Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

domingo, 15 de noviembre de 2009

T-IFRAMER. Kit para la inyección de malware In-the-Wild

T-IFRAMER es un paquete que permite automatizar, centralizar y gestionar vía http la propagación de códigos maliciosos a través de inyección de código viral en sitios web vulnerados empleando técnicas iframe, y alimentar su botnet. A continuación vemos una captura de la pantalla de autenticación.

Si bien no se trata de un kit complejo, permite a los delincuentes informáticos gestionar la propagación de malware a través del protocolo http utilizando ataques del tipo Drive-by-Download y Drive-by-Injection mediante la inserción de etiquetas iframe en las páginas web vulneradas.

Los módulos principales son cuatro: Stats, Manager, Iframes e Injector; y cada uno de ellos posee la función principal de optimizar la diseminación de malware.

El primero de ellos (Stats) permite administrar cuentas ftp vulneradas teniendo control sobre ellas con la posibilidad de subir archivos. De esta manera, comienza uno de los ciclos de propagación de códigos maliciosos.

Este módulo de gestión posee varias categorías, entre las que se encuentran:
  • Iframed accounts (cuentas iframeadas). Son las páginas a las que se le ha inyectado scripts dañinos a través de la etiqueta iframe.
  • Not Iframed (no iframedas). Básicamente son las cuentas ftp vulneradas. En este caso se almacenan hasta el momento varias cuentas ftp:
ftp://distribs:softXP@193.xxx.xxx.66
ftp://distribs:softXP@193.xxx.xxx.66
ftp://tools:softXP@193.xxx.xxx.66
ftp://tools:softXP@193.xxx.xxx.66

ftp://tools:softXP@193.xxx.xxx.66

ftp://distribs:softXP@193.xxx.xxx.66
ftp://NST:124@80.xxx.xxx.179

ftp://NST:124@80.xxx.xxx.179

ftp://NST:124@80.xxx.xxx.179

ftp://NST:124@80.xxx.xxx.179
  • Good accounts (cuentas buenas). Permite establecer cuáles de las cuentas ftp vulneradas son útiles o continúan activas.
  • Freehosts accounts (páginas alojadas en hosting gratuito). Se listan todos los ftp vulnerados de los sitios web que se encuentran alojados en hosting gratuitos.
  • Unchecked accounts (cuentas no chequedas). Cuentas que aún no se han revisado.
Las siguientes capturas muestras dos de los ftp vulnerados. En cada uno de ellos se puede almacenar cualquier tipo de información (warez, cracks, material pornográfico, phishing, material de pedofilia, cualquier tipo de malware, etc.). La primera de ellas aloja software y la segunda es un mirror para descarga de distribuciones basadas en *NIX.



El módulo Manager es en sí mismo el panel que permite la administración de cada una de las categorías antes mencionadas, incluyendo la posibilidad de eliminar directamente el ftp del historial.

Hasta esta instancia, estos primeros módulos tienen que ver con todo lo relacionado a la gestión de las cuentas. Sin embargo, no termina con estos y los siguientes módulos son más agresivos.

Uno de ellos es el módulo Iframes. Este permite configurar la estrategia de ataque a través de etiquetas iframe, ocultándola (como es habitual) en un script. En este caso, el script utilizado posee como información la url http://flo4.cn/1.txt.

A su vez, esta url contiene como referencia otra url, pero en este caso, contiene un bruto script que contiene varios exploits y descarga automática de malware.

En esta instancia, luego de intentar correr el exploit, se redirecciona al dominio http://www.google.ru, que parecería manipula la devolución de las búsquedas.

Los exploits que posee son los siguientes:
Los códigos maliciosos que se descargan son:
  • ehkruz1.exe. Se trata de un troyano diseñado para capturar la información relacionada al servicio WebMoney y hasta la fecha posee un bajo índice de detección, detectándolo sólo 6 motores antivirus de 41. El nombre del archivo es aleatorio.
  • egiz.pdf. Contiene exploit (CVE-2007-5659, CVE-2008-2992 y CVE-2009-0927) con una tasa de detección baja, 7/41 (17.08%). Descarga el binario.
  • manual.swf. Contiene exploit. Su tasa de detección es media-baja, 15/41 (36.59%).
  • sdfg.jar. Es un troyan downloader con exploit. Su tasa de detección es meda-baja, 14/41 (34.15%).
  • ghknpxds.jpg. Contiene un exploit. Su tasa de detección es muy baja, 4/41 (9.76%).
El módulo Injector se encarga de las acciones de inyección del código iframe creado a través del módulo anterior, permitiendo configurar una serie de parámetros para optimizar el ataque; por ejemplo, permite controlar el PageRank, inyectar el código, limpiarlo en caso de ser necesario, chequear el país del hosting y las cuentas ftp, establecer qué dominios atacar (1º y 2º nivel, ambos configurables), configurar expresiones regulares con los nombres de carpetas y archivos más comunes de encontrar en un servidor web, entre otras.

Investigando un poco más los dominios involucrados, salta a la vista que esta aplicación esta siendo utilizada como herramienta de "apoyo" por un conocido crimeware, y del cual ya hemos hablado en este blog, se trata de la última versión de Fragus.

Es decir, el dominio "escondido" entre las etiquetas iframe redirige a una nueva url desde la cual una batería de exploit intentan alcanzar con su artillería a los equipos potencialmente vulnerables, y descargar el malware encargado de reclutar la zombi.

T-IFRAMER posee dos grupos bien diferenciados. Por un lado el de administración y por el otro el de ataque; además de, evidentemente seguir alimentando la botnet; con lo cual está bien claro que quienes se encuentran detrás de este tipo de crimeware saben realmente lo que buscan y, aunque el desarrollo de la aplicación sea muy sencillo, es lo suficientemente efectivo como para ser utilizada por una des botnets más efectivas de la actualidad como lo es fragus.

Por último, estas acciones son muy similares a las realizadas por Gumblar (que según algunas fuentes sería de origen chino, aunque lo dudo); y si bien no puedo asegurar que en este caso se trate de los mecanismos que permiten diseminar Gumblar, sobre todo porque en primera instancia este Kit es de origen ruso (al igual que fragus), no cabe dudas que la estrategia (en su conjunto) es muy similar ¿será lo que hoy muchos llaman Gumblar?

Información relacionada
Fragus. Nueva botnet framework In-the-Wild
ZoPAck. Nueva alternativa para la explotación de v...
ZeuS Botnet y su poder de reclutamiento zombi
DDBot. Más gestión de botnets vía web
Phoenix Exploit’s Kit. Otra alternativa para el control de botnets
iNF`[LOADER]. Control de botnets, (...) y propagación de malware
Liberty Exploit System. Otra alternativa (...) para el control de botnets
Eleonore Exploits Pack. Nuevo crimeware In-the-Wild
Los precios del crimeware ruso. Parte 2

Jorge Mieres

Ver más