Todas las amenazas

Virus

Hackers

Spam

Todo el sitio    Sólo virus
  
Enciclopedia de virus
Alertas
Análisis
Noticias
Glosario
Bitácora

 
Archivo

<< 2014  
ene feb mar
abr may jun
jul ago sep
oct nov dic
Sobre los autores de la bitácora del analista antivirus
About Diary's Authors

La bitácora del analista antivirus es un weblog mantenido por los analistas antivirus de Kaspersky Lab, encabezado por Eugene Kaspersky. Lea más sobre los autores de esta bitácora

 

  Home / Bitácora

Bitácora del analista antivirus

Sony/Destover: El historial de destrucción del misterioso actor norcoreano


  Kurt Baumgartner       15 diciembre 2014 | 13:24  MSK

Comentar  

Esta semana, por primera vez, el FBI emitió una alerta “Flash” sobre las actividades de eliminación de datos de un troyano Limpiador (Wiper) que se está usando en los ataques a Sony Pictures Entertainment. Las muestras de este programa malicioso, conocido como Destover, contenían archivos de configuración creados en sistemas que usaban paquetes de idiomas en coreano.

Desde que se descubrieron los ataques ha salido a flote nueva información sobre el programa malicioso, pero algunos detalles, como los referidos a la actividad previa de los principales sospechosos, todavía se están evaluando.

Mientras Sony Pictures realiza su costosa limpieza en silencio y se prepara para lanzar la película “Una loca entrevista”, discutamos las actividades previas del grupo sospechoso y algunas de las características del programa, que tiene notorias similitudes con otros limpiadores.

Lo primero que llama la atención es que las actividades destructivas dirigidas a las redes de grandes organizaciones son cada vez más comunes. Aquí se discuten algunos programas limpiadores anteriores. La mayoría de estos casos ocurrió en Oriente Medio y la península de Corea. También encontramos un caso llevado a cabo por la APT BE2 que afectaba a ICS, del que se habla en mayor detalle aquí. No podemos ignorar la eliminación completa de datos de Code Spaces en Gran Bretaña, llevada a cabo por un cibercriminal que secuestró la información para extorsionar a sus dueños, como se cuenta aquí.

El programa malicioso que se usó en el ataque a Sony Entertainment se llama Trojan Destover y puede eliminar los datos almacenados en unidades de discos y registros de arranque principal (MBR).

Características del limpiador Destover

Los aspectos más interesantes de las características destructivas del malware son la selección y el almacenamiento/difusión de los controladores que ahora son comunes en estos ataques de sabotaje.

El instalador de malware Destover instala y ejecuta controladores EldoS RawDisk para evadir los permisos de seguridad NTFS y así poder sobrescribir los datos en el disco y el Registro de arranque principal. Esto tiene un impacto en la recuperación de datos. En el caso del malware DarkSeoul, los datos sobrescritos pueden restaurarse con un método similar al de recuperación de los datos “destruidos” por Shamoon. Es posible que se pueda recuperar los datos de Destover de la misma manera.

La cadena de componentes intermediarios que dirigen a la carga explosiva destructiva pasa por varias etapas (que ya se han descrito en otra parte) que pueden ejecutarse en diferentes modos, tal como lo hace Shamoon:

  1. El ejemplar se ejecuta por primera vez en un sistema operativo de 32 bits.
  2. El ejemplar se ejecuta en un sistema operativo de 32 bits como un servicio autoinstalable, con una o varias rutas de código.
  3. El ejemplar se ejecuta en un sistema operativo de 64 bits como un servicio autoinstalable.

En primera instancia, crea el servicio brmgmtsvc “Gestión de Copias de seguridad y Restauración” de Windows, añade su propio ejecutable y un interruptor "-i". También descarga varias copias de sí mismo y ejecuta cada una de ellas con un interruptor diferente: -m, -d y -w.

-m (sobrescritura del MBR):
Intenta conectarse con las tres direcciones IP. La ejecución del proceso se lleva a cabo aunque no logre hacerlo.
Busca su recurso que contiene el controlador EldoS RawDisk y lo escribe en el directorio temporal como "usbdrv3.sys".
Después, instala el controlador como el servicio usbdrv3 "USB 3.0 Host Controller”.
A continuación, inicia el servicio del controlador y cierra su identificador.
Después crea un identificador de archivos para el controlador con permisos de escritura:
'\\?\ElRawDisk\??\\PhysicalDrive0#99E2428CCA4309C68AAF8C616EF3306582A64513E
55C786A864BC83DAFE0C78585B692047273B0E55275102C664C5217E76B8E67F35FCE385E43
28EE1AD139EA6AA26345C4F93000DBBC7EF1579D4F'
y escribe en el identificador con cadenas de caracteres de 64k de “0xAAAAAAAA”. ← el asunto de la gran extensión de la llave de licencia (#99E2428…) se explora en nuestra entrada del blog Shamoon el Limpiador: más detalles (Parte II).
Después crea nuevos subprocesos, cada uno de los cuales intenta conectarse a cualquier unidad conectada y sobrescribirla.

-d (sobrescritura de datos):
Intenta conectarse con las tres direcciones IP. Una vez más, se lleva a cabo una ejecución de procesos aunque no logre establecer una comunicación.
Consigue las unidades lógicas y las atraviesa recursivamente, identificando todos los archivos de datos. Si no es un proceso .exe o .dll, sobrescribe los contenidos del archivo con “0x0df0adba” en un fragmento de 20k. La sobrescritura se completa desde el modo de usuario, sin los controladores EldoS.
Después, trata de eliminar los archivos de datos usando el api win32 “DeleteFileW”. Mientras realiza su acción recursiva a través de todos los directorios del sistema, intenta eliminar los archivos .exe y .dll.

-w (servidor web):
Intenta conectarse con las tres direcciones IP. Una vez más, se lleva a cabo una ejecución de procesos aunque no logre establecer una comunicación.
Detiene Terminal Services de Windows desde la línea cmd: 'cmd.exe /c net stop termservice /y'
Después encuentra resource#85, lo descomprime y escribe sus contenidos en “c:\windows\iissvr.exe".
Ejecuta el proceso iisvr.exe y se retira.
Iisvr es lo que parece: un servidor web que tiene un archivo cifrado JPG, HTML y WAV. Espía el Puerto 80 y le entrega estos archivos. La alerta verde con todos los gráficos puede encontrarse más adelante en el artículo. Este es el jpg descifrado:

Por último, después de dos horas de sueño, el servicio original reinicia el equipo con una llamada a ExitWindowsEx(EWX_REBOOT|EWX_FORCE, 0). Esto obliga a una salida pero retrasa el apagado en sí mientras se mantenga el estado de creación de archivos de sistema.

Similitudes entre los limpiadores

Como Shamoon, los controladores del limpiador Destover son archivos de EldoS RawDisk disponibles de forma comercial.

Al igual que Shamoon, los controladores del limpiador Destover se mantienen en la sección de recursos del instalador de malware.

Shamoon y el limpiador DarkSeoul tienen en común que ambos incluyen vagos mensajes pseudo-políticos cifrados para sobrescribir los datos del disco y el Registro de Arranque Maestro (MBR).

Así como DarkSeoul, los ejecutables del limpiador Destover se compilaron en algún momento entre las 48 horas previas y el día del ataque. Es muy improbable que los atacantes hayan lanzado ataques phishing dirigidos a una cantidad grande de usuarios, y muy posible que hayan conseguido acceso completo a la red entera antes del ataque.

Los componentes de Shamoon se compilaron en un periodo de tiempo igual de limitado antes de propagarse. Las marcas de tiempo CompiledOn indican que se crearon alrededor de cinco días antes de que se detonasen sus ejecutables. Casi todos se compilaron el 10 de agosto de 2012 (entre las 00:17:23 y las 02:46:22) y debían detonarse el 15 de agosto de 2012. Es una brecha muy corta de tiempo para desplegar estos binarios, considerando las decenas de miles de equipos que se destruyeron con este ataque.

En los tres casos: Shamoon, DarkSeoul y Destover, los grupos que se hicieron cargo de la destrucción de los programas en las grandes redes no tenían una historia real ni una identidad propia. Todos hicieron un esfuerzo por desaparecer después de actuar, ninguno hizo declaraciones coherentes, sólo acusaciones extrañas y llenas de rodeos sobre conductas criminales, e instigaron sus actos destructivos justo después de un acontecimiento político que se sugirió como el eje del conflicto.

Las imágenes de los grupos “Whois” de DarkSeoul y “GOP” de Destover incluyen una declaración “Hackeado por” acompañado por una "advertencia” y amenazas sobre los datos robados. Ambos amenazaron con su retorno diciendo que éste era sólo el inicio. Parece que el mismo dibujo de un esqueleto se incluyó en ambos ataques.

Gráficos y advertencia de Whois:

Gráficos y advertencia de GOP:

Las diferencias entre los ataques de los limpiadores Destover y DarkSeoul incluyen la falta de scripts *nix para eliminar particiones en sistemas Linux.

Por supuesto, estas similitudes no prueban que el grupo responsable de los ataques de Shamoon sea el mismo que el de DarkSeoul y Destover. Pero hay que notar que los actos reaccionarios y las características de las herramientas y operaciones del grupo tienen similitudes muy marcadas. Es extraordinario que actos tan inusuales y concentrados de destrucción virtual a gran escala se estén llevando a cabo con similitudes tan fáciles de reconocer.

Actividad de redes

Los destinos señalados se publicaron como:

  • 88.53.215.64
  • 217.96.33.164
  • 203.131.222.102

Pero ejemplares con una relación directa llaman a otras direcciones IP. Los datos de la Kaspersky Security Network (KSN) indican que ninguna de estas direcciones difundía programas maliciosos en el pasado:

  • 58.185.154.99
  • 200.87.126.116
  • 208.105.226.235
  • 212.31.102.100

Las conexiones parecen arbitrarias e inconsecuentes con la ejecución del paquete malicioso. Algunas ni siquiera están activas en la actualidad. Todas estas IPs parecen seleccionadas de una forma extraña.

Se sabe que algunas de estas direcciones han realizado análisis RDP hace poco. A finales de 2012, 217.96.33.164 era conocido por hacer escaneos de RDP con fuerza bruta. El servidor está alojado en una dirección IP en Polonia desde 1996.

A principios de 2014, 88.53.215.64 estaba alojado en Italia y funcionaba como un servidor proxy “Hide My Ass” Premium y gratuito en el Puerto 443. El malware trata de conectarse al servidor en los puertos 8000 y 8080, y en la actualidad no tiene recursos disponibles.

200.87.126.116 también funcionaba como un proxy SOCKS gratuito en 2011 y 2012. Los spammers y estafadores de SEO utilizaban este tipo de recursos con frecuencia para lanzar sus ataques.

Puertas traseras anteriores

Las operaciones de DarkSeoul tienen vínculos con varias familias de troyanos y puertas traseras que se han estado usando a lo largo de muchos años. Algunos vínculos son mucho más fuertes que otros:

  • Concealment Troy
  • DarkSeoul
  • HttpDr0pper
  • HttpTroy
  • TDrop

MD5s de Destover

Troyanos:

MD5TamañoFecha de compilaciónNombre de Kaspersky
d1c27ee7ce18675974edf42d4eea25c6262 kb2014.11.22 00:06:54Trojan.Win32.Destover.a
2618dd3e5c59ca851f03df12c0cab3b8430 kb2014.11.22 00:05:02Trojan.Win32.Destover.d
760c35a80d758f032d02cf4db12d3e55244 kb2014.11.22 04:11:08Trojan.Win32.Destover.c
b80aa583591eaf758fd95ab4ea7afe39304 kb2014.11.24 04:12:55Trojan.Win32.Destover.b
e1864a55d5ccb76af4bf7a0ae16279ba112 kb2014.11.13 02:05:35Backdoor.Win32.DestoverServ.a
a3fa8c7eb4f061ab8b9f7829c6741593111 kb2014.05.03 07:10:22Trojan.Win32.Destover.f
2c545b89acdb9877da5cbb96653b149153 kb2014.07.14 13:38:18Trojan.Win32.Destover.e
e904bf93403c0fb08b9683a9e858c73e90 kb2014.07.07 08:01:09Trojan.Win32.Destover.d

Controladores Eldos:

6aeac618e29980b69721158044c2e544 (32 bits), firmado por EldoS Corporation
86e212b7ec20fc406c692400294073ff (64 bits), firmado por EldoS Corporation

Certificado (6aeac618e29980b69721158044c2e544 32-bit y
86e212b7fc20fc406c692400294073ff 64-bit):


    Data:
Version: 3 (0x2)
Serial Number:
01:00:00:00:00:01:10:0c:98:3a:31
Signature Algorithm: sha1WithRSAEncryption
Issuer: C=BE, O=GlobalSign nv-sa, OU=ObjectSign CA, CN=GlobalSign ObjectSign CA
Validity
Not Before: Jan 10 15:20:07 2007 GMT
Not After : Jan 10 15:20:07 2010 GMT
Subject: C=VG, O=EldoS Corporation, CN=EldoS Corporation/emailAddress=info@eldos.com
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (1024 bit)
Modulus:
00:d7:60:2f:bf:3c:85:1b:f3:a1:19:8c:4d:0e:49:
c5:a5:f5:16:15:b6:ea:91:e2:c2:92:7b:d6:e5:2a:
1e:68:8c:7b:28:eb:07:dc:b0:3a:dd:11:ee:84:a9:
8b:6f:04:b0:ae:c2:2d:bc:b7:56:41:61:e1:ae:01:
0d:0e:83:47:00:3a:ca:b5:12:fb:e5:b6:55:ac:e0:
94:00:5b:e0:61:70:24:ba:d9:ef:4a:e2:af:8f:21:
93:9e:8b:83:17:2a:e4:3d:74:e6:07:c8:4a:69:ed:
60:9b:89:6e:5b:85:50:49:52:f9:fa:91:63:9f:61:
a7:ea:e2:3e:d7:1b:07:22:a1
Exponent: 65537 (0x10001)
X509v3 extensions:
Netscape Cert Type:
Object Signing
X509v3 Key Usage: critical
Digital Signature, Non Repudiation, Key Encipherment, Data Encipherment
X509v3 Authority Key Identifier:
keyid:D2:5B:F3:4B:26:4B:A5:B0:E7:5D:FD:56:7F:F6:F1:2E:38:4E:53:A0
X509v3 CRL Distribution Points:
Full Name:
URI:http://crl.globalsign.net/ObjectSign.crl
Signature Algorithm: sha1WithRSAEncryption
44:0d:5b:2c:f4:c3:c0:91:c0:9f:4d:91:f0:25:5c:79:72:ff:
82:7a:a8:97:fb:08:2b:c2:eb:ae:4b:78:b6:a8:0f:5b:3a:1d:
12:c9:07:81:d0:16:e0:94:1e:69:3c:43:c1:d8:85:b1:4c:1a:
21:84:1c:c8:ed:0a:7e:e4:55:b7:f8:ae:69:a8:b0:8c:10:da:
6e:57:f4:a3:62:5b:2b:4f:06:25:a9:35:f0:63:cc:3f:e0:f6:
4c:ee:1d:d8:9f:d8:ae:d3:fe:de:3b:0b:c5:f3:19:1c:2a:37:
ad:0d:5c:87:5e:da:8f:31:02:d3:78:5d:f1:30:28:78:c3:86:
f7:b2:f6:6c:2d:d8:45:8a:8b:16:eb:bb:d0:6e:5b:98:68:8e:
9b:cc:7e:77:9d:0d:b3:5f:01:d8:57:26:6d:cf:85:2a:46:52:
0f:79:93:85:f7:19:14:01:73:d5:03:e7:96:1a:16:cd:24:0b:
67:6d:f9:72:55:b8:b9:e9:be:07:58:b3:01:bd:a1:18:57:bb:
b3:19:e5:88:0e:f5:96:fe:eb:b8:66:a6:c6:2c:62:b5:21:59:
f2:d9:4d:2b:d1:59:20:07:13:78:26:dc:d5:b3:d1:55:47:5e:
2e:cb:cb:cc:04:7c:d5:e2:9d:7c:24:b1:18:70:da:1f:54:5b:
59:88:d1:17

Data:
Version: 3 (0x2)
Serial Number:
01:e2:b4:f7:59:81:1c:64:37:9f:ca:0b:e7:6d:2d:ce
Signature Algorithm: sha1WithRSAEncryption
Issuer: C=US, O=DigiCert Inc, OU=www.digicert.com,
CN=DigiCert Assured ID Code Signing CA-1
Validity
Not Before: Sep 18 00:00:00 2012 GMT
Not After : Sep 22 12:00:00 2015 GMT
Subject: C=US, ST=California, L=CULVER CITY, O=Sony Pictures Entertainment Inc.,
CN=Sony Pictures Entertainment Inc.
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (2048 bit)
Modulus:
00:b6:08:80:f6:6d:9c:3a:f4:fb:45:bc:bd:6a:27:
e5:97:23:fa:6a:5d:39:08:97:37:53:13:70:85:1b:
0e:08:b1:b7:5f:e3:78:6e:b1:6b:26:7a:82:86:f8:
37:2d:b0:b2:65:f0:8a:56:c7:e1:1a:88:19:f9:00:
bd:c3:4b:8d:97:10:b6:9a:09:14:8d:95:0a:75:56:
cd:c5:2f:1c:ad:21:82:cb:8c:ad:8d:78:11:1e:b8:
50:94:90:96:7a:e4:69:38:9c:bd:2f:4c:8c:2b:23:
45:f1:ac:59:2f:10:12:d4:64:3a:9b:41:5d:14:2b:
56:10:eb:c6:15:ed:1d:f0:06:d3:0e:9e:96:8e:c1:
0e:cf:62:17:7c:c7:a9:d5:2a:40:99:d6:a2:68:93:
f6:02:2a:1e:95:e6:1e:a4:d6:c4:fd:61:7d:d7:15:
9a:1f:2d:ab:4e:fc:61:9f:d8:54:55:8e:79:d3:57:
8a:22:14:31:d4:a4:4e:a5:43:ec:4b:35:04:8d:f8:
10:37:10:3f:bb:2a:ae:b7:b8:a1:16:f4:f6:02:df:
97:fc:32:95:97:38:23:48:c2:96:b3:aa:9f:88:66:
26:eb:d4:70:38:2f:84:b1:e0:1e:a1:27:5f:3f:14:
b7:dd:4c:f2:c7:22:6a:1a:f8:85:1a:57:23:b3:c7:
58:1f
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Authority Key Identifier:
keyid:7B:68:CE:29:AA:C0:17:BE:49:7A:E1:E5:3F:D6:A7:F7:45:8F:35:32

X509v3 Subject Key Identifier:
51:6E:D7:E5:BB:2E:FD:39:6B:0D:37:D5:D0:70:6B:5A:8C:D6:11:F8
X509v3 Key Usage: critical
Digital Signature
X509v3 Extended Key Usage:
Code Signing
X509v3 CRL Distribution Points:

Full Name:
URI:http://crl3.digicert.com/assured-cs-2011a.crl

Full Name:
URI:http://crl4.digicert.com/assured-cs-2011a.crl

X509v3 Certificate Policies:
Policy: 2.16.840.1.114412.3.1
CPS: http://www.digicert.com/ssl-cps-repository.htm
User Notice:
Explicit Text:

Authority Information Access:
OCSP - URI:http://ocsp.digicert.com
CA Issuers -
URI:http://cacerts.digicert.com/DigiCertAssuredIDCodeSigningCA-1.crt

X509v3 Basic Constraints: critical
CA:FALSE
Signature Algorithm: sha1WithRSAEncryption
90:0f:0b:0f:93:f7:77:e7:34:dc:b4:2a:7e:bd:d1:0f:05:ac:
a5:9d:c8:1c:77:18:cd:28:90:28:e7:c6:ac:ad:f9:9e:b0:c6:
74:db:da:8c:b2:38:06:c5:a0:e4:cd:66:e4:ef:f7:21:58:1f:
9a:4f:17:3c:e1:af:c3:67:1e:37:ab:2a:2b:8f:7d:bc:9e:eb:
9b:f5:aa:c0:24:80:70:63:b0:2a:10:54:27:01:12:ec:61:12:
97:2d:98:c5:6f:e5:7e:1c:7c:17:2c:f5:ad:40:fb:b2:44:40:
fa:e1:02:45:22:7d:6f:6d:04:fc:ff:2c:d2:e5:2f:3e:49:5c:
72:4b:0c:5a:ce:6e:13:44:79:f9:b9:26:d9:2e:6f:4d:05:72:
0d:d2:e9:bc:66:88:af:63:5b:1b:44:50:a4:c7:e4:bc:73:d6:
ac:25:7c:1a:88:37:c2:71:3f:1c:32:38:32:12:55:75:db:55:
6d:d9:1e:40:a7:d3:35:f4:bf:86:a3:72:60:49:c3:a4:9a:2e:
4d:5d:0d:4d:97:2b:34:91:5c:e1:e6:a9:93:eb:d2:62:2a:ef:
a1:73:6e:a4:0b:22:d4:31:a8:d5:53:9d:26:29:e1:1c:4a:04:
c5:8a:df:15:01:42:6f:a2:b3:3b:da:2e:e5:4c:b5:53:6b:76:
86:b2:25:29


Investigaciones previas y paralelas

El arte de encontrar esqueletos de ciber-dinosaurios


  Global Research & Analysis Team (GReAT), Kaspersky Lab       12 diciembre 2014 | 19:10  MSK

Comentar  

“La investigación de APTs es como la paleontología…”

Nuestro informe sobre la operación cibernética gubernamental Regin despertó dudas sobre si las compañías antivirus retienen información – y detecciones – de forma deliberada cuando los gobiernos y sus clientes se lo piden. Bruce Schneier inició una discusión similar en 2013.

Primero aclaremos lo más importante: Ningún cliente o gobierno nos ha pedido jamás que agreguemos a nuestras listas blancas o dejemos de detectar ningún ejemplar específico de malware. Nunca lo haríamos, sin importar quién lo pida.

No va a pasar. Algunas veces, las investigaciones de ataques dirigidos avanzados incluyen acuerdos de confidencialidad con los clientes, pero esto no evita que agreguemos la detección de los programas maliciosos que descubramos para proteger toda nuestra base de datos contra las nuevas amenazas.

Entonces, ¿por qué nos tomó dos años publicar un informe sobre Regin? Si ignoramos el contexto, se puede llegar a pensar que los investigadores escondieron algo muy importante por la gran cantidad de tiempo que pasó. Sin embargo, las investigaciones de seguridad –como las de las autoridades legales– necesitan pasar por un análisis meticuloso y, en muchos casos, es importante ver cómo se desarrolla un crimen en tiempo real para construir un caso sólido.

Como nuestros recursos son limitados y estamos siguiendo varios actores de Amenazas Persistentes Avanzadas (APTs) a la vez (Careto/Mask, EpicTurla, Darkhotel, Miniduke/Cosmicduke, entre otras), el proceso de llegar a comprender una operación cibercriminal por completo puede llegar a tomar meses y hasta años.

Sean Sullivan, de F-Secure, hizo una descripción perfecta de las investigaciones de APTs, comparándolas con el trabajo de los paleontólogos para encontrar huesos de dinosaurio. Todos pueden tener un hueso, pero nadie el esqueleto completo.

En el caso de Regin, lo que descubrimos en 2012 era un hueso dañado de una parte desconocida de un monstruo que vivía en un lago misterioso de las montañas.

(cortesía de southampton.ac.uk)

Cuando una persona común encuentra un hueso lo más probable es que lo descarte y siga su viaje, pero quienes estamos en la industria del análisis de seguridad los recolectamos. Agregamos el hueso a nuestra colección en el garaje. Tenemos varios huesos fracturados que podrían ser de monstruos desconocidos o criaturas inofensivas. A veces escuchamos que otras personas descubren fragmentos de huesos y revisamos nuestra colección, pero en las primeras etapas no hay suficiente evidencia para llegar a conclusiones significativas. No vale la pena hacer públicos nuestros descubrimientos hasta que confirmemos que los monstruos son reales, grandes y peligrosos.

Seguimos desarrollando medios para recolectar diferentes artefactos que nos puedan ayudar a combinar algunas de las piezas de nuestra colección. A veces trabajamos con otros “paleontólogos” y compartimos nuestros descubrimientos. Cuando conseguimos suficientes huesos para comprobar que estamos ante la presencia de un monstruo y tenemos una idea de su tamaño, peligro y posible hábitat, pasamos a la siguiente fase: una investigación activa en el mundo real para llegar al misterioso lago de la montaña.

Un intenso proyecto de investigación de APTs consiste en varias etapas:

  1. Agregar la detección para los módulos conocidos
  2. Recolectar de ejemplares
  3. Revertir las muestras
  4. Descifrar los cifrados y compresiones complejas
  5. Comprender el movimiento lateral de la amenaza
  6. Definir las múltiples etapas de ataque en el orden correcto
  7. Mapear la infraestructura C&C
  8. Instalar drenajes (sinkholes)
  9. Analizar el tráfico recolectado y protocolos de comunicación
  10. Arrastrarse hacia otros anfitriones que comprenden el mismo protocolo
  11. Cerrar y conseguir imágenes de los servidores C&C
  12. Identificar a las víctimas, notificarles de la situación e informar a las CERTs
  13. Hacer análisis forenses y extraer registros, archivos robados y otros componentes
  14. Recolectar y analizar datos de KSN, servidores C&C, víctimas que quieran ayudarnos, drenajes, arañas web, etc.
  15. Escribir un informe completo

Si tenemos suerte y encontramos al monstruo en su hábitat, esa es la mejor fuente para hacer el estudio. En la mayoría de los casos, entre ellos Regin, observamos y aprendemos del comportamiento del monstruo vivo. Registramos cada uno de sus pasos y acciones.

También podemos atraparlo y estudiarlo en un laboratorio, como zoólogos. Pero, en muchas investigaciones, sólo conseguimos su esqueleto. Debemos unir todas las piezas y reconstruir la forma en la que se movía para develar sus hábitos, las especies que atacaba y cómo coordinaba estos ataques. En pocas palabras: se necesita tiempo y paciencia.

Además, cuando analizamos las características de una criatura, comprendemos que la evolución sigue su curso y que hay otras especies como la que estamos estudiando, vivas y felices en algún lugar aunque no podamos verlas.

Aunque detectamos algunos de los ejemplares de Regin hace tiempo y seguimos encontrando muestras y artefactos a lo largo de la investigación, estamos convencidos de que existen otros que todavía no han sido descubiertos. Se sabía poco sobre su vida y existencia en el pasado, pero sabemos que están presentes gracias a los pequeños rastros que encontramos con el tiempo. Y debemos volver a hacer el paralelismo con la paleontología, porque a gran escala sólo hemos descubierto una pequeña parte de la bestia, pero tenemos suficiente material como para publicar una alerta pública

Como pasó con Regin, a veces descubrimos que hemos estado detectando fragmentos de un programa malicioso por muchos años antes de darnos cuenta de que forman parte de una operación global de ciberespionaje. Un buen ejemplo de ello es la historia de RedOctober. Habíamos estado detectando componentes de RedOctober mucho antes de que descubriésemos que se estaba usando en ataques dirigidos contra organizaciones diplomáticas, gubernamentales y de investigación científica.

En Kaspersky Lab procesamos cientos de miles de ejemplares al día. El arte de diferenciar los más significativos y, además, los que pertenecen a una APT expandida, equivale a encontrar una aguja en un pajar y descubrir a qué costurero pertenece. A pesar de las dificultades, nos alegra encontrar cada una de las agujas, porque nos permite hacer de éste un mundo un poco más seguro.

Ataque phishing contra clientes de un banco japonés


  Tatyana Shcherbakova        2 diciembre 2014 | 14:41  MSK

Comentar  

La mayoría de los correos phishing para robar datos bancarios y de pago electrónico están redactados en inglés. Sin embargo, cada vez vemos más mensajes fraudulentos redactados en otros idiomas, lo que sugiere que la cantidad de ataques contra los usuarios de bancos en países de habla no inglesa está aumentando. Este es un ejemplo de una notificación falsa en japonés, supuestamente enviada por un importante banco en Japón.

El texto del mensaje falso advierte a los usuarios de una posible fuga de sus datos personales. También se les anuncia que el sistema de seguridad del banco ha sido actualizado para proteger sus cuentas, por lo que tienen que activar el enlace e introducir sus credenciales y contraseñas en el sitio del banco para evitar que se bloqueen sus cuentas. Los datos introducidos en el formulario fraudulento phishing se envía a los ciberdelincuentes que entonces podrán acceder a la cuenta de la víctima y controlar su dinero mediante el sistema de banca online.

El campo “De” del mensaje especifica una dirección registrada en un reconocido servicio de correo gratuito con dominio taiwanés (.tw). La dirección del sitio phishing que aparece en el cuerpo del mensaje era similar a la del sitio web oficial del banco, pero la dirección real de la página a la que se dirigía al usuario era diferente. Puesto que la página fraudulenta estaba diseñada para imitar a la página oficial del banco, los usuarios sólo podían darse cuenta del truco si prestaban mucha atención a la dirección sospechosa en el navegador.

Un mes después nuestros colegas detectaron un envío masivo de mensajes phishing similares.

La dirección del remitente parecía legítima. El texto informaba al destinatario que el banco había actualizado su sistema de seguridad y que el usuario debía activar el enlace para confirmar los credenciales de su cuenta. Ese enlace iba al mismo enlace phishing del primer ejemplo, pero esta vez la falsificación era mucho más elaborada. Sólo un usuario experto podría notar la diferencia.

Consejos para proteger tu casa


  David Jacoby        1 diciembre 2014 | 15:50  MSK

Comentar  

Las casas modernas se parecen a pequeñas oficinas. Tenemos montones de diferentes aparatos conectados a nuestra red, desde dispositivos de almacenamiento y equipos de red, hasta impresoras de red inalámbricas. Toda la industria del “entretenimiento familiar” está conectada: es muy difícil comprar una TV, un reproductor de DVD o Blu-Ray que no tenga Wi-Fi… Lo mismo pasa con la industria de los juegos: todas las consolas modernas necesitan conectarse a Internet.

Me encanta el hecho de que se apliquen nuevas tecnologías en antiguos conceptos para mejorar su funcionamiento. En mi caso, hasta mis viejos ordenadores retro están conectados a Internet, y hablo de equipos tan antiguos como Commodore 64, Amiga 500 y Atari, porque me encanta que las cosas antiguas tengan nuevas funciones.

Y, como sabemos, a mayor poder, mayor responsabilidad. Pero esto no es algo que los fabricantes de productos de consumo estén adoptando a la hora de añadir funciones adicionales a sus “viejos” productos. En una investigación que hice, analicé los dispositivos conectados a mi propia red doméstica, ¡y el resultado fue escalofriante! En pocos minutos logré comprometer algunos de mis dispositivos, convirtiéndolos en máquinas de redes zombi, burlando toda la seguridad y accediendo a archivos en dispositivos de almacenamiento sin tener autorización para hacerlo.

Muchos creen que estos ataques son difíciles y que sólo alguien dentro de la misma red puede lanzarlos (por ejemplo, en tu conexión privada de Wi-Fi), pero es una falsa idea. Existen formas muy sencillas y efectivas para comprometer tu red de dispositivos conectados desde cualquier lugar a través de Internet.

Mi colega Marta Janus también hizo una investigación muy interesante sobre la (in)seguridad de los módems y routers domésticos, y ambos llegamos a la misma conclusión. ¡Tenemos que actuar ahora! No se trata de un problema para el futuro, es un problema de ahora. Los ciberpiratas están explotando estas debilidades en este preciso instante y la industria no está haciendo lo suficiente al respecto.

No es sólo cuestión de un problema técnico que pueda resolverse con un parche. A los consumidores en general les cuesta mucho entender cómo instalar estos dispositivos conectados a la red. Cada uno de estos dispositivos tiene un uso específico y por ello requiere diferentes configuraciones de red. Solemos ser muy perezosos y no nos molestamos en seguir apropiadamente las instrucciones de instalación de estos dispositivos, y simplemente los conectamos a la red, pensando que con esto la instalación ya está hecha.

Lo que pasa es que estás compartiendo la misma configuración de red con todos los dispositivos. Esto resulta, por ejemplo, en tener tu TV, tu reproductor Blu-Ray y tus dispositivos de almacenamiento en la misma red que el ordenador que usas para tus transacciones bancarias online, para llevar tus finanzas personales, para tus compras online, y quizás hasta para tu trabajo.

Los fabricantes también tienen que ser más responsables cuando sacan sus productos al mercado. El usuario corriente no sabe que la duración del soporte para estos dispositivos es de apenas seis meses, después de los cuales no habrá más actualizaciones ni soporte de parte del fabricante, porque tienen que enfocarse en dar apoyo a la próxima generación de sus productos.

Al hablar con amigos y familiares, me quedó claro que les cuesta darse cuenta de que están frente a una amenaza. Siguen creyendo que son “otros” los que se infectan con códigos maliciosos o sufren por el robo de sus identidades o de los datos de sus tarjetas de crédito. Por favor, abramos los ojos al mundo real… Esto está pasando ¡aquí y ahora! Estos son muy buenos ejemplos de este tipo de ataques:


  • Uno de los principales proveedores de servicios de Internet en Suecia envió routers vulnerables a sus clientes, y los atacantes comprometieron estos dispositivos de forma remota, mediante una cuenta "divina" con una contraseña muy débil, y todos los dispositivos tenían la misma cuenta con la misma contraseña.

  • Ciberpiratas robaron mucho dinero a los clientes de cinco reconocidos bancos polacos tras un ataque con el que cambiaron la configuración de cientos de routers domésticos y de pequeñas oficinas vulnerables para desviar a los usuarios hacia sitios web fraudulentos que imitaban a los sitios legítimos de sus bancos.

  • El programa malicioso Psyb0t atacó las debilidades del software de routers domésticos y de pequeñas oficinas, y las también débiles contraseñas de la interfaz administrativa, capturando los dispositivos en una red zombi.

  • El programa malicioso BlackEnergy2 implementó módulos adicionales, diseñados para ejecutarse en dispositivos del Internet-de-Cosas (IoT), lanzar ataques DDoS (Denegación Distribuida de Servicio), robar contraseñas y espiar el tráfico de red.El programa malicioso Flasher remplazó el firmware en dispositivos domésticos con una imagen modificada del sistema que espía la actividad en la red de la víctima.

Para los investigadores es muy sencillo identificar las debilidades en la seguridad y reclamarles a los fabricantes al respecto, pero ya es un desafío proponer una solución efectiva. Junto a Marta compilamos una lista breve de sencillos consejos y trucos que puedes aplicar si tienes dispositivos conectados a tu red. Son sólo consejos generales porque es difícil encontrar una sola solución que funcione para múltiples dispositivos, pues todos los productos son distintos y tienen diferentes funciones.


  1. Cambia las contraseñas predeterminadas en tu dispositivo. ¡Los atacantes tratarán de explotar la contraseña original!

  2. Si es posible, intenta actualizar el firmware a su última versión.

  3. Si no utilizas la conectividad de red de tu dispositivo, ¡APÁGALA! Si la usas, o si es necesaria para el funcionamiento de tu dispositivo, asegúrate de que NO HAYA ACCESO REMOTO desde el mundo exterior para la administración de la interfaz del dispositivo.

  4. Aplica una sólida segmentación de red para tus dispositivos conectados.
    • ¿Tu dispositivo necesita conectarse a Internet?

    • Tu dispositivo, por ejemplo tu TV, ¿necesita acceder a la misma red a la que se conectan tus datos personales?


  5. Apaga las funciones innecesarias. Los modernos dispositivos IoT suelen tener una variedad de funciones, y ni sospechas que algunas de ellas existen. Es una buena práctica, después de comprar un dispositivo, averiguar sobre todas sus funciones y deshabilitar las que no necesites. Tener todas las funciones habilitadas sólo aumenta el riesgo de un potencial ataque.

  6. Lee el fascinante manual de instrucciones. Cada dispositivo viene con su manual, que explica todas sus funciones y configuraciones. Además, podrás encontrar mucha información adicional en la web. Para mantener protegida tu casa, tienes que familiarizarte con cualquier dispositivo nuevo que vayas a incorporar en tu red y seguir todas las recomendaciones para hacer que tu dispositivo sea seguro y confiable.

  7. Por favor, consulta con el equipo de soporte del fabricante si tienes dudas. Al comprar un producto de consumo, también estás pagando por el soporte. ¡Úsalo! Te ayudarán con tu dispositivo.

Estado de la situación: Los dispositivos de red están en la mira


  Marta Janus        1 diciembre 2014 | 15:30  MSK

Comentar  

Ha pasado mucho tiempo desde que publicamos nuestro análisis de las amenazas contra dispositivos de red domésticos. Desde entonces, la situación ha cambiado considerablemente… y sólo para peor. En 2011 nos preocupaba principalmente la seguridad de los routers domésticos y de pequeñas oficinas, los módems DSL y los puntos de acceso Wi-Fi. Hoy hablamos del Internet-de-cosas (IoT), que incluye a cada máquina, aparato o dispositivo capaz de comunicarse por Internet.

Recordemos las amenazas contra los dispositivos de red que nos preocupaban a fines de 2011:


  • Infecciones DNS, pharming al paso y pharming en dispositivos domésticos: explotación de vulnerabilidades en una interfaz web de un modem/router para cambiar su configuración DNS para desviar a los usuarios hacia sitios maliciosos.

  • Ataques UPnP y SNMP: explotación de vulnerabilidades y problemas de implementación en protocolos reconocidos para acceder al dispositivo.

  • Binarios maliciosos: herramientas DDoS (Denegación Distribuida de Servicio) para Linux, especialmente ajustadas para ejecutarse en routers; redes zombi de routers capaces de lanzar una amplia variedad de ataques; gusanos que infectaban routers y se propagaban por la red.

Y ahora, miremos este año 2014 y veamos cuáles de nuestras predicciones se hicieron realidad…


Más ataques pharming contra dispositivos domésticos

Realidad. Varios ataques han utilizado la configuración DNS de un router para obtener los datos bancarios de los usuarios y desviarlos hacia sitios maliciosos. Sólo para mencionar algunos de los principales incidentes:


  • Enero 2014: Una enorme campaña pharming OSHO que afecta a una amplia variedad de routers de diversas marcas en todo el mundo. Los atacantes explotan una serie de vulnerabilidades para cambiar la configuración DNS de más de 300.000 dispositivos, especialmente en Vietnam, India y Tailandia, pero también en varios países de Europa, las Américas y África. Como resultado, todo el tráfico en los routers infectados se desvió hacia servidores maliciosos, permitiéndoles a los ciberpiratas decidir si enviaban a los usuarios a la versión original del sitio que pretendían, o si los desviaban a un sitio phishing/malicioso.

  • Febrero 2014: Otra gran campaña utilizando la técnica de infección de DNS. Esta vez, el ataque estaba precisamente dirigido y los blancos de los ciberpiratas estaban estrictamente definidos: los ataques estaban diseñados para robar los datos bancarios de los usuarios de cinco reconocidos bancos polacos. En este caso, la cantidad de routers infectados fue de unos 100, la mayoría de ellos en Polonia y Rusia. Cuando los usuarios intentaron acceder al sitio web del banco, se los desviaba a un sitio modificado que les pedía que introduzcan sus datos confidenciales.

  • Septiembre 2014: un clásico ataque pharming al paso contra routers domésticos en México y Brasil. Este ataque comenzó con un mensaje de correo spam malicioso, enviado a una gran cantidad de usuarios brasileños, con la intención de inducirlos a pulsar en el enlace al sitio web malicioso. El script HTML de este sitio estaba diseñado para robar varias combinaciones de credenciales predeterminadas para acceder a la configuración del router y cambiar su configuración DNS. Si esta táctica fallaba, el script mostraba una ventana emergente pidiéndole al usuario que introduzca manualmente las credenciales del router.

Malware binario para ARM y otras plataformas

Realidad. Hemos detectado algunos programas maliciosos que afectan a routers MIPS y, más importante aún, algunos de estos programas se desarrollaron de tal forma que parecen estar diseñados para diferentes plataformas (MIPS, ARM, Intel, PPC, SuperH, etc.) y ejecutarse en diferentes tipos de dispositivos Linux. Un par de ejemplos:


  • Aidra: una herramienta DDoS de código abierto, diseñada para escanear módems/routers y crear una red zombi con los dispositivos capturados. Actualmente existen varios binarios Aidra circulando en Internet, diseñados para diferentes plataformas (MIPS, ARM, PPC, SuperH), lo que significa que este gusano es capaz de infectar dispositivos IoT.

  • Figura 1: Aidra, herramienta DDoS de código abierto.

  • Darlloz: un gusano y robot Linux diseñado para arquitecturas MIPS, ARM e Intel, que se propaga mediante una vulnerabilidad PHP-CGI para generar aleatoriamente direcciones IP; también es capaz de descargar y ejecutar otros códigos. Se comunica con su dueño abriendo una puerta trasera en el puerto TCP 58455, y espera sus comandos. Ha infectado a más de 30.000 dispositivos, especialmente en EE.UU. y China, y, como se comprobó después, se usó para instalar un software de minería de criptomonedas (cpuminer) en, por lo menos, los dispositivos Intel x86.

  • Figura 2A: El gusano Darlloz, desarrollado para la arquitectura ARM.


    Figura 2b: El gusano Darlloz, el mismo código fragmentado, diseñado para arquitecturas x86.

  • El gusano Moon: un misterioso gusano que se propaga a través de un exploit que evade la autenticación remota en la implementación del protocolo HNAP en los routers Linksys E-Series. Este programa malicioso recopila información sobre el dispositivo y se comunica con sus servidores C&C (Comando y Control) mediante citas e imágenes de la película de ciencia ficción de 2009 "The Moon”. Los rangos de IP que el gusano escanea, para explotarlos, están incrustados en el binario e incluye unas 670 redes, la mayor parte de las cuales pertenece a los DSL y módems de cable de ciertos proveedores de Internet en varios países.


  • Figura 3: El gusano Moon, con sus cadenas relacionadas con la película “The Moon”.


Modificaciones permanentes del firmware

Realidad. La historia publicada en la revista alemana c’t reveló el primer malware para routers que intentaba realizar cambios persistentes en el firmware del router. Este malware consistía en varios scripts shell de Linux que eran los responsables de descargar la versión modificada del firmware, para después rescribir la imagen original y reiniciar el router. El firmwre malicioso venía con un script init modificado que ejecutaba una herramienta espía (dsniff) en el equipo infectado, para capturar tráfico y enviar todos los datos interceptados al servidor FTP C&C. Este malware no sólo afectaba a los routers, sino también a otros dispositivos Linux incrustados, como los receptores Dreambox DVB.


Figura 4: Flasher, un script que remplaza el firmware original.



Figura 5: Flasher, el script que ejecuta el espía y envía los datos al servidor FTP.

Programas maliciosos transversales para múltiples plataformas

Realidad. Los programas maliciosos y las redes zombi, tradicionalmente asociados sólo con equipos Windows, ahora están comenzando a usar routers y otros dispositivos con conexión a Internet con diferentes propósitos maliciosos:


  • El virus Sality se incorpora en los procesos de replicación de los routers domésticos mediante el método de infección de DNS, con el fin de desviar a los usuarios hacia ficheros infectados. En este caso, el malware utilizado era uno para Windows, similar al troyano DNSChanger.

  • La red zombi Black Energy 2 también se modernizó para IoT: comenzó a usar complementos adicionales que estaban diseñados para ejecutarse en dispositivos MIPS y ARM con plataforma Linux. Estos módulos eran capaces de lanzar ataques DDoS, robar contraseñas, escanear puertos en la red y espiar el tráfico. Se comunican con servidores C&C y son capaces de ejecutar comandos shell específicos, descargar y ejecutar binarios adicionales. Hace poco publicamos un análisis detallado de Black Energy 2, que ofrece mucha información sobre este malware.

Más vulnerabilidades en firmware descubiertas y explotadas

Realidad. Este año se descubrieron varias vulnerabilidades críticas que afectaban a los dispositivos IoT y se dio parte a los vendedores. Sólo para mencionar algunas:



  • Vulnerabilidad Rom-0 en routers ZyXEL que le permite al atacante descargar el fichero de configuración del router sin ninguna autenticación.

  • Vulnerabilidad CVE-2014-2719 en los routers inalámbricos ASUS que le permite al atacante capturar las credenciales del router.

  • 15 vulnerabilidades día-cero en 10 diferentes modelos de routers domésticos reveladas en el XXII concurso SOHOplessly Broken de Defcon.

  • Nuestro colega David Jacoby encontró interesantes vulnerabilidades día-cero en los dispositivos de su propia casa.

  • También necesitamos recordar que las vulnerabilidades Heartbleed y Shellshock afectan a algunos dispositivos de red Linux y a dispositivos IoT.

Pero mucho más escalofriante que el aumento de las vulnerabilidades descubiertas es el hecho de que ciertos fabricantes parecen estar implementando puertas traseras incrustadas en el firmware de sus productos, lo que les proporciona a los ciberpiratas una sencilla forma de penetración, especialmente en dispositivos que ya no reciben actualizaciones.

Como podemos ver, la situación de la seguridad para los dispositivos de red casi no ha mejorado desde 2011. Muchas de nuestras predicciones se hicieron realidad: las amenazas siguen aumentando y los ciberpiratas están más interesados no sólo en los routers y módems domésticos, sino en todo el Internet-de-Cosas (IoT). Aunque tanto los fabricantes como los proveedores de servicios de Internet poco a poco se van dando cuenta de la amenaza y tratan de que sus dispositivos sean más seguros, todavía queda mucho por hacer. Por ejemplo, uno de los problemas más serios es que la mayoría de los dispositivos más antiguos ya no reciben actualizaciones para su firmware, de manera que si se descubre un nuevo vector de ataque, los usuarios no podrán hacer absolutamente nada para protegerse, a menos que decidan comprar una nueva versión del dispositivo (a menudo cara) que todavía tenga soporte del fabricante. Este no es un problema de fácil solución: para los fabricantes no sería rentable dar apoyo por largo tiempo a cada dispositivo que venden, y sin parches de seguridad, no queda mucho por hacer para proteger estos dispositivos por el lado del usuario. Los tiempos cambian, y necesitamos un nuevo modelo de seguridad para el Internet-de-Cosas, porque el viejo modelo ya no sirve.

Para aprender a proteger la red de tu casa, puedes consultar estos consejos de mi colega David Jacoby.

Regin: Redes GSM bajo control gubernamental


  Global Research & Analysis Team (GReAT), Kaspersky Lab       26 noviembre 2014 | 18:32  MSK

Comentar  

Lema: “Cuidado con Regin, ¡el maestro! Su corazón está emponzoñado. Él será tu perdición...”
“La historia de Sigfrido”, de James Baldwin.

Introducción, historia

Descarga este documento completo en PDF

En la primavera de 2012, después de una presentación de Kaspersky Lab sobre los hechos inusuales alrededor del programa malicioso Duqu, un investigador en seguridad nos contactó y mencionó que Duqu le recordaba a otro incidente renombrado con un programa malicioso. Aunque no podía compartir una copia, mencionó el nombre "Regin", un ataque ahora temido por muchos administradores de seguridad en agencias gubernamentales en todo el mundo.

En el último par de años, hemos estado siguiendo este elusivo programa malicioso por todo el mundo. De tanto en tanto aparecían muestras en varios servicios multiescáner, pero no tenían nada que ver una con otra, sus funciones estaban cifradas y carecían de contexto.

No se sabe exactamente cuándo se crearon las primeras muestras de Regin. Algunas tienen marcas de tiempo que datan de 2013.

Las víctimas de Regin se dividen en estas categorías:

  • Operadores de telecomunicaciones
  • Instituciones gubernamentales
  • Entidades políticas multinacionales
  • Instituciones financieras
  • Instituciones de investigación
  • Personas involucradas en la investigación avanzada de matemáticas/criptografía.

Hasta ahora, hemos observado que los atacantes tienen dos objetivos principales:

  • Recopilar inteligencia
  • Facilitar otro tipo de ataques

Mientras en la mayoría de los casos los atacantes se concentraron en la extracción de información confidencial, como mensajes de correo y documentos, hemos visto casos en los que los atacantes llegaron a comprometer a operadores de telecomunicaciones para poder lanzar otros ataques sofisticados.En la siguiente sección, Ataques GSM, tratamos esto más en detalle.

Quizás una de las víctimas públicas más reconocidas de Regin sea Jacques Quisquater, un respetado criptógrafo belga. En febrero de 2014, Quisquater anunció que fue víctima de una sofisticada ciberintrusión. Pudimos obtener muestras del caso Quisquater y confirmamos que pertenecían a la plataforma Regin.

Otra víctima llamativa de Regin es un ordenador al que llamamos “El imán de amenazas”. Este ordenador pertenece a una institución de investigación y ha sido atacado por Turla, Mask/Careto, Regin, Itaduke, Animal Farm y otras avanzadas amenazas que no tienen un nombre conocido, y todos coexisten felizmente en el mismo ordenador en algún punto.

Ataque inicial y movimiento lateral

El método exacto del ataque inicial sigue siendo un misterio, aunque existen varias teorías, como la del hombre-en-el-medio con exploits día-cero en el navegador. Para algunas de las víctimas, hemos observado herramientas y módulos diseñados para movimientos laterales. Hasta ahora, no hemos encontrado ningún exploit. Los módulos de replicación se copian a equipos remotos mediante los recursos administrativos de Windows, y después se ejecutan. Obviamente, esta técnica requiere de privilegios administrativos dentro de la red de la víctima. En varios casos, los equipos infectados también eran controladores de dominio de Windows. Los ataques contra los recursos administrativos mediante exploits desde la web son una forma sencilla de lograr inmediato acceso administrativo a la red completa.

La plataforma Regin

En resumen, Regin es una plataforma de ciberataques que los atacantes implementan en las redes de sus víctimas para controlarlas por control remoto en todos los niveles posibles.

La plataforma es de naturaleza extremadamente modular y tiene múltiples etapas.

Diagrama de la plataforma Regin

La primera etapa (“stage 1”) es generalmente el único archivo ejecutable que aparecerá en el sistema de la víctima. Las posteriores etapas se guardan directamente en el disco duro (para sistemas 64-bit), como Atributos ampliados NTFS o como entradas de registro. Hemos observado muchos módulos diferentes de etapa 1, que a veces se han fusionado con recursos públicos para alcanzar un tipo de polimorfismo, lo que complica el proceso de detección.

La segunda etapa tiene múltiples propósitos y puede eliminar la infección Regin del sistema si así se le instruye en la tercera etapa.

La segunda etapa también crea un archivo marcador que puede servir para identificar al equipo infectado. Los nombres de archivo conocidos para este marcador son:

  • %SYSTEMROOT%\system32\nsreg1.dat
  • %SYSTEMROOT%\system32\bssec3.dat
  • %SYSTEMROOT%\system32\msrdc64.dat

La tercera etapa sólo existen en los sistemas 32-bit; en los sistemas 64-bit, la segunda etapa carga directamente el despachador, prescindiendo así de la tercera etapa.

Etapa 4, el despachador, es quizás el módulo individual más complejo de toda la plataforma. El despachador es el modo usuario núcleo del marco. Se carga directamente como la tercera etapa del proceso de arranque o se extrae y carga desde el VFS como módulo 50221 como la cuarta etapa en los sistemas 32-bit.

El despachador se encarga de las tareas más complicadas de la plataforma Regin, como proporcionar un API para acceder a sistemas de archivos virtuales, comunicaciones básicas, funciones de almacenamiento, y subrutinas de transporte en la red. En esencia, el despachador es el cerebro que gestiona toda la plataforma.

Una descripción detalla de todas las etapas del malware se encuentran en nuestro documento técnico completo.

Sistemas de archivos virtuales (32/64-bit)

El código más interesante de la plataforma Regin se guarda en almacenamientos de archivos cifrados, conocidos como Sistemas de archivos virtuales (VFS).

Durante nuestro análisis pudimos obtener 24 VFS desde múltiples víctimas alrededor del mundo. Por lo general, tienen nombres aleatorios y pueden localizarse en varios lugares en el sistema infectado. Para acceder a la lista completa, incluyendo el formato de los FFS de Regin VFSes, consulte nuestro documento técnico.

Módulos y artefactos inusuales

Con grupos APT de alto nivel, como el que opera Regin, los errores son muy raros. Sin embargo, ocurren. Algunos de los VFS que analizamos contenían palabras que parecen ser los respectivos nombres de códigos de los módulos implementados en el equipo capturado:

  • legspinv2.6 y LEGSPINv2.6
  • WILLISCHECKv2.0
  • HOPSCOTCH

Otro módulo que encontramos, un complemento tipo 55001.0 se relaciona con otro nombre de código, que es U_STARBUCKS:

Ataques GSM

El aspecto más interesante que hemos encontrado hasta ahora sobre Regin está relacionado con una infección en un importante operador GSM. Una entrada VFS cifrada que descubrimos tenía una identificación interna 50049.2 y parece ser un registro de actividades en un Controlador de Estación de Base GSM.

De: https://en.wikipedia.org/wiki/Base_station_subsystem

De acuerdo con la documentación GSM (http://www.telecomabc.com/b/bsc.html): “El Controlador de Estación de Base (BSC) controla y supervisa varias Estaciones Transceptoras de Base (BTS). El BSC es responsable de la asignación de recursos de radio a las llamadas móviles y de las transferencias que se realizan entre las estaciones de base bajo su control. Otras transferencias están controladas por el MSC”.

Esta es una vista del registro descifrado de actividades GSM en Regin:

Este registro tiene un tamaño de 70KB y contiene cientos de entradas como las que se muestran arriba. También incluye marcas de tiempo que indican exactamente cuándo se ejecutó el comando.

Las entradas en el registro parecen contener comandos OSS MML de Ericsson lenguaje hombre-máquina definido por ITU-T.

Esta es una lista de algunos comandos publicada en el Controlador de Estación de Base, junto a algunas marcas de tiempo:


2008-04-25 11:12:14: rxmop:moty=rxotrx;
2008-04-25 11:58:16: rxmsp:moty=rxotrx;
2008-04-25 14:37:05: rlcrp:cell=all;
2008-04-26 04:48:54: rxble:mo=rxocf-170,subord;
2008-04-26 06:16:22: rxtcp:MOty=RXOtg,cell=kst022a;
2008-04-26 10:06:03: IOSTP;
2008-04-27 03:31:57: rlstc:cell=pty013c,state=active;
2008-04-27 06:07:43: allip:acl=a2;
2008-04-28 06:27:55: dtstp:DIP=264rbl2;
2008-05-02 01:46:02: rlstp:cell=all,state=halted;
2008-05-08 06:12:48: rlmfc:cell=NGR035W,mbcchno=83&512&93&90&514&522,listtype=active;
2008-05-08 07:33:12: rlnri:cell=NGR058y,cellr=ngr058x;
2008-05-12 17:28:29: rrtpp:trapool=all;

Descripciones de los comandos:

  • rxmop – verifica la versión del software;
  • rxmsp – lista de los ajustes actuales de transferencias de llamadas de la Estación Móvil;
  • rlcrp – lista de los ajustes de transferencias de llamadas para el Controlador de Estación de Base;
  • rxble – activa (desbloquea) la transferencia de llamadas;
  • rxtcp – muestra el Grupo Transreceptor de una determinada célula;
  • allip – muestra alarmas externas;
  • dtstp – muestra los ajustes DIgital Path (DIP) (DIP es el nombre de la función que se usa para la supervisión de las líneas PCM (Pulse Code Modulation) conectadas);
  • rlstc – activa células en la red GSM;
  • rlstp – desactiva células en la red GSM;
  • rlmfc – añade frecuencias a la lista de asignación de canales de control de transmisión activa;
  • rlnri – añade la célula neightbour;
  • rrtpp – muestra detalles del pool de transmisiones del transcodificador;

El registro parece contener no sólo los comandos ejecutados, sino también los usuarios y contraseñas de algunas cuentas de ingeniería:

sed[snip]:Alla[snip]
hed[snip]:Bag[snip]
oss:New[snip]
administrator:Adm[snip]
nss1:Eric[snip]

En total, el registro indica que los comandos se ejecutaron en 136 células distintas. Algunos nombres de células incluyen "prn021a, gzn010a, wdk004, kbl027a, etc...". El registro de comandos que obtuvimos cubre un periodo aproximado de un mes, desde el 25 de abril de 2008 al 27 de mayo de 2008. No se sabe por qué los comandos se detuvieron en mayo de 2008; quizás debido a una desinfección o los atacantes lograron su objetivo y se fueron. Otra posible explicación es que los atacantes mejoraron o cambiaron el malware para dejar de guardar registros localmente, y esa sería la razón por la que descubrimos sólo algunos registros antiguos.

Comunicación y servidor C&C

El mecanismo C&C implementado en Regin es extremadamente sofisticado y se basa en drones de comunicación desplegados por los atacantes a través de las redes de sus víctimas. La mayor parte de las víctimas se comunica con otros equipos en su propia red interna, a través de varios protocolos, como se especifica en el archivo config. Estos protocolos incluyen HTTP y tuberías de red de Windows. El propósito de esta compleja infraestructura es lograr dos metas: darles a los atacantes acceso profundo a la red, evitando potenciales vacíos de aire y restringir en lo posible el tráfico al C&C.

Esta es una vista de las configuraciones descifradas:


17.3.40.101 transport 50037 0 0 y.y.y.5:80 ; transport 50051 217.y.y.yt:443
17.3.40.93 transport 50035 217.x.x.x:443 ; transport 50035 217.x.x.x:443
50.103.14.80 transport 27 203.199.89.80 ; transport 50035 194.z.z.z:8080
51.9.1.3 transport 50035 192.168.3.3:445 ; transport 50035 192.168.3.3:9322
18.159.0.1 transport 50271 DC ; transport 50271 DC

En la tabla de arriba, vemos configuraciones extraídas de varias víctimas que conectan equipos infectados en lo que parecen ser redes virtuales: 17.3.40.x, 50.103.14.x, 51.9.1.x, 18.159.0.x. Una de estas rutas llega al servidor C&C “externo” en 203.199.89.80.

Los números inmediatamente después del “transporte” indican el complemento que controla la comunicación. En nuestro caso, son:

  • 27 - Oyente de red ICMP usando sockets básicos
  • 50035 – transporte de red con base Winsock
  • 50037 – Transporte de red por HTTP
  • 50051 – Transporte de red por HTTPS
  • 50271 – Transporte de res por SMB (tuberías nombradas)

Los equipos localizados en el borde de la red actúan como routers, conectando las víctimas desde el interior de la red con C&Cs en Internet.

Después de descifrar todas las configuraciones que recopilamos, pudimos identificar los siguientes C&Cs externos:

C&C server IP Localización Descripción
61.67.114.73 Taiwán, Provincia de China Taichung Chwbn
202.71.144.113 India, Chetput Chennai Network Operations (team-m.co)
203.199.89.80 India, Thane Proveedor de servicios de Internet
194.183.237.145 Bélgica, Bruselas Perceval S.a.

Un caso particular incluye un país en el Medio Oriente. Este caso fue asombroso, por lo que preferimos presentarlo. En este país específico, todas las víctimas que identificamos se comunican entre sí, formando una red peer-to-peer. Esta red P2P incluye la presidencia, el centro de investigación, una red de educación y un banco.

Las víctimas están diseminadas por el país y están interconectadas entre sí. Una de ellas contiene un dron de traducción que tiene la habilidad de enviar paquetes fuera del país, al C&C en India.

Esto representa un mecanismo de comando y control bastante interesante, diseñado para no levantar sospechas. Por ejemplo, si todos los comandos a la presidencia se envían por la red del banco, entonces todo el tráfico malicioso visible para los administradores de sistemas de la presidencia será sólo con el banco, en el mismo país.

Estadísticas de las víctimas

En los dos últimos años, hemos recopilado datos estadísticos sobre los ataques y las víctimas de Regin. Ayudó el hecho de que incluso después de que se desinstalara el malware, quedaron algunos artefactos que nos ayudaron a identificar un sistema infectado (pero limpio). Por ejemplo, hemos visto varios casos en los que los sistemas se limpiaban, pero el marcador de la infección “msrdc64.dat” permanecía.

Hasta ahora, las víctimas de Regin se identificaron en 14 países:

  • Argelia
  • Afganistán
  • Bélgica
  • Brasil
  • Fiyi
  • Alemania
  • Irán
  • India
  • Indonesia
  • Kiribati
  • Malasia
  • Paquistán
  • Rusia
  • Siria

En total, contamos 27 víctimas diferentes, aunque debemos mencionar que la definición de víctima que aquí empleamos se refiere a una entidad completa, incluyendo toda su red. La cantidad de PCs únicos infectados con Regin es, por supuesto, muchísimo mayor.

En el mapa de arriba, Fiyi y Kiribati son inusuales, porque casi nunca hemos visto un malware tan avanzado en países pequeños tan remotos. En particular, la víctima en Kiribati es de lo más inusual. Para ponerla en contexto, Kiribati es una pequeña isla en el océano Pacífico con una población de unos 100.000 habitantes.

Para más información sobre las víctimas de Regin consulta con Kaspersky Intelligent Services. Contacto:intelreports@kaspersky.com

Atribución

Considerando la complejidad y coste del desarrollo de Regin, es probable que esta operación tenga apoyo gubernamental. Si bien, la atribución es un problema delicado cuando se trata de atacantes profesionales, como los responsables de Regin, algunos metadatos extraídos de las muestras pueden ser relevantes.

Puesto que esta información podría ser fácilmente alterada por sus autores, depende del lector interpretar esto: como una bandera falsa intencional o como un indicador no crítico que los autores dejaron.

Para más información cobre Regin, consulta Kaspersky Intelligent Services. Contacto: intelreports@kaspersky.com

Conclusiones

Por más de una década, un grupo sofisticado conocido como Regin ha estado atacando a entidades de alto perfil en todo el mundo con una avanzada plataforma malware. Hasta donde sabemos, la operación sigue activa, aunque el malware puede haber sido actualizado a versiones más sofisticadas. La muestra más reciente que obtuvimos era de una infección en un sistema 64-bit. Esta infección todavía se encontraba activa en la primavera de 2014.

Aparentemente, el nombre Regin es la forma invertida de “In Reg”, abreviación de “In Registry”, ya que el malware puede almacenar sus módulos en el registro. Este nombre y las detecciones se detectaron por primera vez alrededor de marzo de 2011.

Desde algunos puntos de vista, la plataforma nos recuerda a otro malware de gran sofisticación: Turla. Algunas similitudes incluyen el uso de sistemas de archivos virtuales y la implementación de drones de comunicación para conectar redes. Pero por su implementación, sus métodos de cifrado, sus complementos, sus técnicas de ocultamiento y su flexibilidad, Regin supera a Turla como una de las plataformas de ataques más sofisticada que hemos analizado.

La habilidad de este grupo para penetrar y controlar redes GSM es quizás el aspecto más inusual e interesante de estas operaciones. En el mundo de hoy, hemos llegado a ser muy dependientes de las redes de telefonía móvil, que se basan en antiguos protocolos de comunicación, con poca o ninguna seguridad para el usuario final. Aunque las redes GSM tienen mecanismos incorporados que permiten a entidades como la policía rastrear a sospechosos, hay otras partes que pueden aprovecharse de esta habilidad y abusarla lanzando otros tipos de ataques contra los usuarios de telefonía móvil.

Documento completo con IOCs

Los productos de Kaspersky Lab detectan los módulos de la plataforma Regin como: Trojan.Win32.Regin.gen y Rootkit.Win32.Regin.

Si detectas una infección de Regina en tu red, escríbenos: intelservices@kaspersky.com

Pesadilla en la calle Malware


  Santiago Pontiroli       26 noviembre 2014 | 13:57  MSK

Comentar  

Últimamente se ha detectado otro ransomware circulando en Internet, conocido como ’CoinVault’. Este programa malicioso posee algunos detalles interesantes, incluyendo su peculiar característica de ofrecer la descripción gratuita de uno de los archivos rehenes, firmado como en señal de buena fe.



Técnicamente, los autores de este malware han tomado muchas medidas para dificultar el análisis de su programa. Aunque ha sido diseñado con el marco de Microsoft .NET, toma algún tiempo llegar al núcleo de su aplicación maliciosa. Al abrir la muestra original en 'IL Spy', encontramos que el programa comienza usando una llave de cadena de caracteres que se pasa a un método de descifrado, el cual finalmente obtiene el código ejecutable.



También se pasa una matriz de bytes como un parámetro al método 'EncryptOrDecrypt', que junto con la llave producen una matriz de bytes final con el tan necesitado código del malware.



Implementar estas funciones en Visual Studio es tan fácil como copiar/pegar, de manera que ejecutamos los métodos obtenidos del código fuente y fijamos un punto de corte para ver lo que hace el método de descifrado. Los números ‘77’, ‘90’, en decimales, nos dicen que estamos en la pista correcta ya que cuando los convertimos a hexadecimales obtenemos ‘4D’, ‘5A’, que es el número mágico para archivos ejecutables DOS identificados por la cadena de caracteres ‘MZ’ de ASCII. Vaciamos todos los bytes a un archivo ejecutable en el disco para analizarlos con más detalle.



Obtuvimos un archivo llamado ‘SHIELD runner’, que sirve como una aplicación asistente ‘RunPE’. Una aplicación ‘RunPE’ sirve para ejecutar archivos en tiempo real, lo que significa que se crea un flujo de memoria desde una entrada y se ejecuta directamente sin tener que primero guardar el archivo en el disco. Esto es una ventaja para los autores del malware que no quieren dejar rastros, y como pronto veremos, no es todo lo que este archivo tiene para ofrecer.



Aunque continuaremos con nuestra investigación del código del ransomware, hay una llamativa cadena de caracteres incrustada en el ejecutable ‘SHIELD runner’: ‘d:\Users\dennis…’.



De la misma manera que antes, se usa una llave de cadena de caracteres y una matriz de bytes para generar otro archivo ejecutable. Como se puede ver, los ciberdelincuentes se han esforzado para demorar el análisis y ocultar la carga maliciosa el mayor tiempo posible.



No sólo tenemos aquí las funciones normales de ‘RunPE’, sino también otros interesantes métodos adicionales que ayudan al programa malicioso a detectar herramientas de análisis y ambientes virtualizados. Buscan ‘Sandboxie’, ‘Wireshark’, ‘Winsock Packet Editor’ e incluso verifican si el nombre de la máquina es ‘MALTEST’. Afortunadamente, ninguna de estas condiciones se cumple en mi ambiente, así que podemos continuar.



Pero espera… ¡porque todavía hay más! La detección del ambiente virtualizado hace que la ejecución se detenga y que la carga maliciosa se oculte.



Usando PowerShell, vamos a verificar si el malware puede en realidad detectar nuestro ambiente. Aparentemente puede, así que tendremos que efectuar algunas modificaciones sencillas para continuar con el proceso de análisis.



Podemos fácilmente arreglar esto desde el archivo VMX de VMWare, mediante la opción ‘SMBIOS.reflectHost = TRUE’. Tras volver a realizar las verificaciones de PowerShell, obtuvimos luz verde para seguir adelante.



Repetimos el proceso de la llave de cadena de caracteres, la descripción de la matriz de bytes y el vaciado de la memoria en el momento preciso tuvo su recompensa y finalmente obtuvimos los archivos que se usan en la infección.



El ‘Locker’ de CoinVault tiene dos formas principales de Windows: la principal nos exige pagar para recuperar los archivos de la víctima y 'frmGetFreeDecrypt', que sirve para descifrar uno de los archivos de la víctima, como una prueba de que se podrá recuperar nuestra valiosa información si hacemos exactamente lo que nos exigen.



Sin embargo, antes del análisis de ‘Locker’, necesitamos desofuscarlo (al menos, en parte). Los autores del programa malicioso demuestran su sentido del humor aquí: si el analista ha logrado llegar hasta este punto, se siente bienvenido como parece sugerir la frase 'Tu peor pesadilla'. Además, han tenido la astucia de dejar un banner que señala la utilidad de ofuscación que emplearon. En este caso, nos estamos enfrentando al siempre popular ‘Confuser’ en su versión 1.9.0.0.



Ciertamente, esto resulta confuso… pero podemos mejorar. Entonces, vamos de algo que se parece a un manuscrito chino a un código fuente legible.



Ahora podemos ver, entre los muchos (muchos) métodos y delegados dentro del ensamblaje, algunos códigos relevantes sobre el cifrado de archivos. Usan el espacio de nombre System.Security.Cryptography.RijndaelManaged de NET (entre otros), lo que revela una función de cifrado simétrico.



Incluso podemos ver cómo se ha implementado el PRNG y algunos detalles internos de la aplicación maliciosa.



Cuando finalmente vemos el ejecutable ‘Locker’, se realiza una conexión al dominio dinámico. Durante el análisis, aparecieron dos direcciones: ‘cvredirect.no-ip.net’ y ‘cvredirect.ddns.net’. Actualmente están deshabilitadas y descubrimos que esto dificulta el funcionamiento de ‘Locker’, pues a partir de una inspección del análisis de tráfico pudimos ver que una ID de hardware se envía al C&C para usar una contraseña de codificación de archivo dinámico. Supongo que ahora podemos entender por qué este malware busca Wireshark en el sistema. Después de todo, los ciberpiratas no quieren que nos enteremos de cómo manejan sus negocios.



En este punto, si todo marchara bien (para los ciberpiratas), nuestros documentos y archivos personales se habrían cifrado y nos exigirían un pago en menos de 24 horas, o el precio aumentaría. La dirección de bitocin que se usa, también es dinámica, lo que dificulta el rastreo de los fondos.



¿Es esta tu peor pesadilla? Si no cuentas con una solución antimalware actualizada y con (por si acaso) una copia de respaldo de tus archivos más importantes, puede que lo sea.


Kaspersky Lab detecta esta familia como ‘Trojan-Ransom.Win32.Crypmodadv.cj'. Ya hemos visto antes aplicaciones maliciosas similares (en cuanto a su funcionamiento), como ‘TorrentLocker’, y algunos programas ransomware PowerShell, pero el volumen de esfuerzo invertido en este malware para proteger el código, muestra que los ciberpiratas se están aprovechando de bibliotecas y funciones ya desarrolladas para no tener que reinventar la rueda.

AVAR 2014 - Australia


  Michael       21 noviembre 2014 | 18:15  MSK

Comentar  

La XVII Conferencia Internacional de la Asociación de investigadores antivirus del Asia de este año, “AVAR 2014”, volvió a Sídney, Australia, con el tema “Seguridad en Australia”. La última vez que se realizó aquí fue en 2003.

La sala de llegadas en el aeropuerto de Sídney lucía así:

Más de 170 participantes relacionados con la industria antivirus, CERTs, autoridades y académicos de todo el mundo gozaron de muchas oportunidades para trabajar en red e intercambiar ideas.

El discurso principal, a cargo de Graham Cluley, incluyó una parte en la que invitó a todos a cantar “la canción de la industria antivirus”.

Las presentaciones cubrieron temas como el actual ecosistema mundial antimalware, el mercado clandestino móvil para ciberpiratas en un determinado país, detalles sobre la amenaza Dragonfly y mucho más (pulsa el enlace debajo para acceder a más información).

Roman Unuchek de Kaspersky Lab, presentó su investigación sobre las redes zombi bancarias para Android.


Nuestros colegas de ESET hicieron una magnífica labor en la organización no sólo de la conferencia sino también de la entretenida cena de gala realizada en el “Power House Museum”.

Otro punto sobresaliente fue la “post-fiesta” en un bar de cerveza bávara. Este acontecimiento se convirtió en todo un estruendo cuando algunos participantes de la conferencia se subieron al escenario y sacudieron el lugar.

Por último, pero no menos importante, también se tuvo la oportunidad de apreciar el paisaje de la ciudad y la vida silvestre en un ameno paseo.


Estamos ansiosos por volver a encontrarnos en el próximo AVAR, en 2015, en Vietnam.

Sitio web de la conferencia: http://www.avar2014.com/ehome/index.php?eventid=83858&

Darknet Law Enforcement Onion Tor


  Stefan       18 noviembre 2014 | 18:29  MSK

Comentar  

Sergey Lozhkin

El cierre de SilkRoad 2.0 es sólo una pequeña parte de los acontecimientos que afectaron a la red Tor la semana pasada.

Las comunidades relacionadas con Tor, tanto los defensores de la privacidad como los cibercriminales (¡por supuesto!) demostraron su preocupación cuando autoridades de todo el mundo realizaron una operación global contra varios servicios ilícitos alojados en la red Tor.

La Operación Onymous, coordinada por el Centro Europeo de Cibercrimen de la Europol (EC3), el FBI, el Servicio de Inmigración y Control de Aduanas de los Estados Unidos (ICE), Investigaciones de Seguridad Nacional (HSI) y Eurojust, supuso el arresto de 17 vendedores y administradores de mercados ilícitos y el cierre de más de 410 servicios.

El anuncio oficial sobre la Operación Onymous está disponible en el sitio web de la Europol.

Estos son algunos de los servicios .onion que se cerraron en esta operación: Alpaca, Black Market, Blue Sky, Bungee 54, CannabisUK, Cloud Nine, Dedope, Fake Real Plastic, FakeID, Farmer1, Fast Cash!, Flugsvamp, Golden Nugget, Hydra, Pablo Escobar Drugstore, Pandora, Pay Pal Center, Real Cards, Silk Road 2.0, Smokeables, Sol's Unified USD Counterfeit's, Super Note Counter, Tor Bazaar, Topix, The Green Machine, The Hidden Market y Zero Squad.

Ejemplos de sitios .onion confiscados

A la vez, se informó que las autoridades estaban confiscando varios nodos de Tor:

Estos días hemos recibido y visto informes que dicen que agentes gubernamentales han incautado varios transmisores de Tor. No sabemos cuándo se confiscaron los sistemas ni conocemos los métodos de investigación que se usaron. Los informes hablan de tres sistemas específicos de Torservers.net que desaparecieron, además de un operador de transmisores independiente.

Puedes profundizar sobre las opiniones y preocupaciones relacionadas con la Operación Onymous en The Tor Blog.

El estado actual de la Dark Web

Por supuesto, no se cerraron todos los sitios Onion, todavía hay muchos que siguen funcionando. En estos momentos, la cantidad de sitios web activos en la red Tor es cuatro veces mayor que la de los sitios que se cerraron.

El cibercrimen, como cualquier otra actividad ilegal, es difícil de erradicar. Siempre que se elimina un servicio ilegal, deja un vacío que los cibercriminales no piensan desaprovechar. La cruda realidad es que siempre habrá una demanda para estos servicios.

El siguiente gráfico muestra la cantidad de nuevas direcciones .onion que aparece cada día. Después del cierre del 7 de noviembre, notamos un aumento irregular en la cantidad de servicios escondidos que se estaban creando.

También analizamos el tiempo de vida de los sitios Onion que se cerraron la semana pasada. Como se ve en el gráfico, en promedio, la mayoría de los sitios estuvo activo por al menos 200 días, pocas veces más de 300 días. Unos cuantos duraron menos de 2 meses.

¿Qué implica esto para la red Tor y la Dark Web?

La pregunta más interesante que se está planteando en los medios de comunicación es: ¿cuáles son las herramientas excepcionales que se necesita para comprometer un servicio oculto? En teoría, cuando visitas un servicio oculto, no hay forma de que tú o cualquier otra persona conozca la ubicación física de su servidor. Para que la teoría se fundamente, se deben cumplir tres condiciones:

  1. El servicio debe estar bien configurado
  2. El servidor web debe ser impenetrable - sin vulnerabilidades ni errores de configuración
  3. La aplicación web debe estar libre de fallas

Si alguna de estas tres condiciones no se cumple, una persona con conocimientos técnicos puede irrumpir en el servidor con facilidad para llevar su ataque a otro nivel.

Quien conoce los sitios de la Dark Net sabe lo pobre que puede llegar a ser su codificación. Que los servicios de Tor oculten la ubicación física de un sitio no significa que su seguridad sea impenetrable. Pueden tener vulnerabilidades como inyecciones SQL si hay errores de codificación en el sitio.

Para comprometer un servicio oculto, una posibilidad es explotar una aplicación con errores en el código. Después se puede comprometer el servidor real en el que se aloja el servicio escondido, conseguir la información sobre su información física o, de preferencia, instalar una puerta trasera que recolecte la información sobre lo que ocurre en el servidor durante semanas.

No hace ninguna falta buscar vulnerabilidades en Tor, ya que es mucho más fácil buscar un problema de configuración de servicios o fallas en la aplicación web. No es raro que quienes controlan los sitios ilegales de la Dark Net dependan de la seguridad que le brindan las capacidades de Tor, pero esto no basta para salvarlos de las vulnerabilidades de aplicaciones externas o de sus propios errores.

Otra posibilidad es infectar al administrador del sitio web de un sitio web ilegal con spyware para conseguir acceso completo a su ordenador y, desde allí, conseguir toda la información sobre su verdadera identidad.

Esto puede ser más fácil de lo que parece: Por ejemplo, si se encuentra una vulnerabilidad en un servicio oculto, se puede intervenir la página del administrador con un exploit y esperar a que el responsable de la tienda de drogas ingrese a su sitio. Este ataque tan dirigido lo infectaría con malware.

Otra posibilidad es que los criminales infiltren el servicio ilícito haciéndose pasar por un cliente común y corriente, creando una cuenta y hasta haciendo alguna compra para generar una buena reputación. Cuando llega la hora de establecer una comunicación con la cuenta de asistencia del servicio oculto (sobre la calidad del producto, por ejemplo) se puede empezar a usar ingeniería social o hasta enviar un mensaje spearfishing con un exploit.

Existen muchos modos de comprometer un servicio oculto sin atacar la arquitectura de Tor. Aunque, por supuesto, tampoco se debe descartar por completo la posibilidad de que el propio Tor tenga una vulnerabilidad.

WireLurker, el troyano de iOS: Estadísticas y nueva información


  Stefan       13 noviembre 2014 | 12:04  MSK

Comentar  

Dmitry Bestuzhev

Hace poco surgieron noticias sobre un novedoso ataque en el que los cibercriminales infectaban a los usuarios de iPhone y Mac OSX con un programa peculiar que recibió el nombre de WireLurker. Puedes encontrar información detallada al respecto en este informe de Palo Alto. Antes que nada debo que recalcar que todos los usuarios de Kaspersky Lab están protegidos de esta amenaza. Detectamos los archivos maliciosos de WireLurker con los siguientes nombres:

  • Mac OS X:
    • Trojan-Downloader.OSX.WireLurker.a
    • Trojan-Downloader.OSX.WireLurker.b
    • Trojan.OSX.WireLurker.a
  • Apple iOS:
    • Trojan-Spy.IphoneOS.WireLurker.a
    • Trojan-Spy.IphoneOS.WireLurker.b
  • Windows:
    • Trojan.Win32.Wirelurker.a

Nuestros sensores detectaron conexiones con un servidor C&C malicioso ubicado en Hong Kong en julio de 2014. Esto continuó durante los meses siguientes, aunque el volumen de la amenaza se mantuvo bajo.

Los foros de Internet comenzaron a mencionar este tema a principios de año, la mayoría de las veces en sitios en chino y coreano, pero también en algunos de habla inglesa:

El 14 de julio, alguien llamado SirBlanton se quejó de esta amenaza en un sistema de tablón de anuncios (BBS) en chino:

Перевод на английский:

Traducción: Al menos tres aplicaciones para iPhone: Alfred 2.3/ Pixelmator 3.2/Folx GO+ 3.0 tienen un malware o troyano, pide que escriba mi contraseña de administrador durante la instalación y después instala objetos de inicio de forma automática y se mantiene conectado en segundo plano a www.comeinbaby.com

Esta discusión ocurrió en “bbs.maiyadi.com”, lo que resulta llamativo porque el programa malicioso utiliza otro subdominio en “maiyadi.com” como centro de Comando y Control (C&C).

Antes de eso, el 29 de mayo, una discusión en Corea mencionó un comportamiento inusual en un sistema Mac OS X infectado por esta amenaza:

Resulta interesante que Mac OS X y Apple iOS no sean las únicas plataformas en las que se propagan estos ataques. Ayer, nuestro amigo Jaime Blasco de Alienvault descubrió una herramienta maliciosa Win32 que podría estar relacionada con esta amenaza.

El módulo WireLurker para Windows

Nombre de archivo: 万能视频播放器 2.21.exe md5: fb4756b924c5943cdb73f5aec0cb7b14

Módulo WireLurker Win32

Módulo WireLurker Win32

Si la fecha estampada no está alterada, el archivo se compiló en marzo de 2014:

Conjunto de metadatos completo:

Machine Type                    : Intel 386 or later, and compatibles
Time Stamp : 2014:03:13 03:56:21-04:00
PE Type : PE32
Linker Version : 10.0
Code Size : 721920
Initialized Data Size : 1364480
Uninitialized Data Size : 0
Entry Point : 0xafb86
OS Version : 5.1
Image Version : 0.0
Subsystem Version : 5.1
Subsystem : Windows GUI
File Version Number : 1.0.0.1
Product Version Number : 1.0.0.1
File Flags Mask : 0x003f
File Flags : (none)
File OS : Windows NT 32-bit
Object File Type : Executable application
File Subtype : 0
Language Code : Chinese (Simplified)
Character Set : Unicode
File Description : 绿色IPA安装器
File Version : 1.0.0.1
Internal Name : 绿色IPA安装器.exe
Original Filename : 绿色IPA安装器.exe
Product Name : 绿色IPA安装器
Product Version : 1.0.0.1

El nombre de archivo interno es "绿色IPA安装器" que, traducido, significa Instalador IPA Verde. Se supone que es una aplicación para instalar archivos IPA en dispositivos iOS.

Contiene una ruta de depuración que revela información sobre la compilación:

E:\lifei\libimobiledevice-win32-master_last\Release\appinstaller.pdb

La aplicación contiene dos IPA (archivos comprimidos de aplicaciones Apple) en su interior, una llamada “AVPlayer” y otra “apps”.

AVPlayer.app parece una aplicación iOS legitimada que los atacantes utilizan como carnada.

La imagen (icono) de la aplicación puede verse abajo:

Parece que la aplicación “legítima” pertenece a un desarrollador popular conocido como “teiron@25pp.com”.

El segundo IPA es todavía más interesante.

Es posible que se haya creado en marzo 2014. "apps" se comunica con el infame "comeinbaby[.]com":

La parte sfbase.dylib se comunica con un C&C diferente:

En resumen, la aplicación Win32 que describo aquí permite que se instalen las cargas explosivas de iOS que hemos mencionado en el iPhone de la víctima. Es posible que el creador la haya desarrollado sólo para asegurarse de que los usuarios de Windows también puedan infectar sus dispositivos iOS.

Detecciones de KSN

Kaspersky Security Network (KSN) es una compleja infraestructura expandida que se dedica a procesar flujos de datos relacionados con la seguridad de millones de participantes voluntarios de todo el mundo. Distribuye los conocimientos de seguridad de Kaspersky Lab a cada partner o cliente conectado a Internet para asegurando que reciban las reacciones más veloces, la menor cantidad de falsos positivos para mantener el más alto nivel de protección. Aquí puedes conseguir una descripción detallada de KSN. El diagrama de abajo muestra las detecciones de WireLurker en OSX:

Más del 60% de las detecciones provienen de China, como era de esperar.

Conclusiones

Este incidente nos recuerda por qué los programas piratas son peligrosos en cualquier plataforma. Descargar aplicaciones de fuentes extraoficiales como mercados alternativos, sitios web para compartir archivos, torrents u otras redes p2p aumenta el riesgo de contraer infecciones de malware. Es más, éste es uno de los principales vectores de infección en Mac OS X.

No podemos dejar de recalcar la necesidad de proteger los dispositivos Mac OS X con un programa de seguridad. De lo contrario, no sólo pones tu equipo Mac OS X en riesgo de infección sino que, como demostró WireLurker, la amenaza puede trasladarse de tu Mac a tu iPhone. Pero hay buenas noticias: existen muchas opciones para los usuarios, entre ellas nuestro propio producto, Kaspersky Internet Security para Mac.

En primer lugar, los usuarios de Mac OS X deben revisar sus parámetros de Seguridad y Privacidad para asegurarse de que la configuración de su sistema sea óptima. Recomendamos que configuren Gatekeeper para que sólo se puedan descargar aplicaciones de desarrolladores identificados desde la Mac App Store. Aquí puedes encontrar más información sobre Gatekeeper.

No te olvides de revisar nuestra guía de seguridad para Mac: 10 pasos simples para aumentar la seguridad de tu Mac.

Este debería ser una llamada de atención para que los usuarios de Apple replanteen la forma en la que perciben la seguridad de sus dispositivos. Así como el malware de Mac OS X no tardó en pasar de ser sólo un mito a una triste realidad, estamos viendo cómo iOS está recibiendo cada vez más y más ataques sin que nadie pueda ofrecerle protección. Los vendedores antivirus todavía no tienen permitido desarrollar protección para usuarios de iPhone.

Pero, en vista de los acontecimientos recientes, ¿cambiará esta estrategia en el futuro?

Indicadores de infección:

C&Cs:
app.maiyadi[.]com
comeinbaby[.]com
61.147.80.73
124.248.245.78

MD5s:
3fa4e5fec53dfc9fc88ced651aa858c6
5b43df4fac4cac52412126a6c604853c
88025c70d8d9cd14c00a66d3f3e07a84
9037cf29ed485dae11e22955724a00e7
a3ce6c8166eec5ae8ea059a7d49b5669
aa6fe189baa355a65e6aafac1e765f41
bc3aa0142fb15ea65de7833d65a70e36
c4264b9607a68de8b9bbbe30436f5f28
c6d95a37ba39c0fa6688d12b4260ee7d
c9841e34da270d94b35ae3f724160d5e
dca13b4ff64bcd6876c13bbb4a22f450
e03402006332a6e17c36e569178d2097
fb4756b924c5943cdb73f5aec0cb7b14

Page Top  |  Archivo >>

 

Copyright © 1996 - 2014
Kaspersky Lab
Todos los derechos reservados

Correo electrónico: webmaster@viruslist.com