Wibimo: una nueva botnet modular con tecnología fast-flux

Introducción

Joe Stewart, director de investigación de malware en el SecureWorks Counter Threat Unit de Dell, presentó en la última Conferencia de seguridad RSA de EE.UU. una nueva botnet llamada "Wibimo" que utiliza tecnología fast-flux.

Fast-flux o tecnología de flujo rápido fue utilizada por primera vez en el año 2007 por Storm y consiste en rotar rápidamente los registros DNS utilizando un conjunto de direcciones IP, por lo que si uno de ellos es desmantelado, el hostname no se queda sin conexión.

Cada infección de Wibimo actúa como un servidor proxy y puede alojar un sitio de spam pharma, que hace difícil para los investigadores y los grupos anti-spam cerrarlas, especialmente si los dominios fueron registrados con un registrador que no responde a los informes de abuso.

Además de spam de pharma, la botnet es también parte de un plan de pago por instalación, donde otros delincuentes cibernéticos pagan sus autores para distribuir su malware.

Las víctimas infectan sus equipos con Wibimo visitando enlaces maliciosos propagados a través de correo electrónico. Wibimo se presenta primero como un dropper, una DLL primaria o principal y luego un número de módulos descargables que podrían venderse por separado en el mercado underground: un proxy troyano, un proxy DNS, un proxy inverso-HTTP y un componente de recopilación de información del sistema.

Según Stewart, los datos recolectados hasta ahora conducen a un autor ruso y uno que no puede ser considerado mediocre a la hora de escribir malware. "Fast-flux es más difícil de realizar... tienes que estar en un nivel superior de programación", dijo el investigador.

La hora del Cuckoo

Cuckoo es una sencilla herramienta de análisis automático de malware de tipo sandbox.

Se trata de un proyecto que arrancó durante el Google Summer of Code 2010 dentro de la organización del Honeynet Project con las siguientes ideas:


- proporcionar un producto de código abierto para ser lanzado bajo licencia GPL, para permitir personalizarlo y para hacerlo crecer alrededor de una comunidad de desarrollo.
- proporcionar un instrumento capaz de analizar cualquier tipo de archivo malicioso y obtener el mejor análisis de comportamiento fuera de él.
- proporcionar un entorno limitado que puede ser configurado para ejecutarse tanto en máquinas virtuales como en máquinas físicas.
- hacerlo distribuido.

Cuckoo tiene todavía un largo camino por recorrer antes de alcanzar todas las metas que se fijaron inicialmente, pero está en el buen camino ;-).

ADWYS CON'11 y Jornadas de Seguridad del GSIC

Esta semana se presenta calentita en cuanto a conferencias de seguridad se refiere.

Hoy y hasta el viernes 25, en el aula magna de la facultad de filosofía y letras de la Universidad de Cádiz, se celebra el I Congreso de Ingeniería Web y Seguridad Informática (ADWYS CON '11) y mañana y hasta el próximo sábado 26 dará lugar en el Campus de Elviña de la Facultad de Informática de A Coruña las jornadas de seguridad del GSIC (Grupo de Seguridad de la Información de A Coruña).

El proyecto secreto Magenta

La semana pasada Anonymous filtraba a través de Anonleaks miles de correos entre los que se destapaba que la empresa de seguridad informática HBGary Inc. y la empresa privada contratista del gobierno norteamericano Farallon Research podrían haber estado trabajando en el desarrollo de un nuevo tipo de rootkit para Windows, algo distinto a todo lo anterior, indetectable y casi imposible de eliminar.

Se trata de un rootkit multi-contexto escrito completamente en ensamblador y que ocupa menos de 4K. Se inyecta en la memoria del kernel a través de una técnica de carga parcial por medio de DriverEntry() y es extremadamente persistente porque sigue funcionando incluso si se elimina el fichero .sys original utilizado para la infección (fire-and-forget).

Reto 10: averigua el patrón de desbloqueo

Normalmente los humanos recordamos mejor patrones que cadenas de dígitos. Si tienes un teléfono con Android seguro que los desbloqueas dibujando un patrón en la pantalla. Pero, ¿es más seguro un patrón que un PIN numérico? La respuesta es no, porque el número de combinaciones se reduce drásticamente. Si utilizamos patrones es simplemente porque son más fáciles de recordar...

Nuestro siguiente reto se trata de una emulación en flash de un patrón de desbloqueo similar a utilizado en Android. ¿Podrás averiguar el patrón de desbloqueo del smartphone virtual de
H4x0r?

Borrado seguro con Active@ Kill Disk

Ayer tuve la oportunidad de sustituir mi viejo portátil del trabajo por uno nuevo. Siempre procuro no dejar en el disco datos importantes de clientes y, si no tengo más remedio, los almaceno en un volumen cifrado con Truecrypt. Aún así, antes de devolverlo, intento asegurarme de que los datos no pueden ser recuperados.

He trabajado muchos años en un departamento de sistemas internos y he visto como muchos equipos se reutilizan a veces sin formatear y a veces algunos son almacenados durante años en armarios para acabar siendo donados a otras organizaciones sin volver a plataformarlos.
Incluso hasta en una ocasión llegué a comprar un disco USB "nuevo" en una famosa cadena de tiendas y, como "yo no soy tonto", antes de utilizarlo le pasé una herramienta de recuperación (Recuva) para acabar descubriendo que el disco tuvo un dueño anterior...

Utilizar un simple format, fdisk o delete del sistema operativo no es suficiente y, en conclusión, siempre es aconsejable realizar un borrado seguro.


Buscando herramientas encontré rápidamente Active@ KillDisk - Hard Drive Eraser, un interesante producto para "destruir" completamente los datos de discos duros internos y extraíbles, excluyendo la posibilidad de una recuperación futura de ficheros y carpetas eliminados.

Liberado Metasploit Framework 3.5.2


Ya tenemos disponible una nueva versión de nuestro Framework de Pentesting por excelencia.

Esta nueva versión corrige una vulnerabilidad de escalada de privilegios descubierta en las instalaciones multiusuario en Windows la cuál fué notificada el pasado 1 de Febrero por Eduardo Prado de
Secumania.

El problema era debido a los permisos heredados que permiten a un usuario sin privilegios escribir archivos en el directorio de instalación de
Metasploit.

Metasploit + Nessus + XSSF

En esta ocasión Japtron nos remite otros dos interesantes vídeos relacionados con la integración de Metasploit con su módulo XSSF y el archifamoso escáner de vulnerabilidades Nessus.

En el primer vídeo veremos cómo descargar e instalar Nessus y XSSF en un sistema Backtrack 4 R2.

En el segundo como integrar Metasploit con Nessus, no sólo pasándole los resultados de los escaneos, si no trabajando directamente
con él desde la consola del framework.

SpyEye + Zeus: el super troyano bancario

Los investigadores de seguridad de RSA han confirmado que el autor de SpyEye está trabajando en un "super troyano" mediante la fusión de las características de Zeus, añadiendo cosas propias y copiando directamente algunas partes de código.

Cuando el año pasado aparecieron los primeros rumores de que SpyEye y Zeus se fusionaban, después de que Slavik diera su código fuente a Harderman, alias Gribodemon, los investigadores de seguridad se mostraron escépticos.

Esto se debía a que, en aquel momento, SpyEye fue el mayor competidor de Zeus en el mercado negro e incluso incluyó una opción para "matar a Zeus".

Sin embargo, a partir del desarrollo de la versión 1.3, el malware comenzó a mostrar señales de que los rumores eran ciertos y las características de Zeus fueron poco a poco portándose a SpyEye.

Número 5 de la revista Hack In The Box

Ya podemos descargar el magazine número 5 de HITB, el primero del año.

Los contenidos son los siguientes:

Linux Security
-Investigating Kernel Return Codes with the Linux Audit System

Network Security
-Secure Shell Attack Measurement and Mitigation
-ARP Spoofing Attacks & Methods for Detection and Prevention
-Exploiting Web Virtual Hosting – Malware Infections

Windows Security
-Windows CSRSS Tips & Tricks

Professional development
-CISSP® Corner – Tips and Trick on becoming a Certified Information Systems Security Professional

Interview
-Rolf Rolles

Podéis encontrar el enlace directo aquí.

Ataques USB autorun en Linux

Mucha gente piensa que Linux es inmune a los ataques de tipo autorun como los que en los últimos años han plagado los sistemas Windows con malware. Sin embargo, ha habido muchos avances en la usabilidad de Linux como sistema operativo de escritorio, incluyendo la introducción de características que pueden permitir este tipo de ataques de ejecución automática.

La siguiente presentación del ShmooCon por Jon Larimer de IBM X-Force, comienza con una definición de las vulnerabilidades autorun y algunos ejemplos en Windows, para a continuación dar un salto a la parte de Linux.

Larimer explica cómo los atacantes pueden abusar de estas características para obtener acceso a un sistema real utilizando una unidad flash USB. También muestra cómo un simple USB puede ser una plataforma de explotación que permita eludir fácilmente los mecanismos de protección como ASLR y cómo estos ataques pueden proporcionar un nivel de acceso que otros métodos de ataque físico no lo hacen.


La charla concluye con los pasos que los vendedores y los usuarios finales de Linux pueden tomar para proteger los sistemas de esta amenaza y así evitar una ola de "malware autorun" en Linux.

Libro: Ninja Hacking: Unconventional Penetration Testing Tactics and Techniques

Os presentamos otro nuevo libro de Thomas Wilhelm, esta vez escrito junto a Jason Andress.

Ninja Hacking no es una obra técnica, no es el típico libro de hacking en el que veremos un montón de ejemplos de código y tutoriales para penetrar en los sistemas. Se trata de un viaje en el que los autores intentan demostrarnos cómo el camino del ninja puede ser comparado con el de un hacker y cómo podemos llegar a ser mejores pentesters aprendiendo a pensar como lo haría el enemigo.

Dentro del libro veremos múltiples comparaciones entre samuráis y ninjas (sombrero blanco y sombrero negro), cómo unos respetan el código ético y otros viven fuera de él y veremos también estrategias militares y tácticas del "Arte de la guerra" que pueden ser trasladadas al ciberespacio actual.

Pero sin duda lo más impactante es aprender cómo es el comportamiento de un black hat hacker, cómo juegan con los temores de la gente, la forma en la que se disfrazan, las tácticas de infiltración que utilizan, cómo descubren los puntos débiles en las defensas de una red, cómo recopilan información y realizan actos de sabotaje.

5 interesantes proyectos de seguridad de código abierto

Interesante entrada en CIO sobre 5 proyectos de seguridad open source a los que seguir la pista:

1. PacketFence

PacketFence es un NAC (Network Access Control) de código abierto para redes cableadas e inalámbricas desarrollado por la compañía canadiense Inverse.

PacketFence se integra con el IDS Snort y el escáner de vulnerabilidades Nessus y es administrado out-of-band (canal de administración dedicado).

Entre sus características se incluye soporte VoIP, 802.1X, aislamiento de dispositivos rogue e interfaz web de administración.

URL: http://www.packetfence.org
Licencia: GPL

Metasploit Autopwn

Seguro que a muchos ya os ha pasado y que en alguna que otra ocasión os han "soltado" en las oficinas de un cliente con vuestro portátil y la única premisa de demostrar, en tan sólo unas horas, que los equipos de su red son vulnerables y que un atacante malicioso podría REALMENTE llegar a robar información o poner en riesgo la integridad de los sistemas.

Si se os presenta esa situación o alguna otra en la que necesitéis obtener resultados rápidamente, no os importa hacer más ruido que un elefante en una cacharrería o simplemente queréis sentiros cual Rambo disparando exploits a diestro y siniestro, entonces Autopwn es vuestra herramienta.


Podríamos decir que Autopwn es la automatización de la explotación de sistemas hecha de forma fácil y sencilla. Un módulo de Metasploit que tiene la posibilidad de utilizar previamente los resultados de Nmap y/o Nessus para posteriormente lanzar automáticamente una batería de exploits contra los objetivos de una red.

Nuevo número de Hakin9: Seguridad de red

Comienza febrero y como siempre llegamos puntuales para presentaros un nuevo número de la revista gratuita Hackin9 (Vol.6 No.2). Entre los contenidos de este mes destacamos una nueva sección que trata sobre certificaciones de seguridad:

Habituales
En general
-Últimas noticias desde el mundo de la seguridad IT [Armando Romero, eLearnSecurity]
Herramientas
-Wuala - Almacenamiento seguro on-line [Michael Munt]
Revisión del libro
-Una guía de hacking ético para principiantes [Shyaam Sundhar]
El experto en fraude dice...
-Seguridad de red - fugas de datos [Julian Evans]
Amenazas emergentes
-¿Cuál es la cobertura necesaria? [Matthew Jonkman]