31 mar 2013

Informe Flu - 117

Una semana más os traemos el resumen de la semana en Flu Project:Lunes 25 de Marzo
  • Una de las cadenas más populares en Flu Project, Tecnicas de evasión de AVs. En esta ocasión hablamos de la tercera parte de la serie.
Martes 26 de Marzo
  • Marc nos hace ver el phishing 2.0, ¿estamos preparados para lo que viene?
Miércoles 27 de MarzoJueves 28 de Marzo
  • Jordi nos trajo la última parte de su serie Jugando con Ettercap. En esta última parte nos habla de la configuración de filtros y de que como siempre el límite está en la imaginación de cada uno.

Viernes 29 de Marzo

  • Termineter y los smart meter. Hoy en día existe la posibilidad de modificar los medidores inteligentes con ciertas características gracias a este framework
Sábado 30 de Marzo

30 mar 2013

Antivirus en la TV

Con la llegada de los Smart TV al mercado mayoritario, se abre una nueva vía para realizar compras por Internet, acceso a Internet a través de la TV, correo, videoclubs, juegos, etc.

Como ya ocurrió con los Smartphones, los creadores de virus y malware se frotan las manos ante el aluvión de dispositivos con medidas de seguridad muy verdes sino inexistentes. Desde que se descubrió en primer virus masivo para móvil, allá por el 2001 (un virus que tuvo poco éxito mas allá de zonas localizadas, debido a lo limitado de la plataforma en la que se propagaba), el incremento de virus y malware para estos dispositivos se ha incrementado de forma exponencial hasta alcanzar cifras realmente espectaculares. iOS, Android, W8, RIM… ninguno se libra de estar presente en el listado de plataforma por afectados.

Si bien en la actualidad (si lees este artículo en Marzo de 2013, claro) el malware en sistemas operativos de Smart TV no representa ningún porcentaje significativo, ya el pasado año, la empresa GData alertaba del comienzo de una proliferación de sitios de malware atentando contra nuestras televisiones.

¿Que es lo que tienen de atractivo?

Las Smart TV, tienen muchos aspectos que le pueden llamar la atención a los creadores de Malware. Cada vez hay más usuarios de plataformas como wuaki.tvLivesport.tv, etc. en los que se puede acceder a contenido como películas o deporte, previo pago de su importe con tarjeta. Así mismo, la mayoría de dispositivos cuentan con acceso a Mail, Web o cuentas como Facebook o Twitter, que pueden ser utilizadas para diseminar este malware o incluso uno con capacidades multiplataforma mediante gusanos.

¿El peligro está ya aquí?

La estandarización de las plataformas y sistemas presentes en estos dispositivos, facilita la creación y la posterior multiplicación de este tipo de malware. No es extraño ver foros de Internet dedicados a determinadas marcas, en los que cualquier malo de turno puede sacarse un listado de usuarios de correo con un poco de ingeniería social y un par de post.

Esto, unido a que la gente está ávida de apps para sus flamantes televisiones nuevas, puede hacer que se bajen las defensas y la suspicacia que ya vamos teniendo cuando recibimos alguna cosa rara en el móvil; que hace tiempo ya tenemos para con nuestro ordenador.

¿Existen antivirus ya?

De momento no. Las principales marcas de TV ya estarían trabajando en la manera de incluir este tipo de protección en sus televisores, y, aunque ya se tiene conocimiento de vulnerabilidades en algunas marcas de Smart TV, parece ser que la cosa no preocupa de momento lo suficiente a los fabricantes.

¿Y que puedo hacer?

Hasta que nuestras televisiones cuenten con un grado de protección lo suficientemente algo, tendremos que ayudarles con nuestra propia capacidad. Toda cautela es poca, sobre todo a la hora de abrir enlaces en correos que se lean en nuestro televisor, instalar software de fuentes poco fiables, navegar por sitios peligrosos usando el navegador de nuestro televisor o introducir direcciones web a supuestas aplicaciones de Smart TV que nos envíen a nuestro correo.

Un Saludo,

29 mar 2013

Termineter y los Smart Meter

Hoy en día los Smart Meter están de moda, ya los hombres de la luz no vienen a revisar los contadores o medidores, se puede hacer en remoto gracias a los medidores inteligentes. En Kali Linux se dispone de un framework de código libre el cual se encuentra codificado en Python y permite a cualquier usuario conectarse a los medidores digitales de electricidad o Smart Meter (medidores inteligentes).

Termineter se puede utilizar para modificar el softwaredel contador o medidor, y reducir, por ejemplo, las tarifas que los usuarios pagan por la electricidad. También, sencillamente, se podría ordenar al contador que informe menos consumo. La aplicación se conectaría al medidor o Smart Meter a través de una interfaz.

La sintaxis es muy similar a la de la línea de comandos de Metasploit, aunque Termineter no se encuentra integrado, a día de hoy, con el framework de Metasploit.

Implementa los protocolos de comunicación C12.18 y C12.19 y actualmente soporta los medidores que utilizan la C12.19 con juegos de caracteres de 7 bits. Termineter comunica con medidores inteligentes a través de una sonda de tipo ANSI-2 optical con una interfaz serie.

¿Se podría leer tablas y modificarlas? La respuesta es sí, siempre y cuando se pueda acceder a las tablas. La información sin embargo estaría en modo crudo y sin analizar. En líneas generales, el proyecto es muy interesante y con un futuro importante enfocado a la seguridad de los medidores inteligentes.

28 mar 2013

Jugando con Ettercap (Parte III de III)

Para terminar esta serie de artículos sobre Ettercap vamos a tratar una de las funcionalidades que más me gusta por su abanico de posibilidades donde una vez más y como diría Pablo “El límite es tu imaginación”.

Los filtros de ettercap son uno de sus fuertes como herramienta de red, con ellos podemos entre otras cosas modificar los paquetes que recibirá el ordenador spoofeado. El funcionamiento es muy sencillo y su sintaxis es parecida lenguajes de programación tales como C o Python.

Un ejemplo sencillo seria capar todos los paquetes TCP. Para ello bastaría con usar el siguiente filtro:

if (ip.proto == TCP )

{

      drop();

      kill();

 }

Si quisiéramos cortar la conexión contra una IP o un puerto concreto bastaría con cambiar la condición por “ip.src == ‘134.0.11.133’ || ip.dst == ‘134.0.11.133’” o “tcp.src == 110 || tcp.dst == 110” respectivamente.

Otra opción muy interesante que nos dan estos filtros es la de modificar la sintaxis HTML que recibe el equipo. De esta manera podremos, por ejemplo, cambiar las imágenes que el usuario debería recibir por el logo de Flu. Para ello deberemos modificar el atributo src de la etiqueta IMG.

if (ip.proto == TCP && tcp.dst == 80) {

      if (search(DATA.data, "Accept-Encoding")) {

           replace("Accept-Encoding", "Accept-Rubbish!");

      }

}

 if (ip.proto == TCP && tcp.src == 80) {

      replace("img src=", "img src=\"http://www.flu-project.com/logo.png\" ");

}

Con este otro filtro modificaríamos palabras o cadenas de palabras que se reciben por IRC

if (ip.proto == TCP) {

    if (tcp.src == 6667 || tcp.dst == 6667) {

        if (search(DATA.data, "")) {

            replace(“Madrid", “Barça");

            replace("Sebastian Vettel", "Fernando Alonso ");

        }

    }

}

Esto solo son algunos ejemplos, pero el potencial real de la herramienta radica en la creatividad del usuario.

Quizás os estáis preguntando, ¿ahora que tengo el filtro que hago con él? Para ponerlo a funcionar debemos guardarlo en un archivo de texto y compilarlo con el siguiente comando:

etterfilter filtro.txt –o f_compilado.ef

Ahora solo nos queda ejecutarlo. Para ello añadiremos la opción “-F f_compilado.ef” en ettercap si vamos a realizar el MiTM desde la consola o bien, añadirlo desde la pestaña Filters en Ettercap-NG si realizaremos el ataque desde la interfaz gráfica.

27 mar 2013

Herramientas forense para ser un buen CSI. Parte XVIII: Clonación II de II

Buenas a todos, hoy continuaremos nuestra cadena sobre Análisis Forense hablando de la clonación de discos duros vía software, presentando algunas alternativas gratuitas que tenemos disponibles en el mercado.

La primer de las herramientas con las que hoy trabajaremos será dd (modo consola), y en concreto su versión mejorada, dc3dd, que tenéis disponible en numerosas distribuciones de Linux orientadas a forense, como Caine.

dd y dc3dd soportan clonación tanto a nivel físico (todo el disco duro), como a nivel lógico (cada partición independiente), lo que nos permitirá no solo utilizarlas para clonar todo un disco para un análisis forense, si no también para hacer backups de unidades concretas.

Nota: Es muy importante que si se montan las unidades, se haga en modo solo lectura, para evitar alterar el disco duro a analizar.

Nota 2: En la clonación, el tamaño del disco duro destino debe ser igual o mayor que el de origen. Si es menor, deberá realizarse la clonación por partes.

En dd y dc3dd tendremos que aprendernos algunos argumentos indispensables para realizar la clonación:

  • if=input file
  • of=output file
  • bs=sector
  • count=nº

Por ejemplo, si quisiésemos clonar la MBR de un disco, que como sabéis ocupa el sector 0, es decir, los primeros 512 bytes, deberíamos aplicar el siguiente comando:

  • dc3dd if=xxx of=mbr.backup bs=512 count=1

Y si quisiésemos restaurar la MBR desde una imagen dd:

  • dc3dd if=mbr.backup of=xxx bs=512 count=1

Además de esta utilidad en modo consola, disponemos de un gran listado de utilidades con entorno gráfico que nos facilitarán más si cabe la delicada tarea de adquisición de evidencias. Una de ellas es el software AIR (disponible en Caine).

AIR nos va a permitir desde realizar la clonación de un disco bit a bit hasta realizar su borrado mediante barrido de 0s (Wiping)

Nota 3: Se recomienda realizar 3 barridos de 0s para eliminar todo rastro posible de información de un disco duro.

Además nos permitirá utilizar dc3dd para realizar la clonación.

Por otro lado nos permitirá calcular el hash de la evidencia (importante seleccionar sha1 o superior como os dijimos la semana pasada):

 

Otra utilidad muy útil será Guymager, también disponible en Caine. Como veréis en la siguiente imagen es incluso más sencilla de utilizar que AIR. En su pantalla principal nos muestra los device disponibles y pulsando con el botón derecho del ratón sobre cada uno de ellos nos permitirá realizar la adquisición de la evidencia:

 

Una vez se abra la nueva pantalla simplemente le indicaremos el tipo de copia que deseamos realizar, el destino, le daremos un nombre, seleccionaremos el algoritmo de hashing para la firma de la evidencia, y si no nos entra la imagen en el disco duro destino, podremos seleccionar partirlo en trozos:

 

Eso es todo por hoy, saludos!

26 mar 2013

¿Phishing 2.0?

PhishingQue los usuarios caen en los phishings está claro. Es por eso que los criminales siguen usando este método para conseguir las credenciales de los usuarios.

Es una técnica que lleva años usándose y de vez en cuando se pueden ver tendencias nuevas.

Los phishing se caracterizaban por estar mal escritos y esos detalles junto con la concienciación a los usuarios en materia de seguridad de que no han de hacer caso hacen que disminuya el impacto en según que sector de usuarios.

Estaba navegando por los distintos RSS ( Goodbye Google Reader :( ),  me encontraba con una entrada que se llamaba Phishing 2.0.

Explicaban un caso muy curioso que me ha parecido muy original.

Imaginad que tenemos una web en la que hay un texto que tiene un enlace

Hasta aquí, todo normal.

Pero que pasaría si cuando este usuario clica en el link en realidad va parar a una página que no es la que aparece cuando el usuario pasa por encima con el ratón….

Pues esto se consigue con un código Javascript en uno de sus eventos.

la prueba de concepto es:

codigoCódigo

Cuando el usuario haga clic en el link, el usuario será redirigido hacia la web que quiera alguien con fines malévolos.

¿Como podemos solucionar esto?

Pues de la parte de developer, podríamos incluir controles del tipo, desactivar temas de “onclick” 

var headers = document.getElementsByTagName(‘h3′), i; for (i = 0; i < headers.length; i++) { if (headers[i].className === ‘r’) { headers[i].firstChild.onmousedown = null; } }

Y como usuarios pues no nos queda otra de usar addons que no permitan que te hagan una redirección.

Por ejemplo:

https://addons.mozilla.org/en-US/firefox/addon/redirector/

Estos son algunos consejos, para no caer en estas nuevas maneras de poder llegar a cometer phishing, o simplemente que nos infecten con un kit de Exploits.

25 mar 2013

Técnicas de evasión de antivirus (Parte III)

Buenas a todos, hoy continuaremos hablando de técnicas de evasión de antivirus hablando de las APIs de Windows “peligrosas” de utilizar si queremos dificultar la vida a los motores de los antivirus. Para el ejemplo de hoy nos olvidaremos de .Net por un rato y haremos uso del clásico lenguaje ANSI C, mucho más popular a la hora de desarrollar malware.

Cuando desarrolláis un malware (asumiremos que con fines éticos) habréis experimentado que muchos antivirus en un análisis estático del malware cazan el uso de ciertas funciones de la API de Windows, que ya tienen en su listado de “cantosas”. Un claro ejemplo es URLDownloadToFileA, que permite descargar un archivo en el PC, es muy utilizada por los malware de tipo “Dropper”.

Pues bien, existen alternativas para seguir utilizando este tipo de funciones, y evitar ser detectados en un análisis estático. Una de ellas, y que es muy utilizada en el mundo del exploiting, es el uso de las funciones LoadLibrary() y GetProcAddress(). En resumen, lo que nos interesará es que el nombre de la función URLDownloadToFileA no aparezca en el binario del malware y para ello, podremos cifrar el texto con el nombre de la función, haciendo uso de algún algoritmo de cifrado tipo Caesar, Xor o similares. De manera que en el binario solo aparecerá el texto cifrado. A continuación el malware debería descifrar el texto y llamar a LoadLibrary, pasándole el texto descifrado, de manera que cargue la librería de manera dinámica en memoria. Una vez cargada, simplemente deberemos llamar a GetProcAddress() para averiguar la dirección de memoria donde ha sido cargada nuestra función para comenzar a utilizarla.

La teoría es sencilla ¿no? Vamos a practicarla.

La siguiente función nos permitirá descargar un archivo, indicándole la URL donde se encuentra, y la ruta destino donde será almacenado en la máquina. Como vemos, carga dinámicamente la libería urlmon.dll, llamando a la función URLDownloadToFileA:

char downloadFile(char* URL, char* FilePath){Udtf _Udtf = (Udtf)GetProcAddress(LoadLibrary("urlmon.dll"),"URLDownloadToFileA");return _Udtf(0,URL,FilePath,0,0);}
Si analizamos el exe resultante con peframe, veremos que no aparece URLDownloadToFileA entre las APIs utilizadas. 

Esto es debido a que la estamos cargando dinámicamente en memoria. Pero aún así, si un antivirus analiza el binario, puede encontrar el texto en claro “URLDownloadToFileA”. Como vemos a continuación si abrimos el exe con un editor hexadecimal:

 

Una solución sencilla sería cifrar el texto como os indicábamos:

char downloadFile(char* URL, char* FilePath, char* DLLCifrada, char* FuncionCifrada){Udtf _Udtf = (Udtf)GetProcAddress(LoadLibrary(descifrar(DLLCifrada),  descifrar(FuncionCifrada));return _Udtf(0,URL,FilePath,0,0);}

De esta manera evitaremos que los antivirus detecten el uso de URLDownloadToFileA, a menos que sean capaces de analizar malware en memoria, cosa que a día de hoy muy pocos antivirus hacen, por el coste computacional que ello conlleva. De todas maneras si analizáis el binario con DrWeb, un antivirus que sí que es capaz de analizar a nivel de memoria, veréis que se come nuestro juguete.

Saludos!

 

24 mar 2013

Informe Flu – 116

Buenas a todos, una semana más os traemos el resumen de la semana en Flu Project:

Lunes 18 de Marzo

Martes 19 de Marzo

  • El martes Marc nos hablaba de Kali, y no, no se refería al compañero del "dandy" ;), sino al sucesor de la popular Backtrack :P
Miércoles 20 de MarzoJueves 21 de Marzo

Viernes 22 de Marzo

Sábado 23 de Marzo

23 mar 2013

Mundo Hacker capítulo 1 en Discovery MAX

Quien piense que Mundo Hacker es algo nuevo está muy equivocado. Mundo Hacker hace mucho tiempo que está repartiendo conocimiento por Internet.

Me acuerdo cuando esperaba ansioso a que sacaran un nuevo podcast con nueva información.

Por aquel entonces, en el podcast salía gente como Yago Fernández, Antonio, Jean Paul o Yanco, el famoso Jacinto el niño de 15 años :).

Por cierto, los podcast los puedes encontrar en Itunes donde los puedes descargar, también los puedes encontrar en la web de Yago.

Después de los podcast, se lanzaron a grabarlo en video y hacer programas mucho mas atractivos. Los videos fueron colgados en GlobbTV. De echo yo salí en uno de ellos!!!

http://www.globbtv.com/mundohackertv/108/programa/1430/mundo-hacker-tv-ep8—seguridad-y-hacking-web/0

Tengo muy buenos recuerdos de aquel día.

El otro día recibí una llamada de Antonio recordándome que iban a sacar una edición de Mundo Hacker en Discovery MAX, que buena noticia pensé…

Ya ha salido el programa, que puedes ver los jueves a las 00:20h. También está disponible en Youtube, yo ya lo he hecho y la verdad es que me ha gustado mucho, seguro que los siguientes capítulos serán igual o mejores!

[youtube Eefzjwx1ee0 nolink]

Apoyad el proyecto de Mundo Hacker, sin duda son unos cracks!

22 mar 2013

Análisis estático de binarios con Peframe

Buenas a todos, hace varios meses Marc nos habló de la herramienta peframe (http://www.flu-project.com/peframe-analisis-portable-de-malware.html). Esta utilidad nos permite realizar un análisis estático a un binario para ver rápidamente algunos datos interesantes, como sus hashes, tamaño, fecha de compilación, etc.:

File Name: malware.exeFile Size: 214528 bytesCompile Time: 2012-06-15 21:29:40DLL: FalseSections: 3MD5 hash: 230f7b7bb0640136ccdd932e42842378SHA-1 hash: 8a1a9ea594f148234f3884c574ababd92270b298Packer: NoneAnti Debug: Yes

Peframe se encuentra programado en Python, y podéis descargarlo gratuitamente desde aquí: http://code.google.com/p/peframe/downloads/list

Una de sus funcionalidades más utilizadas es la posibilidad de recuperar las APIs/funciones de las que hace uso el ejecutable que se está analizando. Además, nos permitirá clasificar las funciones que supuestamente (como les gusta decir en cierto canal de televisión) son sospechosas. Para ello tendremos que hacer uso del flag “—suspicious”.

A continuación os presentamos tres análisis realizados con peframe a Putty, a UPX y a Winpcap.

Putty:

 

UPX:

 

Winpcap:

 

Esta herramienta nos será de mucha utilidad a la hora de desarrollar malware, y por supuesto, en nuestras labores anti-malware. La semana que viene lo utilizaremos en nuestra cadena sobre evasión de Antivirus, así que tenedlo a mano :-)Saludos!

21 mar 2013

El peor Phising de la historia (Parte IX)

Buenas a todos, aquí estamos una semana más con el peor phising de la historia con un nuevo cazado que nos envía el Emperador Soibert.Os dejamos con su mensaje:
¡Hola! Querría colaborar con vuestro proyecto, os adjunto el texto plano del intento de spam como una captura del email. Sólo les faltaba pedir la cuenta bancaria y el nombre de mi primera mascota.
La verdad que como dice Emperador Soibert, es de los phising más lamentables con los que nos hemos encontrado :P
Lo tiene todo, faltas de ortografía, frases sin sentido, correo en texto plano sin imágenes, no han suplantado la dirección del remitente... uno de los mejores candidatos a "Peor Phising de la Historia" :)
Saludos!

20 mar 2013

Herramientas forense para ser un buen CSI. Parte XVII: Clonación I de II

Buenas a todos, el viernes pasado dediqué una hora durante el Curso de Peritaje Telemático al tema de las clonaciones y la adquisición de evidencias. Estar alrededor de tanto forense experto todo el fin de semana me ha dado mono de retomar esta cadena de artículos que llevaba algunos meses pidiendo a gritos "más chicha", por lo que la retomaremos de nuevo para hablaros hoy sobre clonación de discos.
Como ya indicamos a todos los asistentes del curso Pedro Sánchez, Lorenzo Martínez y un servidor, no es lo mismo realizar una imagen de un disco duro (como las que podáis realizar con el Norton Ghost), que un clon idéntico bit a bit, ya que en este último si que conservaréis información oculta, como archivos eliminados, que todavía siguen existiendo en los sectores del disco duro que aún no han sido sobrescritos, la MBR, etc.
Teniendo claro desde el inicio este concepto vamos a estudiar algunas de las posibilidades que tenemos para realizar la clonación de un disco de manera que sea admitida en un proceso judicial.

Clonación por Hardware

La técnica más cómoda por su rapidez y fiabilidad para realizar la clonación de un disco duro es la clonación mediante clonadoras hardware.A continuación vamos a detallaros algunas de las más utilizadas en el mercado:Logicube EchoPlus
  • Soporte para IDE, EIDE, UDMA y SATA
  • Velocidad de 2,5GB/min
  • Precio $789
  • Portable
VoomTech HardCopy 3P
  • Soporte para Sata/IDE
  • Velocidad de 6GB/min
  • Clonación/Borrado en dos discos en paralelo
  • Precio: $1,640
  • Portable


Image MASSter Rapid Image 7020CS IT
  • Soporte para IDE, EIDE, UDMA y SATA
  • Velocidad de 8GB/min
  • Clonación/Borrado de 19 discos en paralelo
  • Tamaño industrial
  • Precio: $10,080

Image MASSter Solo-4
  • Soporte para SAS, SATA, IDE, USB y eSATA
  • Velocidad de 3,6GB/min
  • Precio: $5,700

Con esta última he tenido la oportunidad de trabajar en varias ocasiones, y he realizado algunas fotografías para que podáis ver como funciona.En el post de hoy vamos a utilizarla para realizar una clonación de un disco duro de 1T SATA, a un disco duro externo USB de 1T 3.0. Para ello vamos a realizar una clonación en formato .dd, que posteriormente podremos abrir con FTK Imager, Autopsy, etc.
En el caso de esta clonadora, se pueden realizar dos copias en paralelo. En los laterales se situarían los discos duros "sospechosos" que queremos clonar, y en la zona delantera colocaríamos los discos duros "evidencia" donde queremos realizar la clonación.
A continuación os presentamos el menú principal de la clonadora (que corre sobre un Windows XP cocinado). En este menú podremos marcar cuál es el disco duro origen y destino, seleccionar el tipo de clonación (en el caso de hoy DD), el algoritmo de hashing utilizado para tomar la firma de la evidencia (es muy importante que se seleccione como mínimo Sha-1, ya que MD5 se encuentra "roto"), así como otros datos que para la prueba de hoy no nos harán falta:
Ahora podemos acceder a la pantalla "Operator Screen", donde veremos en modo gráfico el estado de la copia (velocidad, bytes copiados, tiempo esperado, etc.):
Eso es todo por hoy, espero que os haya gustado el artículo, en el próximo artículo hablaremos de la clonación por software.
Saludos!

19 mar 2013

Kali, ¿Backtrack 6?

Backtrack es una de las distribuciones más usadas en el ámbito del pentesting. La distribución viene con una serie de herramientas que podremos usar para realizar nuestros test de penetración.

Han existido diversas versiones de Backtrack, la última de ellas es backtrack 5 R3. Pero no va a publicarse ninguna Backtrack 6, ahora han decidido cambiar de nombre y poner como sistema base otra distribución. Si Backtrack 5 R3 se encontraba basada en Ubuntu, Kali, el nombre de la nueva versión se encuentra basada en Debian.

Ya la tengo instalada para probarla y la verdad es que la experiencia hasta ahora ha sido muy positiva.

kali

Una de las cosas positivas es la traducción al castellano. Que como comentaba Yago Jesus en la lista de Security by Default, no es tan mala como en otras ocasiones.

kali2

No perdáis mas el tiempo y descargadla.

Desde Flu Project estamos preparando un artículo para hablar largo y tendido sobre ella.

Un saludo!

18 mar 2013

Técnicas de evasión de antivirus (Parte II)

Buenas a todos, hoy continuaremos con nuestra cadena Técnicas de evasión de antivirus, hablando de una sencilla técnica que nos permitirá de una manera muy rápida reducir el número de detecciones de un malware. Se trata del uso de ofuscadores.

Continuaremos realizando pruebas con la versión de Flu b0.4, que como os mostramos la semana pasada era detectada por prácticamente todos los antivirus de Virus Total.

En función del lenguaje de programación en el que hayáis desarrollado el malware, dispondréis de unos ofuscadores o de otros. En nuestra sección de herramientas de seguridad disponéis de un listado con algunas de estas utilidades (os recordamos que podéis recomendarnos nuevas herramientas para añadir al listado).

Como la versión de Flu b0.4 se encuentra desarrollada en .Net, nosotros hemos decidido realizar pruebas con el ofuscador Eazfuscator.Net, que como sabréis desde hace un tiempo ya no es gratuito :( (una pena)

En primer lugar vamos a ofuscar el núcleo de flu (flu-nucleo.exe). ¿Por qué?, muy sencillo, si ofuscasemos directamente el bot de flu (flu.exe), nos cargaríamos los datos con la dirección IP del Botmaster, que grabamos en el final del exe durante la generación del bot, de esta manera, si ofuscamos primero el núcleo, luego no tendremos ningún problema de dañar esta parte del programa.

Para ofuscarlo simplemente abriremos el software Eazfuscator y arrastraremos flu-nucleo.exe sobre él:

Ya tenemos nuestro núcleo ofuscado. Ahora generamos el bot de la misma manera de siempre:

Una vez generamos el bot, vamos a subirlo a Virus Total y ver que pasa:

Bien, hemos logrado reducir la detectabilidad de más de 40 antivirus, a solo 3, en apenas 10 segundos y de una manera muy sencilla.

A continuación os dejamos el listado de los Antivirus que nos siguen detectando:

AntiVirTR/Dropper.Gen20130316
MalwarebytesBackdoor.Agent20130317
IkarusVirus.PSW.ILSpy20130317

En resumen, esta técnica será muy útil para malware desarrollado en lenguajes como .Net, Java, etc.

En el próximo post de la cadena seguiremos hablando de técnicas de evasión

Saludos!

17 mar 2013

Informe Flu – 115

Buenas a todos, una semana más os traemos el resumen de la semana en Flu Project:

Lunes 11 de Marzo

Martes 12 de Marzo

Miércoles 13 de MarzoJueves 14 de Marzo

Viernes 15 de Marzo

  • El viernes Marc nos hablaba sobre el control de fugas de información en su post: ¿Estoy en Pastebin?
Sábado 16 de Marzo

16 mar 2013

Diapositivas del Curso de Peritaje Telematico

Buenas a todos, ayer tuve el placer de impartir una ponencia en el curso de Peritaje Telemático que organiza la antpji en colaboración con la Universidad a Distancia de Madrid.

A continuación os dejo las diapositivas de mi ponencia (tal y como os prometí a muchos ayer :))

Disfrutadlas!:

 

Un saludo

15 mar 2013

¿Estoy en Pastebin?

Hoy en día el volcado de datos en páginas como Pastebin ya se ha convertido en parte de nuestra utopía.

Hay casos muy sonados en los que se han volcado datos en Pastebin, creo que el que más ha dado para hablar hace poco fue el de los premios Goya, si no me equivoco.

Operación Goya

A modo hacktivista grupos de personas cuelgan estos datos en Pastebin.

¿Como controlamos estas fugas de información?

Bueno si a día de hoy os digo que mucha gente está monitorizando Pastebin no creo que nadie se sorprenda. Existen ya herramientas para poder ir recogiendo los pastes que  usuarios vayan colgando en la plataforma.

Si usamos la API de Pastebin podremos hacer mas consultas.

Una de las medidas que deberían de aportar todas las empresas de seguridad es monitorizar Pastebin en busca de posibles leaks de información.

Además se pueden integrar estos “dumps” que se hacen de Pastebin con un SIEM para poder correlar datos y sobretodo llevar un histórico.

Algunas herramientas que podemos utilizar para monitorizar Pastebin pueden ser:

Yo por ejemplo ya tengo configuradas mis reglas para las búsquedas. Algún día publicaré un POST sobre ello.

Un saludo

14 mar 2013

El peor Phising de la historia (Parte VIII)

Buenas a todos, hoy volvemos con nuestra cadena sobre El Peor Phising de la historia con un nuevo phising (bastante gracioso :P) que nos envía Adria Capdevilla (¡muchas gracias!). Parece que se acabó la racha de phisings bancarios.El phising está hecho bastante mal, en texto plano, con faltas de ortografía, frases con poco sentido, un "madam" que se les ha colado, y por no modificar no han simulado ni la dirección del remitente,  un digno candidato al "Peor phising de la historia..." }:-)El objetivo de este email era robar datos como usuarios de correo electrónico, contraseñas, teléfonos, etc.

Saludos!

13 mar 2013

Dos eventos interesantes para hoy: Homsec y Jornadas de Seguridad y Ciberdefensa

Buenas a todos, si tenéis hoy el día libre podéis pasaros por alguno de los interesantes eventos que se celebran en Madrid sobre seguridad de la información.

Yo estaré representando a mi compañía en la Jornada de Ciberseguridad que tendrá lugar HOY en la cuarta edición de HOMSEC: “Respuesta a Incidentes de Seguridad de la Información”, en la que intentaremos dar respuesta a las inquietudes que empresas, administraciones y ciudadanos tienen, debido a los ciberataques, e intentaremos establecer estrategias y medidas que se pueden tomar para responder a los mismos.

AGENDAMiércoles 13 de marzo:12:15:  Presentación de la Jornada12:20:  Respuesta a Incidentes de Seguridad: Empresas y Ciudadanos
  • Director General de Inteco: D. Manuel Escalante
   12:35: Respuesta a Incidentes de Seguridad: Infraestructuras Críticas
  • Director del CNPIC: D. Fernando Sánchez Gómez
12:50: Respuesta a Incidentes de Seguridad: Administraciones Públicas
  • Coordinador del CCN-CERT (CNI): D. Carlos Abad
13:05: Soluciones aplicadas para la prevención ante ciberataques
  • Responsable de Infraestructura y Servicios de Seguridad de BT Global Services: D. Roberto Nuevo
13:20: Soluciones aplicadas para la prevención ante ciberataques
  • IT Security Manager de Fujitsu: Dña. María Gutiérrez
13:40: Debate14:00: Fin de la primera parte.Soluciones tecnológicas aplicadas a  ciberseguridad 16:00: Nuevos desarrollos en Ciberseguridad
  • Subdirectora General de EPICOM (AMPER): Dña. Estrella Osa Elvira
16:30:Perímetro de la Ciberseguridad: Desde la definición de estrategia internacional hasta las aplicaciones más  concretas. (EVERIS)
  • Jefe de Proyectos de la Unidad de Tecnologia-Linea de Seguridad: D. Juan Antonio Calles García
  • Gerente de la División de Aeroespacial y Defensa - Dirección de Seguridad: Dña. María Pilar Torres
17:00: Modelo proactivo de la seguridad, integrada con los procesos de negocio
  •  Director de Ciberseguridad de INDRA: D. Ascensio Chazarra Navarro.
17:30:Inteligencia en fuentes abiertas, un elemento clave en el enfoque de la ciberseguridad
  • Director General de FUTURE SPACE: D. Javier Tomás García.
18:00: Fin de la jornada
Por otro lado, tendréis a algunas caras conocidas en el sector como Silverhack, Alejandro Ramos (SbD) o Pablo San Emeterio en las I Jornadas de Seguridad y Ciberdefensa en la UAH, que tienen una pinta estupenda solo viendo el cartel de ponentes:

Acto Inagural

9:00-9:10: Inauguración por parte de Juan Ramón Velasco Pérez, Vicerrector de Posgrado y Formación Permanente de la Universidad de Alcalá

Sesión 1: Ciberdefensa

9:10 - 9:40: Conferencia inaugural por el Comandante Javier Bermejo (Instituto de Tecnología de la Marañosa): “Infraestructura y Experimentación en Ciberdefensa”.9:40 - 10:10: Jorge López Hernández-Ardieta (Indra): "Presente y Futuro de la Ciberseguridad".10:15 - 10:30. Descanso

Sesión 2: Análisis Forense

10:30 - 11:15: Alejandro Ramos (Editor y Co-fundador de Security By Default): ‘Hacker Épico: un caso práctico’.11:15 - 12:00: Arturo Rodríguez Olmedo (Perito del Servicio de Criminalística de la Guardia Civil. Departamento de Ingeniería): “Nuevos Retos y Desafíos en la Informática Forense”.12:00 - 12:30: Café.

Sesión 3: Auditoría y Análisis Forense

12:30 - 13:15: Pablo González Pérez (Informática64). 'Metasploit y Pentesting'13:15 - 14:00: Lorenzo Martínez (CTO de Securizame y Editor y Co-fundador de Security By Default): Buenas prácticas forenses: casos prácticos en iOS y Linux’.Comida 14:00 - 16:00

Sesión 4: Auditoría

16:00 - 16:45 Christian González y Rubén Galán (Bugtraq-team): ‘Bugtraq-2 Black Widow GNU/Linux, Pentesting, Forense y Laboratorios’.16:45 - 17:45 Juan Garrido (Innotec-Entelgy), Pablo San Emeterio (Optenet) “python -c 'import sys;amenazas=[ "Suplantación", "Spam", "Malware storage", "Data leak", "Espía" ]; [sys.stdout.write("%s a traves de WhatsApp\n"%a ) for a in amenazas ]'.17:45 - 18:00 Descanso

Sesión 5: Sesión de Estudiantes

18:00 - 18:35 Alberto Fuentes (CSIC): ‘Smartcard Side Channel Attacks’.18:35 - 18:55 Germán López Civera (UAH): ‘Herramienta NEMESIS para la definición de escenarios de seguridad’.18:55 - 19:15 Philippe Moss, Juan Pablo Sicilia (UAH):‘Honeynets, conoce a tu enemigo’.

Conferencia de clausura:

19:15 - 20:00 Pablo Carballude González (Microsoft). "Cracking, exploiting and fixing your Windows 8 App"
No os los perdáis, seguro que habrá muchas sorpresas :)

12 mar 2013

Técnicas de evasión de antivirus (Parte I)

Buenas a todos, la pasada semana Pablo y un servidor tuvimos el placer de participar en la cuarta edición de uno de los congresos de seguridad más importantes a nivel nacional y europeo, la RootedCon. En nuestra intervención presentamos la nueva versión de Flu-AD, de la que os hablaremos largo y tendido en próximos articulos. A lo largo de la presentación os hablamos de varias técnicas de evasión de las que habíamos hecho uso para que Flu-AD lograse evadir los sistemas antivirus. Ya que la charla gustó mucho, nos ha parecido interesante comenzar una nueva cadena de artículos para hablar sobre técnicas de evasión de antivirus, para lograr hacer indetectables malwares, shellcodes, etc.

Hoy daremos comienzo a la cadena poniendo como ejemplo a nuestro querido Flu, aunque en este caso no utilizaremos Flu-AD, si no la versión pública desarrollada en .Net que podéis descargar gratuitamente desde aquí.

Las versiones públicas de Flu han ido siendo detectadas por bastantes antivirus según las hemos ido publicando. En la mayoría tardaron varios meses en ser detectadas y en otras (sobretodo cuando las hemos contado en grandes eventos...), tardaron bastante menos.

Para la demo que hoy veremos vamos a hacer uso de la versión de Flu b0.4 (bastante antigua) y que nos será muy útil para ilustrar la primera de las técnicas que os contaremos, ya que esta versión de Flu es detectada por la mayoría de los antivirus de Virus Total.

Si subimos Flu b0.3.1 (tal cual viene compilado por defecto) a Virus Total, lo primero que veremos es que alguien ya lo ha subido con anterioridad (a la gente le suele faltar tiempo... :-) )

Este ejecutabale viene compilado por defecto apuntando a localhost, por lo que no puede usarse evidentemente para infectar a nadie, porque la conexión la intentaría hacer con la IP 127.0.0.1 (un detalle insignificante... }:-) ).

Flu-Consejo: Si queréis tener un malware indetectable, NO lo subáis a Virus Total, porque en unas horas todas las casas de antivirus recibirán una bonita muestra de tu malware

Para la segunda prueba de hoy, vamos a generar un nuevo bot con el generador de bots, apuntando a otra IP, de esta manera cambiará el hash del exe final. Tras subir este nuevo archivo a Virus Total, se reducírá el número de antivirus que detectan esta versión antigua de Flu:

Como vemos, los antivirus que no son capaces de detectar esta nueva muestra, o se limitan a utilizar todo el hash del exe como "firma" del malware, o su única firma se situaba al final del exe, en la zona donde Flu almacena de manera cifrada la dirección del BotMaster (que es lo único que hemos variado desde el generador de bos), o ambas cosas.

Finalmente vamos a abrir el exe con un editor hexadecimal y vamos a modificar un solo byte (vamos a quitar un byte a ese bonito texto de David Hasselhoff que seguro que algún cachondo ha plantado una firma ahí :P). Tras subirlo hemos podido comprobar como solo 18 antivirus son capaces de detectar esta muestra (de los 40 iniciales, lo que reduce la detectabilidad a la mitad y sin hacer casi nada):

Las casas de antivirus suelen ir a matacaballo generando firmas (es normal y comprensible, ya que reciben muchas muestras al día, yo mismo me he tenido que pegar más de una vez con el servicio de la India de una popular casa de antivirus para que me generasen un DAT para una muestra que se estaban comiendo), y no suelen preocuparse de generar varias firmas de un malware de regiones determinadas del exe, hasta que este no es reportado por un alto número de usuarios (cuando ya suelen tomarlo como una amenaza seria)

Esto es todo por hoy, a lo largo de esta cadena os mostraremos varias técnicas conocidas de evasión, y algunas más curiosas, y dejaramos en detectabilidad 0 algún que otro juguete. Ni que decir tiene que podéis colaborar envíandonos artículos para esta cadena, o proponiendonos ideas para contaros en ella. Estoy seguro que entre todos haremos una cadena bastante interesante :)

Saludos!

11 mar 2013

PDFiD, analizando archivos PDF

Es importante tener un buen arsenal de herramientas si queremos hacer un análisis completo y funcional en un caso. Hoy en día que el malware se hace eco en casi cualquier tipo de archivo es importante poder analizar cada uno de ellos. Hoy le toca el paso a los PDF’s. Ya he publicado alguna cosa aquí sobre análisis de PDF, de echo uno de mis colegas es el desarrollador de PeePDF, GRAN herramienta para el análisis de PDF’s maliciosos.

El único inconveniente de PeePDF es la cantidad de dependencias que tiene, así que si no te quieres liar es mejor que los uses desde distribuciones como Remnux. La ventaja de usar la herramienta que veremos hoy es que no necesitarás ninguna dependencia, eso si, no tiene la potencia de análisis de PeePDF, está claro.

La herramienta la descargamos desde la web de Didier Stevens

http://didierstevens.com/files/software/pdfid_v0_1_0.zip

Primero vamos a ver que opciones tiene la herramienta:

darkmac:Downloads marc$ python pdfid.py -hUsage: pdfid.py [options] [pdf-file|zip-file|url]Tool to test a PDF fileOptions:–version show program’s version number and exit-h, –help show this help message and exit-s, –scan scan the given directory-a, –all display all the names-e, –extra display extra data, like dates-f, –force force the scan of the file, even without proper %PDF header-d, –disarm disable JavaScript and auto launch

Para tener una vista clara de lo que hay, nos servirá.

Vamos ha hacer un análisis de un documento PDF, para ver que podemos extraer:

darkmac:Downloads marc$ python pdfid.py /Users/marc/Downloads/RESULTS/analysis/52/APT_1104statment.pdfPDFiD 0.1.0 /Users/marc/Downloads/RESULTS/analysis/52/APT_1104statment.pdfPDF Header: %PDF-1.7obj 59endobj 59stream 40endstream 40xref 1trailer 1startxref 5/Page 3/Encrypt 0/ObjStm 9/JS 0/JavaScript 0/AA 0/OpenAction 0/AcroForm 1/JBIG2Decode 0/RichMedia 0/Launch 0/EmbeddedFile 9/Colors > 2^24 0

Si comprobamos la salida de PDFiD podemos ver que en concreto este archivo tiene varios objetos emmbedded… Cosa sospechosa a priori…

PDFiD también nos permite extraer la fecha de modificación y creación del documento

darkmac:Downloads marc$ python pdfid.py -e /Users/marc/Downloads/RESULTS/analysis/52/APT_1104statment.pdfPDFiD 0.1.0 /Users/marc/Downloads/RESULTS/analysis/52/APT_1104statment.pdfPDF Header: %PDF-1.7obj 59endobj 59stream 40endstream 40xref 1trailer 1startxref 5/Page 3/Encrypt 0/ObjStm 9/JS 0/JavaScript 0/AA 0/OpenAction 0/AcroForm 1/JBIG2Decode 0/RichMedia 0/Launch 0/EmbeddedFile 9/Colors > 2^24 0%%EOF 5After last %%EOF 0D:20110413150033+08’00 /CreationDateD:20110704103118+08’00 /LastModifiedD:20110920103827+08’00 /ModDateD:20110920103842+08’00 /CreationDateD:20110920103851+08’00 /LastModifiedTotal entropy: 7.350737 ( 91010 bytes)Entropy inside streams: 7.694377 ( 52732 bytes)Entropy outside streams: 6.372867 ( 38278 bytes)

Mas información que podemos extraer de los documentos PDF.

Sin duda una herramienta a incorporar en nuestro arsenal.

10 mar 2013

Informe Flu – 114

Buenas a todos, una semana más os traemos el resumen de la semana en Flu Project:

Lunes 4 de Marzo

Martes 5 de Marzo

Miércoles 6 de MarzoJueves 7 de Marzo

Viernes 8 de Marzo

Sábado 9 de Marzo
  • Ya llevamos XXI Pantallas Públicas, errores en hoteles, centros comerciales, aeropuertos, tiendas, ... no os lo perdáis! Pantalla Pública XXI

9 mar 2013

Pantalla Pública XXI

 

Buenas a todos, hoy volvemos con nuestra edición número 21 de Pantalla Pública, con una nueva pantalla que nos envía ElZ00Rro desde Colombia :)Os dejamos con su mensaje:
Hola, envío otro pequeño aporte de una gran aerolínea Colombiana, pero como decimos en estos lados de Latinoamérica, a papaya puesta papaya partida.

 

 Recordad que hoy estaremos Pablo y un servidor en RootedCon, así que si estáis por ahí y os apetece que nos veamos para tomar algo, buscadnos por el evento.Saludos!

8 mar 2013

El peor Phising de la historia (Parte VII)

Buenas a todos, aqui estamos una semana más con un nuevo phising que nos envía Ori (¡gracias!), y como novedad, no es del BBVA :-), aunque siguen siendo phisings bancarios.

El mensaje proviene, supuestamente, de paypal.be. Si analizamos la URL que nos incitan a visitar, vemos que contiene un link a mail.advfoamrec.com/be/index.php, enlace que efectivamente poco tiene que ver con paypal.

Cuidado con los phisings de Paypal!

Saludos!

7 mar 2013

Ya tenemos ganador del Sorteo de una beca para el Curso de Perito Telemático Forense

Buenas a todos, ya tenemos ganador del Sorteo de una beca para el Curso de Perito Telemático Forense valorada en 250€.

Habéis sido muchos los interesados, sentimos no poder regalaros más.

Como os anticipamos, hemos hecho uso de la herramienta random.org para seleccionar al ganador. Cada concursante disponía de un número, que se correspondía con el orden cronológico en el que publicó su comentario.

La persona que ha ganado el concurso no puede asistir, por lo que hemos realizado un segundo sorteo.

Sin más dilación, os anunciamos que el ganador de la beca es el usuario que escribió el comentario #47: Albert StateX

¡Nuestra más sincera enhorabuena!

A lo largo del día ponte en contacto con nosotros en info@flu-project.com para que indiquemos el resto de detalles.

Gracias a todos los demás por participar.

Un saludo!

6 mar 2013

Episodio de Pentesting (Parte X)

Hola!

La pasada semana finalizamos la cadena de artículos de nuestro Episodio de Pentesting, y como lo prometido es deuda, las hemos recopilado todas en un documento para que podáis descargarla y estudiarla con tranquilidad.Disfrutadla!

Descargar guía Episodio de Pentesting

 

Nicomda

5 mar 2013

Análisis del virus Flame

Hola a tod@s

El virus que tiene atemorizada a toda la Red se llama Flame, este virus sobre todo afectó a los equipos informáticos de Oriente Medio, es capaz de grabar audios espías desde un micrófono conectado y realizar capturas de pantalla, actúa como keylogger, etcétera.

¿Qué es Flame?

Karspersky describe a Flame: “como un troyano con las capacidades de un gusano informático”. El punto de entrada del virus es desconocido, pero una vez que se ha introducido en un equipo, el virus es capaz de propagarse a través de memorias USB y redes locales. Por lo que Flame está destinado a recabar información de las computadoras afectadas.

Para Kaspersky, el virus es muy similar al gusano Stuxnet que causó verdaderos estragos en Irán durante el año 2010, sólo que Flame es mucho más complejo porque sus módulos ocupan más de 20 MB  de código, “si para analizar el código de Stuxnet se necesita varios meses, para descifrar el de Flame seguramente requeriremos de años”.

¿Cómo y quien lo detectó?

Kaspersky no tiene nada claro la fecha original de su creación. Fue el Ministerio del Petróleo el que dio la voz de alarma en Irán, cuando descubrió que varios servidores habían sido a atacados. Por el momento, también se desconoce quién es el creador del virus, aunque seguramente estemos hablando de autores, ya que los expertos de numerosas compañías de seguridad creen que detrás de Flame se encuentra un grupo organizado, quizás ciberguerra, quizás Israel o Estados Unidos, quien sabe.

¿A quién afecta?

Otro dato que hace pensar mucho y plantear cosas es que Flame no fue pensado para robar datos bancarios y obtener el dinero de las cuentas, sino que todo apunta que su objetivo es el de robar información, como si de una trama de espionaje se tratara. Decirme que delincuente fabrica un virus o troyano para no llenarse los bolsillos. Pues ninguno todos los ciberdelicuentes que existen en la red buscan estafar a los usuarios con por ejemplo Phishing bancario.

Y las empresas de seguridad tampoco están alertando a los usuarios comunes, como lo hicieron con el virus de Flashback.

Su principal arma

Flame tiene componentes de un troyano, un backdoor, y un gusano, al ser un bicho tan complejo su estudio se hace muy complicado, su principal arma se centra en su modulo principal que lleva el nombre de MSSECMGR.OCX.

El módulo principal del bicho es un archivo DLL llamado mssecmgr.ocx. Han descubierto dos cambios de este módulo. La mayoría de las máquinas infectadas contenía su versión de 6 MB de tamaño.

La primera activación de este archivo es iniciada por uno de los rasgos externos  ya sea herramientas de Windows WMI mediante un archivo MOF.

Cuando se activa, mssecmgr se registra como un paquete de autenticación personalizada en el Registro de Windows y en el siguiente arranque del sistema, el módulo es cargado automáticamente por el sistema operativo.

Después de actualizar el registro de Windows, mssecmgr se hace más fuerte y extrae los módulos adicionales que están presentes en su sección de recursos cifrado y comprimido y los instala. El recurso es un diccionario que contiene las opciones de configuración para los módulos mssecmgr y otros. Cuando la instalación se haya completado, mssecmgr carga los módulos disponibles y comienza la ejecución. La funcionalidad del módulo se separa en diferentes "unidades" que tienen espacios de nombres diferentes en la configuración de recursos y tienen nombres diferentes en los mensajes de registro, que se usan ampliamente en todo el código.

Algunas de las unidades disponibles del recurso 146 son las siguientes:

Beetlejuice: Bluetooth: enumera los dispositivos que hay cerca del ordenador infectado.

Puede convertirse en una baliza. Muestra el ordenador como un dispositivo detectable y codifica el estado del programa malicioso en la información del dispositivo mediante base64.

Microbe : Graba audio desde recursos existentes de hardware. Enumera todos los dispositivos multimedia, guarda la configuración completa de los dispositivos, intenta seleccionar el dispositivo de grabación mas apropiado.

Infectmedia : Selecciona uno de los métodos para infectar los dispositivos, como los discos USB. Métodos disponibles: Autorun_infector, Euphoria.

Autorun_infector : Crea “autorun.inf” que contiene el programa malicioso y comienza con un comando especial “open”. Stuxnet usaba el mismo método antes del exploit LNK.

Euphoria : Crea un directorio “punto de empalme” con “desktop.ini” y “target.lnk” desde las entradas LINK 1 y LINK 2 del recurso 146 (no se encontraban en el archivo recurso). El directorio actúa como un atajo para ejecutar Flame.

Limbo : Crea cuentas puerta trasera cuyo login es “HelpAssistant” en los ordenadores en la red del dominio si se cuenta con las autorizaciones apropiada.

Frog : Infecta ordenadores mediante cuentas predeterminadas de usuario. La única cuenta de usuario especificada en el recurso de configuración es “HelpAssistant” que se crea mediante el ataque “Limbo”.Munch : Servidor HTTP que responde a "/ view.php" y "/" wpad.dat peticiones.

Snack : Escucha las interfaces de la red, recibe y guarda paquetes NBNS en un archivo de registro. Cuenta con una opción para comenzar solo cuando comienza "Munch". Entonces, los datos recopilados se usan para replicaciones en la red.

Boot_dll_loader :  Sección de la configuración que contiene la lista de todos los módulos adicionales que deben cargarse y ejecutarse.

Weasel : Crea un listado de directorio del ordenador infectado.

Boost : Crea una lista de archivos "interesantes" usando varias mascaras para los nombres de archivo.

Telemetry : Facilitador de registros log.

Gator : Cuando una conexión a Internet está disponible, se conecta con los servidores de comando y control, descarga nuevos módulos, y carga los datos recogidos (data./td>).

Security : Identifica los programas que pueden ser peligrosos para Flame, como las soluciones antivirus y los cortafuegos.

Bunny - Dbquery - Driller - Headache – Gadget: Por el momento se desconoce el propósito de estos módulos..

Modulos adicionales

Los módulos adicionales se instalan en la carpeta%windir%\system32\directorio:

  • mssecmgr.ocx
  • advnetcfg.ocx
  • msglu32.ocx
  • nteps32.ocx
  • soapr32.ocx
  • ccalc32.sys
  • boot32drv.sys

Módulos adicionales que se descargan desde los servidores de comando y control se instalan en el mismo directorio.Los módulos de Flame producen varios archivos de datos que contienen extensos registros de ejecución, además de la información recolectada: capturas de pantalla, listas de procesos, listas de hardware, etc.

Los archivos se guardan en el directorio %windir%\temp bajo estos nombres:
  • DEB93D.tmp
  • 8C5FF6C.tmp
  • DF05AC8.tmp
  • DFD85D3.tmp
  • DFL*.tmp
  • dra*.tmp
  • fghz.tmp
  • HLV*.tmp
  • KWI988.tmp
  • KWI989.tmp
  • rei524.tmp
  • rei525.tmp
  • rf288.tmp
  • rft374.tmp
  • TFL848.tmp
  • TFL849.tmp
  • mso2a0.tmp
  • mso2a1.tmp
  • mso2a2.tmp
  • sstab*.dat

También hay archivos opcionales que se pueden encontrar en el directorio% windir% \ system32:

  • Advpck.dat
  • ntaps.dat
  • Rpcnc.dat

Flame guarda sus objetos persistentes en archivos con diferentes formatos. Todos los objetos están codificados con diferentes algoritmos y llaves. Algunos archivos son bases de datos que se crearon mediante una biblioteca SQLite3 incorporada. Los contenidos de estas bases de datos provienen de información robada y de rutinas de replicación. En posteriores publicaciones en este post ofreceremos más información sobre estos archivos.Los nombres de directorio que usan los componentes adicionales de Flame pueden variar ligeramente según el tipo de instalación y las opciones de configuración desde el recurso 146:

C:\Program Files\Common Files\Microsoft Shared\MSSecurityMgrC:\Program Files\Common Files\Microsoft Shared\MSAudio

C:\Program Files\Common Files\Microsoft Shared\MSAuthCtrlC:\Program Files\Common Files\Microsoft Shared\MSAPackagesC:\Program Files\Common Files\Microsoft Shared\MSSndMix

Estos directorios pueden contener los siguientes archivos:

  • dstrlog.dat
  • lmcache.dat
  • mscrypt.dat (or wpgfilter.dat)
  • ntcache.dat
  • rccache.dat (or audfilter.dat)
  • ssitable (or audache)
  • secindex.dat

wavesup3.drv (una copia del modulo principal,mssecmgr.ocx, en el directorio MSAudio)

Flame también puede producir o descargar archivos con los siguientes nombres:

  • svchost1ex.mof 
  • Svchostevt.mof
  • frog.bat
  • netcfgi.ocx
  • authpack.ocx
  • a29.tmp
  • rdcvlt32.exe
  • to961.tmp
  • authcfg.dat
  • Wpab32.bat
  • trllist.dat
  • winrt32.ocx
  • winrt32.dll
  • scsec32.exe
  • grb9m2.bat
  • winconf32.ocx
  • watchxb.sys
  • sdclt32.exe
  • scaud32.exe
  • pcldrvx.ocx
  • mssvc32.ocx
  • mssui.drv
  • modevga.com
  • indsvc32.ocx
  • comspol32.ocx
  • comspol32.dll
  • browse32.ocx

¿Cómo saber si estoy infectado por Flame?

Realice una búsqueda para el archivo ~ DEB93D.tmp. Su presencia en un sistema significa lógicamente que está infectado por Flame.

Compruebe la HKLM_SYSTEM clave de registro \ CurrentControlSet \ Control \ Lsa \ Packages autenticación.

Si encuentra mssecmgr.ocx o authpack.ocx allí - usted está infectado con Flame.

Verificar la presencia de los siguientes catálogos

C: \ Archivos de programa \ Archivos comunes \ Microsoft Shared \ MSSecurityMgrC: \ Archivos de programa \ Archivos comunes \ Microsoft Shared \ MSAudioC: \ Archivos de programa \ Archivos comunes \ Microsoft Shared \ MSAuthCtrlC: \ Archivos de programa \ Archivos comunes \ Microsoft Shared \ MSAPackagesC: \ Archivos de programa \ Archivos comunes \ Microsoft Shared \ MSSndMix

Sinceramente no creo que el usuario de a pie este infectado por este tipo de virus, como se ha expuesto con anterioridad este virus fue diseñado para espiar a países y/o empresas poderosas. Los que si tendrían que realizar un estudio intensivo de sus servidores son los analistas de malware de grandes compañías y algún que otro país, quizás tengan ahí viviendo el bichito a sus anchas.

Fuente: http://www.viruslist.com/sp/weblog?weblogid=208188631

No seáis malos.  n0ipr0cs