Análisis de un ataque de malware basado en web. Autor: Jorge Mieres E-Mail: jorge.mieres.ef#gmail.com www.evilfingers.com (febrero de 2009)



Documentos relacionados
Qué son y cómo combatirlas

Por qué han recurrido los cibercriminales a los ataques de JavaScript malicioso

Detectar y solucionar infecciones en un sitio web

Utilizando Redes Sociales para propagar malware

Reputació n Web. Actualmente la forma por la que se infectan los equipos puede ocurrir, como norma general, de tres formas distintas:

Redes sociales utilizadas para propagar malware

Guía de Instalación. Seguridad Esencial PC Tools

Rogue: Falsos antivirus gratis

ESPOCH - FACULTAD CIENCIAS BOLETÍN TÉCNICO INFORMÁTICO de diciembre del 2008

Gusanos que dañan el Sistema Operativo

Waledac, el troyano enamorado

Disfrazando códigos maliciosos: Ingeniería Social apliacada al malware

Guía de Instalación. Antivirus PC Tools Internet Security

Modulo I. Introducción a la Programación Web. 1.1 Servidor Web.

La utilización de las diferentes aplicaciones o servicios de Internet se lleva a cabo respondiendo al llamado modelo cliente-servidor.

Seguridad en Windows 7

Internet y Correo Electrónico. Guía del Usuario Página 23. Centro de Capacitación en Informática

Hostaliawhitepapers. Qué amenazas nos podemos encontrar por la red

Son herramientas diseñadas para detectar, bloquear y eliminar virus informáticos y otros programas maliciosos.

Qué es un antivirus? Son programas cuya función es detectar y eliminar Virus informáticos y otros programas maliciosos (a veces denominados malware).

UNIDAD DE INFORMÁTICA

Herramientas para evitar ataques informáticos

Capítulo 1: Empezando...3

F-Secure Anti-Virus for Mac 2015

infinitum Guía de Instalación Antivirus Pc Tools Internet Security

QUÉ ES UN SERVIDOR Y CUÁLES SON LOS PRINCIPALES TIPOS DE SERVIDORES? (PROXY, DNS, WEB, FTP, SMTP, ETC.) (DV00408A)

Seguridad Informática ANTIVIRUS. Antivirus


TorrentLocker se enmascara tras Cryptolocker y juega al despiste en la suplantación de Correos.

Propuesta de Portal de la Red de Laboratorios Virtuales y Remotos de CEA

Manual Básico de Helm 4.2 para Usuarios:

GUÍA DE USUARIO: GOOGLE DRIVE

MANUAL DE USUARIO Dominio DNS PORTAL CLIENTES GTD INTERNET.

Inducción al Laboratorio de Informática

LIMPIEZA DE MALWARE: seguridadticmelilla.es

12 medidas básicas para la seguridad Informática

Edición de Ofertas Excel Manual de Usuario

ECBTI/Sur/Herramientas Teleinformáticas Malware. Hernando Arbey Robles Puentes. Neiva, 8 de Septiembre de 2014

ALERTA ANTIVIRUS: RECOMENDACIONES

Dorkbot: conquistando Latinoamérica

DOCENTES FORMADORES UGEL 03 PRIMARIA

O C T U B R E SOPORTE CLIENTE. Manual de Usuario Versión 1. VERSIÓN 1 P á g i n a 1

QUE ES UN SERVIDOR DNS POR: ING-ESP PEDRO ALBERTO ARIAS QUINTERO. Este Es un documento donde se comentan algunos aspectos de un servidor DNS

Ataques XSS en Aplicaciones Web

Lo más habitual es que los virus permanezcan ocultos en archivos del tipo ejecutable (.exe y.com), pero pueden existir en otros formatos.

FALSOS ANTIVIRUS Y ANTIESPÍAS

EL SOFTWARE MALICIOSO MALWARE

Cross Site Scripting. Conceptos Básicos y Casos prácticos. Antonio González Castro antonio@noveria.es

LiLa Portal Guía para profesores

Eset, LLC 1172 Orange Ave., Coronado, California 92118, USA phone: (619) , fax: (619)

MalwareIntelligence. Análisis de un ataque de malware basado en web

Guías de ayuda para la configuración de la privacidad y seguridad de las redes sociales

hay alguien ahi? por Marcelino Alvarez

Microsoft Access proporciona dos métodos para crear una Base de datos.

Modelos de gestión de contenidos

Antivirus PC (motor BitDefender) Manual de Usuario

Microsoft Security Intelligence Report

Nuevo diseño de Google Apps Gmail, Calendar, Docs y Sites 28/11/11

TECNOLÓGICO NACIONAL DE MÉXICO Instituto Tecnológico De Tijuana SEMESTRE 1 ENERO-JUNIO TI1A. UNIDAD 5.

Lección 6: Malware. Bernardo Quintero Hispasec VirusTotal Founder

Manual nuevas herramientas de análisis en Analiza.cl: Proveedores y Contratos

La interoperabilidad se consigue mediante la adopción de estándares abiertos. Las organizaciones OASIS y W3C son los comités responsables de la

WORKSHOP PATAGONIA 2009

MANUAL DE USUARIO ANTIVIRUS BANDA ANCHA

Guía del usuario - escan para Linux Servidor de archivo

Dulce M. Vázquez Caro

GUÍA PARA LA INSTALACIÓN DE MOODLE EN UN COMPUTADOR PERSONAL QUE USA EL SISTEMA OPERATIVO MS. WINDOWS

Manual de Usuario Comprador Presupuesto

PROCESO DE ACTUALIZACIÓN SISTEMA CONTABILIDAD WINDOWS A TRAVÉS DE INTERNET

Una solución para sistematizar sus memorias técnicas, controlar la ejecución de sus proyectos y hacer más y mejores negocios

Instalación y uso del cliente FTP Filezilla

DOCUMENTOS COMPARTIDOS CON GOOGLE DOCS

McAfee Security-as-a-Service

Directiva PCM/SG Directiva de seguridad ante la presencia de virus informático en la Presidencia del Consejo de Ministros

FUNDAMENTOS DE REDES CONCEPTOS DE LA CAPA DE APLICACIÓN

14. Descarga de programas en Internet (III) Qué són los virus? Hasta qué punto son dañinos? Son eficaces los antivirus?

MANUAL DE USUARIO DE CUENTAS DE CORREO

PROYECTO ESPECIAL CHAVIMOCHIC INFORME TECNICO PREVIO DE EVALUACION DE SOFTWARE N GR-LL/PECH-05-INF

.TEL Un uso innovador del DNS

Para nuestro ejemplo, el caso que se aplica es el del punto b. Los pasos a seguir son los siguientes:

SEGURIDAD INFORMATICA VIRUS INFORMATICOS Y OTROS CODIGOS DAÑINOS


PRACTICA CAPITULO 2 MODULO 1 PROTOCOLOS Y LA FUNCIONALIDAD DE LA CAPA DE APLICACIÓN

Capítulo 3 Diseño del Sistema de Administración de Información de Bajo Costo para un Negocio Franquiciable

Redes de Computadores I

Introducción a Spamina

BIBLIOTECA ONLINE Guía del Usuario

WINDOWS : TERMINAL SERVER

INFORMÁTICA IE. Términos a conocer y conceptos básicos. World Wide Web (WWW):

White Paper Gestión Dinámica de Riesgos

Configuración de Apache

Sesión No. 4. Contextualización INFORMÁTICA 1. Nombre: Procesador de Texto

Dudas y certezas sobre las redes sociales en la empresa

Simulador de Protocolos de Red a tráves de WEB

Organizándose con Microsoft Outlook

Google Drive y Almacenamiento en Nubes Virtuales

Conexión a red LAN con servidor DHCP

Móvil Seguro. Guía de Usuario Terminales Android

Práctica de introducción a

We Care For Your Business Security

Transcripción:

Análisis de un ataque de malware basado en web Autor: Jorge Mieres E-Mail: jorge.mieres.ef#gmail.com www.evilfingers.com (febrero de 2009) White Paper

Introducción Internet se ha transformado en una aliada plataforma de ataque para los creadores de malware, quienes a través del empleo de diferentes técnicas tales como Drive-by-Download, Drive-by- Update, scripting, exploit, entre otros, y la combinación de ellos, buscan reclutar todo un ejercito de computadoras que respondan sólo a sus instrucciones maliciosas. Estos ataques, empleando Internet como base para ejecutar cargas dañina de manera directa sobre el sistema víctima, de forma paralela, casi instantánea y transparente a la vista de los usuarios menos experimentado, se ha convertido en un latente y peligroso riesgo de infección por el simple acto de acceder a un sitio web. En el siguiente documento se expone un ejemplo concreto que recurre a las acciones antes mencionadas para explotar e infectar un sistema víctima, describiendo también varias características extras que potencian el daño del malware. 2

El proceso de ataque La situación podría ser la siguiente: como habitualmente lo hace, un usuario accede a su casilla de correo electrónico para chequear sus mensaje; entre ellos, encuentra uno de bajo un atractivo asunto lo insita a abrirlo. El usuario abre el correo en cuestión, y encuentra en el cuerpo del mensaje un enlace incrustado. El usuario, hace clic sobre dicho enlace para acceder al sitio que se especifica en el cuerpo del mensaje. Cuando el navegador web accede al dominio en cuestión, el usuario sólo visualiza una página en blanco que únicamente contiene dos líneas ; en consecuencia, cierra el navegador suponiendo que el contenido de la página ya no se encuentra disponible. Sin embargo, lejos de suceder lo que el usuario supone, en segundo plano se llevan a cabo actividades totalmente transparentes. La página posee componentes maliciosos que intentaran explotar en el equipo de la víctima. Al acceder a la página maliciosa, un script ejecuta de manera transparente varias etiquetas iframes que posibilita la apertura en segundo plano de otros sitios web, esta técnica es conocida como Drive-by- Download; y un exploit diseñado para aprovechar una vulnerabilidad en el servicio de servidor de plataformas Windows que no trata correctamente una petición RPC especialmente creada. Dicha vulnerabilidad es explicada en el boletín MS08-067, y un dato interesante radica en que, actualmente, la vulnerabilidad mencionada es activamente explotada por el gusano Downadup/Conficker con una tasa de infección muy alta. En el script, se encuentra embebida la referencia hacia un archivo llamado sina.css. Este archivo no es lo que parecería ser, una hoja de estilo encascada según su extensión, sino que se trata de un archivo ejecutable que es el encargado de activar el exploit para la vulnerabilidad mencionada. Inmediatamente después de encontrar la vulnerabilidad en el sistema víctima, el malware inyecta código dañino en los procesos winlogon.exe, explorer.exe y services.exe, y realiza una copia de si mismo en C:\DOCUME~1\user\LOCALS~1\Temp\ bajo el nombre svchost.exe creando su proceso asociado. Además, también crea el archivo Beep.sys en C:\WINDOWS\system32\drivers\ ejecutándolo como servicio del sistema, y ocultándose con las capacidades propias de rootkit. 3

Al mismo tiempo, manipula el registro del sistema para evitar la ejecución de las siguientes procesos correspondientes a herramientas de seguridad: RStray.exe, ProcessSafe.exe, rfwproxy.exe, DrvAnti.exe, KPfwSvc.exe, rfwsrv.exe, safeboxtray.exe, Kregex.exe, rfwstub.exe, 360tray.exe, KRepair.com, RsAgent.exe, 360safebox.exe, KsLoader.exe, Rsaupd.exe, 360Safe.exe, 360rpt.exe, KvDetect.exe, rstrui.exe, adam.exe, AgentSvr.exe, KvfwMcl.exe, runiep.exe, AntiArp.exe, kvol.exe, safelive.exe, AppSvc32.exe, kvolself.exe, scan32.exe, arswp.exe, KVSrvXP.exe, SelfUpdate.exe, AST.exe, kvupload.exe, shcfg32.exe, autoruns.exe, kvwsc.exe, SmartUp.exe, avconsol.exe, KvXP.kxp, SREng.exe, avgrssvc.exe, KWatch.exe, SuperKiller.exe, AvMonitor.exe, KWatch9x.exe, symlcsvc.exe, avp.com, KWatchX.exe, SysSafe.exe, avp.exe, MagicSet.exe, taskmgr.exe, CCenter.exe, mcconsol.exe, UmxCfg.ex ccsvchst.exe, mmqczj.exe, TrojanDetector.exe, EGHOST.exe, mmsk.exe, TrojDie.exe, FileDsty.exe, Navapsvc.exe, UIHost.exe, filemon.exe, Navapw32.exe, UmxAgent.exe, FTCleanerShell.exe, NAVSetup.exe, UmxAttachment.exe, FYFireWall.exe, nod32.exe, UmxFwHlp.exe. GFRing3.exe, nod32krn.exe, GFUpd.exe, nod32kui.exe, HijackThis.exe, NPFMntor.exe, IceSword.exe, PFW.exe, iparmo.exe, PFWLiveUpdate.exe, Iparmor.exe, procexp.exe, ispwdsvc.exe, QHSET.exe, kabaload.exe, QQDoctor.exe, KASMain.exe, QQDoctorMain.exe, KASTask.exe, QQKav.exe, Ras.exe, KAV32.exe, Rav.exe, KAVDX.exe, RavMon.exe, KAVPF.exe, RavMonD.exe, KAVPFW.exe, RavStub.exe, KAVSetup.exe, RavTask.exe, KAVStart.exe, RawCopy.exe, KISLnchr.exe, RegClean.exe, KMailMon.exe, regmon.exe, KMFilter.exe, RegTool.exe, KPFW32.exe, rfwcfg.exe, KPFW32X.exe, rfwmain.exe, 4

Por otro lado, el malware manipula el registro del sistema eliminando las subclaves contenidas en HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\ y en HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ para evitar que el sistema pueda ser arrancado en modo seguro (MPF). Todas estas acciones defensivas desplegadas por el malware, tienen como objetivo principal evitar su análisis y posterior detección por parte de las compañías antivirus, prolongando así su ciclo de vida. Por otro lado, establece una conexión contra la dirección IP 60.161.34.251, correspondiente al dominio hfdy2929.com (alojada en Beijing, China - Chinanet Yunnan Province Network), y realiza una consulta DNS. También, a través del protocolo http en el puerto por defecto, establece una conexión contra el dominio 999.hfdy2828.com, también alojado en China (Chongqing Chinanet Chongqing Province Network). Al establecer esta segunda conexión, consulta el archivo bak.txt que contiene un listado de malware a descargar, lo que se conoce como Drive-by-Update. El archivo de actualización en cuestión posee la siguiente información: [update] url=http://www.baidu.com/hun.exe [file] isfile=1 count=34 url1=http://999.2005wyt.com/cao/aa1.exe url2=http://999.2005wyt.com/cao/aa2.exe url3=http://999.2005wyt.com/cao/aa3.exe url4=http://www.baidu.com/cao/aa4.exe url5=http://www.baidu.com/cao/aa5.exe url6=http://999.2005wyt.com/cao/aa6.exe url7=http://999.2005wyt.com/cao/aa7.exe url8=http://999.2005wyt.com/cao/aa8.exe url9=http://www.baidu.com/cao/aa9.exe url10=http://www.baidu.com/cao/aa10.exe url11=http://999.2005wyt.com/cao/aa11.exe url12=http://www.baidu.com/cao/aa12.exe url13=http://www.baidu.com/cao/aa13.exe url14=http://www.baidu.com/cao/aa14.exe url15=http://999.2005wyt.com/cao/aa15.exe url16=http://999.2005wyt.com/cao/aa16.exe 5

url17=http://999.2005wyt.com/cao/aa17.exe url18=http://www.baidu.com/cao/aa18.exe url19=http://www.baidu.com/cao/aa19.exe url20=http://999.2005wyt.com/cao/aa20.exe url21=http://999.2005wyt.com/cao/aa21.exe url22=http://www.baidu.com/cao/aa22.exe url23=http://999.2005wyt.com/cao/aa23.exe url24=http://999.2005wyt.com/cao/aa24.exe url25=http://999.2005wyt.com/cao/aa25.exe url26=http://999.2005wyt.com/cao/aa26.exe url27=http://999.2005wyt.com/cao/aa27.exe url28=http://999.2005wyt.com/cao/aa28.exe url29=http://999.2005wyt.com/cao/aa29.exe url30=http://999.2005wyt.com/cao/aa30.exe url31=http://999.2005wyt.com/cao/aa31.exe url32=http://www.baidu.com/cao/aa32.exe url33=http://999.2005wyt.com/cao/aa33.exe url34=http://999.2005wyt.com/cao/aa34.exe Se trata de un total de 35 archivos binarios (ejecutables) que corresponden a los siguientes códigos maliciosos: Win32/TrojanDropper.Agent.NPO Win32/PSW.Legendmir.NGG Win32/PSW.OnLineGames.NRD Win32/PSW.OnLineGames.NRF Win32/PSW.OnLineGames.NTM Win32/PSW.OnLineGames.NTN Win32/PSW.OnLineGames.NTP Win32/PSW.WOW.DZI NOTA: la nomenclatura empleada como nomenclatura de cada malware corresponde a la establecida por el motor de firmas de ESET NOD32 Antivirus 3.0.672.0. 6

En el código script que se muestra en la primera de las imágenes, se aprecia que existen varias etiquetas iframe que mantienen la misma metodología explicada, verificando en el equipo víctima la existencia de vulnerabilidades a través de exploits. El detalle de los dominios a los que se accede de manera transparente a través de iframes es el siguiente: La dirección web http://sss.2010wyt.net/ac.html, descarga un archivo binario llamado css.css que utiliza la misma metodología de engaño empleada por cina.css, es decir, simula ser un archivo de estilo, pero a diferencia del primero, explota una vulnerabilidad en Windows Metafile (WMF). Del mismo modo, un JavaScript explota las vulnerabilidades MS08-067 y MS06-014 a través de http://sss.2010wyt.net/614.js descargando el archivo bak.css desde http://xxx.2009wyt.net. Por último, desde http://sss.2010wyt.net/r.js, http://sss.2010wyt.net/r.html, http://sss.2010wyt.net/fzl.htm y http://sss.2010wyt.net/asd.htm, descargan los archivos versionie.swf y versionff.swf desde http://sss.2010wyt.net. Ambos explotan una vulnerabilidad en Flash Player. Sin embargo, no todo termina aquí mismo, sino que aparece otro dominio desde el cual se descargan algunos de los códigos maliciosos a través de Drive-by-Update, comentado líneas arriba, desde el archivo bak.txt. La relación de este dominio con otros es la siguiente: Los ataques a través de códigos maliciosos se han vuelto más sofisticados y más habituales. Lo expuesto en este documento es un claro reflejo de ello. El empleo y combinación de diferentes tecnologías para atacar a través de diferentes metodologías maliciosas es cada vez más complejo y difícil de analizar. Información útil Boletín de seguridad MS08-067 http://www.microsoft.com/latam/technet/seguridad/boletines/2008/ms08-067.mspx Boletín de seguridad MS06-014 http://www.microsoft.com/spain/technet/seguridad/boletines/ms06-014-it.mspx CVE-2008-4250 http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2008-4250 Tasa de detección del binario css.css http://www.virustotal.com/analisis/f9e0aed93ddfc6077a4c87c6a0437f97 Ataque de malware vía Drive-by-Download http://mipistus.blogspot.com/2009/01/ataque-de-malware-va-drive-by-download.html Drive-by-Update para propagación de malware http://mipistus.blogspot.com/2009/02/drive-by-update-para-propagacion-de.html Explotación masiva de vulnerabilidades a través de servidores fantasmas http://mipistus.blogspot.com/2009/01/explotacin-masiva-de-vulnerabilidades.html 7

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback