Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

lunes, 30 de noviembre de 2009

Compendio mensual de información. Noviembre 2009

Pistus Malware Intelligence


29.11.09 JustExploit. Nuevo Exploit Kit que explota Java
26.11.09 Servicio ruso en línea para comprobar la detección de malware
24.11.09 Espionaje informático a través de malware
22.11.09 DDoS Botnet. Nuevo crimeware de propósito particular
18.11.09 Una recorrida por los últimos scareware XVIII
15.11.09 T-IFRAMER. Kit para la inyección de malware In-the-Wild
06.11.09 Desarrollo de Botnets Open Source. “My last words”?
04.11.09 QuadNT System. Sistema de administración de zombis I (Windows)
02.11.09 Campaña de phishing orientada a usuarios de MSN
02.11.09 ZoPAck. Nueva alternativa para la explotación de vulnerabilidades

Evil Fingers Blog
29.11.09 JustExploit. New Exploit kit that uses vulnerabilities in Java
24.11.09 Espionage by malware
23.11.09 DDoS Botnet. New crimeware particular purpose
18.11.09 A recent tour of scareware XVIII
16.11.09 T-IFRAMER. Kit for the injection of malware In-the-Wild
13.11.09 Open Source Development Botnets. "My last words?
05.11.09 QuadNT System. Zombies Management System I (Windows)
04.11.09 Phishing campaign targeted to users of MS
01.11.09 Malware Intelligence Linkedin Group

Offensive Computing
15.11.09 T-IFRAMER. Kit for the injection of malware In-the-Wild
05.11.09 ZeuS and power Botnet zombie recruitment


ESET Latinoamérica Blog

01.12.09 Reporte mensual de amenazas de noviembre
30.11.09 Propagación de malware simulando Java Runtime
26.11.09 El grupo Miranda! como excusa para propagar malware
24.11.09 ESET Continúa educando en materia de seguridad
20.11.09 Nuevo ransomware In-the-Wild
13.11.09 Listado de programas de seguridad falsos VIII
06.11.09 Ataques de phishing a Facebook generados por ZeuS


Información relacionada
Compendio mensual de información 2009
Diciembre - Noviembre - Octubre - Septiembre - Agosto - Julio
Junio - Mayo
- Abril - Marzo - Febrero - Enero

Jorge Mieres

Ver más

domingo, 29 de noviembre de 2009

JustExploit. Nuevo Exploit Kit que explota Java

La industria del crimeware sigue en constante aumento y del mismo modo la comercialización clandestina de aplicaciones web que buscan automatizar los procesos de infección a través de la explotación de vulnerabilidades.

En esta oportunidad, la propuesta se llama JustExploit. Se trata de un nuevo Exploit Pack de origen ruso que posee un condimento que cada vez está siendo tenido en cuenta con mayor fuerza entre los desarrolladores de crimeware: la explotación de vulnerabilidades en Java. Es decir, además de explotar las vulnerabilidades conocidas para MDAC y archivos PDF, explota Java en todos aquellos equipos que tengan instalado su runtime.

La captura corresponde al módulo de estadística (Inteligencia) donde claramente se observa que desde esta aplicación se está controlando un número importante de equipos que utilizan diferentes navegadores y diferentes sistemas operativos, entre los cuales se encuentra el flamante Windows Seven.

Otro dato interesante que se desprende de este módulo, es el alto índice de efectividad que posee la explotación de la vulnerabilidad en Java, teniendo, incluso, un mayor nivel de éxito con respecto a las otras dos vulnerabilidades (MDAC y PDF).

A través de un archivo "index.php" que posee un script ofuscado, JustExploit intenta ejecutar tres exploits para las vulnerabilidades CVE-2008-2992, CVE-2009-0927 y CVE-2008-5353. A continuación vemos parte del script.

Entre los archivos que se descargan, se encuentra el que explota Java, llamado sdfg.jar, con una tasa de detección baja. Según VirusTotal, sólo 15 de 41 motores antivirus.

Además, el kit incluye la descarga de los siguientes archivos maliciosos (que por el momento, también cuentan con una tasa de detección muy pobre):
Esta actividad se encuentra In-the-Wild hace un tiempo relativamente corto y constituye un peligroso vector de ataque que activamente se encuentra siendo utilizado por parte de los botmasters, y como hemos visto, con una efectividad llamativa.

Muchas gracias a la gente de MDL por la información

Información relacionada
DDoS Botnet. Nuevo crimeware de propósito particul...
T-IFRAMER. Kit para la inyección de malware In-the...
ZoPAck. Nueva alternativa para la explotación de v...
ZeuS Botnet y su poder de reclutamiento zombi
Eleonore Exploits Pack. Nuevo crimeware In-the-Wild
Mirando de cerca la estructura de Unique Sploits Pack
Adrenaline botnet: zona de comando. El crimeware ruso...
YES Exploit System. Otro crimeware made in Rusia
Barracuda Bot. Botnet activamente explotada
ElFiesta. Reclutamiento zombi a través de múltiples amenazas
Malware Domain List

Jorge Mieres

Ver más

jueves, 26 de noviembre de 2009

Servicio ruso en línea para comprobar la detección de malware

Una de las cosas que preocupan a los creadores/distribuidores de malware es saber si los antivirus son capaces de detectar sus binarios y por tanto arruinar sus planes económicos.

Una posible forma de comprobar la capacidad de detección de dichos antivirus es subir el binario a sitios como VirusTotal, que a fecha de hoy, utiliza 41 motores antivirus diferentes. El gran problema es que estos sitios suelen trabajar en colaboración con las compañías antivirus, retroalimentándolas con las muestras. Por eso, aunque en el momento del análisis es posible que sólo unos pocos de los antivirus (o ninguno en el peor de los casos) sean capaces de identificar las cualidades malignas del binario en cuestión, muy probablemente el ratio de detección subirá a toda velocidad en un breve espacio de tiempo.

Esto ha abierto un nicho de negocio, y en mayo de este año aparecieron posts en diversos foros en los que se anunciaba un nuevo servicio (en aquel momento gratuito) para analizar el grado de detección sin alertar a las casas antivirus. Nacía VirTest.



Actualmente esta página, de origen ruso (aunque posee su versión en inglés) ofrece 26 motores antivirus diferentes, con posibilidad de elegir cuáles quieres que sean utilizados para chequear la muestra. A continuación se puede ver un listado de los motores antivirus y sus respectivas versiones. En la página web especifican con detalle cada cuánto es actualizado cada uno de los antivirus, dependiendo de la política que siga cada compañía para publicar nuevas firmas.

El análisis del binario mostrará una tabla en la que se ve qué antivirus reconoce el código malicioso y cual no. Pulsando el enlace con el nombre del fichero se abrirá un recuadro en el que podemos ver información sobre el tipo de fichero y su tamaño, los distintos hashes del mismo, información sobre su estructura (si es un exe), entre otros.

Si además se pulsa sobre el enlace "See file", se mostrará un fragmento del propio fichero de 1000 bytes de tamaño.

Sin embargo, una característica añadida a este servicio que marca un diferenciador con respecto a servicios similares, es la posibilidad de analizar un crimeware del tipo Exploit Pack, dando la url en la que se encuentra alojado.
Según reza la FAQ del servicio, realmente no se chequea el script, sino el código resultante que será recibido por los distintos tipos de navegadores. Las pruebas se realizan con Firefox, IE6, IE7, IE8, Opera y Chrome.

Haciendo clic sobre alguno de los enlaces podremos ver el recuadro de antes ampliando la información sobre el análisis.

Para poder realizar uno de estos análisis es necesario crear una cuenta y disponer de efectivo en la misma, ya que se ha convertido en un servicio de pago con los siguientes precios:

El pago de las cuotas se realiza exclusivamente a través de WebMoney. Existe al menos otro servicio similar que actualmente es gratuito y se encuentra en fase Beta. Suponemos que en breve pasará a ser de pago también.

Resumiendo, una prueba más de que no sólo la explotación del malware genera beneficios, sino que también se mueve dinero en servicios paralelos a esta industria. Y en algunos casos, como el que nos ocupa, habría que ver si se puede considerar este servicio como un acto delictivo o no.

Información relacionada
Software as a Service en la industria del malware
Creación Online de malware polimórfico basado en PoisonIvy
Panorama actual del negocio originado por crimewar...
Los precios del crimeware ruso. Parte 2

Ernesto Martín
Malware Research
Pistus Malware Intelligence

Ver más

martes, 24 de noviembre de 2009

Espionaje informático a través de malware

Durante este mes recuerdo haber desayunado con una noticia que para muchos medios de información parecería ser novedoso o exclusivamente ligado con algunas películas de Hollywood, dándole una connotación de "sorprendente". Me refiero al espionaje a través de medios informáticos.

A continuación dejo una captura de esa noticia, en la cual se deja en evidencia que los códigos maliciosos también forman parte de las operaciones de Inteligencia en diferentes contextos, tanto desde un punto de vista netamente fraudulento (en el caso de los delincuentes informáticos) como en el que se escuda bajo la "bandera" de proteger y resguardar los intereses de un Estado (el caso de muchos servicios de Inteligencia), que buscan sacar ventajas y/o neutralizar las potenciales acciones encuadradas dentro de su marco de hostilidad.

Incluso, en muchos casos, rozando la ilegalidad de las acciones.

Según la información que se manifiesta en el artículo, el servicio de Inteligencia más importante de Israel (Mossad) ha utilizado un código malicioso del tipo troyano para obtener información confidencial y critica sobre instalaciones nucleares en Siria.

El hecho de que el Mossad utilizara un programa para hacer espionaje tampoco es una novedad ya que, al igual que su equivalente estadounidense (CIA) y muchos otros, antiguamente ha utilizado Promis como recurso de espionaje.

(Algún día quizás me anime a escribir algo sobre los programas utilizados por los servicios de Inteligencia de todo el mundo ;P)

La cuestión es que independientemente de la repercusión de la noticia, los códigos maliciosos son sin lugar a dudas uno de los programas más empleados para la obtención de información, también a nivel gubernamental y militar; incluso, entre compañías que buscan obtener datos confidenciales que permitan revelar las actividades de su competencia y ganar ventajas.

Ahora, cualquier organización o ente gubernamental puede ser víctima del espionaje informático, y estas actividades también deben ser atendidas por Seguridad de la Información. Entonces, qué se puede hacer para contrarrestar o neutralizar estas actividades, que en la mayoría de los casos se manejan al borde de lo ilegal, la verdad es que no es nada fácil. Sin embargo, aplicar una estrategia de desinformación puede ser una buena práctica de contraespionaje.

En definitiva es fácil deducir que este tipo de maniobras no son sólo acciones catalogadas como "fantasmas" o dentro del género "ciencia ficción" propias de las películas, sino que cotidianamente somos potenciales víctimas de los intentos persistentes de los desarrolladores de malware que buscan romper nuestros esquemas de seguridad para obtener información secreta.

Información relacionada
Inteligencia informática, Seguridad de la Información y Ciber-Guerra
CYBINT en el negocio de los ciber-delincuentes rusos

Jorge Mieres

Ver más

domingo, 22 de noviembre de 2009

DDoS Botnet. Nuevo crimeware de propósito particular

Un ataque de Denegación de Servicio (DoS) consiste, básicamente, en abusar de un servicio o recurso haciendo peticiones sucesivas, ya sea de forma dolosa o culposa, que terminan por quebrar la disponibilidad de ese servicio o recurso de forma temporal o total.

Cuando este tipo de ataques se realiza empleando el poder de procesamiento de un conjunto importante de computadoras realizando el abuso de peticiones de forma sincronizada, estamos en presencia de un ataque de Denegación de Servicio Distribuida (DDoS).

Los ataques de DDoS no constituyen una novedad en la actualidad (códigos maliciosos como Blaster, diseñado para realizar este tipo de ataques contra Microsoft en el 2003, es un ejemplo clásico) y su empleo es un recurso de cualquier actividad con connotación maliciosa, incluso, mafiosa.

En este sentido, la mayoría de las botnets de propósito general contemplan como parte de su oferta delictiva, ataques de Denegación de Servicio Distribuida aprovechando las bondades que ofrecen las zombis que forman parte de la red, y las de propósito particular destinadas a realizar un tipo de ataque específico contra un objetivo también específico, son el ejemplo de la actualidad.

Desde una perspectiva relacionada con la ciber-guerra, la DDoS también cumple un rol fundamental cuando se la utiliza de modo ofensivo en esa guerra digital también conocida como Cyber-Warfare, y constituye un recurso que forma parte de una estrategia de ataque involucrada dentro del análisis CYBINT (Cyber Intelligence).

Sin embargo, bajo este escenario el ataque también puede ser empleado de forma defensiva dentro de una estrategia de análisis que permita evaluar las limitaciones a las que se exponen servicios criticos de un Estado.

Pero independientemente de los propósitos que se escondan detrás del ataque, los ciber-delincuentes (sobre todo los de origen ruso) constantemente buscan facilitar el asunto ofreciendo crimeware desarrollado para ser utilizado exclusivamente con ánimos delictivos.

La cuestión es que una nueva aplicación web para el control de botnets, se encuentra In-the-Wild, comercializándose en el mercado clandestino de Rusia a un precio "competitivo". USD 350.

Este crimeware está diseñado para reclutar zombis y formar una botnet (de propósito particular) destinada exclusivamente para cometer ataques de DDoS del tipo SYN Flood, ICMP Flood, UDP, HTTP y HTTPS. En la siguiente captura se observa parte de la configuración de esta aplicación escrita en PHP.

Entre sus funcionalidades se destacan la posibilidad de ejecutarse como un servicio (lo que forma parte de su estrategia de defensa), el control y administración (C&C) se realiza a través del protocolo HTTP, integración con otros crimeware de su estilo, registro de las actividades (logs) con información procesada sobre cada ataque (Inteligencia), entre muchas otras.

Yo creo que la investigación de este tipo de acciones delictivas debe poseer ese toque metódico que ofrecen las actividades de Inteligencia, ya que si bien para un usuario hogareño este tipo de ataques puede importar poco, no sucede lo mismo cuando lo que esta en juego son los activos de las compañías. Por lo que los profesionales de seguridad deben estar al corriente del estado del arte del crimeware, e incorporar acciones de Inteligencia en sus actividades profesionales.

Información relacionada con crimeware
Los precios del crimeware ruso. Parte 2
Comercio Ruso de versiones privadas de crimeware...
ZeuS Botnet y su poder de reclutamiento zombi
Automatización de procesos anti-análisis II
Eleonore Exploits Pack. Nuevo crimeware In-the-Wild
Mirando de cerca la estructura de Unique Sploits Pack
Adrenaline botnet: zona de comando. El crimeware ruso...
YES Exploit System. Otro crimeware made in Rusia
Barracuda Bot. Botnet activamente explotada
ElFiesta. Reclutamiento zombi a través de múltiples amenazas

Información relacionada con Cyber-Warfare
Inteligencia informática, Seguridad de la Información y Ciber-Guerra
CYBINT en el negocio de los ciber-delincuentes rusos
Kremlin Kids: We Launched the Estonian Cyber War
Kremlin-backed youths launched Estonian cyberwar, says Russian official
Digital Fears Emerge After Data Siege in Estonia
Cyberattack in Estonia--what it really means

Jorge Mieres

Ver más

miércoles, 18 de noviembre de 2009

Una recorrida por los últimos scareware XVIII

Virus Protector = AntiAID, SystemVeteran, BlockProtector, SystemWarrior
IP: 85.12.25.111, 83.233.30.66
Netherlands Netherlands Eindhoven Web10 Ict Services
Sweden Sweden Stockholm Serverconnect I Norrland
Dominios asociados
antiaid.com
blockkeeper.com
blockprotector.com
systemveteran.com
Pope Green Defender
IP: 99.198.98.217
United States United States Chicago Singlehop Inc
Dominios asociados
popegreen.com




Spyware Defender 2009
IP: 99.198.98.218
United States United States Chicago Singlehop Inc
Dominios asociados
cheelumtech.com




Pro Defender 2008
IP: 99.198.98.202
United States United States Chicago Singlehop Inc
Dominios asociados
vlachosoft.com







Proof Defender

IP: 76.76.101.85
United States United States Portland Donald Wildes
Dominios asociados
proofdefender.com
proofdefender2009.com
www.pdefender2009.com
www.proofdefender.com



techno-rescue.com (209.8.45.117) United States Herndon Beyond The Network America
besttoolsdirect.com (193.169.234.3) Jamaica Jamaica Titan-net Ltd
rfastnet.com/online (213.155.22.193) Ukraine Ukraine Kiev Singhajeet3 - Singh Ajeet
advanced-virus-remover2010.com (91.207.116.55) Ukraine Ukraine Czech Republic Of Rays
10-open-davinci.com
advanced-virus-remover2010.com
advanced-virusremover-2009.com
advanced-virusremover2009.com
advancedvirus-remover-2010.com
advancedvirusremover-2009.com
best-scan-pc.com
best-scan-pc.net
best-scan.com
best-scanpc.com
best-scanpc.net
best-scanpc.org
cathrynzfunz.com
coolcount1.com
downloadavr6.com
downloadavr7.com
downloadavr8.com
hard-xxx-tube.com
testavrdown.com
testavrdownnew.com
vsproject.net
www.advanced-virus-remover-2009.com
www.advancedvirus-remover2009.com
www.advancedvirusremover-2009.com
www.best-scan-pc.com
www.best-scanpc.net
www.best-scanpc.org
www.hard-xxx-tube.com
www.onlinescanxppro.com
xxx-white-tube.net
xxx-white-tube.org
argentmarketingtools.com (194.60.205.20) Russian Federation Russian Federation Baltic Center Of Innovations Techprominvest Ltd
thetoolsbargain.com, bestalltools.com (62.90.136.210) Israel Israel Haifa Loads

Información relacionada
Una recorrida por los últimos scareware XVII
Una recorrida por los últimos scareware XVI
Una recorrida por los últimos scareware XV
Una recorrida por los últimos scareware XIV
Una recorrida por los últimos scareware XIII
Una recorrida por los últimos scareware XII
Una recorrida por los últimos scareware XI
Una recorrida por los últimos scareware X
Una recorrida por los últimos scareware IX
Una recorrida por los últimos scareware VIII
Una recorrida por los últimos scareware VII
Una recorrida por los últimos scareware VI
Una recorrida por los últimos scareware V
Una recorrida por los últimos scareware IV
Una recorrida por los últimos scareware III
Una recorrida por los últimos scareware II
Una recorrida por los últimos scareware I

Jorge Mieres

Ver más

domingo, 15 de noviembre de 2009

T-IFRAMER. Kit para la inyección de malware In-the-Wild

T-IFRAMER es un paquete que permite automatizar, centralizar y gestionar vía http la propagación de códigos maliciosos a través de inyección de código viral en sitios web vulnerados empleando técnicas iframe, y alimentar su botnet. A continuación vemos una captura de la pantalla de autenticación.

Si bien no se trata de un kit complejo, permite a los delincuentes informáticos gestionar la propagación de malware a través del protocolo http utilizando ataques del tipo Drive-by-Download y Drive-by-Injection mediante la inserción de etiquetas iframe en las páginas web vulneradas.

Los módulos principales son cuatro: Stats, Manager, Iframes e Injector; y cada uno de ellos posee la función principal de optimizar la diseminación de malware.

El primero de ellos (Stats) permite administrar cuentas ftp vulneradas teniendo control sobre ellas con la posibilidad de subir archivos. De esta manera, comienza uno de los ciclos de propagación de códigos maliciosos.

Este módulo de gestión posee varias categorías, entre las que se encuentran:
  • Iframed accounts (cuentas iframeadas). Son las páginas a las que se le ha inyectado scripts dañinos a través de la etiqueta iframe.
  • Not Iframed (no iframedas). Básicamente son las cuentas ftp vulneradas. En este caso se almacenan hasta el momento varias cuentas ftp:
ftp://distribs:softXP@193.xxx.xxx.66
ftp://distribs:softXP@193.xxx.xxx.66
ftp://tools:softXP@193.xxx.xxx.66
ftp://tools:softXP@193.xxx.xxx.66

ftp://tools:softXP@193.xxx.xxx.66

ftp://distribs:softXP@193.xxx.xxx.66
ftp://NST:124@80.xxx.xxx.179

ftp://NST:124@80.xxx.xxx.179

ftp://NST:124@80.xxx.xxx.179

ftp://NST:124@80.xxx.xxx.179
  • Good accounts (cuentas buenas). Permite establecer cuáles de las cuentas ftp vulneradas son útiles o continúan activas.
  • Freehosts accounts (páginas alojadas en hosting gratuito). Se listan todos los ftp vulnerados de los sitios web que se encuentran alojados en hosting gratuitos.
  • Unchecked accounts (cuentas no chequedas). Cuentas que aún no se han revisado.
Las siguientes capturas muestras dos de los ftp vulnerados. En cada uno de ellos se puede almacenar cualquier tipo de información (warez, cracks, material pornográfico, phishing, material de pedofilia, cualquier tipo de malware, etc.). La primera de ellas aloja software y la segunda es un mirror para descarga de distribuciones basadas en *NIX.



El módulo Manager es en sí mismo el panel que permite la administración de cada una de las categorías antes mencionadas, incluyendo la posibilidad de eliminar directamente el ftp del historial.

Hasta esta instancia, estos primeros módulos tienen que ver con todo lo relacionado a la gestión de las cuentas. Sin embargo, no termina con estos y los siguientes módulos son más agresivos.

Uno de ellos es el módulo Iframes. Este permite configurar la estrategia de ataque a través de etiquetas iframe, ocultándola (como es habitual) en un script. En este caso, el script utilizado posee como información la url http://flo4.cn/1.txt.

A su vez, esta url contiene como referencia otra url, pero en este caso, contiene un bruto script que contiene varios exploits y descarga automática de malware.

En esta instancia, luego de intentar correr el exploit, se redirecciona al dominio http://www.google.ru, que parecería manipula la devolución de las búsquedas.

Los exploits que posee son los siguientes:
Los códigos maliciosos que se descargan son:
  • ehkruz1.exe. Se trata de un troyano diseñado para capturar la información relacionada al servicio WebMoney y hasta la fecha posee un bajo índice de detección, detectándolo sólo 6 motores antivirus de 41. El nombre del archivo es aleatorio.
  • egiz.pdf. Contiene exploit (CVE-2007-5659, CVE-2008-2992 y CVE-2009-0927) con una tasa de detección baja, 7/41 (17.08%). Descarga el binario.
  • manual.swf. Contiene exploit. Su tasa de detección es media-baja, 15/41 (36.59%).
  • sdfg.jar. Es un troyan downloader con exploit. Su tasa de detección es meda-baja, 14/41 (34.15%).
  • ghknpxds.jpg. Contiene un exploit. Su tasa de detección es muy baja, 4/41 (9.76%).
El módulo Injector se encarga de las acciones de inyección del código iframe creado a través del módulo anterior, permitiendo configurar una serie de parámetros para optimizar el ataque; por ejemplo, permite controlar el PageRank, inyectar el código, limpiarlo en caso de ser necesario, chequear el país del hosting y las cuentas ftp, establecer qué dominios atacar (1º y 2º nivel, ambos configurables), configurar expresiones regulares con los nombres de carpetas y archivos más comunes de encontrar en un servidor web, entre otras.

Investigando un poco más los dominios involucrados, salta a la vista que esta aplicación esta siendo utilizada como herramienta de "apoyo" por un conocido crimeware, y del cual ya hemos hablado en este blog, se trata de la última versión de Fragus.

Es decir, el dominio "escondido" entre las etiquetas iframe redirige a una nueva url desde la cual una batería de exploit intentan alcanzar con su artillería a los equipos potencialmente vulnerables, y descargar el malware encargado de reclutar la zombi.

T-IFRAMER posee dos grupos bien diferenciados. Por un lado el de administración y por el otro el de ataque; además de, evidentemente seguir alimentando la botnet; con lo cual está bien claro que quienes se encuentran detrás de este tipo de crimeware saben realmente lo que buscan y, aunque el desarrollo de la aplicación sea muy sencillo, es lo suficientemente efectivo como para ser utilizada por una des botnets más efectivas de la actualidad como lo es fragus.

Por último, estas acciones son muy similares a las realizadas por Gumblar (que según algunas fuentes sería de origen chino, aunque lo dudo); y si bien no puedo asegurar que en este caso se trate de los mecanismos que permiten diseminar Gumblar, sobre todo porque en primera instancia este Kit es de origen ruso (al igual que fragus), no cabe dudas que la estrategia (en su conjunto) es muy similar ¿será lo que hoy muchos llaman Gumblar?

Información relacionada
Fragus. Nueva botnet framework In-the-Wild
ZoPAck. Nueva alternativa para la explotación de v...
ZeuS Botnet y su poder de reclutamiento zombi
DDBot. Más gestión de botnets vía web
Phoenix Exploit’s Kit. Otra alternativa para el control de botnets
iNF`[LOADER]. Control de botnets, (...) y propagación de malware
Liberty Exploit System. Otra alternativa (...) para el control de botnets
Eleonore Exploits Pack. Nuevo crimeware In-the-Wild
Los precios del crimeware ruso. Parte 2

Jorge Mieres

Ver más

viernes, 6 de noviembre de 2009

Desarrollo de Botnets Open Source. “My last words”?

Quienes leyeron el post sobre el proyecto crimeware denominado Quad System, recordarán que entre sus párrafos comentaba no conocer el costo de la versión privada de esta aplicación destinada al control de botnets, tanto para plataformas Windows como para plataformas GNU/Linux.

El tema es que… por cosas de la vida misma… el desarrollador de estos particulares proyectos diseñados en Perl, llamado cross, había terminado con sus hazañas censurándose a sí mismo con el cierre de su sitio web; manifestando, a través del mismo, las motivaciones que llevaron a su "violenta" decisión, y las cuales muestro en la siguiente captura:

Sin embargo, luego de varios días (de meditación quizás), se decidió por volver a las andadas poniendo nuevamente a disposición con fines educativos un arsenal de aplicativos destinados al control de botnets, o lo que es sinónimo en la actualidad, crimeware.

La nueva interfaz de su web es la siguiente:

Un dato curioso, que como el resto del post no guarda ninguna relación técnica con los aspectos de seguridad de la información, es la introducción al concepto de "Ironía" que plantea en el index ¿será que se siente irónico con sus propuestas colaborativas en el ámbito delictivo?

De todos modos, el chico aún parece enojado… ¿con los profesionales de seguridad?... ya que con interfaz nueva sigue escribe lo siguiente:

"…This site is dedicated to my projects and only my projects. Long time ago here you could find some more information, but currently, I don’t give a shit about providing any kind of information.

Besides, well, WTF? xD Something about me: I am the only one who is keeping this site somehow online and alive, taking care of it well, not much to take care of.
What you can find here: some useless shit - my small projects. Well, I know no one gives a fuck, me neither - I placed them here and here they are to stay, you like it or not. So, no fun in here :D

Fuck… and who is that idiot founded this fucked up god forsaken piece of shit? xD LULZ and LOL xD As you can see I keep my head up and travel through life with a smile on my damn bitching face and ain't giving a fuck, man.

So you'll ask what a damn morron should be of me, starting with such introduction? Well, I'm the man, say, cross is in the house babe xD
Anyways, just fuck it. You got here my projects; I will put some new here too. Like once in a year. Blah...Some new papers maybe if I will have some good mood for writing or i will be drunk as hell to believe in it. Hah...Whatevah..."

A pesar de todo esto, este "sutil" personaje, aparentemente empedernido programador en Perl, posee algunas cosas interesantes como una GUI para Nikto :-)

Información relacionada
QuadNT System. Sistema de administración de zombis I (Windows)
Hybrid Botnet Control System. Desarrollo de http bot en perl
Desarrollo de crimeware Open Source para (...) administrar botnets
TRiAD Botnet III. Administración remota de zombis multi...
TRiAD Botnet II. Administración remota de zombis multi...
TRiAD Botnet. Administración remota de zombis en Linux

Jorge Mieres

Ver más

miércoles, 4 de noviembre de 2009

QuadNT System. Sistema de administración de zombis I (Windows)

De la mano del mismo autor de los sistemas de control y administración de botnets Open Source (cross), hace un par de meses vio la luz otro de sus ambiciosos proyectos diseñados para controlar y administrar botnets llamado Quad.

En este caso, se trata de la versión desarrollada para plataformas Windows llamada QuadNT Remote Administrator, pero también existe una versión para sistemas operativos basados en plataformas *NIX. Al igual que con sus anteriores proyectos, este crimeware se caracteriza fundamentalmente por estar desarrollado en lenguaje Perl. Un aspecto para nada común en este tipo de aplicaciones.

A diferencia de las aplicaciones anteriormente presentadas por su desarrollador, QuadNT Remote Administrator no es gratuito; es decir, posee una versión libre con limitaciones importantes y una versión full privada. Sin embargo, lamentablemente no vamos a poder conocer, quizás por el momento, el costo real de este crimeware, por razones que dentro de poco les comentaré.

Entre sus funcionalidades se destacan la posibilidad de realizar:
  • Connect Back Shell
  • Trash Flood
  • Mouse Logger
  • Keylogger
  • Proxy server
  • Encrypted Remote Terminal Emulator
  • Web HTTP Control Panel
Como lo comenta el mismo creador, este sistema de administración remota para el control de botnets se basa en tres aspectos fundamentales:
  • Una Consola del lado del cliente
  • Un Gateway del lado del servidor
  • Automatización de la red cliente que es la botnet en sí misma
Esta primera versión de QuadNT centra sus esfuerzos trabajando en modo usuario (Ring3). Sin embargo, cross, su autor, promete una segunda versión pero que trabaje a bajo nivel, exactamente a nivel del kernel o lo que es lo mismo, Ring0.

Aunque los proyectos anteriores son gratuitos, y aunque esta misma versión se ofrezca también en versión libre pero con limitaciones, todavía no gozan de buena aceptación en el mundo clandestino que marca el negocio del crimeware.

Sin embargo, ello no significa que no constituyan amenazas, de hecho son potenciales alternativas que demuestran que el desarrollo de aplicaciones para manipular botnets puede ser abordadas en lenguajes de programación no tan comunes en el campo de las redes zombis.

Información relacionada
Hybrid Botnet Control System. Desarrollo de http bot en perl
Desarrollo de crimeware Open Source para (...) administrar botnets
TRiAD Botnet III. Administración remota de zombis multi...
TRiAD Botnet II. Administración remota de zombis multi...
TRiAD Botnet. Administración remota de zombis en Linux

Jorge Mieres

Ver más

lunes, 2 de noviembre de 2009

Campaña de phishing orientada a usuarios de MSN

Desde que comenzaron a popularizarse las páginas web que prometen proveer información sobre los contactos bloqueados en el cliente de mensajería instantánea de Microsoft, las campañas destinadas al robo de información privada de los usuarios, siguen en constante insistencia.

Lo cierto es que quienes confían en este tipo de engaños, son víctimas ni más ni nada menos que de una simple maniobra de Ingeniería Social que en muchos casos, goza de una efectividad relativamente difícil de aceptar, y destinada a realizar ataques de phishing.

Esta situación deja en completa evidencia los niveles de (in)madurez que todavía existe en materia de prevención y la necesidad de crear conciencia sobre el verdadero alcance e implicancias en seguridad de los conceptos de confidencialidad y privacidad.

En este sentido, una nueva campaña de phishing busca captar la atención de los usuarios que hacen uso del popular cliente de mensajería instantánea de Microsoft, MSN. Es decir, casi el 90% de las personas.

Detrás de una cobertura bajo el slogan "Verify who blocked you on their msn contact list", se esconde una campaña que estratégicamente y con paciencia va obteniendo nombres de usuario y sus respectivas contraseñas de todos aquellos interesados en saber quienes de sus contactos los han bloqueado… Sigo sin comprenderlo… :(

Desde el punto de vista técnico, bajo la dirección IP 121.54.174.85 (Hong Kong Hong Kong Sun Network Limited) se alojan una importante cantidad de dominios que redireccionan a la misma página fraudulenta. Estos dominios son:

ahem-they-blocked-me.com
cindrella-blocked-me.com

damnn-they-blocked-me.com
did-they-block-you.com

face-blocked-truth.com
find-reason-of-being-blocked.com

finding-who-blocks.com

friends-block-buddies.com

grab-block-status.com

grab-my-block-status.com
have-they-blocked-you.com

heroes-never-block.com

how-come-they-block-me.com

im-fedup-of-being-blocked.com

im-sad-im-blocked.com

ima-checking-block-status.com

jesus-he-blocked-us.com

kephsa.why-do-they-block.com

lame-friends-block-you.com
leme-check-block-status.com

mean-friends-block.com

mjzfx0.why-do-they-block.com

notice-they-blocked-u.com

oh-i-was-blocked.com

omg-they-blocked-me.com

phew-they-blocked-me.com

phewww-seems-i-am-blocked.com
puff-im-blocked.com

pwdgds.grab-my-block-status.com

sad-i-was-blocked.com

see-they-blocked-me.com

tchv9l.find-reason-of-being-blocked.com

they-were-haha.com

ufff-i-was-blocked.com

urr-he-blocked-us.com

weird-i-was-blocked.com

who-let-me-block.com
why-do-they-block.com

why-my-friends-block.com

wooh-im-blocked.com

Es sumamente importante tomar las medidas de precaución y prevención necesarias para no ser víctimas de este tipo de técnicas, extremadamente sencillas de llevar a cabo y extremadamente efectiva para quienes no están al tanto de ellas.

En este caso, no se trata de implementar una solución de seguridad a toda marcha sino de sentido común. De acceder la información sólo en la página web legítima y verificar la existencia de las medidas de seguridad que garantizan el cifrado de la información.

Sobre todo, para no preguntarnos luego cómo hacen para obtener gran cantidad de información sobre credenciales de autenticación de diferentes servicios de web y publicarlos en Internet sin restricción alguna :-)

Información relacionada
Nivel de (in)madurez en materia de prevención
Phishing Kit. Creador automático de sitios fraudulentos
Phishing Kit In-the-Wild para clonación de sitios web, versión 2
Phishing Kit In-the-Wild para clonación de sitios web
Estado de la seguridad según Microsoft
Phishing y "cuentos" en navidad
Phishing para American Express y consejos

Jorge Mieres

Ver más

ZoPAck. Nueva alternativa para la explotación de vulnerabilidades

Indudablemente, la problemática generada por las botnets a nivel global constituye una de las tendencias que en ningún paper se debería obviar. En este sentido, el desarrollo de aplicaciones destinadas al control y administración de zombis vía web, cuyas primeras repercusiones vieron la luz a fines del 2006 alcanzando en la actualidad la popularidad en la comunidad underground y delictiva, no cesa.

Bajo una particular interfaz de autenticación, aparece ZoPAck, un crimeware cuya primera incursión fue en el 2007, desarrollado en PHP y destinado a explotar vulnerabilidades a través de una importante gama de exploits.

La actualización a esta nueva versión, la 1.02, se produjo durante este mismo año 2009. Y si bien no se ha masificado su eso y no cuenta con la popularidad de otros, es un paquete que no tiene nada que envidiar a sus competidores y cumple de igual manera con el objetivo para el cual fue diseñado: reclutar zombis aprovechando debilidades en los sistemas operativos y aplicaciones.

Por intermedio de un archivo .pdf, provoca un desbordamiento de búfer (buffer overflows) en las aplicaciones Adobe Acrobat y Reader (CVE-2007-5659 y CVE-2008-0655), reclutando la zombi a través de la descarga de su ejecutable (file.exe) llamado desde el archivo exe.php. A continuación vemos parte de su código.
include "db.php";
include "mysql.php";
$db = new db;
$ip = getenv("REMOTE_ADDR");
$db->query("UPDATE statistics SET is_dw=1 WHERE ip='".$ip."'");
$filename = "./file.exe";
$size = filesize($filename);
$fp = fopen($filename, "r");
$source = fread($fp, $size);
fclose($fp);
La estructura de ZoPAck es muy sencilla al igual que su configuración permitiendo simplemente configurar a través de la interfaz los datos de autenticación y el dominio donde se alojará el crimeware para su acceso.

El módulo encargado de llevar los datos estadísticos, lo que a mí me gusta llamar el módulo de Inteligencia, le permite al botmaster recavar información relacionada a las características de cada computadora que forma parte de su red.

Esta característica podría tener dos lecturas. Por un lado, que el crimeware se encuentra diseñado con una notoria orientación a script kiddies o prospecto a delincuentes; por el otro, quizás el objetivo del autor (¿ZOPA?) es proporcionar una aplicación lo más optimizada posible para hacer de la labor de los ciber-delincuentes lo menos rigurosa posible.

En fin, un nuevo crimeware que se une a la colección de alternativas disponible en el mercado clandestino.

Información relacionada
ZeuS Botnet y su poder de reclutamiento zombi
DDBot. Más gestión de botnets vía web
Phoenix Exploit’s Kit. Otra alternativa para el control de botnets
iNF`[LOADER]. Control de botnets, (...) y propagación de malware
Fragus. Nueva botnet framework In-the-Wild
Liberty Exploit System. Otra alternativa (...) para el control de botnets
Eleonore Exploits Pack. Nuevo crimeware In-the-Wild
Los precios del crimeware ruso. Parte 2

Jorge Mieres

Ver más