viernes, 8 de abril de 2011

Troyanos Bancarios en Peru II

Hola.

Antes de leer esto, asegurate de leer la primera parte de este post aqui .

En la primera parte mostre la manera como el malware era descargado a la victima haciéndose pasar por una postal de amor. Ahora veremos el funcionamiento del malware una vez ejecutado por la victima. El escenario : la victima recibe el correo, confia en el titulo, descarga el archivo Postal.exe y lo ejecuta.

Antes de empezar, es importante recalcar que si reciben un archivo sospechoso NO LO EJECUTEN, apliquemos la politica del implicit deny. Todo lo que parece extraño, lo desechamos y solo leeremos y abriremos correos de contactos conocidos. Ademas tengan en cuenta tener siempre un antivirus actualizado. Por otro lado, si lo que quieren hacer es jugar con el malware para ver lo que hace, utilicen una maquina virtual para probarlo. Aunque algunos tipos de malware reconocen si estan corriendo sobre una maquina virtual y no ejecutan su payload, pero eso para otro dia.

Ok, una vez ejecutado el malware lo primero que notamos es trafico de red inusual. Utilizamos un analizador de paquetes como Wireshark para ver mas alla de lo evidente.



En los paquetes 1y2 se observa una resolución DNS de un dominio .com. Al revisar el host, vemos que es de una empresa de latinoamerica cuyo servidor probablemente ha sido vulnerado como parte de la campaña. En 3,4 y 5 vemos el establecimiento de una sesión TCP el famoso SYN - SYN-ACK - ACK hacia el puerto 80 del server mencionado. A partir del paquete numero 6 vemos lo mas interesante, un requerimiento HTTP con el metodo GET hacia un recurso localizado en /images/bg.jpg

Al ver el contenido de esta supuesta imagen las primeras lineas nos develan la naturaleza del ataque.  


Al final del archivo, vemos lo mas interesante.



En su totalidad, este es el famoso archivo hosts. Para los que no saben que es, una breve descripcion. Como sabemos, los equipos en internet utilizan su dirección IP para comunicarse entre ellos. Dado que seria imposible para un ser humano acordarse de los numeros IP de todos los dominios que visita, se invento el protocolo DNS para resolver una direccion IP a un nombre de dominio. Claro, es mas facil para un usuario acordarse de www.google.com que de 74.125.226.115.

Sin embargo, el sistema operativo, antes de mandar una consulta al servidor DNS, lo primero que hace es revisar el archivos hosts. Este es un simple fichero localizado en el sistema de archivos del equipo (en Windows: C:\Windows\System32\drivers\etc\hosts En linux: /etc/hosts ) que contiene entradas con la estructura Direccion IP : Dominio. En resumen, cuando escribes en tu navegador www.google.com lo que hace el sistema operativo primero es buscar en el archivo hosts si existe alguna entrada para ese dominio (www.google.com). De existir, toma la direccion IP del archivo e intenta conectarse al mismo. Es decir, ya no hace la consulta DNS y confia en el archivos hosts.

Este ataque es conocido como Pharming. Lo que hace el malware primero es descargar un archivo hosts modificado maliciosamente y sobreescribe el archivo original del equipo por el descargado, de manera que cuando el usuario intente conectarse a cualquiera de esos dominios (todos de ellos bancos peruanos) en realidad se estara conectando a la IP del atacante quien configura un servidor Web en el equipo para que a la victima se le presenta una Web idéntica a la de su banco y de esta forma podra obtener las credenciales para luego hacer transacciones fraudulentas.




Como vemos, una única direccion IP es utilizada para todos los dominios. Al analizar el registro de esa dirección IP en la base de datos Whois de ARIN podemos observar que le pertenece a la empresa Turnkey Internet Inc localizada en Norteamerica. Esta empresa brinda servicios de hosting y servidores dedicados. Luego de realizar un DNS reverso y un escaneo de puertos, concluimos que el atacante adquirió un VPS (Virtual Private Server) de la compañia que tiene un costo que varia entre 39 y 129 dolares al mes. Ya saben lo que dicen, para ganar dinero hay que gastarlo. Habrá comprado el atacante este servicio son su propia tarjeta de crédito o con una robada ? De ser lo primero entonces Turnkey Internet Inc tiene la identidad real de nuestro atacante en su base de datos...


Viendo el escaneo de puertos vemos una tipica instalacion por defecto de un VPS, con un CPanel y Plesk para su facil administracion. SMTP, POP3, POP3S, IMAP, IMAPS, DNS, muchos servicios innecesarios lo que nos muestra que el atacante no hizo un hardening de su servidor y que nos puede dar una luz respecto a su perfil. Lo mismo si ingresamos al servidor Web sin suplirle una cabecera HOST, vemos algunos archivos por defecto de una instalación de apache.

Jugando un poco con las aplicaciones Web falsas me asombra el nivel de detalle que el atacante le ha añadido (todo en php). Incluso implementa la tarjeta de coordenadas utilizadas por muchos bancos para que las victimas no sospechen. Probando algunas cosas, logro forzar un error PHP en el servidor lo que nos brinda un Full Path Disclosure y podemos averiguar el usuario con el que el atacante maneja su servidor: PEPITOCO. Al googlear este nick, vemos varios resultados pero no encontramos nada relevante.



Lamentablemente cuando quise darle mas tiempo para analizar esta campaña, el servidor del atacante habia sido dado de baja por el proveedor.

Con esto terminamos. Hemos visto a grandes rasgos el funcionamiento de un troyano bancario desde su propagación hasta su ejecución. Algo importante es que este malware apunta exclusivamente a bancos peruanos. Alrededor de 3 meses despues de iniciada la campaña el servidor del atacante fue dado de baja. En ese tiempo, cuántas victimas habrán ingresado sus credenciales en esos portales falsos ?

No lo olviden, desechar todo correo extraño. No está demas revisar si su archivo hosts no tiene algo extraño. Lo pueden encontrar en :
C:\Windows\System32\drivers\etc\hosts

Saludos.
MVelazco
http://twitter.com/mvelazco

miércoles, 6 de abril de 2011

Lo que CORTAS no siempre se CORTA

Escrito por Rodolfo Castelo.

Empezaré por contarles que hoy mi amigo Walter, ante un hecho personal me consulto sobre un tema de Microsoft Office (como soy según él mosquetero de Microsoft), en donde una imagen previamente “cortada” es mostrada en toda su plenitud original, en otras palabras la imagen sin cortar. Entendemor por "cortar" a la trata de la imagen para que sólo sea visible parte de ella.


En vista de ello, se me ocurrió una teoría no muy zafada, y creo algo lógico, claro está en el escenario usado, pero que tenía que probarse.
Bueno, la teoría era la siguiente:

“Microsoft Office, en su herramienta Word no es una suite ni aplicación de dibujo, pero que tiene algunos componentes que nos ayudan en el día a día para colocar imágenes en nuestros documentos y así hacerlos más atractivos y entendibles, por tanto, al cortar una imagen, este lo que hace es dejar visible la parte que nos interesa y ocultar con parámetros, meta o tags el resto de la imagen original, por tanto otra herramienta similar a Word, no necesariamente interpreta esta información de manera correcta o simplemente no lo hace, hecho por el cual deja visible toda la imagen, es ahí donde llegamos a decir LO QUE CORTAS NO SIEMPRE SE CORTA

  • Hice un printscreen y lo pegue en Word 2010
  • Luego se usó la utilidad recortar y se dejo visible sólo parte de la imagen.
  • Grabé el documento y se lo envíe a mi amigo Walter quien lo abrió con OpenOffice
  • ¿Qué creen? En el documento, Walter ve la imagen original sin cortes y no sólo lo que se dejo visible.
Por tanto la teoría era cierta, el Microsoft Word, al recortar directamente en la aplicación una imagen, no lo hace en realidad solo deja visible lo que deseas, pero en realidad guarda la imagen original y completa. El Open Office desecha los parámetros de ocultación y muestra la totalidad de la imagen.

Este tema podría catalogarse como un punto a considerar dentro de los análisis de seguridad de información ya que afecta directamente a la Confidencialidad del remitente siempre y cuando se manipule imágenes en el mismo Microsoft Word y no en aplicaciones de terceros enfocadas al dibujo.

A continuación muestro las imágenes vista desde Microsoft Word y desde Open Office.

Imagen como se ve en MS Word, la que fue recortada en la misma aplicación.

Como se ve en OpenOffice

Comparto esta información para los fines pertinentes!

Usen herramientas de dibujo cuando deseen manipular imágenes y pegarlas en documentos si es que no quieren que alguien vea más alla de lo evidente.