Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

sábado, 18 de abril de 2009

Scripting attack II. Conjunción de crimeware para obtener mayor volumen de infección

Otra técnica ampliamente utilizada por los delincuentes informáticos para atacar equipos vía web a través de scripting es la inyección de las instrucciones maliciosas en el código de la página.

En este caso, una página web alojada en un servidor vulnerado es utilizada como vector para la propagación de malware por intermedio de la explotación de vulnerabilidades en equipos desprotegidos. Algunas de las páginas empleadas son:

http://team-sleep.by .ru/default2 .html
http://team-sleep.by .ru/demo .html
http://team-sleep.by .ru/disco .html

http://team-sleep.by .ru/downloads .html
http://team-sleep.by .ru/enter .html
http://team-sleep.by .ru/gold .html
http://team-sleep.by .ru/googleanalyticsru .html
http://team-sleep.by .ru/guest .html
http://team-sleep.by .ru/guestbook .html
http://team-sleep.by .ru/media .html
http://team-sleep.by .ru/menu .html
http://team-sleep.by .ru/news .html
http://team-sleep.by .ru/photo2 .html
http://team-sleep.by .ru/poem .html
http://team-sleep.by .ru/press_reviews .html
http://team-sleep.by .ru/team-sleep .html
http://team-sleep.by .ru/wallpapers .html
http://team-sleep.by .ru/gmail .php
http://team-sleep.by .ru/haitou .php
http://team-sleep.by .ru/in .php
http://team-sleep.by .ru/xxx .php
http://team-sleep.by .ru/photo/team .html
http://team-sleep.by .ru/photo/wallz .html
http://team-sleep.by .ru/photo/live/index2 .html
http://team-sleep.by .ru/photo/live/imagepages/image1 .html
http://team-sleep.by .ru/photo/members/imagepages/image1 .html
http://team-sleep.by .ru/photo/team/imagepages/image1 .html


La lista es larga (98 páginas de un mismo sitio). Sin embargo, a través del gráfico quedan todas representadas.

Cada una de estas direcciones web son diseminadas a través de canales como el correo electrónico o clientes de mensajería instantánea empleando alguna estrategia de Ingeniería Social, y alojan varios script ofuscados que contienen diferentes exploits.

Al desofuscar los scripts, nos encontramos con el empleo de etiquetas iframe que redireccionan a otras URL's como:
  • http://5rublei .com/unique/index .php
  • http://tochtonenado .com/yes/index .php
Un punto sumamente interesante en relación al crimeware, nos remite directamente al concepto mismo de vulnerabilidad; es decir, el crimeware no queda exento a debilidades por fallos de diseño en su código, lo cual nos permite profundizar un poco más el conocimiento el crimeware violando su integridad.

Tal cual lo ven en la imagen, resulta que se trata del empleo en conjunto de dos conocidos crimeware, Unique Sploits Pack y YES Exploit System.

Esto demuestra que los delincuentes informáticos buscan constantemente encontrar una manera rápida y sencilla, cuanto más automatizada mejor, diferentes formas de ataque que permita aumentar las ganancias.

De esta forma, la labor "profesional" que se esconde detrás de estas actividades maliciosas donde el malware es el principal actor buscando continuamente ampliar el abanico de infecciones, los botmaster logran realizar actividades dañinas con un mayor caudal de distribución.

Información relacionada
Scripting attack. Explotación múltiple de vulnerabilidades
Explotación de vulnerabilidades a través de archivos PDF
Explotando vulnerabilidades a través de SWF
Explotación de vulnerabilidades a través de JS
Explotación masiva de vulnerabilidades a través de servidores fantasmas
Análisis esquemático de un ataque de malware basado en web
LuckySploit, la mano derecha de Zeus
Anatomía del exploit MS08-078 by FireEye


# pistus

Ver más

Chamaleon botnet. Administración y monitoreo de descargas

La oferta de crimeware por parte de la superpotencia energética es muy amplia. La mayoría de los Kits de automatización de infecciones y administración vía web, son diseñados en Rusia y la propagación de malware a través de ellas, se exportan a nivel global.

Chamaleon
es otro crimeware que, aunque con menos funcionalidades que otros Kits, sigue la tendencia de poder monitorear una serie de datos estadísticos por intermedio de un panel de control y administración.

A través de un sencillo menú, este crimeware permite administrar diferentes cuestiones que desde el punto de vista estadístico, los delincuentes informáticos necesitan para tener una idea global de qué tipo de exploits utilizar. Por ejemplo, en la siguiente captura se aprecia la cantidad de navegadores que accedieron a la descarga de malware y sistemas operativos afectados.

Incluso, una detallada discriminación por países de nodos comprometidos a través de un módulo GeoIP que forma parte del Kit.

El crimeware, utiliza varios scripts destinados a explotar vulnerabilidades en los navegadores y sistemas operativos.

A través de los cuales descarga los siguientes archivos:
  • test.pdf - 14/40 (35.00%) (MD5: 9c1c623fe3a5dfbe2e9e9739386510e1)
  • 22.pdf - 12/40 (30.00%) (MD5: 9b7ecfe7f925d06903f7e303a3595c02)
  • file2.exe - 28/40 (70.00%) (MD5: 221e923fcab13951da7b3e652f3a8bab)
Todos, códigos maliciosos que actualmente presentan un bajo índice de detección por parte de las compañías antivirus.

Información relacionada

YES Exploit System. Otro crimeware made in Rusia

Barracuda Bot. Botnet activamente explotada

Los precios del crimeware Ruso

Unique Sploits Pack. Crimeware para automatizar la explotación de vulnerabilidades


# pistus

Ver más