La peligrosidad de una nueva generación de bootkits

Si bien tanto los rootkits como los bootkit forman parte de un mismo concepto y los objetivos finales terminan siendo siempre los mismos, existe una serie de patrones que los diferencian y hacen del bootkit la inevitable evolución del rootkit convencional sumando al estado del arte acciones más complejas.

Por definición, un rootkit esta diseñado para esconder ciertas actividades que un atacante puede realizar en un sistema vulnerado, siendo precisamente esta característica la aprovechada por los desarrolladores de malware para ocultar las actividades del mismo (manipulación de claves del registro, procesos, archivos, etc.) al momento de infectar un sistema. Es decir, el objetivo principal de un rootkit es evitar que las actividades de un atacante sean descubiertas.

Esta situación representa un grave y potencial peligro para la seguridad de cualquier sistema informático ya que, dependiendo del tipo de rootkit, pueden pasar inadvertidos tranquilamente, ya que generalmente poseen la capacidad de correr a bajo nivel (a nivel del kernel).

Por eso las compañías antivirus suelen catalogarlo como peligrosos o extremadamente peligrosos, incluso, quizás sea esta una de las respuestas sobre los esfuerzos de securizar el núcleo de los sistemas operativos.

En relación a esto, a principios de año (2009) fuimos testigos de la aparición de un tipo de rootkit que infecta la MBR (Master Boot Record) de los equipos pero que a diferencia de los rootkits convencionales de este estilo, esta nueva variante es mucho más nocivo y agresivo. Su nombre es Stoned Bootkit (basado en el famoso virus Stoned), fue desarrollado por Peter Kleissner y presentado en BlackHat 2009.

Al activarse desde la MBR, el bootkit se asegura la infección del equipo antes del arranque del sistema operativo, pudiendo ejecutarse desde cualquier dispositivo de almacenamiento (USB, CD, DVD, etc.). Esto significa que no se verán rastros en los sistemas operativos (procesos en memoria por ejemplo) ya que el bootkit no realiza modificaciones directas sobre este.

A pesar de ser considerada una herramienta que permite administrar un sistema (al igual que el rootkit) tal cual su nombre lo indica (conjunto de herramientas del sector de arranque) puede, sin lugar a dudas, ser utilizada con fines maliciosos, y teniendo en cuenta que Stoned Bootkit esta diseñado para funcionar también en Windows 7, independientemente de su arquitectura (32-bits o 64-bits), puede representar el código malicioso más explotado durante el 2010.

Información relacionada
Bootkit multiplataforma al ataque...

# Jorge Mieres

Ver más

iNF`[LOADER]. Control de botnets, marihuana y propagación de malware

Se trata de otras de las tantas alternativas que existen en cuanto a aplicativos web diseñados para funcionar como paneles de administración y control de botnets vía web (C&C).

En este nuevo ejemplo, como no podía ser de otra forma, es de origen Ruso y a juzgar por el favicon y la imagen que aparece en el ángulo superior izquierdo, quizás su creador tiene admiración por la marihuana y, por que no, tal vez es un fan de Bob Marley :-)

A continuación observamos la captura del panel de administración de iNF`[LOADER], pero si queremos ver otra también activa, pueden acceder a… mejor escríbanme un mail y les paso la URL :-)

Si bien este aplicativo web no es nuevo ya que su primera versión es del 2007, su autor fue actualizándolo una vez por año (la actual es la versión 3) y la última es la que vemos en la captura, no tuvo mucha repercusión dentro del ambiente clandestino de crimeware.

En un principio estuvo asociado a la diseminación de un conocido rootkit llamado Goldun, sin embargo hay que tener en cuenta que independientemente del código malicioso que el kit traiga por defecto, estos aplicativos están diseñados para poder explotar cualquier vulnerabilidad y diseminar cualquier tipo de malware.

Entre sus módulos, posee uno diseñado para intentar un Bypass a los programas antivirus y firewall, módulo de auto-destrucción con lo cual se puede eliminar la información de parte o todas las zombis que formen parte de su red, sistema de estadísticas de zombis discriminadas por país, entre otras.

Como vemos, las funcionalidades ofrecidas por esta amenaza no son competitivas con relación a otras que que existen en el mercado y se consiguen a bajo costo, incluso, hasta es posible conseguir un combo, a pesar de que su costo no supera los USD 100 actualmente.

Aún así, esto no significa que no constituya una grave amenaza, independientemente de la interfaz que tenga el panel de control y administración, si esta activa es porque tiene en su comando, una buena cantidad de zombis que hacen de la actividad del botmaster, una “trabajo” redituable.

Información relacionada
Fragus. Nueva botnet framework In-the-Wild
Liberty Exploit System. Otra alternativa crimeware...
Los precios del crimeware ruso. Parte 2
Eleonore Exploits Pack. Nuevo crimeware In-the-Wild
Especial!! ZeuS Botnet for Dummies

Jorge Mieres

Ver más

Bootkit multiplataforma al ataque. ¿La resurrección de los virus de arranque?

Como muchos sabrán, en el mundo de los códigos maliciosos existe una extensa nomenclatura para referirse a cada uno de los programas dañinos que se encuentran dando vueltas por la gran red, adoptado en función de las instrucciones y objetivo para el cual fue diseñado, siendo el inglés el idioma más aceptado. Incluso, algunas traducciones directas quedan feas ;P

En relación a esto, quizás hayan leído sobre un nuevo nombre que viene haciendo bastante ruido a partir de la última BlackHat: Bootkit. Pero… ¿de qué se trata?

Un Bootkit es básicamente un tipo de rootkit diseñado para infectar el sector de arranque de los sistemas operativos Windows, conocido habitualmente como la Master Boot Records (MBR).

Si bien el concepto de rootkit se remonta casi a la misma existencia de las plataformas UNIX y los códigos maliciosos que abusan de esta característica tampoco son novedosos, podríamos decir que el concepto de Bootkit hace referencia a una nueva familia de malware desarrollados para evadir cualquier sistema de detección de amenazas alojando sus instrucciones dañinas en el sector de arranque.

De hecho son varios los nombres que han hecho ruido a lo largo de la historia:

• Stoned en 1987 (fue tomado como base para el desarrollo de Michelangelo) que mostraba en pantalla diferentes mensajes.
• BootRoot presentado por primera vez en el 2005 durante la BlackHat y diseñado para funcionar en Windows XP.
• Kon-Bot que hace un baypass sobre el esquema de autenticación de Windows, saltándo así el proceso de autenticación.
• Vbootkit durante el 2007, que funciona sobre Windows Vista y su segunda versión aparecida durante este año, diseñada para explotar en Windows 7 (incluido 64-bits). Ambas versiones presentadas en el BlackHat.
• MebRoot, cuya primera variante apareció durante el año 2007, esta diseñado para robar datos de índole bancaria y del cual vemos una captura presentada en el paper “Your Computer is Now Stoned (...Again!). The Rise of MBR Rootkits” desarrollado conjuntamente entre Symantec y F-Secure donde se muestra su evolución.

• Stoned Bootkit, también presentado en la BlackHat de este año. Es multiplataforma.

En el caso de las dos versiones de Vbootkit, éstas son consideradas pruebas de concepto (PoC), sin embargo, como toda prueba de concepto, se termina disparando en una nueva modalidad de ataque a través de malware y la segunda versión (prepara para Windows 7) puede ser una seria amenaza para el próximo año.

Ahora… dónde está el punto más relevante de todo esto. Yo creo que Mebroot ha marcado el punto de inflexión sumando al ámbito ilícito una nueva metodología acompañado de un concepto que posee relación directa con los delitos informáticos en cuanto a ataques a través de malware que buscan, no sólo obtener información que puede ser aprovechada incluso para hacer inteligencia o espionaje sino también para alimentar la economía de sus desarrolladores, y que continúa con Vbootkit v2 ya preparada para explotar Windows 7.

Bajo este escenario, la cosa viene pesada, ya que queda en completa evidencia la profesionalización de los cada vez más desarrolladores de malware.

En el caso de Stoned Bootkit, también se encuentra diseñado para saltar los esquemas de seguridad que ofrecen productos como TruCrypt al cifrar el volumen completo de una unidad, provocando un ataque directo contra TrueCrypt. Es decir, posee la capacidad de infectar un equipo incluso cuando está cifrado, ganando acceso a todo el sistema sin importar los recaudos de seguridad en torno a las credenciales con permisos administrativos.

Irónicamente, su autor utiliza una leyenda similar a la que mostraba el viejo Stoned (Your PC is now Stoned!), mostrándola en pantalla cada vez que arranca el sistema:

Your PC is now Stoned! ...again

Además y a diferencia de otros rootkits que infectan el sector de arranque de un sistema operativo específico, el nuevo Stoned posee la capacidad de infectar todas las versiones desde Windows XP hasta el tan esperado Windows 7.

Teniendo en cuenta esto, quizás se transforme en un módulo esencial para los desarrolladores de malware que busquen romper las barreras de seguridad de Windows 7.

A pesar de no existir un volumen importante de códigos maliciosos con estas características (Bootkits) cada vez que aparece uno hace ruido en el ambiente. ¿Hablamos de resurrección? Yo creo que no. Sobre todo después de probar algo que no creía posible en la actualidad: el Stoned de 1897, aún hoy explota en Windows Vista.

# Jorge Mieres

Ver más

Compendio mensual de información. Agosto 2009

Pistus Malware Intelligence Blog
29.08.09 Hybrid Botnet Control System. Desarrollo de http bot en perl
24.08.09 Una recorrida por los últimos scareware XIII
17.08.09 Desarrollo de crimeware Open Source para controlar y administrar botnets
15.08.09 Fragus. Nueva botnet framework In-the-Wild
14.08.09 Liberty Exploit System. Otra alternativa crimeware para el control de botnets
12.08.09 Los precios del crimeware ruso. Parte 2
08.08.09 TRiAD Botnet III. Administración remota de zombis multiplataforma
07.08.09 Una recorrida por los últimos scareware XII
04.08.09 Eleonore Exploits Pack. Nuevo crimeware In-the-Wild
03.08.09 TRiAD Botnet II. Administración remota de zombis multiplataforma

EvilFingers Blog
28.08.09 Development of Open Source crimeware to control and manage botnets
15.08.09 Fragus. New botnet framework In-the-Wild
13.08.09 Prices of Russian crimeware. Part 2
08.08.09 TRiAD Botnet III. Administración remota de zombis multiplataforma

ESET Latinoamérica Blog
31.08.09 Reporte de amenazas de Agosto
19.08.09 Técnicas maliciosas anti-análisis II
17.08.09 La gira de ESET sobre Seguridad Antivirus estará presente en Nicaragua
11.08.09 Código malicioso made in Brasil
11.08.09 Elk Cloner. La cápsula del tiempo
08.08.09 Ataque de phishing a Twitter
05.08.09 Malware afirmando que Michael Jackson está vivo

Información relacionada
Compendio mensual de información. Julio 2009
Compendio mensual de información. Junio 2009
Compendio mensual de información. Mayo 2009
Compendio mensual de información. Abril 2009
Compendio mensual de información. Marzo 2009
Compendio mensual de información. Febrero 2009
Compendio mensual de información. Enero 2009

# pistus

Ver más

Hybrid Botnet Control System. Desarrollo de http bot en perl

El desarrollo de crimeware es cada vez más abierto. Sus creadores buscan constantemente implementar en los programas dañinos mecanismos evasivos cada vez mas eficaces con un mínimo impacto de recursos no solo en el equipo controlado arbitrariamente sino también en los servidores que los alojan, existiendo en la actualidad una gama de alternativas realmente importante que van desde "productos" pagos a gratuitos.

En este sentido, en algún momento había mencionado el desarrollo Open Source de crimeware donde conté sobre la creación de dos proyectos paralelos; y si bien no se tratan de aplicaciones complejas presentan dos características llamativas.

Por un lado, su descarga es libre, lo cual significa que el concepto adoptado en la aplicación puede ser ampliado (o “mejorado” diría su autor) por otros desarrolladores agregando funcionalidades mucho más complejas.

Por otro lado, no entra (en primera instancia) en el ciclo del mercado clandestino de comercialización de crimeware; y, en el caso particular de Hybrid Botnet Control System y a diferencia de los aplicativos web de este estilo, el bot se encuentra escrito en Perl, algo no habitual (de hecho creo que si no es el primero es uno de ellos).

Por lo demás, es básicamente similar a cualquiera de las alternativas disponibles en el mercado negro. Es decir, el panel de administración es vía web, escrito en PHP y la base de datos se almacena en un MySQL.

Otro aspecto común es que generalmente el desarrollo y comercialización de los aplicativos diseñados para el control y administración (C&C) de botnets posee su cuna en países como Rusia, y si bien el panel de control vía web de Hybrid se encuentra basado en uno de los primeros aplicativos de origen ruso que implantaron el concepto de administración vía http llamado Black Energy (a quien pertenece la captura que muestra el sistema de autenticación), parecería que su base de desarrollo no se encuentra en Europa del Este.

De todos modos, sea cual fuese el origen de su desarrollo, estas actividades no hacen otra cosa que ayudar a incrementar los ingresos de ciber-delincuentes y alimentar el ciclo delictivo muy arraigado bajo el concepto de crimeware, marcando una tendencia difícil de frenar debido al abanico de alternativas que pueden ser implementadas e implantadas a través de este tipo de iniciativas.

Información relacionada
Desarrollo de crimeware Open Source para controlar y...
TRiAD Botnet III. Administración remota de zombis multi...
TRiAD Botnet II. Administración remota de zombis multi...
TRiAD Botnet. Administración remota de zombis en Linux

# Jorge Mieres

Ver más