Análisis de malware en sandboxes online

Actualmente existen diversos servicios online gratuitos capaces de analizar malware de forma automática en un entorno virtual y cerrado de tipo sandbox. En lugar de intentar analizar y revertir el código del malware para ver lo que hace, simplemente lo ejecutan en un SO Windows virtual y trazan su comportamiento: monitorizan el tráfico de red que genera el malware, las DLLs que son cargadas, los cambios realizados en el registro e incluso qué está ocurriendo en el sistema de ficheros:

Anubis
Comodo Instant Malware Analisys
CWSandbox (y la instancia en Sunbelt Software)
EUREKA!

Joebox
Norman SandBox
ThreatExpert
Wepawet ť Home
Xandora

Para ver un poco más en detalle cómo funcionan estos servicios, buscamos un ‘espécimen’ en la red para analizarlo. Para ello, consultamos webs como Malware Domain List o Fighting Malware y descargamos un troyano ZBot (load.exe) que intentan 'colarnos' a través de un exploit de un antiguo 0-day para IE, incluido en el pack de Eleonore.
Subimos el binario a alguno de estos servicios y fijaros qué datos tan interesantes podemos extraer de su comportamiento:

Por favor, si queréis obtener vuestras propias muestras de malware para probar el análisis online, ser extremadamente cautos al descargar o acceder a este tipo de URLs. Como dicen por ahí, ¡nosotros no nos hacemos responsables!

Por último, tengo que decir que, aunque estos servicios online sandbox son enormemente útiles porque son gratuitos y pueden ahorrarnos bastante tiempo, no son siempre efectivos.

No hay más que echar un vistazo a la imagen con las capacidades anti-debug del builder de un conocido como Spy-Net.

Hoy en día, la industria del crimeware escribe códigos cada vez más complejos y capaces de distinguir entre un sistema de usuario final y un sistema de análisis de malware, por lo que mi recomendación final es usar estos servicios online como complemento y utilizar además un equipo ‘físico’ para realizar el análisis real y en detalle, utilizando las herramientas de siempre: exploradores y monitorizadores de procesos, sniffers, detectores de cambios tipo regshot, desensambladores y depuradores como Olly e IDA, etc, etc..
.

100 computer security blogs in English

Previously, we published a post with 100 computer security blogs in Spanish. Now, we give you a new list with 100 new blogs in English!.

Most of us usually read manuals, tutorials, articles and other documents in the language of Shakespeare, so we have also added a new mega-blogroll in English (see top page), to be fully up to date with everything happening in the world of IT security and ethical hacking.

I'm sure the blog list is almost endless, so feel free to recommend the blogs you follow. We would be very grateful if you could give us new URLs to add to our blogroll. Please, comment!

View list:

Número 2 de la revista Hack In The Box

¡Ya podemos descargar en número 2 del magazine Hack In The Box!:

https://www.hackinthebox.org/misc/HITB-Ezine-Issue-002.pdf

En esta nueva revista, todos los artículos se encuentran ya en alta resolución. Además, están organizados en sus respectivas secciones y los listados de código se han mejorado y son ahora más fáciles de leer. También se ha añadido una nueva sección de "entrevistas" y para esta edición, han entrevistado a dos conocidos expertos de Francia sobre sus ideas sobre el estado de la seguridad informática.

Como siempre, os dejo el índice:


  • Open Redirect Wreck Off - Web Traffic Forwards.
  • Dynamic Instrumentation - Una aplicación para JavaScript Deobfuscation.
  • Time Stamping - Qué y Quién... Pero también cuando.
  • Una vieja idea con una puesta en práctica moderna.
  • Los objetos de núcleo de Windows - la explotación de vulnerabilidades.
  • Análisis automatizado de Malware - Introducción a Minibis.
  • Entrevistas: Laurent.
  • Entrevistas: Daniel.

Primer contacto con el iPad

¡Ya tenemos en nuestras manos un iPad! La verdad es que nunca me he acercado lo suficiente a ningún producto de Apple pero he de reconocer que, aprovechando el viaje a Nueva York de Carlitos, no pude resistir a tenerlo y más aún sabiendo que todavía falta un mes para que esté disponible en nuestro país.

Mi primera impresión es que se trata de un producto con un diseño espectacular y con una gran usabilidad, pero por contra una plataforma demasiado cerrada. Opiniones que circulan en Internet con frases como "Apple quiere poseerte: bienvenido a nuestra prisión de terciopelo" confirman que la simplicidad del iPad ata de manos las posibilidades de desarrollo de los usuarios, que en cierta manera se ven limitados a ser simplemente consumidores de canales de distribución de sofware propios y muchas veces lucrativos.

Pero evidentemente poner rejas no hace si no aumentar las ansias de libertad y, hoy en día, existen cosas tan interesantes como el denominado jailbreaking con el que usuarios de iPhone, iPad e iPod Touch pueden tener otras alternativas a App Store como Cydia y otras aplicaciones pirateadas.

En cuanto a la seguridad del usuario y al tratarse de un gadget tan cerrado (de momento) es más difícil infectarse con un virus u otro tipo de malware, pero ni mucho menos imposible. Imaginaros que se trata del gadget de moda y que hay varios cientos de miles de usuarios nuevos que están en la mira de varios hackers los cuales intentaran convertirse en los primeros en infectar el iPad...

Realmente los casos de malware anteriores son escasos. En los iPhones (mismo SO que el iPad) sólo los jailbroken con contraseñas por defecto fueron infectados con malware y, aun así, sólo por un puñado de gusanos de gran nivel, tales como el gusano Rickrolling en Australia y los troyanos bancarios D'oh en los Países Bajos, los cuales se distribuyeron a noviembre del año pasado.

De momento ya se ha publicado el primer antivirus: VirusBarrier X6 que, debido a que el iPad por ahora no es multitarea, sólo podrá analizarlo cuando se conecte a la computadora. Para ello copiará las carpetas de usuario al equipo para escanearlas o incluso la imágen completa del dispositivo si este es jailbroken.

Podemos decir que se trata de un motor de antivirus a futuro, para la amenaza que se cierne. Se abre una nueva e interesante vía de investigación...

Entrevista a Skapunky

Skapunky se dedica a desarrollar herramientas para la detección y eliminación de malware y es moderador global en el foro de elhacker.net entre otras comunidades.

Hablamos de Albert López de Barcelona al que, después de contactar con nosotros, le propusimos una pequeña entrevista para conocerle un poco mejor:

1.- Para empezar, háblanos acerca de tus orígenes en el mundo de la seguridad informática y de dónde proviene tu nick skapunky...

Bien, skapunky es un joven llamado Albert, como cualquier otro con sus estudios, amigos y vida propia interesado en temas concretos sobre seguridad informática. No soy una persona muy metódica pero creo que es importante tener proyectos propios y sacar provecho de ellos porque ayudan a madurar, aprender y a la vez puedes aportar algo.

La seguridad informática hace pocos años que me interesa, con 14 años aprendí a programar en Pascal y años después he podido mejorar mis conocimientos y aprender otros lenguajes en la docencia universitaria donde me interesé mucho en programación. Cuando empecé a programar sentía curiosidad por los virus y el malware en general y creo que la necesidad de poder aportar algo e iniciar proyectos es lo que me ha llevado a hacer lo que hago, aunque realmente mis estudios sean de electrónica.

Skapunky es un nick que utilizo desde hace ya muchos años, este viene de un grupo de música español llamado Ska-P, donde en los principios de mi juventud me gustaban mucho ya que tenían un estilo que mezclaba música Ska con Punk con letras que me llamaban mucho la atención.

2.- ¿Qué le recomendarías a alguien que quisiese empezar a pegarse con el análisis de malware?, ¿crees que hoy en día se puede vivir de ello?

Grave falso positivo de McAfee

Un error de McAfee ha provocado un gran número de incidencias en sus clientes de todo el mundo.
Aproximadamente a las 16:00h de este miércoles, el fabricante lanzó una actualización de su software de firmas, concretamente la 5958, que confunde el módulo del sistema operativo svchost.exe con el virus w32/wecorl.a.


Al "desinfectar" el fichero legítimo el resultado es que, cada cierto tiempo, un equipo actualizado con estas firmas debe reiniciarse debido a un error grave del sistema.


Los daños de este error son enormes, y ya muchos usuarios han avisado de la pérdida y reinicio en el servicio de red. Podéis imaginar que se avecinan días duros para McAfee, que de momento ha decidido eliminar la actualización del servidor de clientes corporativos y ya trabaja a contrarreloj para buscar una solución definitiva.

Mientras tanto, más información, nueva versión de firmas y workarounds en: https://kc.mcafee.com/corporate/index?page=content&id=KB68780

Inteco CONAN v1.0

Recientemente podemos leer en diversos medios acerca de la publicación por parte de Inteco de una herramienta de análisis de sistema: ConAn (Configuración y Análisis).

La herramienta se encarga de recopilar la información del equipo para evaluar su nivel de seguridad:

- ipv4-addr

- SistemaOperativo
-
Hotfixes
- HotfixesNoInstalados
- VariablesEntorno
- UnidadesLogicas

- Intefaces

- EstadoConexiones

- RecursosCompartidos
-
EntradasHosts
- PoliticasSeguridad

- ConfiguracionIE

- PathAplicacion

- Procesos
-
Servicios
- ClavesRegistro
-
Drivers
-
Antivirus
-
Firewall

El resultado puede ser enviado directamente a la web de Inteco, donde se generará el informe correspondiente, o también puede ser almacenado en un fichero xml para su envío y análisis posterior.

Sin duda una herramienta interesante para entornos PYME o domésticos, quizás no tan completa como Secunia PSI a nivel de búsqueda de parches y vulnerabilidades, pero con la ventaja de que, sólo por registrarnos, podemos almacenar varios informes en la web de Inteco.
No obstante, decir también que se trata de la versión 1.0 por lo que, si la herramienta tiene buena aceptación, supongo que Inteco irá incluyendo nuevas mejoras y funcionalidades.

Introducción a la indetección de malware

Normalmente, el malware es detectado porque sus stubs o métodos de encriptación son identificados por los AVs. Si cambias el stub de un código malicioso, la mayoría de las veces, se vuelve indetectable.

Existen muchas maneras de modificar un stub y volver tus virus o troyanos FUD (Fully UnDetecatable): utilizar diversos algoritmos de cifrado y niveles de ofuscación, modificar las fechas, añadir un EOF adicional, mover PE entrypoint, realinear el PE header, clonar código inofensivo, etc.

Si estáis interesados en estas técnicas y cómo realizarlas, os recomiendo que gastéis algunas horas mirando foros y que leáis y leáis. Por ejemplo echar un vistazo a este magnífico tutorial de como indetectar cualquier malware por codigo.

Scapy v2.1.1: husmea en la red!

Para los que todavía no conozcáis al ya famoso Scapy, deciros que se trata de una poderosa herramienta interactiva escrita en Python para la manipulación y generación de paquetes, descubrimiento y escaneo de red y análisis de paquetes.

Proporciona clases para crear interactivamente paquetes o conjuntos de paquetes, manipularlos, enviarlos a través del cable, esnifar otros paquetes de la red, comparar las respuestas, y mucho más.

Scapy también funciona muy bien con un montón de otras tareas específicas que la mayoría de las otras herramientas no puede manejar, como el envío de frames no válidos, la inyección de sus propias tramas 802.11, combina distintas técnicas (VLAN hopping + envenenamiento de caché ARP, decodificación de VOIP en un canal cifrado WEP. ..), etc

También, es capaz de realizar las mismas funciones que ttlscan, nmap, hping, queso, p0f, xprobe, arping, SK-arp, ARPSpoof, firewalk, irpas, tethereal, tcpdump, etc. e incluye un módulo para realizar informes de una manera bastante fácil

Changelog v2.1.1

- Actualización de la instalación de Windows doc en referencia a PyCrypto 2,1
- Se convierten las tabs en espacios en crypto/cert.py

Documentación

Los colegas del trabajo

Pasamos casi diez horas diarias en la oficina, todos conocemos gente, hablamos y nos hacemos grandes colegas en el trabajo. El sábado se casó Carlitos, mi amigo y antiguo compañero y en su boda nos juntamos algunos viejos conocidos:


Insecure Magazine # 25 (Abril 2010)

Ya está disponible un nuevo número de la revista Insecure. Como podéis ver, los contenidos son bastante interesantes:

- La cara cambiante de las pruebas de penetración: ¡Evolucionar o morir!
- Revisión: SmartSwipe
- Vulnerabilidades SQL injection inusuales y cómo explotarlas
- Tomando nota de nuevos datos de reglas de notificación
- Cobertura a la conferencia RSA 2010
- Monitorización corporativa: abordando la seguridad, la privacidad, y la tentación en el trabajo
- Cloud computing y recuperación, no sólo backup
- EJBCA: Haga su propia entidad emisora de certificados
- Detección avanzada de ataques usando OSSIM
- El mundo de la seguridad basada en las reclamaciones
- Autenticación corporativa: incrementar la seguridad sin romper el banco

Lista de puertos de troyanos conocidos

Troyanos, programas residentes con apariencia inofensiva que, de manera oculta, pueden permitir a un atacante controlar un sistema remotamente y sin autorización.

Y es que ha llovido mucho desde que, en el año 1997, el sueco Carl-Fredrik Neikter escribierá el famoso Netbus. Back Orifice, SubSeven, Bitfrost, Bandook, Poison Ivy, etc. fueron sólo algunos troyanos que saltaron a la fama posteriormente.

Hoy en día, el término 'troyano' es comunmente conocido en el mundo de la informática y estos 'programitas' siguen proliferando en mayor número y complejidad.


Muestra de ello es la siguiente lista de puertos 'well-known' utilizados por troyanos conocidos de ayer y hoy. Un buen recopilatorio para la posteridad: