Todas las amenazas

Virus

Hackers

Spam

Todo el sitio    Sólo virus
  
Enciclopedia de virus
Alertas
Análisis
Noticias
Glosario
Bitácora

 
Archivo

<< 2015  
ene feb mar
     
     
     
Sobre los autores de la bitácora del analista antivirus
About Diary's Authors

La bitácora del analista antivirus es un weblog mantenido por los analistas antivirus de Kaspersky Lab, encabezado por Eugene Kaspersky. Lea más sobre los autores de esta bitácora

 

  Home / Bitácora

Bitácora del analista antivirus

Los extraordinarios plugins BE2, sus ataques contra Siemens, y las fallas en su diseño


  Kurt Baumgartner       25 febrero 2015 | 12:26  MSK

Comentar  

En nuestro artículo de noviembre presentamos nuestra investigación de BlackEnergy2 (BE2) y describimos los nuevos hallazgos sobre las actividades del grupo. Presentamos los detalles de sus plugins y los hallazgos sobre algunos de sus blancos y víctimas. En esta entrega, examinaremos de cerca varios plugins adicionales, nos concentraremos en los detalles sobre los ataques contra Siemens, y en algunas fallas de su inusual código.

Anteriormente presentamos un conjunto desconocido de seis plugins y funciones para la plataforma Linux. Para la plataforma Windows identificamos 17 plugins. En el último artículo notamos la dificultad de recopilación sobre este grupo. En este artículo completaremos las descripciones del conjunto.

bs
cert
dstr
s
grc
n
kl
prx
ps
d
scan
sn
ss
tv
upd
usb
vsnet

También recopilamos plugins para las arquitecturas MIPS/ARM, como anotamos en el anterior artículo sobre BE2.

weap
ps
nm
snif
hook
uper

Funciones extraordinarias

Primero examinemos algunos de los plugins para Windows más recientes y más sorprendentes. Resulta interesante que todos estos plugins utilizan una función personalizada “FindByHash” para evadir los esquemas de detección y ralentizar su análisis.

El plugin “Destroy”, dstr

Namedstr.dll
MD58a0a9166cd1bc665d965575d32dfa972
TypeWin32 DLL
Size26,474 bytes
CompiledOn2014.06.17 08:42:43

El plugin más problemático en la lista es el “dstr”. Se trata de un plugin sólo para Windows. Se usa para que el actor BE2 re-escriba los contenidos de los archivos, y destruya los datos guardados en los discos duros. Si bien es posible que se lo use con la intención de borrar sus huellas en una red, resulta excesivo usar este tipo de herramientas para dicho fin. Muy probablemente sea una herramienta de sabotaje, muy parecida al limpiador Destover que atacó a las redes de Sony Pictures Entertainment. Sin embargo, resulta interesante que los desarrolladores de BE2 crearan con código limpiador distinto a Destover y a Shamoon que vimos en los ataques contra Saudi Aramco y SPE. En lugar de reutilizar los controladores comerciales EldoS RawDisk en su programa malicioso, los desarrolladores de BE2 escribieron sus propias rutinas de destrucción de archivos y discos de nivel bajo. El despliegue de los limpiadores es espeluznante, pues en lugar de enviarlo a un estudio de producción con bajas protecciones, fue enviado a ambientes de Control de Sistemas Industriales (ICS).

Para rescribir los datos almacenados en todas las versiones de Windows, el plugin dsrt soporta las funciones del limpiador en modo usuario y modo núcleo, lo que es sorprendente. El componente mantiene una librería embebida win32 y módulos de controlador win64 para el funcionamiento de su modo núcleo. Están cifrados con rc4.

Función modo usuario

El plugin identifica la identidad del dispositivo para el disco duro del sistema y crea un handle para la unidad física del sistema, con acceso GENERIC_READ o GENERIC_WRITE. Varias llamadas a DeviceIoControl recopilan datos sobre la localización física del volumen, y el tamaño y propiedades del disco. Tambien utiliza DeviceIoControl con el código de control IOCTL_DISK_GET_DRIVE_GEOMETRY para recuperar el valor Bytes Per Sector. dsrt, después limpia todos los handles abiertos al disco, desmontándolo con el código de control FSCTL_DISMOUNT_VOLUME.

Esta rutina prepara el sistema para ser rescrito y garantiza que no hayan conflictos para plugin archivo I/O. Después, realiza múltiples llamadas WriteFile para crear un buffer escrito en ceros en el disco.

El plugin dstr mantiene código para desbloquear y eliminar el controlador de BE2 del disco, contribuyendo al objetivo del grupo de esconder sus huellas de los ojos de los investigadores. Fíjense que en el conjunto de llamadas FindByHash de arriba, la llamada sfc_os deshabilita la protección de archivos de Windows por un minuto mientras una aplicación puede eliminar o modificar el archivo bloqueado. De esta manera, el plugin y su llamada pueden proceder a eliminar el controlador.

El plugin supervisa todos los servicios en la carpeta %system32%\drivers y verifica los permisos de escritura. Si es posible el acceso, desbloquea el archivo, rescribe el controlador embebido bajo el nombre del controlador existente y lo ejecuta.

Controladores y función modo núcleo

Controlador descifrado 32-bit

Namedriver.sys
MD5c4426555b1f04ea7f2e71cf18b0e5b6c
TypeWin32 driver
Size5,120 bytes
CompiledOn2014.06.10 13:12:22 GMT

Controlador descifrado 64-bit

Namedriver.sys
MD52cde6f8423e5c01da27316a9d1fe8510
TypeWin64 driver
Size9,136 bytes
CompiledOn2014.06.10 13:12:04 GMT

Los controladores 32-bit y 64-bit son idénticos y se compilaron desde el mismo código fuente. Estos pequeños controladores Windows supuestamente soportan los sistemas de ficheros de FAT32 y NTFS, pero tienen dos grandes errores en la implementación de su código. A pesar de estos errores, queda claro que el objetivo del autor era analizar un sistema de archivos y de ahí escribir datos aleatorios en los archivos.

Errores extraordinarios

Estos errores en la implementación del código son exclusivos de este plugin dstr, lo cual sugiere el esfuerzo del equipo de desarrollo para el código del plugin.

Error #1.- Los autores invirtieron las rutinas de borrado de datos de FAT32 y NTFS cuando revisa si los caracteres “FAT32” están presentes en los primeros 1024-bytes del disco del sistema.

Error #2.- En la rutina de FAT32, el número de sector del directorio raíz se calcula y considera como el offset absoluto dentro del archivo, en vez de multiplicar este número por los bytes por sector.

En comparación, la rutina de NTFS no contiene este error, y el cálculo del offset MFT se implementa de forma apropiada:

Objetivo: Corromper el contenido de los archivos

Aparte de esto, es interesante que los autores implementaran la eliminacion de NTFS de una forma poco común, con una lógica extraña en comparación a la eliminacion 'directa' de FAT32. El plugin verifica los registros FILE y en un principio los salta. Después, bajo ciertas condiciones, rescribe los sectores alternos a los registros FILE con un buffer aleatorio que probablemente corresponde al contenido de algunos archivos y continua el bucle de ejecucion. Finalmente, termina de rescribir los primeros sectores de MFT y MFT mirror.

Plugin de sustitución de comunicaciones grc, plus.google.com

Namegrc.dll
MD5ee735c244a22b4308ea5d36afee026ab
TypeWin32 DLL
Size15,873 bytes
CompiledOn2013.09.25 07:19:31

Este plugin crea un canal de comunicaciones de respaldo con otro servicio legítimo. Muy probablemente, este canal de respaldo se utiliza para ocultar comunicaciones salientes en las redes monitoreadas. Hemos visto APTs que usaban todo, desde Twitter hasta Google Docs, para ocultar las comunicaciones a plena vista; esta vez, el servicio abusado es Google Plus.

Este plugin implementa los servicios HTTP estándar de Windows para interactuar con Google Plus sobre HTTPS, en busca de un archivo png.

El plugin está provisto con una identidad específica de Google Plus, con la cual se conecta, y usa el API de Windows de almacenamiento estructurado de flujo OLE junto a las funciones GDI+ bitmap para manejar y analizar este archivo png. El contenido del archivo png es en realidad un conjunto de datos cifrados que contienen el nuevo archivo de configuración de BE tal como se lo obtuvo mediante la comunicación 'normal' con el C&C.  El contenido está cifrado con RC4, tal como los controladores dstr embebidos. Pero, a diferencia del esquema ‘típico’ de BE de descifrado RC4 que utiliza RC4 una sola vez, aquí utiliza RC4 tres veces: una vez con una llave de codificación estática localizada en el binario grc, la segunda usando la llave extraída del resultado previamente descifrado, y la tercera usando el identificador ‘id’ del equipo que normalmente sirve como la llave de cifrado durante la comunicación con el C&C.

Plugin de recopilación de datos USB

Nameusb.dll
MD50d4de21a2140f0ca3670e406c4a3b6a9
TypeWin32 DLL
Size34,816 bytes
CompiledOn2014.03.21 07:02:48

El plugin USB recopila toda la información disponible sobre dispositivos USB conectados, y escribe todos estos datos en un archivo de texto, lo empaca, y se lo provee el código principal BlackEnergy que se comunica con un servidor C&C.

Utiliza llamadas múltiples API para recopilar información sobre múltiples tipos de dispositivos USB conectados. Enumera todos los dispositivos USB conectados al sistema y recupera datos de todos ellos, incluyendo los dispositivos SCSI de almacenamiento masivo. Y, lo que es más interesante, puede ser la primera implementación de técnicas relacionadas con BadUSB en malware COTS (common off-the-shelf) rediseñado para APT que hemos visto circulando en Internet.

El código busca dispositivos SCSI directamente y les envía dos tipos de comandos SCSI. El primer comando con el código de operación 0x1A que corresponde a MODE SENSE puede que solo ocasione el registro de la llamada fallida (mensaje 'SendSCSICommand return false').

El segundo tipo de comando SCSI sigue siendo un misterio. Usa un código operativo 0xf0 indefinido y no hay evidencia directa de su propósito, ya que se supone que es específico al fabricante. Este misterioso código operativo se menciona en el mismo periodo de desarrollo del plugin en la investigación ofensiva de BadUSB http://algorithmics.bu.edu/twiki/bin/view/EC521/SectionA1/Group5FinalReport. Aquí, se nota en el tráfico USB generado por una herramienta controladora SMI. Para ser más específicos, hay dos llamadas con el código operativo 0xf0 en el código, cada una con sus propios parámetros. Uno de los parámetros, 0x2A, se menciona en el documento para regresar los caracteres que contienen la versión del firmware, el ID del flash NAND, y el número de parte del controlador. Pero esta información recibida no se registra en ninguna parte.

Asimismo, el código hace bucles para recuperar datos físicos detallados sobre cada dispositivo de almacenamiento conectado:

  • número de cilindros
  • tipo de dispositivo (floppy, disco duro fijo, dispositivos portátiles, etc.)
  • número de pistas por cilindro
  • sectores por pista
  • número de bytes por sector
  • tamaño del disco físico en bytes
  • ID de instancia de dispositivo

Plugin BIOS de recopilación de datos de la tarjeta madre y el firmware

Namebs.dll
MD54747376b00a5dd2a787ba4e926f901f4
TypeWin32 DLL
Size210,432 bytes
CompiledOn2014.07.29 00:40:53

El plugin BIOS recopila información de bajo nivel del sistema infectado:

  • BIOS
  • tarjeta madre
  • procesador
  • sistema operativo

Utiliza varias técnicas para recopilar esta información:

  • WMI
  • CPUID
  • win32 api

Como una aplicación cliente de Windows Management Instrumentation (WMI), inicializa COM y se conecta con el namespace \\root\cimv2 para usar el puntero IWbemServices y hacer peticiones WMI. El código ejecuta peticiones wql ("wql" es "sql para wmi", un subconjunto de sql) para recopilar información del sistema de la víctima, como la petición “SELECT Description, Manufacturer, Name, ProcessorId FROM Win32_Processor”. A continuación, varias peticiones del código del BlackEnergy2 plugin:

  • SELECT Description, Manufacturer, Name, ProcessorId FROM Win32_Processor
  • SELECT Product, Manufacturer, Version FROM Win32_BaseBoard
  • SELECT Name, OSArchitecture, Version, BuildNumber FROM Win32_OperatingSystem
  • SELECT SerialNumber, Description, Manufacturer, SMBIOSBIOSVersion FROM Win32_BIOS

Estas llamadas wql le proporcionan al atacante datos como los que aparecen a continuación:

Descripción=Intel64 Family 6 Model 60 Stepping 3
Fabricante=GenuineIntel
Nombre=Intel(R) Core(TM) i7-4710MQ CPU @ 2.50GHz
ProcessorId=1FEAFBCF000116A9

Producto=7MPXM1
Fabricante=AsusTek
Versión=??

Nombre=Microsoft Windows 8.1 Pro
Arquitectura del sistema operativo=64-bit
Versión=6.3.9600
Número de compilación=9600

Número de serie=7DTLG45
Descripción=A12
Fabricante=AsusTek
SMBIOSBIOSVersion=A12

Esta selectividad es bastante inusual. Y el plugin no modifica su propio comportamiento basado en los valores recopilados. ¿Qué podemos inferir de la selección de sólo estos valores, que sólo están siendo recopilados y enviados a los atacantes? Estas son algunas posibilidades:

  • Los atacantes pretenden evadir las cajas de ejecución (sandbox), honeypots, y ambientes falsos, y usan los datos recopilados para identificar el sistema infectado.
  • Los atacantes tienen conocimiento previo del ambiente que pretenden penetrar, incluyendo las marcas de los equipos. O tienen una idea del tipo de hardware que esperan o desean ver. En los ambientes ICS y SCADA, estos detalles podrían ser muy valiosos para un atacante en estado de preparacion. Estos datos podrían ayudar a establecer la persistencia, evaluar la verdadera capacidad y recursos, ayudar a rastrear la fuente de los equipos, o ayudar siguientes movimientos laterales.
  • Los atacantes no saben nada de la red que están penetrando. Están recopilando esta información para comprender dónde se ejecuta este plugin en el ambiente atacado y planificando sus próximos movimientos.

Al usar win32 API estándar, la aplicación implementa llamadas para recuperar información sobre la localidad del sistema. Curiosamente, hay un handle especial para una región nórdica en este particular plugin: "Norwegian-Nynorsk".

La función de recopilación de datos del CPU, primero llama directamente a la instrucción cpuid de Intel. También maneja directamente sistemas multi-CPU y cada uno de sus conjuntos de funciones. Este soporte SMP está codificado de forma estática directamente en el plugin.

Detalles adicionales del ataque contra Siemens

Los detalles de los blancos de BE2 son interesantes. Cuando se enfocó en centros de investigación e instalaciones energéticas, el grupo vulneró a distancia los sistemas Simatic WinCC de Siemens. En estos casos, los atacantes intentaron forzar al proceso ccprojectmgr.exe a descargar y ejecutar una carga útil específica de BlackEnergy2. Analicemos un par de ejemplos de blancos. Dados los diferentes retrasos para el retorno, es posible que los ataques no eran automatizados.

Blanco A:

El primer intento de explotación de KSN se registró en marzo de 2014. Los atacantes volvieron a intentarlo en abril de 2014, aproximadamente 30 días y 2 horas después.

Blanco B:

El actor BE2 atacó entonces otro sistema en mayo de 2014 y fracasó; volvió a intentarlo en julio de 2014.

Entonces, parece que sus visitas son cíclicas, pero los volúmenes aquí son muy bajos para ser significativos.

En estos cuatro intentos contra dos blancos diferentes, los atacantes trataron de descargar su carga desde hxxp://94.185.85(dot)122/favicon.ico. La carga útil cambió de forma mínima desde marzo de 2014 hasta el fin de julio de 2014, presentando los siguientes md5(s). Todos estos descargadores son malware de BE2 que modifica un servicio de controlador de núcleo existente, como “ACPIEC”, y comienza a cargar el módulo núcleo de BE2. Vale la pena recalcar que los atacantes planeaban volver a utilizar el mismo C&C para el primer blanco, pero cambiaron el C&C de retrollamada para el segundo blanco. Ninguno de estos componentes está firmado:

fda6f18cf72e479570e8205b0103a0d3 → descarga df84ff928709401c8ad44f322ec91392, controlador, hilo depurador:"xxxxxxxx.pdb". C2: 144.76.119.48 (DE, Hetzner Online AG, AS24940)
fe6295c647e40f8481a16a14c1dfb222 → descarga 39835e790f8d9421d0a6279398bb76dc, controlador, hilo depurador: "xxxxxxxx.pdb". C2: 144.76.119.48 (DE, Hetzner Online AG, AS24940)
ac1a265be63be7122b94c63aabcc9a66 → descarga b973daa1510b6d8e4adea3fb7af05870, controlador. C2: 95.143.193.131 (SE, Internetport Sweden AB, AS49770)
8e42fd3f9d5aac43d69ca740feb38f97 → descarga f4b9eb3ddcab6fd5d88d188bc682d21d, controlador. C2: 46.165.222.6 (DE, Leaseweb Germany GmbH, AS16265)

Grupo Equation: de Houston con amor


  Global Research & Analysis Team (GReAT), Kaspersky Lab       25 febrero 2015 | 12:01  MSK

Comentar  

En 2009, se llevó a cabo una conferencia científica internacional en Houston, EE.UU. Participaron los principales científicos de varios países. Como suele suceder al terminar estos eventos, los organizadores les envían a los participantes un CDROM con las presentaciones y fotografías de la conferencia. Ni remotamente se imaginaban los destinatarios del CDROM que mientras disfrutaban de las imágenes y recuerdos de su participación, un troyano con respaldo gubernamental se estaba activando en secreto en sus equipos.

Presentación de diapositivas del CD

Curiosamente, al parecer la mayoría de los asistentes llevaron lapicero y papel en lugar de laptops.

Autorun que auto-levanta

El disco contiene dos ficheros en la carpeta raíz; autorun.inf y autorun.exe. Esto es común en muchos CDROMs. El fichero autorun.inf sólo ejecuta el principal EXE desde la carpeta raíz. Y luce así:

[AutoRun]
open=Autorun.exe
icon=Presentation\Show.exe,0

Más interesante es el binario autorun.exe, que posee los siguientes atributos:

Fecha de compilación2009.12.23 13:37:33 (GMT)
Tamaño62464 bytes
MD56fe6c03b938580ebf9b82f3b9cd4c4aa

Al iniciarse, el programa verifica los privilegios actuales del usuario. Si el usuario actual no tiene permisos administrativos, intentará elevar los privilegios mediante tres diferentes exploits que abusan de vulnerabilidades en el núcleo de Windows. Estas vulnerabilidades se repararon con los siguientes parches de Microsoft:

  • MS09-025
  • MS12-034
  • MS13-081

Considerando la fecha en que se envió el CDROM, significa que dos de los exploits eran día-cero. Es notable que el código intente diferentes variantes de exploits del núcleo (o kernel exploits), y en un bucle, una por una, hasta que una de ellas tenga éxito. El conjunto de exploits de la muestra en el CDROM incluye sólo tres exploits, pero este paquete de explotación soporta la ejecución de hasta 10 exploits distintos, uno tras otro. No queda claro si esto significa que también existe un programa malicioso que contenga 10 exploits para escalar privilegios (EoP), o si sólo se trata de una limitación lógica.

El código posee cargas separadas para Windows NT 4.0, 2000, XP, Vista y Windows 2008, incluyendo variantes para ciertas versiones del paquete de servicio. En realidad, se ejecuta dos veces: primero, para escalar privilegios temporalmente, y después para agregar al usuario actual al grupo de administradores locales del equipo, para la persistencia de los privilegios elevados.

Si estas acciones eran exitosas, el módulo iniciaba otro ejecutable del disco, mostrando la presentación de diapositivas con imágenes de la conferencia de Houston.

Al final, justo antes de finalizar la ejecución, el código corre un procedimiento adicional que realiza algunas comprobaciones especiales. Si la fecha de ejecución cae antes del 1ś de julio del 2010 y no se detecta la presencia de Bitdefender Total Security 2009/2010 o de algún producto de Comodo, procede a cargar un archivo DLL adicional, llamado “show.dll” desde el disco, espera siete segundos, desmonta el DLL y sale.

Si la fecha cae después del 1ś de julio de 2010, o si cualquiera de los productos mencionados está instalado, suspende inmediatamente la ejecución.

El “Show” comienza: DoubleFantasy entra en escena

El cargador principal y la herramienta de elevación de privilegios, “autorun.exe” activa un descargador especial, que en realidad es un instalador de implantes DoubleFantasy del grupo Equation. Este instalador se guarda como “show.dll” en la carpeta “Presentación” del CDROM.

El fichero DLL posee los siguientes atributos:

Fecha de compilación2009.03.20 17:42:21 (GMT)
Tamaño151'552 bytes
MD5ef40fcf419954226d8c029aac8540d5a
Nombre de ficheroshow.dll
Breve descripciónInstalador de DoubleFantasy

Primero encuentra los datos en la sección de recursos, descomprime (UCL) y descifra con XOR los datos de configuración de uno de los recursos.

Después crea las siguientes llaves de registro:

  • HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{6AF33D21-9BC5-4f65-8654-B8059B822D91}
  • HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{6AF33D21-9BC5-4f65-8654-B8059B822D91}\Version

De ahí define el valor (Default) para la sub-llave “Version” como “008.002.000.003”, identificando la versión del implante.

También intenta auto-eliminarse en el próximo reinicio, lo cual falla si se inicia desde el CD.

Al ser ejecutado por el paquete de explotación "Autorun.exe", el programa ya posee privilegios de administrador gracias a uno de los tres exploits. Sin embargo, el código vuelve a verificar si se está siendo ejecutado con privilegios de administrador, e intenta elevarlos mediante dos vulnerabilidades del núcleo:

  • MS09-025
  • MS12-034

Esto indica que el instalador DoubleFantasy está diseñado para ejecutarse independientemente del disco de Houston con su “Autorun.exe”.  En realidad, también hemos observado el uso independiente del instalador DoubleFantasy en otros casos.

El instalador verifica la presencia de soluciones de seguridad mediante una lista de llaves y valores de registro guardados en la sección de recursos. Revisa las llaves de una forma delicada y "sin llamar la atención" enumerándolas en lugar de acceder directamente a ellas. Esta es la lista de las llaves de nivel superior revisadas:

  • HKLM\Software\KasperskyLab\protected\AVP7\profiles\Behavior_Blocking\profiles\pdm\settings
  • HKLM\Software\KasperskyLab\AVP6\profiles\Behavior_Blocking\profiles\pdm\settings
  • HKLM\Software\Agnitum\Outpost Firewall
  • HKLM\Software\PWI, Inc.
  • HKLM\Software\Network Ice\BlackIce
  • HKLM\Software\S.N.Safe&Software
  • HKLM\Software\PCTools\ThreatFire
  • HKLM\Software\ProSecurity
  • HKLM\Software\Diamond Computer Systems
  • HKLM\Software\GentleSecurity\GeSWall

Si cualquiera de ellas está presente, el instalador marcará el sistema al definir una llave de registro especial: 

HKEY_LOCAL_MACHINE\Software\Classes\CLSID\ {6AF33D21-9BC5-4f65-8654-B8059B822D91}\MiscStatus

Esta señal tendrá el formato {CE0F7387-0BB5-E60B-xxxx-xxxxxxxxxxxx} como el valor (Default) de los datos y la ejecución concluirá.

Si no ha detectado ninguna solución de seguridad, procederá a descomprimir (UCL) y descifrar con XOR la carga útil, que se extrae en %system%\ee.dll.

Curiosamente, el DLL se carga utilizando su propio cargador personalizado en lugar de utilizar la llamada API estándar del sistema, LoadLibrary.

El módulo parece estar compilado con un conjunto de componentes o bibliotecas que realizan lo siguiente:

  • Elevación de privilegios (parece ser una versión temprana de la misma librería utilizada en autorun.exe).
  • Detección de soluciones de seguridad.
  • Análisis y descompresión de recursos.
  • Carga de archivos PE.

Este librería de código soporta Win9x y la familia Windows NT desde NT4.0 a NT6.x. Es importante notar que estas librerías no están muy bien fusionadas. Por ejemplo, no se utilizan ciertas partes del código.

Así se ve el bloque de configuración decodificado de DoubleFantasy:

Bloque de configuración decodificado de DoubleFantasy

Algunos de los servidores C&C de la configuración de DoubleFantasy:

  • 81.31.34.175 (República Checa)
  • 195.128.235.231 (Italia)

El malware DoubleFantasy copiado en el equipo de su víctima tiene las siguientes propiedades:

Fecha de compilación2009.03.31 15:32:42 (GMT)
Tamaño69632 bytes
MD5b8c0eb946de83fe8440fefbacf7de4a2
Nombre de ficheroee.dll
Breve descripciónImplante DoubleFantasy

Vale la pena remarcar que tanto el instalador como el malware parecen haberse compilado varios meses antes que el “autorun.exe” incluido en el CDROM, lo que sugiere que los implantes más o menos genéricos. También deja entrever que el “autorun.exe” probablemente se compiló especialmente para el ataque a través del CDROM.

El implante DoubleFantasy del grupo Equation es un troyano validador que envía a los atacantes información básica sobre el sistema. También les permite cargar una plataforma troyana más sofisticada, como EquationDrug o GrayFish. En general, una vez que se instala una de estas plataformas sofisticadas, los atacantes eliminan el implante DoubleFantasy. En caso de que la víctima no sea la adecuada, por ejemplo, si se trata de un investigador de malware, los atacantes sencillamente eligen desinstalar el implante DoubleFantasy y limpiar el equipo de la víctima.

En realidad, hay varias versiones conocidas de la carga útil de DoubleFantasy. El disco de Houston usó la versión 8.2.0.3, mientras que otras versiones se propagaban principalmente a través de exploits-de-web.

Al descifrar los bloques de configuración de todas las muestras conocidas de DoubleFantasy, obtuvimos los siguientes números internos de las versiones:

  • 8.1.0.4 (MSREGSTR.EXE)
  • 008.002.000.006
  • 008.002.001.001
  • 008.002.001.004
  • 008.002.001.04A (subversión "IMIL3.4.0-IMB1.8.0")
  • 008.002.002.000
  • 008.002.003.000
  • 008.002.005.000
  • 008.002.006.000
  • 011.000.001.001
  • 012.001.000.000
  • 012.001.001.000
  • 012.002.000.001
  • 012.003.001.000
  • 012.003.004.000
  • 012.003.004.001
  • 013.000.000.000

Curiosamente, las versiones más populares son la 8 y la 12:

Describiremos algunas de las versiones que logramos descubrir, incluyendo 8.2.0.3, 8.1.0.4 y 12.2.0.1.

Carga útil de DoubleFantasy v.8.2.0.3

Md5b8c0eb946de83fe8440fefbacf7de4a2
Tamaño69'632 bytes
TipoWin32 GUI DLL
Marca de tiempoMar 31.03.2009 14:32:42 (GMT)
Nombres de ficheroee.dll, actxprxy32.dll

Este módulo utiliza una técnica conocida como secuestro DLL COM que permite cargar el código en diferentes procesos.

Inicialización

En primer lugar, verifica si el módulo en ejecución se llama “ee.dll”; de ser así, procede con los pasos finales de la instalación:

  • Intenta encontrar los ajustes de configuración en la llave de registro  HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{6AF33D21-9BC5-4f65-8654-B8059B822D91}\TypeLib, en valor "DigitalProductId". Si este valor existe, lo decodifica con base64 y lo descifra con RC6 (con una llave hexadecimal de 16 bytes: 66 39 71 3C 0F 85 99 81 20 19 35 43 FE 9A 84 11).
  • Si la llave no se encuentra en el registro, carga la configuración desde un recurso.
  • Se auto-copia en una de las dos variantes de los nombres de archivo. Después sustituye uno de los componentes del sistema al renombrar y remplazar el original.
Fichero originalLlave de registroValor de registroNuevo valor (Variante 1)Nuevo valor (Variante 2)
linkinfo.dllHKLM\System\CurrentControlSet\ Control\SessionManager\KnownDLLsLINKINFOLI.DLLLINK32.DLL
hgfs1.dllHKLM\SYSTEM\CurrentControlSet\ Services\hgfs\networkproviderProviderPathhgfs32.dllhgfspath.dll
midimap.dllHKLM\SOFTWARE\Microsoft\ Windows NT\CurrentVersion\Drivers32midimappermidimapper.dllmidimap32.dll
actxprxy.dllHKCR\CLSID\ {C90250F3-4D7D-4991-9B69-A5C5BC1C2AE6}\ InProcServer32(Default)actxprxy32.dllactxprxyserv.dll
  • Fija el valor 64-bit de config al valor (Default) de la llave HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{6AF33D21-9BC5-4f65-8654-B8059B822D91}\TypeLib en el formato {8C936AF9-243D-11D0-xxxx-xxxxxxxxxxxx}, parece que después se usa como un identificador de la víctima cuando esta se conecta al servidor C&C.
  • Define el valor (Default) de la llave HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{6AF33D21-9BC5-4f65-8654-B8059B822D91}\Version al string "008.002.000.003" .
  • Tras la creación de una llave, procede con pasos adicionales para establecer derechos de KEY_ALL_ACCESS al grupo ‘Todos’.
  • Actualiza la hora de inicio, codifica y vuelve a escribir config en el valor de registro HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{6AF33D21-9BC5-4f65-8654-B8059B822D91}\DigitalProductId.

Si ocurre un error, fija el valor “0” a la llave HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{6AF33D21-9BC5-4f65-8654-B8059B822D91}\MiscStatus\(Default). El valor de registro {CE0F7387-0BB5-E60B-8B4E-xxxxxxxxxxxx} entonces contiene un código de error cifrado con xor.

Si ocurre un error de inicialización, si el proceso de hosting es “explorer.exe” o “avp.exe”, suprime todas las excepciones y continúa con la ejecución. Esto podría significar que si hubiera errores en estos procesos, no hay que suspenderlos por ellos.

Para secuestrar correctamente los objetos COM remplazados, el código exporta un conjunto de funciones vinculadas a los ficheros DLL originales.

CompareLinkInfoReferents = linkinfo.CompareLinkInfoReferents
CompareLinkInfoVolumes = linkinfo.CompareLinkInfoVolumes
CreateLinkInfo = linkinfo.CreateLinkInfo
DestroyLinkInfo = linkinfo.DestroyLinkInfo
DisconnectLinkInfo = linkinfo.DisconnectLinkInfo
DllCanUnloadNow = actxprxy.DllCanUnloadNow
DllGetClassObject = actxprxy.DllGetClassObject
DllRegisterServer = actxprxy.DllRegisterServer
DllUnregisterServer = actxprxy.DllUnregisterServer
DriverProc = midimap.DriverProc
GetCanonicalPathInfo = linkinfo.GetCanonicalPathInfo
GetLinkInfoData = linkinfo.GetLinkInfoData
GetProxyDllInfo = actxprxy.GetProxyDllInfo
IsValidLinkInfo = linkinfo.IsValidLinkInfo
NPAddConncection = hgfs1.NPAddConncection
NPAddConncection3 = hgfs1.NPAddConncection3
NPCancelConncection = hgfs1.NPCancelConncection
NPCloseEnum = hgfs1.NPCloseEnum
NPEnumResource = hgfs1.NPEnumResource
NPFormatNetworkName = hgfs1.NPFormatNetworkName
NPGetCaps = hgfs1.NPGetCaps
NPGetConnection = hgfs1.NPGetConnection
NPGetResourceInformation = hgfs1.NPGetResourceInformation
NPGetResourceParent = hgfs1.NPGetResourceParent
NPOpenEnum = hgfs1.NPOpenEnum
ResolveLinkInfo = linkinfo.ResolveLinkInfo
modMessage = midimap.modMessage
modmCallback = midimap.modmCallback

Los implantes ejecutan periódicamente verificaciones comparando con un archivo especial definido en config. Si ese archivo ha cambiado desde la última verificación, o ha transcurrido al menos una semana desde la última verificación, hace lo siguiente:

  • Comprueba la conectividad mediante dominios públicos (especificados en config, como "www.microsoft.com" y "www.yahoo.com") usando peticiones HTTP POST.
  • Si dispone de acceso a Internet, se conecta a una o dos IPs o hostnames de C&Cs (especificados en config: i.e. 81.31.34.175 y 195.128.235.23). Prueba los puertos estándar HTTP/HTTPS, 80 y 443 respectivamente.
  • Envía una petición POST al C&C con encabezados adicionales “EIag: 0d1975bfXXXXXXXX9c:eac',0Dh,0Ah", donde XXXX XXXX – es parte del identificador de la víctima.
  • Solicita datos adicionales: identificador de la víctima, versión, y direccion MAC. Los datos se cifran con RC6 y se codifican con Base64 (Llave RC6: 8B 4C 25 04 56 85 C9 75 06 33 C0 5E C2 08 31 F6).

El código de comunicación con el C&C realiza lo siguiente:

  • Se decodifican los datos recibidos con Base64 y se descifran con RC6. El resultado se interpreta como un comando de puerta trasera.
  • Los resultados de la ejecución del comando se envían al C&C. De ahí intenta traer el siguiente comando desde el servidor.
  • Se auto-desinstala si no puede conectarse al servidor C&C dentro de 180 días (configurable).

La puerta trasera soporta los siguientes comandos:

Código CmdNombre del comandoDescripción
Download&Run Group
J (0x4a)Create FileCrea un archivo vacío; si el archivo ya existe obtiene su tamaño.
D (0x44)Append FileAgrega un trozo de datos a un fichero (creado por “J” cmd).
V (0x56)Run or Copy

Verifica el CRC16 del fichero recibido por el comando D; lo elimina si la verificación falla.
Dependiendo del indicador de los comandos:

  • Copia el archivo a un nuevo lugar.
  • Carga el archivo como un DLL.
  • Inicia el archivo como un nuevo proceso.
Carga DLL usando un cargador personalizado y llama a la exportación “dll_u”.
Upload Group
K (0x4b)Get File SizeObtiene el tamaño del archivo.
S (0x53)Read FileLee el archivo especificado por el comando ‘K’ y lo envía al C&C. Puede eliminar el archivo después de la transferencia (bajo cierta condición).
Service Group
` (0x60)Get InfoRecopila informacion (direcciones IP y MAC, versión del implante, servidor proxy del sistema, propietario y organización de la registración de Windows, versión de Windows e ID del producto, idioma local y país, ruta del directorio de Windows, tipo de conexión, lista de todas las sub-llaves de HKLM\Software).
p (0x70)Set Victim IDSe prepara para cambiar el identificador de la víctima.
u (0x75)Set IntervalCambia el intervalo de conexión con el C&C (siete días por defecto).
v (0x76)Set C&C IPCambia la dirección IP primaria del C&C.
x (0x78)Set File PathCambia la ruta y nombre del archivo-bajo-inspección.
(0x80)Read FileElimina el archivo especificado en el comando.
B (0x42)Reset Victim IDCambia la identification de la víctima a la definida por el comando Set Victim ID
Subcmd 0 – volver a conectarse con el C&C
Subcmd 1 – restaurar el contexto RC6
Subcmd 2 – desinstalar

Carga útil de DoubleFantasy v.8.1.0.4

Localización%System%\MSREGSTR.EXE
MD59245184228af33d3d97863daecc8597e
Tamaño31'089
TipoWin32 GUI EXE
Marca de tiempoMie 22.03.2006 18:25:55 (GMT)
Info de versiónDescripción del archivo  Registro del software
Derechos de autor  Copyright © Microsoft Corp. 1993-1995
Nombre de la compañía Microsoft Corporation
Versión del fichero        4.00.950
Nombre interno    MSREGSTR
Nombre original del fichero  MSREGSTR.EXE

En comparación con la versión 8.2, la versión 8.1 implementa las mismas tareas de forma un poco diferente.

Diferencias:

  • Este es un archivo EXE que se ejecuta como un proceso de servicio.
  • Los datos de configuración guardados en lo sobrescrito (overlay) del archivo, en lugar de en recursos.
  • Se usan otras llaves de registro como almacenamiento de config – conjunto de sub-llaves bajoš HKLM\Software\Microsoft\Windows\ CurrentVersion\Setup\Common
  • No se usa el cifrado RC6 ni la codificación Base64. Los datos del tráfico de red se envían en texto plano o se cifran con XOR.
  • La cantidad de comandos a distancia soportados consiste de tan sólo cuatro.
  • El tipo de codificación del comando es diferente.
  • Soporta la familia Windows 9x.

Carga útil de DoubleFantasy v.12.2.0.1

Localización%System%\actxprxy32.dll
MD5562be0b1930fe5de684c2c530619d659769d099781220004540a8f6697a9cef1
Tamaño151552
TipoWin32 GUI DLL
Marca de tiempoMie 04.08.2004 07:55:07 (GMT), probablemente falsa

La implementación de la versión 12.2 es similar a la de la versión 8.2, aunque tiene el doble de tamaño debido a la adición de una librería grande nueva.

El propósito principal de esta nueva librería es robar los nombres de usuario y contraseñas de:

  • Internet Explorer en ejecución o la memoria del navegador Firefox;
  • la configuración proxy de Internet Explorer, guardada en el registro de Windows;
  • el almacenamiento protegido de Windows (hasta Windows XP);
  • el subsistema de autenticación de Windows (Vista+).

Además de los navegadores, la librería también puede inyectar código malicioso y leer la memoria de otros procesos para obtener y descifrar las contraseñas de los usuarios. La misma librería también se usa dentro del orquestador principal EQUATIONDRUG y los módulos TRIPLEFANTASY.

La librería recopila las credenciales robadas y después las prueba cuando accede al servidor proxy mientras se conecta a Internet, y si la prueba tiene éxito, las credenciales válidas se cifran con RC6 y codifican con BASE64 para su uso posterior.

En esta versión la llave de cifrado de datos RC6 es:

66 39 71 3C 0F 85 99 81 20 19 35 43 FE 9A 84 11
La llave de cifrado de tráfico RC6 es:
32 EC 89 D8 0A 78 47 22 BD 58 2B A9 7F 12 AB 0C

Los datos robados del usuario se guardan en el registro de Windows como valor @WriteHeader, dentro de dos llaves aleatorias en el nodo HKLM\SOFTWARE\Classes\CLSID\ {77032DAA-B7F2-101B-A1F0-01C29183BCA1}\Containers.

Resumen

El disco CDROM utilizado en el ataque de Houston representa una operación rara e inusual para el grupo Equation. Suponemos que estos ataques están diseñados sólo para víctimas importantes que de otra forma eran inalcanzables, por ejemplo, a través de un vector de ataque basado en el uso de Internet. Esto queda confirmado por el hecho de que la librería de explotación contenía tres exploits, dos de los cuales era día-cero en ese entonces.

El programa malicioso DoubleFantasy es el primer paso en la infección de una víctima por el grupo Equation. Una vez que la víctima ha sido confirmada mediante comunicación con la puerta trasera y la verificación de varios parámetros del sistema, se instala un sistema de programas maliciosos más sofisticados, como EquationDrug o Grayfish.

En próximas entregas continuaremos describiendo las familias de programas maliciosos más sofisticados que utiliza el grupo Equation: EquationDrug y GrayFish.

Los ataques dirigidos de los Halcones del desierto


  Global Research & Analysis Team (GReAT), Kaspersky Lab       24 febrero 2015 | 19:43  MSK

Comentar  

Descargar PDF del informe completo (eng)

Los Halcones del desierto (Desert Falcons) es un nuevo grupo de cibermercenarios que se dedica al ciberespionaje en el Medio Oriente. El grupo cuenta con un arsenal de herramientas y técnicas maliciosas caseras para ejecutar y ocultar sus campañas en PCs y sistemas operativos móviles.

Las primeras operaciones del grupo se detectaron en 2011 y sus primeras infecciones en 2013. A fines de 2014 y principios de 2015, el grupo se encontraba muy activo.

Informe completo

El informe completo se encuentra aquí.

Preguntas más frecuentes

¿Dónde se encuentran sus víctimas?

Se han detectado más de 3.000 víctimas en más de 50 países. La mayoría se encuentra en Palestina, Egipto, Israel y Jordania, pero se han descubierto otras en Arabia Saudita, EAU, EE.UU., Corea del Sur, Marruecos, Qatar y otros países.

¿Quiénes son las víctimas?

Los ataques apuntaron a varios tipos de víctimas, incluyendo organizaciones militares y gubernamentales, empleados responsables de organizaciones de salud, de combate al lavado de dinero, instituciones económicas y financieras, reconocidos medios de comunicación, instituciones educativas y de investigación, proveedores de energía y servicios básicos, activistas y líderes políticos, compañías de seguridad física, y otros blancos que tienen acceso a importante información geopolítica.

¿Cómo se infecta a las víctimas?

Los autores de este programa malicioso recurren a una variedad de técnicas y métodos de ingeniería social para propagar sus ficheros e inducir a sus víctimas a que los ejecuten, creando un vector de infección efectivo. Como ejemplo podemos citar un sitio web fraudulento que ofrece publicarš información política censurada y pide a los usuarios que descarguen un complemento para ver un video (el complemento contiene el malware). Otro ejemplo es el uso de mensajes de correo tipo spearphishing o mensajes en redes sociales para propagar los archivos maliciosos cambiando su extensión (por ejemplo, los archivos maliciosos que terminan en .fdp.scr aparecerán como .rcs.pdf).

Ejemplos de documentos y videos usados en mensajes spear-phishing

¿Qué propósito tienen las operaciones?

Los atacantes buscan información sensible de inteligencia que les sirva para siguientes operaciones o incluso para extorsiones. Las víctimas se eligen por los secretos o información de inteligencia que puedan poseer relacionada con su posición en organizaciones importantes o del gobierno.

A las víctimas les robaron más de un millón de archivos. Entre los ficheros robados se encuentran comunicaciones diplomáticas de embajadas, planes y documentos militares, documentos financieros, listas y documentos de contactos VIPs y medios de comunicación.

¿Quiénes son los atacantes y qué se sabe de ellos?

La lengua materna de los operadores de Desert Falcons es el árabe. Son más de 30 y trabajan en tres equipos. Ya se conocen las identidades de algunos de ellos. Los atacantes están llevando a cabo tres campañas para atacar a diferentes tipos de víctimas.

¿Dónde están los atacantes?

Se encuentran en Palestina, Egipto y Turquía.

¿Qué malware usan para infectar a sus víctimas?

Utilizan tres puertas traseras principales para infectar los dispositivos de sus víctimas:

Puertas traseras para ordenadores

  • El troyano Main Falcons
  • El troyano DHS* Spyware

Las puertas traseras para ordenadores les proporcionan a los atacantes un amplio margen para usar keyloggers y capturadores de pantalla, para acceder a ficheros e incluso para realizar grabaciones de audio. Los atacantes usan el nombre DHS para describir las iniciales de apodos de uno de los desarrolladores (D**H**Spyware).

Puerta trasera para dispositivos móviles

  • Una puerta trasera móvil para dispositivos Android.
    Las puertas traseras móviles les permiten a los atacantes acceder a los registros Call y SMS.

¿Cómo encontraron de esta amenaza? ¿Quién la denunció?

Nos enteramos de esta amenaza durante la investigación de un incidente en el Medio Oriente.

¿Sigue activa?

La operación es muy activa y actualmente está en su pico. Continuamente estamos identificando nuevas muestras y víctimas de todas las campañas relacionadas.

¿En qué difiere de otros ataques de ciberespionaje?

Desert Falcons son los primeros ataques de ciberespionaje conocidos que han sido desarrollados y operados por árabes para atacar el Medio Oriente. Los ataques han afectado a una cantidad sorprendente de víctimas, y han robado más de un millón de documentos especiales.

¿Es un ataque respaldado por algún gobierno?

Los perfiles de las víctimas atacadas y los aparentes motivos políticos detrás de los ataques nos hacen pensar que estas operaciones pueden tener el apoyo de algún gobierno. Sin embargo, por el momento no podemos confirmarlo.

¿Por qué el nombre?

El halcón es un ave rara y muy apreciada por siglos en los países del desierto en el mundo árabe. Es un símbolo de caza y visión aguda. Los Halcones del desierto son cibercazadores muy efectivos que seleccionan cuidadosamente a sus víctimas tras investigarlas exhaustivamente antes de atacarlas y las vigilan de cerca después de infectarlas.

¿Cómo pueden protegerse los usuarios?

Los productos de Kaspersky Lab detectan y bloquean todas las variantes de este programa malicioso que se usan en esta campaña:

     Trojan.Win32.DesertFalcons
     Trojan-Spy.Win32.Agent.cncc
     Trojan-Spy.Win32.Agent.ctcr
     Trojan-Spy.Win32.Agent.ctcv
     Trojan-Spy.Win32.Agent.ctcx
     Trojan-Spy.Win32.Agent.cree
     Trojan-Spy.Win32.Agent.ctbz
     Trojan-Spy.Win32.Agent.comn
     Trojan.Win32.Bazon.a

Fanny Equation: “Yo soy tu padre, Stuxnet”


  Global Research & Analysis Team (GReAT), Kaspersky Lab       24 febrero 2015 | 19:29  MSK

Comentar  

En la conferencia Virus Bulletin de 2010, los investigadores de Kaspersky Lab se asociaron con Microsoft para presentar sus hallazgos sobre Stuxnet. La presentación conjunta incluyó diapositivas con varias partes de Stuxnet, como los día-cero utilizados en el ataque.

Quizás el exploit día-cero más interesante de Stuxnet fue el exploit LNK (CVE-2010-2568) que le permitía propagarse a través de dispositivos USB e infectar incluso los equipos que tenían deshabilitada la función Autorun.

En la investigación de 2010 sobre Stuxnet, se descubrió que el exploit LNK se había utilizado anteriormente en otro programa malicioso, supuestamente un Zlob PE, que apuntaba a “fanny.bmp.

En 2010, muy pocos prestaron atención a un programa malicioso que usaba el exploit LNK anterior a Stuxnet. Zlob es una familia extensa de programas maliciosos, y este tipo de muestras de crimeware no suelen interesar a los investigadores que se enfocan en los exploits día-cero y en las operaciones con respaldo gubernamental.

Sin embargo, durante nuestra investigación del grupo Equation en 2014, creamos una detección especial para la librería de explotación del grupo, bautizado como “PrivLib”. Para sorpresa nuestra, esta detección fue activada por un gusano de 2008 que utilizaba el exploit LNK de Stuxnet para replicarse, bautizado como Fanny.

¿Qué es Fanny?

Este gusano impulsado por PrivLib, que se propaga mediante el exploit LNK de Stuxnet y con el nombre de archivo “fanny.bmp”, se compiló el lunes 28 de julio de 2008 a las 11:11:35, si es que podemos confiar en la marca de tiempo de la compilación. Llegó a nuestra colección de Internet de diciembre de 2008, por lo que los datos de la compilación pueden ser correctos.

“Fanny my name” podría ser un mensaje de presentación de los autores

Los productos de Kaspersky Lab detectan el gusano "Fanny.bmp" de 2008 como Trojan-Downloader.Win32.Agent.bjqt. Este programa malicioso incluye el exploit LNK, lo que significa que se trata de un programa malicioso que ¡usaba el exploit LNK de Stuxnet antes que apareciera Stuxnet!

El segundo exploit de Stuxnet (MS09-025)

Si un programa malicioso que utilizaba un exploit de Stuxnet antes de Stuxnet es una presa jugosa, uno que utilize un segundo exploit de Stuxnet lo es mucho más aún.

El segundo exploit era un día-cero cuando Fanny estaba activo. Esto significa que para replicarse Fanny usaba dos exploits día-cero que más tarde utilizó Stuxnet. La vulnerabilidad específica usada para la elevación de privilegios se parchó con MS09-025:

“La actualización de seguridad corrige estas vulnerabilidades modificando los métodos utilizados para validar un cambio en objetos específicos del núcleo, para la validación del input pasado del modo de usuario al núcleo, y para la validación del argumento pasado a la llamada del sistema. La actualización de seguridad también corrige una vulnerabilidad garantizando que el núcleo de Windows limpie punteros en condiciones de error".

El mismo exploit se utilizó luego en un módulo inicial de Stuxnet de 2009, que se incrustaba en una versión binaria extensa utilizando la plataforma Flame. Ese módulo de Stuxnet, también conocido como “atmpsvcn.ocx”, o Resource 207, fue el vínculo técnico entre Stuxnet y Flame. šEsta historia la desarrollamos en este artículo.

Si bien la vulnerabilidad que explotan ambos módulos Stuxnet/Flame y Fanny es la misma, la implementación del exploit es diferente. El exploit en Stuxnet ataca a una versión de sistema operativo específica, mientras que Fanny está diseñado para uso universal y es capaz de ejecutarse en múltiples plataformas. Tiene un shellcode único y procedimientos de activación de exploits para:

  • Windows NT 4.0
  • Windows 2000
  • Windows XP
  • Windows 2003
  • Windows Vista, 2008 y posiblemente otros de la familia NT6.x

La implementación del exploit en Fanny es más compleja que en Stuxnet: en lugar de ejecutar una sola carga, sus autores crearon un marco de trabajo que ejecuta tantas cargas como deseen, remplazando un despachador de llamadas de servicio del sistema nt!NtShutdownSystem con su propio puntero personalizado desde el espacio del usuario, como se muestra en la siguiente figura:

Fanny inyectó su propio despachador de llamadas de servicios del sistema

Esto activa un trampolín persistente del modo usuario al modo núcleo. Esta función no estaba disponible en el módulo Stuxnet, pero hay otras similitudes. Por ejemplo, al parecer los desarrolladores de Stuxnet y los de Fanny siguen ciertos lineamientos de codificación, como el uso de números mágicos originales para cada llamada de función. La mayoría de los resultados producidos simplemente se descartan, pero siguen siendo parte del código. Podrían ser los restos de una versión de depuración del código que potencialmente podría registrar cada paso en el código para facilitar el seguimiento de un error durante las pruebas. En sistemas complejos en los que el núcleo y el código del espacio del usuario se ejecutan sin interacción, este parece un método lógico e incluso esencial. Una vez más, se encuentra implementado en el código Stuxnet y en Fanny. Veamos la siguiente figura.

Stuxnet (a la izquierda) y Fanny (a la derecha) usan valores mágicos de retorno

El programa malicioso Fanny

Entonces, ¿qué es Fanny en esencia? Se trata de un gusano USB con una puerta trasera sofisticada que utiliza la así llamada “vulnerabilidad LNK de Stuxnet” para ejecutarse automáticamente desde el dispositivo USB, incluso si Autorun está deshabilitado. Puede elevar los privilegios al sistema local usando vulnerabilidades en el núcleo, y descarga y registra módulos adicionales. Intenta conectarse a un servidor C&C e instala otros componentes si la conexión está disponible. En caso contrario, utiliza el dispositivo USB como portador para enviar/recibir peticiones a y desde el operador a través de un área oculta de almacenamiento creada en una estructura FAT pura.

Generalmente, la víctima inserta un nuevo dispositivo USB y lo abre con el Explorador de Windows. Es posible ver las dos etapas de infección desde el USB que se ejecutan en segundos.

Módulos de Fanny

MD50a209ac0de4ac033f31d6ba9191a8f7a
Tamaño184320
TipoWin32 DLL
Nombre internodll_installer.dll
Compilado2008.07.28 08:11:35 (GMT)

Este fichero es un DLL con dos exportaciones (para instalar y desinstalar el programa malicioso). Contiene un config cifrado con xor en recurso binario con el número 101. El config determina el comportamiento del programa malicioso: hay un comando para instalar programas maliciosos en el sistema actual, URLs para el servidor C&C y nombres de archivos locales y rutas utilizadas para instalar componentes embebidos del malware.

Componentes de Fanny dentro del ejecutable principal

Una vez que se inicia, verifica los siguientes Mutexes:

  • Global\RPCMutex
  • Global\RPCMutex <InstanceNum>

Donde <InstanceNum> es un número entero de 1-byte tomado del config. Si existe cualquiera de estos Mutexes, el código no se ejecutará. Esto significa que alguna otra instancia del mismo código se está ejecutando. InstanceNum muy probablemente identifica una variante o generación de Fanny, evitando así que una misma versión vuelva a infectar el sistema, pero permitiendo que diferentes versiones se ejecuten (posiblemente para activar la actualización forzada de sus componentes).

El módulo también verifica otro byte importante en su configuración. Este byte es un contador que disminuye durante la infección exitosa de un sistema. Cuando el contador alcanza un valor mínimo de uno, el módulo limpia la unidad USB y deja de propagar el gusano. De esta manera, los atacantes limitan la longitud máxima de la cadena de ataque del gusano.

Si el módulo tiene el nombre “fanny.bmp” (el nombre de archivo que Fanny utiliza para propagarse mediante unidades USB), se autoinstalará desde la unidad USB.

Como parte del proceso inicial de la infección, Fanny intentará elevar los privilegios actuales si el usuario no tiene derechos de administración en el sistema actual. Utiliza una vulnerabilidad parchada por MS09-025 para este propósito. Sólo si la elevación tiene éxito, el programa malicioso intentará conectarse a un servidor C&C usando una URL que está guardada en el config:

  • http://webuysupplystore[.]mooo[.]com/ads/QueryRecord200586_f2ahx.html

La siguiente es una muestra de los pedidos del programa malicioso:

GET /ads/QueryRecord200586_f2ahx.html HTTP/1.1
User-Agent: Mozilla/4.0 (compatible;)
Host: webuysupplystore.mooo.com

El programa malicioso espera del servidor C&C una respuesta HTTP 200 y añade caracteres cifrados en xor de 0x7f que contienen una URL de segunda etapa. La respuesta de segunda etapa puede contener el cuerpo de un archivo ejecutable que se guarda en el disco y se ejecuta.

En este momento, el servidor C&C es un cenote de Kaspersky Lab, pero según nuestros registros pDNS, anteriormente apuntaba a la siguiente direccione IP:

  • 210.81.22.239

Información IP

A continuación se describe las etapas que se identificaron durante el análisis de los componentes iniciales e embebidos de Fanny.

Infección

El módulo busca fanny.bmp en la carpeta raíz de las unidades de disco, empezando con la unidad D: y la copia en los siguientes lugares:

  • %WINDIR%\system32\comhost.dll
  • %WINDIR%\system32\mscorwin.dll

¿Por qué hace Fanny dos copias de sí mismo? En realidad, hay una pequeña diferencia entre estos dos ficheros. Fanny parcha su config en la sección de recursos de uno de los ficheros (comhost.dll). Los datos parchados son el valor de la extensión máxima que queda de la cadena de ataques de Fanny. “mscorwin.dll” es el archivo original copiado tal cual desde la unidad portátil. Hasta ahora, una copia se usa para infectar otras unidades USB, y la otra se carga al arrancar el sistema.

También copia todos los ficheros *.Ink desde la unidad USB a “%WINDIR%\system32\” para volver a usarlos para infectar otras unidades USB insertadas. Es posible que haya más de un fichero LNK, ya que cada LNK contiene una ruta distinta al DLL que se carga. Si se desconoce la letra de una nueva unidad en el sistema atacado, Fanny utiliza varios LNKs para las letras más comunes de LNKs. Este método se mejoró posteriormente en Stuxnet, que usaba una ruta dependiente relacionada con la identidad del dispositivo a la unidad USB. Sin embargo, incluso ese método requería varios ficheros LNK (hasta cuatro) debido a las diferentes rutas relativas en diferentes versiones de Windows, pero de todas formas su número es mucho menor que un conjunto casi completo de letras del alfabeto latino.

Persistencia

Fanny crea el siguiente valor de registro para lograr la persistencia:
HKLM\System\CurrentControlSet\Control\MediaResources\acm\ECELP4\Driver.

Esta no es una forma común de lograr que un código se inicie automáticamente al arrancar el sistema y es extremadamente invasivo, pero garantiza que el módulo se cargue en el espacio de dirección de cada proceso en el sistema, incluyendo algunos procesos críticos como lsass.exe y services.exe que se ejecutan como usuario SYSTEM.

Cuando el módulo se carga, verifica otros valores que comienzan con “filter” en la misma llave de registro, por ejemplo:

  • HKLM\System\CurrentControlSet\Control\MediaResources\acm\ECELP4\filter2
  • HKLM\System\CurrentControlSet\Control\MediaResources\acm\ECELP4\filter3
  • HKLM\System\CurrentControlSet\Control\MediaResources\acm\ECELP4\filter8

Los valores contienen un nombre de proceso de hosting y una ruta a un fichero DLL o EXE. Si el nombre del proceso actual contiene el valor establecido como proceso de hosting, entonces el módulo carga un DLL o inicia un nuevo proceso (en caso del fichero EXE), dependiendo de la extensión del fichero atacado.

Este es un mapa de los procesos y módulos que se usan en Fanny:

ProcesoMódulos de FannyBreve descripción
winlogonc:\windows\MSAgent\AGENTCPD.DLLpuerta trasera USB
explorerc:\windows\system32\shelldoc.dllrootkit para el Explorador de Windows
lsassc:\windows\system32\mscorwin.dllgusano USB

Gusano USB

El código del gusano es parte de la exportación %WINDIR%\system32\comhost.dll con ordinal 4 (el nombre de la exportación es "dll_installer_4"). El DLL es un gusano modificado de próxima generación que se copia a cada unidad USB insertada con todos los archivos relacionados con LNK guardados en el directorio Windows\System32. Este módulo es distribuido por mscorwin.dll que es parte del proceso de sistema Isass.

Rootkit para el Explorador de Windows

Las funciones del rootkit las provee un fichero shelldoc.dll cargado en el proceso del Explorador de Windows. Oculta algunos archivos relacionados con Fanny (archivos LNK y Fanny.bmp) en el Explorador de Windows quitándolos de la lista de ítems en la ventana principal que usa el control SysListView32 (generalmente la ventana del Explorador de Windows).

Ya hemos mostrado algunas capturas de pantalla con ficheros que desaparecen; sin embargo, a veces este enfoque puede provocar sospechas. Así se ve cuando el usuario abre un directorio system32 con el Explorador:

Iconos de siete archivos relacionados con Fanny que desaparecieron en el Explorador de Windows

Aparentemente, tiene la apariencia de que recortaran los iconos de los archivos. Además, parece que faltan algunos directorios estándar debido a un problema en el código del rootkit. Al parecer, los autores no comprobaron apropiadamente este componente.

Modo Enmascarado Activado

El código del DLL de la puerta trasera USB tiene una parte interesante que a primera vista no parece tener mucho sentido. Toma algunas constantes de codificación estática (hardcoded) y genera un valor aleatorio que se guarda en una llave del registro.

Fanny genera valores aleatorios que se guardan en el registro

Después mueve el ejecutable que actualmente aloja al DLL a: c:\windows\system32\msdtc32.exe. Luego se agrega la ruta del ejecutable al valor de registro HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell, lo que hace que el ejecutable se ejecute en el arranque del sistema.

Esto puede parecer una forma tradicional para que el malware se agregue a autostart, pero no hay que dejarse engañar. El propósito de esta acción es hacerles creer a algunos sistemas y programas automatizados, como los basados en cajas de ejecución (sandbox) y emuladores, que han atrapado un programa malicioso desconocido y no dejar que se siga ejecutando. Parece que el componente es tan raro que sus autores decidieron evitar el riesgo de que levante más sospechas. Puede parecer paradójico, pero sus autores prefieren que se detecte este código como un programa malicioso. El truco es imitar el comportamiento de algunos programas maliciosos tradicionales, bots, y que se lo detecte tan pronto como sea posible, para no revelar sus actividades secretas. Considerando que este componente se propagó mediante unidades USB y que podría aparecer en muchos sistemas, al detectarlo como un bot tradicional se lo colocaría en una zona de bajo riesgo y en consecuencia se lo descartaría sin someterlo a mayor análisis.

Esto explicaría por qué se lo había detectado como una variante del programa malicioso Zlob, sin que nadie le prestara mayor atención.

Puerta trasera USB

Uno de los módulos, agentcpd.dll, es una puerta trasera diseñada para funcionar como una herramienta avanzada de búsqueda de inteligencia para ordenadores protegidos por segmentación física (air-gap) que son los que normalmente se usan en instalaciones con alta seguridad. Esta puerta trasera espera que se inserte una unidad USB y si es un disco nuevo, de inmediato asigna espacio para un contenedor vacío usando su propio controlador del sistema de archivos FAT16/FAT32.

Así se ve el directorio raíz FAT antes y después de insertar una unidad USB en un equipo infectado:

Vista hexadecimal de una participación de disco limpia antes y después de insertar una USB en un equipo infectado

En la parte superior de esta vista hexadecimal se encuentra la etiqueta de disco “MYDRIVE” (los correspondientes bytes hexadecimales están subrayados con verde). Le sigue un valor indicador de un solo byte (0x08 en hexadecimales) que, según Microsoft, significa ATTR_VOLUME_ID. Cada entrada en esta tabla de directorio raíz tiene 32 bytes de largo.

Las entradas de subdirectorio, como Pictures, Music, Documents y Work ocupan 63 bytes, debido a la característica de nombres largos de archivos FAT. šHay dos variantes de nombres de subdirectorios: cortos y largos. Una entrada de subdirectorio usa un indicador 0x10 a continuación de un nombre corto de directorio que, según Microsoft, significa ATTR_DIRECTORY.

El último registro insertado por Fanny (remarcado en rojo), usa un nombre de directorio inválido y un indicador 0x18 que combina ATTR_VOLUME_ID y ATTR_DIRECTORY. Esta combinación de indicadores no se documenta según las especificaciones vigentes FAT, y por lo tantoš los controladores del sistema de ficheros ignoran toda la entrada como si fuesen datos corrompidos o un bloque malo. En consecuencia, esta entrada no es visible en Windows, Mac OS, y Linux, y probablemente todas las otras implementaciones del controlador FAT.

Aunque Fanny no protege rigurosamente los datos en su almacenamiento oculto (no marca el espacio asignado como bloques malos, probablemente para evitar su detección), si cambia el valor indicador del controlador del sistema de archivos que señala donde buscar el siguiente grupo libre. De esta manera reserva un espacio de aproximadamente 1Mb en el disco para usarlo como un almacenamiento oculto.

Cuando Fanny detecta una nueva unidad USB, con su propio controlador FAT revisa el directorio raíz y encuentra la entrada que comienza con el valor mágico 51 50 40 98 (ver arriba). Entonces usa el offset que sigue al valor indicador de 0x18. En la figura de arriba está establecido en 0x001e9c00. Este offset en el mismo disco USB señalara otro valor mágico D0 CF CE CD que sirve como marcador del comienzo del almacenamiento oculto:

Vista hexadecimal del almacenamiento oculto de Fanny con una lista de los procesos en ejecución

Una vez que Fanny le ha asignado espacio al almacenamiento oculto, llena este compartimento con información básica sobre el sistema actual, como: versión del sistema operativo, número de Service Pack, nombre del ordenador, nombre de usuario, nombre de la compañía, lista de procesos en ejecución, etc.

El almacenamiento secreto también se usa para pasar comandos a ordenadores que no están conectados a Internet. Según el código de Fanny, el contenedor puede incluir componentes adicionales y comandos internos, como copiar determinado archivo desde el sistema de archivos local a la unidad USB (sus ubicaciones se definen como parámetros, el archivo se marca oculto y atributos de los archivos del sistema) o actualizar el bloque de configuración. Usa RC4 con la siguiente llave con codificación estatica para proteger los datos críticos:

18 05 39 44 AB 19 78 88  C4 13 33 27 D5 10 6C 25

Cuando la unidad USB se inserta en otro equipo infectado conectado al Internet, puede usarse para extraer archivos importantes y proporcionar una forma de interactuar con el operador. Este método sencillo y extremadamente lento de comunicación no es común entre los cibercriminales tradicionales; es por eso que el código parece una caja de herramientas para el ciberespionaje profesional. Este componente es una de las raras muestras de malware de una clase nueva llamada USB-Backdoors.

Si encuentras este o un código similar de USB-Backdoor en alguno de tus sistemas, se trata de un indicador de un ciberataque profesional.

Estadísticas de cenotes y víctimas

We sinkholed the Fanny C&C server and collected victim statistics, shown below. In total, we observed over 11,200 unique IPs connecting to the sinkhole server over a period of five months:

Por ahora, la gran mayoría de las víctimas se encuentran en Paquistán (un asombroso 59,36%). Muy por detrás se encuentran Indonesia y Vietnam, con el 15,99% y el 14,17%, respectivamente. Las cifras de la infección en otros países son probablemente muy pequeñas para tenerlas en cuenta.

Por supuesto, esto podría plantear la interrogante: ¿Era Paquistán el verdadero blanco de Fanny? Para ser honestos, no lo sabemos. El estado actual de la infección puede diferir de lo que era en 2008-2010. Considerando que todavía hay más de 10.000 víctimas en todo el mundo, las cifras en 2009 pueden haber sido muchísimo mayores, quizás incluso bordeando las 50.000. Puede ser relevante que Paquistán (junto a Rusia e Irán), sea un blanco primordial para otros programas maliciosos del grupo Equation.

Conclusión

Con Fanny comenzamos otro capítulo más en la historia de Stuxnet, el grupo Equation, y Flame. Creado en 2008, Fanny utilizó dos exploits día-cero. Estos dos se añadieron a Stuxnet en junio de 2009 y marzo de 2010. De hecho, esto significa que el grupo Equation tenía acceso a estos día-cero (y otros) años antes de que lo tuviera el grupo Stuxnet.

Si bien aún se desconoce el verdadero blanco de Fanny, su singular capacidad de mapear redes con protección de segmentación fisica (air-gap) y de comunicarse mediante unidades USB muestra que mucho esfuerzo se invirtió en lograr penetrar estas redes con protección air-gap. Como precursor de las versiones de Stuxnet que podían replicarse a través de la red, es posible que Fanny se usara para mapear algunos de los futuros blancos de Stuxnet.

Otro hecho raro es la gran cantidad de infecciones en Paquistán. Puesto que Fanny se propaga sólo a través de unidades USB, que es un proceso lento, esto indica que la infección comenzó en Paquistán, posiblemente antes que en muchos otros países.

¿Se utilizó Fanny para mapear algunas redes altamente sensibles en Paquistán, con un propósito desconocido, o sirvió para preparar Stuxnet? Quizás el tiempo lo diga.

Equation: La Estrella de la muerte de la galaxia Malware


  Global Research & Analysis Team (GReAT), Kaspersky Lab       19 febrero 2015 | 17:25  MSK

Comentar  

Descargar el PDF "Equation group: questions and answers" (eng)

"Houston, tenemos un problema"

En un día soleado del año 2009, Grzegorz Brzęczyszczykiewicz1 tomó un vuelo a la pujante ciudad de Houston para asistir a una prestigiosa conferencia científica. Como uno de los principales científicos en su campo, Grzegorz estaba acostumbrado a estos viajes. En los siguientes días, Brzęczyszczykiewicz intercambió tarjetas personales con otros científicos y habló sobre los temas importantes que los científicos de alto nivel suelen tratar (un eufemismo equivalente a “¿quién sabe?”).  Pero, todo lo bueno termina, y al concluir la conferencia, Grzegorz Brzęczyszczykiewicz tomó el vuelo que lo llevaría de regreso a casa, llevando consigo muchas impresiones de un memorable evento. Un tiempo después, como suele suceder en este tipo de acontecimientos, los organizadores enviaron a todos los participantes un CDROM con muchas fotos de la conferencia. Cuando Grzegorz insertó el CDROM en su ordenador y se abrió la presentación de dispositivas, ni sospechó que se estaba convirtiendo en la víctima de una organización de ciberespionaje casi omnipotente que acababa de infectar su ordenador utilizando tres exploits, dos de ellos del tipo día-cero.

Una cita con el “dios” del ciberespionaje

No se sabe cuándo el grupo Equation2 comenzó su ascenso. Algunas de las primeras muestras de este programa malicioso se compilaron en el 2002. Sin embargo, su servidor de comando y control (C&C) se registró en agosto de 2011. Otros C&Cs que utilizó el grupo Equation parecen haberse registrado incluso en 1996, lo que indicaría que este grupo ha estado activo por al menos dos décadas. Por muchos años han interactuado con otros grupos poderosos, como Stuxnet y Flame, siempre desde una posición de superioridad, ya que tenían acceso a exploits antes que los demás.

Desde el 2001, el grupo Equation se ha dedicado a infectar miles o quizás hasta decenas de miles de víctimas en todo el mundo, en los siguientes sectores:

  • Instituciones gubernamentales y diplomáticas
  • Telecomunicaciones
  • Aeroespacial
  • Energía
  • Investigación nuclear
  • Petróleo y gas
  • Fuerzas armadas
  • Nanotecnología
  • Activistas y académicos musulmanes
  • Medios de comunicación
  • Transporte
  • Instituciones financieras
  • Compañías de desarrollo de tecnologías de cifrado

Para infectar a sus víctimas, el grupo Equation cuenta con un arsenal poderoso de “implantes” (así llaman a sus troyanos), incluyendo los siguientes a los que hemos bautizado: EQUATIONLASER, EQUATIONDRUG, DOUBLEFANTASY, TRIPLEFANTASY, FANNY y GRAYFISH. Sin duda existen otros “implantes” aún por ser identificados.

El grupo tiene muchos nombres clave para sus herramientas e implantes, incluyendo SKYHOOKCHOW, UR, KS, SF, STEALTHFIGHTER, DRINKPARSLEY, STRAITACID, LUTEUSOBSTOS, STRAITSHOOTER, DESERTWINTER y GROK. Por más increíble que parezca para un grupo élite como este, uno de sus desarrolladores cometió el error imperdonable de dejarnos su nombre de usuario: "RMGREE5", en una de las muestras del programa malicioso, como parte de su carpeta de trabajo: "c:\users\rmgree5\".

Quizás la herramienta más poderosa en el arsenal del grupo Equation sea un misterioso módulo conocido sólo por su nombre críptico: "nls_933w.dll". Este módulo les permite reprogramar el firmware del disco duro para una docena de marcas de discos duros, incluyendo Seagate, Western Digital, Toshiba, Maxtor e IBM. Este es un asombroso logro técnico y es una muestra de las habilidades del grupo.

En los últimos años, el grupo Equation ha lanzado varios ataques.  Uno de ellos sobresale: el gusano Fanny. Presuntamente compilado en julio de 2008, fue el primero que nuestros sistemas detectaron y bloquearon en diciembre de 2008. Fanny usaba dos exploits tipo día-cero, que posteriormente se revelaron durante el descubrimiento de Stuxnet. Para propagarse utilizaba el exploit LNK de Stuxnet y unidades USB. Para elevar sus privilegios, Fanny usaba una vulnerabilidad reparada con el boletín MS09-025 de Microsoft, que también se usó en una de las primeras versiones de Stuxnet de 2009.

Exploit LNK utilizado por Fanny

Es importante señalar que estos dos exploits se usaron en Fanny antes de que se integraran a Stuxnet, lo que indica que el grupo Equation tuvo acceso a estos día-cero antes que el grupo Stuxnet. El propósito principal de Fanny era el mapeo de redes físicamente segmentadas (o air-gapped). Para ello, utilizaba un mecanismo de comando y control único, basado en USB, que les permitía a los atacantes enviar y recibir datos desde las redes físicamente separadas por los air-gaps.

En los próximos días publicaremos más detalles sobre el grupo Equation y sus ciberataques. El primer documento que publicaremos serán las preguntas frecuentes sobre el grupo con los indicadores de infección.

Nuestra intención al publicar esta información es llamar la atención de la comunidad de seguridad informática y de los investigadores independientes para que puedan ampliar la comprensión de estos ataques. Cuanto más investiguemos estas operaciones de ciberespionaje, más nos daremos cuenta de lo poco que sabemos ahora. Compartiendo lo que sabemos podremos levantar el velo y trabajar por un (ciber-)mundo más seguro.

Descargar el PDF "Equation group: questions and answers"

Indicadores de infección (“uno por cada"):

NombreEquationLaser
MD5752af597e6d9fd70396accc0b9013dbe
TipoInstalador de EquationLaser
CompiladoLun 18 Oct 15:24:05 2004
NombreDisco de Houston "autorun.exe" con exploits EoP
MD56fe6c03b938580ebf9b82f3b9cd4c4aa
TipoPaquete EoP y lanzador de malware
CompiladoMié 23 Dic 15:37:33 2009
NombreDoubleFantasy
MD52a12630ff976ba0994143ca93fecd17f
TipoInstalador de DoubleFantasy
CompiladoVie 30 Abr 01:03:53 2010
NombreEquationDrug
MD54556ce5eb007af1de5bd3b457f0b216d
TipoInstalador de EquationDrug ("LUTEUSOBSTOS")
CompiladoMar 11 Dic 20:47:12 2007
NombreGrayFish
MD59b1ca66aab784dc5f1dfe635d8f8a904
TipoInstalador de GrayFish
CompiladoVie 01 Feb 22:15:21 2008 (instalador)
NombreFanny
MD50a209ac0de4ac033f31d6ba9191a8f7a
TipoGusano Fanny
CompiladoLun 28 Jul 11:11:35 2008
NombreTripleFantasy
MD59180d5affe1e5df0717d7385e7f54386cargador (17920 bytes .DLL)
Tipoba39212c5b58b97bfc9f5bc431170827carga cifrada (.DAT)
Compiladovarios, posible falsificación
Nombre_SD_IP_CF.dll - desconocido
MD503718676311de33dd0b8f4f18cffd488
TipoInstalador de DoubleFantasy + paquete del exploit LNK
CompiladoVie 13 Feb 10:50:23 2009
Nombrenls_933w.dll
MD511fb08b9126cdb4668b3f5135cf7a6c5
TipoMódulo de reprogramación HDD
CompiladoMar 15 Jun 20:23:37 2010
Nombrestandalonegrok_2.1.1.1 / GROK
MD524a6ec8ebf9c0867ed1c097f4a653b8d
TipoKeylogger de GROK
CompiladoMar 09 Ago 03:26:22 2011

Servidores C&C (nombres de hosts e IPs):

DoubleFantasy:



advancing-technology[.]com
avidnewssource[.]com
businessdealsblog[.]com
businessedgeadvance[.]com
charging-technology[.]com
computertechanalysis[.]com
config.getmyip[.]com - CENOTE DE KASPERSKY LAB
globalnetworkanalys[.]com
melding-technology[.]com
myhousetechnews[.]com - CENOTE DE KASPERSKY LAB
newsterminalvelocity[.]com - CENOTE DE KASPERSKY LAB
selective-business[.]com
slayinglance[.]com
successful-marketing-now[.]com - CENOTE DE KASPERSKY LAB
taking-technology[.]com
techasiamusicsvr[.]com - CENOTE DE KASPERSKY LAB
technicaldigitalreporting[.]com
timelywebsitehostesses[.]com
www.dt1blog[.]com
www.forboringbusinesses[.]com

EquationLaser:


lsassoc[.]com - re-registered, not malicious at the moment
gar-tech[.]com - CENOTE DE KASPERSKY LAB

Fanny:



webuysupplystore.mooo[.]com - CENOTE DE KASPERSKY LAB

EquationDrug:



newjunk4u[.]com
easyadvertonline[.]com
newip427.changeip[.]net - CENOTE DE KASPERSKY LAB
ad-servicestats[.]net - CENOTE DE KASPERSKY LAB
subad-server[.]com - CENOTE DE KASPERSKY LAB
ad-noise[.]net
ad-void[.]com
aynachatsrv[.]com
damavandkuh[.]com
fnlpic[.]com
monster-ads[.]net
nowruzbakher[.]com
sherkhundi[.]com
quik-serv[.]com
nickleplatedads[.]com
arabtechmessenger[.]net
amazinggreentechshop[.]com
foroushi[.]net
technicserv[.]com
goldadpremium[.]com
honarkhaneh[.]net
parskabab[.]com
technicupdate[.]com
technicads[.]com
customerscreensavers[.]com
darakht[.]com
ghalibaft[.]com
adservicestats[.]com
247adbiz[.]net - CENOTE DE KASPERSKY LAB
webbizwild[.]com
roshanavar[.]com
afkarehroshan[.]com
thesuperdeliciousnews[.]com
adsbizsimple[.]com
goodbizez[.]com
meevehdar[.]com
xlivehost[.]com
gar-tech[.]com - CENOTE DE KASPERSKY LAB
downloadmpplayer[.]com
honarkhabar[.]com
techsupportpwr[.]com
webbizwild[.]com
zhalehziba[.]com
serv-load[.]com
wangluoruanjian[.]com
islamicmarketing[.]net
noticiasftpsrv[.]com
coffeehausblog[.]com
platads[.]com
havakhosh[.]com
toofanshadid[.]com
bazandegan[.]com
sherkatkonandeh[.]com
mashinkhabar[.]com
quickupdateserv[.]com
rapidlyserv[.]com

GrayFish:


ad-noise[.]net
business-made-fun[.]com
businessdirectnessource[.]com
charmedno1[.]com
cribdare2no[.]com
dowelsobject[.]com
following-technology[.]com
forgotten-deals[.]com
functional-business[.]com
housedman[.]com
industry-deals[.]com
listennewsnetwork[.]com
phoneysoap[.]com
posed2shade[.]com
quik-serv[.]com
rehabretie[.]com
speedynewsclips[.]com
teatac4bath[.]com
unite3tubes[.]com
unwashedsound[.]com

TripleFantasy:


arm2pie[.]com
brittlefilet[.]com
cigape[.]net
crisptic01[.]net
fliteilex[.]com
itemagic[.]net
micraamber[.]net
mimicrice[.]com
rampagegramar[.]com
rubi4edit[.]com
rubiccrum[.]com
rubriccrumb[.]com
team4heat[.]net
tropiccritics[.]com

Servidores de explotación del grupo Equation:


standardsandpraiserepurpose[.]com
suddenplot[.]com
technicalconsumerreports[.]com
technology-revealed[.]com

IPs hard-coded en bloques de configuración de programas maliciosos:


149.12.71.2
190.242.96.212
190.60.202.4
195.128.235.227
195.128.235.231
195.128.235.233
195.128.235.235
195.81.34.67
202.95.84.33
203.150.231.49
203.150.231.73
210.81.52.120
212.61.54.239
41.222.35.70
62.216.152.67
64.76.82.52
80.77.4.3
81.31.34.175
81.31.36.174
81.31.38.163
81.31.38.166
84.233.205.99
85.112.1.83
87.255.38.2
89.18.177.3

Nombres detectados por los productos de Kaspersky:


  • Backdoor.Win32.Laserv

  • Backdoor.Win32.Laserv.b

  • Exploit.Java.CVE-2012-1723.ad

  • HEUR:Exploit.Java.CVE-2012-1723.gen

  • HEUR:Exploit.Java.Generic

  • HEUR:Trojan.Java.Generic

  • HEUR:Trojan.Win32.DoubleFantasy.gen

  • HEUR:Trojan.Win32.EquationDrug.gen

  • HEUR:Trojan.Win32.Generic

  • HEUR:Trojan.Win32.GrayFish.gen

  • HEUR:Trojan.Win32.TripleFantasy.gen

  • Rootkit.Boot.Grayfish.a

  • Trojan-Downloader.Win32.Agent.bjqt

  • Trojan.Boot.Grayfish.a

  • Trojan.Win32.Agent.ajkoe

  • Trojan.Win32.Agent.iedc

  • Trojan.Win32.Agent2.jmk

  • Trojan.Win32.Diple.fzbb

  • Trojan.Win32.DoubleFantasy.a

  • Trojan.Win32.DoubleFantasy.gen

  • Trojan.Win32.EquationDrug.b

  • Trojan.Win32.EquationDrug.c

  • Trojan.Win32.EquationDrug.d

  • Trojan.Win32.EquationDrug.e

  • Trojan.Win32.EquationDrug.f

  • Trojan.Win32.EquationDrug.g

  • Trojan.Win32.EquationDrug.h

  • Trojan.Win32.EquationDrug.i

  • Trojan.Win32.EquationDrug.j

  • Trojan.Win32.EquationDrug.k

  • Trojan.Win32.EquationLaser.a

  • Trojan.Win32.EquationLaser.c

  • Trojan.Win32.EquationLaser.d

  • Trojan.Win32.Genome.agegx

  • Trojan.Win32.Genome.akyzh

  • Trojan.Win32.Genome.ammqt

  • Trojan.Win32.Genome.dyvi

  • Trojan.Win32.Genome.ihcl

  • Trojan.Win32.Patched.kc

  • Trojan.Win64.EquationDrug.a

  • Trojan.Win64.EquationDrug.b

  • Trojan.Win64.Rozena.rpcs

  • Worm.Win32.AutoRun.wzs

Reglas Yara:


rule apt_equation_exploitlib_mutexes {

meta:

copyright = "Kaspersky Lab"
description = "Rule to detect Equation group's Exploitation library"
version = "1.0"
last_modified = "2015-02-16"
reference = "https://securelist.com/blog/"

strings:

$mz="MZ"

$a1="prkMtx" wide
$a2="cnFormSyncExFBC" wide
$a3="cnFormVoidFBC" wide
$a4="cnFormSyncExFBC"
$a5="cnFormVoidFBC"

condition:

(($mz at 0) and any of ($a*))
}


rule apt_equation_doublefantasy_genericresource {

meta:

copyright = "Kaspersky Lab"
description = "Rule to detect DoubleFantasy encoded config"
version = "1.0"
last_modified = "2015-02-16"
reference = "https://securelist.com/blog/"

strings:

$mz="MZ"
$a1={06 00 42 00 49 00 4E 00 52 00 45 00 53 00}
$a2="yyyyyyyyyyyyyyyy"
$a3="002"

condition:

(($mz at 0) and all of ($a*)) and filesize < 500000
}


rule apt_equation_equationlaser_runtimeclasses {

meta:

copyright = "Kaspersky Lab"
description = "Rule to detect the EquationLaser malware"
version = "1.0"
last_modified = "2015-02-16"
reference = "https://securelist.com/blog/"

strings:

$a1="?a73957838_2@@YAXXZ"
$a2="?a84884@@YAXXZ"
$a3="?b823838_9839@@YAXXZ"
$a4="?e747383_94@@YAXXZ"
$a5="?e83834@@YAXXZ"
$a6="?e929348_827@@YAXXZ"

condition:

any of them
}


rule apt_equation_cryptotable {

meta:

copyright = "Kaspersky Lab"
description = "Rule to detect the crypto library used in Equation group malware"
version = "1.0"
last_modified = "2015-02-16"
reference = "https://securelist.com/blog/"

strings:

$a={37 DF E8 B6 C7 9C 0B AE 91 EF F0 3B 90 C6 80 85 5D
19 4B 45 44 12 3C E2 0D 5C 1C 7B C4 FF D6 05 17 14 4F
03 74 1E 41 DA 8F 7D DE 7E 99 F1 35 AC B8 46 93 CE 23
82 07 EB 2B D4 72 71 40 F3 B0 F7 78 D7 4C D1 55 1A 39
83 18 FA E1 9A 56 B1 96 AB A6 30 C5 5F BE 0C 50 C1}

condition:

$a
}




1 seudónimo para proteger la identidad original de la víctima >>

2 el nombre "Grupo Equation" se debe a su preferencia por sofisticados esquemas de cifrado >>

El gran robo de banco: el APT Carbanak


  Global Research & Analysis Team (GReAT), Kaspersky Lab       16 febrero 2015 | 19:20  MSK

Comentar  

Download Full Report PDF (eng)

La historia de Carbanak comenzó cuando un banco de Ucrania nos pidió ayuda con una investigación forense: Le estaban robando misteriosamente el dinero desde los cajeros automáticos. Al principio creímos que se trataba del programa malicioso Tyupkin. Sin embargo, después de investigar el disco duro del sistema de cajeros automáticos, no logramos encontrar nada, salvo una inusual configuración VPN (la máscara de red estaba fijada en 172.0.0.0).

En ese momento, nos pareció como un ataque más de programas maliciosos. Ni nos imaginábamos en ese entonces que pocos meses después uno de nuestros colegas recibiría una llamada a las tres de la madrugada. Era un gerente de cuenta que nos pedía que hiciéramos algunas llamadas urgentes. Al otro lado de la línea se encontraba el jefe de estrategia de un banco ruso. Uno de sus sistemas alertaba sobre envíos de datos desde su controlador de dominio hasta China.

Cuando llegamos a sus oficinas, logramos rápidamente encontrar el programa malicioso en el sistema. Escribimos un script batch para eliminar el programa de un PC infectado, y lo ejecutamos en todos los ordenadores del banco. Lo hicimos varias veces hasta estar seguros de que todos los equipos estaban limpios. Por supuesto, guardamos muestras que nos permitieron descubrir el programa malicioso Carbanak.

Cómo funciona

Un análisis forense más exhaustivo nos condujo al punto inicial de la infección: un mensaje de correo tipo spear-phishing con un adjunto CPL. En otros casos se utilizaron documentos Word que explotaban vulnerabilidades conocidas. Después de ejecutar el shellcode se instala en el sistema una puerta trasera basada en Carberp. Esta puerta trasera es lo que hoy conocemos como Carbanak. Está diseñada para el espionaje, la extracción de datos y el control remoto.

Una vez que los atacantes penetran en la red, realizan un reconocimiento manual para infectar los equipos más importantes (como los de los administradores) y utilizan herramientas de movimiento lateral. En resumen, después de penetrarla, exploran la red hasta encontrar su punto de interés. Este punto de interés varía según los ataques. Sin embargo, lo que todos tienen en común es que desde este punto es posible extraer dinero desde la entidad infectada.

Los ciberdelincuentes que controlan Carbanak no necesitan conocer con antelación el funcionamiento de los bancos que atacan, ya que varía de uno a otro. Para poder entender cómo funciona un determinado banco, grabaron vídeos usando los equipos infectados que posteriormente enviaron a sus servidores de comando y control. Aunque la calidad de los vídeos era bastante pobre, servían a los propósitos de los atacantes, que también contaban con los datos interceptados a través del teclado del equipo espiado, para entender lo que su víctima hacía. Esto les proporcionó los conocimientos que necesitaban para robar el dinero.

Procedimientos del robo

En nuestra investigación detectamos varias de las formas en que realizaban el robo:

Los cajeros automáticos recibían instrucciones remotas para entregar dinero sin necesidad de interactuar con la máquina, y el dinero lo recogían mulas. Usaban la red SWIFT para transferir el dinero desde el banco a las cuentas de los ciberpiratas. Asimismo, alteraban las bases de datos con información de cuentas para crear cuentas falsas con un saldo bastante elevado.

Infecciones y pérdidas

Desde que comenzamos a investigar esta campaña, trabajamos de forma estrecha con las autoridades que perseguían al grupo Carbanak. Como resultado de esta cooperación nos enteramos que los blancos alcanzaban hasta 100. En el caso de las instituciones financieras, al menos la mitad de los casos, los ciberdelincuentes lograron robarles dinero. Las pérdidas por banco están entre los 2,5 y 10 millones de dólares, aproximadamente. Sin embargo, según la información bridada por dichas autoridades y por las mismas víctimas, las pérdidas financieras totales podrían ascender a los 1.000 millones de dólares, lo que harían de esta campaña cibercriminal la más exitosa que hayamos visto.

Nuestra investigación comenzó en Ucrania y después pasó a Moscú, y la mayoría de las instituciones financieras atacadas por el grupo se encontraba en Europa oriental. Sin embargo, gracias a los datos de KSN y a la información obtenida de los servidores de comando y control, sabemos que Carbanak también atacó a blancos en EE.UU., Alemania y China. Ahora estos ciberpiratas están ampliando sus operaciones a nuevas zonas, como Malasia, Nepal, Kuwait y varias regiones en África, entre otras.

El grupo sigue activo, por lo que pedimos a todas las entidades financieras que procedan a escanear sus redes en busca de Carbanak. Si lo encuentran, deben dar parte inmediatamente a las respectivas autoridades.

Para conocer la campaña en profundidad, los IOCs y la lista de infecciones, puedes leer nuestro informe.

Para verificar la presencia de Carbanak, puedes usar el fichero abierto IOC que ponemos a tu disposición aquí.


Preguntas más frecuentes

¿Qué es Carnabak?

Carbanak es el nombre que usamos para referirnos a una campaña de ataques APT lanzados contra instituciones financieras, pero sin limitarse a ellas. La principal diferencia con otros ataques APT es que los atacantes no buscan datos, sino dinero. Decimos que son ataques tipo APT, aunque los ataques no son, estrictamente hablando, avanzados. Propiamente dicho, la principal característica que define a los atacantes es la persistencia.

Bautizamos esta puerta trasera con el nombre Carbanak porque se basa en Carberp y el nombre del fichero de configuración es “anak.cfg”.

¿Cuáles son los propósitos maliciosos de esta campaña?

Los atacantes penetran la red de la víctima en busca de sistemas críticos que puedan usar para extraer dinero. Una vez que roban una cantidad importante de dinero (entre 2,5 y 10 MM USD por entidad), abandonan a su víctima.

¿Por qué es significativo?

Las entidades bancarias siempre han sido un blanco predilecto de los ciberpiratas. Sin embargo, las víctimas eran los clientes. Esta vez, los atacantes están atacando directamente a las organizaciones mediante ataques sin precedentes, determinados y altamente profesionales y coordinados, y usan cualquier medio a su disposición para robar tanto dinero como sea posible, hasta alcanzar un límite aparentemente fijado por ellos mismos.

¿Se puede explicar la cronología de la campaña?

De acuerdo a lo que sabemos, las primeras muestras maliciosas se compilaron en agosto de 2013, cuando los ciberpiratas comenzaron a probar el programa malicioso Carbanak. Las primeras infecciones se detectaron en diciembre de 2013.

En promedio, cada robo tardó en realizarse entre dos y cuatro meses, desde la infección del primer equipo en la red corporativa del banco, hasta la extracción misma del dinero.

Creemos que la banda tuvo éxito en el robo a sus primeras víctimas entre febrero y abril de 2014. El pico de las infecciones se registró en junio de 2014.

Hoy en día, está campaña continúa activa.

¿Por qué se publican los detalles solo ahora?

Desde que comenzamos a trabajar en esta campaña hemos colaborado con las autoridades que la estaban investigando y las ayudamos en todo lo posible. Como la investigación permanece abierta, nos pidieron que no compartiéramos información hasta que fuese seguro hacerlo.

¿Os habéis puesto en contacto con las víctimas y los Equipos de respuesta de emergencia informática (CERTs) en los países donde se detectaron los incidentes?

Sí. Esta investigación derivó en una operación conjunta entre el Equipo de análisis e investigación mundial de Kaspersky Lab (GReaT), organizaciones internacionales, autoridades nacionales y regionales, y equipos de respuesta de emergencia informática en todo el mundo.

Uno de nuestros principales objetivos era divulgar lo que sabíamos sobre la campaña e IOCs entre todas las víctimas detectadas y potenciales. Las autoridades y los Equipos de respuesta de emergencia informática fueron los canales de publicación.

¿Cómo habéis contribuido a la investigación?

Estamos ayudando en las investigaciones y en las contramedidas para neutralizar los programas maliciosos y las actividades cibercriminales. Durante las investigaciones brindamos nuestros conocimientos y experiencia técnicos, como el análisis de los vectores de infección, programas maliciosos, infraestructura y soporte de los servidores de comando y control, y métodos de explotación.

¿Cómo propagaban este programa malicioso?

Los atacantes usaron mensajes de correo tipo spear-phishing con adjuntos maliciosos que enviaban a los empleados de las instituciones blanco, y en algunos casos los enviaban a sus direcciones de correo electrónico personales. Creemos que los atacantes también usaron ataques de descargas al paso, pero esto aún no lo hemos confirmado por completo.

¿Cuál es el impacto potencial para las víctimas?

En base a lo que los ciberdelincuentes robaron a sus víctimas, una nueva víctima puede sufrir pérdidas de hasta 10 millones de dólares. Sin embargo, esta cifra es arbitraria y se basa en lo que sabemos: una vez que la institución se infecta, las pérdidas potenciales no tienen límite.

¿Quiénes son las víctimas? ¿Cuál es la escala del ataque?

Las víctimas son principalmente instituciones financieras. Sin embargo, también hemos detectado infecciones en terminales de puntos de venta y en agencias de relaciones públicas. Para tener una mejor idea de la escala del ataque, puedes consultar los cuadros y mapas que acompañan a nuestro informe.

Como sucede con muchas campañas de programas maliciosos, existe una variedad de compañías/individuos que analizan los programas maliciosos, lo que resulta en peticiones al servidor de comando y control. Cuando analizamos estos servidores, todo lo que vemos son las IPs y posiblemente algunos datos adicionales. Cuando no existen estos datos adicionales, y cuando no es posible rastrear las IPs hasta sus dueños, entonces la definimos como una infección.

En base a este enfoque, nuestro análisis concluye que Rusia, EE.UU., Alemania y China son los países más afectados en cuanto a la cantidad de rastros de la infección (direcciones IP).

¿Cómo están protegidos los usuarios corporativos contra este tipo de ataque? ¿Kaspersky Lab protege a sus usuarios?

Sí. Hemos detectado muestras de Carbanak, como Backdoor.Win32.Carbanak y Backdoor.Win32.CarbanakCmd.

Todos los productos y soluciones corporativos de Kaspersky Lab detectan muestras conocidas de Carbanak. Para incrementar el nivel de protección, recomendamos activar el módulo de Defensa proactiva de Kaspersky que se encuentra en cada producto y solución modernos.

También ofrecemos algunas recomendaciones generales:

  • No abrir mensajes de correo sospechosos, especialmente si llevan un adjunto.
  • Actualizar el software (en esta campaña se usaron día-cero).
  • Activar el módulo heurístico en los paquetes de seguridad, para aumentar las posibilidades de detectar y neutralizar las nuevas muestras apenas aparecen.

Spammers contra huracanes y ataques terroristas


   6 febrero 2015 | 18:03  MSK

Comentar  

Anna Volodina

Nada llama más la atención de un lector que la historia de una terrible catástrofe. Hace pocos días, encontramos un excelente ejemplo de ello en correos masivos en los que los spammers usaron a su favor esta fascinación universal por la destrucción.

La operación de spam estaba dirigida a internautas en Estados Unidos. En ella, los spammers enumeraban las tragedias más recientes y predecían que lo peor todavía está por venir. También proponen una solución: seguir el enlace para descubrir cómo protegernos a nosotros mismos y a nuestras familias.

En el correo de abajo, los autores mencionan el huracán Sandy que afectó a Norteamérica hace dos años.

[TRADUCCIÓN:
Haz lo siguiente y no vuelvas a temer a un huracán
Un excéntrico descubrió un método increíble para mantenernos nutridos durante cualquier tipo de desastre…
Su método es la forma más simple de conseguir agua fresca, electricidad y agua sin pagar un céntimo.
Me sorprendí cuando lo vi aquí por primera vez (enlace)
¿La prueba?
Fue el único que salió triunfante del huracán Sandy en el pueblito de Dover, Nueva Jersey.
32.343 personas ya han asegurado sus casas con este método.
Tal vez te interese conocerlo aquí:
Pulse aquí (enlace)]

Los spammers hacen referencia a la crisis por la que pasaron muchos estadounidenses durante el huracán Sandy, cuando se quedaron atrapados por mucho tiempo en casas en ruina sin comida ni electricidad. El autor del correo dice que conoce a alguien que vivía en el ojo de la tormenta, en una ciudad azotada por el viento en Nueva Jersey, pero que no sufrió ninguna necesidad. Los spammers prometen que, si pulsas en el enlace, tendrás la misma buena fortuna cuando un desastre amenace tu vecindario.

Otro ejemplo utiliza como anzuelo los recientes ataques terroristas en Francia.

[TRADUCCIÓN:
La sangre en las calles de Francia se esparcirá hasta Estados Unidos
Una catástrofe terrorista más grave de lo que se esperaba está a punto de desgarrar a los Estados Unidos como lo conocemos.
Prepárate para lo peor. Esto es todo lo que necesitas saber sobre la verdadera amenaza terrorista (enlace). El gobierno está ocultando inteligencia vital que los ciudadanos corrientes como nosotros deberíamos conocer para proteger a nuestras familias.
La catástrofe inminente]

En este correo, los spammers pintan un panorama sombrío del futuro inmediato de Estados Unidos, diciendo que el gobierno está ocultando la verdad, pero que espera una sangrienta matanza como la de Francia. Pero hay una respuesta: sólo pulsa en el enlace y descubrirás cómo proteger a tu familia de cualquier ataque.

Cuando los usuarios siguen estos vínculos, se los dirige a sitios que también forman parte del ataque. Comienzan con una presentación de audio de una historia confidencial narrada por alguien lleno de esperanzas.

[TRADUCCIÓN:
Compañero patriota,
¡Atención! ¡Esto salvará tu vida!]

Si bien el diseño del sitio, la voz y los detalles de la historia difieren, en el fondo todos los mensajes son iguales. Cualquier persona que se tome unos minutos para escuchar el audio conocerá al héroe, comprenderá por qué decidió compartir sus advertencias sobre los desastres que acechan a Estados Unidos y, por fin, descubrirá cómo construir una máquina milagrosa que puede ensamblarse en tu propio hogar con facilidad. El enlace al tutorial de video para construir este aparato vital cuesta sólo algunas decenas de dólares y muestra cómo crear un generador tan simple que hasta tu abuela podría usarlo. Los felices compradores no sólo reciben una fuente autónoma de energía para usarse en caso de desastres, también pueden ahorrar la energía que se gasta en el hogar.

[TRADUCCIÓN:
Me llamo Alec Deacon y en esta sorprendente presentación de video voy a exponer “el apocalipsis del siglo 21”.]

El audio está acompañado por una presentación que muestra el texto del narrador. Así que hasta los usuarios que no puedan encender el sonido solo necesitan tener la paciencia de ver el video por unos minutos, recibir la oferta y premiar a los spammers por su capacidad de esparcir el pánico enviándoles el dinero que tanto nos costó ganar.

WhatsApp para web, en la mira de los cibercriminales


  Fabio        6 febrero 2015 | 17:50  MSK

Comentar  

WhatsApp es sin duda uno de los programas de mensajería instantánea más populares de la actualidad y sus 700 millones de usuarios en todo el mundo esperaban con ansias el lanzamiento de su versión web esta semana. Pero no sólo los usuarios estaban a la expectativa: los cibercriminales no perdieron tiempo para comenzar a usar esta nueva característica en sus ataques para tratar de propagar malware e infectar a los usuarios.

De hecho, hemos estado viendo mensajes maliciosos que ofrecen una supuesta versión de escritorio de WhatsApp mucho antes de que la aplicación incluyera esa plataforma en su repertorio. Las descargas fraudulentas aparecieron en muchos idiomas y países, y ahora que existe un producto real, los estafadores pueden volver a usar sus viejos ataques dándoles una nueva imagen y enviándolos de cacería hacia sus víctimas. En Brasil, por ejemplo, no tardamos en ver mensajes como este:

TRADUCCIÓN:
WhatsApp - ahora disponible para PC.
Ahora usted puede ver sus mensajes, compartir fotos y videos a través del ordenador.
Actualícese y descargue ahora WhatsApp en su versión para ordenadores de escritorio.
Pulse en ‘Descargar’ y siga las instrucciones. Pulse en: [enlace]
¿Cuánto tarda? La instalación es rápida. En menos de 2 minutos, ya estará usando WhatsApp en sintonía con su Smartphone.”

“WhatsApp para PC” existe, pero este enlace es un programa malicioso.

Encontramos varios dominios maliciosos registrados para usarse en estos ataque. Algunos ya estaban usándose y otros están esperando las órdenes de sus administradores, como whatsappcdesktop.com.br, que propaga troyanos bancarios brasileños (b93417abdc82cf79d79b737b61744353 and 9f485efea5c20b821e9522e3b4aa0e11):

Sin embargo, otros cibercriminales prefirieron preparar un bonito diseño para pedir a los usuarios que instalen una extensión sospechosa de Chrome que no tiene nada que ver con WhatsApp:

No se necesita una extensión de Chrome para usar WhatsApp Web…

Algunas versiones extraoficiales de WhatsApp para PC están circulando en árabe y castellano. Este sitio web ofrece una versión de “WhatsApp Plus”:

Y este “WhatsApp espía” tiene en la mira a los hispanohablantes.

Para descargar la supuesta versión de escritorio, debes entregar tu número de teléfono:

¿Por qué quieren tu número? Para subscribirte a servicios Premium que te cobrarán dinero y enviarán spam. Sí, spam. Una cosa es segura: todos estos servicios web quieren conseguir tu número de teléfono y alimentar a la bien establecida industria del spam en WhatApp. Como indicó Adaptive Mobile, estos mensajes aumentan cada día. WhatsApp procesa alrededor de 30 mil millones de mensajes al día, no es sorprendente que muchos de ellos sean spam:

Spam para teléfonos móviles, ahora en tus mensajes instantáneos

Es fácil encontrar spammers brasileños que estén fingiendo ser “compañías de marketing” y enviando paquetes para propagar spam. Sus servicios no sólo incluyen texto, también ofrecen la oportunidad de propagar imágenes, audio y hasta videos por sólo 0,03 centavos de dólar por mensaje, incluyendo un administrador y panel API:

75 dólares por 5.000 créditos, el equivalente a la misma cantidad de mensajes spam

Por desgracia no se pueden bloquear los mensajes de contactos desconocidos en WhatsApp; sólo puedes bloquear al remitente después de haber recibido el mensaje, lo que no es una solución real para el problema. šEn todo caso, ten en cuenta que puedes encontrar los verdaderos servicios de WhatsApp en https://web.whatsapp.com, así que por favor cuídate de las imitaciones y las aplicaciones sospechosas.

El malware sirio. Parte 2: ¿Quién es “the Joe”?


  Global Research & Analysis Team (GReAT), Kaspersky Lab        2 febrero 2015 | 13:25  MSK

Comentar  

Introducción

Kaspersky Lab quiere alertar a los usuarios del Medio Oriente sobre nuevos ataques de programas maliciosos a través de foros de redes sociales y noticias sirios. Los autores de programas maliciosos están recurriendo a numerosas técnicas para enviar sus ficheros y persuadir a sus víctimas a que los ejecuten, creando un vector de infección efectivo. Basándose principalmente en la ingeniería social, los atacantes explotan la confianza de sus víctimas en los foros de las redes sociales, su curiosidad por las noticias relacionadas con el conflicto en Siria, su posición respecto alš mismo, y su falta de conciencia sobre la ciberseguridad. Una vez que los ciberpiratas infectan el equipo atacado, tienen acceso y control totales de los dispositivos de su víctima.

En el primer informe sobre el malware sirio, Kaspersky Lab analizó muchos de los ataques lanzados en Siria para espiar a los usuarios de ese país, así como los ataques de diferentes equipos y fuentes.

Este artículo se concentrará en uno de los dominios, aparentemente el más activo en el último periodo: thejoe.publicvm.com.

Los ficheros de este programa malicioso se encontraban en sitios de activistas y de foros en redes sociales, y organizaciones regionales como CyberArabs informaronš sobre la existencia de otros.

Informes que mencionan a "the Joe"

https://citizenlab.org/2013/06/a-call-to-harm/
https://www.eff.org/files/2013/12/28/quantum_of_surveillance4d.pdf

Todos los ficheros se ocultan bajo el manto de una variante con funciones completas de RAT (Remote Administration Trojan) (Bitfrose/NjRAT/Shadowtech/Darkcomet...), capaz de lograr el control total de los equipos y dispositivos de las víctimas, monitoreando todos sus movimientos y accediendo a todos sus ficheros. El dominio thejoe.publicvm.com está relacionado con muchas muestras, por lo que nos concentraremos en las más importantes y atractivas, que posiblemente capturaron la mayor cantidad de víctimas específicas, estimadas en miles.

Existen muchos factores y entidades en juego en este asunto, por lo que nos concentraremos en los programas maliciosos y hechos que se encontraron durante el análisis, y presentaremos sólo la información más relevante con el objetivo de establecer un contexto claro para esta investigación.

¿Qué información teníamos sobre “the Joe”?
¿Qué ha estado haciendo "the Joe" en el último periodo?
¿Quién es “the Joe”?

¿Qué información teníamos sobre “the Joe”?

”The Joe” es uno de los ciberdelincuentes más activos en Siria y el Medio Oriente, que ataca a todo tipo de usuarios. A continuación se encuentra la información recopilada sobre “the Joe” y sus actividades.

Información del dominio “thejoe.publicvm.com”

“The Joe” usa un dominio dinámico para cambiar su dirección IP y mantener el anonimato:

El dominio thejoe.publicvm.com ha estado utilizando las siguientes direcciones IP localizadas en Siria y Rusia:

  • 31.9.48.146
  • 31.9.48.119
  • 31.9.48.146
  • 31.9.48.80
  • 31.9.48.78
  • 31.9.48.119
  • 31.8.48.7

Estos son los puertos TCP utilizados en los ataques: 1234, 1177, 5522.

Información del malware

A partir de las copias del malware conseguidas, pudimos encontrar cadenas en el código en el dispositivo Windows que usa “the Joe”.

Estas son las rutas a las carpetas recuperadas de los ficheros del programa malicioso:

  • C:\Users\joe\Desktop\2014\WindowsApplication1\WindowsApplication1\obj\Debug\WindowsApplication1.pdb
  • C:\Users\joe\Desktop\Desktop\Syriatel\Syriatel\obj\Debug\Syriatel.pdb
  • C:\Users\joe\Desktop\NJServer\NJServer\obj\Debug\NJServer.pdb

Canal de YouTube

“The Joe” también está utilizando un canal falso de YouTube donde sube videos de ingeniería social con enlaces para descargar programas maliciosos.

http://www.youtube.com/channel/UCCdoQBw-a6dM15ZyhrsqW_w

Este canal distribuye ficheros del programa malicioso bajo el nombre de “Lions of the revolution” u otros…

¿Qué ha estado haciendo "the Joe" en el último periodo?

“The Joe” se ha mantenido ocupado en el último periodo. A continuación mostramos algunas de las muestras más gráficas y atractivas obtenidas por los servicios de inteligencia de Kaspersky y por Kaspersky Security Network (KSN cloud), con detalles de sus funciones y sobre cómo “the Joe” es capaz de manipular la situación en Siria para que los usuarios procedan a abrir los ficheros incluso si sospechan que sean maliciosos. Los países más atacados son Siria, Turquía, Líbano y Arabia Saudita. Se estima que la cantidad de víctimas ronda las 2.000.

6 nuevas trampas:

  1. Déjanos reparar tu vulnerabilidad SSL.
  2. !Ahora déjanos limpiar tu Skype¡
  3. ¿Te actualizaste a la última versión de VPN?
  4. Veamos si tu número de teléfono se encuentra entre los monitoreados.
  5. Aplicación para el cifrado de cuentas de Facebook.
  6. ¿Cuál es tu producto de seguridad preferido?

1.- Déjanos reparar tu vulnerabilidad SSL.

MD5 Hash: dc6166005db7487c9a8b32d938fec846
Nombre del fichero: TheSSL.exe, SSL Cleaner.rar

Haciendo un seguimiento de las vulnerabilidades en el OPENSSL, y la cantidad de noticias que alcanzó, los ciberdelincuentes se aprovechan de la percepción que el usuario tenga de dichas noticias y de su falta de conocimientos para reparar las vulnerabilidades.

Video demostrativo de la vulnerabilidad Heartbleed y un enlace para descargar la “reparación” infectada.

2.- ¡Ahora déjanos limpiar tu Skype!

MD5 Hash: d6ab8ca6406fefe29e91c0604c812ff9
Nombre del fichero: Skype.exe

Otro truco de ingeniería social usado para inducir a los usuarios a que descarguen y ejecuten un fichero malicioso es el limpiador de Skype para "proteger y cifrar tus comunicaciones por Skype”.

3.- ¿Te actualizaste a la última versión de VPN?

MD5 Hash: 2e07e8622b4e997f6543fc0497452dad
Nombre del fichero: VPN.exe

Psiphon, una aplicación legítima que se usa en todo el mundo para proteger el anonimato y muy popular entre los usuarios en Siria para proteger su tráfico contra husmeos o intercepciones, aquí se encuentra vinculada con el programa malicioso y se la entrega a los usuarios como una versión actualizada.

4.- Veamos si tu número de teléfono se encuentra entre los monitoreados.

MD5 Hash: ad9a18e1db0b43cb38da786eb3bf7c00
Nombre del fichero: Syriatel.exe

Otro de los ficheros más populares del programa malicioso se usa para imitar una herramienta utilizada para verificar los números de teléfonos móviles bajo vigilancia y clasificarlos por localización, y se lo entrega a las víctimas como un “programa filtrado”.

5.- Aplicación para el cifrado de cuentas de Facebook.

MD5 Hash: efdaa73e0ac1b045d5f2214cadd77f09
Nombre del fichero: Rooms.exe

6.- ¿Cuál es tu producto de seguridad preferido?

Uno de los ficheros más recientes utilizados para infectar a los usuarios es bastante diferente: una unión de una herramienta de Kaspersky Lab con programas maliciosos. TDSSKiller es una poderosa herramienta gratuita desarrollada por Kaspersky Lab, capaz de detectar y eliminar una lista específica de familias de programas maliciosos tipo rootkit.

Combinada con malware, “the Joe” se aprovecha del nombre de Kaspersky para distribuir su programa malicioso con la intención de engañar a sus víctimas para que confíen y abran los ficheros que les envía.

¿Quién es “the Joe”?

Analizamos cientos de muestras relacionadas con el malware sirio; en una de ellas, extractos de múltiples documentos,š pudimos encontrar un desliz en los metadatos que nos condujo a información interesante.

Este desliz en los metadatos cometido por quien se hace llamar “Joe” reveló su dirección de correo electrónico personal, que tras una investigación nos llevó a sus otras direcciones, su identidad completa, sus páginas sociales…

En Facebook:

En Linkedin:

Indicadores de infección:

MD5 HashNombre(s) utilizados para el fichero del malwareDetectado en
f62cfd2484ff8c5b1a4751366e914613Adobe.exeReader.exeCard.exeSep 2013
012f25d09fd53aeeddc11c23902770a7
89e6ae33b170ee712b47449bbbd84784
قائمة الأرهاب .zip ("lista de terrorismo") extractos de ficheros a .JPG y ficheros maliciosos .SCREne 2014
dc6166005db7487c9a8b32d938fec84
662023eb959a79bbdecd5aa167b51541f
TheSSL.exe (para "eliminar debilidades SSL")
SSL Cleaner.rar
Abr 2014
cc694b1f8f0cd901f65856e419233044Desktop.exeEmpty.exeHost.exeMar 2014
d6ab8ca6406fefe29e91c0604c812ff9Skype.exeSkypecleaner.exeJuly 2014
2e07e8622b4e997f6543fc0497452dadVPN.exeSept 2014
efdaa73e0ac1b045d5f2214cadd77f09Rooms.exe (para "cifrar tu Facebook")Nov 2014
39d0d7e6880652e58b2d4d6e50ca084cPhoto.exeNov 2014
abf3cfecd2e194961fc97dac34f57b24Ram.exeSetup.exeNov 2014
a238f8ab946516b6153816c5fb4307betdskiler.exe (para "eliminar malware")Ene 2015
6379afd35285e16df4cb81803fde382cLocker.exe (para "cifrar/descifrar" ficheros)Ene 2015

Kaspersky Lab detecta todos los ficheros maliciosos utilizados en los ataques.
Al momento deš redactar este artículo, los ciberdelincuentes seguían utilizando activamente todos los ficheros.

Conclusiones

El malware sirio tiene una fuerte dependencia de la ingeniería social y del desarrollo activo de variantes maliciosas. Sin embargo, la mayoría de ellas revelan rápidamente su verdadera naturaleza cuando se las analiza cuidadosamente. Y esta es una de las razones principales por la que urgimos a los usuarios en Siria a que sean extremadamente cautos con lo que descargan y a que implementen una solución de seguridad por niveles. Prevemos que estos ataques evolucionarán en calidad y en cantidad.

Para más información, por favor escríbenos a: intelligence@kaspersky.com

Comparación entre el módulo 50251 de Regin y el keylogger “Qwerty”


  Costin       30 enero 2015 | 13:58  MSK

Comentar  

El 17 de enero de 2015, el portal Spiegel.de publicó un extenso artículo en base a documentos obtenidos de Edward Snowden. Al mismo tiempo, proporcionaron una copia de un programa malicioso llamado "QWERTY" (http://www.spiegel.de/media/media-35668.pdf), que supuestamente usan varios gobiernos en sus operaciones CNE.

Obtuvimos una copia de los ficheros maliciosos que publicó Der Spiegel y cuando los analizamos, de inmediato nos recordaron a Regin. Tras analizar el código, concluimos que el programa malicioso “QWERTY” posee idénticas funciones que la extensión Regin 50251.

Análisis

El paquete del módulo Qwerty consiste de tres binarios y sus correspondientes ficheros de configuración. Un fichero del paquete (20123.sys) nos pareció de particular interés:

“20123.sys” es un modo kernel parte del keylogger. Resulta que se creó a partir del código fuente que también se encuentra en el módulo Regin: la extensión “50251".

Mediante un diff binario resulta fácil localizar una parte importante del código que ambos ficheros comparten:

Gran parte del código compartido pertenece a la función que accede al controlador del teclado del sistema:

La mayor parte de los componentes de “Qwerty” llaman a extensiones del mismo paquete (con números de extensión 20121 – 20123), pero también existe un código que referencia las extensiones de la plataforma Regin. Una parte en particular de este código se usa en el módulo 20123 de “Qwerty” y en su contraparte 50251 de Regin, y se refiere a la extensión 50225 que se encuentra en el sistema de ficheros virtual de Regin. La extensión 50225 de Regin es responsable de la intercepción en modo kernel.

Esta es una sólida evidencia de que la extensión Qwerty sólo puede funcionar como parte de la plataforma Regin, utilizando las funciones de intercepción de la extensión 50225.

Como prueba adicional de que ambos módulos usan la misma plataforma de software, podemos dar un vistazo a las funciones exportadas por el ordinal 1 de ambos módulos. Contienen el código de arranque que se encuentra en cualquier otra extensión de Regin, e incluye el número verdadero de la extensión registrado en la plataforma a fin de permitir futuras referencias del módulo. Esto sólo tiene sentido si los módulos se usan con el orquestador de la plataforma Regin.

Aún no conocemos la razón por la que ambos módulos dan diferentes identidades a las extensiones. Quizás se deba a que los utilizan diferentes actores, cada uno con sus respectivos rangos de identidad de extensión asignados.

Conclusiones

Nuestro análisis del programa malicioso QWERTY publicado por Der Spiegel, indica que se trata de una extensión diseñada para formar parte de la plataforma Regin.  El keylogger QWERTY no funciona como un módulo autónomo, sino que depende de las funciones de intercepción kernel que suministra el módulo 50225 de Regin. Considerando la extrema complejidad de la plataforma Regin y las pocas opciones de que alguien la duplique sin acceder a sus códigos fuente, llegamos a la conclusión de que los desarrolladores del programa malicioso QWERTY y los de Regin son los mismos o trabajan juntos.

Otra observación importante es que las extensiones de Regin se guardan dentro de un VFS cifrado y comprimido, lo que significa que no existen directamente en la máquina de la víctima en su formato “nativo”. El despachador de la plataforma carga y ejecuta ahí las extensiones en el arranque. La única forma de atrapar al keylogger es escaneando la memoria del sistema o descifrando los VFS.

Page Top  |  Archivo >>

 

Copyright © 1996 - 2015
Kaspersky Lab
Todos los derechos reservados

Correo electrónico: webmaster@viruslist.com