Todas las amenazas

Virus

Hackers

Spam

Todo el sitio    Sólo virus
  
Enciclopedia de virus
Alertas
Análisis
Noticias
Glosario
Bitácora

 
Archivo

<< 2015  
ene feb mar
abr    
     
     
Sobre los autores de la bitácora del analista antivirus
About Diary's Authors

La bitácora del analista antivirus es un weblog mantenido por los analistas antivirus de Kaspersky Lab, encabezado por Eugene Kaspersky. Lea más sobre los autores de esta bitácora

 

  Home / Bitácora

Bitácora del analista antivirus

Cómo hackeé mi propia pulsera de fitness


  Roman Unuchek       26 marzo 2015 | 14:00  MSK

Comentar  

Esta historia empezó hace varios meses, cuando conseguí un tracker para fitness en forma de pulsera de una popular marca. Como se trata de un dispositivo para vestir (wearable device), instalé Android Wear app, una aplicación creada especialmente para dispositivos portátiles. Ésta se conectó sin problemas a la pulsera de fitness.

Pero había algo extraño: el programa se conectó a la pulsera Nike+ Fuel Band SE, y la que yo tenía era de otra marca. No tardé mucho en darme cuenta de que la pulsera Nike pertenecía a mi colega. Y él ni siquiera se percató de que me había conectado a su dispositivo.

Después de lo cual me dieron ganas de hacer una pequeña investigación y verificar cuán segura era mi pulsera.

Pulseras inteligentes: conectadas a tu teléfono

En este momento, hay en el mercado muchas ofertas de brazaletes de otras marcas. Más abajo citamos la estadística de KSN referente a las aplicaciones populares de trabajo con trackers de fitness para Android (los datos de la estadística fueron obtenidos de los equipos de los usuarios de KSN que dieron su consentimiento para transmitirlos).


Distribución de las instalaciones de aplicaciones Android para el trabajo con trackers de fitness de diferentes marcas

A pesar de que esta es una estadística sólo de aplicaciones Android (y no tenemos garantías de que los usuarios posean los dispositivos correspondientes), nos da una visión aproximada de la popularidad de los dispositivos "de vestir".

La mayoría de estas pulseras usa la tecnología Bluetooth LE (también conocida como Bluetooth Smart) para comunicarse con el teléfono. Para nosotros esto significa que la conexión de dispositivos se realiza de una manera diferente a la del Bluetooth común y corriente. No supone ninguna contraseña, porque la mayoría de los dispositivos no tienen ni pantalla, ni teclado.

En estos brazaletes se usa el sistema GATT (Generic Attribute Profile), perfil de atributos genéricos. Es decir, en el dispositivo portátil hay cierto conjunto de servicios y cada servicio tiene un surtido de características. Cada característica contiene un buffer de bytes y una lista de descriptores, cada descriptor contiene un valor, un buffer de bytes.

Como ilustración, tomé un código ya preparado de Android SDK, un ejemplo de aplicación para conectarse a dispositivos Bluetooth LE. No tuve que escribir un renglón de código, simplemente abrí un proyecto existente en Android Studio y pulsé el botón Start.

En la captura de pantalla se observa el resultado de la conexión a mi pulsera mediante esta aplicación. Aquí podemos ver los servicios y sus características. Pero para mi pulsera no es tan simple obtener los datos de las características, porque para hacerlo, aparte de la conexión, hay que pasar la autentificación. Pero con otros dispositivos, logré leer los datos de las características y sus descriptores. Y es muy posible que se trate de los datos del usuario.

Escaneo

Y así, usando el ejemplo de aplicación de Android SDK logré conectarme a algunos dispositivos. Después de lo cual creé mi propia aplicación que buscaba automáticamente dispositivos Bluetooth LE, trataba de conectarse a ellos y obtener su lista de servicios.

Usando esta aplicación, realicé varios escaneos.


  • En el metro de Moscú, en dos horas conseguí conectarme a 19 dispositivos: 11 FitBit y 8 Jawbone.
  • En un club de fitness en Bellevue, Washington, EE.UU. detecté 25 dispositivos: 20 Fitbit, 1 Nike, 1 Jawbone, 1 Microsoft, 1 Polar y 1 Quans.
  • En Cancún (México), en dos horas durante el SAS2015 pude conectarme a 10 trackers de fitnes: 3 Jawbone y 7 FitBit.

En total, en seis horas de escaneo logré conectarme a 54 dispositivos. Y esto habida cuenta de dos serias limitaciones:


  1. A pesar de los 50 metros indicados en las especificaciones, la distancia máxima real de conexión en la mayoría de los casos no supera los seis metros.
  2. Se supone que no se puede hacer una segunda conexión a un dispositivo que ya está conectado. Es decir, si tu dispositivo está conectado a tu teléfono, nadie podrá conectarse, y hasta será invisible durante el escaneo.

La segunda limitación en principio significa que mientras el dispositivo esté conectado al smartphone, no será susceptible a ataques. Pero en realidad, no es así. Y he aquí un ejemplo: usando mi aplicación de escaneo, logré bloquear la comunicación entre mi pulsera y la aplicación oficial, a pesar de que estaban conectadas mutuamente.

Tomando en consideración el segundo punto de las limitaciones mencionadas, podemos suponer que los dispositivos que detecté no se habían conectado nunca a un teléfono o que la pulsera no estaba conectada al Smartphone durante el escaneo (Bluetooth estaba desactivado en el teléfono). Y también es posible que los dispositivos ya conectados estuvieran disponibles para conectarse a pesar de la limitación supuesta. Fuera como fuere, los delincuentes tienen posibilidades bastante grandes de conectarse a los trackers de fitnes.

Sin embargo, en la mayoría de los casos no sólo es necesario conectarse al dispositivo, sino también pasar la autentificación para obtener acceso a los datos de los usuarios. Veamos cómo se hace la autentificación en mi pulsera.

Proceso de autentificación de mi pulsera

Para autentificar la pulsera con el teléfono, la aplicación oficial usa uno de los cuatro servicios disponibles en la pulsera. Para cada característica de este servicio, la aplicación instala una bandera CharacteristicNotification y de esta manera le indica a la pulsera que quiere recibir notificaciones sobre cualquier modificación que se haga a esta característica. A continuación, la aplicación recibe la lista de descriptores de cada característica e instala la bandera ENABLE_NOTIFICATION_VALUE para decirle a la pulsera que quiere recibir notificaciones sobre cualquier cambio que se haga al descriptor.

Después, una de las características cambia su valor, el buffer de bytes. La aplicación lee este buffer desde el brazalete: el encabezado 200f1f y el masivo de bytes, que llamaremos authBytes.

La aplicación crea un nuevo masivo. Su primera parte será un masivo de constantes contenido en la aplicación y que empieza con 6dc351fd44, la segunda parte del nuevo masivo será authBytes. La aplicación recibe el hash MD5 del nuevo masivo y lo devuelve al dispositivo en la siguiente estructura:


  • Encabezado (201210051f)
  • MD5
  • Byte de verificación

Más adelante la aplicación envía un masivo más al dispositivo, que también está contenido en la aplicación.

Después, la pulsera empieza a vibrar. El usuario sólo tiene que pulsar el botón para que la autentificación concluya.

Para la aplicación oficial, el proceso de autentificación tarda unos 15 segundos. Yo creé una aplicación que sólo necesita 4 segundos para bloquear la pulsera.

Es fácil hacer que el usuario pulse un botón en la pulsera. Sólo hay que insistir lo suficiente, por ejemplo reiniciando el proceso de autentificación muchas veces, hasta que el usuario lo haga. O hasta que no se aleje a más de 6 metros.

Una vez pasada la autentificación, los datos de mi pulsera quedan susceptibles al sniffing. En el presente, los dispositivos de fitness no contienen mucha información que digamos. Como regla, se trata de la cantidad de pasos, las fases del sueño, el pulso durante la última hora o cosas parecidas. Aproximadamente una vez por hora la aplicación envía toda la información de la pulsera a “la nube”.

Después de la autentificación, es fácil ejecutar instrucciones en el dispositivo. Por ejemplo, para cambiar la fecha y hora, hay que enviar al dispositivo un masivo de bytes que empiece por f0020c, y después la fecha en el formato YYYY MM DD DW HH MM SS.

En los otros trackers de fitness es aún más sencillo: para algunos, una parte de los datos está disponible inmediatamente después de la conexión, y el código de la aplicación no está enmarañado y es muy fácil de leer (los resultados de una investigación se pueden ver aquí).

Conclusión

Como demostraron los resultados de mi pequeña investigación, en algunos casos se puede conectar al dispositivo portátil sin que el usuario se dé cuenta.

Tras hackear mi pulsera, el delincuente no puede obtener acceso a todos los datos del usuario, ya que éstos no se guardan en la pulsera o teléfono, sino que la aplicación oficial los envía con cierta regularidad a la “nube”.

Los trackers de fitness se están haciendo cada vez más populares y funcionales. Es probable que en un futuro muy cercano contengan muchos más sensores y, por lo tanto, mucha más información del usuario, con frecuencia de carácter médico. Y a pesar de esto, provocan la impresión de que sus creadores no piensan en su seguridad.

Basta imaginarse que si se hackea una pulsera con un sensor de pulso cardiaco, el dueño de la tienda donde se encuentre el usuario puede hacer un seguimiento de la frecuencia de su pulso, mientras este observa las rebajas. De la misma forma se puede averiguar la reacción de las personas ante una publicidad. Es más, una pulsera hackeada con sensor de pulso se puede usar como un detector de mentiras.

Por supuesto, son posibles otros actos maliciosos, por ejemplo, el uso de malware del tipo Trojan-Ransom. El delincuente puede interceptar el control de tu pulsera y hacer que vibre todo el tiempo. Y pedirte dinero por hacer que cese la vibración.

Hemos informado de nuestros descubrimientos al fabricante de mi pulsera. La compañía nos ha respondido definiéndolos como un error de UX, y no como un problema de seguridad. Por razones éticas y de seguridad, no haremos público el nombre y modelo de la pulsera por esta vez. Si sientes preocupación por los posibles usos incorrectos de las brechas de seguridad descubiertas, no dudes en ponerte en contacto con el fabricante de tu pulsera y preguntarle si el método descubierto en este artículo afecta al producto que usas.

También esperamos que este artículo no sólo sea útil para los usuarios, sino también para que los fabricantes de pulseras las hagan más seguras desde el punto de vista informático.

¿Quién se esconde en el sitio de noticias norcoreano?


  Kurt Baumgartner       24 marzo 2015 | 16:34  MSK

Comentar  

Informes iniciales ignoran un posible atacante externo de KCNA

Los investigadores de seguridad han anunciado que el sitio web oficial de la Agencia Telegráfica Central de Corea (KCNA) de la República Popular Democrática de Corea ha estado propagando un programa malicioso que se hace pasar por una actualización de Flash Player. El código sigue activo en la página principal de la KCNA. Las variables de javascript en la parte superior del código fuente de la página principal forman parte de un mecanismo de javascripts entrelazados para buscar requisitos específicos antes de redirigir al visitante a una ubicación relativa, download/FlashPlayer10.zip.

El sitio de entrega de malware ha estado funcionando, aunque su respuesta a intentos de conexión es, en el mejor de los casos, intermitente. El archivo zip contiene dos ejecutables con los nombres de instaladores Flash comunes. Este malware ha estado presente desde finales de 2012.

Lo que parece ser una mezcla de atribuciones apresuradas e inteligencia falsa ha generado la hipótesis estándar de que los desarrolladores del sitio pusieron allí el malware para que infectara los equipos de los extranjeros interesados por las noticias de la República de Corea. Pero este puede no ser el caso porque los incidentes suelen ser más complejos de lo que parecen. Y hay una pieza significativa del rompecabezas que debe tomarse en cuenta – se agregó este filtro de páginas web con la intervención humana. Esta no es una de las rutinas virales, en ninguno de sus muchos componentes. Por el contrario, los disparadores del malware, sus requisitos de sistema y similitudes técnicas y operacionales con las operaciones de DarkHotel más recientes apuntan hacia la participación de un actor externo, que tal vez quiere tener bajo su vigilancia a la élite norcoreana que está dispersa en la red.

La mayor parte de las víctimas son personal de ingeniería de redes de telecomunicaciones, gestores de bienes y comercio, personal de ingeniería eléctrica de farmacias, equipos de desarrollo de programas distribuidos, administradores de negocios, personal académico e informático de escuelas, etc.

Ataque a sitios web y difusión geográfica

Una de las características más notables es que no se comparte el programa malicioso con todos los visitantes del sitio. El envío se cancela si el sistema Windows de la posible víctima tiene instalado Flash Player 10 original o una versión posterior. Si el usuario trata de ver los videos o presentaciones de fotos vinculados en el panel inferior derecho de la página, se le muestra un gif que dice que se necesita un reproductor de Flash. Por supuesto, pulsar en el gif redirige al archivo zip malicioso. También llama la atención que este malware no tiene una variante para Linux ni para OS X, así que distribuye sólo ejecutables de Windows. Es interesante que los componentes del malware se hayan detectado por primera vez en noviembre de 2012, dos meses antes de la primera aparición conocida del paquete de Flashplayer en el sitio web kcna.kp. Aunque no conocemos el origen exacto de estas infecciones, en este momento sospechamos que era el mismo sitio web kcna. No hemos visto otras fuentes.

Los datos de KSN también muestran algunos casos selectos en los que los usuarios de Firefox recibieron el malware mientras visitaban una página conocida por sus secuencias de comandos cruzados que se describen en la siguiente sección: “Posible abrevadero vulnerable a ataques XSS”. En esencia, el momento y ubicación de recursos de esta vulnerabilidad presenta la posibilidad definitiva de que ocurra la intrusión de un actor.

La distribución de un archivo zip dependiente de la interacción del usuario y de su infección hacia sí mismo implica un nivel bajo de complejidad del ataque, pero veamos más allá de los elementos de ingeniería social y consideremos también el perfil de la víctima. Los atacantes que operan desde este sitio en particular buscan usuarios con poca experiencia y un conocimiento general de cuestiones técnicas, y también sistemas operativos Windows muy desactualizados. La versión 10 de Flash Player se lanzó en octubre de 2008, y los navegadores más recientes como Google Chrome incluyen un complemento de Flash nuevo. Estos ataques se realizaron no antes del tercer trimestre de 2012.

Lo más probable es que los usuarios a los que está dirigido el ataque tengan fama de usar sistemas desactualizados con estas particularidades. Este es el caso de Corea del Norte, donde la mitad de los ordenadores siguen funcionando con Windows XP según Global Stats. En comparación, Corea del Sur tenía el año pasado un índice de adopción de Windows 7 de casi el 80%.

Entonces, ¿en qué consiste la difusión geográfica del programa? Los dos componentes asociados principales, mscaps.exe y wtime32.dll, se detectaron principalmente en sistemas de China, seguidos por Corea del Sur y Rusia. Podemos inferir que estos sistemas se infectaron en algún momento y se convirtieron en víctimas del programa kcna.kp:

China450
Corea, República de43
Federación Rusa25
Malasia20
Italia11
India10
Corea, República Popular Democrática de7
Alemania7
Hong Kong6
Irán, República Islámica de4

Sin embargo, descubrir la ubicación geográfica de los países más afectados no es tan simple como parece. šExisten informes que indican que las élites norcoreanas tienen acceso a varios proveedores de Internet que pueden cambiar las ubicaciones de sus direcciones IP a rangos chinos, rusos y de Hong Kong.

Posible abrevadero vulnerable a ataques XSS

Como Corea del Norte se ha etiquetado como el culpable del hack a Sony, los informes originales han aceptado de forma automática la idea de que este ataque se realizó desde el interior de Corea del Norte para vigilar a las personas interesadas en los medios de comunicación oficiales del estado. Examinemos las dificultades para llegar a esa conclusión.

En primer lugar, el sitio en sí mismo ya era vulnerable a XSS a principios de 2013, cuando el instalador del paquete Flashplayer apareció por primera vez en el sitio. "Hexspirit” muestra la vulnerabilidad aquí, en XSSed, en abril de 2013. De hecho, en enero de 2013 se vieron las primeras páginas que dirigían al paquete flashplayer en kcna. kp mediante una página XSS vulnerable idéntica:

hxxp://www.kcna.kp/kcna.user.home.photo.retrievePhotoList.kcmsf;jsessionid=xxx

Por lo tanto, es posible que un actor de Amenazas Persistentes Avanzadas (APT) haya sido quien entregó el paquete flashplayer, y no el patrocinador gubernamental del sitio. Si se combina esta posibilidad con la afición del APT Darkhotel de distribuir instaladores Flashplayer desde recursos comprometidos, este escenario se torna muy viable. También existe una fuerte probabilidad de que los desarrolladores del sitio hayan mantenido ordenadores infectados sin darse cuenta.

La táctica de ubicar malware en el sitio oficial de noticias del país está estrechamente ligada con el tipo de público que estaría interesado en el contenido de este sitio – que encontraría la amenaza mientras navega en las profundidades del sector de noticias del sitio. Por supuesto, podríamos pensar que los elementos clave de la comunidad internacional, como los disidentes, comités de expertos e instituciones financieras estarían interesados en las noticias del estado de Corea del Norte, pero sus sistemas no cumplen con los requisitos de Flash Player para que se realice la infección. También hemos visto foros en los que se llevan a cabo acaloradas discusiones que incluyen enlaces a fotos que redirigen al malware del instalador de Flash. Tal vez los participantes del foro también recibieron ataques de esta manera. Es por eso que este ataque abrevadero podría apuntar hacia adentro y estar a cargo de un actor externo que afecta de forma deliberada a la élite norcoreana esparcida alrededor del mundo y con acceso a Internet, así como a otros lectores interesados.

Similitudes con Darkhotel

El informe original incluye un análisis preliminar de los poco convencionales trabajos internos del instalador de malware, escondidos en dos ejecutables que se hacen pasar por actualizaciones de Flash Player 10. Vayamos un paso más allá y discutamos según las siguientes categorías las similitudes entre el código viral alojado en kcna.kp y el malware Darkhotel que se había documentado antes:

  • Ingeniería social
  • Distribución
  • Recolección de datos
  • Configuración de redes y ofuscación simple
  • Infección e inyector de comportamiento
  • Marcas y líneas de tiempo

Puede encontrarse un referente para esas similitudes en el malware en las descripciones distribuidas durante las operaciones de DarkHotel. A continuación, haremos algunas comparaciones.

Ingeniería social

La similitud más obvia entre ambas operaciones es la forma en la que propagan instaladores de FlashPlayer que incluyen puertas traseras de recursos de servidores de Internet comprometidos. Esta es la primera página de la guía de operaciones de Darkhotel y una de sus cualidades más distintivas, que ahora se están replicando en el ataque de KCNA. Los beneficios de esta forma de operar son significativos, en especial si se toma en cuenta que el malware de KCNA no tiene una firma digital y exige la interacción del usuario para ejecutarse.

Recopilación de datos

En un nivel técnico, es interesante recordar al ladrón de información Darkhotel de 2012. Su función es conseguir puntos de datos que identifiquen los sistemas afectados. Los puntos de datos de interés para el ladrón de información DH son muy similares a aquellos de su equivalente KCNA (que se muestran abajo):

De hecho, muchos de los puntos de datos que el instalador de malware KCNA recopila de los sistemas afectados son los mismos que busca Darkhotel. El elemento de Darkhotel que falta en esta lista es el “Nombre e identificador del CPU”, que ha sido reemplazado por “hora de infección”.

El ladrón Darkhotel organiza los datos robados en un formato interno específico estructurado en un nombre-dos puntos-valor, como se puede ver a continuación:

El ladrón KCNA mantuvo los datos robados con el siguiente formato interno, muy similar al formato Darkhotel (nombre-dos puntos-valor):

Configuración de redes y ofuscación simple

La llamada de respuesta de la red de este paquete incluye varios Nombres de Dominio Completos (FQDNs) inusuales. Esta configuración de redes está integrada dentro de wtime32.dll:

a.gwas.perl.sh
a-gwas-01.dyndns.org
a-gwas-01.slyip.net

Es interesante que el malware está configurado con tres servidores de comando y control de conexión inversa, de forma similar a decenas de puertas traseras de Darkhotel. Una rutina muy simple también ubica estas cadenas de caracteres dentro de la sección .data de los componentes wtime32.dll y las descifra como variables globales. Esas cadenas de caracteres están ofuscadas dentro del binario con un simple bucle XOR 0x12. Los ejemplares Darkhotel posteriores tienen un enfoque algo más complicado. Estas son algunas de las cadenas de caracteres con una ofuscación extraña:

Software\Microsoft\Active Setup\Installed Components
{ef2b00e3-19da-4e78-b118-6b6451b719f2}
{a96adc11-e20e-4e21-bfac-3e483c40906e}
Software\Microsoft\Windows\CurrentVersion\Run
JREUpdate
mscaps.exe
a.gwas.perl.sh
a-gwas-01.slyip.net
a-gwas-01.dyndns.org
update.microsoft.com
20
%SystemRoot%\system32
%APPDATA%\Microsoft\Protect\SETUP
%SystemRoot%\system32\gdi32.dll

Especificidad de los blancos de ataque

Los diversos grados de especificidad que usa Darkhotel para propagar su malware lo convierten en un actor muy inusual: “Esta amenaza opera lanzando ataques dirigidos precisos con exploits Flash avanzados para vulnerabilidades de día cero que evaden las últimas defensas de Windows y Adobe, y a la vez se propagan de forma imprecisa y masiva hacia objetivos indefinidos usando tácticas de difusión peer-to-peer”.

En otras palabras, sus gusanos se propagan de forma indiscriminada entre países, atacando a decenas de miles de sistemas, y el grupo es sorprendentemente abierto al respecto. Este también es el caso de la operación de KCNA, en la que el malware se dispone de forma tal que atrae a una audiencia específica con requisitos del sistema inusuales, a pesar de que está diseñado para propagarse de forma indiscriminada (mediante el mecanismo descrito abajo).

Modos de infección e inyección

Como las herramientas Darkhotel, el malware KCNA incluye código viral. La rutina se mantiene en el código fil.dll. Después de descansar por intervalos de pocos minutos, el código escudriña una y otra vez las unidades de disco adjuntas en busca de ejecutables para infectar. Infecta estos archivos con su shellcode explorador y el instalador @AE1.tmp. Es una estrategia de infección inusual –el shellcode de objetos binarios grandes (Blob) no devuelve el control al archivo original.

El comportamiento de inyección es a la vez intricado e indiscriminado, ya que el malware infecta tanto los ejecutables de los recursos compartidos de red como los locales. Por ejemplo, el tamaño de un instalador de Skype infectado en una unidad de red aumentó de sus 1.513 kb originales a 3.221 kb.

Se hicieron grandes avances, aunque poco elegantes, al aumentar la capacidad de inyección del malware para que pueda ir más allá de los simples ejecutables. Con esta intención, el malware instala una copia de la línea de comando de la versión 4.1.0 de WinRar (lanzada en enero de 2012) en %USERS%\AppData\Roaming\Microsoft\Identities\\Rar.exe. Este programa Winrar se usa para acceder a archivos ZIP, RAR, ISO y 7Z y así buscar en el contenido de cualquier ejecutable para realizar la infección. Los archivos comprimidos de los formatos mencionados que contienen ejecutables se infectan y se los vuelve a empaquetar con sus filenames originales, pero con sus nuevos contenidos ejecutables bajo el esquema Daws.awfy.

Nuestros productos detectan todos los archivos infectados resultantes como Trojan-Dropper.Win32.Daws.awfy. Este código viral afectó a muchas redes, y casi mil md5s únicos que representaban a archivos infectados relacionados en varios sistemas se registraron como “Trojan-Dropper.Win32.Daws.awfy”.

Victimología viral

Debido a la capacidad de difusión viral del programa malicioso, podemos distinguir los datos de propagación de la infección, que tienen una relación directa con el Flashplayer alojado en KCNA, que se han difundido en los recursos compartidos de red y dispositivos removibles. Aunque cada ítem de la lista representa a una organización o sistema único que detecta un grupo de archivos infectados virales KCNA en sus unidades de disco, el conteo total de archivos infectados es de casi 20.000 archivos. Al concentrarnos en la propagación de Daws.awfy, podemos apreciar el alcance del malware desde otro ángulo:

PaísSistemas y organizaciones con archivos infectados
China481
Malasia51
Rusia47
Corea, República de34
Taiwán14
Senegal14
Corea, República Popular Democrática de11*
India9
México9
Qatar9

Es importante notar las condiciones particulares de Corea del Norte. En primer lugar, la limitación de espacio IP implica que múltiples sistemas únicos comparten la misma dirección IP -š en el caso de las víctimas de DPRK de arriba, el número se basa en sistemas únicos y no en direcciones IP únicas. En segundo lugar, atribuimos los números relativamente bajos de infecciones de redes a las políticas restrictivas que mantienen a muchos usuarios al margen de la red desde rangos de IP KP. Un infector viral de redes y USBs es una herramienta magnífica para un usuario malicioso que quiera usar los nuevos sistemas directos para infectar ordenadores en una intranet aislada, como la que conecta a la mayor parte de los ordenadores dentro de Corea del Norte. Pero este mismo aislamiento hace imposible cuantificar el éxito del malware dentro de esa intranet.

Marcas y líneas de tiempo

Marca de tiempo de la compilación del instalador de malware KCNA: Tue, 13 Mar 2012 02:24:49 GMT.
Marca de Tiempo de la compilación del ladrón de identidad Darkhotel: Mon, 30 Apr 2012 00:25:59 GMT.

También es interesante tomar en cuenta que una gran mayoría de los componentes del malware KCNA se compilaron a mediados de marzo de 2012.

El primer incidente que con la falsificación del instalador de Flash Player que nuestra KSN encontró data de 2012, pero ese método llegó a su punto más alto en 2013. El incidente de KCNA ocurre en el momento cumbre de este tipo de actividad ofensiva de Darkhotel.

Componentes notables

Además de la actualización de Flash Player legítima que está incluida entre sus archivos comprimidos, los componentes de puerta trasera que se descargan al disco y ejecutan están agrupados como componentes de Windows Live (como Defender, IM Messenger). Estos son los dos archivos más interesantes que se descargan:

78d3c8705f8baf7d34e6a6737d1cfa18,c:\windows\system32\mscaps.exe
978888892a1ed13e94d2fcb832a2a6b5,c:\windows\system32\wtime32.dll

Aquí se agregan al registro los ajustes de reinicio del componente mscaps.exe: šHKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{a96adc11-e20e-4e21-bfac-3e483c40906e}, donde se establece como su subtrazado '"C:\WINDOWS\system32\mscaps.exe"š /s /n /i:U shell32.dll'. Esta configuración asegura que cada vez que se abra o reinicie el shell explorer.exe, el ejecutable inyecte su código.

Otros análisis de este malware no mencionaron la presencia de madCodeHook, de Madshi. Es una inyección DLL comercial legítima y un marco de enganche api que en este caso se usa para inyectar el componente de spyware att.dll de forma específica en las siguientes aplicaciones de comunicaciones:

  • Internet Explorer – iexplore.exe, ieuser.exe
  • Mozilla Firefox, firefox.exe
  • Google Chrome, chrome.exe
  • Microsoft Outlook Express, msimn.exe
  • Microsoft Outlook, outlook.exe
  • Windows Mail, winmail.exe
  • Windows Live Mail, wlmail.exe
  • MSN Messenger, msnmsgr.exe
  • Yahoo! Messenger, yahoomessenger.exe
  • Windows FTP Client, ftp.exe

El gancho LoadLibraryExW se coloca aquí:

El gancho jmp aparece aquí:

Este es el bucle de análisis sintáctico de cadenas de caracteres relacionado:

Otros análisis indican que ws2_32.dll, o la biblioteca winsock2, se descarga en el disco y se copia a mydll.dll. Es posible que lo haga para mantener los ganchos Winsock2 estables en los sistemas operativos Windows. Algunos grupos madCodeHooks en el api Winsock2 tienen antecedentes de inestabilidad, por lo que los cibercriminales prefirieron incluir uno que sabían que no fallaría.

Esto implica un vuelco en la forma de trabajo, una disparidad clara. šLa biblioteca madCodeHook no se encontró en el malware Darkhotel.

El componente wtime32.dll se instala en el disco y se carga al inicio en explorer.exe. Después se inyecta en cada uno de los procesos que considera de su interés. Es un componente de bot muy interesante, que se comunica con sus tres dominios de comando y control para recibir órdenes. Mantiene 13 comandos de bot interactivos primitivos:

ComandoDescripción del comando
cmdEjecutar el cmd y extraerlo al archivo como parte del nuevo proceso que se ha creado y terminado, es decir, "cmd /c tree > file 2>&1"
infRecopilar información del sistema – versión del sistema operativo, nombre de usuario, nombre del equipo, unidad del sistema, hora local, todas las unidades de disco conectadas y sus propiedades, propiedades del adaptador de red, espacio libre en el disco, enumerar todos los programas instalados por cada usuario en cada equipo
capRealizar una captura de pantalla y enviarla al c2
dluFunción incompleta
dllAbrir un proceso con acceso total, escribir un dll en la memoria y crear un hilo de ejecución (cargar un dll en un proceso remoto)
putRecibir, descifrar y escribir un archivo específico en el disco
gotInformar sobre el estado del archivo recuperado
getRecopilar, cifrar y recuperar un archivo específico
exeEjecutar el nombre de ejecutable proveído con WinExec
delGrabar atributos del archivo en c2 específicos y eliminar el archivo
dirGrabar e informar al c2 sobre todos los archivos en el árbol de directorios actual y sus atributos: nombre de archivo, tamaño, última vez que se escribió, archivo comprimido o directorio, visibilidad, sistema
quitHilo de ejecución de salida
prcSolicitud de proceso

Su funcionalidad abarca tecnologías más antiguas que ya no se ven con facilidad. Además de que provee rutinas I/O para NTFS, FAT32, FAT16 y el filesystem FAT, también implementa la antigua rutina I/O FAT12. El acceso al disco sin procesar Windows95 se activa con CreateFileA en \\.\vwin32 mediante la unidad virtual vwin32.

Por último, el malware KCNA tiene un truco único bajo la manga. Los componentes que instala pueden escanear las unidades de disco conectadas y los recursos de red para copiar sus contenidos y enviarles algo especial que le ayuda a propagarse. Es de esta forma tan cruda que este programa malicioso puede saltar entre redes separadas usando conexiones usb para infectar ejecutables y archivos comprimidos de dispositivos USB.

Conclusiones

El incidente de KCNA y la propagación de su bot viral deja en el aire más preguntas que respuestas. Sería simplista culpar a esta campaña por las operaciones de DPRK, y no es algo que estemos defendiendo aquí. Las posibilidades de que un virus de red interno se difunda o de que se comprometan sitios web mediante un ataque XSS son altas. La amenaza tiene algunas similitudes con las herramientas Darkhotel, como la configuración de redes, técnica de suplantación y el formato y selección de los datos que roba. Si ambas operaciones están relacionadas, las particularidades del malware KCNA demuestran que Darkhotel todavía podría tener algunos trucos bajo la manga.

Apéndice

Componentes que instala el malware KCNA

78d3c8705f8baf7d34e6a6737d1cfa18, mscaps.exe, Tue, 12 Apr 2011 09:15:59 GMT
978888892a1ed13e94d2fcb832a2a6b5, wtime32.dll, 213kb, Trojan.Win32.Agent.hwgw, CompiledOn:Wed, 29 Feb 2012 00:50:36 GMT
2d9df706d1857434fcaa014df70d1c66, arc.dll, 1029kb, Trojan.Win32.Agent.hwgw, CompiledOn:Tue, 13 Mar 2012 02:34:00 GMT
fffa05401511ad2a89283c52d0c86472, att.dll, 229KB, Trojan.Win32.Agent.hwgw, CompiledOn:Tue, 13 Mar 2012 02:24:32 GMT
1fcc5b3ed6bc76d70cfa49d051e0dff6, dis.dll, 120.kb, Trojan.Win32.Agent.hwgw, CompiledOn:Tue, 13 Mar 2012 02:24:36 GMT
d0c9ada173da923efabb53d5a9b28d54, fil.dll, 126kb, UDS:DangerousObject.Multi.Generic, CompiledOn:Tue, 13 Mar 2012 02:24:41 GMT
daac1781c9d22f5743ade0cb41feaebf, launch.exe, 172KB, HEUR:Trojan.Win32.Generic, CompiledOn:Tue, 13 Mar 2012 02:24:52 GMT
6a9461f260ebb2556b8ae1d0ba93858a, sha.dll, 89KB, Trojan.Win32.Agent.hwgw, CompiledOn:Tue, 13 Mar 2012 02:24:43 GMT
f1c9f4a1f92588aeb82be5d2d4c2c730, usd.dll, 99KB, Trojan.Win32.Agent.hwgw, CompiledOn:Tue, 13 Mar 2012 02:24:46 GMT
59ee2ff6dbac2b6cd3e98cb0ff581bdb, WdExt.exe, 1.66MB, Trojan.Win32.Agent.hwgw, CompiledOn:Tue, 13 Mar 2012 02:24:49 GMT
f415ea8f2435d6c9656cc6525c65bd3c, wtmps.exe, 1.94MB, Trojan-Dropper.Win32.Daws.awfy, CompiledOn:Mon, 05 Mar 2012 08:37:55 GMT

MD5s, dominios y detecciones relacionadas

Trojan.Win32.Agent.hwgw
78d3c8705f8baf7d34e6a6737d1cfa18, mscaps.exe
2d9df706d1857434fcaa014df70d1c66, arc.dll
1e7c6907b63c4a485e7616aa04351da7, @aedf66.tmp.exe
1fcc5b3ed6bc76d70cfa49d051e0dff6, dis.dll
523b4b169dde3bcab81311cfdee68e92, wdext.exe
541989816355fd606838260f5b49d931, wdext.exe
5e34f85278bf3504fc1b9a59d2e7479b, wdext.exe
6a9461f260ebb2556b8ae1d0ba93858a, sha.dll
78ba5b642df336009812a0b52827e1de, wdexe.exe
7f15d9149736966f1df03fc60e87b8ac, wdext.exe
7f3a38093bd60da04d0fa5f50867d24f
82206de94db9fb9413e7b90c2923d674
a59d9476cfe51597129d5aec64a8e422, @ae465f.tmp.exe
f1c9f4a1f92588aeb82be5d2d4c2c730, usd.dll
fffa05401511ad2a89283c52d0c86472, att.dll
d0c9ada173da923efabb53d5a9b28d54, fil.dll

Trojan-Dropper.Win32.Daws.awfy
2f7b96b196a1ebd7b4ab4a6e131aac58
8948f967b61fecf1017f620f51ab737d
…y casi 800 otros ejecutables que resultaron infectados en carpetas compartidas y discos conectados

c2 Domains
a.gwas.perl.sh,211.233.75.83
a-gwas-01.dyndns.org
a-gwas-01.slyip.net

OPSEC 101 analógica – seguridad operativa en el mundo físico


  Vicente Diaz       18 marzo 2015 | 15:00  MSK

Comentar  

Por mucho tiempo nos ha interesado la seguridad operativa (OPSEC), y aunque existen incontables buenos consejos técnicos sobre la seguridad de la información digital, siempre tuvimos la sensación de que algo faltaba. Después de todo, vivimos en un mundo físico, o analógico, y también en uno digital, y nos encontramos con otras personas reales. Después de preguntar por ahí, hallamos que una de las principales preocupaciones de nuestra comunidad técnica era cómo comportarse durante estas interacciones. Entonces decidimos ponernos a elaborar algunos consejos reales y fáciles de recordar justamente en estas situaciones.

Modelos de amenazas

La seguridad operativa OPSEC consiste en ocultarles información a tus adversarios. Hemos clasificado a nuestros adversarios en sólo dos grupos: los que poseen los recursos y los que no. Simple y sencillo.

El primer grupo incluye agencias de inteligencia, organismos militares, y los chicos malos importantes. En el segundo grupo se incluye el resto. Importante: sin recursos no significa sin peligro, pero son menos capaces de seguirte a menos que les entregues tu información sin ningún cuidado.

Nuestros consejos se concentran en encuentros con el primer grupo, ya que son los más probables de ocurrir.

Reclutamiento

Las agencias siempre están en busca de nuevos recursos, y lo han hecho desde siempre.

Todo comienza con el proceso de reconocimiento, es decir, la identificación de recursos que cumplan con sus requisitos basados en la posición y el acceso a la información. A continuación, trazan un perfil del blanco, recurriendo parcialmente a OSINT. Después viene el momento de elegir entre la zanahoria y el palo, y seleccionar el motivador más apropiado: dinero, chantaje, ideología, sexo, etc.

Entonces alguien se aproximará, quizás en persona, quizás mediante LinkedIn. Probablemente se presente como un empresario que nos pagará mucho por poco (algunos informes sencillos de vez en cuando).

Cuando esto sucede, queremos llegar cuanto antes a la fase de Terminación, idealmente después de haber sido descartados por ser una pérdida de tiempo y esfuerzos.

Podemos sencillamente decir “No”, pero ellos pueden incrementar la presión. Por otra parte, podemos rechazarlos mientras ofrecemos alternativas, dirigiendo la petición a otra persona preparada para hacerse cargo de la situación.

Crea un protocolo para ti mismo y para tu organización para manejar eficazmente estas situaciones, minimizando la exposición del investigador. Tienes que estar preparado para las situaciones en las que eres más vulnerable.

Fronteras

Cruzar una frontera internacional puede ser uno de los puntos más vulnerables. De alguna forma son como una dimensión paralela: aunque físicamente te encuentras en otro territorio, las leyes son diferentes, o quizás incluso inexistentes.

Hemos aprendido algunas cosas sobre las fronteras: siempre hay una excepción a la ley que los oficiales pueden aplicar en escenarios extremos. En este sitio podrás encontrar asesoría legal: https://www.eff.org/wp/defending-privacy-us-border-guide-travelers-carrying-digital-devices. Sin embargo, esto es lo que NO DEBES hacer:

  • Estés o no estés de acuerdo con una revisión, NO detengas al oficial cuando empiece a revisar tus cosas. Es un delito.
  • No tienes que responder a ninguna pregunta, pero si decides hacerlo, no le mientas al oficial. Es otro delito.

Estos son nuestros consejos para situaciones como esta. Estas reglas te ayudarán a mantener la calma y a no perder la cabeza. Pueden evitar que reacciones de forma indeseable, lo que empeoraría la situación, y que hables más de la cuenta, comenzando por cosas como: “No tengo nada que ocultar, déjeme explicarle…”

  • Tienes que cooperar.
  • No empeores las cosas.
  • Ten tu historia preparada y tienes que estate listo para respaldarla.
  • Regla de oro: ¡No traigas nada valioso contigo! Debes cifrar tu información, o subirla a un almacenamiento virtual, y recuperarla una vez que llegues a tu destino.

Otras situaciones

A veces podemos encontrarnos en camino a una reunión en un país extraño con la sospecha de que algo no anda bien. Nuestros consejos para esta situación:

  • No vayas solo.
  • No confíes en tu anfitrión para el transporte.
  • Planifica rutas de escape y lugares “seguros”, y ten listos tus contactos.

En algunos casos, la reunión misma podría ser la “trampa”, sólo una excusa para hacer que dejes tu ordenador en un lugar conocido en el hotel o en un guardarropa.

Siempre es una buena idea avisarle a alguien a dónde te diriges y pedirles que reaccionen si no te pones en contacto con ellos en cierto tiempo. Esto también les alerta a tus adversarios de que estás listo: un comentario sencillo y casual bastará para ello.

Otra preocupación es la vigilancia física. Honestamente, si se trata de profesionales sofisticados, no hay mucho que puedas hacer y quizás ni lo notes. Pero recuerda: no hagas nada estúpido, no eres James Bond. Actuar como si fuera una película sólo puede empeorar las cosas.

Si estás muy preocupado, amplifica la situación y recurre al encargado en tu compañía de tratar con los contactos locales. Si te sientes incómodo, ve a un sitio público o directamente a tu embajada.

Conclusiones

Quizás ya hayas identificado algún tema común en la mayoría de estas situaciones planteadas. Primero, mantén la calma y no empeores las cosas. Puedes recurrir a una tercera parte para que envíe a la caballería cuando la necesites. Es por esto que tu compañía debe asignarte una persona de contacto para cuando tengas algún problema. También puedes necesitar apoyo legal internacional.

Sin embargo, la principal lección es: toma tus precauciones. Si viajas al extranjero, invierte tiempo buscando contactos locales, consigue los números de teléfono y dirección de tu embajada, planifica tus reuniones, avisa a otros dónde estás y asegúrate de que estén listos para actuar de inmediato en ciertas situaciones. Prepara tu ordenador portátil y considera qué información llevarás contigo. Si recuerdas estas lecciones, estarás bien.

Yeti sigue agazapado en el bosque


  Marco       17 marzo 2015 | 11:53  MSK

Comentar  

El pasado mes de julio publicamos datos sobre Crouching Yeti/Energetic Bear,una avanzada amenaza partícipe en varias campañas de ataques APT.
Un breve resumen:

  • Estado de la campaña: Activa
  • Descubrimiento: Enero de 2014
  • Plataformas atacadas: Windows
  • Primera muestra detectada: 2010
  • Número de blancos: 2001-3000
  • Principales países afectados: EE.UU., España, Japón, Alemania, Francia, Italia, Turquía, Irlanda, Polonia, China.
  • Método de propagación: Ingeniería social, exploits, ataques tipo abrevadero, instaladores troyanizados de software.
  • Propósito/funciones: Robo de datos
  • Funciones especiales: Interés en OPC/SCADA. Software troyanizado utilizado para administrar servidores OPC remotos, así como módulos para escanear redes para servidores OPC.
  • Blancos: Industrial/maquinaria, fabricantes, farmacéutico, construcción, educación, informática
  • Artefactos/atribución: Autores rusoparlantes.

Esta entrega es una actualización sobre el estado operativo de la campaña descrita en el artículo original “Crouching Yeti

Desde el inicio de la investigación, hemos estado monitoreando algunos de los servidores C&C utilizados por los componentes empleados en el ataque: el troyano Havex, el troyano Sysmain, y la puerta trasera ClientX. El siguiente análisis se basa en los datos recopilados hasta el 4 de marzo de 2015.

Servidores C&C y víctimas:

En total, hemos monitoreado exitosamente 69 servidores C&C (dominios únicos), que recibieron pulsaciones de 3699 víctimas (IDs únicas del troyano/puerta trasera) y 57796 conexiones desde distintas direcciones IP. Hemos recopilado otros cuatro C&C desde la publicación de nuestro primer artículo (65 en el último informe).

En base al siguiente gráfico, los primeros cinco servidores C&C comparten la mayor parte de las víctimas únicas:

Víctimas por C&C

 Aunque la tendencia muestra una disminución de pulsaciones en el C&C, todavía existen más de 1000 conexiones de víctimas únicas por día. Estos cinco principales C&C que suman la mayoría de las víctimas coinciden con la actividad analizada en la publicación e investigación previas.

Otro gráfico interesante es la cantidad de pulsaciones por fecha, que muestra una tendencia decreciente:

La siguiente figura muestra el cuadro total de la distribución de víctimas por país, incluyendo todos los programas maliciosos (Havex, ClientX, Sysmain) relacionados con los C&C que hemos observado. El gráfico contiene todos los datos (incluyendo aquellos del informe anterior y los que hemos recopilado durante este periodo) y todas las direcciones IP únicas observadas. šVale la pena remarcar que existen algunas IDs únicas que usan varias direcciones IP, probablemente relacionadas con los ordenadores infectados de viajeros.

El siguiente gráfico muestra el gran cuadro (actualizado) de las víctimas de Crouching Yeti por país. España, Polonia y Grecia están entre los Top 3. Japón, y especialmente EE.UU. han mejorado significativamente su posición (menos víctimas) desde el último informe, al contrario de Polonia e Italia, que han empeorado notablemente (más víctimas que informan al C&C).

Esta es una representación adicional de la distribución de las víctimas por país, incluyendo todos los datos (todos los países):

Programas maliciosos:

El troyano más utilizado en estos servidores C&C es Havex con 3375 víctimas únicas. Sysmain cuenta con 314 y ClientX con 10 (como en el informe del año pasado). Respecto a Havex, la versión 024 sigue siendo la más extendida, seguida de la versión 043. Esto es consistente con la tendencia observada en nuestra última publicación.

Los dos gráficos que siguen muestran la distribución de las víctimas por tipo de programa malicioso. Decidimos dividir las versiones identificadas en dos grupos sólo a fin de brindar mayor claridad. La serie con el nombre “Report” contiene los datos publicados en la primera publicación de Crouching Yeti (azul) y la serie con el nombre “Update” contiene los datos analizados.

Durante este periodo, el primer subconjunto muestra un aumento en casi todas las versiones incluidas, excepto por Havex-038 y Havex-01D, que mostraron una mayor actividad en la primera publicación de Crouching Yeti. Por otra parte, Havex-043 muestra el aumento más significativo durante este periodo.

En el segundo subconjunto, el cuadro aparece bastante similar (aumento global), excepto por Havex-01d que muestra una disminución durante este periodo.

Ya antes y también después de los anuncios sobre este actor hubo otras investigaciones. Por tanto, los conjuntos de datos están limpios, pero puede ser que todavía incluyan algunos sistemas sin víctimas en base a dichas investigaciones.

Los gráficos siguientes muestran la distribución de sistemas operativos entre las víctimas de Havex durante este periodo:

Aparte del aumento en la categoría "Unknown” (desconocido), no aparecen diferencias sustanciales al comparar con los datos analizados en el primer informe:

Para complementar los datos provenientes del C&C, extrajimos algunas estadísticas sobre los troyanos más importantes que usan los operadores de Crouching Yeti. Casi todos muestran un impacto residual durante 2015. Sin embargo, notamos algunos picos muy específicos durante este mes, especialmente para el veredicto Trojan.Win32.Ddex. Este componente es un sencillo descargador con funciones similares al componente Havex. Todas las detecciones se encuentran dentro de la Federación Rusa.

En conclusión, los datos analizados durante este periodo revelan que el impacto de Crouching Yeti sigue vigente en términos de víctimas infectadas que informan a los C&C, aunque los datos internos proporcionados por nuestra red KSN muestran un cuadro distinto (número residual de infecciones). En esta actualización, no hemos visto cambios relevantes en la infraestructura o en la actividad de C&C.

Tomando en cuenta la naturaleza de esta amenaza y el estado operativo de la infraestructura, es posible que los operadores ya hayan cambiado su estructura, técnicas y blancos.

Continuaremos el seguimiento de esta amenaza y publicaremos las respectivas actualizaciones.

Un cruce entre Skyfall y Skype


  Dmitry Bestúzhev       13 marzo 2015 | 15:04  MSK

Comentar  

El programa malicioso de nombre compuesto SKYPEFALL.EXE es el último programa de envío de spam que está activo y propagándose mediante Skype. Lo registramos por primera vez el 3 de marzo usando castellano e inglés para atrapar a sus víctimas. ¿En qué consiste su ataque?

La víctima recibe un mensaje de Skype con el siguiente formato:


¡Dios Mío! [nombre del usuario de Skype] video: http: //********skype. info/video/?n=[nombre del usuario de Skype]

Oh, My God ! [user name in Skype] video: http: //********skype. info/video/?n=[user name in Skype]

Si el usuario pulsa en el enlace desde Internet Explorer, aparece en un sitio web con un video falso repleto de comentarios que tratan de despertar su interés para que descargue un plugin que permite ver el video:



Una vez más, la URL que se usa en el mensaje malicioso que se envió mediante Skype sólo está disponible si la víctima está usando el navegador Internet Explorer. Si la víctima emplea cualquier otro navegador, la URL no está disponible.

El setup.exe inicial es un archivo RAR auto-extraíble con instrucciones integradas. Incluye un paquete completo de instalación GUI.

Con esto, la víctima recibe funcionalidades de adware y capacidades de puerta trasera. Una vez instalado en el ordenador de su nueva víctima, el programa ataca a sus contactos de Skype para seguir propagando estos mensajes spam. También descarga las instrucciones para su comportamiento desde otro servidor, que son así:


{

"skype_restart_mins": 120,

"old_friend_hours": 48,

"del_msgs_limit": 5,

"send_strategy": 1,

"max_loc_msgs": 60}

El malware también incluye un cliente SMTP incrustado que podría permitir a los atacantes que envíen spam mediante el equipo de la víctima.


Los atacantes que encabezan esta operación están cambiando este binario en la web cada pocas horas. Lo hacen para evitar las detecciones consistentes de los antivirus.


Kaspersky Lab detecta esta amenaza como Trojan-Dropper.Win32.SkyDll.a.

Conoce a Lisa por 1 euro


  Marco       12 marzo 2015 | 13:46  MSK

Comentar  

Anoche recibí un SMS inesperado en alemán. Era un mensaje de "Lisa", una chica que decía que me conocía y me ofrecía una URL para ver una foto suya.

La URL corta dirigía al dominio "m.bensbumbsblog.com", famoso por usarse en spam para sitios de citas, y redirigía a uno de estos sitios. Como no me había registrado a estos sitios ni pedido que me envíen este SMS, no hay duda de que pertenece a la categoría de mensajes masivos no solicitados.

La meta final es dirigirte a " daily-date.de”. El sitio pide que te registres (nombre de usuario, contraseña, dirección de correo y muchas preguntas personales). Por último, ofrece acceso Premium al sistema, que permite al usuario buscar, conocer, ver fotos y ponerse en contacto con otros usuarios, pero no de forma gratuita. El sitio ofrece una prueba de 14 días por 1 euro.

El dominio "bensbumsblog.com" está protegido por un servicio de anonimato que evita que se identifique a su dueño. Pero su dirección IP pertenece a un servicio en la nube (según una búsqueda en RIPE) que está siendo alquilada por una compañía de marketing (búsqueda inversa de IP).

El sitio web final, “daily-date.de”, pertenece a una compañía alemana ubicada en Berlín.

Las estadísticas de bit.ly muestran que esta operación comenzó el 3 de marzo de 2015 y recibió más de 10.000 visitas en 18 horas, la mayor parte proveniente de Alemania. La mayoría de las visitas se dieron durante las primeras 3 horas de la operación (que comenzó a las 18:00 CET).

El usuario de bit.ly “benbu”, que estableció el enlace, ha creado 15 Bitlinks/URLs cortas (activas desde el 2 de marzo de 2015).

Cantidad de BitlinksObjetivo/Operación
6DailyDates (esta campaña)
1Easy money/tarjetas de crédito
8Cupones

El spam es un problema común que no se propaga sólo por correo electrónico. Pero es cierto que el spam de SMS es más común en Asia que en Europa.

Otras operaciones de este usuario no tuvieron mucho éxito. Seis operaciones aparte de ésta recibieron visitas. Casi todas estaban dirigidas a usuarios alemanes.

CreaciónObjetivo/OperaciónNúmero de visitantes
02.03.2015Cupones2630
02.03.2015Cupones1764
02.03.2015Cupones250
02.03.2015DailyDates993
03.03.2015Cupones1878
03.03.2015Cupones1004

Como regla general, evita pulsar en cualquier enlace que recibas porque podría esconder contenido malicioso. Para mejorar la protección de tu móvil (smartphone/tablet), nunca olvides instalar actualizaciones. Es más, deberías instalar un programa de seguridad para protegerte contra el malware para teléfonos móviles.

Cómo funciona una estafa: estafadores en sitios web de compra-venta de artículos personales


  David Jacoby       11 marzo 2015 | 16:27  MSK

Comentar  

Hoy en día en Suecia, nos estamos enfrentando a un gran problema con los estafadores que intentan comprar artículos en venta en varios sitios web de compra-venta; pero al ponerte en contacto con los supuestos compradores, las cosas se ponen feas y puedes terminar perdiendo tu dinero. Esto no es ninguna novedad, y la mayoría de estos sitios les han informado al respecto a sus usuarios, pero no llegan a explicarles en detalle cómo funcionan estas estafas, pues en sus Preguntas más frecuentes sólo les aconsejan tener cuidado. Y sabemos que hay muchas interrogantes de usuarios preocupados esperando una respuesta.

Desde que uno de estos estafadores intentó estafar a mi esposa, decidí seguir sus pasos y documentar todo el proceso, no sólo para denunciar el caso ante las autoridades, sino también para que nuestros lectores sepan cómo funcionan estas estafas. Una vez que sabes cómo funcionan, será mucho más fácil identificarlas y evitar caer en la trampa.

Entonces, déjame contarte la historia.

Le compramos a nuestra hija una nueva bicicleta, por lo que decidimos vender la que había estado usando en Blocket, el sitio web más importante para avisos personales (compra-venta) en Suecia.

Después de unos días, mi esposa recibió un SMS (que por desgracia se borró). El SMS provenía de un número en Polonia, y estaba escrito en muy buen inglés. El autor mostraba su interés en la bicicleta que ofrecíamos, pero quería más información, y le dio a mi esposa una dirección de correo electrónico. Le dije que NO respondiera por SMS sino por correo, porque a veces los ciberpiratas envían SMS para números de pago, lo que quiere decir que al responder al SMS te costará mucho más que un SMS corriente.

También le dije a mi esposa que fuera breve en su respuesta, lo que podemos ver en su mensaje inicial de respuesta, como se ve a continuación:

Como podemos observar, el supuesto interesado comienza a plantear preguntas válidas sobre la bicicleta, lo que significa que no se trata de un bot, sino de alguien real que está respondiendo al aviso. No tengo idea cómo seleccionan a sus víctimas, pero obviamente se trata de un proceso manual.

Decidimos continuar con el proceso, para ver el siguiente paso de la estafa, y respondimos con la información que pedía; también era posible de que no se tratase de un estafador sino de alguien legítimamente interesado en la bicicleta.

Fue después de este mensaje de correo que las cosas se pusieron feas. El supuesto interesado aceptó nuestra oferta, pero lo curioso fue que confirmara su identidad polaca. Mirando en las redes sociales se puede ver que su identidad parece ser polaca. Entonces, decidimos continuar.

Nos pidió nuestro nombre, datos de PayPal y el precio total, lo que obviamente le enviamos.

También nos dijo que cubriría los gastos de envío de la bicicleta, y que ya se había puesto en contacto con una compañía para ello.

Le enviamos la información y esperamos su respuesta. Su respuesta a todos los mensajes de correo fue MUY rápida; parecía como si hubiera muchas personas con acceso a la misma cuenta de correo, pero no pudimos confirmarlo. El mensaje de correo que nos envió justo antes de la transferencia del dinero, también incluía una dirección en Polonia. Esta dirección no ha sido confirmada, pero estamos tratando de averiguar quién vive en la dirección cuya captura de pantalla mostramos a continuación. A los pocos minutos nos confirmó que había realizado la transferencia, lo que podemos ver en la segunda captura de pantalla siguiente.

Recibimos dos mensajes de correo de algo que parecía ser PayPal, pero al mirar con detenimiento, se puede ver que el mensaje no proviene en absoluto de PayPal. Este es un truco muy astuto, pero común, que también se usa en ataques phishing.š Al observar el mensaje, se puede ver que proviene de service@e-pay-team.com, alojado en Google Mail.š Lo interesante de este mensaje es que también es muy posible que haya sido creado manualmente, porque contiene detalles como el precio que pedimos por la bicicleta.

Hasta ese momento, no se había transferido ningún dinero a mi cuenta PayPal; los mensajes eran falsos. A continuación, los estafadores intentaron que les transfiriera el coste del envío, en este caso 1700 SEK (unos 200 USD) desde nuestra cuenta a la compañía “P.S.S Logistics”. El proceso que mencionaron para transferir el dinero consistía en ir a una oficina de Western Union y hacer la transferencia a dicha compañía de transporte, pero si observamos con más cuidado los mensajes de correo que nos enviaron, en realidad la transferencia era a una persona. Existe una compañía llamada “P.S.S Logistics”, pero está registrada en Sudáfrica; los estafadores usaron este nombre, pero al hacer la transferencia, resulta que el dinero va a una persona llamada “Bamise Seon”, en Nigeria.

En este punto me pregunté si los estafadores estaban usando cuentas pirateadas, porque todas las personas referidas existen en las redes sociales. Por ejemplo, la persona que envía los mensajes de correo, con el nombre polaco "Pawel Dylewski”, se encuentra en Google Plus. Y la persona en Nigeria se encuentra en Facebook. Si miramos con detenimiento las capturas de pantalla de Facebook, veremos que hay dos identidades, una mujer y un varón, y ambos están mutuamente conectados por el mismo nombre. En la siguiente toma de pantalla, veremos el texto en inglés: “Send HER a friend request”, es decir, “envíale una solicitud de amistad”, pero HER significa "ella", lo que demuestra que se trata de una mujer. También podemos ver que ella tiene un amigo, alguien con el mismo nombre, pero con foto de perfil de un varón y más información.

Estoy en contacto con PayPal, Western Union, Google y las respectivas autoridades informándoles de mis hallazgos, pero también quiero compartir esta historia. Todos los que participan en la compra-venta de artículos en línea deben tener mucho cuidado con los detalles. Si el negocio parece demasiado bueno para ser verdad, en la mayoría de los casos lo es.

Resumiendo el esquema:

  1. ¿Has recibido un SMS de un comprador potencial con una dirección de correo electrónico de contacto incluida?
  2. En algunos casos, el SMS se envía desde un número de pago, de manera que al responder te cobrarán el servicio.
  3. Una vez que la conversación por correo comienza, el comprador quiere pagar mediante un servicio de pago electrónico, por ejemplo, PayPal, y ofrece el pago completo más los gastos de envío.
  4. Envían mensajes de correo FALSOS supuestamente provenientes de PayPal, indicando que el dinero se ha transferido a tu cuenta. Pero el dinero no se transferirá a tu cuenta hasta que hayas cerrado el trato.
  5. El trato sólo se cierra cuando transfieres el dinero para los gastos de envío a una compañía de transporte, por ejemplo, mediante Western Union.
  6. La compañía de transporte no existe, se trata de la cuenta personal del estafador, lo que significa que quieren que transfieras el dinero de tu propio bolsillo, con la promesa de que te rembolsarán el total (incluyendo el precio del artículo) en tu cuenta de PayPal.

Consejos útiles al ponerse en contacto con extraños por Internet:

  • Por favor, no uses SMS para la comunicación, porque los estafadores pueden usar números de pago para cobrarte mucho dinero.
  • Por favor verifica las direcciones de correo: por ejemplo, en este caso no provenía de “paypal.com”, sino de “e-pay-team.com”.
  • Nunca transfieras ni un centavo a nadie, y asegúrate siempre de haber recibido el pago ANTES de enviar el artículo que estás vendiendo.
  • Nunca pagues con tu tarjeta de crédito, a menos que estés absolutamente seguro de que el sitio web es legítimo; utiliza otros métodos seguros de pago electrónico, como PayPal.

P.D.: Vendimos la bicicleta hoy. A una persona real :)

Amenazas en Internet para los niños: Un peligro real


  Kaspersky Lab        4 marzo 2015 | 14:00  MSK

Comentar  

 Download Full Report PDF (eng)

Hace mucho ya que Internet dejó de ser terreno exclusivo de los adultos. Los niños de hoy son usuarios de Internet mucho más activos que sus padres. Pero, ¿cuán segura es la Red para que los niños la usen sin el temor de encontrarse con contenidos inapropiados? Para averiguarlo, decidimos investigar las amenazas potenciales en Internet a las que se enfrentan los niños.

La investigación se basó en los datos procesados por nuestra red Kaspersky Security Network. Analizamos los datos de más de un millón de clientes de Kaspersky Lab. Cada uno de ellos se encontró con algún contenido peligroso al menos una vez durante el año pasado.

Los resultados revelan que más de la mitad (59,5%) de los usuarios se encontró con pornografía, más de un cuarto (26,6%) apareció en sitios dedicados a los juegos de azar, uno de cada cinco se topó con sitios de armas y también casi uno de cada cinco se encontró con lenguaje soez.

Porcentaje de usuarios en todo el mundo que se encontró con contenidos peligrosos en 2014

Los sitios con este tipo de contenidos inapropiados (adulto, juegos de azar y armas), además de otros que mostraban drogas, tabaco y alcohol, fueron los más bloqueados por las soluciones de seguridad de Kaspersky Lab. La frecuencia de estas detecciones demuestra claramente la facilidad con que los usuarios se encuentran con estos contenidos en Internet. Cuanto mayor la frecuencia, mayor es la probabilidad.

Dos tercios de los usuarios (67,29%) provino de los servicios de chat. Sólo un número reducido de estos servicios, como los que ofrecen anonimato o con mayoría de suscriptores adultos, representa una amenaza potencial para los niños. Por eso, resulta difícil considerar los encuentros totales en servicios de chat como un indicador exacto del nivel de riesgo para los menores. Sin embargo, los datos confirman la popularidad del chat, y cuanto mayor la popularidad de estos servicios en cualquier país, mayor es la probabilidad de que los niños ocasionalmente, o incluso intencionalmente, se encuentren en un ambiente inseguro de chat. Entonces, por lo menos, la evidencia de encuentros frecuentes con los servicios de chat podría ser una señal para que los padres presten más atención a la naturaleza de estos servicios y a la probabilidad de que sus hijos se vean amenazados.

En términos geográficos, los países con mayor número de detecciones del Control parental son China, EE.UU., Alemania, Reino Unido y Rusia. Francia, Vietnam, Brasil y Argelia también están entre los diez primeros lugares de la clasificación de detecciones de contenidos inapropiados, pero se los considera relativamente más seguros debido a una menor frecuencia de detecciones.

Cada uno de los clasificados entre los diez primeros países más afectados tiene sus propias características distintivas cuando se trata de las amenazas relevantes en Internet para los niños. Por ejemplo, los contenidos para adultos fueron la amenaza más importante para los usuarios en Alemania (con 172 detecciones por usuario), China (144,18), y EE.UU. (126,16). Los contenidos sobre alcohol, tabaco y drogas fueron la principal amenaza para los usuarios en Rusia, Alemania, EE.UU. y Francia. La frecuencia de detecciones fue especialmente elevada en estos países. Este tipo de contenido también fue popular en Brasil y Reino Unido.

El hecho de que el escenario de las amenazas para los niños cambie significativamente de un país a otro es uno de los hallazgos más relevantes de esta investigación. Se trata de una clara señal para los padres en todo el mundo para que presten atención a lo que sus hijos hacen en Internet en sus respectivos países, puesto que cada situación es singular. Para proteger a los menores, recomendamos a sus padres que usen soluciones de seguridad con tecnologías para la protección de menores, y que usen activamente los modos de seguridad para menores en los navegadores de manera que los niños sólo accedan a contenidos apropiados para ellos.

Sin embargo, aunque las tecnologías de protección de menores pueden bloquear sitios cuyos contenidos sean peligrosos o perturbadores para los niños, no son capaces de ofrecer una protección confiable en situaciones en las que los servicios de Internet que tienen un nivel de seguridad predeterminado, como las redes sociales o los servicios de chat, son abusados por depredadores o por usuarios que lanzan campañas de ciberbullying.

La seguridad en el mundo virtual debe ser tomada tan en serio como la seguridad en el mundo real. Por eso es que urgimos a los padres a que participen activamente en la vida real y digital de sus hijos. De ellos depende estar ahí el momento en que sus hijos necesiten su apoyo.

Puedes leer más sobre este tema en el documento completo de la investigación.

Los extraordinarios plugins BE2, sus ataques contra Siemens, y las fallas en su diseño


  Kurt Baumgartner       25 febrero 2015 | 12:26  MSK

Comentar  

En nuestro artículo de noviembre presentamos nuestra investigación de BlackEnergy2 (BE2) y describimos los nuevos hallazgos sobre las actividades del grupo. Presentamos los detalles de sus plugins y los hallazgos sobre algunos de sus blancos y víctimas. En esta entrega, examinaremos de cerca varios plugins adicionales, nos concentraremos en los detalles sobre los ataques contra Siemens, y en algunas fallas de su inusual código.

Anteriormente presentamos un conjunto desconocido de seis plugins y funciones para la plataforma Linux. Para la plataforma Windows identificamos 17 plugins. En el último artículo notamos la dificultad de recopilación sobre este grupo. En este artículo completaremos las descripciones del conjunto.

bs
cert
dstr
s
grc
n
kl
prx
ps
d
scan
sn
ss
tv
upd
usb
vsnet

También recopilamos plugins para las arquitecturas MIPS/ARM, como anotamos en el anterior artículo sobre BE2.

weap
ps
nm
snif
hook
uper

Funciones extraordinarias

Primero examinemos algunos de los plugins para Windows más recientes y más sorprendentes. Resulta interesante que todos estos plugins utilizan una función personalizada “FindByHash” para evadir los esquemas de detección y ralentizar su análisis.

El plugin “Destroy”, dstr

Namedstr.dll
MD58a0a9166cd1bc665d965575d32dfa972
TypeWin32 DLL
Size26,474 bytes
CompiledOn2014.06.17 08:42:43

El plugin más problemático en la lista es el “dstr”. Se trata de un plugin sólo para Windows. Se usa para que el actor BE2 re-escriba los contenidos de los archivos, y destruya los datos guardados en los discos duros. Si bien es posible que se lo use con la intención de borrar sus huellas en una red, resulta excesivo usar este tipo de herramientas para dicho fin. Muy probablemente sea una herramienta de sabotaje, muy parecida al limpiador Destover que atacó a las redes de Sony Pictures Entertainment. Sin embargo, resulta interesante que los desarrolladores de BE2 crearan con código limpiador distinto a Destover y a Shamoon que vimos en los ataques contra Saudi Aramco y SPE. En lugar de reutilizar los controladores comerciales EldoS RawDisk en su programa malicioso, los desarrolladores de BE2 escribieron sus propias rutinas de destrucción de archivos y discos de nivel bajo. El despliegue de los limpiadores es espeluznante, pues en lugar de enviarlo a un estudio de producción con bajas protecciones, fue enviado a ambientes de Control de Sistemas Industriales (ICS).

Para rescribir los datos almacenados en todas las versiones de Windows, el plugin dsrt soporta las funciones del limpiador en modo usuario y modo núcleo, lo que es sorprendente. El componente mantiene una librería embebida win32 y módulos de controlador win64 para el funcionamiento de su modo núcleo. Están cifrados con rc4.

Función modo usuario

El plugin identifica la identidad del dispositivo para el disco duro del sistema y crea un handle para la unidad física del sistema, con acceso GENERIC_READ o GENERIC_WRITE. Varias llamadas a DeviceIoControl recopilan datos sobre la localización física del volumen, y el tamaño y propiedades del disco. Tambien utiliza DeviceIoControl con el código de control IOCTL_DISK_GET_DRIVE_GEOMETRY para recuperar el valor Bytes Per Sector. dsrt, después limpia todos los handles abiertos al disco, desmontándolo con el código de control FSCTL_DISMOUNT_VOLUME.

Esta rutina prepara el sistema para ser rescrito y garantiza que no hayan conflictos para plugin archivo I/O. Después, realiza múltiples llamadas WriteFile para crear un buffer escrito en ceros en el disco.

El plugin dstr mantiene código para desbloquear y eliminar el controlador de BE2 del disco, contribuyendo al objetivo del grupo de esconder sus huellas de los ojos de los investigadores. Fíjense que en el conjunto de llamadas FindByHash de arriba, la llamada sfc_os deshabilita la protección de archivos de Windows por un minuto mientras una aplicación puede eliminar o modificar el archivo bloqueado. De esta manera, el plugin y su llamada pueden proceder a eliminar el controlador.

El plugin supervisa todos los servicios en la carpeta %system32%\drivers y verifica los permisos de escritura. Si es posible el acceso, desbloquea el archivo, rescribe el controlador embebido bajo el nombre del controlador existente y lo ejecuta.

Controladores y función modo núcleo

Controlador descifrado 32-bit

Namedriver.sys
MD5c4426555b1f04ea7f2e71cf18b0e5b6c
TypeWin32 driver
Size5,120 bytes
CompiledOn2014.06.10 13:12:22 GMT

Controlador descifrado 64-bit

Namedriver.sys
MD52cde6f8423e5c01da27316a9d1fe8510
TypeWin64 driver
Size9,136 bytes
CompiledOn2014.06.10 13:12:04 GMT

Los controladores 32-bit y 64-bit son idénticos y se compilaron desde el mismo código fuente. Estos pequeños controladores Windows supuestamente soportan los sistemas de ficheros de FAT32 y NTFS, pero tienen dos grandes errores en la implementación de su código. A pesar de estos errores, queda claro que el objetivo del autor era analizar un sistema de archivos y de ahí escribir datos aleatorios en los archivos.

Errores extraordinarios

Estos errores en la implementación del código son exclusivos de este plugin dstr, lo cual sugiere el esfuerzo del equipo de desarrollo para el código del plugin.

Error #1.- Los autores invirtieron las rutinas de borrado de datos de FAT32 y NTFS cuando revisa si los caracteres “FAT32” están presentes en los primeros 1024-bytes del disco del sistema.

Error #2.- En la rutina de FAT32, el número de sector del directorio raíz se calcula y considera como el offset absoluto dentro del archivo, en vez de multiplicar este número por los bytes por sector.

En comparación, la rutina de NTFS no contiene este error, y el cálculo del offset MFT se implementa de forma apropiada:

Objetivo: Corromper el contenido de los archivos

Aparte de esto, es interesante que los autores implementaran la eliminacion de NTFS de una forma poco común, con una lógica extraña en comparación a la eliminacion 'directa' de FAT32. El plugin verifica los registros FILE y en un principio los salta. Después, bajo ciertas condiciones, rescribe los sectores alternos a los registros FILE con un buffer aleatorio que probablemente corresponde al contenido de algunos archivos y continua el bucle de ejecucion. Finalmente, termina de rescribir los primeros sectores de MFT y MFT mirror.

Plugin de sustitución de comunicaciones grc, plus.google.com

Namegrc.dll
MD5ee735c244a22b4308ea5d36afee026ab
TypeWin32 DLL
Size15,873 bytes
CompiledOn2013.09.25 07:19:31

Este plugin crea un canal de comunicaciones de respaldo con otro servicio legítimo. Muy probablemente, este canal de respaldo se utiliza para ocultar comunicaciones salientes en las redes monitoreadas. Hemos visto APTs que usaban todo, desde Twitter hasta Google Docs, para ocultar las comunicaciones a plena vista; esta vez, el servicio abusado es Google Plus.

Este plugin implementa los servicios HTTP estándar de Windows para interactuar con Google Plus sobre HTTPS, en busca de un archivo png.

El plugin está provisto con una identidad específica de Google Plus, con la cual se conecta, y usa el API de Windows de almacenamiento estructurado de flujo OLE junto a las funciones GDI+ bitmap para manejar y analizar este archivo png. El contenido del archivo png es en realidad un conjunto de datos cifrados que contienen el nuevo archivo de configuración de BE tal como se lo obtuvo mediante la comunicación 'normal' con el C&C.  El contenido está cifrado con RC4, tal como los controladores dstr embebidos. Pero, a diferencia del esquema ‘típico’ de BE de descifrado RC4 que utiliza RC4 una sola vez, aquí utiliza RC4 tres veces: una vez con una llave de codificación estática localizada en el binario grc, la segunda usando la llave extraída del resultado previamente descifrado, y la tercera usando el identificador ‘id’ del equipo que normalmente sirve como la llave de cifrado durante la comunicación con el C&C.

Plugin de recopilación de datos USB

Nameusb.dll
MD50d4de21a2140f0ca3670e406c4a3b6a9
TypeWin32 DLL
Size34,816 bytes
CompiledOn2014.03.21 07:02:48

El plugin USB recopila toda la información disponible sobre dispositivos USB conectados, y escribe todos estos datos en un archivo de texto, lo empaca, y se lo provee el código principal BlackEnergy que se comunica con un servidor C&C.

Utiliza llamadas múltiples API para recopilar información sobre múltiples tipos de dispositivos USB conectados. Enumera todos los dispositivos USB conectados al sistema y recupera datos de todos ellos, incluyendo los dispositivos SCSI de almacenamiento masivo. Y, lo que es más interesante, puede ser la primera implementación de técnicas relacionadas con BadUSB en malware COTS (common off-the-shelf) rediseñado para APT que hemos visto circulando en Internet.

El código busca dispositivos SCSI directamente y les envía dos tipos de comandos SCSI. El primer comando con el código de operación 0x1A que corresponde a MODE SENSE puede que solo ocasione el registro de la llamada fallida (mensaje 'SendSCSICommand return false').

El segundo tipo de comando SCSI sigue siendo un misterio. Usa un código operativo 0xf0 indefinido y no hay evidencia directa de su propósito, ya que se supone que es específico al fabricante. Este misterioso código operativo se menciona en el mismo periodo de desarrollo del plugin en la investigación ofensiva de BadUSB http://algorithmics.bu.edu/twiki/bin/view/EC521/SectionA1/Group5FinalReport. Aquí, se nota en el tráfico USB generado por una herramienta controladora SMI. Para ser más específicos, hay dos llamadas con el código operativo 0xf0 en el código, cada una con sus propios parámetros. Uno de los parámetros, 0x2A, se menciona en el documento para regresar los caracteres que contienen la versión del firmware, el ID del flash NAND, y el número de parte del controlador. Pero esta información recibida no se registra en ninguna parte.

Asimismo, el código hace bucles para recuperar datos físicos detallados sobre cada dispositivo de almacenamiento conectado:

  • número de cilindros
  • tipo de dispositivo (floppy, disco duro fijo, dispositivos portátiles, etc.)
  • número de pistas por cilindro
  • sectores por pista
  • número de bytes por sector
  • tamaño del disco físico en bytes
  • ID de instancia de dispositivo

Plugin BIOS de recopilación de datos de la tarjeta madre y el firmware

Namebs.dll
MD54747376b00a5dd2a787ba4e926f901f4
TypeWin32 DLL
Size210,432 bytes
CompiledOn2014.07.29 00:40:53

El plugin BIOS recopila información de bajo nivel del sistema infectado:

  • BIOS
  • tarjeta madre
  • procesador
  • sistema operativo

Utiliza varias técnicas para recopilar esta información:

  • WMI
  • CPUID
  • win32 api

Como una aplicación cliente de Windows Management Instrumentation (WMI), inicializa COM y se conecta con el namespace \\root\cimv2 para usar el puntero IWbemServices y hacer peticiones WMI. El código ejecuta peticiones wql ("wql" es "sql para wmi", un subconjunto de sql) para recopilar información del sistema de la víctima, como la petición “SELECT Description, Manufacturer, Name, ProcessorId FROM Win32_Processor”. A continuación, varias peticiones del código del BlackEnergy2 plugin:

  • SELECT Description, Manufacturer, Name, ProcessorId FROM Win32_Processor
  • SELECT Product, Manufacturer, Version FROM Win32_BaseBoard
  • SELECT Name, OSArchitecture, Version, BuildNumber FROM Win32_OperatingSystem
  • SELECT SerialNumber, Description, Manufacturer, SMBIOSBIOSVersion FROM Win32_BIOS

Estas llamadas wql le proporcionan al atacante datos como los que aparecen a continuación:

Descripción=Intel64 Family 6 Model 60 Stepping 3
Fabricante=GenuineIntel
Nombre=Intel(R) Core(TM) i7-4710MQ CPU @ 2.50GHz
ProcessorId=1FEAFBCF000116A9

Producto=7MPXM1
Fabricante=AsusTek
Versión=??

Nombre=Microsoft Windows 8.1 Pro
Arquitectura del sistema operativo=64-bit
Versión=6.3.9600
Número de compilación=9600

Número de serie=7DTLG45
Descripción=A12
Fabricante=AsusTek
SMBIOSBIOSVersion=A12

Esta selectividad es bastante inusual. Y el plugin no modifica su propio comportamiento basado en los valores recopilados. ¿Qué podemos inferir de la selección de sólo estos valores, que sólo están siendo recopilados y enviados a los atacantes? Estas son algunas posibilidades:

  • Los atacantes pretenden evadir las cajas de ejecución (sandbox), honeypots, y ambientes falsos, y usan los datos recopilados para identificar el sistema infectado.
  • Los atacantes tienen conocimiento previo del ambiente que pretenden penetrar, incluyendo las marcas de los equipos. O tienen una idea del tipo de hardware que esperan o desean ver. En los ambientes ICS y SCADA, estos detalles podrían ser muy valiosos para un atacante en estado de preparacion. Estos datos podrían ayudar a establecer la persistencia, evaluar la verdadera capacidad y recursos, ayudar a rastrear la fuente de los equipos, o ayudar siguientes movimientos laterales.
  • Los atacantes no saben nada de la red que están penetrando. Están recopilando esta información para comprender dónde se ejecuta este plugin en el ambiente atacado y planificando sus próximos movimientos.

Al usar win32 API estándar, la aplicación implementa llamadas para recuperar información sobre la localidad del sistema. Curiosamente, hay un handle especial para una región nórdica en este particular plugin: "Norwegian-Nynorsk".

La función de recopilación de datos del CPU, primero llama directamente a la instrucción cpuid de Intel. También maneja directamente sistemas multi-CPU y cada uno de sus conjuntos de funciones. Este soporte SMP está codificado de forma estática directamente en el plugin.

Detalles adicionales del ataque contra Siemens

Los detalles de los blancos de BE2 son interesantes. Cuando se enfocó en centros de investigación e instalaciones energéticas, el grupo vulneró a distancia los sistemas Simatic WinCC de Siemens. En estos casos, los atacantes intentaron forzar al proceso ccprojectmgr.exe a descargar y ejecutar una carga útil específica de BlackEnergy2. Analicemos un par de ejemplos de blancos. Dados los diferentes retrasos para el retorno, es posible que los ataques no eran automatizados.

Blanco A:

El primer intento de explotación de KSN se registró en marzo de 2014. Los atacantes volvieron a intentarlo en abril de 2014, aproximadamente 30 días y 2 horas después.

Blanco B:

El actor BE2 atacó entonces otro sistema en mayo de 2014 y fracasó; volvió a intentarlo en julio de 2014.

Entonces, parece que sus visitas son cíclicas, pero los volúmenes aquí son muy bajos para ser significativos.

En estos cuatro intentos contra dos blancos diferentes, los atacantes trataron de descargar su carga desde hxxp://94.185.85(dot)122/favicon.ico. La carga útil cambió de forma mínima desde marzo de 2014 hasta el fin de julio de 2014, presentando los siguientes md5(s). Todos estos descargadores son malware de BE2 que modifica un servicio de controlador de núcleo existente, como “ACPIEC”, y comienza a cargar el módulo núcleo de BE2. Vale la pena recalcar que los atacantes planeaban volver a utilizar el mismo C&C para el primer blanco, pero cambiaron el C&C de retrollamada para el segundo blanco. Ninguno de estos componentes está firmado:

fda6f18cf72e479570e8205b0103a0d3 → descarga df84ff928709401c8ad44f322ec91392, controlador, hilo depurador:"xxxxxxxx.pdb". C2: 144.76.119.48 (DE, Hetzner Online AG, AS24940)
fe6295c647e40f8481a16a14c1dfb222 → descarga 39835e790f8d9421d0a6279398bb76dc, controlador, hilo depurador: "xxxxxxxx.pdb". C2: 144.76.119.48 (DE, Hetzner Online AG, AS24940)
ac1a265be63be7122b94c63aabcc9a66 → descarga b973daa1510b6d8e4adea3fb7af05870, controlador. C2: 95.143.193.131 (SE, Internetport Sweden AB, AS49770)
8e42fd3f9d5aac43d69ca740feb38f97 → descarga f4b9eb3ddcab6fd5d88d188bc682d21d, controlador. C2: 46.165.222.6 (DE, Leaseweb Germany GmbH, AS16265)

Grupo Equation: de Houston con amor


  Global Research & Analysis Team (GReAT), Kaspersky Lab       25 febrero 2015 | 12:01  MSK

Comentar  

En 2009, se llevó a cabo una conferencia científica internacional en Houston, EE.UU. Participaron los principales científicos de varios países. Como suele suceder al terminar estos eventos, los organizadores les envían a los participantes un CDROM con las presentaciones y fotografías de la conferencia. Ni remotamente se imaginaban los destinatarios del CDROM que mientras disfrutaban de las imágenes y recuerdos de su participación, un troyano con respaldo gubernamental se estaba activando en secreto en sus equipos.

Presentación de diapositivas del CD

Curiosamente, al parecer la mayoría de los asistentes llevaron lapicero y papel en lugar de laptops.

Autorun que auto-levanta

El disco contiene dos ficheros en la carpeta raíz; autorun.inf y autorun.exe. Esto es común en muchos CDROMs. El fichero autorun.inf sólo ejecuta el principal EXE desde la carpeta raíz. Y luce así:

[AutoRun]
open=Autorun.exe
icon=Presentation\Show.exe,0

Más interesante es el binario autorun.exe, que posee los siguientes atributos:

Fecha de compilación2009.12.23 13:37:33 (GMT)
Tamaño62464 bytes
MD56fe6c03b938580ebf9b82f3b9cd4c4aa

Al iniciarse, el programa verifica los privilegios actuales del usuario. Si el usuario actual no tiene permisos administrativos, intentará elevar los privilegios mediante tres diferentes exploits que abusan de vulnerabilidades en el núcleo de Windows. Estas vulnerabilidades se repararon con los siguientes parches de Microsoft:

  • MS09-025
  • MS12-034
  • MS13-081

Considerando la fecha en que se envió el CDROM, significa que dos de los exploits eran día-cero. Es notable que el código intente diferentes variantes de exploits del núcleo (o kernel exploits), y en un bucle, una por una, hasta que una de ellas tenga éxito. El conjunto de exploits de la muestra en el CDROM incluye sólo tres exploits, pero este paquete de explotación soporta la ejecución de hasta 10 exploits distintos, uno tras otro. No queda claro si esto significa que también existe un programa malicioso que contenga 10 exploits para escalar privilegios (EoP), o si sólo se trata de una limitación lógica.

El código posee cargas separadas para Windows NT 4.0, 2000, XP, Vista y Windows 2008, incluyendo variantes para ciertas versiones del paquete de servicio. En realidad, se ejecuta dos veces: primero, para escalar privilegios temporalmente, y después para agregar al usuario actual al grupo de administradores locales del equipo, para la persistencia de los privilegios elevados.

Si estas acciones eran exitosas, el módulo iniciaba otro ejecutable del disco, mostrando la presentación de diapositivas con imágenes de la conferencia de Houston.

Al final, justo antes de finalizar la ejecución, el código corre un procedimiento adicional que realiza algunas comprobaciones especiales. Si la fecha de ejecución cae antes del 1ś de julio del 2010 y no se detecta la presencia de Bitdefender Total Security 2009/2010 o de algún producto de Comodo, procede a cargar un archivo DLL adicional, llamado “show.dll” desde el disco, espera siete segundos, desmonta el DLL y sale.

Si la fecha cae después del 1ś de julio de 2010, o si cualquiera de los productos mencionados está instalado, suspende inmediatamente la ejecución.

El “Show” comienza: DoubleFantasy entra en escena

El cargador principal y la herramienta de elevación de privilegios, “autorun.exe” activa un descargador especial, que en realidad es un instalador de implantes DoubleFantasy del grupo Equation. Este instalador se guarda como “show.dll” en la carpeta “Presentación” del CDROM.

El fichero DLL posee los siguientes atributos:

Fecha de compilación2009.03.20 17:42:21 (GMT)
Tamaño151'552 bytes
MD5ef40fcf419954226d8c029aac8540d5a
Nombre de ficheroshow.dll
Breve descripciónInstalador de DoubleFantasy

Primero encuentra los datos en la sección de recursos, descomprime (UCL) y descifra con XOR los datos de configuración de uno de los recursos.

Después crea las siguientes llaves de registro:

  • HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{6AF33D21-9BC5-4f65-8654-B8059B822D91}
  • HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{6AF33D21-9BC5-4f65-8654-B8059B822D91}\Version

De ahí define el valor (Default) para la sub-llave “Version” como “008.002.000.003”, identificando la versión del implante.

También intenta auto-eliminarse en el próximo reinicio, lo cual falla si se inicia desde el CD.

Al ser ejecutado por el paquete de explotación "Autorun.exe", el programa ya posee privilegios de administrador gracias a uno de los tres exploits. Sin embargo, el código vuelve a verificar si se está siendo ejecutado con privilegios de administrador, e intenta elevarlos mediante dos vulnerabilidades del núcleo:

  • MS09-025
  • MS12-034

Esto indica que el instalador DoubleFantasy está diseñado para ejecutarse independientemente del disco de Houston con su “Autorun.exe”.  En realidad, también hemos observado el uso independiente del instalador DoubleFantasy en otros casos.

El instalador verifica la presencia de soluciones de seguridad mediante una lista de llaves y valores de registro guardados en la sección de recursos. Revisa las llaves de una forma delicada y "sin llamar la atención" enumerándolas en lugar de acceder directamente a ellas. Esta es la lista de las llaves de nivel superior revisadas:

  • HKLM\Software\KasperskyLab\protected\AVP7\profiles\Behavior_Blocking\profiles\pdm\settings
  • HKLM\Software\KasperskyLab\AVP6\profiles\Behavior_Blocking\profiles\pdm\settings
  • HKLM\Software\Agnitum\Outpost Firewall
  • HKLM\Software\PWI, Inc.
  • HKLM\Software\Network Ice\BlackIce
  • HKLM\Software\S.N.Safe&Software
  • HKLM\Software\PCTools\ThreatFire
  • HKLM\Software\ProSecurity
  • HKLM\Software\Diamond Computer Systems
  • HKLM\Software\GentleSecurity\GeSWall

Si cualquiera de ellas está presente, el instalador marcará el sistema al definir una llave de registro especial: 

HKEY_LOCAL_MACHINE\Software\Classes\CLSID\ {6AF33D21-9BC5-4f65-8654-B8059B822D91}\MiscStatus

Esta señal tendrá el formato {CE0F7387-0BB5-E60B-xxxx-xxxxxxxxxxxx} como el valor (Default) de los datos y la ejecución concluirá.

Si no ha detectado ninguna solución de seguridad, procederá a descomprimir (UCL) y descifrar con XOR la carga útil, que se extrae en %system%\ee.dll.

Curiosamente, el DLL se carga utilizando su propio cargador personalizado en lugar de utilizar la llamada API estándar del sistema, LoadLibrary.

El módulo parece estar compilado con un conjunto de componentes o bibliotecas que realizan lo siguiente:

  • Elevación de privilegios (parece ser una versión temprana de la misma librería utilizada en autorun.exe).
  • Detección de soluciones de seguridad.
  • Análisis y descompresión de recursos.
  • Carga de archivos PE.

Este librería de código soporta Win9x y la familia Windows NT desde NT4.0 a NT6.x. Es importante notar que estas librerías no están muy bien fusionadas. Por ejemplo, no se utilizan ciertas partes del código.

Así se ve el bloque de configuración decodificado de DoubleFantasy:

Bloque de configuración decodificado de DoubleFantasy

Algunos de los servidores C&C de la configuración de DoubleFantasy:

  • 81.31.34.175 (República Checa)
  • 195.128.235.231 (Italia)

El malware DoubleFantasy copiado en el equipo de su víctima tiene las siguientes propiedades:

Fecha de compilación2009.03.31 15:32:42 (GMT)
Tamaño69632 bytes
MD5b8c0eb946de83fe8440fefbacf7de4a2
Nombre de ficheroee.dll
Breve descripciónImplante DoubleFantasy

Vale la pena remarcar que tanto el instalador como el malware parecen haberse compilado varios meses antes que el “autorun.exe” incluido en el CDROM, lo que sugiere que los implantes más o menos genéricos. También deja entrever que el “autorun.exe” probablemente se compiló especialmente para el ataque a través del CDROM.

El implante DoubleFantasy del grupo Equation es un troyano validador que envía a los atacantes información básica sobre el sistema. También les permite cargar una plataforma troyana más sofisticada, como EquationDrug o GrayFish. En general, una vez que se instala una de estas plataformas sofisticadas, los atacantes eliminan el implante DoubleFantasy. En caso de que la víctima no sea la adecuada, por ejemplo, si se trata de un investigador de malware, los atacantes sencillamente eligen desinstalar el implante DoubleFantasy y limpiar el equipo de la víctima.

En realidad, hay varias versiones conocidas de la carga útil de DoubleFantasy. El disco de Houston usó la versión 8.2.0.3, mientras que otras versiones se propagaban principalmente a través de exploits-de-web.

Al descifrar los bloques de configuración de todas las muestras conocidas de DoubleFantasy, obtuvimos los siguientes números internos de las versiones:

  • 8.1.0.4 (MSREGSTR.EXE)
  • 008.002.000.006
  • 008.002.001.001
  • 008.002.001.004
  • 008.002.001.04A (subversión "IMIL3.4.0-IMB1.8.0")
  • 008.002.002.000
  • 008.002.003.000
  • 008.002.005.000
  • 008.002.006.000
  • 011.000.001.001
  • 012.001.000.000
  • 012.001.001.000
  • 012.002.000.001
  • 012.003.001.000
  • 012.003.004.000
  • 012.003.004.001
  • 013.000.000.000

Curiosamente, las versiones más populares son la 8 y la 12:

Describiremos algunas de las versiones que logramos descubrir, incluyendo 8.2.0.3, 8.1.0.4 y 12.2.0.1.

Carga útil de DoubleFantasy v.8.2.0.3

Md5b8c0eb946de83fe8440fefbacf7de4a2
Tamaño69'632 bytes
TipoWin32 GUI DLL
Marca de tiempoMar 31.03.2009 14:32:42 (GMT)
Nombres de ficheroee.dll, actxprxy32.dll

Este módulo utiliza una técnica conocida como secuestro DLL COM que permite cargar el código en diferentes procesos.

Inicialización

En primer lugar, verifica si el módulo en ejecución se llama “ee.dll”; de ser así, procede con los pasos finales de la instalación:

  • Intenta encontrar los ajustes de configuración en la llave de registro  HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{6AF33D21-9BC5-4f65-8654-B8059B822D91}\TypeLib, en valor "DigitalProductId". Si este valor existe, lo decodifica con base64 y lo descifra con RC6 (con una llave hexadecimal de 16 bytes: 66 39 71 3C 0F 85 99 81 20 19 35 43 FE 9A 84 11).
  • Si la llave no se encuentra en el registro, carga la configuración desde un recurso.
  • Se auto-copia en una de las dos variantes de los nombres de archivo. Después sustituye uno de los componentes del sistema al renombrar y remplazar el original.
Fichero originalLlave de registroValor de registroNuevo valor (Variante 1)Nuevo valor (Variante 2)
linkinfo.dllHKLM\System\CurrentControlSet\ Control\SessionManager\KnownDLLsLINKINFOLI.DLLLINK32.DLL
hgfs1.dllHKLM\SYSTEM\CurrentControlSet\ Services\hgfs\networkproviderProviderPathhgfs32.dllhgfspath.dll
midimap.dllHKLM\SOFTWARE\Microsoft\ Windows NT\CurrentVersion\Drivers32midimappermidimapper.dllmidimap32.dll
actxprxy.dllHKCR\CLSID\ {C90250F3-4D7D-4991-9B69-A5C5BC1C2AE6}\ InProcServer32(Default)actxprxy32.dllactxprxyserv.dll
  • Fija el valor 64-bit de config al valor (Default) de la llave HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{6AF33D21-9BC5-4f65-8654-B8059B822D91}\TypeLib en el formato {8C936AF9-243D-11D0-xxxx-xxxxxxxxxxxx}, parece que después se usa como un identificador de la víctima cuando esta se conecta al servidor C&C.
  • Define el valor (Default) de la llave HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{6AF33D21-9BC5-4f65-8654-B8059B822D91}\Version al string "008.002.000.003" .
  • Tras la creación de una llave, procede con pasos adicionales para establecer derechos de KEY_ALL_ACCESS al grupo ‘Todos’.
  • Actualiza la hora de inicio, codifica y vuelve a escribir config en el valor de registro HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{6AF33D21-9BC5-4f65-8654-B8059B822D91}\DigitalProductId.

Si ocurre un error, fija el valor “0” a la llave HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{6AF33D21-9BC5-4f65-8654-B8059B822D91}\MiscStatus\(Default). El valor de registro {CE0F7387-0BB5-E60B-8B4E-xxxxxxxxxxxx} entonces contiene un código de error cifrado con xor.

Si ocurre un error de inicialización, si el proceso de hosting es “explorer.exe” o “avp.exe”, suprime todas las excepciones y continúa con la ejecución. Esto podría significar que si hubiera errores en estos procesos, no hay que suspenderlos por ellos.

Para secuestrar correctamente los objetos COM remplazados, el código exporta un conjunto de funciones vinculadas a los ficheros DLL originales.

CompareLinkInfoReferents = linkinfo.CompareLinkInfoReferents
CompareLinkInfoVolumes = linkinfo.CompareLinkInfoVolumes
CreateLinkInfo = linkinfo.CreateLinkInfo
DestroyLinkInfo = linkinfo.DestroyLinkInfo
DisconnectLinkInfo = linkinfo.DisconnectLinkInfo
DllCanUnloadNow = actxprxy.DllCanUnloadNow
DllGetClassObject = actxprxy.DllGetClassObject
DllRegisterServer = actxprxy.DllRegisterServer
DllUnregisterServer = actxprxy.DllUnregisterServer
DriverProc = midimap.DriverProc
GetCanonicalPathInfo = linkinfo.GetCanonicalPathInfo
GetLinkInfoData = linkinfo.GetLinkInfoData
GetProxyDllInfo = actxprxy.GetProxyDllInfo
IsValidLinkInfo = linkinfo.IsValidLinkInfo
NPAddConncection = hgfs1.NPAddConncection
NPAddConncection3 = hgfs1.NPAddConncection3
NPCancelConncection = hgfs1.NPCancelConncection
NPCloseEnum = hgfs1.NPCloseEnum
NPEnumResource = hgfs1.NPEnumResource
NPFormatNetworkName = hgfs1.NPFormatNetworkName
NPGetCaps = hgfs1.NPGetCaps
NPGetConnection = hgfs1.NPGetConnection
NPGetResourceInformation = hgfs1.NPGetResourceInformation
NPGetResourceParent = hgfs1.NPGetResourceParent
NPOpenEnum = hgfs1.NPOpenEnum
ResolveLinkInfo = linkinfo.ResolveLinkInfo
modMessage = midimap.modMessage
modmCallback = midimap.modmCallback

Los implantes ejecutan periódicamente verificaciones comparando con un archivo especial definido en config. Si ese archivo ha cambiado desde la última verificación, o ha transcurrido al menos una semana desde la última verificación, hace lo siguiente:

  • Comprueba la conectividad mediante dominios públicos (especificados en config, como "www.microsoft.com" y "www.yahoo.com") usando peticiones HTTP POST.
  • Si dispone de acceso a Internet, se conecta a una o dos IPs o hostnames de C&Cs (especificados en config: i.e. 81.31.34.175 y 195.128.235.23). Prueba los puertos estándar HTTP/HTTPS, 80 y 443 respectivamente.
  • Envía una petición POST al C&C con encabezados adicionales “EIag: 0d1975bfXXXXXXXX9c:eac',0Dh,0Ah", donde XXXX XXXX – es parte del identificador de la víctima.
  • Solicita datos adicionales: identificador de la víctima, versión, y direccion MAC. Los datos se cifran con RC6 y se codifican con Base64 (Llave RC6: 8B 4C 25 04 56 85 C9 75 06 33 C0 5E C2 08 31 F6).

El código de comunicación con el C&C realiza lo siguiente:

  • Se decodifican los datos recibidos con Base64 y se descifran con RC6. El resultado se interpreta como un comando de puerta trasera.
  • Los resultados de la ejecución del comando se envían al C&C. De ahí intenta traer el siguiente comando desde el servidor.
  • Se auto-desinstala si no puede conectarse al servidor C&C dentro de 180 días (configurable).

La puerta trasera soporta los siguientes comandos:

Código CmdNombre del comandoDescripción
Download&Run Group
J (0x4a)Create FileCrea un archivo vacío; si el archivo ya existe obtiene su tamaño.
D (0x44)Append FileAgrega un trozo de datos a un fichero (creado por “J” cmd).
V (0x56)Run or Copy

Verifica el CRC16 del fichero recibido por el comando D; lo elimina si la verificación falla.
Dependiendo del indicador de los comandos:

  • Copia el archivo a un nuevo lugar.
  • Carga el archivo como un DLL.
  • Inicia el archivo como un nuevo proceso.
Carga DLL usando un cargador personalizado y llama a la exportación “dll_u”.
Upload Group
K (0x4b)Get File SizeObtiene el tamaño del archivo.
S (0x53)Read FileLee el archivo especificado por el comando ‘K’ y lo envía al C&C. Puede eliminar el archivo después de la transferencia (bajo cierta condición).
Service Group
` (0x60)Get InfoRecopila informacion (direcciones IP y MAC, versión del implante, servidor proxy del sistema, propietario y organización de la registración de Windows, versión de Windows e ID del producto, idioma local y país, ruta del directorio de Windows, tipo de conexión, lista de todas las sub-llaves de HKLM\Software).
p (0x70)Set Victim IDSe prepara para cambiar el identificador de la víctima.
u (0x75)Set IntervalCambia el intervalo de conexión con el C&C (siete días por defecto).
v (0x76)Set C&C IPCambia la dirección IP primaria del C&C.
x (0x78)Set File PathCambia la ruta y nombre del archivo-bajo-inspección.
(0x80)Read FileElimina el archivo especificado en el comando.
B (0x42)Reset Victim IDCambia la identification de la víctima a la definida por el comando Set Victim ID
Subcmd 0 – volver a conectarse con el C&C
Subcmd 1 – restaurar el contexto RC6
Subcmd 2 – desinstalar

Carga útil de DoubleFantasy v.8.1.0.4

Localización%System%\MSREGSTR.EXE
MD59245184228af33d3d97863daecc8597e
Tamaño31'089
TipoWin32 GUI EXE
Marca de tiempoMie 22.03.2006 18:25:55 (GMT)
Info de versiónDescripción del archivo  Registro del software
Derechos de autor  Copyright © Microsoft Corp. 1993-1995
Nombre de la compañía Microsoft Corporation
Versión del fichero        4.00.950
Nombre interno    MSREGSTR
Nombre original del fichero  MSREGSTR.EXE

En comparación con la versión 8.2, la versión 8.1 implementa las mismas tareas de forma un poco diferente.

Diferencias:

  • Este es un archivo EXE que se ejecuta como un proceso de servicio.
  • Los datos de configuración guardados en lo sobrescrito (overlay) del archivo, en lugar de en recursos.
  • Se usan otras llaves de registro como almacenamiento de config – conjunto de sub-llaves bajoš HKLM\Software\Microsoft\Windows\ CurrentVersion\Setup\Common
  • No se usa el cifrado RC6 ni la codificación Base64. Los datos del tráfico de red se envían en texto plano o se cifran con XOR.
  • La cantidad de comandos a distancia soportados consiste de tan sólo cuatro.
  • El tipo de codificación del comando es diferente.
  • Soporta la familia Windows 9x.

Carga útil de DoubleFantasy v.12.2.0.1

Localización%System%\actxprxy32.dll
MD5562be0b1930fe5de684c2c530619d659769d099781220004540a8f6697a9cef1
Tamaño151552
TipoWin32 GUI DLL
Marca de tiempoMie 04.08.2004 07:55:07 (GMT), probablemente falsa

La implementación de la versión 12.2 es similar a la de la versión 8.2, aunque tiene el doble de tamaño debido a la adición de una librería grande nueva.

El propósito principal de esta nueva librería es robar los nombres de usuario y contraseñas de:

  • Internet Explorer en ejecución o la memoria del navegador Firefox;
  • la configuración proxy de Internet Explorer, guardada en el registro de Windows;
  • el almacenamiento protegido de Windows (hasta Windows XP);
  • el subsistema de autenticación de Windows (Vista+).

Además de los navegadores, la librería también puede inyectar código malicioso y leer la memoria de otros procesos para obtener y descifrar las contraseñas de los usuarios. La misma librería también se usa dentro del orquestador principal EQUATIONDRUG y los módulos TRIPLEFANTASY.

La librería recopila las credenciales robadas y después las prueba cuando accede al servidor proxy mientras se conecta a Internet, y si la prueba tiene éxito, las credenciales válidas se cifran con RC6 y codifican con BASE64 para su uso posterior.

En esta versión la llave de cifrado de datos RC6 es:

66 39 71 3C 0F 85 99 81 20 19 35 43 FE 9A 84 11
La llave de cifrado de tráfico RC6 es:
32 EC 89 D8 0A 78 47 22 BD 58 2B A9 7F 12 AB 0C

Los datos robados del usuario se guardan en el registro de Windows como valor @WriteHeader, dentro de dos llaves aleatorias en el nodo HKLM\SOFTWARE\Classes\CLSID\ {77032DAA-B7F2-101B-A1F0-01C29183BCA1}\Containers.

Resumen

El disco CDROM utilizado en el ataque de Houston representa una operación rara e inusual para el grupo Equation. Suponemos que estos ataques están diseñados sólo para víctimas importantes que de otra forma eran inalcanzables, por ejemplo, a través de un vector de ataque basado en el uso de Internet. Esto queda confirmado por el hecho de que la librería de explotación contenía tres exploits, dos de los cuales era día-cero en ese entonces.

El programa malicioso DoubleFantasy es el primer paso en la infección de una víctima por el grupo Equation. Una vez que la víctima ha sido confirmada mediante comunicación con la puerta trasera y la verificación de varios parámetros del sistema, se instala un sistema de programas maliciosos más sofisticados, como EquationDrug o Grayfish.

En próximas entregas continuaremos describiendo las familias de programas maliciosos más sofisticados que utiliza el grupo Equation: EquationDrug y GrayFish.

Page Top  |  Archivo >>

 

Copyright © 1996 - 2015
Kaspersky Lab
Todos los derechos reservados

Correo electrónico: webmaster@viruslist.com