Tag Archive | ecrime
2012/05/02  

Laboratorio de malware

Llevo muchos días preparando dos presentaciones relacionadas con temas de malware, cuando te dedicas a hacer ingeniería inversa, haciendo análisis estático de malware o símplemente realizar un análisis dinámico del sample, requiere, o al menos es importante, el tener un laboratorio montado para realizar estas pruebas. Haré una serie de artículos de como montar un laboratorio de malware para el análisis de muestras y que herramientas se pueden usar, tanto en análisis estático como en análisis dinámico.

Lo mejor para realizar estas pruebas es montar un escenario virtualizado, existen herramientas que detectan la máquina virtual y no se ejecutan pero ya lo veremos mas adelante…

Como software para montar el escenario virtual podemos usar Virtualbox o VMware, en mi caso uso VMware me conozco el software y me gusta, pero os recomiendo usar Virtualbox, es una pasada y funciona de maravilla :)

Como máquina víctima usaremos un Windows XP SP2, el tamaño de la partición debería de ser de 50GB y el Windows debería de estar sin software adicional salvo el que viene instalado y el que pondremos aquí.

No hace falta asignarle mucha memoria RAM a la máquina, pensad que será una máquina que usaremos para hacer el análisis dinámico del malware y, por lo tanmto necesitamos que sea una máquina rápida que podamos trabajar de manera cómoda.

Con VMware tenemos la facilidad de poder analizar todo el tráfico de la máquina virtual recogiendo el tráfico directamente de la tarjeta virtual de VMware.

Será muy fácil el poder hacer el análisis del tráfico de esta manera.

Es muy importante realizar el análisis del tráfico desde fuera de la máquina virtual, ya que ciertos samples de malware pueden no mostrar el tráfico real

 

2012/04/30  

Listado de ExploitPacks

Un kit de explotación, o exploit kit o exploit pack, es una recopilación de exploits, ya conocidos o no, que se usa para infectar a un usuario final, mediante ingeniería social, ataques drive-by explotando vulnerabilidades.

Los kits de explotación suelen venderse en el mercado negro, sobre precios asequibles, por ejemplo:

  • $ 200 x 1 semana
  • $ 300 x 2 semanas
  • $ 400 x 3 semanas
  • $ 500 mensuales
  • $ 50 x 24 horas de prueba 

Estas estadísticas pertenecen al blog de Malware Intelligence

De los kit de explotación, creo que el mas famoso actualmente se trata del Blackhole y el más caro ya que se actualizar muy rápido.

Si miramos una gráfica del año pasado segun Kaspersky, aquí tenéis un ejemplo de la detección:

Lo mas importante de los kits de explotación es la rapidez con la que se puedan actualizar, cuando te encuentras uno de estos kits de explotación suelen estar protegidos con usuario y password.

Estos paneles no suelen ser vulnerables a inyecciones SQL y las contraseñas no son las típicas pues ya se cuidan de proteger estos paneles.

Los kits suelen contener la parte de servidor web, donde se aloja el kit, además contiene estadísticas de usuarios infectados, o de acceso a los exploits, además suelen alojasrse en servidores Bullet-PROFF Hosting o incluso en algún host legítimo comprometido.

Si quieres conocer un listado actualizado y una review de los kits de explotación, puedes consultar la siguiente lista.

Update Exploits kit

 

2012/03/18  

Phishing en los bancos -TD Bank

Hola!

Muy buenas a todos/as!

En otro de los correos que me ha lelgado de mis contactos, que parece que últimamente deben de estar todos infectados >.<!

El mensaje contenía esto:

Yo al principio pensaba que el phishing iría dirigido a PayPal, pero no… una vez que entrabas

La web es identica a la original, de nuevo han copiado los estilos CSS de la web original.

Como siempre en el apartado de login y password aceptan cualquier cosa que le pongas

Entonces le piden al cliente todos los datos.

Lo que me parecía increíble es que,a aparte de robar la información sobre la tarjeta de crédito, también te piden el correo electrónico y la contraseña del mismo. ES decir, no solo te roban el dinero si no también tu cuenta de correo.

Una entidad bancaria jamás te pediría estos datos, ni todos los datos a través de un correo electrónico.

Además podemos mirar el código fuente del mensaje, así podemos también ver cosas interesantes.

En el campo FROM podemos ver que parece que viene de la dirección de la entidad bancaria, pero podemos ver en las cabeceras del correo, que no, que efectivamente viene de otra dirección de correo.

Estos son algunos tips que os puedo dar para que analicéis un caso de phishing.

Saludos

 

2012/02/15  

Detrás de un panel de Zeus II

Hola!

Muy buenas a todos/as!

En la entrada de ayer explicaba por encima que existen un tipo de troyanos enfocados al Home banking, estos troyanos están especializados en el robo de credenciales de los clientes para acceder a la banca electrónica, para luego cometer fraude  con esos datos robados.

Con las capturas de Wireshark, se podía observar como el troyano intentaba conectarse con el panel remoto, para descargar la configuración. Con esta configuración inyecta en Internet Explorer de manera que la página web original podría ser modificada.

Por ejemplo:

Como podemos ver el dato más impactante que pide la aplicación web se trata de La Firma electrónica del usuario, mas la clave, mas los otros datos.

La problemática viene dada cuando sin saber si este troyano afecta a tu banco, antes de que puedas hacer las pruebas el dominio, ha sido dado de baja, como resultado el troyano no podrá bajar la configuración y completar su proceso de manera correcta.

En este caso he rescatado la configuración que Zeus intentaba obtener del panel de control, así que ahora engañaremos al troyano para que obtenga la configuración, pero seremos nosotros mismos quien se la sirvamos.

En este escenario tendremos la máquina virtual y montaremos un pequeño servidor web y obligaremos al troyano a acceder a nuestro servidor, para el troyano será totalmente transparente.

Si recordáis las trazas de red en el artículo anterior:

GET /mm.bin HTTP/1.1
Accept: */*
Connection: Close
User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET4.0C; .NET4.0E; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; .NET CLR 1.1.4322)
Host: ejemplo.ru
Cache-Control: no-cache

Editaremos el archivo hosts de la máquina infectada hacia nuestro servidor web :)

# Copyright (c) 1993-1999 Microsoft Corp.
#
# Éste es un ejemplo de archivo HOSTS usado por Microsoft TCP/IP para Windows.
#
# Este archivo contiene las asignaciones de las direcciones IP a los nombres de
# host. Cada entrada debe permanecer en una línea individual. La dirección IP
# debe ponerse en la primera columna, seguida del nombre de host correspondiente.
# La dirección IP y el nombre de host deben separarse con al menos un espacio.
#
#
# También pueden insertarse comentarios (como éste) en líneas individuales
# o a continuación del nombre de equipo indicándolos con el símbolo “#”
#
# Por ejemplo:
#
# 102.54.94.97 rhino.acme.com # servidor origen
# 38.25.63.10 x.acme.com # host cliente x

127.0.0.1 localhost
192.168.1.250 ejemplo.ru

Ahora mediante Python crearemos un pequeño servidor web desde donde serviremos la configuración:

import SimpleHTTPServer
import SocketServer

PORT = 80

Handler = SimpleHTTPServer.SimpleHTTPRequestHandler

httpd = SocketServer.TCPServer(("", PORT), Handler)

print "serving at port", PORT
httpd.serve_forever()

Para mas información se puede consultar la documentación de Python

Ahora ejecutaremos el Malware en cuestión, y observaremos como obtiene el archivo de configuración de nuestro pequeño servidor web, además de intentar enviar los datos al panel remoto.

serving at port 80
192.168.1.250 – - [15/Feb/2012 00:21:53] “GET /mm.bin HTTP/1.1″ 200 -
192.168.1.250 – - [15/Feb/2012 00:22:23] code 501, message Unsupported method (‘POST’)
192.168.1.250 – - [15/Feb/2012 00:22:23] “POST /panel/acc.php HTTP/1.1″ 501 -
192.168.1.250 – - [15/Feb/2012 00:22:29] code 501, message Unsupported method (‘POST’)
192.168.1.250 – - [15/Feb/2012 00:22:29] “POST /panel/acc.php HTTP/1.1″ 501 -

Bingo! Ha conseguido recoger el archivo de configuración, pero como no dispongo de la configuración de Zeus, no puede hacer el POST correcto al servidor web, pero nos sirve para que al menos recoja el archivo de configuración.

En esta parte del artículo, hemos podido comprobar como el Malware se conecta a nuestro servidor web, ya que lo engañamos modificado el archivo hosts y como este recoge la configuración.

Saludos

 

 

« Older Posts