Redes organizadas y Spam: Parte 1

##############################################################
- Redes organizadas y Spam: Parte 1 
- Redes organizadas y Spam: Parte 2
##############################################################
 

La duda es típica para todo curioso que se sienta delante del PC, podemos quedarnos al margen y llamar al técnico, o en cambio, podemos tomar cartas en el asunto y sacar algo más en claro de todo lo que ocurre, desde que le damos al botón de arrancar, hasta que salta la pantalla azul e investigamos, nació en mi la cuestión ¿Por qué tengo el correo hasta el culo de Spam?

Después de tal porno-informática imagen, centrémonos en lo más acogedor, pues a mi lo que realmente me hace feliz, son los regalos con los que me obsequia BBVA diariamente y es que últimamente son incesantes los intentos, pues si lo siguen haciendo, es porque la estafa del Spam+Phising funciona.

Al abrir el correo recibido desactivando la opción de interpretación de código HTML, veremos la composición real del eMail.

En la 4ª línea del código sin interpretación, se puede leer lo siguiente:

<a href=”http://bbvanetoffice.art4linux.org/realbarca.php”>https://www.bbvanetoffice.com/local_bdno/login_bbvanetoffice.html</a>

Quedando de esta manera:

https://www.bbvanetoffice.com/local_bdno/login_bbvanetoffice.html


Dijo un entendido:

"Mi amigo el informático me comentó, que un enlace seguro tiene una S y un candadito."

Claro que lo que tu amigo no sabe, que además de técnicas como estas tan simples, existe la falsificación de certificados, ARP Poisoning, SslStrip o herramientas de uso rápido como Cain.

Esta línea se aprovecha con un toque de ingeniería social para hacer creer al receptor del mensaje que al hacer clic sobre la URL, le dirigirá sobre la que se muestra y no sobre la oculta detrás del HTML. Este método tan simple, se lleva utiliza mucho tiempo atrás para el envío de malware junto con la ofuscación de lo que puede ser un falso JPG a un Script malintencionado.

Al hacer clic sobre el enlace, nos aparecerá una entrada de acceso simulando ser la real de BBVA, donde introduciremos nuestros datos y nos pedirá más tarde las claves de la cuenta.

Suelen aprovecharse de servidores vulnerables para comprometer su seguridad, accediendo al control de los mismos para colgar su web fake como es el caso, simulando ser las originales para su credibilidad ante la víctima, siendo este método más seguro para estos cracker ante cualquier tipo de seguimiento policial.

Estos grupos organizados, son auténticas mafias que dividen su trabajo entre personas con conocimientos informáticos no siempre avanzados pero si superiores a los de cualquier usuario home, sobre pentesting, defacing, carding, programación web e incluso botnets. Como una pequeña cadena de producción, cada quien se reparte su tarea hasta llegar al producto final y la consiguiente repartida de beneficios, casi siempre de carácter monetario.

En este caso, la web comprometida es www.art4linux.org, en la que posiblemente hayan conseguido acceso hasta el Panel de Administración el dominio, para crear el subdominio de bbvanetoffice y montar el fake en esta.

Seguiremos con la segunda para explicar como encuentran servidores SMTP vulnerables, como acceden, como falsifican los remitentes de los correos y consiguen enviarlos a los destinatarios. Todo esto para el próximo día, que hoy es domingo y me apetece ver la película de Facebook que según Oca está de puta madre, a ver si es verdad jaja

Saludos!

¡200 entradas gratis para el Real Madrid - Barcelona!

No era de esperar que mi banco me enviase un correo invitándome a entrar en un sorteo con entradas al Real Madrid - Barcelona, así que con ganas de ser el primero, entré como una bala a la dirección que me facilitaron en el eMail, mientras cogía la bufanda de hincha y los cuernos de Vikingo me apresuré a acceder a mi cuenta del BBVA con mis claves...

Gracias a Vicky el Vikingo nada de esto ha pasado, ¿Por qué nunca creí en él de pequeño? Debe de ser que la imaginativa de los spammers llega más hallá de saber cual es el deporte rey en España y lo que son a mi parecer, los dos mejores equipos de la liga.

En la siguiente entrada a mi Blog, os mostraré detalladamente el proceso de que hacen estos delincuentes informáticos para llegar a vuestros mails y de que vulnerabilidad común se aprovechan para poder enviarlos suplantando el remitente original.

Saludos!

Ataque de David Hasselhoff R.A.T.

¡Un tema que no podía faltar en mi blog! Lo escribí hace no mucho tiempo para echarnos unas risas en el blog de Chema Alonso, así que si no lo publico en el mio reviento... jajaj

Con ganas de robar sonrisas, apareció la remota idea de incorporar lo que es sin duda el ataque más infame y desagradable que puede sufrir un usuario delante de su PC, ahora incluso sin la escusa de abandonar el equipo y no bloquear sesión. Nació el ataque David Hasselhoff para RATs, podremos disfrutar una vez más del cambio de fondo de escritorio del conocido personaje de Los Vigilantes de la Playa a merced de un botón desde el control remoto de un troyano de la comunidad de indetectables, que anda en actual desarrollo por nuestro miembro P0is0n.

Bueno, dejemos a un lado el estilo tele-tienda y os explicaré un poco por encima con unas capturas como se configura de fácil este RAT. En primera instancia, deberemos de ejecutar el cliente de IndSocket RAT y aceptar los términos de uso bajo sus responsabilidades, una vez hecho este paso se abrirá nuestro cliente.

Nos dirigiremos a la parte superior del ListView, donde haremos clic sobre la pestaña Builder, de esta manera configuraremos el servidor que será nuestro cliente remoto.

Como vemos en la imagen anterior, tenemos diferentes opciones de configuración del servidor, la conexión es inversa, con lo cual en IP, rellenaremos dependiendo de si nos encontramos en una red local o externa, nuestra IP privada o pública y de si la conexión del remoto es desde fuera, tener configurado nuestro router con la NAT apuntando a nuestra IP local, con el puerto de configuración que aparece en la caja de texto abierto. En nombre pondremos algo que nos salga de corazón, para identificar con facilidad el servidor que conecta y en la parte baja a la izquierda contamos con las configuraciones típicas de auto-inicio y copia del servidor en el sistema, de la que comentaré sobre la opción de “Pack Executable(Less Size)”, que utilizará UPX como método de compresión del ejecutable, si esta opción está marcada, nos será imposible encriptar el servidor final.

Nos quedará pinchar sobre el botón “Build Server”, para completar el proceso de creación, momento seguido elegiremos un nombre para el ejecutable y guardarlo.

En mi caso, probaré a infectar una máquina virtual con Windows 7, ya que la tecnología del malware también actualiza sus Service Packs de vez en cuando, aunque sigamos tirando de Visual Basic.

Ejecutaremos el Server.exe que trae con sigo el icono de la reliquia Coolvives RAT y volveremos a nuestro PC real, para observar la conexión que se creará en cuestión de segundos.

A simple vista tenemos multitud de datos que envía el servidor, así como versión del sistema operativo, ram del equipo, procesador o ventana activa que el remoto utiliza. Hagamos un clic con botón derecho para ver el desplegable de funciones que este nos ofrece.

Trae un gran número de funcionalidades en las que no me dentendré a explicar de forma individual, para no alimentar demasiado el ansia de los leyentes por ver a nuestro protagonista, de tal manera que iremos directamente a la opción de “Fun Options”.

Aquí veremos las típicas bromas que recordarán a troyanos más antiguos, donde había menos malicia y más picardía, como abrir o cerrar los lectores, incluso de crear un falso pantallazo azul, para recordar los buenos momentos que nos hicieron pasar con la presentación del 98.

Ya hemos visto en un botón bien grande nuestra opción en cuestión, así que nos quedará presionarla con ímpetu e imaginarnos la cara del usuario en remoto o activar su WebCam y verla a tiempo real, seguro tendremos una carcajada asegurada.

Saludos =D !

¿Los Antivirus realmente nos protegen?

Este documento ha sido creado con un objetivo didáctico para no solo mostrar las vulnerabilidades de 39 de los mejores antivirus del mercado, si no también para enseñar de una forma clara y entendible como encontrar y eliminar algunos tipos de malwares de nuestro sistema.

Hace un tiempo un compañero de trabajo, vino alarmado junto a su PC, ya que este de repente empezaba a tener una conexión demasiado lenta a lo acostumbrado, siempre que intentaba conectarse a Internet.

Al arrancar el equipo hice lo típico que suele hacer cualquier informático cuando no sabe por donde le vienen los tiros, (Abrir el administrador de tareas), vi al momento que el sistema consumía un 90% de la memoria disponible. Ya de principio olía mal la cosa, así que me dirigí a la pestaña de procesos en busca de algo ilógico.

Me llamó la atención el encontrarme con un lsass.exe perteneciente a un usuario corriendo en memoria, ya que el original se carga con privilegio de sistema.

Raudo abrí la consola, he hice un netstat –b y lograr ver los procesos y conexiones. Para mi asombro había un montón de incesantes intentos de conexión desde dicho proceso a un mismo rango de IP, únicamente se sumaba 1 al último dígito, ya todos sabemos porque le va mal internet a mi compañero ¿cierto?.

Abrí mi querido LordPE para buscar el PID, como se muestra en la imagen anterior con números decimales 1836, deberemos de sacar una calculadora científica para facilitar el proceso de conversión en hexadecimal, de esta manera lo encontraremos de forma ágil a no ser que estuviese inyectado en otro proceso.

El resultado es: 1836 = 72C

Una vez convertido el dígito, nos dirigimos al PID “72C” desde LordPe y nos encontramos con que la ruta del falso lsass.exe es otra totalmente distinta a la original, ya que el de Microsoft se aloja de forma predeterminada en la carpeta “C:/Windows/System32” y este misteriosamente lo hace en “C:/Windows/Security”.

Al pinchar con el botón derecho y hacer un Dump Full, se copiará el archivo que corre en memoria, para así tenerlo más a mano. Una vez dumpeado se guarda en el escritorio y se enviará a un Scanner Online con 39 Antivirus, veamos el resultado del Scanner.

Algo no encaja... es seguro que este archivo está infectado y ¿los antivirus no nos alarman? ¡Pues nada! A seguir con la investigación.

¡Preguntemos a Google que lo sabe todo! Menos salir de la crisis claro... Al introducir la ruta “C:/Windows/Security/lsass.exe” encontré mucha información sobre varios foros que afirmaban sobre un muy posible malware escondido en esa carpeta, aunque posiblemente mutaciones, encriptaciones o diferente tipo de archivo malicioso, podría ser el culpable de tanta noticia.

Aprovechando que LordPE seguía abierto, me dispuse a dumpear los dos archivos lsass, el de la carpeta original y el sospechoso, claramente como se vé en la imagen tenían notables diferencias en versiones, peso y código.

¿Como se ejecutará este malware? Si lo hace de forma automatizada sin intervención del usuario... pues me voy a ejecutar un msconfig a ver que pasa.

En la pestaña de inicio nos encontramos con lo siguiente:

Ahora ya si me decidí a entrar en la misteriosa carpeta para identificar de manera visual a mi contrincante xD!!

Observando el archivo vemos que está de forma oculta de solo lectura y pesa 3,05MB.

 

¡Algo rápido! presiono “Contrl + Alt + Supr”, saco el administrador de tareas y ¡me lo cargo! ¿pero? me salta para mi información que es un proceso critico! ¿¿Wtf??

El tipo que se codeó este bichejo, se mata a proteger su malware y deja las cosas más simples a la vista, reinicio, F8 y veamos que pasa en modo seguro.

Una vez dentro del sistema saco de nuevo el LordPE para contemplar que proceso lsass.exe es el que se está ejecutando.

Viendo que el ejecutable que corre es el original y el malware permanece dormido, vuelvo a las claves de registro y a eliminar el archivo de la carpeta Security.

Una vez terminado con el ejecutable, reiniciaré el sistema y entraré en como siempre a la sesión del usuario de mi compañero. 

Una vez dentro, al observar nuevamente el administrador de tareas, veo que ya solo corre el de sistema.

Volveré de nuevo a consola para ver si se muestran las anteriores conexiones.

Quedó bien limpito de conexiones :)

Dicen que la curiosidad mató al gato, si no me mata la ceguera lo hará el asesino de gatos sin duda... así que mientras tanto voy a mirar un poco más sobre este bichejo.

Intrigado por saber que tipo de malware era, envié el ejecutable al Scanner de Anubis, el cual me mostró lo siguiente.

De todos estos archivos el que más me llamó la atención fue logins.txt ¿Para que quiere un archivo plagado de palabras?

Bien recopilemos información:

Las IP a las que conecta son iguales, únicamente varía su último número de forma incremental “+1”, así que barría todas las direcciones comprendidas dentro de un rango que encontrase a su paso, el puerto de conexión utilizado era el 22, siendo este el de serie para las conexiones desde el protocolo SSH, (conexión a shell remota segura), además de crear dos archivos aleatorios llamados “Sshbx?.exe”, tenemos un “logins.txt” con una burrada de palabras para ataque de diccionarios como Admin Admin.- Root Root - User User…

Mi conclusión clara es que nos encontramos con un Robot, el controlador de la Botnet, nos usa de máquina Zombie para realizar ataques fortuitos por “Ssh” a todas las direcciones de IP que se encuentre por su paso mediante fuerza bruta con diccionario, cuando una de estas sea acertada se le enviará todo a nuestro pequeño delincuente, que conseguirá acceso total a otros servidores además del nuestro.

Podríamos seguir con el tema, incluso utilizar herramientas más complejas para la resolución de este problema y su detección, pero aveces la resolución más simple es la más acertada.

Saludos 4n4les ;)