Ransom… qué?

Este post decidí publicarlo ya que vino a mi mente cuando el Torres crack se emocionó por descubrir una variante (esta ya existía desde hace tiempo )
y según le hizo análisis etc cuando ya habían post sobre investigación de ransonware y sus variantes.
En fin sólo quería burlarme de el ^.^

Dentro del Ransomware existen multitud de variantes. Este post no pretende ser una recopilación exhaustiva sino un simple repaso de las distintas técnicas usadas por las muestras más relevantes que han pasado por el departamento de Ecrime de S21sec.

Una de la más extendida el año pasado fue Urausy, más conocido como “Virus de la Policía”.

20140228-103159.jpg

Malware que, a pesar de tener algunos interesantes trucos anti-análisis, su funcionalidad principal se limita a crear un nuevo escritorio, mostrar una de las imágenes anteriores según el país de la víctima y bloquear el sistema hasta que se pague el rescate.

Por suerte, el número de muestras detectadas por S21sec parece ir en claro descenso en los últimos meses; lo que podría indicar que su final está cerca:

20140228-103245.jpg

Pero en este mundo, lo que es el final para una amenaza, es el comienzo para otras nuevas, como la variante a la que hemos llamado RansomChild por hacer uso de imágenes de pornografía infantil (que no vamos a reproducir aquí) para hacer más efectivo su chantaje. Funcionalmente también bloquea el sistema, pero tiene como peculiaridad un sistema de generación de dominios (DGA por sus siglas en inglés) a partir de una semilla estática como backup al panel de control.

Otra de las más destacadas durante el año pasado ha sido Cryptolocker:

20140228-103328.jpg

En este caso el rescate no se pide por desbloquear el sistema sino por la recuperación de los múltiples ficheros que cifra de forma irrecuperable. El malware, tras instalarse se añade al registro para sobrevivir al reinicio y empieza a comprobar dominios generados mediante un DGA basado en tiempo, hasta dar con uno que responda, al que envía un archivo llamado CryptoLockerID con el que el servidor genera un par de claves (publica y privada) específicas para el equipo infectado.

Cryptolocker ha sido uno de los Ransomwares que hacen uso de cifrado más extendidos y que más estragos ha causado de los últimos tiempos, aunque gracias a la pronta respuesta de la comunidad, ha sido posible atajarlo en gran medida.

Uno que ha hecho menos ruido, pero no menos daño a quien ha sido víctima del mismo, es el conocido como Anti-Child Porn SPAM protection 2.0:

20140228-103418.jpg

También cifra ficheros de forma irrecuperable hasta la fecha, y tiene como peculiaridad que no se distribuye de forma masiva sino que el grupo detrás de el mismo parece conseguir acceso previo a los sistemas (Windows Server) a través de ataques de fuerza bruta al servicio de escritorio remoto en el puerto 3389.

Tan rentable está siendo el sistema seguido por los Ransomwares, que hasta llegan a salirse de la localidad objetivo, como ha sido testigo uno de nuestros clientes afectado por la variante GPCode:

20140228-103500.jpg

Por lo tanto, como hemos visto, la mejor solución para este tipo de malware pasa por la prevención, sobre todo en el caso de aquellos que hacen uso de cifrado, ya que no siempre vamos a tener la suerte de que sea débil y pueda ser roto como ha sucedido en el caso de Bitcrypt por nuestros colegas de Cassidian.

De esta forma se recomienda:
En primer lugar, sentido común, ya que la ingeniería social suele ser un componente importante a la hora de infectar.
Para evitar el cifrado de archivos en carpetas compartidas, es importante restringir los permisos en unidades de red para evitar que la infección de un usuario con permisos pueda desembocar en el cifrado de las mismas.
Se recomienda la realización de backups de forma periódica y centralizada, de tal forma que la copia seguridad resida en un dispositivo físico distinto e inaccesible.
Mantener el sistema actualizado y fortificar aquellos servicios expuestos empezando por el uso de contraseñas suficientemente robustas.
En el caso concreto de las muestras analizadas de Cryptolocker, no procede al cifrado de los archivos hasta que ha contactado con el C&C, por lo que una solución como LTI podría prevenirlo.

Santiago Vicente
S21sec Ecrime
@S21sec, @smvicente
#Netmaniacs

Anuncios

Algunos estereotipos desmentidos sobre hackers

Siempre me he considerado un tipo normal, yo diría incluso vulgar. Nunca quise perforar los lóbulos de mis orejas para lucir un pendiente, ni tatué mi cuerpo con un símbolo sempiterno, ni siquiera me atreví nunca con un corte de pelo demasiado innovador. Hace tiempo que pasé de los treinta pero, desde que empecé a trabajar en informática hace ya muchos años, mi vestuario siempre ha sido “políticamente correcto” para una oficina: camisa, zapatos y pantalones de vestir, son cómodos y siempre mejores que un traje y la infame opresión de una corbata. Al llegar a la estación para coger el tren es fácil perderse entre la concurrencia de un andén.

20140228-100433.jpg

Los hackers son adolescentes fanáticos de las computadoras tal vez con cierta onda punk, no trabajan y visten camisetas negras geeks.

In itinere aprovecho para terminar un capítulo de un manual técnico de Python que empecé hace unos días. Tempus Fugit. Si levanto la mirada veo un vagón lleno de títeres manejados por la sustancial necesidad de ir a trabajar, como ovejas dirigiéndose al redil, como bots sumisos a las órdenes de su servidor de comando y control. Si miro mi reflejo sobre el cristal del tren al atravesar la oscuridad de un túnel, sólo veo uno más. Ni el hip hop de Riot Propaganda retumbando en mis auriculares, ni las bochornosas noticias de corrupción de un periódico que alguien dejó en el asiento de atrás, ni eso consigue crisparme lo suficiente para apartarme de en lo que ahora estoy inmerso.

Los hackers usan herramientas digitales ilegales o legalmente ambiguas siempre persiguiendo fines políticos (hacktivismo).

Despliego la tapa de mi portátil, arranco una máquina virtual con Kali y ejecuto btscanner para que mi dispositivo Bluetooth empiece a sondear un radio aproximado de diez metros con un latido de apenas 2,4 nanosegundos. Sólo parpadeo y en seguida se presenta GT-S6310N, un smartphone Galaxy Young que reconozco rápidamente en manos de la chica con gafas de cristales crasos y cara de buena persona que tengo en frente y que justo ahora está ensimismada en una partida de Candy Crush. Llega mi parada pero antes de bajarme preparo el mensaje que se le mostrará en un minuto: “no deberías activar Bluetooth si no lo estás utilizando, revisa la configuración de tu móvil”.

Los hackers son sujetos peligrosos que, armados únicamente de su computadora, roban datos personales y bancarios para lucrarse u obtener otros beneficios propios.

Ya en la oficina, saboreando el agua sucia que muchos llaman café de máquina analizo una de las muestras de un bot escrito en Visual Basic Script. Los cocineros de malware dirigen la mayoría de sus esfuerzos a desarrollar artefactos para el sistema operativo más extendido en puestos de usuario, simple economía de escala. Lo cierto es que la inmensa mayoría se circunscriben a la plataforma Windows por lo que, lejos de pretender centrarme en un único sistema operativo, siempre intento no ignorar al diablo…

Los hackers no usan Windows. Para un hacker, trabajar en Windows es como tratar de bailar con el cuerpo escayolado. Los sistemas operativos OpenBSD, NetBSD, FreeBSD, Linux, BeOS, Hurd, MicroBSD son usados (y permanentemente mejorados) por los hackers. Los verdaderos hackers no dependen de Windows para ninguna cosa.

… y en este caso su autor tampoco puso el mismo empeño que Heisenberg en preparar metanfetaminas, así que fue relativamente sencillo desmenuzarlo y reconstruir los hechos para el informe pericial. Lo demás es un retumbar de las palabras de Yago “una profesión como otra cualquiera, con sus partes buenas (que las tiene, y muchas) y sus partes aburridas, llenas de reuniones, documentación y hasta jefes incompetentes.”. Así que trato de escupir palabras para la comprensión e interpretación por parte de lectores que no son especialistas en la materia, aprieto el nudo de mi corbata y entro en la sala de reuniones para una tediosa y densa puesta al día.

Los hackers viven al límite por la búsqueda continua de nuevos retos que transgreden intencionadamente la legalidad. Siempre andan jugando y divirtiéndose en un mundo loco de desenfreno virtual y desafío constante.

Al menos mañana tengo oportunidad de escaparme a la Rooted. El desconocimiento nos empuja a la curiosidad y a la fascinación y este congreso de seguridad es sin duda una cita ineludible en cada edición, una referencia en el panorama underground en español, una manera de descubrir y divertirse, también una oportunidad de poner caras donde antes sólo había avatares pixelados y, cómo no, reencontrarte con compañeros y viejos amigos. Miro al reloj de mi barra de tareas y vuelve a evidenciar que debía haber salido hace ya muchos minutos, así que agarro mi mochila y vuelo raudo. Libertad.

Los hackers son seres carentes de vida social que, de noche en sus habitaciones desordenadas, se sumergen en Internet para atacar e intentar comprometer otros sistemas.

Muchos tienden a pensar que lo nuevo es siempre mejor sólo por ser nuevo. Yo seguía utilizando algunos canales del IRC para comunicarme con una comunidad de inquietos de la que sólo conocía sus dudas y encomiendas. Cronos era uno de ellos y desde hace unos meses trabajaba voluntariamente en analizar la seguridad informática de la línea de transporte de Cercanías. Desconozco si era una obsesión, pero seguro que detrás de su análisis había cientos de horas de investigación. Hoy era el día y la hora que quería mostrar el resultado de su ensayo y para comprobarlo sólo tenía que alzar la vista al enorme pantalla multi monitor de la estación. En unos segundos apareció el tenue azul del pantallazo de la muerte.

Los hackers son megaexpertos que sin apenas esfuerzo y sacrificio manejan a su antojo las computadoras y hacen cosas como por arte de magia.

Nunca nadie sabrá que ocurrió exactamente aquel día en la estación. Lo atribuirán a un fallo puntual del sistema operativo. Cronos orquestó toda la función al detalle y fue extremadamente minucioso en su cometido. Barrió cada una de sus huellas digitales y al reiniciar el último dispositivo, los datos de la memoria volátil desaparecieron junto con el último atisbo de su identidad. Días después renacería en cualquier otro lugar con cualquier otro nombre.

Los hackers buscan notoriedad con virus malvados que antes de ejecutar sus acciones muestran un dibujo riéndose.

Vicente Motos
#netmaniacs

Dorkbot ataca de nuevo, ¿o un pariente lejano?

Para aquellos que no lo recuerden, Dorkbot fue uno de los códigos maliciosos que más se propagó a lo largo de Latinoamérica en el 2012. Este gusano, detectado por los productos de ESET como Win32/Dorkbot ha causado más de un dolor de cabeza ya que es capaz de robar información del usuario y convertir su equipo en parte de una botnet. Durante las últimas semanas, hemos estado analizando una amenaza con grandes similitudes a este gusano que se ha propagado por Brasil ¿Sera esta nueva amenaza el sucesor de Dorkbot? Todavía no lo sabemos, pero veamos de qué es capaz.

El ejecutable se propagó bajo el nombre “47 – Tese _ tensões em Tambores.exe” entre finales del 2013 y los primeros días de Febrero se encuentra desarrollado en Visual C++ 6.0, pero lo que vemos en primera instancia es solo un envoltorio de la amenaza real.

20140225-143925.jpg

Un análisis dinámico de la muestra nos permite corroborar que lo primero que hace este ejecutable es crear una copia de sí mismo dentro del sistema y renombrarlo como IpodService.exe. Es la instancia de este segundo proceso quien se encarga de comunicarse con su centro de comando y control, utilizando el protocolo IRC tal y como lo hace Dorkbot.

El nombre del usuario con el que se conecta como así también el indicador del Sistema Operativo difiere de Dorkbot pero cuentan con el mismo formato. Al momento de publicar este post los C&C se encuentran bajo análisis por la gente de abuse.ch, conocidos por sus herramientas de seguimiento de Zeus y SpyEye. Sin embargo, utilizando herramientas como FakeNet es posible ver a dónde se intenta comunicar:

20140225-144045.jpg

Por otro lado, revisando la información del ejecutable con un desensamblador, podemos ver algunos puntos interesantes, como por ejemplo que solo importa algunas funciones de la librería del sistema Kernel32.dll y dejando algunas de las más importantes para cargarlas de manera dinámica al ejecutarse a través de una llamada a GetModuleHandleA y GetProcAddress:

20140225-144151.jpg

Una vez infectado el sistema, se interceptan las llamadas a determinadas funciones para robar los datos del usuario de manera similar a Dorkbot, pero podemos comprobar que aunque las técnicas utilizadas son similares, incluyendo el protocolo de comunicación, hasta el momento corresponden a dos familias de malware diferentes. Otro dato importante a tener en cuenta es que según el sistema de Alerta temprana de ESET, ESET Live Grid, esta amenaza solo se vió en Brasil.

ESET post
By netmaniacs

Telegram una buena opción ?

20140223-113826.jpg

Principalmente un usuario antes de buscar un buen medio social es que le aseguren la seguridad y la integridad de su información, pero que pasó con whatsapp aunque todos sabían que tenía miles de fallos de seguridad y que cualquiera podía descifrar sus mensajes, hubo un pequeño inconveniente que al ser un medio popular todo mundo sintió la curiosidad de probar la plataforma.

Los últimos meses whatsapp fue una mina de oro para el atacante, para adentrarse al mundo de los xploit, y estos xploits no sólo comprometieron la plataforma, si no a su vez al dispositivo casi en su totalidad.

Ahora TELEGRAM se postula para liderar el medio social; Pero que promete este servicio.

Privacidad

Uno de los puntos fuertes de Telegram es el referido a la privacidad. En Telegram todos los mensajes enviados serán cifrados utilizando un algoritmo de encriptación seguro (SHA1), de manera que sólo tú y la persona que recibe el mensaje podréis descifrarlo. ¡Ni siquiera el propio Telegram podrá ver tus mensajes!

Chats secretos

Tu decides el tiempo de destrucción de tus mensajes (Al parecer esta es una buena idea la destrucción)

Software Libre

El sitio es de software libre, esto en que ayuda; El usuario experimentado o cualquier desarrollador podrá realizar mejoras a dicha aplicación.

Sin molesta publicidad como en otras aplicaciones gratis !!

Seguridad

Una de las características que más destacan en esta nueva aplicación es la seguridad. Sus creadores están tan convencidos de ello que hasta han ofrecido una recompensa de 200.000 dólares a quien sea capaz de romper su sistema de cifrado de mensajes que no dejarán ningún rastro en sus servidores.

Pero los fallos comenzarán a dar luz cuando este sea un medio popular y el principal enfoque de los atacantes tal y como ocurrió en whatsapp.

Sin audio ni vídeollamada

A diferencia de otras alternativas Telegram no permite la posibilidad de enviar notas de voz, como Whatsapp, o realizar videollamadas, como Google Hangouts.

Sólo en inglés

Aunque el método de empleo es muy intuitivo y fácil de usar debido a su parecido a Whatsapp, aún no se encuentra en castellano, lo que hace que su expansión por España y América Latina sea más complicada. Aún así aseguran que la versión traducida está más cerca.

Que pasa si roban mi móvil

Sin embargo, más allá de la encriptación y si puede o no romperse, Telegram no es precisamente un búnker contra la suplantación de identidad. Si te roban el móvil, comienza el calvario

Un post más de NETMANIACS

Hackers aprovechan caída de whattsapp para engañar usuarios

20140222-165803.jpg

El día de hoy Whattsapp estuvo sin servicio, en realidad no puedo definir con exactitud cual fue el problema.
Se habla de actualización, de cambio de servidor, en fin la realidad no se sabe.
El fin de este post es dar a conocer que hackers están aprovechando estos errores de sistema para engañar a usuarios y sacar provecho de ello.

El día de hoy se me cuestiono varios puntos que creí importantes

[*] El primero de ellos fue el siguiente:
me llego un mensaje a mi móvil que decía:Whattsapp esta presentando fallos, necesitamos des clic al siguiente link para confirmar eres un cliente activo

[*] Otro de los cuestionamientos fue si whatsapp sería de paga
Disculpa la molestia pero me llego un mensaje tipo cadena el cual expresaba que si no daba clic al link mi cuenta sería eliminada y tenía que enviar el mensaje a todos mis contactos

Al parecer aún hay personas que no están familiarizadas con la ing social y cabe destacar que al dar clic sobre el link están aceptando el código malioso del atacante.

Uno de los ataques que me llamo la atención fue que al dar clic al link el servicio volvía pero no había respuesta del otro dispositivo, a lo cual deduje que el servicio estaba disponible en sólo el equipo que fue infectado.

Al realizar análisis me di cuenta que el atacante simulaba el servicio disponible de whatsapp.

Decidí probar mi tool y verificar el fallo era de los servidores

20140222-173340.jpg
O sorpresa no podía conectarme al dispositivo ya que mi tool requería de acceso a los servicios de whatsapp y al estar caído obio no funcionaria.

Pero entonces como activaron el servicio de whatsapp a los dispositivos comprometidos?

Un xploit capaz de activar módulos de conexión y simular sesiones activas este era compatible con sistemas Android, Windows phone, iOS con jailbreak, (ya que la última actualización de iOS impidió que el xploit funcionara en su versión actual 7.0.6)

Cual fue el daño del equipo comprometido
-robo de información personal (agendas,etc)
-robo de contraseñas almacenadas
-robo de “saldo” (ya que el atacante podía enviar un SMS confirmando un traspaso de TAE

En fin por cuestión de tiempo en un segundo post continuaré este tema

Al parecer el día de hoy fue una mina de oro la caída de un servicio de mensajería

[*]Killer_Black