Análisis de Flame parte III. La conspiración

Estándar

Hola a tod@s!

Disclaimer!!

Esta entrada sólo refleja mis pensamientos impuros, sin ninguna connotación técnica, y que sólo alimentan mi desquiciada mente. Dicho queda…

En el primer artículo, se vió cómo NO había que reproducir la muestra, si no era en un entorno totalmente “liviano” y sin ningún tipo de protección. Después, pasamos al segundo artículo, en el que se refleja la primera ejecución del bicho. Qué hace, cómo lo hace, y qué toca.

Hoy me gustaría pasar a un tema más personal, más íntimo, por lo que quedáis avisados de lo que no ha podido filtrar mi mente, y que hoy expongo aquí.

Revisando el código de uno de los módulos que generaba Flame, se encuentran partes que hacen referencia a Mutex creados por el mismo.

Imagen 1.- Referencia a Mutex en código Flame

Esto ni de lejos es nuevo, pero me ayudó bastante a la hora de poder hacerme una idea de cuántos procesos se encontraban infectados a la hora de una primera ejecución de Flame.

A estos Mutex, se le añade presumiblemente el PID del proceso que se encuentra infectado, tal y como puede verse a través de la herramienta, también de Sysinternals, WinObj.

Imagen 2.- Procesos implicados en la ejecución de Flame

En el caso de la imagen anterior, los procesos asociados son Explorer.exe, Services.exe y Winlogon.exe…. Casi nada…

Analizando dicha muestra, también me he encontrado con partes de código, que si bien no son idénticas a las encontradas en Stuxnet, poco le faltan… Este código, se aprovecha de vulnerabilidades antiguas y pequeños “trucos” que tiene el sistema operativo. Uno de ellos es la auto-ejecución en unidades extraíbles, y el otro es la posibilidad de jugar maliciosamente con enláces simbólicos en sistemas de ficheros NTFS.

Imagen 3.- Código de explotación muy parecido (por no decir igualito) al utilizado por Stuxnet

La versión bajo la que estoy haciendo las pruebas, creo que es la misma (MD5:bdc9e04388bda8527b398a8c34667e18) en la que se basan la mayoría de informes y noticias de Internet.

La versión que yo estoy utilizando, NO SE EJECUTA bajo ningún concepto si existen ciertas aplicaciones monitorizando el sistema. Ni al siguiente reinicio ni nada. Es más, ni lo intenta.

A la hora de realizar con éxito la primera ejecución, éste pregunta insistentemente por versiones específicas de productos de Kaspersky, tal y como se puede ver en la imagen extraída de Process Monitor.

Imagen  4.- Peticiones a productos específicos de Kaspersky

Lo curioso de esto, es que prácticamente en todas las muestras que va generando Flame, se encuentran peticiones de este tipo de producto, pero no de otras soluciones de seguridad.

Imagen 5.- Llamadas a directorios que generan productos de Kaspersky en porciones de código Flame

Si a todo lo anterior le sumamos a que parece ser que en el código de Flame ha aparecido un comentario un tanto “jocoso”, da que pensar. La noticia me ha llegado vía Full Disclosure. Yo, que no soy ruso, ni tengo ni pajolera idea del idioma local de allí… Interpreto un “Mentiroso, gracias Kaspersky”…. Que por favor me lea un Ruso y acabe con mi agonía….

Siendo no conspiranoico, puedo pensar que debido a que Kaspersky fue uno de los primeros en investigar Stuxnet, Duqu y ahora Flame, es posible que los creadores del bicho pusieran especial énfasis en productos de Kaspersky.

Otro punto a favor que le otorga la catalogación de Malware diseñado para la ciberguerra, es que todavía no se sabe muy bien si Stuxnet fue obra de la administración Bush, o por el contrario fue el Mossad… Mientras que algunos opinan que Stuxnet es obra de Bush/Obama, otros piensan de manera diferente.

Mucha gente opina que estamos asistiendo a un nuevo concepto de ciberguerra, tal y como apunta José Rosell, desde Security At Work, y que no se nos cuenta toda la información. Esto último, algo bastante lógico y normal, dentro de los cánones de la contención de masas y demás.

Que el Mossad e Irán siempre estén hostiándose… Es algo que, desgraciadamente, lo tomamos como normal hoy día…

Pero bueno… Qué carajo sabré yo, que todavía me emociono cuando veo The Goonies….

Un saludo a tod@s… Y siento la entrada de hoy!!

 

 

 

Mentiras, y gordas…

Estándar

Hola a tod@s!

Estaba leyendo el periódico, la gaceta, el 20 minutos y demás publicaciones, como cada día hago en la oficina, de 9:00 a 13:00 eso sí, y como buen “security researcher”, cuando leo la siguiente noticia…

González Sinde gastó 56.404 euros del Ministerio de Cultura en un proyector para la Familia Real

Y digo… Coño, vaya pastizal que se han gastao en el proyector de los cojones! Las porno se tendrán que ver de puta madre no?

En fin, después de meditar durante un buen rato sobre cómo sería ver una porno en un aparato de tales dimensiones y capacidad técnica, estuve footprinteando un poco a ver si podía buscar más info. Y me encuentro con lo siguiente:

Coño que es verdad!

Que se han gastao la pasta en un proyector para los príncipes y mi hermano en paro!

Acto seguido, empecé a pensar sobre el país en que vivimos y en qué clase política nos “dirige”… A lo único que llegó mi perturbada mente es a pensar en improperios varios que ni yo mismo conocía….. Cuando pienso…. CUANTO COSTARÁ EL BICHO ESTE EN EBAY??

Imagen 1.- El bicho…. NUEVO

Link al bicho

Estoooo…. Recapitulemos…..

42.000 pavos de diferencia???? WFT??

Así que se me ocurren varias opciones…..

Opción 1.- Que cinematografía pereira son unos caros de TRES PARES DE COJONES

Opción 2.- Que traer un BICHO de estas características cueste en aranceles e impuestos varios 42.000 pavos menos el beneficio que tendrá que sacar la pobre Cinematografía Pereira

Opción 3.- Que la señora ministra SINDE, a la cual le doy un afectuoso saludo desde aquí, utilice esa diferencia para arreglar los posibles fallos que pueda tener la Web de los premios GOYI.

Opción 4.- Que se hayan equivocado, lo cual dudo mucho, ya que la película Mentiras y Gordas, ideada y guionizada por nuestra querida EX-Ministra Sinde, se otorgase ella misma (cuñao!!), una adjudicación en “ayudas”, por valor de 1 kilotón de euretes….

Cualquier día me compro una guitarra, y me voy a conocer mundo….

Pero qué coño….. Ya tengo una guitarra!!

Salu2!!