MalwareInt anual 2009 pdf

Jorge Mieres | Malware Intelligence Blog | [email protected]

http://mipistus.blogspot.com |http://malwareint.blogspot.com |http://malwaredisasters.blogspot.com| Diciembre, 2009

Malware Intelligence

Contenido

Agradecimientos, 8

¿Qué es Malware Intelligence?, 9

Malware Disasters Team, 9

Malware Intelligence Linkedin Group, 9

Panorama actual de negocio ocasionado por crimeware, 11 Los precios del crimeware ruso, 12

Sploit25, 12

Unique Sploits Pack, 12 Neon Exploit System, 12 XS[S]hkatulka, 12 Cripta Zeus(a), 12 ElFiesta Exploit Pack, 12 YES Exploit System, 13

PoisonIvy Polymorphic Online Builder, 13 FriJoiner Small y Private, 13

Genom Iframer, 13

CRUM Crypter Polymorphic, 13 Los precios del crimeware ruso. Parte 2, 14

CRUM Crypter Polymorphic v2.6, 14 CRUM Joiner Polymorphic v3.1, 14 Eleonore Exploit Pack v1.2, 14 Eleonore Exploit Pack v1.1, 14 Unique Sploits Pack v2.1, 15 Adrenaline, 15

YES Exploit System v2.0.1, 15 YES Exploit System v1.2.0, 15 Barracuda Botnet v3.0, 15 ZeuEsta v7.0, 16

ZeuEsta v5.0, 16

ElFiesta Exploit Pack v3.0, 16 Liberty Exploit System, 16 Neon Exploit System, 17 Limbo trojan, 17

Fragus v1.0, 17

Comercio Ruso de versiones privadas de crimeware ¡Aproveche la oferta!, 18

Estado de la seguridad según Microsoft, 20

Framework Exploit Pack para botnets de propósito general Fusión. Un concepto adoptado por el crimeware actual II, 24 Una breve mirada al interior de Fragus, 24

Desarrollo de Botnets Open Source. “My last words”?, 27

QuadNT System. Sistema de administración de zombis I (Windows), 28 ZoPAck. Nueva alternativa para la explotación de vulnerabilidades, 29 ZeuS Botnet y su poder de reclutamiento zombi, 30

ZeuS, spam y certificados SSL, 33

Hybrid Botnet Control System. Desarrollo de http bot en perl, 36

Desarrollo de crimeware Open Source para controlar y administrar botnets, 37 Fragus. Nueva botnet framework In-the-Wild, 40

Liberty Exploit System. Otra alternativa crimeware para el control de botnets, 42 TRiAD Botnet III. Administración remota de zombis multiplataforma, 44

Eleonore Exploits Pack. Nuevo crimeware In-the-Wild, 46

TRiAD Botnet II. Administración remota de zombis multiplataforma, 48 TRiAD Botnet. Administración remota de zombis en Linux, 49

Especial!! ZeuS Botnet for Dummies, 52

ElFiesta. Reclutamiento zombi a través de múltiples amenazas, 54 Mirando de cerca la estructura de Unique Sploits Pack, 56

Fusión. Un concepto adoptado por el crimeware actual, 59 Botnet. Securización en la nueva versión de ZeuS, 60

YES Exploit System. Manipulando la seguridad del atacante, 62 Unique Sploits Pack. Manipulando la seguridad del atacante II, 65

ZeuS Carding World Template. Jugando a cambiar la cara de la botnet, 67 Adrenaline botnet: zona de comando. El crimeware ruso marca la tendencia, 69 Chamaleon botnet. Administración y monitoreo de descargas, 70

YES Exploit System. Otro crimeware made in Rusia, 72 Entidades financieras en la mira de la botnet ZeuS, 73 Barracuda Bot. Botnet activamente explotada, 76

Unique Sploits Pack. Crimeware para automatizar la explotación de vulnerabilidades, 78 ZeuS Botnet. Masiva propagación de su troyano, 79

Danmec Bot, redes Fast-Flux y reclutamiento de Zombis PC’s, 81 Framework Exploit Pack para botnets de propósito particular

Siberia Exploit Pack. Otro paquete de explois In-the-Wild, 85 RussKill. Aplicación para realizar ataques de DoS, 86

JustExploit. Nuevo Exploit Kit que explota Java, 87

DDoS Botnet. Nuevo crimeware de propósito particular, 88 T-IFRAMER. Kit para la inyección de malware In-the-Wild, 90 DDBot. Más gestión de botnets vía web, 95

Phoenix Exploit’s Kit. Otra alternativa para el control de botnets, 97

iNF`[LOADER]. Control de botnets, marihuana y propagación de malware, 98 LuckySploit, la mano derecha de ZeuS, 100

Servicios asociados al crimeware

Servicio ruso en línea para comprobar la detección de malware, 103 Nivel de (in)madurez en materia de prevención, 107

Automatización en la creación de exploits, 110

Software as a Service en la industria del malware, 112

Automatización de procesos anti-análisis a través de crimeware, 115 Automatización de procesos anti-análisis II, 116

Scripting attack. Explotación múltiple de vulnerabilidades, 118

Scripting attack II. Conjunción de crimeware para obtener mayor infección, 120 Explotación de vulnerabilidades a través de archivos PDF, 123

Explotando vulnerabilidades a través de SWF, 124 Explotación de vulnerabilidades a través de JS, 125

Phishing Kit. Creador automático de sitios fraudulentos, 127 Phishing Kit In-the-Wild para clonación de sitios web, 128

Phishing Kit In-the-Wild para clonación de sitios web, versión 2, 131 Creación Online de malware polimórfico basado en PoisonIvy, 132 Entendiendo las redes Fast-Flux, 133

Explotación masiva de vulnerabilidades a través de servidores fantasmas, 136 Análisis esquemático de un ataque de malware basado en web, 137

Inteligencia en la lucha contra el crimeware

Campaña de desinformación para propagar malware, 144 Espionaje informático a través de malware, 145

CYBINT en el negocio de los ciber-delincuentes rusos, 146

Inteligencia informática, Seguridad de la Información y Ciber-Guerra, 148 Campañas de propagación e infección

Exploit Pack y su relación con el rogue, 151

Testimonios sobre scareware y estrategia de credibilidad, 152 Anti-Virus Live 2010. Chateando con el enemigo, 153

Campaña de propagación de Koobface a través de Blogspot, 155 Campaña de phishing orientada a usuarios de MSN, 157

Pornografía. Excusa perfecta para la propagación de malware II, 158 Rompiendo el esquema convencional de infección, 160

Propagación automática de códigos maliciosos vía http, 162 Eficacia de los antivirus frente a ZeuS, 165

Green IT utilizado para la propagación de scareware, 166 La peligrosidad de una nueva generación de bootkits, 170

Bootkit multiplataforma al ataque. ¿La resurrección de los virus de arranque?, 171 Waledac/Storm. Pasado y presente de una amenaza latente, 172

Campaña de propagación/infección lanzada por Waledac, 175

Propagación de Malware a través de formato de blogging y BlackHat SEO, 177 Simbiosis del malware actual. Koobface, 179

Supuesto Códec para crear videos HD utilizado como carnada para scam, 181 Scareware. Repositorio de malware In-the-Wild, 183

Pornografía. Excusa perfecta para la propagación de malware, 185

Masiva propagación de malware a través de falsos sitios de entretenimiento, 187 Scareware. Estrategia de engaño propuesta por Personal Antivirus, 189

Campaña de Ingeniería Social visual orientada a plataformas Mac OS X, 190 Estrategia BlackHat SEO propuesta por Waledac, 192

Ingeniería Social visual y el empleo de pornografía como vector de infección, 194 Ingeniería Social visual y el empleo de pornografía como vector de infección II, 196 Campaña de propagación del scareware MalwareRemovalBot, 197

Continúa la importante y masiva campaña scareware, 199

Falsas páginas utilizadas como vector de propagación de malware, 201

Drive-by-Download y Drive-by-Update como parte del proceso de infección, 203 Waledac. Seguimiento detallado de una amenaza latente, 205

Conficker. Cuando lo mediático se hace eco de todos…, 207 Conficker II. Infección distribuida del gusano mediático, 209

Conficker III. Campaña de propagación de falsas herramientas de limpieza, 210 Conficker IV. Dominios relacionados... y controversiales, 211

Ingeniería Social visual para la propagación de malware, 213

Campaña de infección scareware a través de falso explorador de Windows, 214 Estrategia de infección agresiva de XP Police Antivirus, 216

Campaña de propagación de XP Police Antivirus a través de IS Visual, 220 Google Grupos nuevamente utilizado para diseminar porno spam, 221 Más Waledac en acción ¿Puedes adivinar cuánto te amo gano?, 222 AntiSpyware 2009 amplia su oferta maliciosa y utiliza dominios .pro, 223 Waledac más amoroso que nunca, 225

Estrategias de engaño, spam y códigos maliciosos, 227 Waledac e Ingeniería Social en San Valentín, 230 Propagación masiva de malware en falsos códecs, 232 Drive-by Update para propagación de malware, 233 MySpace susceptible a amenazas a través de XSS, 234 Nueva estrategia de IS para diseminar scareware, 235 Técnicas de engaño que no pasan de moda, 236

Seguridad "electrónica" y propagación de malware, 239 Malware preinstalado, 240

Anexo I. Otros Exploits Pack que se investigaron, 242

Anexo II. PHP Shell Attack

PHP Shell Attack I - SimShell, 248 PHP Shell Attack II - DiveShell, 249

Anexo III. Compendio mensual de información, 251

Anexo IV. Waledac/Storm

Agradecimientos

Dedicarle tiempo a cualquier proyecto que uno encare en la vida, significa restar ese tiempo y energía depositada en ello a otras personas; esposa, hijos, padres, hermanos, amigos, trabajo y cualquier ser querido, sobre todo, cuando el tiempo no constituye un factor del cual podamos disponer a placer.

Por lo tanto, quiero agradecer, aunque quizás no se enteren, a mi familia, por soportar verme sentado frente a la computadora hasta altas horas de la noche y durante muchos días libres que podría disfrutar junto a ellos. A mis padres, por forjar en mí el espíritu de tolerancia y sacrificio. A mis hermanos y amigos por apoyar lo que hago y lo que me gusta, a mis seres queridos con quienes cotidianamente comparto la vida desde un ángulo laboral por fortalecer en mí las ganas de continuar por el mismo camino.

A los lectores de mis cosas, porque independientemente de la satisfacción personal que implica esta labor, existe un objetivo encubierto que es el de compartir con ellos la información que resulta de diversas investigaciones, aunque esa información sea parcial por la misma naturaleza de la investigación.

También deseo reconocer con un especial agradecimiento a Joaquín Rodríguez Varela (Argentina) y Ernesto Martín (España), Vulnerability Research y Malware Research respectivamente en Malware Intelligence, por sus valiosísimas colaboraciones.

¡Muchas gracias a todos! Jorge Mieres

¿Qué es Malware Intelligence?

Malware Intelligence es un sitio dedicado a la investigación de todo lo relacionado con la seguridad anti-malware, crimeware y seguridad de la información en general, desde una perspectiva estrechamente relacionada con el ámbito de inteligencia.

http://mipistus.blogspot.com Español

http://malwareint.blogspot.com Inglés

Malware Disasters Team

Malware Disasters Team es una división de Malware Intelligence de reciente creación, en el cual se plasma información relacionada a las actividades que realizan determinados códigos maliciosos, ofreciendo también las contramedidas necesarias para contrarrestar las acciones maliciosas en cuestión.

http://malwaredisasters.blogspot.com Inglés

Malware Intelligence LinkedIn Group

Malware Intelligence es un proyecto que por el momento se encuentra en su etapa inicial y forma parte de un sitio web que a futuro estará disponible para toda la comunidad de Seguridad de la Información en general y Seguridad Antivirus en particular.

A continuación dejo una captura que corresponde a una de las secciones del sitio.

Actualmente el grupo cuenta con casi 100 miembros desde su creación en el mes de agosto de 2009 y por el momento no se han dado a conocer los proyectos (sin embargo espero poder hacerlo para arrancar con todo el próximo año). Todos aquellos que quieran participar son bienvenidos.

Agradezco que formen parte de este proyecto, entre los que se encuentran:

Ahmed Mustafa - Security Engineer at Ministry of Communications and Information Technology (Egipto) Alexander Matrosov - Senior virus researcher at ESET (Rusia) http://amatrosov.blogspot.com

Andres Riancho - Founder at Bonsai Information Security (Argentina) http://w3af.sourceforge.net Anwar Anabtawi - IT Tech Support at Obeikan-Riverdeep (Arabia Saudita) http://www.virusexperts.org Arief Prabowo - Malware Analyst at Emsi Software (Indonesia)

Arrizen Valcarcel - Virus Research at Panda Software International (España) Bhalaji d bhalaji - Network engineer at Technosoft global services (India) Bruce Cowan - Senior Consultant at Torstaff Personnel (Canadá)

Christian Navarrete - Penetration Tester (EE.UU) http://chr1x.sectester.net

Dani L. Creus - eCrime Intelligence Analyst at S21sec (España) http://blog.s21sec.com Dario Blanco - Docente en Educacion IT (Argentina) http://www.darioblanco.com.ar Diego González - Security Researcher/Analyst (España) http://dgonzalez.net Eric Kumar - Sr. Anti-Malware Researcher (EE.UU) http://fightmalware.blogspot.com Ernesto Martin Hermida - IT Security Analyst at ING DIRECT (España)

Eugene Teo - Security Response at Red Hat | GCIH, RHCE, RHCA, RHCDS, RHCSS (Singapur) Exploit dev - Telecommunications Professional (EE.UU) http://extraexploit.blogspot.com Federico Galarza - CCNA, Wintel Administrator en HP Enterprise Services (Argentina) Haroon Malik - Malware Researcher, Principal Software Engineer en Palmchip Inc (Pakistán) Jacques Erasmus - Director of Malware Research - Prevx (Reino Unido) http://www.prevx.com Jaime Blasco - Vulnerability Research at AlienVault (España) http://www.alienvault.com/blog/jaime James Duldulao - Web Security Researcher at McAfee (EE.UU) http://www.trustedsource.org Jason Williams - Sr. Sys Admin/Database Administrator at General Atomics Aeronautical (EE.UU) Joaquin Rodriguez Varela - Sales Engineer at ESET (Argentina) http://insegar.blogspot.com José Alfredo Jiménez - Asesor IT (El Salvador) http://topinfo.dyndns.info

Jose Carlos de Arriba, CISSP - Security Analyst / Penetration Tester at Telefonica (España) Kevin Stevens - Threat Intelligence Analyst at SecureWorks (EE.UU)

Larry Stevenson - Global Moderator at Spywarehammer (Canadá) http://mvp-help.webs.com/apps/blog Lenny Zeltser - Security Consulting Practice Director en SAVVIS, Inc. (EE.UU)

Lucian Dandea - Network Administrator at Cord Blood Center (Romania) Marcelo Acosta - Area Infraestructura Tecnológica (Argentina)

Marcelo Rivero - Founder at InfoSpyware.com (EE.UU) http://www.infospyware.com/blog Marchelle David - Senior Researcher en HCL - CA (India) http://threatmarchelle.wordpress.com Marcin Kleczynski - CEO at Malwarebytes Corporation (EE.UU) http://www.malwarebytes.org Marco Giuliani - Malware Technology Specialist at Prevx (Italia) http://www.pcalsicuro.com/main Marek Zmyslowski - SSLScanner designer and developer at SourceForge, Inc (Polonia) Mariano Graziano - IT Security Researcher (Italia) http://5d4a.wordpress.com

Mark Arena - Technical Specialist at Australian Federal Police (Australia) Mattia Cinacchi Mattia - Senior Consultant en Symantec (Italia)

Methusela Cebrian - Senior Research Engineer at HCL Technologies - CA (Australia) http://ithreats.net Michael Mondragon - Systems Engineer at Trend Micro http://themikefiles.wordpress.com

Mounir Kamal - Senior Information Security Analyst at Q-CERT (Egipto)

Nahuel Cayetano - Research Engineer at Core Security (Argentina) http://crackinglandia.blogspot.com Osama Kamal - Sr. Incident Analyst en Qatar CERT (Q-CERT) (Egipto)

Palaniyappan balasubramanian - Threat Reseach Analyst at Comodo Antivirus Lab (India)

Pepijn Janssen - Cyber Crime Expert, Founder at Omnivore.nl (Países Bajos) http://www.omnivore.nl Rajdeep Chakraborty - MVP, Associate IT Consultant ITC Infotech (India) http://www.malwareinfo.org Rodrigo Calvo - Systems Engineer at LAM Symantec (Costa Rica)

Rommel Ramos - Computer Virus Analyst at Authentium Inc. (EE.UU)

Sachin Deodhar, CISSP - Director Threat Intelligence (Central Asia) at iSIGHT Partners (EE.UU) Samuel Jebamani - Programmer at k7 computing (India) http://samuel.co.in/blog

Sebastian Bortnik - Analista de Seguridad at ESET (Argentina) http://unmundobinario.com Siva Gnanam - Research/Virus Analyst at Comodo (India)

Siva Subramaniyam - Threat Research Analyst at Technosoft (India) http://traversecode.blogspot.com Suresh Kumar - Malware Research at Comodo Security (India)

Panorama actual del negocio originado

por crimeware

Sin lugar a dudas, el panorama actual de las acciones delictivas globales que se canalizan a través de la web constituye un negocio redondo y oscuro que se gesta en lo más subterráneo de los diferentes ambientes que ofrece Internet, robando información privada a través de diferentes "bichos"…

…que se diseminan ejecutando diferentes "planes" estratégicamente pensados, incluso desarrollando aplicaciones destinadas a automatizar los procesos delictivos que se comercializan en un mismo entorno clandestino, para luego trasformar todo en dinero.

Los precios del crimeware ruso

Al ver la cantidad de dominios rusos creados para diseminar malware, y la gran variedad de aplicaciones diseñadas desde aquellas tierras para cometer diferentes tipos de delitos que buscan quedarse con la mercancía más valiosa: la información; imagino a Rusia como si fuese algo parecido al mundo que describe Gibson en Neuromante donde viejas callejuelas oscuras son utilizadas para la venta y alquiler clandestino de todo tipo de programas diseñados para romper las protecciones de seguridad.

Los delincuentes informáticos y el mercado negro de crimeware parecerían estar a la orden del día en Rusia. Con lo cual, quiero reflejar algunos números que dan una idea de lo que puede llegar a costar preparar ataques a través de un importante número de “recursos” disponibles, como diría un mercenario, al mejor postor.

Sploit 25

Es un crimeware que contiene diferentes exploit para vulnerabilidades en Internet Explorer 6 y 7, y en archivo PDF. Existe una versión Lite cuyo valor es de USD 1500 y USD 2500 la versión Pro.

Unique Sploits Pack

Otro crimeware que contiene varios Exploit para diferentes vulnerabilidades. Su valor es de USD 600. Por USD 100 se accede a las actualizaciones y por USD 50 al un módulo de cifrado.

Neon Exploit System

Un conjunto de exploits diseñados para explotar las vulnerabilidades en plataformas Microsoft y diferentes aplicativos de uso masivo. El valor de este crimeware es de USD 500.

XS[S]hkatulka

Conjunto de script diseñados para romper contraseñas de webmail a través de XSS. Según sus creadores, la aplicación “es ideal para comenzar a ganar dinero mediante la prestación de servicios para obtener las contraseñas de las cuentas de correo. Su valor es de USD 110.

Cripta Zeus(a)

Es un servicio cuyo fin es cifrar los troyanos que reclutan zombies PC’s para la botnet ZeuS. Los “servicios” ofrecidos son:

• Construir criptas individuales (your.exe) la primera vez: USD 49

• Construir criptas individuales (your.exe) cifrar cada dos horas: USD 46

• Construir criptas individuales (your.exe) cifrar cada tres horas: USD 43

ElFiesta Exploit Pack

YES Exploit System

Otro crimeware diseñado para explotar vulnerabilidades a través de exploit y scripts. Su valor es de USD 600.

PoisonIvy Polymorphic Online Builder

Crimeware para generar variantes del troyano PoisonIvy en línea. Su valor es de USD 500.

FriJoiner Small y Private

Una aplicación desarrollada para fusionar archivos ejecutables. Este tipo de aplicaciones es ampliamente utilizado por los diseminadores de malware para evitar que el código malicioso sea detectado. La versión Small cuesta USD 10 y la versión Private USD 15.

Genom iframer

Aplicativo diseñado para automatizar la inyección de etiquetas iframe en sitios vulnerables. Su valor es de USD 40.

CRUM Cryptor Polymorphic

Cripter con características polimórficas pensado para evitar la detección de malware por parte de las compañías antivirus. Su costo de de USD 100.

Esta es sólo una pequeña lista que representa un porcentaje ínfimo comparado con la cantidad y variedad de aplicaciones crimeware.

Los precios del crimeware ruso. Parte 2

Las actividades delictivas de las cuales cotidianamente se alimentan los ciber-delincuentes a través de un modelo de negocio implantado por ellos mismos, se canalizan a través de la comercialización clandestina que ofrecen “servicios” cada vez más profesionales que se adaptan a las necesidades del ciber-crimen organizado.

En consecuencia, día a día surgen nuevas aplicaciones crimeware destinadas a acrecentar la economía de los ciber-delincuentes, sea cual fuese el rol que cumplen dentro de la cadena delictiva. Algunos de esos crimeware se reflejan a continuación, destacando el costo que poseen dentro del mercado clandestino.

CRUM Cryptor Polymorphic v2.6

Se trata de un aplicativo del tipo Crypter. Su característica principal radica en la capacidad de generar malware polimórfico cifrando cada archivo creado con una clave aleatoria de 256 bytes. También ofrece la posibilidad de someter el malware a procesos anti-análisis como la detección de máquinas virtuales. Su costo es de USD 200 e incluye actualizaciones posteriores de forma gratuitas.

CRUM Joiner Polymorphic v3.1

En este caso, la función principal radica en la capacidad de fusionar archivos de cualquier tipo sin límite en cuanto a la cantidad. Al igual que el anterior permite someter el binario a un proceso de cifrado de 256 bytes, con capacidades polimórficas y detección de máquinas virtuales. Su precio es de USD 100 y las actualizaciones son gratuitas.

Más información sobre esta familia de crimeware.

Eleonore Exploits Pack v1.2

Eleonore es un paquete de explotación de vulnerabilidades y control de redes zombis. El costo de la última versión es de USD 700. Por un costo adicional de USD 50 se accede a su crypter. Por defecto, el crimeware se encuentra vinculado a una serie de dominios; sin embargo existe la posibilidad de desvincularlos dejándolo libre pero su valor asciende a USD 1500, incluyendo el crypter. Está diseñado para explotar las siguientes vulnerabilidades:

• MDAC

• MS009-02 • Telnet – Opera • Font tags – FireFox • PDF collab.getIcon • PDF Util.Printf

• PDF collab.collectEmailInfo • DirectX DirectShow • Spreadsheet.

Eleonore Exploits Pack v1.1

Unique Sploits Pack v2.1

Otro de los aplicativos diseñados par administrar botnets vía web a través del protocolo http. SU valor actual es de USD 750 e incluye un crypter y actualizaciones posteriores gratuitas. Para quienes poseen versiones antiguas, la actualización a esta versión tiene un valor agregado de USD 200.

Las vulnerabilidades que permite explotar son: • MDAC para IE 6

• PDF exploit para IE 7 • Opera

• Firefox

• PDF exploit para Adobe Acrobat 9

• PDF Doble. Descarga de manera simultánea dos exploits en PDF • MS Office Snapshot para IE 6 y 7

• IE 7 XML SPL • Firefox Embed

• IE 7 Uninitialized Memory Corruption Exploit • SPL Amaya 11

• Foxit Reader 3.0

• PDF Buffer Overflow Exploit

Adrenaline

Otro de los tantos crimeware diseñados para explotar vulnerabilidades y controlar botnets vía http. Entre las funcionalidades que posee se destacan la posibilidad de hacer uso de pharming local, keylogging, robo de certificados digitales, cifrado de información, técnicas anti-detección, limpieza de huellas, inyección de código viral, entre otros. Su valor es de USD 3000.

YES Exploit System v2.0.1

Uno de los kits de explotación más utilizados. Posee una interfaz que se asemeja a la de un sistema operativo con un menú "Inicio" desde el cual se accede a las diferentes funcionalidades del mismo. El costo de la última versión al día de la fecha (agosto de 2009) es de USD 800.

YES Exploit System v1.2.0

Algunas paquetes de la primera generación, aún muy activas, varían su precio en función de las versiones. En el caso de la versión 1.2.0, el costo ronda los USD 700.

Barracuda Botnet v3.0

Última versión de este aplicativo web que a pesar de contar con varios años de existencia, sigue teniendo un costo relativamente elevado en comparación de sus pares. Se trata de un crimeware que posee dos versiones de comercialización, la versión Full a un costo de USD 1600 y la versión Lite a USD 1000.

• Módulo DDoS (HTTP GET/POST flood, UDP flood, ICMP flood, TCP flood, IP Spoofing) a un costo de USD 900.

• Módulo Email Grabber que permite recolectar direcciones de correo almacenadas en la zombi. Su valor es de USD 600.

• Módulo Proxy, permite aumentar el número de conexiones simultáneas para un más "eficaz" envío de spam. Su valor es de USD 500.

• Módulo PWDGRAB. Netamente orientado al robo de información privada. El valor del mismo es de USD 500.

• Módulo SSLSOCKS. Este módulo se encuentra en su etapa beta y permite "construir una VPN" a través de la botnet. El precio es de USD 500.

Con respecto a versiones anteriores, la 2.2 se comercializa a USD 600 y la versión 2.0 a USD 300.

ZeuEsta Exploit Pack v7.0

Se trata de una "adaptación" privada que se compone de la combinación de dos crimeware muy activos: ZeuS v1.2.4.6 y SPack Exploit Kit. Su costo es de USD 600 y por USD 100 mensuales más se accede a un hosting. Originalmente estaba compuesto por la fusión entre ZeuS y ElFiesta hasta que durante abril de este año (2009) se actualizó reemplazando ElFiesta por SPack Exploit Kit. Si bien esta fusión de crimeware no es originalmente una creación desarrollada íntegramente por rusos, las diferentes versiones de ZeuS sí lo son y por ese motivo se contempló plasmar su costo.

ZeuEsta Exploit Pack v5.0

Esta versión se consigue en el mercado clandestino a un costo de USD 150 la versión “no oficial”, es decir, la comercializada por terceros y no por el propio autor. Esta versión se compone por ZeuS v1.1.2.2 y ElFiesta.

ElFiesta v3

Otro de los crimeware más explotados por botmasters. En este caso, se trata de la versión 3 cuyo costo es de USD 800.

El aplicativo posee módulos que permiten explotar más de veinte vulnerabilidades de las cuales las que poseen mayor nivel de eficacia son los exploits para archivos PDF y SWF.

Liberty Exploit System v1.0.5

Un nuevo paquete crimeware de reciente aparición que posee una serie de características particulares que lo hacen, según su propio autor, un aplicativo ideal por su relación precio/calidad.

Por defecto posee preinstalado los siguientes exploits: MS06-014 Internet Explorer (MDAC) Remote Code Execution Exploit, PDF util.printf(), PDF collab.collectEmailInfo(), PDF

Neon Exploit System v2.0.5

Neon sufrió una leve rebaja de USD 100. Ahora, su costo es de USD 400 y no de USD 500. Entre los módulos de exploits que se encuentran preinstalados y pre-configurados se encuentran:

• IE7 MC

• PDF collab

• PDF util.printf

• PDF foxit reader

• MDAC

• Snapshot

• Flash 9.

Limbo Trojan Kit

Limbo es uno de los crimeware menos populares del mercado clandestino de comercialización rusa. Sin embargo, ello no significa que su peligrosidad sea menor. Con un costo por debajo de otros crimeware mucho más populares, su costo es de USD 300.

Entre sus funcionalidades se destacan la actualización del binario, limpieza de huellas (cache, cookie, etc.), reinicio del sistema operativo (Windows) y destrucción en caso de ser necesario. Además posee capacidad de keyloggin para capturar todas las contraseñas que se accedan a través de Internet Explorer y las que se encuentren almacenas en el browser, entre otras. Fragus v1.0

Un muy nuevo aplicativo web que accede a la industria del crimeware a un costo de USD 800.

Sus características se centran que el soporte multilingüe (inglés y ruso), sistema estadístico sobre el navegador y sistemas operativos (incluyendo sus versiones) y países, capacidad de personalizar los módulos de exploits e incorporar nuevos, inyección de etiquetas iframe, cifrado de archivos, posee un crypter que forma parte del paquete, sin embargo, es posible añadir uno personal.

Como podemos apreciar, la automatización de procesos maliciosos, servicios y ofertas toma relevancia en la compra, venta y alquiler de eficaces “armas” informáticas pensadas netamente con fines delictivos y lucrativos.

Comercio Ruso de versiones privadas de crimeware

¡Aproveche la oferta!

Actualmente existen muchísimos aplicativos crimeware basados en Kits de administración, control y diseminación de exploits compuestos por diferentes módulos, escritos en php, donde cada uno de ellos posee una función particular.

En el mercado negro Ruso, estos aplicativos son comercializados a diferentes precios que poseen relación directa con las “funcionalidades” ofrecidas por el Kit. Sin embargo, algunas veces aparecen ofertas “jugosas” para que muchos ciber-delincuentes puedan aprovechar; como es el caso de este combo constituido por tres aplicativos crimeware: Neon Exploit System, Sploit25, Unique Sploits Pack.

Todo por el módico precio de USD 450.

El precio del combo es más que accesible si consideramos el costo que supone la compra de cada uno de ellos por separado:

• Neon Exploit System = USD 500

• Sploit25 versión Lite = USD 1500

• Sploit25 versión Pro = USD 2500

• Unique Sploits Pack = USD 600 + USD 100 por las actualizaciones del producto (tachado) y USD 50 se obtiene el módulo de cifrado.

Los valores se encuentran un tanto desactualizados. Sin embargo, el costo real que supone la adquisición de los tres pack es de USD 2600 la versión básica de cada crimeware, y de USD 3750 la versión full (versión Pro de Sploit25 y módulo update más cifrado de Unique Sploits Pack).

Además, como todo buen negociante, el ciber-delincuente ofrece la posibilidad de realizar un testeo, previo a la compra, facilitando la demo de los tres kits.

Con respecto a Sploit25, desde un primer momento se ve una clara diferencia con respecto a otros aplicativos de su especie durante el proceso de autenticación; el Kit solamente solicita contraseña.

El tercero de los crimeware es Unique Sploits Pack. A través de la demo se puede observar el funcionamiento administrativo del Kit y a las posibilidades de configuración que ofrece, mostrando algunos de los exploits que utiliza junto a referencia a los mismos.

Sin embargo, no termina sólo con la más que accesible oferta ya que el porfolio del "ciber-negociante" es más amplio, y también ofrece la venta de otro crimeware sumamente conocido: ZeuS, a un bajo costo.

De todas formas, la metodología de venta propuesta da para cualquier cosa, y quizás también implique una estrategia encubierta de Ingeniería Social para los “novatos” que se acerquen al ciber-delincuente con el ánimo de comprar el paquete crimeware; ya que, como sucedió en muchos casos, algunos módulos pueden estar backdoreados o, en el caso de ZeuS, el programa que incorpora para generar el cliente puede no ser el real, y ser reemplazado por otro malware que aproveche la “inocencia” del aspirante a ciber-delincuente ;D

Estado de la seguridad según Microsoft

En el último Informe de Inteligencia de Seguridad de Microsoft, que ofrece datos estadísticos recavados entre Enero y Junio del año pasado, se desprenden datos más que interesantes sobre la situación que refleja en la actualidad el estado de la seguridad a nivel global.

El mismo se encuentra enfocado en detallar, siempre desde el punto de vista de los especialistas de Microsoft, las vulnerabilidades que se dieron en los diferentes estratos tecnológicos que necesitan un nivel adecuado de protección, y que si bien no es muy diferente a lo que muchos podemos apreciar, resulta un buen punto de partida para idear estrategias de seguridad más efectivas.

Según este informe, la tendencia en las vulnerabilidades disminuyó un 23% durante el semestre en cuestión con relación a todo el año 2007, y más del 90% de estas vulnerabilidades explotaron aplicaciones. Asimismo, el 32% de las vulnerabilidades en aplicaciones de Microsoft poseían un código exploit público y disponible en Internet.

Si bien lo manifestado por Microsoft a través de este informe es positivo teniendo en cuenta la disminución de los porcentajes antes mencionados, vale la pena hacer un punto aparte en esta instancia y reflexionar sobre algo, que aún hoy sigue siendo preocupante: la falta de actualización en los equipos. De hecho, algo se había mencionado cuando se habló sobre las violaciones de seguridad más comunes.

Si observamos bien el gráfico, deducimos que las cinco vulnerabilidades que explotaron XP son:

• MS06-014 (MDAC_RDS). Crítica solucionada en abril de 2006.

• MS06-071 (MSXML_setRequestHeader). Crítica solucionada en noviembre de 2006.

• MS06-057 (WebViewFolderIcon). Crítica solucionada en octubre de 2006.

• MS06-067 (DirectAnimation_KeyFrame). Crítica solucionada en noviembre de 2006.

• MS06-055 (VML). Crítica solucionada en septiembre de 2006.

Todas vulnerabilidades consideradas críticas y solucionadas durante el año 2006 que explotaron, y seguramente seguirán explotando, equipos durante el 2008. Dos años después. Realmente preocupante, ya que deja completamente al descubierto la falta de ¿responsabilidad? concientización y sensibilización frente al problema que ocasiona la falta de responsabilidad actualización, tanto a nivel cliente como a nivel servidor.

El informe también cubre la amenaza de los códigos maliciosos explicando que la solución antivirus de Microsoft, llamada MSRT (Malicious Software Removal Tool - Herramienta de eliminación de software malintencionado) eliminó más del 30% del malware mundial, donde la tasa de infección estuvo dominada por dos familias de malware que esta herramienta detecta como Win32/Zlob y Win32/Renos. En una mirada más cercana a Win32/AntivirusXP se explica la relación que existe entre Renos y AntivirusXP.

Otro dato más que interesante a tener en cuenta, es el relacionado a los países que tuvieron la mayor tasa de infección y cuál fue el malware que dominó esta tasa de infección. En este aspecto se desprende que los países son:

• Brasil: donde más del 60% de los equipos se encontraban comprometidos con algún tipo de código malicioso, predominantemente, troyanos del tipo banker.

• China: donde predominaron las aplicaciones potencialmente indeseadas como el adware, sobre todo aquellos con capacidades de secuestrar el navegador (browser hijacking).

• Italia: donde también predominó el adware infectando equipos a través de clientes para redes P2P y barras de tareas.

• Corea: en este país, insisto, según Microsoft, la mayor tasa de infección fue provocada por virus como Virut y Patite a través de redes P2P.

• España: donde los gusanos constituyeron la mayor amenaza con la tasa de infección más alta.

Con respecto a lo anteriormente mencionado, debo reconocer que me llama poderosamente la atención que Corea haya tenido una importante tasa de infección provocada por los clásicos virus, ya que este fue perdiendo terreno a lo largo del tiempo y en la actualidad representa un porcentaje mínimo del importante caudal de malware que se disemina a nivel mundial.

En lo que a diseminación de malware a través de correo electrónico se refiere, de este informe también resulta que el 97,8% de los archivos adjuntos bloqueados en servidor Exchange eran con extensión .html y .zip. Es decir, la mayor cantidad de códigos dañinos que se propagan a través del correo electrónico, poseen cualquiera de estas dos extensiones de archivo. Por último, los ataques de phishing y el spam no se escaparon del reporte. Se desprende que:

• el 71,4% del spam, estuvo representado por la industria farmacéutica con productos como el viagra, el cialis y otros fármacos,

• el 9.6% con cuestiones relacionadas al mercado de valores,

• el 8.6% a material explícito,

• y el porcentaje restante se repartió entre phishing (2.5%), casinos en línea (3.8%), venta de programas (1.1%), scam (1.1%) y algo que empezamos a ver desde principios del año 2008, los diplomas de altos estudios fraudulentos (1.9%).

- Framework Exploit Pack

Fusión. Un concepto adoptado por el crimeware actual II

Cada vez es más habitual que en los procesos de investigación nos encontremos con que en un mismo servidor se alojan, "operando" de forma activa, varios crimeware del tipo Exploit Pack desde los cuales controlan y administran los zombis que forman parte de su negocio fraudulento.

Hace un tiempo comentábamos sobre ZeuS y ElFiesta conviviendo en un mismo entorno, y cumpliendo los mismos objetivos.

En esta oportunidad, la fusión se encuentra entre Fragus (un crimeware cada vez más conocido) y ElFiesta. Ambos paquetes se encuentran alojados en el mismo servidor. Sin embargo, aunque cabe la posibilidad, esto no significa que estén siendo operados por el mismo botmaster.

El dominio en el cual se encuentran alojados es el siguiente:

En el caso de Fragus se encuentra en http://hotgirldream.net/far/ y en el caso de ElFiesta, se aloja en otra carpeta, la ruta es http://hotgirldream.net/content/. Como podemos apreciar, comparten el servidor, cuya dirección IP es 210.51.166.233, localizado en Yizhuang Idc Of China Netcom, Beijing.

Esto demuestra que las oportunidades de "negocio" no pasan solamente por la venta de crimeware, malware, exploit pack y demás actividades fraudulentas, sino que otra de las alternativas es ofrecer la infraestructura que permita, en función de su capacidad computacional, optimizar los procesos delictivos.

Una breve mirada al interior de Fragus

Fragus es una de las aplicaciones web desarrolladas para la gestión de zombis, de origen ruso, que con poco tiempo de vida se ha insertado al mercado clandestino de crimeware con un precio accesible (USD 800) si tenemos en cuenta las capacidades delictivas que ofrece.

Este crimeware se compone básicamente de cinco secciones: Statistics, Files, Sellers, Traffic

links y Preferences. Cada una de ellas se encarga de una tarea específica y todas se

complementan entre ellas.

En cuanto al módulo Traffic links, permite realizar la "previa" configurando el iframeado y el script que será inyectado en la página que oficiará de "conductor" para la ejecución de los exploits configurador en el panel previo, que buscaran vulnerabilidades en el equipo víctima.

Sin embargo, uno de los patrones que se identifican en cada uno de los paquetes de este estilo, es el módulo estadístico. Este módulo proporciona la información de inteligencia necesaria para que el botmaster obtenga un reporte detallado no solo de los equipos zombis sino también de ciertos aspectos necesarios para conocer en detalle qué exploit deberá ejecutar.

Otro de los patrones interesantes que podemos deducir en función de esta información es que el sistema operativo más explotado es Windows XP con Internet Explorer, que el exploit con mayor eficacia, a pesar de ser muy antiguo (MS06-014) es el que aprovecha la vulnerabilidad en MDAC y que entre los países con mayor tasa de infección son EEUU y Korea.

Por último, otro importante factor que no debe pasar desapercibido es que a los ciber-delincuentes no les interesa la controversia que existe en torno a los niveles de seguridad que ofrece uno u otro sistema operativo (Windows, GNU/Linux y Mac OS) sino que todos entran en la mismo categoría de "potenciales víctimas" porque la vulnerabilidad explota en capa 7.

Desarrollo de Botnets Open Source. “My last words”?

Quienes leyeron el post sobre el proyecto crimeware denominado Quad System, recordarán que entre sus párrafos comentaba no conocer el costo de la versión privada de esta aplicación destinada al control de botnets, tanto para plataformas Windows como para plataformas GNU/Linux.

El tema es que… por cosas de la vida misma… el desarrollador de estos particulares proyectos diseñados en Perl, llamado cross, había terminado con sus hazañas censurándose a sí mismo con el cierre de su sitio web; manifestando, a través del mismo, las motivaciones que llevaron a su "violenta" decisión, y las cuales muestro en la siguiente captura:

Sin embargo, luego de varios días (de meditación quizás), se decidió por volver a las andadas poniendo nuevamente a disposición con fines educativos un arsenal de aplicativos destinados al control de botnets, o lo que es sinónimo en la actualidad, crimeware.

La nueva interfaz de su web es la siguiente:

Un dato curioso, que como el resto del post no guarda ninguna relación técnica con los

aspectos de seguridad de la información, es la introducción al concepto de "Ironía" que plantea en el index ¿será que se siente irónico con sus propuestas colaborativas en el ámbito delictivo? De todos modos, el chico aún parece enojado… ¿con los profesionales de seguridad?... ya que con interfaz nueva escribe lo siguiente:

"…This site is dedicated to my projects and only my projects. Long time ago here you could find some more information, but currently, I don’t give a shit about providing any kind of information.

Besides, well, WTF? xD Something about me: I am the only one who is keeping this site somehow online and alive, taking care of it well, not much to take care of.What you can find here: some useless shit - my small projects. Well, I know no one gives a fuck, me neither - I placed them here and here they are to stay, you like it or not. So, no fun in here :D

So you'll ask what a damn morron should be of me, starting with such introduction? Well, I'm the man, say, cross is in the house babe xDAnyways, just fuck it. You got here my projects; I will put some new here too. Like once in a year. Blah...Some new papers maybe if I will have some good mood for writing or i will be drunk as hell to believe in it. Hah...Whatevah..."

A pesar de todo esto, este "sutil" personaje, aparentemente empedernido programador en Perl, posee algunas cosas interesantes como una GUI para Nikto :-)

QuadNT System. Sistema de administración de zombis I

(Windows)

De la mano del mismo autor de los sistemas de control y administración de botnets Open Source (cross), hace un par de meses vio la luz otro de sus ambiciosos proyectos diseñados para controlar y administrar botnets llamado Quad.

En este caso, se trata de la versión desarrollada para plataformas Windows llamada QuadNT Remote Administrator, pero también existe una versión para sistemas operativos basados en plataformas *NIX. Al igual que con sus anteriores proyectos, este crimeware se caracteriza fundamentalmente por estar desarrollado en lenguaje Perl. Un aspecto para nada común en este tipo de aplicaciones.

A diferencia de las aplicaciones anteriormente presentadas por su desarrollador, QuadNT Remote Administrator no es gratuito; es decir, posee una versión libre con limitaciones importantes y una versión full privada. Sin embargo, lamentablemente no vamos a poder conocer, quizás por el momento, el costo real de este crimeware, por razones que dentro de poco les comentaré.

Entre sus funcionalidades se destacan la posibilidad de realizar:

• Connect Back Shell

• Trash Flood

• Mouse Logger

• Keylogger

• Proxy server

• Encrypted Remote Terminal Emulator

• Web HTTP Control Panel

• Una Consola del lado del cliente

• Un Gateway del lado del servidor

• Automatización de la red cliente que es la botnet en sí misma

Esta primera versión de QuadNT centra sus esfuerzos trabajando en modo usuario (Ring3). Sin embargo, cross, su autor, promete una segunda versión pero que trabaje a bajo nivel, exactamente a nivel del kernel o lo que es lo mismo, Ring0.

Aunque los proyectos anteriores son gratuitos, y aunque esta misma versión se ofrezca también en versión libre pero con limitaciones, todavía no gozan de buena aceptación en el mundo clandestino que marca el negocio del crimeware.

Sin embargo, ello no significa que no constituyan amenazas, de hecho son potenciales alternativas que demuestran que el desarrollo de aplicaciones para manipular botnets puede ser abordadas en lenguajes de programación no tan comunes en el campo de las redes zombis.

ZoPAck. Nueva alternativa para la explotación de

vulnerabilidades

Indudablemente, la problemática generada por las botnets a nivel global constituye una de las tendencias que en ningún paper se debería obviar. En este sentido, el desarrollo de aplicaciones destinadas al control y administración de zombis vía web, cuyas primeras repercusiones vieron la luz a fines del 2006 alcanzando en la actualidad la popularidad en la comunidad underground y delictiva, no cesa.

Bajo una particular interfaz de autenticación, aparece ZoPAck, un crimeware cuya primera incursión fue en el 2007, desarrollado en PHP y destinado a explotar vulnerabilidades a través de una importante gama de exploits.

La actualización a esta nueva versión, la 1.02, se produjo durante este mismo año 2009. Y si bien no se ha masificado su eso y no cuenta con la popularidad de otros, es un paquete que no tiene nada que envidiar a sus competidores y cumple de igual manera con el objetivo para el cual fue diseñado: reclutar zombis aprovechando debilidades en los sistemas operativos y aplicaciones.

Por intermedio de un archivo .pdf, provoca un desbordamiento de búfer (buffer overflows) en las aplicaciones Adobe Acrobat y Reader (CVE-2007-5659 y CVE-2008-0655), reclutando la zombi a través de la descarga de su ejecutable (file.exe) llamado desde el archivo exe.php. A continuación vemos parte de su código.

include "db.php"; include "mysql.php"; $db = new db;

$ip = getenv("REMOTE_ADDR");

$filename = "./file.exe"; $size = filesize($filename); $fp = fopen($filename, "r"); $source = fread($fp, $size); fclose($fp);

La estructura de ZoPAck es muy sencilla al igual que su configuración permitiendo simplemente configurar a través de la interfaz los datos de autenticación y el dominio donde se alojará el crimeware para su acceso.

El módulo encargado de llevar los datos estadísticos, lo que a mí me gusta llamar el módulo de Inteligencia, le permite al botmaster recavar información relacionada a las características de cada computadora que forma parte de su red.

Esta característica podría tener dos lecturas. Por un lado, que el crimeware se encuentra diseñado con una notoria orientación a script kiddies o prospecto a delincuentes; por el otro, quizás el objetivo del autor (¿ZOPA?) es proporcionar una aplicación lo más optimizada posible para hacer de la labor de los ciber-delincuentes lo menos rigurosa posible.

En fin, un nuevo crimeware que se une a la colección de alternativas disponible en el mercado clandestino.

ZeuS Botnet y su poder de reclutamiento zombi

Como lo he comentado en varias oportunidades, ZeuS es una de las botnets más "mediáticas" (por ende una de las más conocidas y populares), más agresivas y la que posee mayor actividad delictiva con funciones avanzadas que permiten realizar ataques de phishing, monitorear las zombis en tiempo real y recolectar toda esa información a través de diferentes protocolos.

Asimismo, la posibilidad de contar con un módulo de monitoreo por el cual el botmaster puede estar visualizando en tiempo real absolutamente todo lo que se realiza en la PC zombi (navegación por servicios de webmail, transacciones bancarias, conversaciones por chat, etc.), supone un grave peligro que atenta directamente contra la confidencialidad.

Y aunque para muchos parezca una cuestión trivial, el solo hecho de saber que su desarrollador actualiza cada versión de ZeuS, desde el año 2007, aproximadamente una vez por mes, es un punto relevante que marca el por qué de su popularidad en el ambiente under.

Pero sin embargo, a pesar de todo esto, aún hoy parece que no se valoran en su justa medida las implicancias de seguridad que tienen implícitas las actividades, no sólo de ZeuS sino de cualquiera de las alternativas crimeware que día a día bombardean Internet con sus acciones delictivas.

Quizás, lo que a continuación les voy a mostrar sea un aspecto fundamental para comprender el verdadero alcance delictivo que tienen este tipo de actividades.

Se trata de una botnet ZeuS con un corto periodo de vida, pero con un importante volumen de zombis reclutados que se aglomeran en su cuartel bajo la tutela del "negociante" esperando sus órdenes.

La siguiente captura muestra los zombis reclutados sólo en Rusia, en este caso, por el botmaster que inició sesión bajo el nombre "russian". Esta información se obtiene a través de la opción de filtrado, limitando la búsqueda con el acrónimo del país (RU).

Pero, siguiendo el ejemplo anterior, podemos tener una idea lo suficientemente concreta sobre el poder de reclutamiento que posee, en este caso, el botmaster "russian".

Con una actividad de tres (3) meses, cuenta con una cantidad de 24.830 zombis. Algo así como casi 276 infecciones de ZeuS por día. Y si seguimos la lógica, estadísticamente hablado, la cantidad se podría cuadruplicar a lo largo del año.

Por otro lado, la posibilidad de administrar una botnet vía web, supone también que pueden ser administradas varias al mismo tiempo; es decir, que varios botmasters pueden utilizar la misma aplicación web (en este caso ZeuS) para controlar "sus" zombis.

De esta manera, el usuario "russian" posee una actividad relevante. Pero también podemos obtener información de sus pares que se encuentran administrando zombis bajo el mismo dominio.

Mientras que el botmaster con menos actividad cuenta con tan sólo 34 zombis, pero en menos de 1 hora.

En resumen, independientemente del tiempo de actividad de una u otra botnet, la tasa de reclutamiento es muy alta.

Esto significa también que los mecanismos de prevención no son lo suficientemente efectivos, y de hecho un reciente estudio deja en evidencia que los mecanismos evasivos que incorpora ZeuS son lo suficientemente efectivos frente a los mecanismos de detección de muchas de las soluciones antivirus actuales.

No obstante, bajo un aspecto más riguroso, que el malware actual incorpore mecanismos auto-defensivos cada vez más eficaces no significa que los antivirus no son efectivos. Además, no todo pasa por la solución de seguridad y gran parte de la responsabilidad recae en el usuario ya que, en definitiva y siguiendo con el aspecto riguroso, un sistema no se infecta por sí solo.

ZeuS, spam y certificados SSL

Como ya sabemos, las actividades delictivas propuestas por la botnet ZeuS a través de su familia de troyanos y a lo largo de ya dos años de gozar con la categorización In-the-Wild, se impone frente a otras actividades crimeware con un importante volumen de variantes que aún hoy siguen reclutando zombis proponiendo, como parte de su estrategia de engaño, nuevas alternativas.

En esta oportunidad, y como en otras, una de sus variantes se está diseminando por correo electrónico mostrando un mensaje que alude a la actualización manual del certificado SSL. El mensaje dice así:

"On October 16, 2009 server upgrade will take place. Due to this the system may be offline for approximately half an hour. The changes will concern security, reliability and performance of mail service and the system as a whole.

For compatibility of your browsers and mail clients with upgraded server software you should run SSl certificates update procedure. This procedure is quite simple. All you have to do is just to click the link provided, to save the patch file and then to run it from your computer location. That's all.

[Enlace malicioso]

Como es habitual en ZeuS, el ejemplar analizado presenta un patrón característico en la actualidad del malware, que se centra en la fusión de actividades propias de diferentes códigos maliciosos.

En este caso, posee un componente keylogger encargado de recolectar la información privada de los usuarios (nombres de usuarios, contraseñas, números de tarjetas de crédito, credenciales de acceso al Home-Banking) que utilizan la computadora comprometida. También establece una conexión con http://hostz-150909.com/zed1/table.bin para descargar su archivo de configuración.

Por otro lado, implanta en la zombi un backdoor a través del cual el atacante accede al sistema víctima sin demasiados inconvenientes; además de ejecutar actividades rootkit escondiendo los archivos maliciosos en una carpeta llamada "lowsec" (también oculta) que se crea en la carpeta de sistema. Los archivos son los siguientes:

• %System%\lowsec\local.ds

• %System%\lowsec\user.ds

• %System%\lowsec\user.ds.lll

Todo controlado por el habitual archivo "sdra64.exe" característico de ZeuS que también crea en la carpeta de sistema; y a través de un módulo de auto-defensa intenta terminar los procesos del programa antivirus y del firewall.

Por suerte esta variante de ZeuS posee un índice de detección alto; sin embargo, estas acciones maliciosas son comunes de toda la familia de esta amenaza.

Según TrendMicro, esta nueva maniobra de ZeuS a través del correo estaría dirigida a los empleados de determinadas compañías; y a juzgar por la firma del mensaje (System Administrator) y que alude a una actualización manual del certificado SSL, el círculo de Ingeniería Social parece cerrarse.

Nueva versión de Eleonore Exploits Pack In-the-Wild

Como es habitual, el crimeware sigue un ciclo de desarrollo que no pierde el eje gestado en las mentes de los ciberdelincuentes que se encuentran detrás de su comercialización: el dinero. Este ciclo depende directamente de quien desarrolle el crimeware; por ejemplo, en el caso de ZeuS, el ciclo ronda los 30 días. Es decir, aproximadamente, cada mes aparece una nueva versión de ZeuS, y así con cualquiera de las otras alternativas.

En este caso, se trata de una nueva versión, la 1.3B, de Eleonore Exploits Pack, este paquete diseñado para administrar y controlar zombis de una botnet que sigue un ciclo de desarrollo similar al mencionado anteriormente al referirme a ZeuS, uno de sus colegas.

Todavía no se ha puesto a la venta de forma directa esta versión de Eleonore Exp, sino que se encuentra disponible de manera exclusiva y, por el momento, solo existen algunas versiones de test con las cuales se está experimentando su funcionamiento.

En otras palabras, esta nueva versión no se encuentra en el ambiente clandestino especializado y es adquirida sólo a través de su programador.

Por el momento no he podido abordar con mayor profundidad este ejemplar, sin embargo, estimo que quizás el cambio más relevante radica en torno a la disponibilidad de nuevos exploits, optimización de la conectividad y mejoras en el proceso de inteligencia destinado a la obtención de datos estadísticos relacionados a las zombis (países, navegadote, OS, entre otros).

Hybrid Botnet Control System.

Desarrollo de http bot en perl

El desarrollo de crimeware es cada vez más abierto. Sus creadores buscan constantemente implementar en los programas dañinos mecanismos evasivos cada vez mas eficaces con un mínimo impacto de recursos no solo en el equipo controlado arbitrariamente sino también en los servidores que los alojan, existiendo en la actualidad una gama de alternativas realmente importante que van desde "productos" pagos a gratuitos.

En este sentido, en algún momento había mencionado el desarrollo Open Source de crimeware donde conté sobre la creación de dos proyectos paralelos; y si bien no se tratan de aplicaciones complejas presentan dos características llamativas.

Por un lado, su descarga es libre, lo cual significa que el concepto adoptado en la aplicación puede ser ampliado (o “mejorado” diría su autor) por otros desarrolladores agregando funcionalidades mucho más complejas.

Por otro lado, no entra (en primera instancia) en el ciclo del mercado clandestino de comercialización de crimeware.

En el caso particular de Hybrid Botnet Control System y a diferencia de los aplicativos web de este estilo, el bot se encuentra escrito en Perl, algo no habitual (de hecho creo que si no es el primero es uno de ellos).

Es decir, el panel de administración es vía web, escrito en PHP y la base de datos se almacena en un MySQL.

Otro aspecto común es que generalmente el desarrollo y comercialización de los aplicativos diseñados para el control y administración (C&C) de botnets posee su cuna en países como Rusia, y si bien el panel de control vía web de Hybrid se encuentra basado en uno de los primeros aplicativos de origen ruso que implantaron el concepto de administración vía http llamado Black Energy (a quien pertenece la captura que muestra el sistema de autenticación), parecería que su base de desarrollo no se encuentra en Europa del Este.

De todos modos, sea cual fuese el origen de su desarrollo, estas actividades no hacen otra cosa que ayudar a incrementar los ingresos de ciber-delincuentes y alimentar el ciclo delictivo muy arraigado bajo el concepto de crimeware, marcando una tendencia difícil de frenar debido al abanico de alternativas que pueden ser implementadas e implantadas a través de este tipo de iniciativas.

Desarrollo de crimeware Open Source para controlar y

administrar botnets

El desarrollo de aplicativos web orientados al control y administración de botnets a través del protocolo http, se encuentra en un nivel muy avanzado por parte de la comunidad underground de Europa del Este, y en particular desde Rusia, donde ciber-delincuentes inundan constantemente el mercado clandestino de crimeware comercializando paquetes como Eleonore, ZeuS, ElFiesta, Adrenaline, entre muchos otros.

Sin embargo, este modelo de negocio que ya se encuentra implantado, se expande hacia otros territorios donde la ambición de ciber-delincuentes se ve espejada por esta tendencia difícil de frenar, pero con otras filosofías: Crimeware Open Source. Es decir, desarrollo de programas de código abierto diseñados para ser utilizados con fines delictivos a través de Internet.

En este caso, se trata de una familia de crimeware diseñados para el control y administración de redes zombis.

Se trata de una serie de proyectos que buscan, como dice el autor (cuyo nick es “cross”), dejar claro que el desarrollo de botnets en Perl es posible. Bajo el slogan “x1Machine Remote

Administration System” pone a disposición del ciber-crimen organizado dos proyectos

orientados al manipuleo de botnets llamados Hybrid y TRiAD. Hybrid Project

La configuración se realiza por intermedio de un pequeño panel al cual se accede a través del archivo HyGen.pl.

La versión 2 (siguiente captura) mantiene las mismas características que su antecesor. Por el momento, se encuentra en estado de “Prueba de concepto” (PoC). Sin embargo, puede ser manipulado por cualquier ciber-delincuente para hacerlo completamente funcional y agregar más componentes para abusar de los zombis.

Un detalle interesante es que su interfaz se encuentra basada en BlackEnergy, una de las primeras botnet basadas en administración vía http diseñada para realizar ataques DDoS (Denegación de Servicio Distribuida).

TRiAD Project

Sobre este crimeware ya hemos hablado. Se trata de un proyecto paralelo cuya primera versión (siguiente captura) está diseñada, al igual que el proyecto Hybrid, para operar bajo entornos GNU/Linux.

Esta primera versión nació a principios de 2009 y ya cuenta con tres versiones que incorporan algunas funcionalidades más. Se encuentra escrito en C y a través de ella se pueden llevar a cabo tres actividades dañinas: ejecución de ataques de Denegación de Servicio Distribuida (DDoS), BindShell (ejecución de una shell y apertura de puertos) y ReverseShell (aviso de

conexión de una zombi).

Esta versión, además de contar con las funcionalidades presentes en la versión 1, posee nuevas características: eliminación de la bot, apagar y reinicio del equipo de forma remota. La siguiente captura corresponde a la página de descarga.

Al igual que la segunda versión, TRiAD http Control System v3 se encuentra escrito en C, compilado con GCC y es corre bajo Windows y GNU/Linux. Sus características son:

En sistemas GNU/Linux:

• Syn Flood con source IP spoofing: [SynStorm]-[Host]-[Port]-[Nr of Packets]-[Delay]

• Small HTTP Server: [HTTP Server]-[Port]-[Time(minutes)]

• Bind Shell: [Bind Shell]-[Port]-[Allowed IP Address]

Mientras que la versión para plataformas Windows cuenta con:

• UDP Flood: [Reverse Shell]-[Host]-[Port]

• Small Proxy Server: [UdpStorm]-[Target IP]-[Target Port]-[Nr of Packets]-[Delay]

• Reverse Shell: [Proxy Server]-[Port]-[Time(minutes)]

Independientemente de la plataforma, ambas poseen en común la posibilidad de:

• Sleep: Modo “dormido”

• Reboot remote machine: Reiniciar el equipo de forma remota

• Shutdown remote machine: Apagar el equipo de forma remota

• Delete bot from remote machine: Eliminar la bot de forma remota

Fragus. Nueva botnet framework In-the-Wild

Una nueva aplicación web escrita en php y desarrollada como sistema de administración de exploits, diseminación de malware y control de botnets, ha entrado al mercado clandestino de crimeware prometiendo ser uno de los más explotados.

Se trata de Fragus v1.0, que se ha sumado desde julio de 2009 a la gran lista de aplicativos de este estilo que pretenden acaparar el mercado negro. Su desarrollo esta originado en Rusia y se inserta al mercado con un costo suficientemente “competitivo”. En los últimos meses han surgido nuevos framework para el control y administración de botnets que hacen de ello una tarea muy sencilla como Liberty Exploit System y Eleonora Exploit Pack; entre algunos otros mucho más antiguos que han actualizado sus funcionalidades como YES Exploit System y ElFiesta.

Sin embargo, el hecho de encontrar cada vez más aplicativos maliciosos de este estilo In-the-Wild no es una situación casual, sino que responde a un modelo de negocio que se esconde detrás del desarrollo de crimeware y se retroalimenta a si mismo con la comercialización de un gran abanico de opciones.

Además posee otras características como:

• Posibilidad de chequear de forma rápida los datos a través de un resumen al cual se accede sin cargar la página.

• Administrar el upload de archivos desde el mismo panel de administración.

• Permite especificar un nombre al archivo binario que se subirá al sistema.

• Posibilidad de distinguir el tráfico realizado por un “cliente” para mantener cada estadística de forma independiente.

• Permite elegir el archivo a subir desde el panel de administración o realizar una carga de forma aleatoria.

• Permite a sus “clientes” mantener su propio kit de exploits seleccionándolos desde una lista.

• También permite controlar la información estadística desde un dominio independiente al del panel de administración, lo cual permite acceder a la información sin realizar el proceso de autenticación.

• Permite limpiar la información estadística a nivel general o en particular de cada “cliente”.

• Toda la configuración de las opciones que ofrece Fragus para la administración y control de botnets se pueden realizar fácilmente desde el Framework.

• Posee un sistema de búsqueda interno que permite buscar y encontrar rápidamente enlaces con iframe en el tráfico abierto. También en general o en particular para cada “cliente”.

Además, Fragus también permite explotar vulnerabilidades en imágenes de alta calidad, editar la cantidad de dominios necesarios para realizar una migración de la información sin perder el tráfico, editar una dirección URL en la cual explotar paquetes de visitas dos veces o más; es decir, descargar desde la misma página varios binarios, pdf, swf dependiendo del exploit. Ejemplos de malware diseminado por Fragus son:

• Manual.pdf

• Patch.exe

Otro aspecto que resalta, y que lo diferencia de los clásicos crimeware de su tipo es que posee una instrucción destinada a evitar la detección del dominio utilizado por parte de los searchbots, (el dominio asociado a Fragus por defecto cuando se lanzo el crimeware es fragus.cn) y el proceso de instalación no es engorroso ni necesita tocar algún archivo de configuración de forma manual, ya que posee un asistente de ayuda que permite tenerlo instalado en pocos minutos.

Entre los exploits que posee preinstalados se encuentran:

• MDAC

• PDF printf()

• PDF collectEmailInfo()

• PDF getIcon()

• MS DirectShow

• MS09-002 - for IE7

• MS Spreadsheet

• AOL IWinAmp

• MS Snapshot MS COM

El costo de esta primera version de Fragus es USD 800. Este valor incluye el código fuente que se encuentra protegido con IonCube. El costo del cripter (escrito desde cero) es de USD 150 y por otros USD 30 se esconde el funcionamiento del crimeware para evadir su detección, quizás con técnicas fast-flux.

En definitiva, el “servicio” completo de Fragus posee un costo de USD 980 y, como es habitual en este mercado clandestino, el “trato” de compra se realiza a través de ICQ y la transacción del dinero a través de WebMoney.

Como podemos apreciar, este nuevo crimeware que se inserta en la escena delictiva promete ser muy competitivo. Además, el malware que tiene por defecto listo para su diseminación posee una tasa de detección preocupantemente baja, lo cual transforma a esta aplicación web en una seria amenaza.

Liberty Exploit System. Otra alternativa crimeware para el

control de botnets

El mercado negro controlado por ciber-delincuentes sigue generando productos “competitivos” dentro de un negocio donde el bajo costo del crimeware marca y justifica su uso masivo. En este sentido, las botnets se ven beneficiadas por el desarrollo de aplicativos web destinados a hacer de su administración, una tarea fácil e intuitiva; además de alimentar constantemente el proceso delictivo del cual forman parte.

Otra de las alternativas que se suma es este negocio clandestino es Liberty Exploit System, cuyo autor recientemente a puesto a disposición del ciber-crimen una nueva versión, la 1.0.5, y de la cual manifiesta que posee una excelente relación “precio/calidad”.