En este último tiempo, desde el Laboratorio de Análisis e Investigación de ESET Latinoamerica, seguimos encontrando pruebas de la afirmación que hizo Pierre-Marc Bureau sobre como seria el futuro de las botnets. Pierre-Marc predijo que las grandes botnets tenderían a desaparecer, cosa que hasta ahora viene ocurriendo. Basta recordar los casos de Mariposa, Wadelac , Bredolab, Koobface y Coreflood para darse cuenta que esas predicciones fueron acertadas.
Que las grandes botnets estén siendo desmanteladas, no quiere decir que vayan a desaparecer en su totalidad, solamente cambiaran sus objetivos y sus estrategias de ataque. Cosa que esta sucediendo actualmente.
En estos últimos meses, recibimos muchas muestras del troyano Win32/Spy.Zbot de diferentes variantes. Este troyano pertenece a la botnet Zeus, cuyo objetivo principal es el robo de información a los usuarios. Todas las variantes analizadas tienen las mismas características, se conectan a un solo servidor con el objetivo de bajar un archivo de configuración con la información necesaria para realizar el ataque. Algunas de las direcciones de servidores y sus fechas de alta a los cuales se intentan conectar son las siguientes :
Notemos que la fecha de alta de los servidores es muy reciente. Algunos de ellos están dados de baja y otros siguen activos.
Como dijimos anteriormente esta botnet opera conectándose a un servidor y descargando un archivo de configuración el cual contiene un script con las instrucciones del ataque. Algunos archivos utilizados son de extensión .jpg , .bin , .csv y .js , claro esta que nunca debemos fiarnos de las extensiones de archivos solamente para identificar un binario, ya que en la mayoría de los casos se les cambia la extensión, en un intento muy básico de camuflar el verdadero tipo de archivo.
En el registro de Windows realiza varios cambios: crea entradas que le permiten ejecutarse al inicio del sistema operativo, modifica los parámetros de seguridad del Internet Explorer y modifica archivos pertenecientes al cliente de correo Outlook Express para robar información de los contactos.
Para ocultar su identidad crea un archivo .bat en la carpeta TEMP para eliminar el archivo original, de esta manera luego de la infección borra su rastro. Antes de borrarse, una copia del archivo original se almacenara en otra parte del disco para permitirle al cliente permanecer activo.
Estas muestras pertenecen al troyano Zbot que es detectado por ESET Nod32 Antivirus como Win32/Spy.Zbot. Están orientadas a lo que pareciera ser un ataque a un objetivo especifico, su finalidad seria la de robar información sin importar tanto la permanencia de la infección. Esto podemos decirlo ya que estas muestras son actuales y los servidores a los que se conecta ya no están en funcionamiento. Una causa posible podría deberse a la liberación del código de Zeus/Zbot ocurrida hace unos meses, la cual, en teoría, cualquier persona solo podía llegar a tener pagando por ella. Con ese código en sus manos, cualquier programador podría crear una variación de este malware, lo que posibilitaría que grandes cantidades de diferentes variantes de esta amenaza salgan a la luz.
Juan Esteban Forgia
Malware Analyst
Categories: Análisis de malware, Botnet, Curiosidades, Estadísticas, Malware
2 Comments »
noviembre 3, 2010 11:34 am
El 25 de octubre fue comentada alrededor del mundo la noticia acerca del desarme de Bredolab, la tercer red de botnets importante que es controlada en lo que va del año. En ese hecho puntual quién intervino fue el gobierno holandés para dar de baja la botnet. Esta importante red, conocida como Bredolab, contaba con más de 30 millones de equipos infectados en todo el planeta desde julio del 2009.
Para llevar a cabo esta operación, se requirió del esfuerzo conjunto de varias organizaciones involucradas. Sin embargo, a pesar de los esfuerzos se han detectado algunos indicios acerca de la aparición de nuevas variantes de este malware, que infectando nuevos equipos intenta dar pelea para la supervivencia de la botnet, si bien todavía se desconocería si dichos sistemas infectados siguen bajo el comando de la persona de 27 años arrestada durante el desarrollo del operativo.
Según un artículo publicado el último 27 de octubre, se han encontrado indicios acerca de la aparición de nuevos centros de comando para esta red. En el análisis podemos detectar que se analizan tres dominios activos de los cuales se envían comandos a los equipos infectados, principalmente para la descarga de diferentes tipos de malware, principalmente la de falsos antivirus, más conocidos como rogue.
Los dominios mencionados son tres, con dominios .net, .com y .cc respectivamente. Cada uno de ello realiza la ejecución de diferentes instrucciones, y la actividad que presentan los mismos indicarían que Bredolab no ha dado el brazo a torcer y busca volver a resurgir.
Este no es el primer caso de una botnet que intenta volver a resurgir ni será la última, ya que por lo general hay más de un administrador de la misma red, cuando se trata de una con tantas infecciones en su haber. Por lo tanto, es de esperar que Bredolab de pelea antes de caer, que intentará sobrevivir a las medidas de seguridad y seguir causando estragos a lo largo de todo el mundo.
Las botnet presentan un recurso muy importante para el envío de spam, distribución de malware y otras muchas actividades delictivas. Es recomendable conocer de que manera podemos evitar que nuestro equipo sea parte de una botnet, y especialmente contar con una solución antivirus actualizada como ESET NOD32, que detecta esta nueva variante del troyano como Win32/TrojanDownloader.Bredolab.BE.
Hoy en día las botnet son muy rentables para sus administradores, quienes pueden o no haber desarrollado el malware utilizado para infectar a los equipos y es un punto que creemos importante remarcar. No todas las redes de botnet son administradas por los desarrolladores del malware, como así tampoco son administradas por una sola persona, este es un ejemplo más que claro, su uso esta en manos de organizaciones criminales.
Nuestra recomendaciones se centran en la utilización de una solución antivirus constantemente actualizada y un entendimiento por parte de los usuarios de las amenazas existentes. Amenazas existen, siempre aparecerán nuevas y más novedosas. Estos son dos puntos que quedan de nuestro lado como usuarios, y son cien por ciento nuestra responsabilidad. La parte legal queda en mano de las organizaciones existentes para combatir el crimen.
Pablo Ramos
Especialista de Awareness & Research
Categories: Botnet, Malware
2 Comments »
En lo que va del año hemos sido testigos de la desmantelación de dos importantes botnets, demostrando que por más complejas o extensas que las mismas sean, existen formas de cerrarlas.
El 25 de Octubre del corriente año, el Equipo de Delitos de Alta Tecnología de la Brigada de Crimen Nacional Holandés, en estrecha colaboración con un proveedor de alojamiento holandés, el Instituto Forense Holandés (NFI), la compañía de seguridad de Internet Fox-IT y GOVCERT, dieron de baja una botnet de gran tamaño y popularidad denominada Bredolab. La misma poseía mas de 30 millones de equipos infectados a lo largo del planeta desde julio del 2009.
Dichos equipos habían sido infectados con el troyano Win32/TrojanDownloader.Bredolab por lo cual reportaban a alguno de los 143 servidores maliciosos que conformaban la botnet en cuestión, recibiendo instrucciones directamente de los usuarios maliciosos por medio de estos. Una particularidad de la botnet Bredolab es que era utilizada para brindar servicios de “pay per install“, que significa que los botmasters alquilaban la botnet a desarrolladores de malware que tuvieran problemas diseminando sus propias amenazas para luego cobrarles por cada instalación realizada.
El operativo comenzó identificando los 143 servidores de administración utilizados por esta botnet para luego localizar donde se encontraban alojados y así poder ponerse en contacto con dicha empresa de hosting. La empresa en cuestión era LeaseWeb, uno de las empresas mas grandes de este tipo dentro de Europa. Luego, de forma sincronizada con dicha empresa, se realizó el cambio de las credenciales de acceso a todos los servidores maliciosos, para así otorgarle total control al gobierno Holandés sobre los mismos.
Por último, el equipo de especialistas Holandeses procedió a lanzar a los 30 millones de equipos afectados un script especialmente armado que modificaba la pagina de inicio de los navegadores de Internet dirigiéndolos a un sitio especialmente armado donde no solo se les indicaba que su equipo se encontraba infectado por un troyano, sino que también les indicaban de qué manera limpiar su equipo.
Actualmente, varios especialistas de seguridad comentan que, más allá de que este operativo dejó muy “lesionada” dicha botnet, la misma no se encuentra completamente inactiva, ya que pudieron detectar un servidor todavía activo que se encuentra lanzando instrucciones a los equipos zombies para que descarguen una nueva variante de Bredolab.
Los usuarios de ESET NOD32 Antivirus no tienen de qué preocuparse ya que tanto las versiones antiguas de Bredolab como la nueva versión son detectadas bajo el nombre de Win32/TrojanDownloader.Bredolab.[variante].
Lo importante a destacar de todo esto es la importancia del trabajo conjunto entre las fuerzas de seguridad gubernamentales y las empresas o especialistas de seguridad, conjuntamente con la colaboración de los proveedores de servicios de Internet. El accionar y esfuerzo conjunto de todos estos especialistas sumado a una tolerancia nula a este tipo de actividad criminal dió como resultado al cierre de una de las botnets más grandes que hayan existido.
Joaquín Rodríguez Varela
Leader Sales Engineer
Categories: Alertas, Botnet
4 Comments »
Durante el mes de junio, y particularmente las últimas dos semanas, hemos observado un código malicioso que, por un lado, no ofrece grandes innovaciones desde el punto de vista técnico pero que, por el otro, ha logrado indices de propagación elevados para este tipo de malware, llegando a ser detectado algunos días en el 2% de nuestros usuarios, según ThreatSense.Net. Se trata del script detectado por ESET NOD32 Antivirus como JS/TrojanDownloader.Pegel.BR, un código que viene embebido en archivos HTML y que utiliza técnicas de drive-by-download para descargar un archivo dañino en la computadora de la víctima.
Su propagación es a través del correo electrónico, como pueden ver en la siguiente imagen de un mensaje que ha sido filtrado por el antivirus ya que el malware fue detectado en el adjunto open.html:
Si se analiza el archivo HTML adjunto, el mismo posee un scripts ofuscado como se muestra en la siguiente imagen:
El archivo redirige el contenido hacia otro sitio con un script en Java que posee un exploit (detectado como JS/Exploit.JavaDepKit exploit, muy utilizado en algunos paquetes de exploits como Phoenix Exploit Kit) y este finalmente descarga a la computadora de la víctima el archivo detectado por ESET NOD32 como Win32/TrojanDownloader.Bredolab. Si el usuario accede desde un navegador no vulnerable (donde no es posible ejecutar el exploit), el mismo es direccionado a diversos sitios que van desde la venta de viagra hasta página promoviendo la “industria verde”, según la campaña en cuestión.
Como decía al comenzar, a pesar de que la amenaza no posee grandes innovaciones, su campaña de envío de spam (probablemente desde alguna red botnet) ha sido tan masiva que ha impactado directamente en su tasa de éxito, por lo que los usuarios estarán recibiendo esta amenaza en mayor proporción que otras similares.
Sebastián Bortnik
Analista de Seguridad
Categories: Alertas, Malware
9 Comments »
|
