domingo, 18 de noviembre de 2007

Storm, Botnet al servicio del crimen

Storm, la botnet de lanzamiento de troyanos, ha vuelto a burlar las defensas de los usuarios infectando sus ordenadores con virus y otras amenazas cibernéticas.
Los protegidos de Russian Business Network (RBN), del que se ha hablado tanto en relación al software malicioso y que misteriosamente desapareció la semana pasada después de desplazar sus operaciones desde Sant Petersburgo, Rusia, a Shanghai están involucrados en el ataque, dijo Paul Ferguson, técnico de red de Trend Micro Inc.
El WS GeoCities están infectados con código JavaScript malicioso que redirige el navegador de los usuarios a segundas URLs alojadas en Turquía, dijo Ferguson. Las URLs de Turquía, mientras tanto, tratan de persuadir al usuario para descargar un nuevo codec que supuestamente se necesita para ver las imágenes del los sitios de GeoCities. De acuerdo con el análisis de Trend Micro, el falso codec -- que pretende ser para los 360 grados del formato IPIX -- es en realidad una amenaza cibernética para el robo de información.
Los Fake-códecs se han convertido en la más reciente elección de los phishers, con notable éxito en los confiados usuarios.
Los ataques de la semana pasada, que se originó en las páginas hackeadas de MySpace -- incluida la de la cantante de "R & B Alicia Keys" -- utilizó codecs de sonido.
Storm ha dirigido a "hyping-codecs", dice Ferguson, y los administradores de la botnet son ágiles y flexibles en su enfoque a través de ingeniería social. "Ellos interrelacionan los codecs con otros tipos de ingeniería social", dijo.
Storm se ha convertido en mucho más que un nombre para una familia de virus y otras amenazas cibernéticas, se ha convertido en un canal secreto de distribución para estos delincuentes, dijo Ferguson.
“Es una red de comunicaciones, una manera para que comuniquen la información que desean sembrar,” "Y es una forma de que ellos, para llegar a lo que han recogido" a las nuevas comprometida computadoras, añadió. "Es una red secreta".
Ferguson también dijo que había evidencias que los clientes conocidos de RBN eran responsables de este nuevo mal uso del botnet Storm. “Algunos de los mismos operadores de RBN están implicados,” . “Son miembros del mismo equipo.”

Técnicas de Phishing

Si nos seguimos centrando en primera instancia al correo electrónico, pero siempre sin olvidar que el inicio del “phishing” puede ser a través de otros servicios:



• Sitio Web
Ejemplo el servidor italiano aruba.it, en junio de este año sufrió un ataque a gran escala usando la herramienta Web Sploit MPACK información desde las páginas de Panda:



Este Kit que se ejecuta en un servidor web que tenga instalado PHP y que dependiendo del navegador utilizado por el usuario, intenta explotar diferentes vulnerabilidades en el equipo de dicho usuario. Hispasec informaba de 11179 Web Sites legítimas comprometidas, es decir que las personas que visitaban dichas páginas y su sistema era vulnerable, eran redireccionadas mediante un IFRAME oculto a otras máquinas donde eran afectadas por la descarga de un troyano con programas capaces de robar información confidencial como la de acceso a la banca electrónica.
El programa malicioso detecta automáticamente el navegador entre los que incluye:
• Internet Explorer
• Opera
• Konqueror
• Lynx
• Netscape
• Mozilla
• Firefox
Y entre los Sistemas Operativos:
• Linux
• Windows
• Windows NT
• Mac
• FreeBSD
La última versión de mPack, 0.90, incluye los siguientes exploits:
• MS06-014
• MS06-006
• MS06-044
• MS06-071
• MS06-057
• WinZip ActiveX overflow
• QuickTime overflow
• MS07-017

Entre los “Top Ten” de las páginas infectadas de la versión 0.90 se encontraba la de la presentadora Marta Torné, lo que provocó gran número de infectados en España.
El código malicioso descargado nos llevaba a servidores alojados en máquinas pertenecientes al Sistema Autónomo de Russian Business Network (RBN), empresa que iremos encontrándonos a lo largo de este artículo.
Este es un método cada vez más popular del ataque de phishing, una Web con contenido malicioso. Esté puede estar incluido dentro de una página Web administrada por el Phisher, o de una página de una tercera parte con un cierto contenido encajado, como en el ejemplo mencionado.
Las técnicas empleadas son tales como:
1) La inclusión de código HTML (tales como el que está presentado en el ejemplo del email de Westpac). dentro de Web site populares, tableros del mensaje.
2) El uso de terceros, o falsificaciones, banners de publicidad para llevar a clientes al Web Site del Phisher (ver técnica siguiente “banners”)
3) El uso de bugs (items escondidos dentro de la página tal como un gráfico de “tamaño-cero”) rastrean a un potencial cliente para un ataque de phishing.
4) Insertar código malicioso dentro de la página Web que explota una vulnerabilidad conocida de los clientes e instala el software del Phishers (p.e. keyloggers, grabadores screen, pertas traseras y otros troyanos).
5) El abuso de relaciones de confianza dentro de la configuración del cliente Web para utilizar los scripts de sitios autorizados o áreas de almacenamiento de datos.
6) El uso de ventanas de publicidad automática (pop-ups) o frameless para disfrazar el origen verdadero del mensaje del Phishers.



• Banners
Otra de las técnicas utilizadas es la inserción de banners publicitarios del servicio de la entidad bancaria que en el hipervínculo nos lleva a la Web-Spoofing.
Los banners de publicidad es un método muy sencillo que los Phishers utilizan para redireccionar a un cliente de una entidad a un Web-Spoofing para capturar la información confidencial. Usando copias de banners publicitarios y colocando en sitios Web populares y algunas técnicas sencillas de la ofuscación de URL para oscurecer el destino final.


• IRC e IM
El aumento de las comunicaciones en tiempo real empleando Internet, ya sea el antiquisimo IRC como el novel y popular IM (Mensajería instantánea) son sistemas que el phisher explota para comunicarse con las victimas y a través de las funcionalidades que incluyen el software de comunicación establecer los vectores del ataque.
Muchos clientes IRC y de IM permiten incorporar contenido dinámico (p.e. gráficos, URL, multimedia, etc.) para enviar a los participantes de un canal, es una tarea trivial emplear muchas de las técnicas de phishing utilizadas en ataques basados en Web.
El uso común de Bots (programas automáticos que escuchan y toman parte en debates en grupo) en muchos de los canales populares, implica que es muy fácil para un Phisher mandar anónimamente información semirelevante de enlaces e información falsa a las potenciales victimas.



• VoIP phishing (vishing - voice phishing)
El vishing es similar al email fraudulento en que el phisher se hace pasar por la entidad bancaria, aquí a través de la voz simula una aparencia y conjugando técnicas de ingeniería social redirige a la victima a sus propositos, como que se conecte a la WebSpoofing, se baje el software malicioso o simplemente a través de telefonía le facilite los datos confidenciales. Tambien el ataque puede venir a través de otro servicio (IM, email, …) y desviar al usuario a un control telefónico.



• Resultados de busquedas
El emplear técnicas de promocionar la respuesta en buscadores es una de las técnicas utilizadas para que el usuario al buscar un servicio o página Web encuentre el resultado del phisher y así encaminarle a su interés para sonsacarle la información.



• Tablones de anuncios, foros de noticias, redes sociales
La inserción de mensajes con carga de Ingeniería social, recomendando acciones que conllevaran a situaciones de exposición al peligro en vez del propósito de la victima con la realización de la actividad que pensará que con esa acción realizaría la actividad propuesta por el phisher.


• Descarga de software a través de servicios de Internet
Los fakes, o software falseado, es otra de las técnicas utilizadas para insertar código malicioso en las máquinas de las victimas. El uso masivo de clientes de intercambio de ficheros hace que sea muy fácil la distribución de estos malwares.


• Phishing por equipos troyanizados
Mientras el medio de destino del ataque de phishing se puede variar, el origen del mismo cada vez más es utilizado PC’s comprometidos Cuando un Troyano ha sido instalado permite al phisher (junto con remitentes de spam, programas warez, Bots de DDoS, etc.) utilizar la computadora personal como un propagador de los mensajes. Consecuentemente, el rastreo al iniciador del ataque de Phishing es muy difícil.
Los equipos troyanizados va en aumento a pesar de las empresas antivirus. Las redes criminales han desarrollado técnicas de éxito para engañar a los usuarios e instalen el troyano. Ahora operan grande redes troyanizadas (pasar de más de mil equipo no es una rareza) capaces de lanzar emails de phishing o servir de alojamiento de Web-Spoofings.
Esto no quiere decir que un Phishers no utilice troyanos contra un cliente para observar específicamente su información confidencial.
De hecho, para recoger la información confidencial de varios miles de clientes simultáneamente, el Phishers debe ser selectivo acerca de que información desean almacenar o tendría una sobrecarga de información.

Metodología del engaño

Hasta ahora hemos visto la historia del phishing y como evoluciono desde los primeros engaños hasta el empleo de sofisticación técnica. Veamos como esclarecemos algunas técnicas que nos ayudaran a identificar ante caso nos podemos encontrar, para ello iremos clarificando algunos conceptos que hemos estado empleando:

El Método inicial es el conseguir los datos confidenciales que permitirán el acceso a las cuentas bancarias a través de Internet, para ello se puede recurrir a uno de los servicios más utilizados en la red que es el correo electrónico, pero sin olvidar otros servicios emergentes que están siendo objeto también del phishing que son, entre otros, la Mensajería Instantánea, los foros de noticias, las redes sociales, los buscadores, el P2P, las páginas Web,…

Dentro de la subcategoría por correo electrónico debemos subdividir en dos modalidades mediante correo electrónico selectivo o mediante SPAM, en ambos casos el mail debe incorporar la estrategia de captura y a través de un HOAX, engaño o bulo, lo que llamaremos Ingeniería Social, conseguir que la carga actué:

Esta carga adicional que incorpora el email puede ser código de captura en el mismo correo, redireccionamiento a otra ubicación para inocular código malicioso o capturar los datos por una falsa Web (Web Spoofing). El código malicioso puede realizar modificaciones de los mecanismos de traducción de los nombres de dominios y resolver el recurso en Internet a su interés malicioso, es lo que se ha venido a llamar “Pharming”, o bien modificar el comportamiento de la máquina infectada agregando servicios y procesos que daran una operatividad a la misma de acuerdo a la función maliciosa a desarrollar, ejemplo de esto es el caso de noviembre de 2003 con la modificación de un troyano que habilitaba a la máquina infectada a actuar como máquina zombie, además de hace correr un keylogger cuando la misma se conectaba a direcciones de Internet que contenía una de las palabras claves de monitorización y que se correspondía con entidades financieras.

En síntesis estos correos electrónicos se basan principalmente en dos técnicas underground, el SPAM y la Ingeniería Social.

El Spam se basa en trabajar con gran cantidad de victimas potenciales, también se le conoce como Junk mail, o correo basura, y esta apareciendo en otras modalidades de comunicación como la mensajería instantánea (SPIM), Servicios de mensajes cortos (SMS Spam), Telefonía IP (SPIT).
Como características básicas encontramos:
- Dirección del remitente no conocida y habitualmente falseada
- Mensaje no suele tener dirección reply
- Presenta un asunto llamativo
- Mayor parte del Spam era en inglés aunque ahora aparece en otros idiomas
Emplean para su difusión técnicas anti-antispams:
- Envío de correo - verificación de la recepción
- Servidores de correo vulnerables o mal configurados, en concreto los que están configurados como Open Relay, que no necesitan usuario y contraseña para ser utilizados y que permiten a cualquier usuario enviar mensajes sin comprobar su remitente (que normalmente estará falsificado). Existen Open Relay Database
- Open proxies
- Ordenadores comprometidos por malware: determinados malware realizan acciones encaminadas a permitir el envío de spam a través de los ordenadores que afectan, como la instalación de servidores proxy. Incluso es posible alquilar el uso de botnets, verdaderas redes de ordenadores afectados por bots (híbridos de gusanos, troyanos y backdoors).
- Suplantación (spoofing), camuflaje (munging)
- Ataques del tipo DDoS (distributed denial-of-service) contra servicios DNSBL y otras fuentes anti-spam
- Emplear configuraciones deficientes de servicios DNS
- Emplear dominios caducados
- NDR falso (notificación de entrega fallida -Non-Delivery Report)
- Mensajes con sólo un archivo con extensión ‘.jpg’ o ‘.gif’
- Envío alfabético (mensajes enviados a grupos en orden alfabético)
- Envío horizontal (muchos mensajes enviados a muchos grupos)
- Envío vertical (muchos mensajes enviados a un grupo)
- Crosspost (un mismo mensaje se envía una vez a varios grupos)
- Multi-Post (un mismo mensaje se envía varias veces a varios grupos)
- Hash Buster (contenido válido mezclado con contenido errático)
- Payload (la parte del spam que realmente se difunde)
- Enviar mensajes y cerrar cuentas
- División de la línea de Asunto del mensaje mediante falsos saltos de línea
- Uso de caracteres nulos (codificación de tipo Quoted-Printable)
- Encapsular una etiqueta "map" con una de tipo HREF, de tal forma que en lugar de una URL maliciosa aparezca otra legítima
- Permutar letras en las palabras usadas. El mensaje sigue siendo legible para el receptor, pero los filtros no reconocen las palabras usadas
- Uso de caracteres ASCII para “dibujar” el contenido del mensaje
- Invertir el texto, utilizando la anulación derecha-a-izquierda (right-to-left override) de Unicode, expresada como entidades HTML (‮ y ‬)
- Uso de etiquetas HTML incorrectas
- Codificación de URLs
- Empleo de entidades HTML para ocultar determinadas letras
- Uso de tinta invisibles
- Incluir el mensaje de spam como archivo adjunto en otro mensaje válido
- Uso de CSS (Cascading Style Sheets) en los mensajes de spam para ocultar determinadas palabras o partes del mensaje.
Como se distribuye:
- Empleo de robots (programas automáticos), que recorren Internet en busca de direcciones en páginas web, grupos de noticias, weblogs, etc
- Trampa de spam (opción preseleccionada por defecto en un formulario online)
- Sitios web que solicitan información para brindar un determinado servicio
- Hacer clic en ‘Aceptar’ sin leer la letra pequeña y sin desmarcar lo no deseado
- Servicios gratuitos de descarga (warez)
- Suscripciones por Internet (opt-in)
- Grupos de noticias, foros de discusión, listas de correo ((el spammer después de darse de alta anota el resto de usuarios del grupo)
- Técnicas de DHA (Directory Harvest Attack): el spammer genera direcciones de correo electrónico pertenecientes a un dominio específico
- Compra de bases de datos de usuarios a particulares o empresas
- Encuestadoras (de opinión)
- Chat, juegos en línea
- Cadenas y difusión de cadenas
- Entrada ilegal en servidores
- Por ensayo y error, ataque por diccionario
- Virus, spyware, cookies, phishing
- Otros
La Ingeniería Social se basa en el error humano y se trata de conseguir a través de los sentimientos o de la confusión, de esa forma rompemos la cadena de la seguridad por este eslabón, que muchos consideran como el más débil. Se apoya en que la gente tiende a ayudar, en primera instancia es confiada, no le gusta decir que no, le gusta que les elogien y se dejan llevar por los sentimientos como la ambición, la curiosidad, el miedo, la codicia, la vergüenza, la solidaridad, la compasión, la lujuria, ,,,
El empleo de SPAM con un bulo (HOAX) de forma que el receptor abra, lea, obedezca o simplemente realice lo que ha planificado el remitente es lo que se conoce como SCAM.

sábado, 10 de noviembre de 2007

Evolución del SCAM para el Phishing 3

En noviembre de 2003 aparecen los primeros casos de ataque a la banca On-Line, donde se envía un fichero con contenido malicioso, lo que es conocido como “troyano” para hacer phishing de la información bancaria. El troyano fue distribuido selectivamente a Pimes con actividad en Internet.
Ese ataque de email selectivo introducía el troyano embebido en código HTML y aprovechando la vulnerabilidad del manejador MHTML, de este modo fue posible incluir un script en el archivo, y ejecutarlo en la zona local. El troyano era una variante del Spy-Tofger, ZINX y VBS/Psyme, con los siguiente métodos de infección:


  1. Accediendo a una página Web donde está el código malicioso.

  2. A través de un email con el código malicioso en HTML o con el enlace a la Web

  3. Mediante la instalación y ejecución de un programa Visual Basic Script (.vbs) por cualquier otro método distinto a Web o email

Por la Web http://66.227.73.44 empleaba 2 vectores de infección:

  1. Graba 1.gif a C:\Program File\Windows Media Player\vmplayer.exe” y redirige a la url “mms://” que lanza el “Media Player”, mejor dicho el programa recien grabado.

  2. Carga “downkiller.php” (bug de .hta de IE, guarda y ejecuta un .vbs que descarga 1.gif a q.exe y lo ejecuta, borrando el fichero si ya existe
Al ejecutar el programa descargado se realizaban las siguientes acciones:

  1. Se copian 4 ficheros: system.exe, svchostc.exe, svchosts.exe y msto32.dll.

  2. Se añade una referencia en el registro para que se ejecute al arranque el system.exe

  3. Crea el identificador del usuario local con el formato:
    ddddmmmmyyyyhhhhMMMMssss, donde los 4 bytes “dddd” son el día, “mmmm” el mes, “yyyy” el año, “hhhh” la hora, MMMM los minutos y “ssss” los segundos, los valores se cumplmentan con ceros por delante. Por ejemplo: 00230011200312520027

  4. Recupera la identificación del registro:
    HKEY_LOCAL_MACHINE\Software\Microsoft\Mserv “IDWin”

  5. system.exe al ejecutarse:
    a. Ejecuta los ficheros svchosts y svchostc
    b. Utiliza la librería msto32.dll para captura de teclas
    c. Crea y utiliza el fichero “c:\winnt\sysini.ini” como almacén de las capturas
    d. Acepta conexiones al puerto 10002 y permite la ejecución de varios comandos:
    i. RUNF: Ejecuta comando
    ii. PROC: Lista procesos
    iii. LIST: Lista ficheros
    iv. FIND: Busca fichero
    v. DELE: Borra fichero
    vi. DOWF: Carga fichero o directorio a un sitio FTP remoto: IP: 66.227.73.44, Usuario: jkrikho, Contraseña: kBwSB6xQ
    vii. UPLF: Descarga fichero de un sitio FTP o WEB remoto
    viii. UPDT: Descarga de actualización de troyano
    e. Envía la siguiente petición HTTP, a modo registro:


  6. Banesto, ebankinter, Sabadell, Santander Central, kutxanet, BBVA net Office, Login Page, Bank of China, online@hsbc, HSBC in HongKong, AIG Credit Card, Citybank HongKong, Bank y qweqwe121312 En el momento que el usuario infectado se encuentra en Internet y pulsa una tecla, comprueba si el título de la ventana actual (el tag de una página Web genera el título) (en primer plano) contiene alguna de las subcadenas de caracteres que tiene almacenadas:

  7. Si encuentra alguna de las subcadenas anteriores:
    a. Se guarda a disco el contenido del portapapeles, el título de la ventana y la tecla que se ha pulsado y a partir de aquí se guardan las pulsaciones hasta que se cambia el título de la ventana.
    b. Cada 30 seg y cuando esta conectado a Internet realiza:
    i. Reejecuta los ficheros svchostc y svchosts si fuese necesario
    ii. Comprueba la longitud del fichero sysini.ini y si es mayor de 200 bytes hace lo siguiente:
    1. Abre conexión TCP contra la dirección 194.67.23.10 (smtp.mail.ru)
    2. Compone mensaje con las directivas del protocolo SMTP:

  8. Keylogger “msto32.dll” es la librería encargada de realizar la captura del teclado, utilizada por el fichero system.exe, está librería se utiliza también en el troyano Spy-Togfer.

  9. Proxy “svchosts.exe” es lanzado por system.exe y pone a la escucha en el puerto 4488/tcp, servicio proxy peticiones HTTP y HTTPS.

  10. Proxy “svchostc.exe” es lanzado por system.exe y pone a la escucha en el puerto 3388/tcp, servicio SOCKS, similar a PROXY pero orientados a servicios no http.
    Como se ve en el código la Organización delictiva a través del email spaintroi@mail.ru tenía los datos confidenciales de las victimas, solo les quedaba realizar los apartados “b” (transferencia del capital a otra cuenta) y “c” (sacar el dinero del país victima al país de la organización).
Web Statistics