MalwareIntelligence es un sitio dedicado a la investigación sobre todas las cuestiones relacionadas con criminología informática, seguridad de la información en general y seguridad antimalware en particular, siempre desde una perspectiva estrechamente relacionado con el campo de inteligencia.

29.1.12

Hierarchy Exploit Pack. Nuevo crimeware para el aparato ciberdelictivo

El término "hierarchy" se refiere a la acción de jerarquizar una entidad. A juzgar por el nombre de este nuevo Exploit Pack de origen Ruso, parecería ser que su autor busca encontrar su lugar dentro del ecosistema delictivo, aunque todas las sensaciones apuntan a que detrás de esto se encuentra, más que nada, un delincuente principiante que pretende algo más.



Sin embargo, a pesar de ser un paquete de explotación delictivo más dentro de una basta gama de alternativas, no deja de ser un riesgo latente para cualquier sistema de información. Incluso, teniendo en cuenta que Hierarchy Exploit Pack llega al mercado delictivo en una etapa donde el circuito es maduro con una gama de crimeware "vip" que se encuentran no sólo entre la lista de "mejores crimeware" para los delincuentes sino que también en el centro de la tormenta delictiva.

Bajo el nickname "Angelolog" se esconde su autor. Un nickname llamativo ya que según su semántica, se refiere a "una rama de la teología que trata sobre el estudio de los ángeles". Una contradicción bastante obvia. 


Como es habitual, cuando un delincuente se "inicia en el negocio", lo hace registrando un dominio que contempla el mismo nombre del crimeware. Aunque claro no es el único dominio que en primera instancia ha registrado. En este caso, los datos son los siguientes:

Домен: ANGELOLOG-HIERARCHY.RU
Владелец: Private Person
DNS-сервер: ns1.luckhost.kz.
DNS-сервер: ns2.luckhost.kz.
Телефон: +380933900884
E-mail: angelolog@mail.ru
Состояние: REGISTERED, DELEGATED, VERIFIED
Регистратор: REGRU-REG-RIPN
Создан: 2011.03.01
Оплачен до: 2012.03.01



El AS6876 (TENET-AS TeNeT Autonomous System TeNeT Telecommunication Company) que se encuentra en Ucránia, no está catalogado como malicioso lo que hace suponer que "angelolog", un spammer de baja categoría, no lleva mucho tiempo dentro del ámbito delictivo.



Si bien a simple vista el diseño del control panel es similar al viejo Siberia Exploit Pack, se trata en realidad de una modificación de Eleonore Exploit Pack. La evidencia es muy clara.

 Además su estructura es similar:


Hierarchy Exploit Pack contiene los siguientes exploits:

Office OCX
OpenWebFile Office OCX OpenWebFile arbitrary program execution BID-33243

MDAC
Arbitrary file download via the Microsoft Data Access Components (MDAC) CVE-2006-0003

AppStream LaunchObj
Symantec AppStream LaunchObj ActiveX control vulnerable to arbitrary code download and execution CVE-2008-4388

Hummingbird PerformUpdateAsync
Hummingbird Deployment Wizard ActiveX Control Insecure Methods (PerformUpdateAsync) CVE-2008-4728

Peachtree ExecutePreferredApplication
Peachtree insecure ExecutePreferredApplication method allows the execution of arbitrary programs CVE-2008-4699

C6 propDownloadUrl
C6 Messenger insecure method propDownloadUrl allows the execution of arbitrary programs CVE-2008-2551

Adobe getIcon
Stack-based buffer overflow in Adobe Reader and Acrobat via the getIcon method of a Collab object CVE-2009-0927

Adobe Libtiff
Libtiff integer overflow in Adobe Reader and Acrobat CVE-2010-0188

HPC URL
Help Center URL Validation Vulnerability CVE-2010-1885

IE iepeers.dll
Internet Explorer iepeers.dll use-after-free CVE-2010-0806

Sun Java Runtime RMIConnectionImpl
Privileged Context Remote Code Execution Vulnerability CVE-2010-0094

Sun Java Runtime Environment MixerSequencer
Invalid Array Index Remote Code Execution Vulnerability CVE-2010-0842

AFP Server Mac OS X v10.6.5
Remote attacker AFP Server to unexpectedly shutdown CVE-2010-1297

Sun Java Web Start BasicServiceImpl
Remote Code Execution Vulnerability CVE-2010-3563

Adobe Flash Player 10.2.153.1
SWF Memory Corruption Vulnerability CVE-2011-0611

Oracle Java SE
Rhino Script Engine Remote Code Execution Vulnerability CVE-2011-3544


También incorpora los siguientes códigos maliciosos:

payload.ser [F6795195968795C535EF6932A843E969] – 16/42


Exploit$1.class [625B6B915327D352E437B34D85FB67E2] – 1/44

Exploit$1.class [DD49FADD9372CBDEF709BB9F0B1105C7] – 2/43

Link.class [3013C223A80371BCA0798E1C21683305] – 11/44

Exploit.class [77E8E1CFCC6F0894015D8CA271BBBEF5] – 12/43

BasicServiceExploit.class [A63C9DB17FE7F60370B4FFD659B61B36] – 3/43

Exploit$1$1.class [21F2312A9D50F72810E242F72E751243] – 1/43

swf.swf [6EFD1CE8DC61C68BAD3B85A949709DD2] – 24/43

Exploit$.class [452CD049CE83E72F5C642F7457F4AA93] – 2/43

Gallery_Viewer.class [03497E41A5A5A6A6F92E2950AA087C06] – 8/44

Exploit.class [334EC1071B85D52A3DA4223ED7DC6D74] – 4/43

PayloadClassLoader.class [8563342ADD46F7EADC8745BB10267B2A] – 14/43

Gallery_Viewer.jar [1C73218F0CAF238400EB86E635862279] – 13/43

Gallery_Viewer.jar [2C4DF43924D237B56DB4096E6AF524B1] – 13/43

1.txt [CF7A4C337F3DA524350AC794B589F804] – 8/43

pdf.pdf [60CADBD724A6BF0527B5E731492D8A0F] – 16/43

Exploit.jar [69767793D644D6060A060133A6014CB9] – 21/42

1.exe [8321D8B973CE649252DF9C560B875647] – 9/43

Payload.class [EEB9BA7FB4F752E1249E696B638D4732] - 13/43

Exploit.jar [19A512A3CCBA3FCDEAA5262E82F0DECE] - 26/43

pdf5.pdf [2AD31CABE2527C5F94B2C351F6529F17] - 9/43

pdf4.pdf [48C583A82A004EC1B17688215E173EFB] - 11/43

swf.swf [4666A447105B483533B2BBD0AB316480] - 19/43

bot.exe [7AB9E8AC261D2A49D87EF304ADE03BA3] – 26/43


Respecto a la oferta de exploits que presenta este crimeware, parecería tratarse de una "ensalada de exploits", lo cual conlleva a suponer, considerando además que es un mod, que el autor podría ser un "coleccionista de Exploit Pack", realizando su propio desarrollo (sin esfuerzo) a través de un "rejunte" de los exploits de viejos Exploits Pack que fácilmente se encuentran disponibles en la mayoría de los foros underground.

Por otro lado, el nivel de detección en casi todos los casos es en promedio menor al 50%, lo cual representa un aspecto crítico para cualquier sistema de información. Con lo cual, sin importar que se trate de un crimeware sin demasiada representatividad en el ambiente delictivo, sin mucha creatividad y sin una tasa de explotación efectiva para el delincuente, no deja de ser una amenaza latente. Más aún cuando la experiencia nos indica que viejos exploits como el de MDAC descripto en CVE-2006-0003, poseen un fuerte impacto aún luego de casi seis años de solucionado el bug que explotaba.


Información relacionada

Ale Cantis, Senior Crimeware Researcher
Cybercrime Research Team
Crimeware Working Group & CrimewareAttack Service | MalwareIntelligence

0 comentarios: