MalwareIntelligence es un sitio dedicado a la investigación sobre todas las cuestiones relacionadas con criminología informática, seguridad de la información en general y seguridad antimalware en particular, siempre desde una perspectiva estrechamente relacionado con el campo de inteligencia.

15.12.09

RussKill. Aplicación para realizar ataques de DoS

Conceptualmente hablando, un ataque de DoS (Denegación de servicio) básicamente consiste en bombardear con solicitudes un servicio o recurso informático a fin de saturarlo y que el sistema no pueda procesar más información, de esta manera esos recursos y servicios quedan inaccesibles "denegando" el acceso a cualquiera que los solicite.


Desde el punto de vista de seguridad informática, los ataques de Denegación de Servicio constituyen una problemática importante ya que muchas botnets se encuentran diseñadas para automatizar estos ataques, sobre todo las de propósito particular, aprovechando la capacidad computacional que ofrece la red de zombis. En este caso, el ataque es denominado Denegación de Servicio Distribuido (DDoS).

Por otro lado, bajo el marco del concepto de ciberguerra (Cyber-Warfare), este tipo de ataque forma parte del armamento "bélico" virtual a través del cual las hipótesis de conflictos lo presentan entre sus requerimientos para neutralizar servicios vitales de un Estado.

RussKill es una aplicación web que se cataloga dentro de estas actividades y que a pesar de ser sumamente sencilla, tanto en las funcionalidades como en el modo de uso, representa un ataque que puede ser sumamente efectivo y difícil de detectar.

Como es habitual en el crimeware actual, la aplicación web es de origen ruso y presenta una serie de campos con información sobre cómo y contra quién llevar a cabo el ataque, permitiendo configurar la secuencia de paquetes, es decir, el flujo (Flows) en cantidad. La opción "Hide url"es una medida auto-defensiva que pretende evitar que el servidor sea detectado.

Si bien existen varios métodos de ataques de DoS, RussKill hace uso de los ataques DoS del tipo HTTP-flood y SYN-flood. En ambos casos se busca inundar los servidores víctimas a través de peticiones http y paquetes con direcciones IP de origen falsas respectivamente.

Como lo he mencionado en un principio, los ataques de denegación de servicio son un peligro latente para cualquier sistema de información, independientemente de la plataforma que soporte los servicios, y este tipo de aplicaciones, en este caso web, demuestra la facilidad con la que un ataque de estas características puede ejecutarse.

Información relacionada
DDoS Botnet. Nuevo crimeware de propósito particular

Jorge Mieres

Ver más

0 comentarios

9.12.09

Fusión. Un concepto adoptado por el crimeware actual II

Cada vez es más habitual que en los procesos de investigación nos encontremos con que en un mismo servidor se alojan, "operando" de forma activa, varios crimeware del tipo Exploit Pack desde los cuales controlan y administran las zombis que forman parte de su negocio fraudulento.

Hace un tiempo comentábamos sobre ZeuS y ElFiesta conviviendo en un mismo entorno, y cumpliendo los mismos objetivos.

En esta oportunidad, la fusión se encuentra entre Fragus (un crimeware cada vez más conocido) y ElFiesta. Ambos paquetes se encuentran alojados en el mismo servidor. Sin embargo, aunque cabe la posibilidad, esto no significa que estén siendo operados por el mismo botmaster.

El dominio en el cual se encuentran alojados es el siguiente:

En el caso de Fragus se encuentra en http://hotgirldream.net/far/ y en el caso de ElFiesta, se aloja en otra carpeta, la ruta es http://hotgirldream.net/content/. Como podemos apreciar, comparten el servidor, cuya dirección IP es 210.51.166.233, localizado en Yizhuang Idc Of China Netcom, Beijing.

Esto demuestra que las oportunidades de "negocio" no pasan solamente por la venta de crimeware, malware, exploit pack y demás actividades fraudulentas, sino que otra de las alternativas es ofrecer la infraestructura que permita, en función de su capacidad computacional, optimizar los procesos delictivos.

Información relacionada
Fusión. Un concepto adoptado por el crimeware actual
Fragus. Nueva botnet framework In-the-Wild
ZeuS Botnet y su poder de reclutamiento zombi
ElFiesta. Reclutamiento zombi a través de múltiples amenazas

Jorge Mieres

Ver más

0 comentarios

5.12.09

Campaña de desinformación para propagar malware

La desinformación consiste básicamente en falsear o manipular la información de manera tal que quien la recibe termine creyendo en algo completamente falso, y de lo cual el originador obtiene alguna ventaja. Por ejemplo, el rumor es una herramienta empleada en las campañas de desinformación. A su vez, la desinformación es una herramienta que permite obtener información útil en tiempo y forma (Inteligencia).

Trasladado este concepto al ámbito informático, no es ni más ni menos que una metodología de Ingeniería Social que cada vez más utilizan los desarrolladores de códigos maliciosos para intentar atraer la confianza de los usuarios y aprovecharse así de esa condición para ejecutar el proceso de infección.

Habitualmente lo vemos en las páginas que diseminan malware del tipo scareware (también conocido como rogue), donde encontramos imágenes de certificaciones como Virus Bulletin o AV-Comparatives, o algunas otras como PC Magazine o PC World que si bien no cumplen la misma función que las anteriormente ya que son revistas conocidas que gozan de "confianza" entre el público.

Otra alternativa centra sus esfuerzos en tratar de demostrar que esa "solución" (scareware) es la mejor. Esto se hace a través de falsas comparativas donde se pone en tela de juicio los niveles de detección de compañías antivirus ampliamente conocidas en el mercado.

Ambas estrategias de engaño apelan a lo que se conoce bajo el concepto de autoridad que representan estas certificaciones y publicaciones en el campo "real" de la seguridad antivirus y de la tecnología informática respectivamente.

En este sentido, recientemente he detectado otra metodología de engaño que también se encuentra orientada a emitir desinformación con el objetivo de incentivar a los usuarios a creer en la información y actuar en consecuencia.

Se trata de simular que el archivo ofrecido se encuentra libre de códigos maliciosos, apelando también a la autoridad, pero en este caso, de organizaciones que permiten verificar la integridad de los archivos a través de un proceso online que somete los archivos a las soluciones antivirus con mayor confianza en el mercado. Por ejemplo, servicios como VirusTotal o VirScan. A continuación vemos una de las capturas.

Los dominios involucrados se encuentran alojados en la IP 213.5.64.20, ubicada en los Países Bajos (Netherlands Altushost Inc) en pero no todos diseminan la amenaza. Entre ellos:

safehostingsolutions.com/download.html
fileaddiction.com/download.html
freedatatransfer.com/download.html
freedownloadthanks.com/download.html
megasecuredownload.com/download.html
qualityupload.com/download.html

Los archivos que se descargan tienen los siguientes nombres:
  • Hpack Generator.exe (91b31ea8c551397cd5b1d38ec1aa98dd) - Result: 8/40 (20.00%)
  • UAV Generator.exe – Idem
  • Knight Generator.exe – Idem
  • LG Generator.exe – Idem
  • Kings Generator.exe – Idem
  • DBlocks Generator.exe (53e3256bef0352caf794b641f93a32d5) - Result: 6/40 (15%)
Como podemos notar, que además de la nueva propuesta de engaño que a pesar de ser bastante trivial cuenta con un alto impacto de efectividad, el nivel de detección en los dos códigos maliciosos es muy bajo; representando sólo entre el 15% y 25% de 41 motores antivirus.

No es para alarmarse pero sí para estar atentos.

Información relacionada
Una recorrida por los últimos scareware XVIII
Inteligencia informática, Seguridad de la Información y Ciber-Guerra
Técnicas de engaño que no pasan de moda

Jorge Mieres

Ver más

0 comentarios

3.12.09

Una breve mirada al interior de Fragus

Fragus es una de las aplicaciones web desarrolladas para la gestión de zombis, de origen ruso, que con poco tiempo de vida se ha insertado al mercado clandestino de crimeware con un precio accesible (USD 800) si tenemos en cuenta las capacidades delictivas que ofrece.

Este crimeware se compone básicamente de cinco secciones: Statistics, Files, Sellers, Traffic links y Preferences. Cada una de ellas se encarga de una tarea específica y todas se complementan entre ellas.

En el panel Files se encuentra la manipulación del archivo ejecutable que será diseminado.

En Sellers encontramos la gestión de exploits. En este caso, correspondiente a la primera versión de Fragus.

En cuanto al módulo Traffic links, permite realizar la "previa" configurando el iframeado y el script que será inyectado en la página que oficiará de "conductor" para la ejecución de los exploits configurador en el panel previo, que buscaran vulnerabilidades en el equipo víctima.

Sin embargo, uno de los patrones que se identifican en cada uno de los paquetes de este estilo, es el módulo estadístico. Este módulo proporciona la información de inteligencia necesaria para que el botmaster obtenga un reporte detallado no solo de los equipos zombis sino también de ciertos aspectos necesarios para conocer en detalle qué exploit deberá ejecutar.

Otro de los patrones interesantes que podemos deducir en función de esta información es que el sistema operativo más explotado es Windows XP con Internet Explorer, que el exploit con mayor eficacia, a pesar de ser muy antiguo (MS06-014) es el que aprovecha la vulnerabilidad en MDAC y que entre los países con mayor tasa de infección son EEUU y Korea.

Este representa un escenario común donde quizás, el factor de relevancia, es la deducción de que tal vez lo común de la situación se debe al importante volumen de usuario que utiliza el sistema operativo de Microsoft de forma no licenciada, lo cual conlleva a no actualizarlo.

Por último, otro importante factor que no debe pasar desapercibido es que a los ciber-delincuentes no les interesa la controversia que existe en torno a los niveles de seguridad que ofrece uno u otro sistema operativo (Windows, GNU/Linux y Mac OS) sino que todos entran en la mismo categoría de "potenciales víctimas" porque la vulnerabilidad explota en capa 7.

Información relacionada
Fragus. Nueva botnet framework In-the-Wild
JustExploit. Nuevo Exploit Kit que explota Java
DDoS Botnet. Nuevo crimeware de propósito particular
T-IFRAMER. Kit para la inyección de malware In-the-Wild
ZoPAck. Nueva alternativa para la explotación de vulnerabilidades
ZeuS Botnet y su poder de reclutamiento zombi
Eleonore Exploits Pack. Nuevo crimeware In-the-Wild
Liberty Exploit System. Otra alternativa (...) para el control de botnets

Jorge Mieres

Ver más

0 comentarios

1.12.09

Campaña de propagación de Koobface a través de Blogspot

Una masiva campaña de propagación del gusano koobface se encuentra In-the-Wild utilizando como estrategia blogs generados desde el servicio Blogspot.

Koobface se ha transformado en una pesadilla para las redes sociales y si bien sus estrategias de propagación no cambian, este malware lleva casi dos años de actividad con una importante tasa de infección, constituyendo una de las botnets más importantes de la actualidad.

Los dominios de blogspot empleados como cobertura para la propagación son:

pannullonumair.blogspot.com
haladynalatosha.blogspot.com
macdougalmuskan.blogspot.com
mailletjamaica.blogspot.com
ledrewrooney.blogspot.com
brasenoktayoktay.blogspot.com
toludestany.blogspot.com
edgarbillison.blogspot.com
piotrowiczlyanne.blogspot.com
brochoiredeedee.blogspot.com
decuyperantohny.blogspot.com
derrenpassini.blogspot.com
elsenelsenumthun.blogspot.com
elsyelsysalah.blogspot.com
fanjonappuappu.blogspot.com
fredrikadantos.blogspot.com
genelleabril.blogspot.com
gilkerharjyot.blogspot.com
hadzilashawn.blogspot.com
insalacotecwyn.blogspot.com
janitasaels.blogspot.com
jodelinscheufler.blogspot.com
jones-allentammey.blogspot.com
jurgisbooty.blogspot.com
karanjeetisoardi.blogspot.com
dralleboyeboye.blogspot.com
maidenhermann.blogspot.com
messer-bustamantetimpriss.blogspot.com
murachaniananoushka.blogspot.com
nevnevsculthorpe.blogspot.com
parrisvistisen.blogspot.com
porierkunlekunle.blogspot.com
rotermundraimon.blogspot.com
sharonyacorvil.blogspot.com
sodorabardan.blogspot.com
tendaiblunk.blogspot.com
turskeybrianna.blogspot.com
zhuochengbate-pelletier.blogspot.com
ziziziziboyter.blogspot.com

Quien accede a alguno de estos dominios es redireccionado a una página que simula la típica pantalla de YouTube. A continuación vemos una captura.

Inmediatamente después, se intenta descargar un binario llamado "setup.exe" (md5 6d8ac41c64137c91939cced16cb5f2fe) que posee una tasa de detección media baja. Este binario, a su vez se encarga de descargar y ejecutar otros códigos maliciosos.
Cada uno de estos archivos son descargados desde dominios del estilo "homemadesandwiches.com/.sys/?getexe=ff2ie.exe".

El binario v2captcha.exe se encarga de romper el captcha que solicita blogspot para el registro de blogs, creando de manera aleatoria y masiva los mismos, y redireccionando luego a la descarga de koobface a través de, como lo mencioné en un principio, una falsa página de YouTube que utiliza la misma estrategia de ingeniería social visual utilizada en otras campañas de propagación similares.

Sin lugar a dudas koobface es otro de los códigos maliciosos que se vale de la persistencia a pesar de que muchas de sus variantes son detectadas por la mayoría de las compañías antivirus.

Información relacionada
Simbiosis del malware actual. Koobface

Jorge Mieres

Ver más

2 comentarios

Suscribirse a: Entradas (Atom)