El cibercrimen es desde hace bastante tiempo el principal motivo por el cual podemos observar numerosos códigos maliciosos emergiendo cada día y evolucionando constantemente con el fin no sólo de evadir la detección de los antivirus, sino que también para maximizar las ganancias ilícitas. De este modo, nos encontramos ante un panorama de delitos cibernéticos que en su mayoría, son perpetrados utilizando malware dinámico capaz de crear botnets, es decir, redes de computadoras zombis controladas remotamente por ciberdelincuentes, quienes literalmente se adueñan del equipo infectado pudiendo obtener cualquier clase de información como contraseñas, tarjetas de crédito, etc.

Como forma de frenar este modus operandi delictivo, Microsoft invierte recursos en el desmantelamiento de botnets, habiendo triunfado relativamente en 2010 con la baja de Waledac (reapareció casi un año después), luego en marzo de 2011 con Rustock, y a finales del mismo año, con Kelihos. A esa lista de tres operaciones en contra del cibercrimen se añade una cuarta liderada por la unidad de crímenes digitales de Microsoft (DCU) y otras empresas. Este se trata del operativo más complejo realizado por la gigante del software, logrando dar de baja a una parte de las botnets que utilizan Zeus para operar. A través de una redada apoyada por algunas autoridades estadounidenses y alguaciles, se incautaron físicamente algunos servidores web encontrados en Pensilvania e Illinois, los que eran utilizados como centros de comando y control (C&C), es decir, lugares desde donde los ciberdelincuentes envían órdenes como obtener determinada información sensible, enviar spam, o atacar otros sistemas.

Zeus se ha transformado en una de las botnets más prolíficas del mundo con una cantidad aproximada de 13 millones de posibles infecciones, de las cuales 3 millones provendrían de Estados Unidos según cifras de Microsoft. Esta familia de códigos maliciosos detectados por ESET NOD32 Antivirus como Win32/Spy.Zbot y Win32/Spy.SpyEye (versión modificada de Zeus), han provocado fraudes que se estiman en millones de dólares.

Ver más… »

Categories: Botnet
No Comments »

Esta entrada corresponde a la segunda y última parte del análisis que previamente habíamos comenzado. En la primera parte vimos como obtener la imagen TIFF (Tagged Image File Format) que dispara la vulnerabilidad, en este post analizaremos un poco el bug y veremos como se ejecuta el código remoto.

Para entender el post, serán necesarios diferentes conocimientos sobre exploit writing y arquitectura de computadoras.

Examinando la vulnerabilidad

El agujero de seguridad se encuentra en la siguiente zona:

Esta porción de código corresponde al módulo AcroForm.api de Adobe Reader. Aquí se esta copiando la cantidad de bytes definidos en el registro EDI a una variable local, esta variable reside en la pila del programa, al no haber ningún chequeo de tamaño tiene la posibilidad de escribir zonas contiguas de memoria en la pila del programa.

Esta es una técnica de explotación que tiene mas de 20 años de antigüedad, conocida mundialmente como buffer overflow. El valor de EDI  contiene el campo “Numero de valores” de las etiquetas de la imagen TIFF. Estas etiquetas tienen la siguiente estructura:

Veamos en el depurador para entender un poco más:

En primer lugar, se encuentra la etiqueta 0×150 correspondiente a DotRange marcado en amarillo, luego el numero de valores está marcado en verde y es el dato que manipula el registro EDI. Para ver esto, se modifica el valor y se verifica el registro EDI al momento de la llamada a memcpy vulnerable:

Ver más… »

Categories: Análisis de malware, Malware
2 Comments »

En el ultimo tiempo hemos recibido en el Laboratorio de Análisis e Investigación de ESET Latinoamérica diversas muestras de malware que simulan ser archivos legítimos de diversos formatos como PDF,DOC odocumentos HTML. Estos no son los únicos documentos afectados pero si los mas comunes, por tratarse de documentos altamente usados y estandarizados. La forma que ejecutan códigos maliciosos pueden ser muy variadas, pero por lo general hacen uso de algún exploit para lograr corromper la memoria, y así forzar la ejecución de código malintencionado.

En las siguientes lineas analizaremos una muestra que es detectada por ESET NOD32 Antivirus como PDF/CVE-2010-0188. La vulnerabilidad anteriormente mencionada es relativamente antigua, concretamente data de febrero de 2010.

La única razón por la que esta muestra se sigue difundiendo es porque está dirigida a usuarios de Adobe Reader, sin duda alguna el lector de archivos PDF más difundido. Es relativamente común encontrarse con versiones viejas de este lector, pero las versiones que nos competen en el día de hoy, están comprendidas entre la versión 8.0 a la versión 9.3. Estas versiones poseen un bug que dispara la ejecución de código arbitrario al tener incrustada una imagen TIFF especialmente manipulada.

En esta primera etapa, trataremos de desglosar los diferentes fases que contempla el reto de análisis para comprender el accionar del código malicioso y, en un futuro post, detallaremos cómo se explota la vulnerabilidad. Entonces, ¿cómo se realiza el análisis?

Primer acercamiento

Para comenzar, analizamos el archivo PDF con cualquier editor de texto. En este caso utilicé WordPad, para ver la estructura que tiene el archivo:

Los archivos PDF puede contener cualquier flujo de bytes representados con diferentes encoders, estos se encuentran entre los tags “stream” y “endstream“. Lo primero que llama la atención de este exploit en particular, es que no contiene código Javascript. En la imagen se observa en naranja que posee un archivo embebido que está codificado con FlateDecode. Algunos de otros codificadores que pueden utilizarse son:

• ASCIIHexDecode
• ASCII85Decode
• LZWDecode
• RunLengthDecode
• CCITTFaxDecode
• JBIG2Decode
• DCTDecode
• JPXDecode
• Crypt

Ver más… »

Categories: Análisis de malware, Malware
3 Comments »

En esta oportunidad queremos compartir con ustedes el análisis de un ataque reportado al Laboratorio de ESET Latinoamérica por el Distribuidor de ESET en Venezuela. El ataque comienza con la propagación de un correo falso que dice provenir del SENIAT (Servicio Integrado de Administración Aduanera y Tributaria),  haciendo uso de la Ingeniería Social la posible víctima puede seguir el enlace a una página maliciosa que lleva a la descarga de esta amenaza.

Una vez que el usuario recibe el correo y cae víctima del engaño sigue en enlace que lo lleva a la descarga de un archivo que supone ser un PDF pero que en realidad tiene una doble extensión: seniat.pdf.exe.

Ante la curiosidad del usuario, quien desea conocer las posibles novedades acerca de temas de índole jurídica y de impuestos de su país, puede pasar por alto que este archivo cuenta con una doble extensión y ejecutar el mismo. Al hacerlo en realidad no estaría abriendo un PDF sino que se trataría de un troyano detectado como Win32 Qhost.NHN por ESET NOD32 Antivirus. Esta muestra se encuentra empaquetada con una variante de UPX para dificultar su análisis, sin embargo veamos qué es lo que hace.

La amenaza esta diseñada para modificar el archivo host del sistema y de ese momento en adelante, cuando el usuario quiera acceder a la página de su banca electrónica en realidad estará accediendo a una página falsa en la que sus datos podrían ser robados por el atacante:

Ver más… »

Categories: Malware
1 Comment »

Mucho se ha escuchado hablar sobre la liberación del código fuente de Zeus, la botnet cuyo principal objetivo es el robo de información bancaria. Hasta ahora habíamos explicado cómo comenzaban a aparecer pequeñas variantes de esta botnet permitiéndonos estimar su futuro crecimiento, pero hoy podemos dar crédito a esas predicciones y demostrar con datos reales la veracidad de los mismos.

A mediados del pasado mes de mayo, ocurrió algo de lo que se venía hablando desde hacía ya un tiempo, pero que hasta ese momento solo habían sido rumores: la liberación del código de Zeus. Este hecho, esperado por algunos, abrió una nueva etapa en lo que respecta a este malware. Dicha liberación de código permitió a los investigadores corroborar los trabajos de análisis realizados sobre éste código malicioso y conocer en detalle ciertos aspectos que por su complejidad no eran tan difundidos.

La disponibilidad del código benefició a los investigadores, como mencionamos anteriormente, pero lamentablemente también trajo beneficios para los creadores de malware los cuales, con el código a su disposición, le dieron vida nuevamente a esta amenaza. Con el código liberado, se esperaba el crecimiento de variantes de este malware, cosa que desde el Laboratorio de Análisis e Investigación de ESET Latinoamérica pudimos corroborar al analizar las muestras que nos llegan diariamente enviadas por usuarios de ESET NOD32 Antivirus y ESET Smart Security.

Ver más… »

Categories: Botnet, Estadísticas
1 Comment »