ZeuS timeline

noviembre 28, 2013 § Deja un comentario

En esta serie de posts vamos a presentar un resumen de las diferentes versiones y ramificaciones de la familia de troyanos ZeuS, amenaza que vimos nacer hace ya casi 7 años, y que todavía hoy, en su versión evolucionada, sigue siendo la herramienta preferida para atacar mayormente a entidades financieras.

En la línea de tiempo superior se puede ver claramente cómo ha sido la evolución del mismo y, sobre todo, la explosión de variantes posterior al filtrado del código fuente.

De esta manera, la rama 1.x dio lugar a diferentes versiones, si bien la versión 1.2.4.2 fue la que más éxito tuvo. Es por eso que la gente metida en el mundillo seguro que reconocerá rápidamente el fichero sdra64.exe como un ZeuS 1.2.x.

Durante la evolución del mismo, se han podido observar diferentes mejoras tanto en funcionalidades como en protección, y es que durante los años 2008 y 2009 se mantuvo un desarrollo continuado que dio lugar a las versiones 1.1 a la 1.4, momento en el que se da un lavado de cara y se pasa a la versión 2.0.

A finales de 2009, con el troyano consolidado como el rey (con permiso de SpyEye) de los troyanos bancarios, surge esta nueva versión, que marcará un antes y un después con el filtrado del código fuente de la versión 2.0.8.9 en abril-mayo de 2011.

Si nos fijamos en esa fecha, se puede observar que ya existen variantes antes de esa filtración, lo que puede indicar una compra del código fuente o la verdadera evolución de ZeuS por parte de su desarrollador como se rumorea. De ahí surgió Licat, la variante más evolucionada de todas y que actualmente se conoce como Murofet. Cabe recordar que esta variante utiliza un algoritmo de generación de dominios desde sus inicios y actualmente como backup al sistema P2P de comunicación, lo que dificulta su uso como variante comercial tipo Crimeware.

También se pueden observar otras variantes menos relevantes como la que denominamos ZeuS Cryptless, debido a que se parece mucho al ZeuS 2.x estándar, pero no incluye cifrado de strings, por ejemplo, así como la variante que denominamos ZeuS Process o ZeuS Tasks, que tienen la peculiaridad de no inyectarse en el proceso explorer.exe y terminar, sino que mantendrán el proceso en memoria y, como el nombre indica, utilizará las tareas de Windows para ejecutarse, además de ser utilizado para cometer Click Fraud.

Tras el filtrado del código fuente, han ido apareciendo paulatinamente diferentes versiones, con más o menos modificaciones, desde ICE-IX (cuyas nuevas versiones son conocidas como ZeuS 4.3.3.3), una versión ZeuS 2.3.2.0 que utiliza AES como algoritmo de cifrado, el plugin bancario de Ramnit que dota a este virus de una nueva funcionalidad, la versión que utilizaba Tor para comunicarse con el panel de control, conocida como Skynet, la versión que utiliza SSL, o la más famosa y elaborada Citadel, además de las más recientes KINS y PowerZeuS.

Así pues, el panorama de las variantes de ZeuS se torna cuanto menos complejo, y ya requiere un esfuerzo para mantenerse al día de las diferentes versiones de esta misma familia, que 7 años después, sigue siendo una de las mayores amenazas para el sector financiero. En el siguiente post se detallarán algunas de las diferencias encontradas entre las diferentes variantes comentadas aquí. Mientras tanto… si has visto alguna que no hayamos contemplado, puedes dejar tu comentario 🙂

Continuar leyendo ZeuS timeline Parte II y Parte III

Fuente: S21sec

Anuncios

T-1000, Botnet basadas en el navegador

noviembre 15, 2013 § Deja un comentario

Según informan en Incapsula se ha detectado un ataque DDoS basado en el browser y lo han denominado con el simpático nombre de T-1000.
La botnet está formando por miles de navegadores ejecutando copias de PhantomJS, una herramienta de desarrollo que utiliza un navegador con plena capacidad de navegación pero sin interfaz de usuario, sin botones, sin barra de direcciones, etc. Originalmente el objetivo de PhantomJS es la automatización y monitorización de sitios pero utilizado de esta manera se ha transformado en una herramienta de ataque.

El ataque actual ha durado más de 150 horas, durante las cuales se han registrado más de 180.000 IPs atacando desde todo el mundo.

En términos de volúmenes, el ataque alcanzó a 6.000 hits/segundo y un promedio de +690.000.000 visitas diarias. El número de IPs, así como su variedad geográfica, inicialmente llevó a creer que podría tratarse de un esfuerzo coordinado, que involucraría a más de una botnet. Durante la duración del ataque se vieron 861 variantes de user-agent para evadir las defensas y se utilizaron diversas variantes de Chrome, Opera y FireFox.

Es interesante notar que en un esfuerzo para imitar el comportamiento humano y para evitar las reglas de seguridad basadas en comportamiento, los atacantes aprovecharon el número de IPs disponibles para intentar evitar la detección.

Cristian de la Redacción de Segu-Info

BotFrei, un "antivirus para Botnet"

septiembre 26, 2013 § 1 comentario

Este Centro de Asesoramiento Anti-Botnet, creado por la Oficina Federal para Seguridad en la tecnología de la información (BSI) de Alemania, ayuda a eliminar infecciones botnet de el sistema. Para cumplir su objetivo colaboran con varios proveedores de Internet que informan a los clientes afectados (en Alemania).

Los botnets son una herramienta estructural para la criminalidad en Internet y son una de las mayores fuentes de ingresos ilegales de los delincuentes y este entro busca reducir significativamente la cantidad de ordenadores infectados por en el mundo.

El centro de asesoramiento Anti-Botnet (ABBZ) apoya a los usuarios afectados. El ABBZ está formado por expertos que ayudan a limpiar el sistema y a protegerlo su ordenador de nuevos ataques.

El apoyo se realiza en varias fases: Para empezar se le informa al cliente afectado mediante el proveedor de Internet acerca de una posible infección con un programa dañino. A continuación se le invita a visitar esta página web en la que se le ofrece información y medios de ayuda para la autoayuda.

En la segunda fase de la oferta de apoyo se introduce el centro de asesoramiento independiente del proveedor: aquellos clientes que necesitan más asesoramiento serán guiados por teléfono a través de los pasos necesarios para eliminar el programa.

Además, en el sitio web explican cómo funciona una botnet y el daño que causan, y ofrecen herramientas para su detección y eliminación asi como para la prevención.

Las herramientas adicionales provistas son:

Sin duda no será la solución definitiva (porque no existe) pero es una alternativa más a tener en cuenta para informarse.

Cristian de la Redacción de Segu-Info

Una botnet de un millón de navegadores

agosto 7, 2013 § 1 comentario

Ayer tuvimos la oportunidad de escuchar la presentación “Million Browser Botnet” brindada por Jeremiah Grossman y Matt Johansen. A lo largo de la misma explicaron y demostraron cómo de manera muy sencilla podían armar una botnet que utilizara navegadores web como clientes y publicidades online como medio de propagación. De esta manera fueron capaces de controlar virtualmente millones de clientes en una cuestión de horas.

Los disertantes abrieron la charla diciendo que podían forzar “nuestros” navegadores a hacer cualquier cosa, incluso sin recurrir al uso de Java. Para esto, demostraron como con un pequeño script en HTML5 podían forzar a un navegador a conectarse a un sitio realizar la máxima cantidad de conexiones simultaneas permitidas, 6 en promedio (dependiendo del navegador). Pero esta cantidad de conexiones no eran suficientes para ellos, por lo que demostraron como podían subir ese valor por medio de solicitudes FTP, saltando de 6 conexiones concurrentes a más de 250.

Luego, se enfocaron en la propagación de la amenaza, para lo cual mencionaron: “La mejor forma de inyectar código es comprando un espacio de publicidad online”. Es así como demostraron que por solo algunos pocos dolares (menos de 50) podían comprar un espacio de publicidad por un determinado tiempo. Para sobrepasar los controles del código por parte de la entidad utilizada simplemente colocaron un IFRAME (referencia a otro sitio) el cuál apuntara a un sitio que ellos gestionaran de manera de poder cambiar el contenido luego de aprobada la publicidad.

Con la publicidad armada, el código preparado y el monitoreo de los servicios activos comenzaron a medir el impacto de esta infraestructura a medida que los usuarios hacían clic en la tentadora promoción. En tan solo 35 minutos, ya habían logrado más de 100.000 accesos. Luego, modificando el script para que utilice solicitudes FTP y al termino de 8.5 horas, habían logrado más de 4.000.000 de accesos y un total de 114,7 GB de tráfico.

Esto claramente generó que su servidor web se cayera por no poder procesar tantas solicitudes simultaneas, generándose así lo que se conoce en el ambiente como un DDOS (Ataque de denegación de servicio distribuido).

Este se puede considerar el climax de la presentación, el público estalló en aplausos. Sin embargo, los presentadores aún tenían un as bajo la manga. Mencionaron que ciertas plataformas licenciadas de gestión de publicidades (estas pueden ser descargadas directamente al servidor web) poseían vulnerabilidades que permitían modificar las publicidades, reduciendo todo el procedimiento antes mencionado a la explotación del servidor y a la inyección del IFRAME malicioso.

Para concluir, recomendaron la utilización de herramientas de bloqueo de publicidades y dejaron una pregunta abierta al publico: “¿Quién es responsable de esto? ¿Los browsers, los servidores, los servicios de publicidad?”. Si bien este tipo de ataques no son algo nuevo, es notable que permanezcan 100% funcionales y no se hayan observado cambios en los sistemas para remediarlos o prevenirlos.

En 2011 Trend Micro también había experimentado con estas Botnets.

Fuente: ESET Latinoamérica

Botnets TOR: una tendencia en crecimiento

julio 29, 2013 § Deja un comentario

La siguiente publicación es una traducción y adaptación realizada por el equipo de ESET Latinoamérica del post “The rise of TOR-based botnets“, escrito por Anton Cherepanov y Aleksandr Matrosov y publicado en We Live Security.

Las botnets basadas en Tor}no son un concepto totalmente nuevo, ya que se viene hablando de ellas desde el evento Defcon 18 (“Resilient Botnet Command and Control with Tor“). Sin embargo, durante el último año hemos podido confirmar algunos hechos interesantes respecto al uso de estas ideas en botnets reales. Así, a principios del 2013 este tema fue discutido en un post en el blog de Rapid7 (“Skynet, a Tor-powered botnet straight from Reddit“). Además, los primeros días de julio Dancho Danchev publicó información acerca de un Centro de Comando y Control (C&C) basado en Tor, para un rootkit en ring-3.

Hemos estado siguiendo de cerca el crecimiento de las botnets basadas en Tor estos últimos meses. En julio se detectaron dos familias de malware distintas que utilizan el protocolo de servicios ocultos que brinda Tor, para lograr una comunicación más sigilosa con el C&C. Este protocolo, si bien es especialmente bueno para organizar un canal de comunicaciones silencioso con el C&C, es muy lento para transportar grandes volúmenes de datos robados en las máquinas infectadas. Luego, la utilización de esta técnica resulta útil para los cibercriminales cuando se necesita comunicación simple con el C&C, para obtener actualizaciones en la configuración, o para descargar módulos maliciosos adicionales desde el C&C.

En julio, desde ESET detectaron dos tipos distintos de botnets basadas en Tor, variantes de Win32/Atrax y Win32/Agent.PTA respectivamente. Ambas botnets tienen funcionalidades para capturar datos de formularios web, posibilitando la realización de fraudes. En particular, la botnet Atrax es más compleja e interesante, por lo que será analizada en mayor detalle en este post.

Contenido completo en fuente original ESET España

Filtrado el código fuente del troyano Carberp

junio 25, 2013 § 2 comentarios

El código fuente del troyano Carberp, que normalmente se vende por U$S40.000 en mercado negro, se ha filtrado y ya está disponible en Internet. La filtración se parece a la liberación del código fuente de crimeware Zeus hace un par de años.

El código fuente Carberp apareció en línea la semana pasada (MD5 del archivo RAR: 510666843544b66bf67a9b3d739d2f56), pero el archivo comprimido que contiene el código fuente estaba protegido por contraseña. Hoy la contraseña finalmente también se publicó. DCarberp era un kit de crimeware privado utilizado mayormente en Rusia. Varios miembros de la supuesta organización fueron detenidos en Rusia en 2012 y unos meses más tarde una versión comercial del troyano Carberp apareció en el mercado, con un precio de 40.000 dólares.

Ese precio alto controló de alguna manera que el código estuviera disponible para cualquiera pero ahora que el código fuente está disponible libremente, dará capacidad a los atacantes para robar grandes cantidades de datos sensibles de los usuarios infectados. Cuenta con un conjunto de plugins que sirven para deshabilitar aplicaciones antimalware y también es capaz de encontrar y matar a otras piezas de malware en la máquina. Las nuevas versiones del troyano Carberp también incluyen un bootkit, un conjunto de funciones que infectan PCs en el nivel más bajo y mantener la persistencia.

Al igual que con la fuga del código fuente de ZeuS, en mayo de 2011, esto significa que los delincuentes tienen todas las posibilidades de modificar e incluso añadir nuevas características al troyano. Sin dudas las liberación del código no es una buena noticia para los consumidores porque pondrá al crimeware en manos de un grupo mucho mayor de atacantes, poniendo en riesgo a más usuarios. Sin embargo, también permite a los investigadores de seguridad dar una mirada profunda al malware y su funcionamiento interno.

Actualización: el código ahora se encuentra en GIT.

Cristian de la Redacción de Segu-Info

Análisis de ZeuS-P2P

junio 11, 2013 § Deja un comentario

El título del post da referencia a un informe que se ha liberado hace unos días por parte del CERT de Polonia. El informe detalla el funcionamiento del troyano bancario ZEUS/P2P también conocido como GameOver.

Como sabéis un troyano bancario tiene como finalidad acabar robando dinero de las cuentas de particulares y de empresas. Para ello, utiliza inyecciones en el navegador, cambia el archivo hosts de la máquina, entre otras acciones.

Si alguien quiere tener mas información, puede consultar esta infografía de Kaspersky.

La versión Zeus y la versión P2P de Zeus son distintas.

¿Que cambios hay en la nueva versión?

  • Comunicación P2P: La estructura tradicional del malware es que cuando infecta la máquina y el troyano roba los datos, los comunica a su panel de control central. La configuración i/o nuevas versiones del malware también se descarga del C&C.
  • DGA: En el caso de que el troyano no pueda comunicarse con la red P2P, genera dominios de manera automática. Estos dominios se pueden generar en base a distintos factores pero el mas usado suele ser en base al día y el mes.
  • Recursos firmados: Para prevenir la distribución de bots firmados por alguien que no sea el BotMaster, esta versión de GameOver usa clave del tipo RSA.
  • Cambios en el algoritmo de compresión: La versión de Zeus anterior usa ULC una implementación Open Source de del algoritmo NRV. En esta nueva versión usa funciones de una librería zlib.
  • Cifrado adicional: Los datos almacenados se guardan con una sola clave.
  • DDoS: Es capaz de lanzar ataques de este tipo.
  • HTTP via P2P: Es capaz de usar servidores P2P para las comunicaciones HTTP.
  • PCRE: La implementación de PCRE para la creación de reglas.

En el informe también se comenta que parte del código de la versión 2.0.8.9 ha sido reescrito.

Webfilters

Dependiendo del dominio que tenga configurado el troyano capturará los datos de envio o no.
En el archivo de configuración las URL vienen ya configuradas con unos símbolos.

  • Símbolo ! => Se capturará toda la información que se envíe.
  • Símbolo @ => Se hará una captura de pantalla
  • Símbolo !*=>Se ignorará todo lo que venga de esas URL

Webinjects

Los troyanos bancarios se apoyan en un ficheros de inyecciones, cuando hookean el navegador y detectan que el usuario navega hacia la página que tiene configurada el troyano que va a atacar inyectan el código en sitios específicos.

Fuente: DragonJAR

¿Dónde estoy?

Actualmente estás explorando la categoría botnet en Seguridad Informática.