Conciencia

Estándar

Somos conscientes en nuestro trabajo?. Realmente tenemos el rigor necesario a la hora de hacer determinadas tareas? O simplemente hacemos las cosas pensando que el prójimo es tan bueno como (algunos) pensamos….

No me quiero poner filosófico. Es sólo que esta mañana he estado ojeando algunos blogs sobre debugging, y me he encontrado con esto:

Fingerprinting?

Parece ser que demasiadas conexiones no es bueno para la BD y ha petado. Alguna redirección a una página de error o server maintenance? No. Nos muestra más información de la que deberíamos obtener.

Realmente somos conscientes de ello? Consideráis esto como un fallo de seguridad? Estoy un poco paranoico hoy? :)

Nos vemos! 

Me prestas tu equipo?

Estándar

Es algo que muchos de nosotros conocemos, pero desgraciadamente “los otros”, y cuando hablo de “los otros”, me refiero a todas aquellas personas que utilizan el PC sin asumir una serie de responsabilidades o riesgos, no conocen.

Esta semana creo que ha sido la semana de los bots por e-mail. En el blog de Mark Russinovich se visualiza una entrada sobre este mismo tema, y al parecer sobre una variante del mismo bot que me llegó a principios de la semana pasada por mail. La entrada la podéis ver aquí:

http://blogs.technet.com/markrussinovich/archive/2007/04/09/741440.aspx

En cuanto leí la entrada, le pasé copia del susodicho bot a Mark, que sé que le gustan estas cosas para trastear e investigar. La pega del bot que intentaron colarle a Mark a través de su buzón de correo, era que éste no se llegaba a conectar a ninguna red de IRC. Esto puede suceder por varias razones, entre las que incluyo las siguientes:

a) Se huelen una investigación y cierran los canales.

b) Han modificado el modus operandi, con lo cual sería una versión antigua.

c) La policía los ha pillado

De todos los bots que he visto, ninguno me ha parecido decente, salvo éste que comento en un artículo anterior:

http://windowstips.wordpress.com/2007/02/25/formas-de-analizar-un-virus-un-paseo-por-rapidshare/

Este bot que me ha llegado al mail, es un archivo ejecutable, empacado bajo SFX con WinRar, haciéndo de este un instalador.

Instalación Bot

Como podréis observar, se instala dentro del directorio Windows, en modo silencioso, y sobreescribe cualquier archivo que se encuentre dentro de éste directorio nVIDIA\dll.

Este post es básicamente el mismo que el de Mark Russinovich, con la particularidad de que éste todavía está activo, así que me gustaría enseñároslo para que veáis, si os interesa, qué metodología y técnicas utiliza.

He procedido a infectar una máquina virtual con XP SP2 en un entorno aislado de mi red, ejecutándo sólo las herramientas de Sysinternals ProcessExplorer y Filemon, y éste es el resultado:

Tal y como está configurado se instala de forma silenciosa en el equipo, pero el Firewall de XP se da cuenta de que hay una aplicación que quiere salir:

FirewallXPBot

 Pero lo que me sorprende un poco es que muestra una ventana de conexión a IRC, y al momento se oculta. Es hora de echar un vistazo a Process Explorer y Filemon.

Filemon monitoriza todo lo que está ocurriendo en nuestro sistema a nivel de archivos. Básicamente nos muestra qué se abre y qué se cierra, donde escriben nuestros procecos, etc.. La salida que me muestra es la siguiente:

FileMonbot

Dentro del directorio NVIDIA, nos encontramos con unos archivos que utiliza el Bot para tener un correcto funcionamiento. Archivos para generar nicks aleatorios, servidores a los que poder conectarse, etc.. 

Una de las cosas que más me llaman la atención es una línea en uno de los scripts, que es utilizada por el Bot para notificar a una serie de usuarios que éste ha sido invocado. También al activarse el Bot, mantiene un uptime y la versión del sistema operativo.

También dentro de este mismo directorio, hay una aplicación que se llama hex.exe. Pasando un Strings a esta aplicación y analizando su contenido, podemos ver que es una aplicación que es utilizada por el Bot para ocultar procesos de Windows.

Dando un vistazo rápido a la aplicación con ProcessExplorer, podemos ver tanto la firma, como algunos elementos interesantes del Bot.

BotImage

ProcessExplorer viene también con una pestaña que podemos utilizar para que nos muestre los caracteres Unicode incluso si la aplicación está funcionando. Mirando el resultado podemos saber un poco más sobre esta aplicación:

StringsBot

Renombré la aplicación Hex.exe para que no ocultase el proceso y lo dejé varias horas en funcionamiento. Al volver a mirar, me encontré con algo interesante. El bot se había conectado a un canal, y alguien estaba monitorizando a través de una serie de comandos una serie de users.

Imagen Bot

Como podéis observar en la imagen, un usuario, a través de ciertos comandos, puede controlar una serie de aspectos de nuestro equipo. Y todo ello de forma silenciosa.

También tiene abierto de forma permanente el puerto 31222. Puerta trasera?

Si alguien se hace con una red de Bots relativamente amplia, puede causar muchos daños. Este tipo de Bots se utilizan principalmente para mandar spam, ataques a compañías, etc.. Y por qué no, como disco duro para otro tipo de archivos. Hay personas que están empezando a utilizar este tipo de técnicas para almacenar datos en equipos que tienen poco, o nada que ver con el atacante. Y todo ello por un módico precio.

En el caso de que la policía intente seguir su rastro, se encontrarán en un callejón sin salida, requisando el PC de un anciana de 70 años, por ejemplo. Para estos casos tendríamos que utilizar técnicas de rastreo de datos y ténicas forense, para poder hallar alguna otra pista.

Esta tarde he estado investigando un poco más y me he encontrado con dos documentos interesantes. Si queréis más información sobre este Bot, podéis ir a las siguientes direcciones:

http://www.malware.unam.mx/consultas.dsc?mal_id=286

http://www.infectionvectors.com/library/final_dispatch_iv.pdf

Saludos!

Como me mola jugar

Estándar

Y el que no quiera, es porque no quiere. Juegos en flash, en java, javascript, mame, playstation (I, II, III), wii, XBOX, arrgghhhh!!!

Pero uno que me mola mucho es el WOW (World of WarCraft). Humanos, elfos, enanos, alianzas, bandos, etc.. Podemos elegirentre muchos jugadores, y la cantidad de gente que utiliza este juego es brutal (+ de 8 millones).

Esta mañana recibo un mail.  Un mail de WoW! Qué guapo! Me habrán invitado a jugar? El link es este:

http://www.worldaofwr.net/

Pero el link de mi correo redirecciona a un directorio del dominio woldaofwr.net que se llama /level/goldani.htm y mi equipito se queda mudo, sin hacer nada.

Los que me conocen algo saben que voy por la vida sin antivirus ni antispyware. Tan solo con mi equipo actualizado al día, un firewall y una cuenta NO administrativa, con la que voy pululando por la INET.

Al mirar el código fuente del htm me encuentro con una cosa curiosa:

<META http-equiv=refresh content=3000></HEAD><BODY><DIV style=”CURSOR: url(‘goldani.gif’)”></DIV></body></html>

Ummm….. Sólo un gif? Yo quiero jugar!! :)

Miraré el registrador del dominio…..

[Querying whois.opensrs.net]
[whois.opensrs.net]
Registrant:
QiuLin Li
GuangDong PuLing City, DaNanShan 88 Hao
Puling, NA 515421
CN
Domain name: WORLDAOFWR.NETAdministrative Contact:
    Li, QiuLin  881515com@163.com
    GuangDong PuLing City, DaNanShan 88 Hao
    Puling, NA 515421
    CN
    +1.862386215578
Technical Contact:
    Li, QiuLin  881515com@163.com
    GuangDong PuLing City, DaNanShan 88 Hao
    Puling, NA 515421
    CN
    +1.862386215578

Registration Service Provider:
    Ecommerce, Inc., registrars@ecommerce.com
    800-861-9394
    http://ecommmerce.com
    UNLIMITED Storage Space, 3 TERRABYTES of Monthly Transfer & up-to 16
    domains, starting at $3.95!
   
    LIFETIME FREE DOMAIN REGISTRATION + FREE FEATURES INCLUDED, ONLY AT
    IXWEBHOSTING.COM

Registrar of Record: TUCOWS, INC.
Record last updated on 21-Mar-2007.
Record expires on 21-Mar-2009.
Record created on 21-Mar-2007.

Domain servers in listed order:
    NS7.IXWEBHOSTING.COM  
    NS8.IXWEBHOSTING.COM  

Domain status: clientTransferProhibited
                clientUpdateProhibited

Un gif como cursor….. Sin extensión ANI? Tengo que mirarlo….

Me descargo el gif ¿?, le paso un strings para salir de dudas y me encuentro con que es un archivo malicioso que te descarga y ejecuta otra aplicación. Más concretamente esta:

http://www.worldaofwr.net/jw/softs.exe

Este me queda por analizarlo y ver que hace.

La particularidad de esto es que el navegador no parece darse cuenta de que no es un cursor animado (ANI), aunque mi equipo no lo haya ejecutado. Si hemos bloqueado cualquier tipo de archivo ANI en nuestros equipos, lógicamente este tipo de ficheros, al llevar otra extensión, pasarán, y si no tenemos nuestros equipos debidamente configurados y parcheados, ni me lo imagino… Bueno sí, porque estoy arrancando una maquinita virtual para infectarla y ver qué hace… Pero eso ya es otra historia.. :)

Saludos!

Ausencia

Estándar

Por motivos de curro y estudios, llevo casi 3 semanitas sin postear aquí, así que lectores de entre las sombras… Perdonádme… :)

Estoy dando los últimos retoques a unos cuantos mini-howto con temas relacionados a seguridad. Cuando los termine se postearán aquí…

Mientras tanto os dejo con unos vídeos que me han parecido curiosos… :)