Detectar y matar antivirus con un JS
mayo 6, 2013 § Dejar un comentario
En el reciente ataque al Departamento de Trabajo y el de Energía de Estados Unidos (DoL), en el cual se utilizó un exploit 0-Day de Internet Explorer 8, también se utilizaron una serie de Javascripts curiosos y uno de ellos se utiliza para detectar las aplicaciones instaladas en el sistema del usuario y, si encuentra un antivirus, se encarga de desactivarlo.
La lista de antivirus es la siguiente:
- Avira
- Bitdefender 2013
- Mcafee Enterprise
- AVG 2012
- ESET NOD 32
- Dr.Web
- MSE
- Sophos
- F-Secure 2011
- Kaspersky 2012 y 2013
Luego de descargado el código y con unos pequeños retoques he logrado hacerlo funcionar sin problemas en Internet Explorer y Firefox sobre Windows 8. Las modificaciones realizadas apuntaron a solucionar algunos problemas con la detección de las aplicaciones instaladas y a mostrar dichas aplicaciones en pantalla:
De todos modos es simple agregar nuevos “modulos” para mejorar la detección, hacerlo funcionar en otros navegadores y/o sistemas operativos y permitir desactivar los antivirus o aplicaciones que se desee.
El “código dañino” es detectado por pocos antivirus pero supongo que con el pasar de los días este número aumentará. De todos modos seguramente esta “herramienta” irá mejorando y no pasará mucho tiempo antes de que sea incluida en los Exploits Packs de forma ofuscada, para dificultar su detección y facilitar el ataque por parte de los delincuentes.
Cristian de la Redacción de Segu-Info
36 países utilizan el software #FinFisher para espiar a sus ciudadanos
mayo 6, 2013 § Dejar un comentario
Los gobiernos de 36 países están utilizando un software avanzado para espiar a sus ciudadanos, según reveló un nuevo informe del centro canadiense de investigación Citizen Lab [PDF].
Los países son: Australia, Austria, Bahrain, Bangladesh, Brunei, Bulgaria, Canada, Czech Republic, Estonia, Ethiopia, Germany, Hungary, India, Indonesia, Japan, Latvia, Lithuania, Macedonia, Malaysia, Mexico, Mongolia, Netherlands, Nigeria, Pakistan, Panama, Qatar, Romania, Serbia, Singapore, South Africa, Turkey, Turkmenistan, United Arab Emirates, United Kingdom, United States, Vietnam.
Se trata del kit de herramientas, conocido como FinFisher o FinSpy, que se instala después de que el destinatario acepte la actualización falsa de un software de uso común. El kit está diseñado para evitar ser detectado por los programas antivirus.
La aplicación fue desarrollada por la compañía británica Gamma International UK Ltd, que vende su producto exclusivamente a los gobiernos. El centro descubrió que el FinSpy “hace uso de la marca y código de Mozilla”, lo que le ayuda a despistar a los usuarios.
La investigación encontró pruebas de que FinFisher fue utilizada contra activistas en Bahrein y Emiratos Árabes Unidos y se analizaron las variantes móviles de la suite. Más recientemente se ha documentado la proliferación global de servidores de comando y control FinFisher.
Morgan Marquis-Boire, uno de los autores del informe del Citizen Lab, señaló que la extensión del FinFisher “realmente demuestra la ubicuidad de este tipo de programa”, según lo cita AP.
Por su parte, Mozilla, la fundación que ha creado el navegador Firefox, no tardó en reaccionar al informe, acusando a Gamma International Ltd. de utilizar el navegador para que el FinSpy no sea detectado por los usuarios, lo que tachó de una táctica abusiva, y exigió que “detenga inmediatamente estas prácticas”.
A finales del pasado mes de marzo el Partido Pirata de Alemania acusó a la Policía Criminal Federal de ese país de gastar millones de euros en lo que calificaron como “software de espionaje inconstitucional”, refiriéndose e este mismo kit de herramientas.
Fuente: RT y Citizenlab
Confirman 0-Day en Internet Explorer 8 (DoL)
mayo 6, 2013 § Dejar un comentario
Microsoft ha confirmado la existencia de una vulnerabilidad 0-Day para la que no hay solución y que afecta a su navegador web Internet Explorer 8. De acuerdo con múltiples empresas de seguridad, la vulnerabilidad se está utilizanda en ataques tipo Watering Hole contra el Departamento de Trabajo y el de Energía de Estados Unidos, incluyendo a los empleados de este último organismo involucrado en la investigación de armas nucleares.
La web del Departamento de Trabajo de los EE.UU. fue comprometida y el código malicioso propagado era capaz de detectar y desactivar algunos productos antivirus. Algunas personas ha dicho que esta es la vulnerabilidad ya parcheada CVE-2012-4792 pero el exploit actual (conocido como CVE-2013-1347 – DoL – Department of Labor) no utiliza este objeto en absoluto. Exodusintel ha hecho una excelente valoración crítica sobre la vulnerabilidad.
Ya se han publicado extensos análisis del exploit y del código propagado y subido a los servidores del gobierno.
En primer lugar, sólo Internet Explorer 8 es vulnerable a este exploit. El problema ha sido verificado en todas las versiones Windows XP, Vista, 7 y 8. Microsoft quizás lance una actualización fuera de su calendario habitual de parches, aunque no está confirmado. La firma ha confirmado que las versiones IE9 e IE 10 no están afectados por este fallo 0-Day, por lo que es un buen momento para actualizar.
La vulnerabilidad estaría siendo explotada por la herramienta de administración remota Poison Ivy, conocida pieza de malware a menudo utilizada por ladrones de información para extraer documentos confidenciales y otros archivos de redes corporativas y gubernamentales.
Mientras tanto, Metasploit ya ha liberado el módulo correspondiente.
Cristian de la Redacción de Segu-Info
Autor de SpyEye extraditado a EE.UU.
mayo 5, 2013 § Dejar un comentario
Hamza Bendelladj, también conocido como “Bx1″, se enfrenta a 23 cargos en Atlanta, Georgia. El argelino vinculado a la creación del troyano SpyEye, diseñado para robar información personal y financiera, fue extraditado de Tailandia a Estados Unidos para enfrentar cargos sobre robo de cuentas y dinero a clientes de 200 bancos e instituciones financieras, por un monto de U$S100 millones en los últimos cinco años. Hay una segunda persona acusada pero que no ha sido identificada.
Según un informe publicado el año pasado por las empresas de seguridad de McAfee, alrededor de una docena de grupos de delincuencia han estado utilizando variantes de Zeus y SpyEye, para automatizar el proceso de robo de dinero de cuentas bancarias. Los fondos robados son transferidos a tarjetas de débito de prepago o a cuentas controladas por muleros, lo que permite a las mulas para retirar el dinero y enviarlo a los delincuentes.
De acuerdo con documentos de la corte, entre 2009 y 2011, Bendelladj y otros desarrollaron, comercializaron y vendieron varias versiones y componentes del troyano SpyEze. Bendelladj anunciaba el malware en los foros de cibercrimen y uno de los C&C se encontraba en servidores de Atlanta.
Si es declarado culpable, Bendelladj enfrenta hasta 30 años de prisión por conspiración para cometer fraude bancario, y hasta cinco años por conspiración para cometer fraude informático. El hombre también puede recibir una multa de hasta U$S14 millones.
Cristian de la Redacción de Segu-Info
AVATAR: un rootkit que promete grandes novedades y con precio de oferta
mayo 4, 2013 § Dejar un comentario
Aparece en el mercado (negro) un nuevo rootkit que según sus creadores “no es detectado por los antivirus ni por los famosos antirootkit GMER o RKU”.
En la carta de presentacion, los creadores aclaran que el rootkit no está a la venta, solo en alquiler y a un precio promocional de lanzamiento y aclaran que todavía no funciona correctamente en sistemas x64, sólo en los sistemas basados en i386.
El tamaño del ejecutable es de 120 Kb sin empaquetar y sus 327.416 líneas de codigo fueron escritas en C++ y ASM.
Tiene varias novedades para los “chicos malos”, por ejemplo trae un SDK para desarrollo llamado ASDK (Avatar Software Development Kit) y una biblioteca ARTL (Avatar Runtime Library) y una WinAPI, es decir, todo el paquete necesario para el desarrollador. El malware basa su supervivencia mediante el uso de exploits basados en Metasploit y 0-Days y no se guarda en disco sino que se carga directamente desde la memoria, lo que le permite saltear UAC y la lista blanca de software firmado de Windows.
Después de cargar correctamente el controlador del rootkit, Avatar ejecuta un algoritmo para infectar a los controladores del sistema con el fin de sobrevivir al reinicio del sistema. Con el fin de realizar su infección, Avatar elige al azar un driver y comprueba su nombre en una lista negra que varía para cada versión de Windows.
También en la presentacion en sociedad de AVATAR recuerdan los “viejos tiempos” donde uno podía mantener una botnet muchísimo tiempo sin ser descubierto y donde las botnets crecian rápidamente al igual que la monetizacion de las mismas. El negocio actual esta muy complicado y los tiempos son difíciles y, en muchos casos estan al borde del rojo financiero. Melancólicamente recuerdan el cierre de botnets de gran alcance como Waledac, Coreflood, Kelihos, Rustock y Conficker… por lo que proponen un metodo novedoso de C&C mediante conexiones cifradas con RSA de 1024 bits lo que hace más difícil la detección. Como novedad, para método de control AVATAR no utiliza los clasicos C&C sino que utiliza un híbrido entre un c&C y Grupos de Yahoo!.
Aclaran que el bajo precio es por la falta de soporte para x64 y por su debut en el mercado y que luego irán acomodando los precios para garantizar que sólo los “profesionales” tengan acceso.
La buena noticia para nosotros, los chicos buenos, es que los antivirus ya comienzan a analizarlo en profundidad y a detectarlo y pronto el todos los antivirus lo harán.
Adolfo de la Redaccion de Segu-Info (@adolfofioranell)
Linux/Cdorked.A: nuevo backdoor Apache utilizado masivamente para propagar Blackhole
abril 29, 2013 § Dejar un comentario
La siguiente publicación es una adaptación y traducción del post “Linux/Cdorked.A: New Apache backdoor being used in the wild to serve Blackhole” escrito por Pierre-Marc Bureau y publicado en We Live Security.
La semana pasada, nuestros amigos de Sucuri nos enviaron una versión modificada de un servidor web Apache que redirigía algunas de las peticiones hacia el paquete de exploits Blackhole. El análisis de este malware reveló que se trata de un sofisticado backdoor (troyano de puerta trasera) que implementa técnicas de ocultamiento, y cuyo objetivo es redirigir el tráfico hacia sitios maliciosos. Considerando esto, recomendamos encarecidamente a los administradores de sistemas web comprobar que sus servidores se encuentren libres de esta amenaza. Las instrucciones para realizar este procedimiento se detallarán al final de este post.
Linux/Cdorked.A es uno de los backdoor para Apache más sofisticados que hemos observado. Pese a que aún continuamos procesando los datos, nuestro sistema de alerta temprana reporta cientos de servidores comprometidos, incluidos algunos en América Latina. Por otro lado, el troyano casi no deja rastros en el disco duro del sistema infectado. Lo único que queda es el binario httpd modificado, lo que dificulta cualquier análisis forense. Toda la información relacionada a este backdoor es almacenada en un área de memoria compartida. Asimismo, la configuración es enviada por el atacante a través de peticiones HTTP ofuscadas que no son registradas en el log de Apache. Esto significa que no se almacena ninguna información del Centro de Comando y Control en el sistema afectado.
Vulnerabilidades usadas por los Exploit Kit
abril 29, 2013 § 1 comentario
Recientemente se ha publicado la última versión de una tabla colaborativa en la que se detallan qué “exploits packs” intentan explotar qué vulnerabilidades [Google Docs] además de otros datos relevantes sobre los kits y sus posibilidades. Se observa de forma esquemática qué fallos son los más codiciados y utilizados.
Hoy, la mayor amenaza se encuentra en el navegador. Sus vulnerabilidades y las de los plugins que exponen al exterior, permiten a los atacantes ejecutar código en el sistema con solo visitar una web. Los exploits packs son los encargados de recopilar esos fallos, crear exploits y “servirlos” a la víctima según su perfil. A cada usuario se le buscará la vulnerabilidad adecuada que explotar, y el payload que lanzar. Con este esquema se mueven las grandes mafias desde hace años, alquilando o distribuyendo estos exploits kits para esparcir su malware.
En la tabla se analizan unos 50 exploits kits (contando las diferentes versiones de un mismo kit) que se han conocido desde 2011 a 2013. Observamos así a primera vista ya diferencias entre algunos. Si bien BlackHole es de los más reconocidos y prolíficos, no es el que contiene un mayor número de exploits en su arsenal. Unos 6 u 8 (es complicado ser exactos puesto que el usuario del kit puede añadir a su gusto). Sin sorpresas, todas las vulnerabilidades están destinadas a Java. La última que se le conoce es la CVE-2013-0431 que afecta a 7u11. El otro exploit kit por excelencia, el Cool Pack, es el que más exploits contiene. Quizás 20. 8 de Java, 4 de Internet Explorer y 2 contra Adobe PDF reader (incluyendo el 10).
La vulnerabilidad reciente más “famosa” entre los kits, presente en más de 20, es CVE-2012-1723. De esta vulnerabilidad ya hemos hablado en una-al-día (en la que se llegó a afirmar con la intención de llamar la atención sobre el grave problema que suponía: “Si no actualizas Java, estás infectado“. Se hizo extremadamente popular en 2012 y fue prácticamente el pistoletazo de salida para el calvario de Java, una especie de ensañamiento de los atacantes contra esta tecnología. Se trataba de un fallo de diseño, no una vulnerabilidad en la máquina virtual. Fue solucionada el 12 de junio de 2012.
BadNews, malware para Android descargado 9 millones de veces
abril 22, 2013 § Dejar un comentario
Lookout Security ha descubierto una nueva familia de malware llamado BadNews que comenzó su reproducción a través de Google Play y ha sido descargado alrededor de 9 millones de veces en todo el mundo.
La compañía descubrió el malware en 32 aplicaciones, desarrolladas por cuatro cuentas diferentes en Google Play. Google fue notificada y la empresa ya retiró las aplicaciones afectadas y eliminó a los desarrolladores asociados a ellas. Lookout ha identificado tres servidores de Comando y Control en Rusia, Ucrania y Alemania.
Los autores de Badnews crearon una red de publicidad maliciosa, tiene la capacidad de enviar mensajes y noticias falsas, y solicita a los usuarios que instalen aplicaciones que envían información confidencial al Centro de Comando y Control (C&C), como el número de teléfono y el ID de dispositivo.
Para estar seguro sobre la fuente de las aplicaciones descargadas se puede verificar que la configuración de Android no tenga marcada la opción “Fuentes Desconocidas”, para no permitir la instalación de aplicaciones no confiables.
Cristian de la Redacción de Segu-Info
Magic Malware: APT que infecta sistemas en UK
abril 20, 2013 § Dejar un comentario
Se ha descubierto un programa malicioso que ha estado atacando a compañías británicas por casi un año sin ser detectado. Los investigadores de Seculert, la compañía de seguridad que descubrió el programa, lo nombraron “Magic Malware”. Ha infectado miles de equipos de organizaciones y empresas relacionadas con la educación, finanzas, telecomunicaciones, etc.
Magic Malware usa un protocolo personalizado para autenticarse a sí mismo y se comunica con los cibercriminales mediante una conexión HTTP conectada a un servidor de comando y control. Esto facilita que los delincuentes envíen órdenes a los equipos infectados para tratar de controlarlos y poder acceder a la información que tienen almacenada.
Seculert dice que es muy posible que este programa malicioso todavía esté en desarrollo. “Hemos visto muchos indicios de características que todavía no están implementadas y funciones que el malware todavía no utiliza”, aseguró Seculert. Aun así, el programa está activo y estuvo operando en los equipos infectados por 11 meses sin ser detectado.
“Todavía no conocemos la verdadera intención de los atacantes responsables de este malware. Como el programa puede establecer una puerta trasera, robar información e inyectar HTML en el navegador, creemos que la fase actual del ataque consiste en vigilar las actividades de las entidades a las que ataca”,.
Fuentes: Viruslist
Curiosidades sobre la botnet vOlk
abril 19, 2013 § Dejar un comentario
Vamos a mostrar algunas curiosidades técnicas de la botnet vOlk, un software de gran “éxito” entre los atacantes de Latinoamérica que está suponiendo un problema para todos los bancos de países como Perú, México, Costa Rica, Chile, Colombia… Muchos ya la han estudiado, pero vamos a repasar aquí sus principales características y algunos errores.
vOlk es una “suite” para crear una botnet. Como muchas otras que operan en Latinoamérica, se compone principalmente de su panel de control en PHP y MySQL, que se colgará en alguna web (comprometida o no) y desde el que se darán órdenes a los clientes. Los clientes son el segundo componente. En el caso de vOlk se trata de un sencillo programa programado en Visual Basic 6 y que infecta a los usuarios. El programa se configura para recibir órdenes del panel de control, se compila, y se distribuye entre las víctimas.
La botnet vOlk apareció hace unos tres años, ha conseguido mucha popularidad y está pensada principalmente para ser un troyano bancario sencillo basado en el pharming (cambio de hosts). Esta simple técnica, que se utiliza desde hace muchos años, sigue siendo efectiva. Requiere de pocas habilidades por parte del atacante y de una infraestructura básica. Solo con eso se pueden obtener importantes beneficios.
