Jmieres Malware Intelligence
Total Page:16
File Type:pdf, Size:1020Kb
3 Malware Intelligence Compendio anual de información - El crimeware durante el 2009 - Jorge Mier es | Malware Intelligence Blog | [email protected] http://mipistus.blogspot.com | http://malwareint.blogspot.com | http://malwaredisasters.blogspot.com | Diciembre, 2009 4 Contenido Agradecimientos , 8 ¿Qué es Malware Intelligence? , 9 Malware Disasters Team , 9 Malware Intelligence Linkedin Group , 9 Panorama actual de negocio ocasionado por crimeware, 11 Los precios del crimeware ruso , 12 Sploit25, 12 Unique Sploits Pack, 12 Neon Exploit System, 12 XS[S]hkatulka, 12 Cripta Zeus(a), 12 ElFiesta Exploit Pack, 12 YES Exploit System, 13 PoisonIvy Polymorphic Online Builder, 13 FriJoiner Small y Private, 13 Genom Iframer, 13 CRUM Crypter Polymorphic, 13 Los precios del crimeware ruso. Parte 2 , 14 CRUM Crypter Polymorphic v2.6, 14 CRUM Joiner Polymorphic v3.1, 14 Eleonore Exploit Pack v1.2, 14 Eleonore Exploit Pack v1.1, 14 Unique Sploits Pack v2.1, 15 Adrenaline, 15 YES Exploit System v2.0.1, 15 YES Exploit System v1.2.0, 15 Barracuda Botnet v3.0, 15 ZeuEsta v7.0, 16 ZeuEsta v5.0, 16 ElFiesta Exploit Pack v3.0, 16 Liberty Exploit System, 16 Neon Exploit System, 17 Limbo trojan, 17 Fragus v1.0, 17 Comercio Ruso de versiones privadas de crimeware ¡Aproveche la oferta! , 18 Estado de la seguridad según Microsoft , 20 Framework Exploit Pack para botnets de propósito general Fusión. Un concepto adoptado por el crimeware actual II, 24 Una breve mirada al interior de Fragus, 24 Desarrollo de Botnets Open Source. “My last words”?, 27 QuadNT System. Sistema de administración de zombis I (Windows), 28 ZoPAck. Nueva alternativa para la explotación de vulnerabilidades, 29 ZeuS Botnet y su poder de reclutamiento zombi, 30 ZeuS, spam y certificados SSL, 33 Nueva versión de Eleonore Exploits Pack In-the-Wild, 35 5 Hybrid Botnet Control System. Desarrollo de http bot en perl, 36 Desarrollo de crimeware Open Source para controlar y administrar botnets, 37 Fragus. Nueva botnet framework In-the-Wild, 40 Liberty Exploit System. Otra alternativa crimeware para el control de botnets, 42 TRiAD Botnet III. Administración remota de zombis multiplataforma, 44 Eleonore Exploits Pack. Nuevo crimeware In-the-Wild, 46 TRiAD Botnet II. Administración remota de zombis multiplataforma, 48 TRiAD Botnet. Administración remota de zombis en Linux, 49 Especial!! ZeuS Botnet for Dummies, 52 ElFiesta. Reclutamiento zombi a través de múltiples amenazas, 54 Mirando de cerca la estructura de Unique Sploits Pack, 56 Fusión. Un concepto adoptado por el crimeware actual, 59 Botnet. Securización en la nueva versión de ZeuS, 60 YES Exploit System. Manipulando la seguridad del atacante, 62 Unique Sploits Pack. Manipulando la seguridad del atacante II, 65 ZeuS Carding World Template. Jugando a cambiar la cara de la botnet, 67 Adrenaline botnet: zona de comando. El crimeware ruso marca la tendencia, 69 Chamaleon botnet. Administración y monitoreo de descargas, 70 YES Exploit System. Otro crimeware made in Rusia, 72 Entidades financieras en la mira de la botnet ZeuS, 73 Barracuda Bot. Botnet activamente explotada, 76 Unique Sploits Pack. Crimeware para automatizar la explotación de vulnerabilidades, 78 ZeuS Botnet. Masiva propagación de su troyano, 79 Danmec Bot, redes Fast-Flux y reclutamiento de Zombis PC’s, 81 Framework Exploit Pack para botnets de propósito particular Siberia Exploit Pack. Otro paquete de explois In-the-Wild, 85 RussKill. Aplicación para realizar ataques de DoS, 86 JustExploit. Nuevo Exploit Kit que explota Java, 87 DDoS Botnet. Nuevo crimeware de propósito particular, 88 T-IFRAMER. Kit para la inyección de malware In-the-Wild, 90 DDBot. Más gestión de botnets vía web, 95 Phoenix Exploit’s Kit. Otra alternativa para el control de botnets, 97 iNF`[LOADER]. Control de botnets, marihuana y propagación de malware, 98 LuckySploit, la mano derecha de ZeuS, 100 Servicios asociados al crimeware Servicio ruso en línea para comprobar la detección de malware, 103 Nivel de (in)madurez en materia de prevención, 107 Automatización en la creación de exploits, 110 Software as a Service en la industria del malware, 112 Automatización de procesos anti-análisis a través de crimeware, 115 Automatización de procesos anti-análisis II, 116 Scripting attack. Explotación múltiple de vulnerabilidades, 118 Scripting attack II. Conjunción de crimeware para obtener mayor infección, 120 Explotación de vulnerabilidades a través de archivos PDF, 123 Explotando vulnerabilidades a través de SWF, 124 Explotación de vulnerabilidades a través de JS, 125 Phishing Kit. Creador automático de sitios fraudulentos, 127 Phishing Kit In-the-Wild para clonación de sitios web, 128 Phishing Kit In-the-Wild para clonación de sitios web, versión 2, 131 Creación Online de malware polimórfico basado en PoisonIvy, 132 Entendiendo las redes Fast-Flux, 133 Explotación masiva de vulnerabilidades a través de servidores fantasmas, 136 Análisis esquemático de un ataque de malware basado en web, 137 Anatomía del exploit MS08-078 by FireEye, 139 6 Inteligencia en la lucha contra el crimeware Campaña de desinformación para propagar malware, 144 Espionaje informático a través de malware, 145 CYBINT en el negocio de los ciber-delincuentes rusos, 146 Inteligencia informática, Seguridad de la Información y Ciber-Guerra, 148 Campañas de propagación e infección Exploit Pack y su relación con el rogue, 151 Testimonios sobre scareware y estrategia de credibilidad, 152 Anti-Virus Live 2010. Chateando con el enemigo, 153 Campaña de propagación de Koobface a través de Blogspot, 155 Campaña de phishing orientada a usuarios de MSN, 157 Pornografía. Excusa perfecta para la propagación de malware II, 158 Rompiendo el esquema convencional de infección, 160 Propagación automática de códigos maliciosos vía http, 162 Eficacia de los antivirus frente a ZeuS, 165 Green IT utilizado para la propagación de scareware, 166 La peligrosidad de una nueva generación de bootkits, 170 Bootkit multiplataforma al ataque. ¿La resurrección de los virus de arranque?, 171 Waledac/Storm. Pasado y presente de una amenaza latente, 172 Campaña de propagación/infección lanzada por Waledac, 175 Propagación de Malware a través de formato de blogging y BlackHat SEO, 177 Simbiosis del malware actual. Koobface, 179 Supuesto Códec para crear videos HD utilizado como carnada para scam, 181 Scareware. Repositorio de malware In-the-Wild, 183 Pornografía. Excusa perfecta para la propagación de malware, 185 Masiva propagación de malware a través de falsos sitios de entretenimiento, 187 Scareware. Estrategia de engaño propuesta por Personal Antivirus, 189 Campaña de Ingeniería Social visual orientada a plataformas Mac OS X, 190 Estrategia BlackHat SEO propuesta por Waledac, 192 Ingeniería Social visual y el empleo de pornografía como vector de infección, 194 Ingeniería Social visual y el empleo de pornografía como vector de infección II, 196 Campaña de propagación del scareware MalwareRemovalBot, 197 Continúa la importante y masiva campaña scareware, 199 Falsas páginas utilizadas como vector de propagación de malware, 201 Drive-by-Download y Drive-by-Update como parte del proceso de infección, 203 Waledac. Seguimiento detallado de una amenaza latente, 205 Conficker. Cuando lo mediático se hace eco de todos…, 207 Conficker II. Infección distribuida del gusano mediático, 209 Conficker III. Campaña de propagación de falsas herramientas de limpieza, 210 Conficker IV. Dominios relacionados... y controversiales, 211 Ingeniería Social visual para la propagación de malware, 213 Campaña de infección scareware a través de falso explorador de Windows, 214 Estrategia de infección agresiva de XP Police Antivirus, 216 Campaña de propagación de XP Police Antivirus a través de IS Visual, 220 Google Grupos nuevamente utilizado para diseminar porno spam, 221 Más Waledac en acción ¿Puedes adivinar cuánto te amo gano?, 222 AntiSpyware 2009 amplia su oferta maliciosa y utiliza dominios .pro, 223 Waledac más amoroso que nunca, 225 Estrategias de engaño, spam y códigos maliciosos, 227 Waledac e Ingeniería Social en San Valentín, 230 Propagación masiva de malware en falsos códecs, 232 Drive-by Update para propagación de malware, 233 MySpace susceptible a amenazas a través de XSS, 234 Nueva estrategia de IS para diseminar scareware, 235 Técnicas de engaño que no pasan de moda, 236 Atacando sistemas Mac a través de falsa herramienta de seguridad, 237 Ataque de malware vía Drive-by-Download, 238 7 Seguridad "electrónica" y propagación de malware, 239 Malware preinstalado, 240 Anexo I. Otros Exploits Pack que se investigaron , 242 Anexo II. PHP Shell Attack PHP Shell Attack I - SimShell, 248 PHP Shell Attack II - DiveShell, 249 Anexo III. Compendio mensual de información , 251 Anexo IV. Waledac/Storm Línea de tiempo Storm/Waledac ’07-‘09, 255 Línea de tiempo Storm/Waledac 2007, 256 Línea de tiempo Storm/Waledac 2008, 257 Línea de tiempo Storm/Waledac 2009, 258 Puntos de diseminación de Waledac, 259 Diseminación de Waledac desde Argentina, 260 Índice de imágenes , 261 8 Agradecimientos Dedicarle tiempo a cualquier proyecto que uno encare en la vida, significa restar ese tiempo y energía depositada en ello a otras personas; esposa, hijos, padres, hermanos, amigos, trabajo y cualquier ser querido, sobre todo, cuando el tiempo no constituye un factor del cual podamos disponer a placer. Por lo tanto, quiero agradecer, aunque quizás no se enteren, a mi familia, por soportar verme sentado frente a la computadora hasta altas horas de la noche y durante muchos días libres que podría disfrutar junto a ellos. A mis padres, por forjar en mí el espíritu de tolerancia y sacrificio. A mis hermanos y amigos por apoyar lo que hago y lo que me gusta, a mis seres queridos con quienes cotidianamente comparto la vida desde un ángulo laboral por fortalecer en mí las ganas de continuar por el mismo camino. A los lectores de mis cosas, porque independientemente de la satisfacción personal que implica esta labor, existe un objetivo encubierto que es el de compartir con ellos la información que resulta de diversas investigaciones, aunque esa información sea parcial por la misma naturaleza de la investigación.