MalwareIntelligence es un sitio dedicado a la investigación sobre todas las cuestiones relacionadas con criminología informática, seguridad de la información en general y seguridad antimalware en particular, siempre desde una perspectiva estrechamente relacionado con el campo de inteligencia.

14.10.09

DDBot. Más gestión de botnets vía web

Si bien estamos acostumbrados a que el desarrollo de aplicaciones destinadas al control y administración de botnets tengan su punto de partida en Europa del Este (sobre todo en Rusia), el negocio que representan las redes zombis para muchos personajes que mueven cotidianamente sus ejes, no tiene frontera ni limitaciones.

En consecuencia, comienzan a emerger desde otros lugares del planeta diferentes alternativas cuyos ejes principales también están destinados a facilitar las maniobras delictivas de los botmasters. Ya habíamos dado cuenta de botnets, en este caso, Open Source escritas en Perl y ahora le toca el turno a DDBot (Dark Dimension Botnet).

Bajo el slogan "botmasters your dreams come true!", DDBot promete funcionalidades diferenciadoras con respecto a sus pares, y si bien tiene una manera más "elegante" de presentar la información, no cambia en cuanto a sus características y a las alternativas de ataque incorporadas en cualquier otra aplicación de este estilo.

Entre sus características, esta aplicación crimeware se compone de siete módulos que están disponibles en función del dinero que se invierta en su compra. Estos módulos son:
  • Webpanel/IRC. Es el framework que permite la gestión de las zombis y C&C a través de comando IRC. Esto permite controlar las zombis de forma convencional a través de canales IRC o utilizar cualquier navegador para acceder al Panel Web de control desde el cual también se envían comandos IRC pero a través del protocolo http. Por defecto se conecta al ircd.
  • Load & Execute. Es el modulo que permite cargar y ejecutar los binarios que se propagen a través del Panel Web.
  • Passwords Stealer. Es el modulo encargado de almacenar las contraseñas. Posse rutinas que le permiten obtener este tipo de información privada de los usuarios que hacen uso de las siguientes aplicaciones: MSN, Outlook, Filezilla, Firefox, Windows.PStore, Trillian, Icq6 y NoIp.Duk. Las rutinas son actualizadas periódicamente con lo cual se estima que se irán agregando posibilidades de obtener contraseñas de otros servicios.
  • DDos. El modulo de ataque de Denegación de Servicio Distribuida. El ataque puede ser configurado a través del Panel Web a través de comandos IRC.
  • reverseSocks. Incorpora la posibilidad de poder ejecutar todas sus funcionalidades, incluso cuando los equipos se encuentran detrás de un router o protegido con firewall.
  • SpamMail. Este módulo incorpora un SMTP que le permite a los spammers operar la botnet con este fin particular. Los correos son personalizados desde el Panel Web de forma muy sencilla.
  • Statistics. Es el modulo que permite analizar información estadística (hacer inteligencia) sobre las zombis activas, los países en los que se encuentran y demás, representando la información de una forma poco habitual.
Si bien todas las funcionalidades pretenden ofrecer un "producto" lo más automático posible, ya que no necesita demasiadas configuraciones ni demasiados conocimientos para comenzar a operarla; por ejemplo, se puede enviar spam tan solo agregando dos parámetros (básicamente receptor y mensaje), constituye una buena oferta para los script kiddies que se aventuran en la carrera de ciberdelincuentes profesionales.

En cuanto a los costos con los que DDBot se ha insertado en el mercado de crimeware, se encuentran tres paquetes cuyos precios varían según el cual se trate. El primero de los paquetes posee los módulos de ataque DDoS, Password Stealer, Load & Execute, Statistics y el Panel Web. Su valor es de 100 Euros.

La segunda opción, además de las opciones del primer paquete, incorpora el módulo reverseSocks y su valor es de 150 Euros. El tercer paquete, con un costo de 250 Euros, incorpora además el módulo que permite el envío de spam (SpamMail).

El ciclo de comercialización concluye cuando el "comprador" deposita el dinero a través de WebMoney o paysafecard.

Por otro lado, si bien no se conoce fehacientemente el origen de desarrollo de este crimeware, hay indicios que hacen suponer que también tiene su origen en Rusia.

Como verán, el comercio de crimeware no para, y seguramente durante el 2010 sigan apareciendo más alternativas que, obviamente, aumentarán su grado de complejidad a medida que las investigaciones revelen a todas luces sus funcionalidades, procesos de comercialización y detección de sus mecanismos maliciosos.

Información relacionada
Phoenix Exploit’s Kit. Otra alternativa para el control de botnets
iNF`[LOADER]. Control de botnets, marihuana y propagación de malware
Liberty Exploit System. Otra alternativa crimeware para el control de botnets
Eleonore Exploits Pack. Nuevo crimeware In-the-Wild

Jorge Mieres

Ver más

1 comentarios

13.10.09

Una recorrida por los últimos scareware XVI

Advanced Virus Remover
MD5: b3f4e680db0b4093737093afc5bd7ddd
IP: 92.241.177.207
Russian Federation Russian Federation Netplace
Dominios asociados
1-vscodec-pro.com
10-open-davinci.com
advanced-virus-remover-2009.com
advanced-virus-remover2009.com
advanced-virusremover2009.com
advancedvirus-remover-2009.com
antivirus-2009-ppro.com
antivirus-scan-2009.com
best-scanpc.com
bestscanpc.com
bestscanpc.info
bestscanpc.net
blue-xxx-tube.com
downloadavr3.com
downloadavr4.com
onlinescanxppro.com
testavrdown.com
trucountme.com
vscodec-pro.com

Result: 21/41 (51.22%)


securitycentr.com (195.24.78.186), webscannertools.com (212.117.165.126) - Luxembourg Luxembourg Root
antivir-freescan.com/online (213.163.64.81) - Netherlands Rotterdam Interactive 3d
computervirusscanner31.com/scan1 (213.163.89.60) - Netherlands Rotterdam Telos Solutions Ltd
benharpergals.com/?pid=162&sid=c3d08e (89.248.174.61) - Netherlands Ecatel Dedicated & Resellers
iniegox.cn/installer.1.exe (91.213.29.250) - Russian Federation Russian Federation Info-media Ltd
avidentify.com (91.206.201.8) - Ukraine Ukraine Pe Sergey Demin
scan.helpyourpcsecuritynow.com/download/smrtprt/install.php (195.95.151.185) - Ukraine Kiev Limited Corp
goxtrascan.com (91.212.107.103) - Cyprus Cyprus Nicosia Riccom Ltd
virushooker.com (206.53.61.73) - Canada Canada Thornhill Rcp.net
fastscansearch.net (64.86.16.101), globalscansearch.com (64.86.16.130), totalscansearch.com (64.86.16.100), totalscansearch.net (64.86.16.124) - Canada Brampton Velcom
securitycodereviews.com/install/ws.exe, bestwebsitesecurity.com (62.90.136.237) - Israel Israel Haifa Barak I.t.c
weedruk.com/download (91.212.127.132) - United Kingdom Telos Solutions Ltd
mycompscanner42.com (206.217.201.240), myvirusscanner2.com (206.217.201.136) - United States Athens
myvirusscanner25.com/2 (69.4.230.204) - United States Chicago Hosting Services Inc
fp.outerinfo.com/dispatcher.php, outerinfo.com (63.251.135.18) - United States Cambridge Clickspring Llc
block-spyware.co.cc/htm6.exe (78.46.129.170) - Germany Gunzenhausen Hetzner
safefighter.com (83.233.30.66) - Sweden Sweden Stockholm Serverconnect I Norrland
keymydomains.com (193.169.12.26) - Belize Belize Financial Company Titan Ltd
trustsoldier.com (212.175.87.195) - Turkey Turkey Ankara Netfactor Telekom Ve Teknoloji Hiz.as

Perfect Defender 2009
IP: 206.161.120.40
United States United States Herndon Beyond The Network America Inc
Dominios asociados
agelesscommunity.com, air-titaniumusa.com, alcohol-treatmentcenter.com, antigreen.org, arkansasrobotics.com, barry-miller.com, brianperez.com, cocainedrugtreatment.com, combat-camera.com, pcfender.com, pcfsupport.com

PC MightyMax
MD5: e630ee28e264d060562cb567e7fa5ed0
IP: 208.38.128.164
United States United States Valrico Sonbry Marking International
Dominios asociados
pc-mm.com
pcmightymax.net
dllfix.net
pc-test.com
pcmightymax.net
Result: 1/41 (2.44%)

Nortel Antivirus
IP: 174.142.96.6
Canada Canada Montreal Iweb Technologies Inc
Dominios asociados
nortel-antivirus-pro.com
nortel2010.com




Screen-Spy
MD5: 21b5e0a17c057a281b6e7a90c3f8ce7a
IP: 208.109.106.46
United States United States Scottsdale Godaddy.com Inc
Dominios asociados
logserver39.com, acespy.com, pchealthoptimizer.com, retinaxstudios.com, screen-spy.com, loanmodcrm.org
Result: 17/41 (41.46%)

SaferScan
MD5: cb9022235cc4ae3adc9f54cd49b81bf5
IP: 66.152.93.119
Canada Canada Integrated Search Technologies
Dominios asociados
activexcash.net, instaldownload.com, installcash.com, power-scan.com, safer-scan.com, sexsearchbar.com, toolbarcash.com,
unlimitedsongs.net, xxxtoolbar.com

Result: 23/41 (56.10%)

Información relacionada
Una recorrida por los últimos scareware XV
Una recorrida por los últimos scareware XIV
Una recorrida por los últimos scareware XIII
Una recorrida por los últimos scareware XII
Una recorrida por los últimos scareware XI
Una recorrida por los últimos scareware X
Una recorrida por los últimos scareware IX
Una recorrida por los últimos scareware VIII
Una recorrida por los últimos scareware VII
Una recorrida por los últimos scareware VI
Una recorrida por los últimos scareware V
Una recorrida por los últimos scareware IV
Una recorrida por los últimos scareware III
Una recorrida por los últimos scareware II
Una recorrida por los últimos scareware I

Jorge Mieres

Ver más

0 comentarios

8.10.09

Nivel de (in)madurez en materia de prevención

Hace unos días me llegó un correo electrónico (no llegó como spam) que me llamó poderosamente la atención, por lo cual me interesó saber su origen. A continuación pueden ver una captura del correo.

Se trata de un mensaje falso enviado de manera intencional a mi dirección de correo. Lo primero que se me cruzó en la mente al verlo fue, por un lado, el recuerdo de los viejos "xploits" que creía, erróneamente, desaparecidos por el sólo hecho de subestimarlos debido a su sencillez y su condición muy burda para intentar engañar a los usuarios; por el otro, las preguntas… ¿serán efectivos en la actualidad?, ¿cuál es el nivel de prevención de los usuarios frente a este tipo de engaños?
La cuestión es que también quería conocer su origen. Fue así que llegué hasta una página web que ofrece el "servicio", precisamente, de envío de este tipo de engaños con varias alternativas en cuanto a las estrategias empleadas. Y claro… en realidad, no es que los "xploits" dejaron de existir sino que cambiaron de nomenclatura, ya que esto no es otra cosa que Phishing.

Sin embargo, antes de abordar con mayor detalle algunas características de este sitio, me gustaría compartir algunos de los argumentos manifestados por el autor del mismo a través de las "condiciones de uso". Lo primero que podemos leer es la bienvenido…

"Te interesaría descubrir las contraseñas de amigos/as, novios/as, jefes/as, enemigos/as de quien tú quieras? Sabias que obteniendo la contraseña de tu Victima podrías conseguir muchísimas cosas como datos personales, datos de acceso a sitios personales e infinidad de información."

Este tipo de actividades esta penada en la mayoría de los países ya que el correo presenta el carácter de privado… ¿apología al delito? Además… alguien quiere acceder a mi cuenta de correo :)

Luego sigue con algunas cosas graciosas curiosas que comparto… "Toda la información aquí expuesta es para uso educativo y/o científico."

¿Uso científico?... sin palabras...

"Nuestro software no se diseña para ser utilizado para los propósitos malévolos, el producto fue pensado para los adultos responsables, no cualquier persona bajo edad de 18 años podrá utilizar nuestros programas."

Sin embargo, al acceder al sitio no se despliega ninguna advertencia que manifieste que solo pueden acceder al sitio los mayores de 18 años…

"Los programas espías fueron creados como solución para la supervisión y la vigilancia alejadas de la computadora.”

Desde la perspectiva en la que seguridad de la información analiza estos aspectos, no es más que una acción enmarcada bajo la figura de violación de la privacidad. Hay alternativas menos intrusivas y agresivas para los propósitos de los padres que desean "monitorear" ciertas actividades de sus hijos sin llegar a un estado abusivo. En este sentido considero que la mejor solución no sirve de nada si no está acompañada de educación en cuanto a los peligros que existen en Internet. La cuestión no es espiar a nuestros hijos…

Dejando de lado las cuestiones superficiales de este mecanismo de engaño, el dominio se encuentra alojado en Hosting Solutions International Inc, ubicado en EEUU bajo la dirección IP 69.64.58.50. Al menos tres dominios más se encuentran en esta dirección y todas redireccionan a la misma página.

Cuando se accede a este "servicio", nos encontramos con un menú mediante el cual se gestionan las maniobras de engaño, permitiendo enviar correos electrónicos con mensajes falsos a los principales servicios (reales) de webmail y dos de las más populares redes sociales. Incluso, es posible personalizar los mensajes.

El procedimiento, luego de seleccionar la opción del servicio que se utilizará para darle un nivel coherente de confianza, es tan sencillo como seleccionar una opción entre varias. A modo de ejemplo, veamos una captura de una cuenta de Gmail bombardeada con un ejemplo de cada uno.

Todos ellos contienen en el cuerpo del mensaje, enlaces que direccionan a una página falsa, en este caso de Gmail, que solicita un proceso de autenticación que es parte del engaño. La página es una clonación de la real y lo que busca es robar los datos de autenticación del usuario para ese servicio de webmail. Pero en función de esto, la cuestión es… ¿cómo darse cuenta que es falsa?

Principalmente, chequeando hacia dónde redireccionan los enlaces que se encuentran en el mensaje. Con el solo hecho de pasar el cursor sobre el vínculo, en la barra de tareas aparece la dirección real.

Igualmente, hay que chequear la URL. En este caso, la dirección falsa comienza con http://login.live.1d8gfh35f9h6438d2g6.tumsg.com/accounts/ServiceLogin.php?service...

Mientras que la real comienzo con
https://www.google.com/accounts/ServiceLogin?service...

Además de ser completamente diferente, la falsa no posee el protocolo seguro (https) característico de todos los sitios que requieren autenticación vía web. Si bien este aspecto en particular no garantiza seguridad plena, es un buen hábito chequear su existencia.

Sin embargo, supongamos que el ataque se dirige a un usuario de Hotmail. La dirección real de este es la siguiente:

http://login.live.com/login.srf?wa=wsignin1.0&rpsnv=11&ct=1255052408&rver=6.0.5285.0&wp=MBI&wreply=http:%2F%2Fmail.live.com%2Fdefault.aspx&lc=3082&id=64855&mkt=es-es

En este caso no nos encontramos con "https" y la dirección falsa es muy similar a la real, con lo cual, lo más probable es que un usuario que no entiende mucho del tema, caída en la trampa sin demasiado esfuerzo, sino pregunten… ¿cuántos usuario verifican la dirección?

Ahora, tratemos de encontrar alguna respuesta para las preguntas líneas arriba comentadas (¿serán efectivos en la actualidad?, ¿cuál es el nivel de prevención de los usuarios frente a este tipo de engaños?)

Para obtenerlas se realizó una prueba que consistió básicamente en el envío de correos con mensajes falsos empleando los "servicios" ofrecido por este sitio web, obviamente bajo un estricto sentido ético ya que la intención es sólo investigativa. Además, a menos que se pague un costo mínimo de USD 15, no es posible acceder a las contraseñas.

Lo que deja en evidencia el negocio que se esconde detrás de este sistema de engaño. Además que al mismo tiempo, sus creadores se hacen de una importante base de datos que hasta el momento cuenta con más de 95.000 registros, donde cada uno de esos registros es una víctima.

A nuestros efectos, obtener un dato estadístico del nivel de maduración en cuanto al sentido de prevención en los usuarios, no necesitamos ver contraseñas sino saber cuantos usuarios confian en el mensaje falso.

La muestra consistió en 100 direcciones a las cuales se envió el mismo mensaje que había llegado a mi dirección de correo. De un día al otro, es decir, en menos de 24 horas, de los cien correos enviados, estos fueron los resultados:

Mensajes enviados: 100
Usuario que cayeron en la trampa: 12

Como vemos, un poquito más del 10% de los usuarios que recibieron este correo con el mensaje lo han abierto, y no solo eso, sino que también han confiado en él ofreciendo, sin saberlo, los datos de sus credenciales de acceso a sus cuentas de correo electrónico.

En consecuencia, los ataques triviales de este estilo son más comunes de lo que se cree y cuentan con un nivel de efectividad preocupante, pero es más preocupante aún saber, en cierta forma, que el nivel de madurez en materia de prevención sigue siendo escaso ya que si se potencian estos valores en función de la cantidad de correos de este tipo que cualquier spammer podría enviar por día, la cifra final de víctimas es muy alta.

Información relacionada
Estado de la seguridad según Microsoft
Phishing y "cuentos" en navidad
Phishing para American Express y consejos

Jorge Mieres

Ver más

1 comentarios

4.10.09

Automatización en la creación de exploits

En la mayoría de los casos, una de las piezas más comunes que se utilizan en cualquier ataque son los exploits, y en el mundo de los códigos maliciosos también. Todos los ataques utilizando malware y que se llevan a cabo aprovechando la infraestructura que ofrece Internet, involucran como componente esencial el aprovechamiento de vulnerabilidades.

Independientemente de las vulnerabilidades públicas que día a día aparecen (y sin incluir las del tipo 0-Day) las más relevantes, por ser las más explotadas, son las que aprovechan debilidades en aplicaciones diseñadas para visualizar archivos .pdf, .swf y, por supuesto, las de Windows.

En este sentido, el hecho de que estén de "moda" es un atributo que creo, se basa principalmente en la prematura conciencia sobre los riesgos de seguridad que todavía pareceríamos tener. Que aún hoy se estén explotando vulnerabilidades solucionadas hace más de tres años es la evidencia más clara; y que además, conforman una de las estrategias fundamentales que utilizan los botmasters para reclutar zombis a gran escala.

Incluso, en la actualidad, ya nadie se sorprende de que las aplicaciones web diseñadas para controlar y administrar botnets a través del protocolo http, se vendan con módulos de exploits pre-configurados, como en el caso de YES Exploit System o Liberty Exploit System, entre tantas otras.

Por otro lado, el negocio del crimeware busca constantemente diseñar "recursos" automatizados que permitan optimizar sus "servicios" y comienzan a aparecer en el mercado clandestino, recursos pensados no solo para automatizar el desarrollo de amenazas sino que también para hacer de esas amenazas lo más complejas posibles.

Cifrado de malware, técnicas anti-debugger, técnicas anti-analisis como la detección de entornos controlados (VirtualBox, VMWare, Virtual PC, SandBox, etc.) y la automatización en la creación de exploits son pruebas fieles que a granel existen en el mercado clandestino de crimeware.

Este último punto en particular, la producción automatizada de exploits, ha generado importantes problemas en los últimos años. Sin irnos demasiado lejos, recordemos el grave problema de seguridad que representó conficker a finales del año pasado al propagarse a través de una vulnerabilidad en la familia de sistemas operativos de Microsoft. Sin embargo, su origen estuvo marcado antes de su aparición.

El proceso de explotación se generó en base a una vulnerabilidad critica sobre el servicio RPC publicada el 23 de octubre de 2008 (MS08-067), que forzó a Microsoft ha lanzar el parche rompiendo su ciclo habitual (el segundo martes de cada mes). Inmediatamente después comenzó a ser explotada por el troyano Gimmiv y la vulnerabilidad aprovechada por un exploit creado por "ph4nt0m".

Desde allí, la vulnerabilidad fue aprovechada por varios códigos maliciosos. En noviembre, aparece una aplicación que permite automatizar el proceso de creación de exploits para esta debilidad de seguridad, y que además incorpora un escáner de puertos cuyo objetivo es encontrar equipos vulnerables. La aplicación tiene su origen en China.

Un dato curioso es que la versión original de este programa no contiene "sorpresas". Sin embargo, versiones posteriores manipuladas de forma intencionalmente maliciosa ofician a modo de "trampa cazabobo" incorporando un backdoor que se instala de forma silenciosa en el equipo de quien pretende utilizar la aplicación. Es decir, cazador cazado...

También durante noviembre de 2008 aparece la primera versión de conficker, un gusano que de manera efectiva explota esta vulnerabilidad provocando un gran malestar en muchas compañías que sufrieron sus consecuencias en sus redes, y sin lugar a dudas, uno de los códigos maliciosos más mediáticos de la historia.

Durante este año 2009, se conoce otra vulnerabilidad (MS09-002), pero esta vez en Internet Explorer 7, que permite la ejecución de código al momento de acceder a una página web, y comienza a ser incorporada en las aplicaciones web para el control y administración de botnets, explotado los equipos a través de archivos pdf, archivos .doc, ataques Drive-by-Download y ataques Multi-Stage.

Entre ellas, Phoenix Exploit’s Kit, Fragus, Liberty Exploit System, Eleonore Exploits Pack, Unique Sploits Pack, entre otros.

Pero también aparece una herramienta que permite explotar la vulnerabilidad a través de un proceso de creación de exploits específicos para la misma, que comienza a circular por foros de origen Israelí.

El programa genera un script ofuscado en JS que esconde el exploit.

De esta forma, se propaga el exploit a través de páginas web que explotan en los sistemas Windows por medio del navegador IE7 vulnerable.

Estos exploits son utilizados activamente por los ciberdelincuentes para iniciar los procesos de diseminación e infección, y las aplicaciones que lo generan de forma automática se encuentran In-the-Wild, con el agravente de que su desarrollo no se encuentra limitado a profundos conocimientos de programación.

Como podemos deducir, la gestión e implementación de actualizaciones de seguridad, tanto de los sistemas operativos como de las aplicaciones, no posee una fundamentación trivial, sino que es un aspecto muy importante para mantener la salud de los equipos.

Información relacionada
Conficker IV. Dominios relacionados... y controversiales
Conficker III. Campaña de propagación de falsas herramientas de limpieza
Conficker II. Infección distribuida del gusano mediático
Conficker. Cuando lo mediático se hace eco (...) problema de fondo
Anatomía del exploit MS08-078 by FireEye

Jorge Mieres

Ver más

0 comentarios

1.10.09

Rompiendo el esquema convencional de infección

Luego de varios años de estar en el ámbito de seguridad de la información, y en particular seguridad antivirus, uno tiene la suerte de escuchar comentarios que intentando justificar lo injustificable se asemejan más a mitos que a verdades.

Hace poco tiempo un periodista nos preguntaba cuál es nuestra sensación frente a usuarios medianamente avanzados que aseguran no necesitar software de seguridad antivirus porque saben lo que realmente tienen en su equipo.

Si bien esto puede ser cierto, creo que no debemos pecar de arrogantes. ¿Qué quiero decir con esto? Muchas veces confiamos en saber lo que hacemos y luego nos encontramos con que aquello que parecía trivial resulto ser muy peligroso. Obviamente el caso utópico seria el de un usuario conciente de los peligros que existen en la nube (esta palabra tan de moda para referirse a Internet) y obre en consecuencia a través de mecanismos de prevención.

Sin embargo, muchas veces, esos aspectos triviales nos llevan a crear en nuestra mente una falsa sensación de seguridad, creyendo que la tenemos cuando en realidad no. Trasladado este aspecto al mundo del malware, es más habitual de lo que se cree.

Repasemos en primera instancia la estructura de un código malicioso convencional. Podríamos decir que se encuentra, básicamente, compuesto de tres módulos: de daño, de auto-defensa y de comunicación.

El módulo de daño, está diseñado para ejecutar las instrucciones dañinas como la eliminación de información, el cifrado de archivos, el envío de spam, de mensajes a los contactos del MSN, de ejecutar ataques DDoS, keylogging, entre muchas cosas más.

El módulo de auto-defensa se encargará de controlar aquellos aspectos que atenten contra sus instrucciones maliciosas, por ejemplo, desactivando los programas de seguridad (firewall, antivirus); bloqueando el acceso a funcionalidades nativas del sistema operativo (registro, CMD, Administrador de tareas), incluso bloqueando también el acceso a las páginas web de los antivirus para evitar su actualización. En este módulo también se incluyen técnicas más avanzadas como rootkit, detección de máquinas virtuales, anti-debugging, entre otros.

En cuanto al módulo de comunicación, que no necesariamente tiene que estar presente pero que es característico del malware actual, se encargará de establecer una comunicación contra un servidor malicioso (que puede ser una zombi) para descargar otros códigos maliciosos, actualizar su propio código, continuar con su ciclo de propagación, manipular la conexión de red (DNS, SMTP, proxys HTTP), cifrar la información robada, y más dependiendo del tipo de malware.

Todas estas actividades permiten evidenciar la presencia de malware en el equipo, y de ellas se aferran las soluciones antivirus durante el proceso de detección. Sin embargo… ¿qué pasa cuando este esquema se rompe? Esto sucede en el siguiente ejemplo:

Tenemos un archivo que se propaga a través de correo electrónico simulando ser un video, su nombre es videotestimonio.mpeg.exe (Ingeniería Social aplicada al archivo). El usuario ejecuta ese archivo e inmediatamente se ejecuta una instancia del navegador que muestra un video alojado en YouTube que hace referencia a lo que alude el nombre del archivo.

Es decir, no quedan procesos residentes en memoria, no se manipula ninguna clave del registro, la PC no presenta síntomas extraños y el usuario visualizó lo que se le prometió. Sin embargo, en segundo plano pasó algo.

El código malicioso agregó información en el archivo host llevando a cabo un ataque de pharming local, destinado a realizar ataques de phishing contra la víctima. En este caso, el malware no posee módulos de comunicación, ni de auto-defensa, sólo un módulo de ataque que lo único que hace es agregar información en el host; rompiendo así el esquema convencional de infección. En base a esto… ¿la máquina está infectada? Sí ¿el antivirus lo detectará? Lo más probable es que no porque el archivo host no es un malware.

En cuanto al desarrollo del código malicioso, también es trivial. Simplemente se compone de un archivo .bat (video.bat) que posee las instrucciones necesarias para agregar información en el archivo host, comprimido con WinRAR generando un archivo SFX (videotestimonio.mpeg.exe) con dos líneas de código que ejecutan el archivo .bat.

Independientemente de lo trivial del malware. Los efectos que se pueden lograr a través de esta técnica son muy peligrosos. Además, la tasa de detección es muy baja. Sólo el 12/41 (29.27%).

Evidentemente, la confianza no es tan saludable, sobre todo en un ambiente tan ambiguo como lo es Internet.

Información relacionada
Propagación automática de códigos maliciosos vía http
Simbiosis del malware actual. Koobface
Análisis esquemático de un ataque de malware basado en web

Pistus

Ver más

3 comentarios

Suscribirse a: Entradas (Atom)