MalwareIntelligence es un sitio dedicado a la investigación sobre todas las cuestiones relacionadas con criminología informática, seguridad de la información en general y seguridad antimalware en particular, siempre desde una perspectiva estrechamente relacionado con el campo de inteligencia.

30.6.10

n0ise Bot. Crimeware de propósito particular para ataques DDoS

Los ataques de DDoS no constituyen un problema trivial, y distintas aplicaciones web de este estilo, como por ejemplo BlackEnergy, han sido utilizadas para ejecutar campañas de ataques masivos, en el caso de BE, durante el conflicto entre Rusia y Georgia.

El impacto de este tipo de amenazas es extremadamente crítico, y bajo esta bandera entra en el circuito del negocio que se canaliza a través del crimeware, una aplicación web de origen alemán llamada n0ise Bot que, aunque aún no cuenta con una buena repercusión en el ecosistema delictivo, lleva en el mercado clandestino un buen tiempo.

n0ise Bot se encuentra diseñado exclusivamente para reclutar zombis y ejecutar ataques de Denegación de Servicio Distribuida.

Posee un diseño minimalista pero ofrece la información necesaria para gestionar los zombis que se utilizarán como medio para llevar a cabo los ataques de DDoS.

Los comandos que pueden ser empleados a través de la configuración básica de este crimeware son los siguientes:
  • Syn-Flood - synflood*Host*Port*Threads*Sockets
  • HTTP-Flood - httpflood*Host*Threads
  • UDP-Flood - udpflood*Host*Port*Threads*Sockets*Packetsize
  • ICMP-Flood - icmpflood*Host*Port*Threads*Sockets*Packetsize
  • Multi Stealer - steal*Link to Uploadscript
  • Download and Execute - downandexe*LinkToFile
  • Visit Page - visit*Link
  • Bot Update - update*LinkToNewBot
  • Remove Bot - remove*Name
La estrategia de negocio empleada para la venta del crimeware, se suma a la tendencia de blanquear su existencia por intermedio de la publicidad exhibida a través de la página web "oficial" del crimeware llamada Coding-Revolutions, donde además se venden otras aplicaciones destinadas a manipular códigos maliciosos para "securizarlos" bajo el slogan "Willkommen im neuen Malware Shop von n0ise!" (algo así como "Bienvenido a la nueva tienda de malware de n0ise").

Este modelo de negocio ya ha sido utilizado en otras oportunidades para la promoción de Unique Sploits Pack, YES Exploit System y Mariposa Botnet.

Cómo se aprecia en la imagen, el costo de n0ise Bot es de €50 (solo el binario sin el constructor) y € 250 (binario de por vida incluyendo futuras actualizaciones) las transacciones se efectúan a través del servicio paysafecard, un sistema de pago online que no deja rastros de quienes intervienen en las transacciones.

Sin embargo, desde mayo de 2010 el desarrollador ha puesto a la venta la segunda versión (2.1) cuyo costo del binario sigue siendo de €50 pero el valor de por vida de este bajo a €200, quizás como consecuencia de su poca repercusión entre los delincuentes informáticos.


Información relacionada
  

Ver más

26.6.10

Breve revisión de Passenger Admin Panel

Si hace 5/6 años atrás hablábamos de control y administración centralizada de botnets (C&C) vía http, cuando las botnets operaban masivamente a través de canales IRC, no era visto como tendencia.

Luego de las primeras apariciones de algún que otro kit, la demanda comenzó a ser muy alta pero la oferta era pobre. Sin embargo, a pesar de haber pasado varios años, hoy siguen marcando tendencias en materia de crimeware y la demanda sigue siendo alta pero con la diferencia de que la oferta es directamente proporcional.

Bajo este escenario cada día somos testigos de la aparición de alguna aplicación web que se suma a dicha oferta, exclusivamente diseñada para alimentar la demanda, facilitar la inteligencia y gestionar los “activos” (zombis) de los delincuentes. Otro ejemplo concreto de esta tendencia es Passenger Admin Panel.


Como se puede notar en función de las imágenes, Passenger es de origen Ruso y aparentemente se trata de una versión privada o diseñada bajo demanda, ya que no hay referencias sobre su desarrollo.

Consta tan solo de tres opciones. La primera de ellas, su panel de estadísticas donde centraliza información relacionada a cantidad de zombis (en este caso 16.845), cantidad de zombis activas (582) – esta información se refresca cada 60 minutos -, cantidad de zombis reclutados por día (36), cantidad de víctimas durante las últimas 24 horas (7349), entre otro datos. 


Las estadísticas continúan mostrando datos sobre las versiones de los bots y la cantidad de zombis reclutados por cada uno, ID de afiliado con la cantidad de víctimas que poseen (en este caso hay dos afiliados con 16.842 y 3 zombis respectivamente), estatus del módulo más interesante llamado Putty Grabber con sus registros y la cantidad de sistemas operativos comprometidos.

Respecto a los sistemas operativos que forman parte del abanico de víctimas de esta botnet se encuentran:
  • Microsoft Windows 2000 Service Pack 3
  • Microsoft Windows Server 2003    
  • Microsoft Windows Server 2003 Service Pack 1 y 2
  • Microsoft Windows Server 2003 R2 Service Pack 1 y 2
  • Microsoft Windows XP
  • Microsoft Windows XP Service Pack 1, 2 y 3
  • Windows XP by Rushen 10.5 Minimal Service Pack 3
  • Windows Vista (TM) Business    
  • Windows Vista (TM) Business Service Pack 1 y 2
  • Windows Vista (TM) Home Basic
  • Windows Vista (TM) Home Basic Service Pack 1 y 2
  • Windows Vista (TM) Home Premium    
  • Windows Vista (TM) Home Premium Service Pack 1 y 2
  • Windows Vista (TM) Ultimate Service Pack 1 y 2
  • Windows Server (R) 2008 Standard Service Pack 2
Passenger permite configurar como tarea la actualización del bot a través de una URL previamente asignada que apunta a un archivo llamado u.php.

Sin embargo, como mencioné líneas arriba, la función más interesante para el delincuente la provee el módulo Putty Grabber, que muestra información específica y almacena datos sensibles de cada equipo comprometido. 


Sin lugar a dudas, el crimeware constituye un problema muy crítico que opera globalmente y a gran escala, y la constante aparición de diferentes alternativas como la mencionada en el presente es una prueba más de ello.

Información relacionada
Siberia Exploit Pack. Otro paquete de explois In-the-Wild
RussKill. Aplicación para realizar ataques de DoS
JustExploit. Nuevo Exploit Kit que explota Java
DDoS Botnet. Nuevo crimeware de propósito particular
ZoPAck. Nueva alternativa para la explotación de vulnerabilidades
ZeuS Botnet y su poder de reclutamiento zombi
DDBot. Más gestión de botnets vía web
Phoenix Exploit’s Kit. Otra alternativa para el control de botnets
iNF`[LOADER]. Control de botnets, marihuana y propagación de malware
Fragus. Nueva botnet framework In-the-Wild
Liberty Exploit System. Otra alternativa crimeware para el control de botnets
TRiAD Botnet III. Administración remota de zombis multiplataforma

Ver más

24.6.10

Estado del arte en Eleonore Exploit Pack II

Sin lugar a dudas el crimeware del tipo exploit pack y malware kit, ya sea estos de propósito general, como por ejemplo ZeuS; o de propósito particular como RussKill, se han convertido en la creme de la creme de los delitos informáticos y sinónimo de economía fácil para los ciberdelincuentes.

En función de esto, uno de los crimeware con mayor crecimiento durante los últimos seis meses es Eleonore Exploit Pack. Actualmente se encuentra en boca de muchos aspirantes a ciberdelincuentes que lo utilizan y profesionales de seguridad que han notado su impacto dentro del escenario delictivo debido a su captación cada vez progresiva de adeptos, lo cual justifica el motivo de investigación.

A principios de año dábamos a conocer la manera en que el desarrollador de esta aplicación web fue lanzando las diferentes versiones del crimeware y desde la última versión de ese entonces (1.3.2) hasta la actual (1.4.1) las cosas han cambiado un poco.


Lo cierto es que, como se aprecia en la imagen, la cobertura de ataque abarca un importante número de sistemas operativos, un aspecto que también se ha transformado en una tendencia para algunos exploits pack, como el caso de Siberia Exploit Pack, que hasta incluso comparte un gusto similar con este en cuento a diseño.

Pero repasemos nuevamente la cronología de la aparición de sus diferentes versiones:

La base de esta botnet se encuentra alojada en EEUU, con el proveedor Secured Private Network bajo el ASN22298, el mismo que también hospeda malware del tipo rogue, fakeAV, algunos otros troyanos, variantes de ZeuS, hasta algunas familias de Koobface; y mantenido por los servicios de la empresa QuadraNet comandada por un spammer israelí llamado Ilan Mishan, también muy conocido en el ambiente delictivo por dar los recursos necesarios de hosting para alojar actividades de spam, scam, phishing, pornografía, entre ellos, a través de otras empresas como OC-3 Networks y PacificRack aglomeradas bajo QuadraNet.




A pesar de contar con el C&C en EEUU, la mayor tasa de actividad se encuentra en Europa Oriental, exactamente en Ucrania donde posee la mayor cantidad de computadoras cuya seguridad ha sido vulnerada a través de alguno de los diferentes exploits que se diseminan con Eleonore Exploit Pack.


Por otro lado, es interesante conocer las páginas web a través de las cuales se referencia a los exploits pre-compilados de Eleonore. Las listas suelen ser muy largas y bastante variadas entre temáticas, donde se suelen caracterizar las páginas que poseen contenido de sexo explícito, propagación de FakeAV, casinos y farmacias online, entre otros.

También, otra íntimamente ligada con el escenario que representa el negocio de estas actividades delictivas: los programas de afiliados. En este caso, se promociona uno destinado a la compra de tráfico web, donde el eje del negocio es obtener dinero a través de la publicidad inyectada en páginas web y mostrada en ventanas popups.

Información relacionada
Nueva versión de Eleonore Exploits Pack In-the-Wild
Campaña de phishing orientada a jugadores de Zynga

Ver más