga de una herramienta de limpieza legítima o información relacionada para combatir la amenaza que supone el gusano.

Por ejemplo, http://www.remove-conficker.org redirecciona a http://www.microsoft.com/protect/computer/viruses/worms/conficker.mspx, o también http://downadup.org que ahora redirecciona a http://www.bdtools.net.

Por otro lado, quienes se encuentran constantemente pensando estrategias de engaño que permitan aumentar sus ganancias a través de diferentes acciones poco éticas, también vieron en la palabra "conficker" una oportunidad.

En consecuencia, comenzaron a aparecer muchos sitios web que, bajo la promesa de ofrecer información sobre la limpieza de conficker o herramientas gratuitas, utilizan la oportunidad para ganar visitas.

La palabra "conficker" es una de las más buscadas en Internet, gracias a la campaña de propaganda global que los medios de información se encargaron de alimentar, por lo tanto, no resulta para nada extraño encontrarse con acciones de este tipo.

Información relacionada
Conficker III. Campaña de propagación de falsas herramientas de limpieza
Conficker II. Infección distribuida del gusano mediático
Conficker. Cuando lo mediático se hace eco de todos descuidando el problema de fondo

# pistus

Ver más

Conficker III. Campaña de propagación de falsas herramientas de limpieza

La gran repercusión que el gusano conficker tuvo a nivel mundial, hizo que no sólo los medios de comunicación se hagan eco de sus actividades, sino que también, estas mismas repercusiones son utilizadas de manera maliciosa para propagar otros tipos de códigos maliciosos.

Algunos sitios ya dieron cuenta de la existencia de páginas web que hacen referencia sobre supuestas herramientas de limpieza para conficker pero que en lugar de ello descargan algún componente malicioso. Es decir, la promesa de erradicar la amenaza del equipo que prometen muchos de estos sitios es falso. Es simplemente una estrategia de engaño para propagar programas tipo scareware o, en algunos casos, troyanos.

Algunos de los dominios de este estilo son:

http://conficker-cleaner .com
http://confickerc .net
http://conficker .com
http://confickerc .org
http://conficker.co .uk
http://confickercvirus .com
http://confickercvirus .info
http://confickercvirus .net
http://confickercvirus .org
http://conficker .de
http://conficker .info
http://conficker .net
http://conficker .org
http://downadup .com
http://downadup.co .uk
http://downadup .de
http://downadup .info
http://downadup .net
http://downadup .org
http://downadupvirus .com
http://downadupworm .com
http://removeconficker .net
http://removeconficker .org
http://stopconficker .com
http://w32downadupc .com

La mayoría de las compañías antivirus han desarrollado una herramienta de limpieza específica para ayudar a combatir al gusano conficker, y algunas otras organizaciones de seguridad también poseen alternativas que ayudan a detectar la amenaza.

Cada uno de estos sitios representa un potencial peligro de infección, por lo tanto hay que evitarlas y/o filtrarlas.

Información relacionada
Conficker II. Infección distribuida del gusano mediático
Conficker. Cuando lo mediático se hace eco de todos descuidando el problema de fondo

# pistus

Ver más

Conficker II. Infección distribuida del gusano mediático

Pasado el "tan esperado día" en que supuestamente conficker arrasaría con todo, son muchas las reflexiones que quedan pululando por la gran red. Muchas compañías de seguridad y profesionales de la materia que pronosticaban una gran ola maliciosa arrastrada por el gusano mediático, se quedaron sin respuestas al ver que terminaba el día y nada pasaba :-)

Es decir, conficker no "salió" al campo con nada nuevo, siguió su carrera de infección como lo viene haciendo desde un principio aumentando el índice de infección que se tenía hasta el momento; con lo cual no quedó otra que decir "eso no significa que en un futuro no muy lejano conficker salga al campo con un batallón más grande". Esto es lógico, cualquier malware puede manifestarse en cualquier momento vaya uno a saber con qué.

Si bien no se pone en tela de juicio que conficker es un peligroso código malicioso, lo sucedido hasta el momento demuestra la inteligencia de su creador (o sus creadores) en la planificación no sólo de la estrategia de diseminación sino que también en la estrategia de Propaganda, Ingeniería Social y Acción Psicológica que ejerció a través de los medios de comunicación de todo el mundo, tan solo con implantar un rumor.

Tampoco se cuestiona que ha logrado un altísimo índice de infección descubriendo, como lo he comentado en el anterior post, lo inmaduro que todavía se encuentran algunas cuestiones de seguridad, tanto a nivel hogareño como, más preocupante aún, a nivel corporativo.

En relación al nivel de infección de conficker, estaba leyendo un breve y muy interesante informe en Conficker Working Group llamado Infection Distribution, en el cual se muestra a través de mapas, los índices de infección del gusano a nivel global.

Infecciones a nivel mundial
Infecciones en Estados Unidos
Infecciones en Europa
Infecciones en Australia
Infecciones en Indonesia y Malasia

Según Conficker Working Group, cada uno de los mapas fueron generados a partir de todas las infecciones de conficker producidas desde el principio de su existencia, lo que suma aproximadamente un total de 35 millones de IP's.

Si bien los mapas no expresan un número exacto de infecciones, dejan una idea clara de la distribución de infecciones que logró hasta el momento conficker y las zonas más afectadas por el mismo.

Información relacionada
Conficker. Cuando lo mediático se hace eco de todos descuidando el problema de fondo

# pistus

Ver más

Conficker. Cuando lo mediático se hace eco de todos descuidando el problema de fondo

Conficker no es un código malicioso (gusano) diferente a muchos otros que han existido, y que continuarán apareciendo, y que existen en la actualidad; sin embargo, en poco tiempo se llevó la atención de todos los medios de información a nivel mundial, incluso, muchos de ellos, rozando de manera muy fina la línea que divide la seriedad de atender un tema tan preocupante como lo son las infecciones, y el amarillismo del caso, jugando con eso de "si esta en boca de todos vende, sigamos hablando de conficker".

Ya con casi seis meses de existencia, es cierto!! :-), está en boca de todos con eso de la "sorpresa" que tiene preparado para el día de hoy, 1 de Abril.

Si bien es verdad que en poco tiempo conficker logro un alto porcentaje de infección a nivel global, y más preocupante aún a nivel local, también es cierto que simplemente queda reflejada la falta de madurez en torno a la gestión de seguridad.

Muchas e importantes compañías sufrieron las consecuencias, a través de conficker, de no atender la seguridad en su justa medida, mientras que muchas otras, como lo dije en otro blog, ni siquiera sintieron el roce de las instrucciones maliciosas del código de conficker. ¿Por qué?

Quizás una orientación acertada para obtener la respuesta coherente para esta pregunta tan trivial pase de cerca por el SGSI (Sistema de Gestión de Seguridad de la Información). Es decir, si queremos "calidad" en la seguridad, "necesitamos" apoyarnos en un proceso sistemático como el que nos ofrece la ISO 27001.

Pero sin desviarnos demasiado, ni entrar en lo más profundo de la gestión de seguridad, sólo diré que muchos de los problemas que ocasiona conficker, pueden (y pudieron) evitarse simplemente con mantener una adecuada gestión de las actualizaciones de seguridad en plataformas Windows.

La realidad es que conficker, como todo código malicioso, constituye un potencial peligro para cualquier entorno de información, en consecuencia, muchos se encuentran sufriendo enormes dolores de cabeza por "la causa" del gusano. Entonces, ¿cómo atacamos el problema?

No es mi intención hacer una cobertura sobre las acciones, vectores de propagación, etc. de conficker ya que en la red hay mucha información al respecto, como el excelente paper llamado Containing Conficker que forma parte de la serie Know Your Enemy elaborado por la gente de The Honeynet Project, o el escrito por Cert.at llamado Detecting Conficker in your Network.

Pero sí me gustaría facilitar algunas herramientas con las que podemos hacer frente al gusano, ya que en la mayoría de los casos, no todas las compañías AV ofrecen una eliminación completa de la amenaza, sin embargo, la mayoría posee una herramienta de limpieza gratuita que podemos utilizar.

• ESET
• Kaspersky
• F-Secure
• McAfee
• Microsoft
• Sophos
• Symantec
• TrendMicro
• BitDefender
• AhnLab

Del mismo modo, la gente de The Honeynet Project ha publicado unas PoC que consisten en herramientas producto de la investigación que han llevado a cabo en torno a este tema.

• Downatool2. Los nombres de dominio de las diferentes variantes de conficker pueden ser usados para detectar máquinas infectadas dentro de una red.
• Dominios de colisión de conficker C. A diferencia de la primera y segunda generación de variantes de conficker (conficker.A y B) que crean 250 dominios por día para descargar sus actualizaciones, se espera que la tercera generación, cuente con más de 50.000 dominios. Esta es una lista de los dominios que se esperan descarguen conficker durante abril.
• Desinfección de memoria. Identificar conficker se torna complicado debido al nivel de empaquetamiento y cifrado que incorpora, salvo cuando se encuentra en memoria.
  
• Detección de archivos y modificaciones del registro. Aparentemente, los nombres de archivos y los nombres de las claves que crean en el registro las variantes B y C de conficker, no son al azar, sino que se encuentran basadas en el nombre de cada host infectado. Por el contrario, la variante A sí toma nombres al azar.
  
• Simple Conficker Scanner (SCS). Escaner de red para detectar conficker. Requiere la instalación de la librería "Impacket" de python.
• IDS. Dependiendo de los patrones utilizados por las diferentes generaciones de conficker, es posible detectar su presencia a través de reglas.
  

  Conficker A
  

  alert tcp any any -> $HOME_NET 445 (msg:
  "conficker.a shellcode"; content: "|e8 ff ff ff ff c1|^|8d|N|10
  80|1|c4|Af|81|9EPu|f5 ae c6 9d a0|O|85 ea|O|84 c8|O|84 d8|O|c4|O|9c
  cc|IrX|c4 c4 c4|,|ed c4 c4 c4 94|&<O8|92|\;|d3|WG|02 c3|,|dc c4
  c4 c4 f7 16 96 96|O|08 a2 03 c5 bc ea 95|\;|b3 c0 96 96 95 92
  96|\;|f3|\;|24|i| 95 92|QO|8f f8|O|88 cf bc c7 0f f7|2I|d0|w|c7 95
  e4|O|d6 c7 17 f7 04 05 04 c3 f6 c6 86|D|fe c4 b1|1|ff 01 b0 c2 82 ff b5
  dc b6 1b|O|95 e0 c7 17 cb|s|d0 b6|O|85 d8 c7 07|O|c0|T|c7 07 9a 9d 07
  a4|fN|b2 e2|Dh|0c b1 b6 a8 a9 ab aa c4|]|e7 99 1d ac b0 b0 b4 fe eb
  eb|"; sid: 2000001; rev: 1;)

  Conficker B
  

  alert tcp any any -> $HOME_NET 445 (msg: "conficker.b shellcode";
  content: "|e8 ff ff ff ff c2|_|8d|O|10 80|1|c4|Af|81|9MSu|f5|8|ae c6 9d
  a0|O|85 ea|O|84 c8|O|84 d8|O|c4|O|9c cc|Ise|c4 c4 c4|,|ed c4 c4 c4
  94|&<O8|92|\;|d3|WG|02 c3|,|dc c4 c4 c4 f7 16 96 96|O|08 a2 03
  c5 bc ea 95|\;|b3 c0 96 96 95 92 96|\;|f3|\;|24 |i|95 92|QO|8f f8|O|88
  cf bc c7 0f f7|2I|d0|w|c7 95 e4|O|d6 c7 17 cb c4 04 cb|{|04 05 04 c3 f6
  c6 86|D|fe c4 b1|1|ff 01 b0 c2 82 ff b5 dc b6 1f|O|95 e0 c7 17 cb|s|d0
  b6|O|85 d8 c7 07|O|c0|T|c7 07 9a 9d 07 a4|fN|b2 e2|Dh|0c b1 b6 a8 a9 ab
  aa c4|]|e7 99 1d ac b0 b0 b4 fe eb eb|"; sid: 2000002; rev: 1;)

• Nonficker Vaxination Tool. Conficker utiliza mutex para asegurarse que en el equipo infectado se encuentra su más reciente versión. Este método puede ser empleado para prevenir potenciales infecciones simulando un servicio levantado a través de una dll.

Incluso, contamos con una nueva versión de nmap (4.85Beta5) que incorpora las rutinas de detección de conficker, disponible para diferentes plataformas: Windows, OSX, Linux.

Por otro lado, es recomendable, ya que no está de más, realizar breves auditorias con el ánimo de verificar el nivel de seguridad vulnerabilidad de nuestros entornos. Podemos recurrir, por ejemplo, a herramientas como MBSA de Microsoft o CSI/PSI de secunia.

Por último, no hay que olvidarse de instalar las actualizaciones críticas de seguridad que solucionan las vulnerabilidades explotadas por conficker: MS08-067, MS08-068 y MS09-001.

# pistus

Ver más