Administración de Botnets. Un caso real - ZeuS & SpyEye
Las redes de malware siguen creciendo, y paralelamente a ello, el potencial riesgo de transformarse en víctimas de sus actividades delictivas. Lejos quedaron aquellos tiempos donde el vector principal para la distribución de códigos maliciosos lo constituían las páginas pornográficas y las que promocionan programas tipo warez.
En la actualidad, el malware es distribuido a través de cualquier tipo de página como una pieza fundamental utilizada para retroalimentar un sistema delictivo mucho más amplio y ambicioso, encabezado principalmente por botnets. Incorporando, además, mecanismos auto-defensivos y de evasión cada vez más complejos. Bajo este escenario, un alto porcentaje de botmasters unen un importante número de “nodos” basados en recursos que permiten automatizar las maniobras delictivas y obtener así un mayor volumen de datos.
Para entender esta diversificación, el presente documento describe un ejemplo real, que formó parte de una compleja investigación, sobre cómo un botmaster administra sus botnets a través de los crimeware SpyEye y ZeuS.
Descarga
Actividades delictivas desde BKCNET “SIA” IZZI / ATECH-SAGADE [Parte uno]
BKCNET “SIA” IZZI, también conocido como ATECH-SAGADE o simplemente SAGADE, es un AS (Autonomous System) bajo numeración 6851, que actualmente constituye uno de los recursos más activos del crimeware mediante el cual se distribuyen cotidianamente una importante cantidad de códigos maliciosos, además de ser la base de control para el alojamiento de varios C&C que retroalimentan la economía clandestina.
Su geolocalización es en Letonia y, como lo he mencionado en otra oportunidad, “Este ASN está catalogado como servidor de actividades delictivas como la propagación de diferentes familias de rogue, alojamiento de crimeware como YES Exploit System, durante el 2009 alojo las estrategias de la botnet Waledac (sucesora de Storm), también a ZeuS y hasta posee relación directa con los delincuentes que se encuentran detrás de las maniobras de la botnet Koobface.”
Actualmente, la mayoría de los códigos maliciosos que se propagan a través de los recursos soportados por BSI (BKCNET “SIA” IZZI) conforman la maniobra que da soporte a la gestión de sistemas de afiliados destinados, precisamente, a incrementar las ganancias de los delincuentes por intermedio del éxito de las infecciones logradas.
A continuación se deja en evidencia las actividades del AS6851 en el rango de direcciones IP’s aglomeradas entre 91.188.59.9 y 91.188.59.249, a la fecha 14 de Agosto de 2010 (en rojo el historial), que responden a maniobras maliciosas.
Ataques Informáticos. Debilidades de seguridad comúnmente explotadas
A lo largo del tiempo, el avance de los medios tecnológicos y de comunicación ha provocado el surgimiento de nuevos vectores de ataques y de nuevas modalidades delictivas que han transformado a Internet y las tecnologías informáticas en aspectos sumamente hostiles para cualquier tipo de organización, y persona que tenga equipos conectados a la World Wide Web.
A diferencia de lo que sucedía años atrás, donde personas con amplias habilidades en el campo informático disfrutaban investigando estos aspectos con el ánimo de incorporar mayor conocimiento; en la actualidad se ha desvirtuado completamente dando origen a nuevos personajes que utilizan los medios informáticos y el conocimiento sobre su funcionamiento como recursos para delinquir y obtener beneficios económicos.
El presente documento ofrece una rápida visión sobre estas debilidades, conjugándolas con las posibles contramedidas bajo las cuales es posible ampararse para prevenir de manera efectiva los diferentes tipos de ataques que diariamente recibe un sistema.
Descarga
Phoenix Exploit’s Kit. De la mitología a un negocio delictivo
Las alternativas delictivas crecen muy rápidamente dentro de un ecosistema donde día a día se gestan oportunidades de negocios por intermedio de procesos fraudulentos. En este sentido, la demanda de recursos delictivos para los ciberdelincuentes no se hace esperar y crece constantemente.
Generalmente aparecen nuevos crimeware que buscan obtener un lugar y buena reputación en las calles virtuales del mundo underground, intentando reflejar un equilibrio en torno al costo/beneficio del “producto” promocionado, que les permita a los delincuentes insertarse en el mercado lo más rápida posible. Del mismo modo, crimeware ya aceptado en el circuito se actualizan buscando optimizar su “calidad de servicio”.
En la actualidad y a pesar de su estado minimalista frente a otros de su estilo, Phoenix Exploit’s Kit es uno de los crimeware más empleados para controlar actividades maliciosas y hacer acopio de información estadística para inteligencia.
El presente artículo expone una serie de datos respecto a las actividades delictivas y fraudulentas llevadas a cabo empleando Phoenix Exploit’s Kit como canal de gestión, cómo es habitualmente el ciclo del negocio delictivo que se esconde detrás de este crimeware y cuáles son las piezas de exploits incorporados en sus diferentes versiones.
Descarga
myLoader. Base C&C para la gestión de Oficla/Sasfis Botnet
Las actividades delictivas son cada vez más abusivas. En la actualidad, ya nadie niega que los códigos maliciosos constituyen un negocio no-ético y delictivo mediante el cual delincuentes informáticos roban mucho dinero.
Esta situación, también responde al por qué de la profesionalización y sofisticación en cuanto al desarrollo de malware, componentes asociados y estrategias de propagación e infección, transformándolas en amenazas cada vez más agresivas.
Bajo este escenario, una nueva amenaza crimeware diseñada con fines fraudulentos se encuentra In-the-Wild. Se trata de myLoader, un Framework de propósito particular desarrollado para gestionar las actividades de una botnet.
El presente documento describe las posibilidades delictivas de esta amenaza a través del desglose de los módulos que forman el paquete que permite la gestión de la botnet Oficla/Sasfis. Asimismo se exponen algunos datos que permiten dilucidar su comportamiento tanto en la estrategia de propagación como en los procesos de infección y ayudar en la prevención para contrarrestar sus acciones.
Descarga
SpyEye Bot [Parte dos]. Conversations with the creator of crimeware [Solo en Inglés]
In recent weeks, SpyEye (a new financial trojan) has been popular in the news and underground and well received. The cheap cost of the software relavtive to its competition combined with an easy to use interface has increased its popularity. The ability to remove the competition with the product with a built-in ZeuS Killer has also raised eyebrows.
Our previous report, "SpyEye. Analysis of a new crimeware alternative scenario", addressed known technical issues involving the activities of this threat. In this second part we present the exclusive interview by Ben Koehl, Crimeware Research of
MalwareIntelligence.
Descarga
SpyEye Bot [Parte uno]. Análisis de una nueva alternativa del escenario crimeware
A principios de año se conoció en el mercado clandestino underground, que mueve los ejes del crimeware, una nueva aplicación diseñada para retroalimentar un negocio delictivo y fraudulento.
Esta aplicación, llamada SpyEye, se encuentra orientada a facilitar el reclutamiento de zombis y la administración de su red (C&C) a través de un panel de gestión vía web, desde el cual es posible procesar la información obtenida (inteligencia) y almacenada en estadísticas, una actividad habitual de los paquetes delictivos de la actualidad.
En función de sus características, muy similares a las propuestas por su par: ZeuS, SpyEye se presenta como un potencial sucesor de éste dentro del escenario crimeware. Además, deja en evidencia que las actividades delictivas representan actualmente un gran negocio donde los ciberdelincuentes y aspirantes a ciberdelincuentes abusan de sus “bondades”.
En el presente documento se describen las actividades de SpyEye desde la etapa de infección, exponiendo información relevante en torno a sus propósitos.
Descarga
Compendio anual de información. El crimeware en 2009 [Solo en Español]
"El crimeware durante el 2009" plasma en un solo documento todo lo que se canalizó a través de este blog durante el año en cuestión en materia de crimeware y amenazas asociadas.
Cuenta con un total de 262 páginas y se encuentra dividido por las temáticas más relevantes que describen las actividades delictivas que fueron motivo de noticias en este blog. Posee dos índices que permiten encontrar las noticias de forma sencilla (índice de contenido), y otro sobre las imágenes (índice de imágenes).
A continuación dejo alguna de las temáticas que encontraran en el documento en cuestión:
- Panorama actual de negocio ocasionado por crimeware
- Framework Exploit Pack para botnets de propósito general
- Framework Exploit Pack para botnets de propósito particular
- Servicios asociados al crimeware
- Inteligencia en la lucha contra el crimeware
- Campañas de propagación e infección
- Otros Exploits Pack que se investigaron
Descarga
Análisis de un ataque de malware basado en web
Internet se ha transformado en una aliada plataforma de ataque para los creadores de malware, quienes a través del empleo de diferentes técnicas tales como Drive-by-Download, Drive-by- Update, scripting, exploit, entre otros, y la combinación de ellos, buscan reclutar todo un ejercito de computadoras que respondan sólo a sus instrucciones maliciosas.
Estos ataques, empleando Internet como base para ejecutar cargas dañina de manera directa sobre el sistema víctima, de forma paralela, casi instantánea y transparente a la vista de los usuarios menos experimentado, se ha convertido en un latente y peligroso riesgo de infección por el simple acto de acceder a un sitio web.
En el siguiente documento se expone un ejemplo concreto que recurre a las acciones antes mencionadas para explotar e infectar un sistema víctima, describiendo también varias características extras que potencian el daño del malware.
Alejandro Cantis
Crimeware Research
Ver más