MalwareIntelligence es un sitio dedicado a la investigación sobre todas las cuestiones relacionadas con criminología informática, seguridad de la información en general y seguridad antimalware en particular, siempre desde una perspectiva estrechamente relacionado con el campo de inteligencia.

28.5.10

Inteligencia y nivel de explotación según Siberia Exploit Pack

Siberia Exploit Pack es un crimeware, evolución de Napoleon Exploit Pack, del cual ya he hecho una breve descripción en otra oportunidad. Sin embargo, desde el momento de esa descripción hasta estos días, el panorama de su desarrollador se ha ampliado.



En este sentido y si bien termina siendo uno más del montón, lo interesante de este crimeware es la información que proporciona su panel de estadísticas (la inteligencia para el atacante), dicho sea de paso muy similar al provisto por Eleonore Exploit Pack, donde se ofrecen datos relativos al éxito de explotación que tiene el exploit pack para el reclutamiento zombi, discriminando estos datos en función de:

  • Países afectados
  • Sistemas operativos más explotados
  • Referencia de los dominios con mayor porcentaje a través de los cuales se explotan vulnerabilidades
  • Navegadores más explotados
  • Exploits pre-compilados en esta versión del paquete
Déjenme insistir (porque no es un dato menor) con que este acopio de información no es más que hacer inteligencia, lo cual le permite al atacante conocer, en primera instancia:

En el primero de los casos, la población de qué país es más vulnerable, quizás por su nivel de piratería, lo cual pone sobre relieve la falta de actualizaciones de seguridad de los sistemas operativos y de las aplicaciones, ya que como veremos al llegar a los exploits, todos estos son conocidos y cuentan desde hace mucho tiempo con el correspondiente parche que soluciona la vulnerabilidad. 

En este caso, los primeros cinco países donde este crimeware tiene mayor tasa de infección son: Estados Unidos, Inglaterra, Canadá, Rusia y Alemania.


El mismo criterio se persigue con los datos recavados sobre los sistemas operativos “más vulnerables”, entre comillas porque, como dije anteriormente, el grado de vulnerabilidad del OS depende directamente de una serie de aspectos que deberían estar contemplados en el hardening, dentro del cual un factor importante es la implementación de los parches de seguridad.

Por ejemplo, la vulnerabilidad en MDAC (Microsoft Data Access Components) data del año 2006 (cuatro años), descrita en Boletín Oficial de Microsoft MS06-014. El impacto que sobre los sistemas operativos tiene esta versión del crimeware, la podemos observar en la siguiente imagen.


La lista de sistemas operativos atacados es amplia y los tres que poseen mayor brecha de vulnerabilidad pertenecen a la familia de Microsoft (lo que es lógico debido a la masividad de uso), además de otros también de MS.

Sin embargo, el crimeware contempla otros sistemas operativos no Windows, incluyendo los de consolas PlayStation (GNU/Linux o Black Rhino) y Nintendo Wii (irónicamente una versión modificada de una distribución GNU/Linux), en el caso de Workstations y OS utilizado en telefonía celular de alta gama, entre ellos:
  • Mac OS
  • GNU/Linux
  • FreeBSD
  • iPhone
  • Windows Mobile
  • Windows CE
  • Pocket PC
  • Symbian OS
Aquí ya comenzamos a reconocer que los delincuentes han ampliado el horizonte de cobertura, incorporando en su cartera de opciones la explotación de vulnerabilidades (a través del navegador) y reclutamiento de zombis en otros sistemas operativos empleados en otras tecnologías informáticas.

Respecto a las referencias, involucra casi 28.000 dominios donde cada uno de ellos redireccionan a otra página con contenido malicioso o por lo menos dudoso como:
Las referencias a estos sitios web son obtenidas a través de una aplicación del tipo TDS (Traffic Distribution System), también instalada en el mismo servidor, utilizada para redireccionar el tráfico hacia y desde las páginas listadas en este módulo del paquete. Los TDS son ampliamente utilizados para realizar BlackHat SEO.

Por otro lado, la lista es muy grande ya que detalla los navegadores más vulnerados conjuntamente con sus respectivas versiones, ellos son:
  • Internet Explorer desde la versión 4 a la 8
  • Firefox desde la versión 1.0.3 a la 3.6b4
  • Opera desde la versión 6.0 a la 10.0
  • Opera para Mobile
  • Safari browser
  • PlayStation (Firefox)
  • Pocket PC
  • SeaMonkey 1.1 y 2.0 (Suite de Mozilla que incluye un navegador web)
  • Nintendo browser
  • iPhone Browser
  • Mobile Phone Browser (Internet Explorer)
  • Chrome desde la version 1.0 a la 6.0
Por último ¿cuáles son los exploit encargados de aprovechar las vulnerabilidades en todo lo mencionado anteriormente? Bueno, en principio cabe destacar que son los exploits están diseñados para explotar vulnerabilidades conocidas, como lo mencioné líneas arriba, de larga data.

El más explotado, Java GSB. Las vulnerabilidades menos explotadas son las de Adobe Reader a través de archivos PDF manipulados.


Sin lugar a dudas los delincuentes informáticos incorporan procesos de inteligencia en sus estrategias de propagación/infección, lo que les permite tener un panorama amplio de la situación en el campo virtual, incrementando la obtención de resultados exitosos en sus ataques.

Imaginen estos datos para ejecutar campañas en “una guerra de guerrilla virtual”; incluso, para comprender la gama de OS utilizados en ambientes militares/gubernamentales y analizar así el mejor escenario para llevar a cabo ataques de DDoS contra los recursos críticos de un Estado. La cosa ya no parece tan trivial.

Información relacionada
Estado del arte en CRiMEPACK Exploit Pack
Crimeware-as-a-Service y mecanismos de evasión antivirus
Servicio ruso en línea para comprobar la detección de malware
Software as a Service en la industria del malware
Creación Online de malware polimórfico basado en PoisonIvy
ZeuS Botnet y su poder de reclutamiento zombi
Botnet. Securización en la nueva versión de ZeuS

0 comentarios:

Publicar un comentario

Suscribirse a: Comentarios de la entrada (Atom)