Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

viernes, 25 de diciembre de 2009

Siberia Exploit Pack. Otro paquete de explois In-the-Wild

Siberia Exploit Pack es un nuevo paquete destinado a explotar vulnerabilidades y reclutar zombis originario, como es fácil de deducir por su nombre y como es habitual en este rubro del negocio clandestino de crimeware, de Rusia. Fue lanzado al mercado casi de forma conjunto con RussKill, una botnet de propósito particular también de reciente aparición.

Por el momento, la venta de Siberia Exploit Pack es cerrada. Las versiones que se comparten en algunos servidores fraudulentos son privadas y su compra sólo es accesible por intermedio de "garantes"; es decir, otros delincuentes (generalmente botmaster, spammers, phishers, etc.) que recomiendan a determinada persona que desea comprar el paquete.

De esta manera se mantiene un determinado control y nivel de confianza entre los desarrolladores del Exploit Pack y sus compradores. Esto también explica por qué del ciclo cerrado en cuanto a su utilización.

La estructura de este crimeware se compone de varios archivos php y un pack de exploits predeterminados. Entre los archivos php se destacan:
  • stat.php: es el panel de acceso a la administración vía http.
  • index.php: contiene un elemento “refresh” que genera un refresco continuo redireccionando a Google.
  • exe.php: contiene las instrucciones para la descarga un binario llamado por defecto file.exe y además contiene un script que redirecciona a un exploit para MDAC contenido en el archivo mdac.php. En función del parámetro que se pase al php descarga también archivos pdf.
  • config.php: contiene los parámetros de configuración del paquete. Se encuentra en la carpeta por defecto llamada inc.
Los archivos que se diseminan a través de este pack y explotando otras vulnerabilidades son:
En este caso, ambos archivos pdf (cuyo nombres los crea de forma aleatoria) explotan las vulnerabilidades CVE-2007-5659 (Adobe Collab overflow); CVE-2008-2992 (Adobe util.printf overflow); CVE-2009-0927 (Adobe getIcon). Mientras que el archivo file.exe crea otro llamado winlogon86.exe (md5:4217e91f65c325c65f38034dc9496772 ).

La "moda" de los paquetes de exploit no termina y parecería que la categorización de "moda", ya le queda chico.

Desde que se comenzó a masificar la utilización de los Exploits Pack (mediados del 2007), son muchas las alternativas de este estilo, tanto de propósito general como de propósito particular, que se ofertan a través de un mercado clandestino mediante el cual no solo se retro-alimenta el negocio del malware con "recursos" eficaces y sencillos (en este caso Siberia Exploits Pack) que se adaptan a sus necesidades delictivas sin mayores esfuerzos, sino que el mismo desarrollo de crimeware como los exploit pack, conjuntamente con las botnets que permiten crear y administrar, constituye un eslabón importante en la cadena delictiva que difícilmente los caber-criminales dejen a un costado.

Esto, evidentemente da una idea lo suficientemente concreta como para entender que estamos frente acciones y estrategias de "negocio" sostenida por profesionales en materia de delitos informáticos.

Información relacionada
RussKill. Aplicación para realizar ataques de DoS
DDoS Botnet. Nuevo crimeware de propósito particular
JustExploit. Nuevo Exploit Kit que explota Java
ZoPAck. Nueva alternativa para la explotación de v...
ZeuS Botnet y su poder de reclutamiento zombi
Automatización en la creación de exploits

Jorge Mieres

Ver más