Hola a tod@s!
Disclaimer!!
Esta entrada sólo refleja mis pensamientos impuros, sin ninguna connotación técnica, y que sólo alimentan mi desquiciada mente. Dicho queda…
En el primer artículo, se vió cómo NO había que reproducir la muestra, si no era en un entorno totalmente «liviano» y sin ningún tipo de protección. Después, pasamos al segundo artículo, en el que se refleja la primera ejecución del bicho. Qué hace, cómo lo hace, y qué toca.
Hoy me gustaría pasar a un tema más personal, más íntimo, por lo que quedáis avisados de lo que no ha podido filtrar mi mente, y que hoy expongo aquí.
Revisando el código de uno de los módulos que generaba Flame, se encuentran partes que hacen referencia a Mutex creados por el mismo.
Imagen 1.- Referencia a Mutex en código Flame
Esto ni de lejos es nuevo, pero me ayudó bastante a la hora de poder hacerme una idea de cuántos procesos se encontraban infectados a la hora de una primera ejecución de Flame.
A estos Mutex, se le añade presumiblemente el PID del proceso que se encuentra infectado, tal y como puede verse a través de la herramienta, también de Sysinternals, WinObj.
Imagen 2.- Procesos implicados en la ejecución de Flame
En el caso de la imagen anterior, los procesos asociados son Explorer.exe, Services.exe y Winlogon.exe…. Casi nada…
Analizando dicha muestra, también me he encontrado con partes de código, que si bien no son idénticas a las encontradas en Stuxnet, poco le faltan… Este código, se aprovecha de vulnerabilidades antiguas y pequeños «trucos» que tiene el sistema operativo. Uno de ellos es la auto-ejecución en unidades extraíbles, y el otro es la posibilidad de jugar maliciosamente con enláces simbólicos en sistemas de ficheros NTFS.
Imagen 3.- Código de explotación muy parecido (por no decir igualito) al utilizado por Stuxnet
La versión bajo la que estoy haciendo las pruebas, creo que es la misma (MD5:bdc9e04388bda8527b398a8c34667e18) en la que se basan la mayoría de informes y noticias de Internet.
La versión que yo estoy utilizando, NO SE EJECUTA bajo ningún concepto si existen ciertas aplicaciones monitorizando el sistema. Ni al siguiente reinicio ni nada. Es más, ni lo intenta.
A la hora de realizar con éxito la primera ejecución, éste pregunta insistentemente por versiones específicas de productos de Kaspersky, tal y como se puede ver en la imagen extraída de Process Monitor.
Imagen 4.- Peticiones a productos específicos de Kaspersky
Lo curioso de esto, es que prácticamente en todas las muestras que va generando Flame, se encuentran peticiones de este tipo de producto, pero no de otras soluciones de seguridad.
Imagen 5.- Llamadas a directorios que generan productos de Kaspersky en porciones de código Flame
Si a todo lo anterior le sumamos a que parece ser que en el código de Flame ha aparecido un comentario un tanto «jocoso», da que pensar. La noticia me ha llegado vía Full Disclosure. Yo, que no soy ruso, ni tengo ni pajolera idea del idioma local de allí… Interpreto un «Mentiroso, gracias Kaspersky»…. Que por favor me lea un Ruso y acabe con mi agonía….
Siendo no conspiranoico, puedo pensar que debido a que Kaspersky fue uno de los primeros en investigar Stuxnet, Duqu y ahora Flame, es posible que los creadores del bicho pusieran especial énfasis en productos de Kaspersky.
Otro punto a favor que le otorga la catalogación de Malware diseñado para la ciberguerra, es que todavía no se sabe muy bien si Stuxnet fue obra de la administración Bush, o por el contrario fue el Mossad… Mientras que algunos opinan que Stuxnet es obra de Bush/Obama, otros piensan de manera diferente.
Mucha gente opina que estamos asistiendo a un nuevo concepto de ciberguerra, tal y como apunta José Rosell, desde Security At Work, y que no se nos cuenta toda la información. Esto último, algo bastante lógico y normal, dentro de los cánones de la contención de masas y demás.
Que el Mossad e Irán siempre estén hostiándose… Es algo que, desgraciadamente, lo tomamos como normal hoy día…
Pero bueno… Qué carajo sabré yo, que todavía me emociono cuando veo The Goonies….
Un saludo a tod@s… Y siento la entrada de hoy!!