Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

jueves, 8 de enero de 2009

Anatomía del exploit MS08-078 by FireEye

Luego de darme una vuelta por un conocido foro de seguridad e intentar colaborar con el tópico que se refiere al problema ocasionado por el gusano conficker que se propaga a través de una vulnerabilidad solucionada en el boletín MS08-067, que como ustedes saben, son poco los programas antivirus que eliminan la amenaza de manera efectiva.

Me colgué leyendo un artículo de la empresa FireEye que trata sobre otra vulnerabilidad, muy conocida y solucionada en boletín MS08-078, activamente explotada por alguna familia de gusanos y troyanos, por lo que me gustaría compartir las apreciaciones que surgen de lo escrito por esta empresa en su blog.

Lo que se plantea en primera instancia, es la incógnita de saber qué sucede en el navegador web cuando un usuario accede a una página que contiene el exploit para esta vulnerabilidad. En la URL que se tomó como ejemplo, se ve el empleo de ofuscación como método para evitar la detección del script malicioso, escrito en JavaScript, que se encuentra incrustado en el código.

En JavaScript presenta dos segmentos separados y bien diferenciados de los cuales, el primero de ellos muestra un VBScript sin codificar:

Mientras que el segundo, posee nuevamente una codificación que busca dejar ilegible el código real:

Pero en definitiva, cuál es la carga útil de este tipo de script, es decir, qué sucede en el preciso momento que el exploit detecta la vulnerabilidad. Básicamente, el exploit se encarga de descargar y ejecutar un código malicioso en el equipo víctima.

Pero antes de ejecutarlo, se realiza dos copias de sí mismo, una en la carpeta C:\WINDOWS (quit.exe) y la otra en los temporales del usuario local (svchoost.exe). Ejecutándose luego, en primera instancia, manera automática el binario svchoost.exe.

Luego, el archivo svchoost.exe se autoelimina y se establece una conexión a través del puerto 53 para descarga otros archivos maliciosos (200512.exe).

Entre el malware que descarga a posterior se encuentran, un keylogger, un backdoor y un malware creado para robar contraseñas de juegos en línea.

Además, crea la clave necesaria en el registro que le permite ejecutarse cada vez que inicia el sistema operativo.

Como verán, las acciones que realiza este malware son bastantes complejas en su conjunto, captura las pulsaciones del teclado, roba contraseñas, abre puertas traseras y convierte al equipo en parte de una botnet. Todo se lleva a cabo de manera casi instantánea y de manera transparente para el usuario.

La URL que se utilizó para describir el exploit todavía se encuentra activa. Pueden ver el reporte de VirusTotal que muestra el estado de detección del malware hasta el momento.

Estas técnicas son muy utilizadas por el malware para explotar vulnerabilidades vía web. Muchos son los casos que se pueden nombrar que utilizan Drive-by-Download para infectar a los usuarios cuyo sistema posee la vulnerabilidad, nada más ni nada menos, con el sólo hecho de acceder a la página con contenido malicioso.

# pistus

Ver más