| |
Home / Bitácora
Bitácora del analista antivirus
Un blackhat se descontrola |
| Vitaly Kamluk | 23 octubre 2009 | 18:49 MSK |
Comentar
|
Los escritores de virus de hoy en día siempre tratan de esconder sus identidades, ¿no es cierto? Pues no. Incluso algunos de los cibercriminales que buscan ganancias en la red revelan sus identidades. Estamos un poco sorprendidos, pero esta es la historia de cómo un blackhat ha revelado su identidad y está tratando de “recibir una compensación” de Kaspersky por hacer una investigación. Últimamente hemos estado analizando un nuevo servicio para escritores de virus: [avtracker dot info]. Es un servicio en línea diseñado para rastrear productos antivirus. La página principal de [avtracker dot info] describe sus servicios, que incluyen protección para programas maliciosos contra los análisis de analistas de virus y promueve ataques DDoS contra empresas de seguridad: 
Traducción: AV Tracker registra los pedidos de programas a analizar por los sistemas antivirus y muestra sus direcciones IP e información aquí. Ud. puede incluir esta lista para bloquearlos (para evitar que los programas antivirus analicen su programa). También puede lanzarles ataques DDoS para entorpecerlos. Para relacionarse de forma automática utilice http://avtracker.info/check.php, la respuesta es “av” si el sistema está en nuestra base de datos, de lo contrario es “ok”. Asimismo, algunos de nuestros colegas analistas compartieron con nosotros una solicitud de red que se utilizaba para enviar informes de regreso a [avtracker dot info]. Un programa espía especial utilizaba esta solicitud, que el dueño de [avtracker dot info] había enviado a varios laboratorios antivirus. Si se lo ejecuta, este programa espía contacta con el dueño para describirle el ambiente del ordenador infectado. Jugamos un poco con esta solicitud y substituimos al azar datos como el nombre de usuario y parámetros del sistema. La sección WHOIS no servía de nada, el creador de [avtracker dot info] lo había registrado de forma anónima. Esto no fue ninguna sorpresa: casi siempre los cibercriminales registran los dominios de forma anónima para evitar que se los identifique. Hasta ahora, no hay nada extraordinario: un día normal en la vida de una empresa antivirus. Pero entonces… ¡SORPRESA! el dueño del servicio de escritores de virus nos contactó y reveló su identidad. Incluso exigió que le diéramos 2000 euros para compensar sus supuestas pérdidas cuando intentamos "romper" su nuevo juguete. Cuando escribimos esta entrada habíamos recibido el programa espía, que incluía el siguiente mensaje en su código, que mencionaba a la misma persona que nos contactó: 
Traducción: Soy [nombre verdadero del sospechoso] ¡a la m****a [empresa antivirus #1], a la m****a el mundo, a la m****a todos ustedes! Yo solía trabajar en [empresa antivirus #1] y era un white hat, y ahora soy el blackhat más cruel e hijo de p**a y estoy vendiendo el código fuente de [producto de la empresa antivirus #1] :D Estoy con los desarrolladores de SinowalWhistler, qué ironía, ¿no? ;) y a la m****a [empresa antivirus #2] no tiene ni idea :D cabr***s. Obviamente, hemos recolectado todos los datos relevantes y se los hemos pasado a nuestro abogado, que se encargará de dar los siguientes pasos en esta situación. Si todos los cibercriminales cooperaran tanto como este, la vida sería mucho más fácil para las empresas antivirus.
Lo que pienso de los pasaportes virtuales y el anonimato |
| Eugene | 22 octubre 2009 | 11:45 MSK |
Comentar
|
Parece que lo que pensé que era una idea simple ha causado una gran conmoción. En esta entrada, voy a explicar con brevedad los puntos principales de mi idea, y en algún otro momento, cuando tenga más tiempo, los explicaré con mayor profundidad para que la gente pueda comprender claramente lo que estoy proponiendo. - Los usuarios comunes NO son anónimos para la policía y los gobiernos. Hoy en día las autoridades pueden encontrar con gran facilidad a cualquier persona que busquen. Existe una percepción errada sobre el anonimato en Internet: pocas personas se dan cuenta de que no existe para los usuarios comunes. Pero lo peor es que quienes realmente son anónimos son los cibercriminales profesionales, porque saben qué hacer para esconder su verdadera identidad en la red. Es por eso que cada año aparecen millones de programas maliciosos y vemos exitosos ataques a redes y no sabemos quiénes son los responsables.
- Cuando digo “sin anonimato”, me refiero sólo a “sin anonimato para el control de seguridad”. No me interesa cómo se comporte la gente en blogs, foros, redes sociales y portales piratas de torrents. Podemos seguir usando nombres inventados o reales, tal como hacemos ahora. La única mejoría al “no al anonimato” es que los usuarios DEBEN mostrar su identificación a su servidor cuando se conectan a Internet. Sólo el servidor necesita conocer tu verdadera identidad.
- Otra forma de solucionar el problema podría ser la creación de redes anónimas especiales y redes específicas para negocios y gobiernos… ¿por qué no? Pero todos los negocios y servicios LEGALES querrían utilizar las redes seguras, y las inseguras probablemente se utilizarían sólo para la comunicación casual.
- ¿Cuándo se va a implementar esto? Nunca... o en una o dos generaciones. Después de que se vea un par de incidentes informáticos muy graves, que tengan un verdadero impacto en la economía nacional o global. Y ya no sólo hablo del cibercrimen, sino de ataques ciberterroristas. Ya estamos viendo los primeros signos de la aparición del ciberterrorismo, y el anonimato global es un factor verdaderamente favorable para esta gente.
Imagina que todos los pasajeros de tu avión son anónimos, así que no sabes quiénes son ni lo que quieren hacer… ¿De verdad estarías a favor de esto? Internet es tan crítico y vulnerable como la red de transporte aéreo. Entonces, ¿por qué tenemos diferentes estándares de seguridad para estas dos redes globales? - Pero ya estamos en camino: algunos países europeos han comenzado a implementar identificaciones digitales para realizar transacciones bancarias seguras y, en algunos casos, votar en elecciones importantes. Las elecciones nacionales y municipales por Internet no son ciencia ficción, ya están aquí, y la autentificación de identidades es una parte vital de estos sistemas.
Otro prototipo de pasaportes virtuales es la autentificación de dos factores que utilizamos en la actualidad para ingresar a redes corporativas. Lo único que falta ahora es un estándar común.
En fin, me alegra ver que mis ideas hayan impulsado tantas discusiones; yo creo que el discurso abierto al público y el intercambio de ideas es la única forma de convertir Internet en un lugar mejor y más seguro.
Estafa a usuarios de OWA: un nuevo vector (2) |
| Serguey Golovanov | 22 octubre 2009 | 11:19 MSK |
Comentar
|
Estos son algunos detalles técnicos para ampliar la entrada que publicó Darya.
- El Spam
Según nuestro análisis preliminar, los correos spam que atacaron a los usuarios de OWA, incluyendo Kaspersky, se enviaron utilizando la red zombi pushdo, que funciona con programas nocivos de la familia Backdoor.Win32.NewRes. Estos troyanos se propagan mediante correos spam, redes sociales (junto a la familia Koobface) y sitios comprometidos. Los correos spam dirigen a un sitio fraudulento que está registrado en 15 direcciones IP dinámicas ubicadas en diferentes sectores IP y que están en constante modificación. - La estafa
Un análisis del sitio fraudulento prueba que los criminales están utilizando técnicas de rock phishing: tiene una estructura típica de estas estafas y un contenido dinámico que cambia para amenazar a los usuarios desde el dominio atacado. - El troyano
Este ataque de OWA propaga una variante de Trojan-Spy.Win32.Zbot, un troyano que roba las contraseñas guardadas en equipos infectados, específicamente las contraseñas de aplicaciones locales, sitios web, etc. El troyano también registra las teclas que pulsa el usuario. Por último, esta versión de Zbot también puede descargar más programas nocivos si lo necesita. El centro de administración y control de este ejemplar se encuentra en Ucrania.
ResumenEste ataque particular en general está utilizando métodos muy conocidos. Las características notables del ataque son la falsificación del nombre de dominio y la creación de un sitio fraudulento que imita las páginas de OWA. El resto no tiene nada fuera de lo común.
Estafa a usuarios de OWA: un nuevo vector |
| Darja Gudkova | 21 octubre 2009 | 10:58 MSK |
comments (1)
|
Ayer vi una estafa virtual que atacaba a usuarios del servicio Outlook Web Access (OWA), que se utiliza en todo el mundo para acceder a correos de Microsoft Exchange Servers por Internet. Los usuarios recibieron correos electrónicos que les pedían que pulsaran en un enlace para descargar una actualización de seguridad que supuestamente se necesitaba para que la nueva configuración hiciera efecto. Es un texto típico de los ataques phishing, pero el criminal falsificó el dominio para que pareciera que el correo provenía del propio dominio del usuario. En realidad, al pulsar en el mensaje, las víctimas entraban a una página fraudulenta que parecía una página OWA normal. Cuando el usuario ingresaba al sitio, los delincuentes le pedían que descargara un archivo .exe para actualizar la configuración de seguridad. Pero en vez de mejorar su seguridad, las víctimas instalaban un troyano Zbot (de la familia Trojan-Spy.Win32.Zbot). Es interesante que todos los dominios fraudulentos estaban en zonas .eu y .co.uk, lo que no es muy frecuente, ya que la mayoría de los dominios de phishers se encuentran en países del tercer mundo. OWA es un servicio popular en la comunidad empresarial de hoy, así que este ataque podría afectar a un número significativo de personas. Una vez más, recordamos a todos que revisen sus correos con mucho cuidado antes de pulsar en los enlaces que contengan, y recomendamos a los administradores de redes que alerten a sus usuarios sobre este ataque.
Toda tu cosecha me pertenece |
| Michael | 14 octubre 2009 | 16:19 MSK |
Comentar
|
Hoy recibí un “Mensaje de notificación antivirus” de nuestro servidor de correo (protegido por kav4lms), así que obviamente me intrigó su contenido. Al analizar el correo de la cuarentena del servidor descubrí un par de datos interesantes, empezando por su encabezado:
"X-PHP-Script: .com/templates/beez/woolf2.php for 41.248. El mensaje provenía de un servidor comprometido y se había utilizado un gestor de correos php para enviar los correos fraudulentos directo desde allí.
Al visitar la ubicación mencionada en el encabezado no fue difícil notar que el gestor de correos masivos GUI contenía un enlace a un sitio fraudulento que ahora se encuentra desconectado. Pero tras un estudio más profundo descubrí que el sitio alojaba ‘phish kits’, colecciones de archivos maliciosos que se pueden descargar gratis. Estos ‘phish kits’ son archivos comprimidos que se pueden extraer de un servidor comprometido. Todo lo que deben hacer los cibercriminales (después de encontrar el servidor comprometido) es editar uno de los archivos en ese paquete y escribir la dirección de correo del usuario que recibirá los datos que se consigan. Pero en realidad la información no sólo se envía a la dirección de correo designada, también la recibe otro cibercriminal. Esta estafa no es nueva, pero los delincuentes virtuales novatos no se dan cuenta de que están compartiendo sus ganancias mal habidas con otros criminales más experimentados.
Cómo luchar contra la corrupción |
| Maria | 14 octubre 2009 | 16:13 MSK |
Comentar
|
Imaginen que viven en la ex Unión Soviética. Ahora imaginen que reciben un mensaje que dice “Cómo vencer la corrupción del GAI” (GAI se refiere a la Inspección de Automóviles del Estado o, dicho de otra forma, los policías de tránfico). Si conduces un automóvil, seguro que algún policía te ha llamado la atención alguna vez y te ha pedido entre indirectas que le des algo de dinero con algún pretexto tonto. Sí, la corrupción es algo con lo que nos gustaría acabar. Así que, si lees el mensaje, te enteras de que puedes enviar tus sugerencias al líder del GAI enviando un SMS a un número corto. El mensaje incluso dice que este servicio está respaldado por la Inspección Ucraniana de Automóviles del Estado. ¿La estafa comienza a sonar conocida? No sólo los policías son corruptos…
| Fabio | 14 octubre 2009 | 12:48 MSK |
Comentar
|
En nuestros análisis rutinarios de malware, a veces descubrimos nuevas técnicas que están utilizando los cibercriminales brasileños para desactivar la protección antivirus. Ahora los troyanos bancarios brasileños están utilizando Gmer (una conocida herramienta autónoma anti-rootkit) para remover GBPlugin, un mecanismo de seguridad muy utilizado por los cuatro mayores bancos brasileños. Alrededor de 15 millones de ordenadores brasileños utilizan GBPlugin, que está diseñado para prevenir el robo de datos bancarios personales. Es común que los desarrolladores de malware utilicen programas legítimos para eliminar antivirus y otras soluciones de seguridad. Lo vimos con PSEXEC de Sysinternals. Esta es la segunda vez vemos que un programa malicioso brasileño utilice una herramienta legítima; el primero fue Avenger, otra herramienta anti-rootkit, que se utilizó para eliminar los mismos archivos GBPlugin. El malware que estuvimos analizando descarga una versión antigua de Gmer (1.014) desde un servidor chino legítimo pero comprometido. Lo guarda como System%\logsvc.exe y, cuando lo instala, el programa nocivo registra un servicio especial para remover GBPlugin utilizando tecnología rootkit. Después se crea un archivo bat en el sistema y dentro del archivo se pueden ver los comandos diseñados para deshacerse de todos los archivos que permiten el funcionamiento de GBPlugin,
usando el parámetro –killfile.  También se instala otro controlador con comandos para eliminar los archivos GBPlugin para asegurar que se eliminen todos los archivos:  Nuestros productos detectan a este troyano como Trojan-Downloader.Win32.Homa.yw y al controlador como Rootkit.Win32.Agent.neg.
Varios parches críticos: un día muy ocupado |
| Josh | 14 octubre 2009 | 12:42 MSK |
Comentar
|
Hoy fue el martes de parches más ocupado para nuestros amigos en Redmond: se parcharon 13 vulnerabilidades que bloquean un total de 34 exploits potenciales. Tres de los exploits habían compartido su código público y se cree que otros 11 podrían explotarse de forma sistemática. La vulnerabilidad más alarmante de este mes es MS09-050 que, según su descubridor, se incluyó en el parche de MS07-063. MS09-050 salió a la luz por primera vez el 7 de septiembre en el blog del analista de seguridad Laurent Gaffié, que explicaba de forma general la vulnerabilidad de negación de servicio en SMB 2.0, más específicamente en el disco srv2.sys. Seguro recuerdan la conmoción que causó esto cuando se publicó por primera vez, pues varias personas agregaron de inmediato que esta no sólo era una vulnerabilidad de negación de servicio, sino que también podía ejecutar código remoto sin ningún problema. Pero lo que le debería preocupar a Microsoft es el hecho de que la vulnerabilidad afecte a ordenadores con Windows Vista y Windows 7, no sólo a los que operan con Windows XP, lo que obviamente no es una buena señal. Este parche también incluye kill bits actualizados para controles ActiveX que afectan a MS09-035 que, si hacen memoria, recordarán que está relacionada con varias vulnerabilidades en ATL. MS09-060 también parece solucionar estas vulnerabilidades, que también afectan a MS Office. No es muy satisfactorio ver que esta vulnerabilidad todavía no está parchada por completo. Otro parche notorio de este mes es el que soluciona la vulnerabilidad de suplantación del certificado SSL, MS09-056. Aquellos que participaron en Blackhat LV en julio seguro recuerdan que Moxie Marlinspike describió este exploit con entusiasmo. Es interesante notar que esta vulnerabilidad fue descubierta por Dan Kaminsky. Como siempre, asegúrense de instalar los parches tan pronto como sea posible, en especial este mes si están usando Windows Vista o posterior y tienen activado el protocolo SMB.
| Costin | 7 octubre 2009 | 14:09 MSK |
Comentar
|
Saludos desde el hotel “Steigenberger Kurhaus” en La Haya, o “Den Haag”, como la llaman los holandeses, donde se está realizando la conferencia ISSE 2009. Me encuentro aquí con mi colega Stefan (en la foto), que realizó una presentación sobre amenazas WEB 2.0 hace unas horas, el segundo día de la conferencia. Ayer fue la gran inauguración y se escucharon discursos interesantes. Norbert Pohlmann, Presidente del consejo TeleTrusT, dio una charla muy interesante sobre la forma en la que trabajaremos en el futuro. Sus datos indican que hoy nos ocupamos de alrededor de 70 CPUs por persona en netbooks, automóviles, teléfonos móviles, etc… pero en los próximos 10 años abarcaremos miles de CPUs por persona. Jim King, arquitecto de la plataforma PDF de Adobe Systems Incorporated, realizó una presentación muy interesante sobre las ventajas de utilizar PDF e integrar firmas digitales en él. Como PDF es el formato de preferencia para propagar virus informáticos, es posible que algunas organizaciones se alejen de él. Por eso es muy importante que Adobe comience a hacer lo que Microsoft hizo en 2002 con la Trustworthy Computing Initiative. Mike Reavey, Director de MRSC (Microsoft) explicó en una charla el proceso MSRC; en su discurso dijo un par de cosas controversiales que ocasionaron debates acalorados, como “Hay hackers que de verdad trabajan en Microsoft”. ¡Nuestros mejores deseos desde la nublada Holanda!
Conferencia Internacional Virus Bulletin 2009 |
| Stefan | 28 septiembre 2009 | 14:26 MSK |
Comentar
|
¡Saludos desde Ginebra, Suiza! Esta semana estoy aquí por la conferencia Virus Bulletin 2009.
Virus Bulletin nació en 1989 como una simple revista dedicada a prevenir los virus informáticos. No tardó mucho en convertirse en la publicación líder especializada en el área de virus y programas maliciosos relacionados. La conferencia de inauguración de VB se llevó a cabo en 1991, y sus objetivos son presentar información factual sobre virus informáticos, demostrar los procedimientos de defensa, discutir posibles desarrollos futuros de virus y contramedidas a tomar, y tratar de armonizar las investigaciones sobre el tema. Virus Bulletin es el evento principal que reúne a toda la industria Anti Virus.
Kaspersky Lab está muy bien representada en VB2009, con 25 de mis colegas de todo el mundo participando en la conferencia. Daremos cinco presentaciones sobre temas que abarcan desde las amenazas Web 2.0 y la búsqueda de URLs maliciosas en Twitter, hasta troyanos bancarios brasileños y estafas rusas de SMS. Podéis encontrar los abstractos de nuestros informes y el programa completo de la conferencia aquí, en el sitio web de VB. Mis colegas de Threatpost están cubriendo el evento completo en vivo en un blog dedicado especialmente a la conferencia VB. Y si eres un adicto a Twitter, el hashtag de esta conferencia es #vb2009. ¡Disfrútenla! | |
