MalwareIntelligence es un sitio dedicado a la investigación sobre todas las cuestiones relacionadas con criminología informática, seguridad de la información en general y seguridad antimalware en particular, siempre desde una perspectiva estrechamente relacionado con el campo de inteligencia.

29.1.12

Hierarchy Exploit Pack. Nuevo crimeware para el aparato ciberdelictivo

El término "hierarchy" se refiere a la acción de jerarquizar una entidad. A juzgar por el nombre de este nuevo Exploit Pack de origen Ruso, parecería ser que su autor busca encontrar su lugar dentro del ecosistema delictivo, aunque todas las sensaciones apuntan a que detrás de esto se encuentra, más que nada, un delincuente principiante que pretende algo más.



Sin embargo, a pesar de ser un paquete de explotación delictivo más dentro de una basta gama de alternativas, no deja de ser un riesgo latente para cualquier sistema de información. Incluso, teniendo en cuenta que Hierarchy Exploit Pack llega al mercado delictivo en una etapa donde el circuito es maduro con una gama de crimeware "vip" que se encuentran no sólo entre la lista de "mejores crimeware" para los delincuentes sino que también en el centro de la tormenta delictiva.

Bajo el nickname "Angelolog" se esconde su autor. Un nickname llamativo ya que según su semántica, se refiere a "una rama de la teología que trata sobre el estudio de los ángeles". Una contradicción bastante obvia. 


Como es habitual, cuando un delincuente se "inicia en el negocio", lo hace registrando un dominio que contempla el mismo nombre del crimeware. Aunque claro no es el único dominio que en primera instancia ha registrado. En este caso, los datos son los siguientes:

Домен: ANGELOLOG-HIERARCHY.RU
Владелец: Private Person
DNS-сервер: ns1.luckhost.kz.
DNS-сервер: ns2.luckhost.kz.
Телефон: +380933900884
E-mail: angelolog@mail.ru
Состояние: REGISTERED, DELEGATED, VERIFIED
Регистратор: REGRU-REG-RIPN
Создан: 2011.03.01
Оплачен до: 2012.03.01



El AS6876 (TENET-AS TeNeT Autonomous System TeNeT Telecommunication Company) que se encuentra en Ucránia, no está catalogado como malicioso lo que hace suponer que "angelolog", un spammer de baja categoría, no lleva mucho tiempo dentro del ámbito delictivo.



Si bien a simple vista el diseño del control panel es similar al viejo Siberia Exploit Pack, se trata en realidad de una modificación de Eleonore Exploit Pack. La evidencia es muy clara.

 Además su estructura es similar:


Hierarchy Exploit Pack contiene los siguientes exploits:

Office OCX
OpenWebFile Office OCX OpenWebFile arbitrary program execution BID-33243

MDAC
Arbitrary file download via the Microsoft Data Access Components (MDAC) CVE-2006-0003

AppStream LaunchObj
Symantec AppStream LaunchObj ActiveX control vulnerable to arbitrary code download and execution CVE-2008-4388

Hummingbird PerformUpdateAsync
Hummingbird Deployment Wizard ActiveX Control Insecure Methods (PerformUpdateAsync) CVE-2008-4728

Peachtree ExecutePreferredApplication
Peachtree insecure ExecutePreferredApplication method allows the execution of arbitrary programs CVE-2008-4699

C6 propDownloadUrl
C6 Messenger insecure method propDownloadUrl allows the execution of arbitrary programs CVE-2008-2551

Adobe getIcon
Stack-based buffer overflow in Adobe Reader and Acrobat via the getIcon method of a Collab object CVE-2009-0927

Adobe Libtiff
Libtiff integer overflow in Adobe Reader and Acrobat CVE-2010-0188

HPC URL
Help Center URL Validation Vulnerability CVE-2010-1885

IE iepeers.dll
Internet Explorer iepeers.dll use-after-free CVE-2010-0806

Sun Java Runtime RMIConnectionImpl
Privileged Context Remote Code Execution Vulnerability CVE-2010-0094

Sun Java Runtime Environment MixerSequencer
Invalid Array Index Remote Code Execution Vulnerability CVE-2010-0842

AFP Server Mac OS X v10.6.5
Remote attacker AFP Server to unexpectedly shutdown CVE-2010-1297

Sun Java Web Start BasicServiceImpl
Remote Code Execution Vulnerability CVE-2010-3563

Adobe Flash Player 10.2.153.1
SWF Memory Corruption Vulnerability CVE-2011-0611

Oracle Java SE
Rhino Script Engine Remote Code Execution Vulnerability CVE-2011-3544


También incorpora los siguientes códigos maliciosos:

payload.ser [F6795195968795C535EF6932A843E969] – 16/42


Exploit$1.class [625B6B915327D352E437B34D85FB67E2] – 1/44

Exploit$1.class [DD49FADD9372CBDEF709BB9F0B1105C7] – 2/43

Link.class [3013C223A80371BCA0798E1C21683305] – 11/44

Exploit.class [77E8E1CFCC6F0894015D8CA271BBBEF5] – 12/43

BasicServiceExploit.class [A63C9DB17FE7F60370B4FFD659B61B36] – 3/43

Exploit$1$1.class [21F2312A9D50F72810E242F72E751243] – 1/43

swf.swf [6EFD1CE8DC61C68BAD3B85A949709DD2] – 24/43

Exploit$.class [452CD049CE83E72F5C642F7457F4AA93] – 2/43

Gallery_Viewer.class [03497E41A5A5A6A6F92E2950AA087C06] – 8/44

Exploit.class [334EC1071B85D52A3DA4223ED7DC6D74] – 4/43

PayloadClassLoader.class [8563342ADD46F7EADC8745BB10267B2A] – 14/43

Gallery_Viewer.jar [1C73218F0CAF238400EB86E635862279] – 13/43

Gallery_Viewer.jar [2C4DF43924D237B56DB4096E6AF524B1] – 13/43

1.txt [CF7A4C337F3DA524350AC794B589F804] – 8/43

pdf.pdf [60CADBD724A6BF0527B5E731492D8A0F] – 16/43

Exploit.jar [69767793D644D6060A060133A6014CB9] – 21/42

1.exe [8321D8B973CE649252DF9C560B875647] – 9/43

Payload.class [EEB9BA7FB4F752E1249E696B638D4732] - 13/43

Exploit.jar [19A512A3CCBA3FCDEAA5262E82F0DECE] - 26/43

pdf5.pdf [2AD31CABE2527C5F94B2C351F6529F17] - 9/43

pdf4.pdf [48C583A82A004EC1B17688215E173EFB] - 11/43

swf.swf [4666A447105B483533B2BBD0AB316480] - 19/43

bot.exe [7AB9E8AC261D2A49D87EF304ADE03BA3] – 26/43


Respecto a la oferta de exploits que presenta este crimeware, parecería tratarse de una "ensalada de exploits", lo cual conlleva a suponer, considerando además que es un mod, que el autor podría ser un "coleccionista de Exploit Pack", realizando su propio desarrollo (sin esfuerzo) a través de un "rejunte" de los exploits de viejos Exploits Pack que fácilmente se encuentran disponibles en la mayoría de los foros underground.

Por otro lado, el nivel de detección en casi todos los casos es en promedio menor al 50%, lo cual representa un aspecto crítico para cualquier sistema de información. Con lo cual, sin importar que se trate de un crimeware sin demasiada representatividad en el ambiente delictivo, sin mucha creatividad y sin una tasa de explotación efectiva para el delincuente, no deja de ser una amenaza latente. Más aún cuando la experiencia nos indica que viejos exploits como el de MDAC descripto en CVE-2006-0003, poseen un fuerte impacto aún luego de casi seis años de solucionado el bug que explotaba.


Información relacionada

Ale Cantis, Senior Crimeware Researcher
Cybercrime Research Team
Crimeware Working Group & CrimewareAttack Service | MalwareIntelligence

Ver más

28.1.12

Money Racing AV. Sistema de afiliado para FakeAV

Desde octubre de 2011 vemos este sistema de afiliados. Money Racing AV, un sistema de afiliados del tipo PPS privado (Pay-Per-Sale) que difunde activamente antispywares falsos (rogue).

Ya hemos visto a este rupo delictivo en su actividad durante agosto de 2009: Una recorrida por los últimos scareware XII. La publicidad puede ser encontrado en varias comunidades underground de Rusia:




Primer contacto con FTL fue el 6 de Octubre de 2011 (traducción al español)
[14:29:33] Load4sales: hola
[14:30:02] mr: привет (hola en ruso)
[14:30:03] Load4sales: llego tarde pero solo veo tu mensaje en antichat sobre Money racing av v2
[14:30:25] mr: lo siento hermano
[14:30:26] mr: solo para rusos
[14:30:31] Load4sales: ah :/
[14:30:37] Load4sales: okay, gracias de todos modos
[14:30:46] mr: ok

El grupo delictivo de Money Racing AV opera desde moneyracing.ru, y se sabe que para la difusión de los scareware tienen este tipo de interfaz gráfica de usuario:


Página de autenticación de Money Racing AV:


La imagen de los peces es el logo de G-Loomis (una empresa que fabrica cañas de pescar, carretes, varilla y accesorios) y probablemente una coincidencia, pero durante el siglo 19 se dio la banda de Loomis. Una familia notoria de bandidos que operaban en el centro de Nueva York.


El sitio web de Money Racing AV posee la siguiente estructura:

Moneyracing.ru - 64.191.20.101
moneyracing.ru/templates/images/
moneyracing.ru/uploads/
moneyracing.ru/test.php <- Malicious
moneyracing.ru/manual/ (Standard)
moneyracing.ru/icons/ (Standard)
moneyracing.ru/cgi-bin/ (Standard)
moneyracing.ru/chat/
moneyracing.ru/plugins/
moneyracing.ru/screens/
moneyracing.ru/logs/
moneyracing.ru/img/
moneyracing.ru/soft/
moneyracing.ru/fish/ <- iframe
moneyracing.ru/css/
moneyracing.ru/css/style.css (Guessed)
moneyracing.ru/css/admin.css (Guessed)
moneyracing.ru/geo/ (Standard)
moneyracing.ru/geo/geoip.inc (Standard)
moneyracing.ru//
moneyracing.ru/feed/
moneyracing.ru/back/
moneyracing.ru/stat/
moneyracing.ru/cron/
moneyracing.ru/captcha/
moneyracing.ru/javascripts/

De todas estas carpetas, algunas son interesantes como es el caso de la carpeta /back/

<img src="image.jpg" border="0" align="baseline" />
Last-Modified: Wed, 15 Jun 2011 10:19:41 GMT


Traducción al español:
Paso 1.

Dominio de estacionamiento.
Para iniciar el trabajo necesita parar con nosotros el dominio en el que irá todo el tráfico.

Para esta configuración de su dominio registar la cuenta DNS
ns1.dns.com
ns2.dns.com

Después de esto, agregar el dominio de nuestro estacionamiento en la sección de enlaces.

Usted puede agregar algunos dominios en el mismo tiempo, esto creará una cola y si sus dominios son bloqueados se reemplazarán automáticamente con los nuevos.

Puede utilizar la solicitud de adquisición automática de un dominio limpio y colocarlo en nuestro TDS, si usted lo está utilizando.

** Los dominios que están prohibidos son eliminados de nuestro DNS automáticamente.

Paso 2.

Regreso del tráfico URL
Debe establecer la URL para "el tráfico de regreso".

Retornaremos navegando por la URL indicada para el "tráfico de regreso" si:

A. Su sistema operativo y el navegador no corresponde a nosotros, o si él estuviera aquí en los últimos 7 días.

B. Navegación a través de nuestra página web y lo redirige a su "tráfico de regreso".

Para el tráfico de adultos que no, el porcentaje promedio de Exploited es de 18-20%, para callhome de 55-60%.

Usted gana el 100% a partir de 1000 instalaciones en EE.UU. Al mismo tiempo consigue todo el tráfico de regreso.

Sólo aceptamos EE.UU., WinXP, Vista, Win7, IE, FF.

El resto del tráfico será devuelto a su URL de regreso, incluso antes de llegar a nuestra página.

Y si nos remontamos al año 2009, podemos ver que estos se conectan directamente a scarewares moneyracing.ru:


Malware MD5: E1EEDEEF721D6F87FFB0E1EC9CEE9F95

URLs encontradas en el código fuente del malware:

Scareware GUI:

Ahora bien, si hacemos una simple reflexión sobre el cerebro detrás de 'Racing Money'
Money (dinero)... Muy bien!
Racing (carrera)... hmm qué.. racing (carrera) = cars (autos)
Y si chequeamos la viaja dirección IP usada en el año 200...
encontramos lanos-club.ru un foro sobre autos, quizás esto es sólo una coincidencia.


Volvamos sobre el dominio moneyracing.ru, también tenemos el archivo "test.php", una página maliciosa que forma parte de Blackhole exploit kit, (probablemente muy vieja). El código ofuscado nos lleva a xmlalien.in/main.php?page=1321edc7470b347f



Ahora, cuál es la dirección IP de Money Racing:

El 302/403 de las respuestas DNS es interesante ya que devuelve el nombre de las máquinas, por ejemplo, en la red de Money Racing: orderonline-1.com fue utilizado como máquina de facturación:

Machine name: bill.host
orderonline-1.com/cgi-bin/
orderonline-1.com/images/
orderonline-1.com/admin/
orderonline-1.com/icons/
orderonline-1.com/signup/
orderonline-1.com/manual/
orderonline-1.com/sig/
orderonline-1.com/css/
orderonline-1.com/js/
orderonline-1.com/%2523FFFFFF/
orderonline-1.com/%2523999999/
orderonline-1.com/cron/

Y freshmediacontent.com como máquina de reporte:

Machine name: reports.host
freshmediacontent.com/admin/home/login
freshmediacontent.com/admin/home/logout
freshmediacontent.com/admin/members
freshmediacontent.com/admin/settings
freshmediacontent.com/admin/logs

Hemos contactado nuevamente al dueño de Money Racing el 9 de Diciembre de 2011:


Fuera del negocio al parecer y de acuerdo con él, nos dijo que buscó en los foros underground a una persona bajo el nick "бомбе" pero nunca encontró una "bomba" o alguna otra persona afiliada con Money Racing, así que volvimos a contactarnos con él el 18 de diciembre de 2011:

 Incluso con atractivos de trafica para EE.UU. y todos los requierementos, se mantenía la búsqueda de "бомбе". Pero es más probable que no quieren socios por el momento debido a la exposición que Vyacheslav Zakorzhevsky hizo el 27 de octubre.

Ahora, más recientemente, en enero, un colega detectó core6575.opensourceavpro.com, un dominio desde el cual se descarga malware. Pero el dominio en cuestión es de la red Money Racing.

• dns: 1 » ip: 213.133.100.207 - adresse: CORE6575.OPENSOURCEAVPRO.COM
Domain name:             OPENSOURCEAVPRO.COM
Name Server:             dns1.opensourceavpro.com 213.133.100.207
Name Server:             dns2.opensourceavpro.com 213.133.100.207
Creation Date:           2011.10.18
Updated Date:            2011.12.01
Expiration Date:         2012.10.18

Status:                  DELEGATED

Registrant ID:           GDZ6YAX-RU
Registrant Name:         Oleg Stoyanov
Registrant Organization: Oleg Stoyanov
Registrant Street1:      Botanicheskaya 8
Registrant City:         Moscow
Registrant Postal Code:  127276
Registrant Country:      RU

Administrative, Technical Contact
Contact ID:              GDZ6YAX-RU
Contact Name:            Oleg Stoyanov
Contact Organization:    Oleg Stoyanov
Contact Street1:         Botanicheskaya 8
Contact City:            Moscow
Contact Postal Code:     127276
Contact Country:         RU
Contact Phone:           +7 495 5468308
Contact E-mail:          olegstoyanov@hotmail.com

Registrar:               Regional Network Information Center, JSC dba RU-CENTER

Al buscar información y direcciones URL se puede determinar la siguiente sintaxis: core6575.opensourceavpro.com /? RID = 2671/terms.html
Este dominio fue utilizado como página de inicio para los afiliados de Money Racing. Una captura de pantalla del sitio:

De las hojas de estilo en cascada del sitio que hemos encontrado también una imagen que no tiene  absolutamente nada que ver con el desembarco de scareware habitual:



Pero no hemos encontrado nada relacionado con una página de destino "Youtube Studio" en el servidor, pero con Google sale esto: youtubestudiopro.com

El archivo descargado no es malicioso:

MD5: D3A748372338841FCD4366307F3EE657

El gráfico de youtubestudiopro.com es interesante:

Detalles para 64.120.214.18:
Dominios sobre Pharma, pagos de procesadores... Si hacemos click sobre contact: 64.79.111.19/contacts.html
Otra página de landing, en este caso "Monstocloud":


La dirección de la empresa es la misma de Registry Fixer (egistryengineer.com):


Retornando a core6575.opensourceavpro.com, hay solo un scareware alojado: "setup.exe" (AV Protection Online).

Malware MD5: 45BFC0DE3C78454B8C80623B7DE965B0

Como de costumbre, puede tener el nombre de máquinas con solicitudes 302 ó 403. ourbigbooklibrarry.com y mediaforclouds.com como "reports.host".



storeordersonline.com y onlineorderbilling.com como "bill.host".



También hay que tener en cuenta que este "360 Security" nunca fue encontrado como una versión "ejecutable". opensourceavpro.com también tiene una página de pago falsa. Incluso el captcha es falsa (una imagen GIF estática) y no verificada:


Cuando solicitamos una orden de facturación, se despliega el siguiente texto de error:

Sorry, please contact as by email: support@ccbil-payment.com

CCBill, es un servicio de procesamiento de pagos, generalmente usado para Adulto.

También encontramos esta URL desde opensourceavpro.com, una vez más relacionado con Money Racing:

avsecurecs.com
• dns: 1 » ip: 212.124.122.144 - adresse: AVSECURECS.COM
Domain name:             AVSECURECS.COM
Name Server:             dns1.avsecurecs.com 213.133.100.207
Name Server:             dns2.avsecurecs.com 213.133.100.207
Creation Date:           2011.08.03
Updated Date:            2011.12.18
Expiration Date:         2012.08.03

Status:                  DELEGATED

Registrant ID:           PBU1LTD-RU
Registrant Name:         Cyprus company
Registrant Organization: Cyprus company
Registrant Street1:      6 Karaiskakis Street
Registrant City:         Limassol
Registrant Postal Code:  53034
Registrant Country:      CY

Administrative, Technical Contact
Contact ID:              PBU1LTD-RU
Contact Name:            Cyprus company
Contact Organization:    Cyprus company
Contact Street1:         6 Karaiskakis Street
Contact City:            Limassol
Contact Postal Code:     53034
Contact Country:         CY
Contact Phone:           +357 25555000
Contact E-mail:          tomronalds@hotmail.com

Registrar:               Regional Network Information Center, JSC dba RU-CENTER


Imágenes de avsecurecs.com:


Área para clientes:

En la sección "About Us" de la página dicen estar en 392 Potrero Avenue, Sunnyvale:


Pero 360 Security LP no existe:


También encontramos un archivo phpinfo en el servidor:


Con interesante información:

SSH_CONNECTION 212.124.122.134 60463 176.31.230.169 22
System Linux ns226633.ovh.net 2.6.38.2-grsec-xxxx-grs-ipv6-64 #2 SMP Thu Aug 25 16:40:22 UTC 2011 x86_64
SCRIPT_FILENAME /home/sites/st2/html/chat/php.php
SCRIPT_URI http://st2.host/chat/php.php
SCRIPT_URL /chat/php.php
SERVER_ADDR 176.31.230.169
SERVER_ADMIN root@238072.b128.hostseek.ru

El dominio actual de Money Racing es mrwrk.com, probablemente para los "trabajadores de Money Racing":

Domain name:             MRWRK.COM
Name Server:             dns1.mrwrk.com 212.124.122.144
Name Server:             dns2.mrwrk.com 212.124.122.144
Creation Date:           2011.05.18
Updated Date:            2011.11.01
Expiration Date:         2012.05.18

Status:                  DELEGATED

Registrant ID:           YWAAUUH-RU
Registrant Name:         Kiborg Solutions LLC
Registrant Organization: Kiborg Solutions LLC
Registrant Street1:      shevchenko 12
Registrant City:         Kiev
Registrant Postal Code:  30015
Registrant Country:      UA

Administrative, Technical Contact
Contact ID:              YWAAUUH-RU
Contact Name:            Kiborg Solutions LLC
Contact Organization:    Kiborg Solutions LLC
Contact Street1:         shevchenko 12
Contact City:            Kiev
Contact Postal Code:     30015
Contact Country:         UA
Contact Phone:           +380 44 4907681
Contact E-mail:          soknosergei@yahoo.com

Registrar:               Regional Network Information Center, JSC dba RU-CENTER


mrwrk y las conexiones SSH fueron encontradas bajo fuerza bruta (puro y con listas de palabras), pero aún no han hecho nada. Este grupo delictivo sigue cometiendo errores y vamos a seguirlos de cerca.

Steven K (Xylitol)
Malware Research

Ver más

12.10.11

Inside Phoenix Exploit’s Kit 2.8 mini version

Phoenix Exploit’s Kit es uno de los paquetes delictivos con mayor continuidad en la escena del crimeware. Luego de todo este recorrido, actualmente se encuentra in the wild la versión 2.8 que, a pesar de tener una baja actividad desde el último semestre de este año, sigue siendo uno de los tantos Exploit Pack con mayor preferencia por los ciber-delincuentes.

Quizás, esta “poca actividad temporal” tenga su respuesta en la altísima demanda que actualmente posee otro crimeware de este estilo, que podría decirse, es uno de los protagonistas en la actualidad: Black Hole Exploit Pack  .

Sin embargo, PEK posee un modelo de licenciamiento similar, donde la última versión se ha liberado con una “alternativa” de compra. Se trata de Phoenix Exploit’s Kit 2.8 mini. Miremos brevemente esta alternativa delictiva a la cual pudimos acceder a través de nuestro servicio de seguridad ofensiva CrimewareAttack.

El modelo de licenciamiento se compone de su versión Simple de dominio cerrado a un costo de USD 2.200, otra versión Multiproceso también de dominio cerrado a USD 2.700 y un servicio extra de cifrado de USD 40 (ReFUDing), ya presente desde varias versiones atrás como parte del “valor agregado”. 

   
Panel de acceso a PEK 2.8. Al igual que las versiones anteriores, respeta su política de autenticación a través de un solo factor definido por una contraseña que chequea su integridad a través de su HASH MD5.

Básicamente esta nueva versión no modifica sus características, por lo menos respecto a su interfaz gráfica y funcionalidades en relación a las versiones anteriores. Cada sección del crimeware muestra el mismo caudal y tipo de información estadística; minimalista pero concisa, siendo esta, aunque trivial, uno de los principales motivos de la adopción de Phoenix por parte de los ciber-delincuentes. Sencillamente encuentran la información que necesitan para aumentar el nivel de éxito y estrategias de ataque, y fusionar las funcionalidad de este Exploit Pack con algún Malware Kit.

¿Qué diferencias existen entre la versión full y la versión mini?
Básicamente el negocio en torno al modelo de licenciamiento anteriormente mencionado. En el caso de la versión mini, el modelo está sujeto a un dominio bajo la modalidad simple, mientras que la versión full permite multitareas.

Quizás este modelo no dice mucho de esta manera; sin embargo, la razón de su existencia se basa en la posibilidad de utilizar diferentes afiliados de negocios con diferentes perfiles desde el modelo de licenciamiento full. De esta manera los delincuentes pueden ampliar su cobertura de negocio. Mientras que con la versión mini se limita a un solo perfil de usuario.

¿Qué hay de nuevo respecto a los exploits? 
Básicamente no mucho. Todo pasa por la optimización en el código de los exploits para obtener un nivel de éxito eficaz a la hora del proceso de explotación, agregándose el exploit para Java Runtime Environment Trusted.

También se han quitado los siguientes exploits que estaban pre-compilados en la verisón 2.7:
  • Windows Help and Support Center Protocol Handler Vulnerability – CVE-2010-1885  
  • Integer overflow in the AVM2 abcFile parser in Adobe Flash Player – CVE-2009-1869  
  • Integer overflow in Adobe Flash Player 9 – CVE-2007-0071  
  • IEPeers Remote Code Execution – CVE-2009-0806  
  • Internet Explorer Recursive CSS Import Vulnerability – CVE-2010-3971   
Desde M86 Security Lab han publicado a mediados de este año “Phoenix Exploit Kit (2.7) continues to be updated  ”, describiendo la metodología de ofuscación que ya se venía empleando versiones atrás. Con esta modificación, el autor buscó evitar el seguimiento de los componentes de PEK y descubrir su estructura, por ejemplo, durante el proceso de investigación.

Si bien básicamente se trata de los mismos exploits (similares en todos los casos, incluso a los que incorporan los demás Exploits Pack in the wild), el autor los optimiza para cada versión. En este caso, incorpora los siguientes exploits:
A pesar de la optimización de los componentes exploits para cada versión, es llamativo e interesante ver que 
en la cadena de optimización y actualización MDAC sigue siendo el exploit con mayor dominación, no sólo en este Exploit Pack sino que en cualquiera de los existentes ¿Cuál es la razón? Simplemente una falta de madurez en los usuarios (en torno a la aplicaicón de los procedimientos básicos de actualización) que lo transforma en una blanco potencial y altamente potable a través de esta vieja, pero efectiva, vulnerabilidad.

Más información sobre Inside Phoenix Exploit’s Pack de otras versiones:

  
El gráfico muestra algunos de los dominios que los creadores de Phoenix Exploit’s Kit han utilizado durante el año 2011.

Revisión de los componentes que forman parte de Phoenix Exploit’s Kit 2.8 mini versión

  
Simple statistics. La típica y primera pantalla que muestra PEK al momento de acceder. Se visualizan datos de interés para los grupos cibercriminales uqe se encuentran detrás de su gestión: Navegadores (y versión) más explotados, cantidad de equipos comprometidos y los exploits con mayor tasa de éxito.


  
Advanced statistics. Información con un nivel de detalle más amplio respecto a los navegadores comprometidos y sistemas operativos, junto a información de la tasa de éxito para cada uno de ellos.

  
Countries statistics. Información similar a los paneles anteriormente mencionados pero con datos relevantes sobre los países afectados.

  
Referer statistics. Información de los sitios web de referencia a Phoenix Exploit’s Kit.

  
Upload .exe files. Panel mediante el cual se actualiza el malware propagad.

White Paper  
Estado del arte en Phoenix Exploit's Kit (hasta 18/08/2010)  
Relevamiento hasta Phoenix Exploit's Kit v2.3r


 A pesar de algunos aspectos “sutiles”, lo cierto es que PEK prácticamente no cambia en cada versión, y quizás su simplicidad de uso es la clave por la cual sigue con vida en un ambiente delictivo donde la demanda y competencia es muy fuerte. Como en los negocios convencionales pero del lado delictivo.

Crimeware Research Team

Ver más

26.9.11

Show me your Kung-Fu. Reversing/Forensic Android


La pasada semana se celebró la NoConName en Barcelona, y tuve el placer de asistir para dar una conferencia sobre seguridad en Android. En ella hablé sobre cómo realizar un análisis dinámico, estático y forense, saltarse las protecciones de las aplicaciones y liberamos junto a nuestro compañero de MalwareIntelligence, Ehooo, un pequeño PoC que deja en evidencia una vulnerabilidad de Tap-Jacking.

Para aquellos que no pudieron asistir podéis encontrar bajo estas líneas un pequeño resumen de lo que fue mi conferencia, así mismo podéis acceder a toda la información que fue utilizada desde los siguientes enlaces:


·          Source Code: http://code.google.com/p/tap-android/
·          Video: http://www.youtube.com/watch?v=VN_IR2vUMAw

Montando el laboratorio
A la hora de analizar cualquier aplicación de la plataforma Android, debemos de distinguir claramente entre el análisis estático y dinámico. Siendo el primero el estudio a nivel de código de la aplicación para comprender el funcionamiento de la misma y estudiar las funcionalidades que posee, y el segundo basándose en el comportamiento que tiene la aplicación una vez ejecutada con el objetivo de estudiar las conexiones que establece con la red.

Para cada uno de ellos será necesario utilizar un conjunto de herramientas diferentes que variarán según nuestro propósito.

Análisis estático

·         Dex2jar – Permite convertir ficheros de clase *.dex a ficheros *.jar que podrán ser posteriormente abierto y editaros por los IDE específicos para la labor.
·         Jd-GUI – Cargar ficheros *.jar y permite visualizar el código de las clases java que lo componen.
·         JAD – Transforma los ficheros *.class a ficheros *.jad con la intención de ser posteriormente cargados en el Understand para su análisis.
·         Dexdump – Herramienta incluida en el SDK de Android que permite desensamblar todo el código del fichero *.dex a Dalvik Bytecode.
·         Understand Excelente utilidad para analizar, diseminar, y estudiar el funcionamiento y el flujo de llamadas realizados entre los distintos métodos que han sido declaradas en el código fuente de la aplicación.
·         Axml2print – Para obtener información clara del AndroidManifest.xml.

Otras herramientas que quizás puedas encontrar de utilidad sean:


Análisis dinámico

1.       Crear una máquina virtual hacienda uso del SDK.
2.       Lanzar el emulador sobre un puerto determinado y almacenar las conexiones

a.      Emulator –port n @device-name –tcpdump foo.pcap
3.       Instalar la aplicación a analizar
a.      adb install foo.apk
4.       Lanzar eventos sobre el dispositivo y la aplicación (1)
a.      adb shell monkey –v –p package.app n
5.       Analizar los logs creados
a.      adb shell logcat –d
6.       Apoyarnos en Wireshark para analizar las conexiones que se realizan.

(1)  El hecho de lanzar eventos sobre el dispositivo es debido a que en determinadas ocasiones algunas aplicaciones o malware necesitan que se produzcan ciertas circunstancias especiales para poder entrar en funcionamiento. Véase el recibo/envío de un SMS, la entrada de una llamada procedente de un determinado número de teléfono, etc.

Todas estas actividades pueden ser simuladas mediante los siguientes comandos:

·         Llamadas de teléfono
o   Gsm call p-n
o   Gsm accept p-n
o   Gsm cancel p-n

·         SMS
o   Sms send p-n text

·         Cambiar coordenadas GPS
o   Geo fix -13… 21…

Modus Operandi
Si tu objetivo es comenzar analizar aplicaciones sin necesidad de introducirte en los entresijos de la plataforma Android, un modus operandi que puede servirte es el siguiente:

·         AXML2Print – Extraemos los permisos que requiere la aplicación del AndroidManifest.xml
·         Dex2Jar / JAD – Para realizar las transformaciones de código necesarias.
·         JDGUI – Para analizar el fichero de clases *.jar
·         Understand – Para hacer un análisis estático del código y obtener los diagramas de flujo de las funciones que componen la aplicación.
·         Wireshark – Para realizar el análisis dinámico de la aplicación y observar las conexiones que realiza.

Análisis Forense

Para poder realizar una correlación del sistema de ficheros es necesario disponer de permisos root en el dispositivo, esto lo podemos conseguir gracias a diversos exploits o aplicaciones que pueden ser encontrados sin demasiada dificultad, así como una explicación de sus correcta utilización.

Al levantar una shell al teléfono podemos observar que el sistema está basado en Unix y que el sistema de ficheros está montado de la siguiente manera:

$ mount
rootfs / rootfs ro,relatime 0 0
tmpfs /dev tmpfs rw,relatime,mode=755 0 0
devpts /dev/pts devpts rw,relatime,mode=600 0 0
proc /proc proc rw,relatime 0 0
sysfs /sys sysfs rw,relatime 0 0
none /acct cgroup rw,relatime,cpuacct 0 0
tmpfs /mnt/asec tmpfs rw,relatime,mode=755,gid=1000 0 0
none /dev/cpuctl cgroup rw,relatime,cpu 0 0
/dev/block/mtdblock3 /system yaffs2 ro,relatime 0 0
/dev/block/mtdblock5 /data yaffs2 rw,nosuid,nodev,relatime 0 0
/dev/block/mtdblock4 /cache yaffs2 rw,nosuid,nodev,relatime 0 0

De manera que existen diversos puntos de montaje en distintos mtdblocks para cada directorio importante en nuestro teléfono:

·         /systen está montado en /dev/block/mtdblock3
·         /cache está montado en /dev/block/mtdblock4
·         /data está montado en /dev/block/mtdblock5

Y en caso de disponer de una tarjeta SD, podemos encontrarla en /sdcard.
El paso necesario para hacer una correlación de forma correcta es utilizar el comando dd acompañado de pull para traernos la imagen que realicemos del sistema a nuestro entorno de trabajo local:

# dd if=/dev/mtd/mtd5 of=/sdcard/data/mtd5.img bs=2048
100480+0 records in 
100480+0 records out
205783040 bytes transferred in 108.504 secs (1896547 bytes/sec)

sebas@Helios:~/Android/sdk/platform-tools$ sudo ./adb pull /sdcard/data/mtd5.img /home/sebas/Android/research/mtd5.img
1799 KB/s (205783040 bytes in 111.650s)

De manera que el proceso resulte tan trivial como grepear la salida en busca de ciertos strings que puedan servirnos de utilidad:

sebas@Helios:~/Android/research$ strings -a ./mtd5.img | grep databases | more
 
...
/data/data/com.android.providers.contacts/databases/contacts2.db-journal
/data/data/com.google.android.gsf/databases/talk.db-journal
/data/data/com.google.android.gsf/databases/talk.db-mj157DA2E7
...

Llegando a la conclusión de que la información de las aplicaciones instaladas en el teléfono se encuentra en la ruta:

·         /data/data/package.app/databases/…

Por lo que el proceso será tan trivial como traernos los ficheros que deseemos nuevamente a nuestro entorno de trabajo para su posterior análisis.

Saltándonos las protecciones

Para poder saltarnos las protecciones de Google existen dos posibles métodos:

Forma manual:
1.       Desensamblar el código haciendo uso de Baksmali:
a.       sebas@Helios:~/Android/research/protection/com.yoyogames/bcode/com$ java -jar baksmali-1.2.6.jar -x -o baksmali_code ../../Android/research/protection/com.yoyogames/classes.dex

2.        Realizar las siguientes modificaciones de código en el fichero de comprobación de licencia (./baksmali_code/com/android/vending/licensing/LicenseChecker.smali)

a.       Modificamos el método checkAccess por el siguiente código http://pastebin.com/FHfaD6WU

b.      Modificamos el método handleServiceConnectionError por el siguiente código http://pastebin.com/fHS8Kp8p

3.       Empacamos la aplicación nuevamente utilizando la herramienta APKTool
4.       Firmamos la aplicación con JarSigner
a.       sebas@Helios:~/Android/sdk/tools$ jarsigner -verify -verbose -certs ~/Android/research/protection/com.yoyogames/prueba.apk

5.       Utilizamos zipalign para temas de optimización y eficiencia:
a.       sebas@Helios:~/Android/sdk/tools$ ./zipalign -v 4 ~/Android/research/protection/com.yoyogames/prueba.apk ~/Android/research/protection/com.yoyogames/prueba-final.apk

6.       Instalamos la aplicación y disfrutamos.

Forma automática

Hacemos uso de la herramienta Anti-LVL (http://androidcracking.blogspot.com/p/antilvl.html) desarrollada por Lohan Plus:

sebas@Helios:~/Android/sdk/tools$ sudo java -jar antilvl.jar -f ~/Android/research/protection/com.yoyogames.droidtntbf-1.apk pruebafinal.apk

De forma que con un simple y sencillo paso nos realizará automáticamente todos los pasos del método manual.

Vulnerabilidad de Tap-Jacking

La vulnerabilidad encontrada y explotada viene debida al modelo de confianza que las aplicaciones de Android disponen, permitiendo abrir diálogos con determinados permisos al usuario, de forma que este pueda tomar decisiones que la aplicación por sí misma no puede realizar.

Una aplicación maliciosa que explote esta vulnerabilidad de TapJacking puede abrir un diálogo con privilegios y colocar una capa opaca por encima de esta que pase todos los eventos de pantalla a la capa directamente inferior. Consiguiendo de esta forma poder realizar llamadas, envío de mensajes, clicks en anuncios, transacciones bancarias, todo ello mientras el usuario no es consciente de ello.

El fallo se conseguía a raíz de los Toasts, clases especiales de diálogos, que a diferencia de las “Activities” permitía superpone la actividad actual de la aplicación mientras los eventos de pantalla de esta eran pasados a capas inferiores.

Estos que un principio poseen una apariencia que los permite distinguir de los diálogos normales, podían ser modificados en tamaño y comportamiento, como podréis ver en el vídeo que se ha subido.

La vulnerabilidad, corregida en un principio por Google, afecta a todas las versions actuales de teléfonos Android. Siendo por tanto el riesgo bastante alto. Se desarrollaron un total de 4 payloads para probar su funcionamiento:

·         CallPayload.java – Realiza llamadas de teléfono al número indicado.
·         MarketPayload.java – Descarga e instala aplicaciones del market.
·         ResetPayload.java – Devuelve al estado de fábrica el teléfono.
·         SMSPayload.java – Envía un mensaje de texto  al número  indicado.

Y la estructura interna es la siguiente:

·         Main.java – Ejecuta el servicio principal y carga los payloads.
·         MalwarePayload.java – Abstracción interna para facilitar la implementación de nuevos payloads.
·         MalwareService.java – Crea el toast e inicia el proceso de tap-jacking.
·         Main.xml – Tiene el layout de la aplicación, lanzando con un evento onClick cada payload.
·         Strings.xml – Contiene las cadenas que son utilizadas  en la aplicación.

Conclusión
Después de este pequeño resumen y de la investigación acaecía se me ocurren algunas preguntas para lanzar al aire:

·         En el tema de la protección de aplicaciones, ¿Tiene la culpa el desarrollador por no haber tomado las medidas de protección adecuadas, o la culpa es de Google por tener un sistema tan ‘infalible’?
·         ¿Se preocupa Google por combatir contra el Malware? ¿O es una batalla que tiene perdida desde el comienzo?
·         ¿Es necesario seguir sacando nuevas versiones en lugar de corregir los errores que hay en las anteriores?¿Fomentamos el progreso de la plataforma, o una fragmentación de versiones inevitable?
·         ¿Necesitamos proteger nuestros datos?¿Podemos confiar en la protección ofrecida por Google?¿Compensa tener más cercana nuestra vida digital sabiendo el peligro que corremos? 

Sebastian Guerrero
Crimeware Research

Ver más