Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

miércoles, 21 de enero de 2009

Análisis esquemático de un ataque de malware basado en web

Internet se ha transformado en una aliada plataforma de ataque para los creadores de malware, donde técnicas como Drive-by-Download, scripting, exploit, y la combinación de ellos, son cada vez más comunes y ejecutan su carga dañina directamente en el sistema víctima, de manera casi instantánea y transparente a la vista del usuario menos experimentado, convirtiéndose en un peligro latente por el simple acto de acceder a un sitio web.

Un ejemplo concreto lo constituye el siguiente ataque mediante el cual se recurre a diferentes componentes para explotar e infectar el sistema víctima que, aunque ya comunes en estos días, poseen varias características extras que potencian su daño.


Al acceder a la página maliciosa, un script ejecuta de manera transparente varios iframes y un exploit para la vulnerabilidad solucionada y explicada en el boletín MS08-067. Actualmente, esta vulnerabilidad se encuentra activamente explotada por el gusano Downadup/Conficker con una tasa de infección muy alta.

El archivo sina.css no es lo que parecería ser (una hoja de estilo encascada), sino que se trata de un archivo ejecutable que es el encargado de ejecutar el exploit para la vulnerabilidad mencionada, inyectando código dañino en los procesos winlogon.exe, explorer.exe y services.exe. Realiza una copia de si mismo en C:\DOCUME~1\user\LOCALS~1\Temp\ bajo el nombre svchost.exe creando su proceso asociado. Además, también crea el archivo Beep.sys en C:\WINDOWS\system32\drivers\ ejecutándolo como servicio y ocultándose del sistema operativo con capacidades de rootkit.

Al mismo tiempo, manipula el registro del sistema para evitar la ejecución de las siguientes procesos correspondientes a herramientas de seguridad:

RStray.exe, ProcessSafe.exe, DrvAnti.exe, safeboxTray.exe, 360tray.exe, 360safebox.exe, 360Safe.exe, 360rpt.exe, adam.exe, AgentSvr.exe, AntiArp.exe, AppSvc32.exe, arswp.exe, AST.exe, autoruns.exe, avconsol.exe, avgrssvc.exe, AvMonitor.exe, avp.com, avp.exe, CCenter.exe, ccSvcHst.exe, EGHOST.exe, FileDsty.exe, filemon.exe, FTCleanerShell.exe, FYFireWall.exe, GFRing3.exe, GFUpd.exe, HijackThis.exe, IceSword.exe, iparmo.exe, Iparmor.exe, isPwdSvc.exe, kabaload.exe, KASMain.exe, KASTask.exe, KAV32.exe, KAVDX.exe, KAVPF.exe, KAVPFW.exe, KAVSetup.exe, KAVStart.exe, KISLnchr.exe, KMailMon.exe, KMFilter.exe, KPFW32.exe, KPFW32X.exe, KPfwSvc.exe, Kregex.exe, KRepair.com, KsLoader.exe, KvDetect.exe, KvfwMcl.exe, kvol.exe, kvolself.exe, KVSrvXP.exe, kvupload.exe, kvwsc.exe, KvXP.kxp, KWatch.exe, KWatch9x.exe, KWatchX.exe, MagicSet.exe, mcconsol.exe, mmqczj.exe, mmsk.exe, Navapsvc.exe, Navapw32.exe, NAVSetup.exe, nod32.exe, nod32krn.exe, nod32kui.exe, NPFMntor.exe, PFW.exe, PFWLiveUpdate.exe, procexp.exe, QHSET.exe, QQDoctor.exe, QQDoctorMain.exe, QQKav.exe, Ras.exe, Rav.exe, RavMon.exe, RavMonD.exe, RavStub.exe, RavTask.exe, RawCopy.exe, RegClean.exe, regmon.exe, RegTool.exe, rfwcfg.exe, rfwmain.exe, rfwProxy.exe, rfwsrv.exe, rfwstub.exe, RsAgent.exe, Rsaupd.exe, rstrui.exe, runiep.exe, safelive.exe, scan32.exe, SelfUpdate.exe, shcfg32.exe, SmartUp.exe, SREng.exe, SuperKiller.exe, symlcsvc.exe, SysSafe.exe, taskmgr.exe, TrojanDetector.exe, Trojanwall.exe, TrojDie.exe, UIHost.exe, UmxAgent.exe, UmxAttachment.exe, UmxCfg.exe, UmxFwHlp.exe.

Otras de las acciones dañinas de este malware realizadas en el registro, es la eliminación de las subclaves contenidas en HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\ y HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ para evitar el arranque del sistema en modo seguro (MPF).

Por otro lado, establece una conexión con la IP 60.161.34.251, correspondiente al dominio hfdy2929 com (alojada en Beijing, China - Chinanet Yunnan Province Network), y realiza una consulta DNS.


También establece conexión con 999.hfdy2828 com, también alojada en China (Chongqing Chinanet Chongqing Province Network), a través del protocolo http en el puerto por defecto.


Al establecer esta conexión, consulta el archivo bak.txt que contiene un listado de malware a descargar. Un total de 35 archivos ejecutables que corresponden a los siguientes códigos maliciosos:
  • Win32/TrojanDropper.Agent.NPO
  • Win32/PSW.Legendmir.NGG
  • Win32/PSW.OnLineGames.NRD
  • Win32/PSW.OnLineGames.NRF
  • Win32/PSW.OnLineGames.NTM
  • Win32/PSW.OnLineGames.NTN
  • Win32/PSW.OnLineGames.NTP
  • Win32/PSW.WOW.DZI
La nomenclatura utilizada en el nombre de cada malware corresponde a la establecida por el motor de firmas de ESET NOD32 Antivirus 3.0.672.0.

En el código principal (primera imagen), existen varias etiquetas iframe que mantienen la misma metodología explicada, verificando en el equipo víctima la existencia de vulnerabilidades.
  • http://sss.2010wyt net/ac html: descarga el archivo css.css desde http://xxx.2009wyt com. Es copia de sina.css y explota la vulnerabilidad MS08-067.
  • http://sss.2010wyt net/614 js: descarga el archivo bak.css desde http://xxx.2009wyt net. Es copia de sina.css. Explota las vulnerabilidades MS08-067 y MS06-014.
  • http://sss.2010wyt net/r js, http://sss.2010wyt net/r html, http://sss.2010wyt net/fzl htm y http://sss.2010wyt net/asd htm: descargan los archivos versionie.swf y versionff.swf desde http://sss.2010wyt net. Ambos explotan una vulnerabilidad en Flash Player.
Sin embargo, no todo termina aquí mismo, sino que aparece otro dominio desde el cual se descargan algunos de los códigos maliciosos mencionados líneas arriba y cuya referencia se encuentra en el archivo bak.txt, la relación de este dominio con otros es la siguiente:


Los ataques de malware se han vuelto más sofisticados debido a la combinación de diferentes tecnologías con diferentes metodologías maliciosas que intentan cumplir con sus fines de cualquier manera.

Lo que se expone en este texto no es otra cosa que el claro reflejo de lo que sucede, o puede suceder, cuando accedemos a sitios vulnerados para diseminar malware, o creados íntegramente con estos fines; y de las capacidades dañinas que cada día son más habituales en los códigos maliciosos.

# pistus

Ver más