domingo, 11 de diciembre de 2011

SkyDrive y el hosting de malware

Intentando ocupar el tiempo de esta anterior semana, un tanto rara por cierto, entre fiesta y fiesta, caí en el blog de un tal Maligno, sí ya sé que no es un tal como yo y que lo conocemos todos. Pues me llamó la atención este artículo. Es genial poder utilizar al buscador de Google, como si de un buscador de archivos compartidos se tratase, sin duda, en aquella entrada, me atrevería a calificarlo incluso mejor que Megaupload. No al límite de descargas, no al tiempo de espera y lo mejor, no al Captcha... ¿Seguridad? ¿Para qué...?

El servicio que hace que esto sea posible, es el conocido SkyDrive, perteneciente a Microsoft, más concretamente al grupo de servicios que ofrece Windows Live. Pone en nuestras manos, un almacenamiento de hasta 25GB en la nube, al alcance de cualquiera y completamente gratuito.

Se me ocurrió una idea de las mías, ya que viniendo de foros de malware, eso de tener un hosting que nos asegure subir ejecutables, de forma gratuita, total comodidad e integridad, pues para que nos vamos a engañar... es un bienvenido regalo del diablo. Así que no pude resistir la tentación y subí a la carpeta pública de mi cuenta, un notepad.exe, más limpio que la patena y un malvado server.exe, con más antecedentes víricos que IloveYou.


Para saber como gestiona las descargas dicho servicio, nada mejor que intentar bajar los archivos ejecutables.


Sin duda nos fastidiaron el maquiavélico plan, y es que si nuestro malware termina siendo detectado tarde o temprano por el antivirus que utiliza Microsoft, la descarga directa se convertiría en un proceso, en el cual debería de intervenir el usuario. Esto haría que nuestro archivo, no pudiese ser utilizado como downloader en el payload de un exploit o como actualización de nuestra red de zombies entre otras opciones.

Así que vamos a seguir sniffando la descarga.


La descarga, redirecciona a un hosting externo donde se alojan todos nuestros archivos, con una variable más que divertida (AVOverride). Esta variable, no funciona, así sin más, pongas lo que pongas al recibir la variable, la descarga se realizará con éxito desde cualquier equipo, consiguiendo bypassear el anterior control Antivirus y convirtiendo de nuevo el enlace, en descarga directa.


No suficiente con esto, podremos simular tener infinitos archivos en dicho hosting, con una descarga asegurada de ese mismo fichero, tan solo borrando las variables y modificando el nombre del ejecutable a enelpc.com, por ejemplo.


¿Se fijaron bien en la descarga? Tenemos la posibilidad de pasar desapercibido a los sniffers, pues corre por un canal cifrado a costa de un certificado firmado de parte de Microsoft, aunque para los más modestos, también pueden utilizar HTTP.

Saludos 4n4les! ;)

9 comentarios:

  1. Me mola ese diablo, viene de regalo con Skydrive?

    ResponderEliminar
  2. Solo si tienes configurada la cuenta premium de Megaupload... jejej

    Saludos! =)

    ResponderEliminar
  3. Buakkkk k pasote tiio como te superas!!!!

    Esto sirve para todo =) a ser buenos chicos!! ^^

    ResponderEliminar
  4. Buenísima entrada Germán :). También muchos servicios de alojamiento de imágenes solo se fijan en la extensión, de modo que, renombrando nuestro malware a una extensión de imagen permitida dispondremos de el en linea. Y esto para qué?
    @UrlDownloadToFile como segundo parámetro nos permite escojer el nombre y extensión de archivo a la hora de descargarlo :)

    Sean buenos. Un saludo x)

    ResponderEliminar
  5. @Óscar Gálvez
    Me alegro de que te guste! mil gracias :)

    @P0is0n
    Gracias tio! jaja ese no lo conocía! otro buen truco, no vendría mal documentarlo para rularlo por los foros =)

    Saludos!

    ResponderEliminar
  6. muy buena entrada German, me encanta tu blog, toy revisando todo jejeje
    saludos desde Parla!!

    ResponderEliminar
  7. Muuchas gracias Roberto! Me alegro que te guste la información!

    Saludos! :)

    ResponderEliminar