domingo, 25 de septiembre de 2016

Sanction Ransomware - Web Panel 



Durante los últimos años han surgido muchas versiones de ransomware, cuyo objetivo es el secuetro de la información que se encuentra en el nuestras PC's . Contabilizar sus muestras es un trabajo realmente difícil ya sea por el número de variaciones que aparecen día a día. En esta ocasión he realizado este post para compartir un pequeño el código del Web Panel (Backend) que pude encontrar en mi análisis de malwares. Esta variante lleva el nombre de Sanction Ransomware y lo presentaré a continuación.


Sanction Ransomware 


Rush/Sanction Ransomware es un programa malicioso muy peligroso por lo que cuando se trata de su computadora, entonces infecta todos los archivos con la siguientes extensiones : .txt; .pdf; .doc; .docx; .xls; .xlsx; .ppt; .pptx; .odt; .jpg; .png; .csv; .sql; .mdb; .sln; .php; .asp; .aspx; .html; .xml; .psd. Trayendo como consecuencia el cifrado de los mismos, a su vez el malware emitira una alerta en donde hace mención a que sus archivos o datos han sido encriptados y se le pedirá que pagar dinero para obtener los datos de nuevo.




Source Code  - Web Panel :   http://www65.zippyshare.com/v/yv0PER6h/file.html




Sanction Ransomware - config.php 




Sanction Ransomware - write.php 




Sanction Ransomware - view.php




Hay que tener presente que muchos Web Panel suelen tener vulnerabilidades y Sanction Ransomware no es la excepción - Vulnerabilidad SQL Injection.

Bueno espero que lo publicado haya sido de su agrado y espero poder seguir añadiendo nuevas entradas, sin mas que añadir me despido y será hasta la próxima.








P.D. : Si alguien desea contactar conmigo me puede encontrar en twitter como @CryptoInsane . Saludos a todos.


lunes, 11 de julio de 2016

MARA - [M]obile [A]pplication [R]everse engineering and [A]nalysis Framework.




Mara es una herramienta dedicada a realizar ingeniería inversa bajo el marco de análisis de aplicaciones móviles. Es un conjunto de herramientas que interpreta a una aplicación móvil de uso común mediante la ingenieria inversa, todo esto con el fin de hacer el análisis más fácil y amigable para los desarrolladores de aplicaciones móviles y a los profesionales de la seguridad.

Instalación : 

Hay que tener en cuenta que al ser una herramienta que se encarga de analizar aplicaciones para móviles, las cuales tienen su base en lenguaje de programación JAVA es lógico pensar que vamos a necesitar tener instalado JAVA en la máquina en la cual vamos a ejecutar MARA, la cual trabaja con OPEN JDK o ORACLE JDK, Los autores de MARA recomiendan usar la versión 7 para el caso.


sudo apt-get -y install openjdk-7-jdk


Descargar MARA :  https://github.com/xtiankisutsa/MARA_Framework

En mi caso voy a ejecutar MARA en mi maquina virtual AndroL4b, un entorno dedicado al análisis de aplicaciones móviles maliciosas.

Vamos a comenzar extrayendo los archivos del zip y comenzar con la instalación.

andro@l4b:~$ unzip MARA_Framework-master.zip
andro@l4b:~$ ./setup.sh



Una vez terminado la instalación vamos a ejecutar a M.A.R.A.


andro@l4b:~$ ./mara.sh



A continuación vamos a poder visualizar las opciones de análisis que nos brinda esta gran herramienta.



Para poner a prueba las opciones de análisis de MARA vamos a analizar una nuestra de malware de que fue descubierta en los primeros días del presente mes. 

Nombre : OmniRATCraked.apk
md5 : e097d469229f1ddb3c81ad82a3ea0adc

A continuación procederemos a ingresar los datos que nos solicita MARA, claro esta que al ser un archivo apk y es un análisis individual vamos a optar por la primera opción del menú que nos muestra en la pantalla.

andro@l4b:~/jalil/malware/tools/mara$ ./mara.sh -s /home/andro/jalil/malware/test/OmniRAT.apk



============== 
     APK analysis 
==============


===================== 
        Finalizing Analysis
=====================



Una vez terminado en análisis hecho por MARA a nuestra apk maliciosa, vamos a ir a la carpeta creada por la misma en donde vamos a encontrar los resultados de todo el proceso que ha realizado.




El color rojo como subrayado marca el nombre de las carpetas que voy abriendo para poder finalmente llegar a ciertos archivo en java proceden de la ingeniería inversa realizada por MARA a nuestra archivo malicioso.

andro@l4b:~/jalil/malware/tools/mara/data/OmniRAT.apk/source/java/com/omnirat$ nano WebcamActivity.java


public class WebcamActivity extends ActionBarActivity {....}




public WebcamActivity() {....}





En la imagen podemos observar algunas palabras sumamente interesantes como lo son Remote Webcam , Save Screenshot, Start, Stop y WebcamActivity. Podemos pensar que esta sección del código se encarga de las funciones principales de la Webcam y a la vez de tomar capturas de pantalla.


Hay que tener presente que hoy en día los cibercriminales están incrementando las redes con muchas variaciones de distintos malwares, ya sean ransomwares, troyanos, exploit kits y muchas otras variaciones. Es indispensable de tomar políticas de control contra estas amenazas que se encuentran en las puertas de los servicios que se brindan hoy en día.


Bueno hemos llegado al final de este post, espero que haya sido de su total agrado y que la información que he brindado en estas líneas sea de su total utilidad para el análisis de estos códigos maliciosos los cuales están en un aumento exponencial el día de hoy.









viernes, 1 de julio de 2016


Maltrail - Sistema de detección de Tráfico Malicioso.


Maltrail es un sistema de detección de tráfico malicioso, cuyas bases se basan en el uso de listas públicamente disponibles (listas negro) que contienen rastros maliciosos y/o generalmente sospechosas. además se pueden incluir rastros recopilados de diversos informes de AV (Antivirus) y también de investigadores independientes muy enfocados en temas de malwares.


Ejemplos : 

  •     http://saspdd.by/saspdd.by/admin/pnytail.exe
  •     http://199.213.24.122/host.exe
  •     http://114.215.155.227/FOX.exe


Listas Negras

  1. AlienVault
  2. Blocklist
  3. Dshielddns
  4. Snort
  5. Zeustrackerdns
  6. Zeustrackerip
  7. SSlipbl
  8. Vxvault
  9. Malwaredomainlist
  10. Feodotrackerdns
  11. Cybercrimetracker
  12. Bruteforceblocker


Arquitectura


Maltrail se basa en el Tráfico => Sensor <==> Servidor <==> Arquitectura del Cliente. El sensor (s) es un componente independiente que se ejecuta en el nodo de control, donde "monitorea" el tráfico de las lista negra/rutas (es decir, nombres de dominio, URL y / o IP). En caso de dar un resultado positivo, envía los detalles del evento al servidor (central), en el que se almacenan los registros en el directorio adecuado (es decir, LOG_DIR describe la sección de configuración). Si el sensor se está ejecutando en la misma máquina que el servidor (configuración por defecto), los registros se almacenan directamente en el directorio de registro local. De lo contrario, están siendo enviados a través de mensajes UDP al servidor remoto (es decir LOG_SERVER se describe en la sección de configuración).





Instalación


Para poder instalar Maltrail de forma exitosa vamos a digitar los siguientes comandos. En mi caso voy a realizar la instalación en el sistema operativo REMnux.

remnux@remnux:~$ sudo su
root@remnux:/home/remnux#  sudo apt-get install git python-pcapy
root@remnux:/home/remnux#  git clone https://github.com/stamparm/maltrail.git
root@remnux:/home/remnux#  cd maltrail
root@remnux:/home/remnux#  sudo python sensor.py





A continuación vamos a activar la interface del cliente al cual se destinan todos los reportes hechos por el sensor. Para poder hacerlo abrimos una nueva terminal y digitamos los siguiente.

remnux@remnux:~$ sudo su
root@remnux:/home/remnux#  cd maltrail
root@remnux:/home/remnux#  python server.py




Para poder visualizar la interfaz nos vamos a nuestro navegador y digitamos la siguiente dirección:
http://127.0.0.1:8338





username : admin
password : changeme!





Prueba de Concepto.

A continuación vamos a realizar una pequeña prueba de concepto para medir la capacidad de Mantrial frente a un supuesto ataque, el cual va ser hecho por el mismo cliente, para ellos vamos a abrir una nueva terminal y digitamos lo siguiente.


remnux@remnux:~$ ping -c 1 136.161.101.53
remnux@remnux:~$ cat /var/log/maltrail/$(date +"%Y-%m-%d").log




Como podemos observar Maltrail nos brinda información totalmente clasificada ya sea esta de acuerdo a la severidad o tipo de amenaza, protocolo, IP origen o destino, etc. Sin lugar a duda Maltrail es un herramienta muy útil para revisar rapida y fácilmente el tráfico de nuestras redes, gracias a su entorno web muy agradable para el cliente.




Hay que mencionar también que la información de la herramienta se encuentra muy bien documentada por parte de los creadores y totalmente disponible para el uso en temas de entornos perimetrales de seguridad.


Bueno sin mas que agregar, me despido y espero que este post sea de su agrado y les sea de utilidad la información brindada en la misma. Me despido y será hasta la próxima oportunidad.











PD :  Envío un gran saludo a la pequeña Sage, quién será mi mejor amiga y compañera por mucho tiempo, espero poder conocerte muy pronto y poder hacer todas las travesuras en la redes que tanto hemos estado planeando por mucho tiempo ... Descansa y pronto nos veremos Sage.




miércoles, 3 de febrero de 2016

Plecost - Fingerprinting

Todos sabemos que Wordpress es por excelencia uno de los CMS mas utilizados a nivel mundial. Su gran aporte a las plataformas web ha sido de gran utilizados para los desarrolladores web. Su gran fama también ha traido consiguo una persistencia en vulnerarlo en múltiples ocasiones, recibiendo actualizaciones de manera muy constante. En esa ocasión trataré de presentar una herramienta la cual puede ser de gran utilidad al momento de querer realizar un análisis a fondo a un sitio web basado en Wordpress.


Plecost  es una herramienta que se encargar de extraer información acerca de las versiones de plugins instalados en los sistemas de WordPress. Por otro lado tambien es capaz de analizar una sola dirección URL o realizar un análisis basado en los resultados indexados por el buscador Google.

Por otro lado nos brinda información acerca de los CVE asociados con cada determinado plugin, Esta herramienta nace por la preocupación con respecto a la precaria configuración de las instalaciones de Wordpress, mas aún de los plugins añadidos al sistema sin una restricción previa.



Descargar Plecost : https://github.com/iniqua/plecost


Instalación directa : 

Primero es necesario instalar el paquete pip, lo cual se hace con los siguientes líneas de comandos. Para este ejemplo voy a instalar Plecost en Ubuntu 14.04 LTS.

jalil@ubuntu:~$ sudo su
[sudo] password for jalil: 
root@ubuntu:/home/jalil# apt-get -y install python3-pip


Nota : Plecost3 funciona solo en python3.


Instalar pip en cualquier distribución Linux.

jalil@ubuntu:~$ sudo su 
[sudo] password for jalil: 
root@ubuntu:/home/jalil# sudo apt-get install curl
root@ubuntu:/home/jalil# curl https://bootstrap.pypa.io/get-pip.py | sudo python3
root@ubuntu:/home/jalil# sudo pip3 install MODULE_NAME


Finalmente vamos a ejecutar en nuestra terminarl Plecost.

jalil@ubuntu:~$ plecost



Para poder observar el menu de comandos solo tenemos que digitar : jali@ubuntu:~$ plecost -h




Para poder disponer de las actualizaciones es necesario digitar los siguientes comandos. Todo esto con el fin de poder disponer de las nuevas vulnerabilidades que hay en la plataforma wordpress.


jalil@ubuntu:~$ sudo su
[sudo] password for jalil: 
root@ubuntu:/home/jalil# plecost --update-cve
root@ubuntu:/home/jalil# plecost --update-plugins

A continuación vamos a observar los plugins que se han agregado con las nuevas vulnerabilidades conocidas.

jalil@ubuntu:$ plecost -nb --show-plugins



Una vez finalizado las respectivas actualizaciones vamos a realizar una prueba de concepto en un sitio web alterno basado en wordpress.






En la imagen podemos los primeros resultados de Plecost, los cuales nos muestran que la versión de wordpress que se encuentra en dicho sitio web se encuentra con muchas vulnerabilidades CVE.


De la misma forma podemos solicitar información mas detallada acerca de cada CVE.


jalil@ubuntu:~$ plecost -nb --cve CVE-XXXX-XXXX



Finalmente podemos utilizar los wordlist de los plugins con el fin de saber si dichos plugin se encuentran en su ultima versión.

jalil@ubuntu:~$ plecost -nb -w plugin_list_1000.txt http://dflahertylaw.com/ 




En la imagen podemos observar que 3 plugin no se encuentran debidamente actualizados, esto puede ser un grave problema de seguridad si se llegara a explotar dicha vulnerabilidad respectivamente en cada uno de ellos.


Bueno hemos llegado al final del post, espero que haya sido de su agrado y también sea de utilidad al momento de querer realizar algunas pruebas de seguridad en sitios wordpress. Bueno me despido y será hasta la próxima.









viernes, 8 de enero de 2016

HardSploit.



Con el creciente número de ataques informáticos a Sistemas Industriales, Sistemas Scada y una diversidad de dispositivos electrónicos que forman parte de nuestra vida diaria. Ha llegado el momento de poder disponer de una herramienta que nos permita a nosotros la comunidad de seguridad poder evaluar la auditoría y/o controlar el nivel de seguridad de los diversos sistemas embebidos que existen. Para poder realizar dichas operaciones, en esta oportunidad presento a HardSploit.




HardSploit y es un marco modular de hardware y software destinado a facilitar una opción por auditoría de los sistemas electrónicos. En resumen, es una herramienta de hardware hacking.

Nos podemos referir a ella como una plataforma Técnica y modular (FPGA Usando) párr Realizar Pruebas de Seguridad en las Interfaces de Comunicaciones y consumibles de Dispositivos Integrados.

Como consecuencia de esto, su manipulación del mismo requiere de conocimiento técnico necesario para evaluar el nivel de seguridad de los equipos electrónicos que no se adquieren en general por las partes interesadas (industria, el software o los consultores de seguridad de TI, software pentesters etc.). Este tipo de auditoría requiere una amplia gama de conocimientos de electrónica como el procesamiento analógico de la señal, FPGA o el uso de herramientas de medición específicas (osciloscopio, analizador lógico, etc.). Estas habilidades no son parte de los que son generalmente enseñar a las personas que optan por especializarse en seguridad informática.



FPGA 


Una FPGA (del inglés Field Programmable Gate Array) es un dispositivo semiconductor que contiene bloques de lógica cuya interconexión y funcionalidad puede ser configurada 'in situ' (en ese preciso momento) mediante un lenguaje de descripción especializado. La lógica programable puede reproducir desde funciones tan sencillas como las llevadas a cabo por una puerta lógica o un sistema combinacional hasta complejos sistemas en un chip.

Las FPGAs se utilizan en aplicaciones similares a los ASICs sin embargo son más lentas, tienen un mayor consumo de potencia y no pueden abarcar sistemas tan complejos como ellos. A pesar de esto, las FPGAs tienen las ventajas de ser reprogramables (lo que añade una enorme flexibilidad al flujo de diseño), sus costes de desarrollo y adquisición son mucho menores para pequeñas cantidades de dispositivos y el tiempo de desarrollo es también menor.


FPGA's vs ASIC's


Desventajas:

  1. Son más lentas.
  2. Consumen mayor potencia.
  3. No pueden realizar sistemas excesivamente complejos.


Ventajas:

  1. Son reprogramables.
  2. Los costes de desarrollo y adquisición son mucho menores.
  3. El tiempo de diseño y manufacturación es menor.


Conclusión :

Al analizar las ventajas y desventajas de las FPGA's podemos concluir que al realizar procesos de baja complejidad adoptan el calificativo de lentos ya que se estima en comparación con el tiempo de ejecución de esos mismos procesos hecho por un ASIC's. Podemos concluir también que son reprogramables al ser concebidos con base a un PAL.Su nivel de procesos complejos no puede compararse en ninguna medida contra un ASIC's, ya que dicho circuito integrado es utilizado para la minería del Bitcoin, el cual tiene como base resolver problemas altamente complejos en una fracción de tiempo. Dicho tema que se ha tratado con profundidad en un post anterior.






Módulos de HardSploit - Framework.


Hardsploit es una herramienta con un aspecto electrónico que dispone de un determinado software. En pocas palabras es una plataforma técnica y modular (utilizando FPGA) para realizar pruebas de seguridad en las interfaces de comunicaciones electrónicas de los dispositivos integrados. Resumiento es un Framework. Todo en una única herramienta para pentesting con hardware.

Las principales funciones de auditoría de seguridad que dispone HardSploit son:

  • Sniffer
  • Scanner
  • Proxy
  • Interact - Interacción con otros dispositivos.
  • Dump Memory - Volcado de Memoria.


Los módulos presentes en HardSploot, proveeran al pentester para poder interceptar, reproducción y enviar datos a través de cada tipo de bus electrónico utilizado por el objetivo del mismo. El nivel de interacción que el operador dependerá de las características del bus electrónico.




Módulos de HardSploit le permiten analizar toda clase de bus electrónico (Sea serie o paralelo)


  • JTAG, SPI, I2C.
  • Direcciónparaleloybus de datosen el chip.
  • Se añadirán mas en un futuro si el proyecto tiene éxito.



Asistencia visual para asistencia de cableado

Se ha podido integrar en la herramienta de una función de cableado visual asistida para ayudar al usuario a conectar todos los cables de forma fácil y sencilla al hardware objetivo.

  • GUI guía le mostrará la organización pin (pin OUT) del chip de destino u objetivo.
  • GUI le guiará durante todo el proceso de cableado entre Hardsploit conector y el objetivo a probar.
  • GUI se encarga de controlar un conjunto de LED que se encienden y se apagan y asi facilita encontrar el Hardsploit Pin  para conectarse al dispositivo de destino.


La parte de software del proyecto contribuirá a la realización de una auditoría de seguridad de extremo a extremo. Será compatible (integrado) con las herramientas existentes, como Metasploit. Vamos a ofrecer la integración con otra API en el futuro.

Este ambicioso proyecto pretende ofrecer una herramienta equivalentes a los de la compañía Qualys o Nessus (Vulnerability Scanner) o el mismo framework Metasploit, pero abordando el campo de la electrónica embebida.




Para poder referirnos al software de HardSploit, el cual podría ejecutar tareas de auditoría a un sistema extremo a extremo. De alguna forma pretende en convertirse en una herramienta imprescindible en temas relacionados al Internet de las Cosas.




A continuación se presentarán los videos promocionales de HardSploit hechos por Opale Security, quienes son los creadores de este fabuloso proyecto.



1.- Presentación - HardSploit.





2.- Jugando con la Memoria SPI.





3.- Jugando con buse electrónicos I2C y memorias I2C.





Bueno con esto último hemos finalizado este post, espero que haya sido de su agrado y entendimiento. Cabe mencionar que es necesario tener conocimiento técnico y electrónico para poder manipular este dispositivo HardSploit. Espero que puedan investigar sobre los temas que se han tratado en este post de forma muy corta. Bueno me despido de todos ustedes y será hasta una nueva próxima ocasión.






PD: Si alguien desea contactar conmigo, puede agregarme a mi cuenta de fb, ya que es donde estoy mas tiempo compartiendo cosas interesantes con amigos. https://www.facebook.com/Zer0CooL15





viernes, 1 de enero de 2016

BoTneTs : Ejercito de Robots.



La palabra botnet es la combinación de los términos "robot" y "network" en inglés. Los cibercriminales utilizan virus troyanos especiales para crear una brecha en la seguridad de los ordenadores de varios usuarios, con la finalidad de tomar el control de cada ordenador y organizar todos los equipos infectados en una red de "bots" que el cibercriminal puede gestionar de forma remota.


Cuando un equipo es infectado ingresa inmediatamente a la lista de bots de dicha botnet, esperando  las órdenes del centro de control, el cual estará gestionada por el cibercriminal. Es importante mencionar que algunas botnets pueden englobar cientos o un par de miles de equipos, pero otros cuentan con decenas e incluso centenares de miles de zombis a su servicio. Muchos de estos equipos se infectan sin que el usuario sea consciente de la intrusión.


Funcionamiento de los Bots.


Los bots se introducen sigilosamente en el equipo de una persona de muchas maneras.Los bots suelen propagarse por Internet en busca de equipos vulnerables y desprotegidos a los que puedan infectar. Cuando encuentran un equipo sin protección, lo infectan rápidamente e informan a su creador.Su objetivo es permanecer ocultos hasta que se les indique que realicen una tarea.

Una vez que un bot toma el control de un equipo, se puede utilizar para realizar varias tareas automatizadas, como las siguientes:


Enviar : 


- spam
- virus
- software espía



Robo de información  : 


Roban información privada y personal con el fin de poder venderlas en los distintos foros o mercados negros.

- números de tarjeta de crédito
- credenciales bancarias
- otra información personal y confidencial




Ataques de denegación de servicio distribuidos (DDoS)


Si se recibe un ataque de tipo DDoS desde una Botnet, dada la dispersión geográfica de los ordenadores que la componen, es casi imposible encontrar un patrón de las máquinas que están atacando y dado el alto número de ellas que lo estarán haciendo al mismo tiempo, no se puede contemplar el filtrado de paquetes como una solución real que funcione. No obstante, puede ayudar a mitigar el problema hacer un escaneo pasivo de los paquetes para reconfigurar y adaptar el firewall.


Fraude mediante clics.


Los estafadores utilizan bots para aumentar la facturación de la publicidad web al hacer clic en la publicidad de Internet de manera automática.



Robo de Bitcoins.


Una variante adicional es el robo de bitcoins usando botnets. Es el caso de la red Pony, que robaba información de los equipos infectados. Se estima que con esta red se obtuvieron credenciales (usuario/password) de al menos 2 millones de equipos.



Minería de Bitcoins.


Con la aparición de criptomonedas, ya en 2011 había reportes de un nuevo uso para las botnets: usar el procesamiento de los computadores para generar bitcoins.5 De esta forma los criminales pueden obtener recursos sin gastar en hardware ni en consumo de energía.6 Se espera que este uso siga aumentando en el futuro.7 Un ejemplo de estas redes es ZeroAccess botnet.




Centro de Control.



Un servidor de comando y control (servidor C & C) es el ordenador central que emite comandos a una determinada botnet (ejército de zombies) con el fin de recibir informes de vuelta de los ordenadores cooptados.

En la botnet tradicional, que incluye un servidor C&C, los bots suelen ser infectados por un troyano y posteriormente se comunican con un servidor central utilizando IRC (método antiguo). La botnet podría utilizarse para recopilar información sustraida de sus víctimas, como por ejemplo números de tarjetas de crédito.

En función de su topología, una botnet puede tener múltiples servidores o ninguno de C & C en todo.

Típicos topologías de redes de bots son:


  • Estrella, en la que se organizan los robots de en torno a un servidor central.
  • Multi-servidor, en el que hay varios servidores C & C para la redundancia.
  • Jerárquica, en la que hay varios servidores C & C que se organizan en grupos por niveles.
  • Aleatoria, en el que no hay servidor C & C en absoluto y las computadoras se comunican cooptados como una red de bots (botnet P2P) peer-to-peer.

A continuación vamos a observar las interfaces de algunos C&C de las botnets mas utilizadas durante durante el transcurso del tiempo.


Botnet - Robo de la Información.




Botnet Zeus

Zeus es un malware de tipo troyano que infecta ordenadores con sistema operativo Windows, con el objetivo de robar credenciales bancarias (Botnet bancaria ) y otro tipo de información relevante. Además los ordenadores infectados con este malware pasan a ser parte de una botnet, con lo que pueden ser utilizados para cometer acciones criminales o maliciosas.


Número de Bots : 602




Botnet Zeus - C&C Alternativo


Número de Bots : 975





Botnet Citadel.


Citadel es un malware de tipo troyano, evolución del troyano bancario Zeus, en el que se mejora la funcionalidad y usabilidad de este malware. Los ordenadores infectados pasan a parte formar parte de una red de botnets, controlados de forma remota, y son usados para cometer delitos. Citadel está diseñado para robar información personal de sus víctimas, incluyendo información bancaria y financiera.


Número de Bots : 98





DiamondFox (Gorynych)


DiamondFox es una botnet de usos múltiples con capacidades que van desde el robo de credenciales al robo de información de tarjetas de crédito de los sistemas de punto de venta. Este malware capaz se distribuye en una serie de foros de hackers, lo que le permite ser utilizado por los atacantes con capacidades muy limitadas.

DiamondFox (aka Gorynch) es un robot que tiene una amplia gama de funcionalidad. Capaz de actuar como un bot DDoS, raspador RAM para información de la pista de tarjeta de crédito, y el ladrón de contraseñas, que está particularmente bien ofrecido.


Número de Bots : 17

DiamondFox es una botnet de usos múltiples con capacidades que van desde el robo de credenciales al robo de información de tarjetas de crédito de los sistemas de punto de venta. Este malware capaz se distribuye en una serie de foros de hackers, lo que le permite ser utilizado por los atacantes con capacidades muy limitadas - See more at: https://translate.googleusercontent.com/translate_c?depth=1&hl=es&prev=search&rurl=translate.google.com.pe&sl=en&u=http://blog.cylance.com/a-study-in-bots-diamondfox&usg=ALkJrhi1tc-D2Ze8IPVHeNFTNwEAtLE1bQ#sthash.RUH4La9P.dpuf
DiamondFox es una botnet de usos múltiples con capacidades que van desde el robo de credenciales al robo de información de tarjetas de crédito de los sistemas de punto de venta. Este malware capaz se distribuye en una serie de foros de hackers, lo que le permite ser utilizado por los atacantes con capacidades muy limitadas. Afortunadamente para los investigadores de malware, DiamondFox no protege a sí mismo de varias maneras. - See more at: https://translate.googleusercontent.com/translate_c?depth=1&hl=es&prev=search&rurl=translate.google.com.pe&sl=en&u=http://blog.cylance.com/a-study-in-bots-diamondfox&usg=ALkJrhi1tc-D2Ze8IPVHeNFTNwEAtLE1bQ#sthash.RUH4La9P.dpuf




Botnet - Ataques de denegación de servicio distribuidos (DDoS)




Athena HTTP.


Athena es un bot DDoS estable y codificado en C ++ (cero dependencias) perfecto para infectar maquinas de tipo Windows. Este robot cuenta con algunos de las mejores tácticas DDoS más avanzados disponibles en el mercado, los cuales son usados para realizar ataques con destino a servidores web, servidores de juegos, servidores TeamSpeak / VoIP, conexiones domiciliarias, etc.

Posee un gran resistencia a botkilling, y matará a la mayoría de los robots disponibles con la ayuda de un Botkiller capaz de acabar con los robots como Andrómeda, Zeus, SpyEye, Insomnio, SmokeLoader, ngrBot, etc.


Número de Bots : 15




SolarBot 


Solarbot, alias Dapato o Napolar, es una botnet clásica que ha existido durante mucho tiempo. Se utiliza por lo general para la difusión de otro malware. Al igual que sus competidores, este malware a menudo viene con una función de DDoS y módulos proxy. 

La versión más reciente de Solarbot intenta añadir soporte de red Tor para ocultar su servidor C & C. Sin embargo, parece que esta función está bien todavía en fase de desarrollo o se ha desactivado



Número de Bots : 11




BetaBot 


Bot Beta es un troyano que infecta los ordenadores y los intentos de evitar que los usuarios accedan a portales de seguridad a la vez realiza la desactivación de su antivirus y software de escaneado de malware. Para lograr esto, el robot crea un cuadro de mensaje Microsoft Windows falso con el título "Control de cuentas de usuario". Se pide a los usuarios para permitir que el "procesador de comandos de Windows" para realizar cambios de nivel de administrador, y afirma que es verificada por Microsoft. Si se aprueban los cambios, Betabot (bot)  modifica la computadora de un usuario para robar las credenciales de inicio de sesión y los datos financieros y al mismo tiempo deshabilitar el acceso de software de seguridad.





Betabot(bot) se puede transmitir a un ordenador a través de varias fuentes. Los más comunes son falsos enlaces de servicios como Skype o en los correos electrónicos que piden a los usuarios descargar un "reproductor de vídeo" o similar software benigno sonando. En su lugar, reciben el troyano bot. Unidades USB también se utilizan para realizar el programa.


Número de Bots : 58




Umbra Loader


Umbra Loader es un proyecto de código abierto muy popular botnet HTTP, y la versión 1.1.1 ha sido lanzado recientemente por el desarrollador, Slayer616.

Slayer616 ofrece programas que se codifica en su Blog, incluyendo su RAT Schwarze Sonne disponibles en code.google y Umbra Loader. Umbra Loader es popular, ya que es de código abierto, sin dependencias, ya que se codifica en Delphi y algo estable.


Número de Bots : 214





Neutrino Bot



La botnet parece estar en una fase temprana, con base en factores como ninguna ofuscación / empaquetador utilizado en el binario botnet, un par de cadenas codificadas, y las técnicas de análisis anti-edad. La parte más interesante de la botnet es la deliberada respuesta "404 Not Found" de su servidor de control que contiene comandos maliciosos codificados en base64. La botnet admite comandos maliciosos tales como ataques distribuidos de denegación de servicio, keylogger, descarga y ejecuta, etc.


Número de Bots : 194




Mientras que el análisis de esta botnet, se encontró que tiene un número de anti-depuración, máquina anti-virtual, y las técnicas de detección de zona de pruebas que hemos visto antes

El binario botnet analizamos está escrito en C ++ y utiliza ninguna técnica de blindaje o de ofuscación. El binario inmediatamente llama a una función que compruebe si el binario se está depurando o ejecutarse en un determinada máquina virtual.





BotnetKernel 


BotnetKernel posee un agente Bot (Trojan.Win32.BotnetKernel.A) que se dirige a la plataforma Windows. Este malware co en un servidor remoto, la identificación de sí mismo, y el envío de la información del sistema. Recibe instrucciones para llevar a cabo diversos tipos de Aaques de Denegación de Servicio contra un objetivo determinado. Además, se instala un controlador de rootkits en el sistema de la víctima con el fin de ocultar su presencia. Inclusive se crea un servicio para sobrevivir reinicios del sistema.


Número de Bots : 615





Botnet de Dispositivos Móviles.




En un post anterior se trato el tema con respecto a botnet basadas en dispositivos móviles, esto se planteo en un inicio por la avanzada distribución que se estimaba en los próximos años


Botnet de móviles en una conferencia :

http://antisec-security.blogspot.pe/2013/04/moviles-botnet-en-una-conferencia-de.html


Hoy en día ya se pueden encontrar algunas variantes de dichas redes, aunque su auge todavía no se ha hecho presente. Se estima que este año se incrementar dichas redes por la independencia de estos dispositivos. Muchas de estas botnets encuentran en etapa de desarrollo y se puede afirma que los esfuerzos de los ciberdelincuentes se han concentrado sobre todo en la creación de programas maliciosos para Android.


Android Botnet


Características: 


  • No hay necesidad de ser root en el dispositivo
  • Trabaja en Modo Seguro
  • Posibilidad de volver a bloquear el sistema
  • Desbloquear cuando entras en un vale de descuento válido. 
  • Trabajo en todos los dispositivos Android  4.4x y 5x. 
  • Panel de administración fácil inteligente.
  • Permite control desde la Red Tor.

Número de Bots : 669



Hay que tener presente que estas infecciones pueden ocurrir en las plataformas oficiales como Google. Inclusive pese a que se ha implementado el módulo Google Bouncer, que efectúa el análisis de las aplicaciones de Google Play, no hay cambios evidentes en el promedio de incidentes. 

Reseñable fue el programa malicioso Dougalek que provocó una de las grandes fugas de información personal en usuarios de dispositivos móviles. Por otro lado, también se destaca el primer caso de detección de software malicioso para iOS en la App Store.





Botnet -  Point of sale (PoS) 


Un terminal punto de venta (POS) es un dispositivo que ayuda en la tarea de gestión de un establecimiento comercial de venta al público que puede contar con sistemas informáticos especializados mediante una interfaz accesible para los vendedores.

Los POS permiten la creación e impresión del ticket de venta mediante las referencias de productos, realizan diversas operaciones durante todo el proceso de venta, así como cambios en el inventario. También generan diversos reportes que ayudan en la gestión del negocio. Los TPV se componen de una parte hardware (dispositivos físicos) y otra software (sistema operativo y programa de gestión).




Estas amenazas pueden impactar las empresas que utilizan terminales punto de venta, especialmente los minoristas y las empresas medianas y pequeñas que no tienen visibilidad en los sistemas que forman parte de sus redes y manejar la información de tarjeta de crédito.

Como se puede ver algunos de los usuarios / contraseñas que están utilizando (pos, pos1, pos01, tienda, estación, hotel, atm, atm1, micros, microssvc) son la falta de pago de uso general en terminales punto de venta de los minoristas y las empresas alrededor del mundo.




Nota : Una vez que logra infiltrar la máquina, el troyano instala un malware para los POS denominado “RAM Scraper”, que recopila números de tarjetas de crédito desde la memoria de la máquina de PoS y luego envía dichos datos a los atacantes a través del protocolo FTP


Esto no es nuevo, sabemos que los cibercriminales han estado utilizando esta técnica para comprometer punto de venta para el año. Una vez que obtienen acceso a la terminal usando una de las credenciales predeterminadas, que incluirán una segunda carga útil etapa comúnmente conocido como un raspador de memoria que es una pieza de malware que busque por datos de la tarjeta de crédito en la memoria antes de que se ha cifrado. 

Algunos ejemplos son :

  • BlackPOS
  • Decebal
  • VSkimmer
  • Alina
  • ChewBacca
  • RetalixScrapper
  • Dexter


Alina - Point of sale (PoS) 



Alina es una familia bien documentado de malware utilizado para raspar la tarjeta de crédito (CC) de datos de punto de venta (POS) de software. Publicamos una serie de profundas escribir-ups en las capacidades Alina posee, así como la progresión de las versiones.


Para el proceso de filtración de información hacia el exterior, esta se lleva a cabo a través de HTTP normal en la forma de una petición POST. Cabe mencionar que antes de la ex filtración Alina codifica los datos mediante una clave XOR simple de "0xAB", y luego procede a convertir estos datos en su representación hexadecimal. Esto evita que el administrador de la red ocasional de determinar fácilmente lo que se está enviando datos a través del cable, y también se asegura de que todos los datos está dentro del rango ASCII. 


Número de Bots : 44




Dexter - Point of sale (PoS) 


Dexter, por ejemplo, es un malware que se dirige a los sistemas de punto de venta, descubrió por primera vez en diciembre de 2012. Dexter roba datos de la tarjeta de pago del sistema POS y la envía a un servidor C&C. La mayoría de los sistemas POS infectados por Dexter se ejecutan en plataformas Windows: Más del 50 por ciento de los sistemas infectados ejecutar Windows XP, el 17 por ciento ejecutar Windows Home Server, el 9 por ciento de 2003, y el 7 por ciento de ejecución de ejecución de Windows Server de Windows 7.


El método de Dexter para infectar los sistemas de punto de venta aún no se ha determinado. Es posible que los sistemas de punto de venta se infectan a través de descargas no autorizadas, pero no hay evidencia de que este es el caso. Algunos expertos en seguridad creen que los hackers establecer una conexión remota con el sistema POS (utilizando cortafuegos mal configurados y contraseñas por defecto en los procesos del sistema) y luego cargan el malware como Dexter directamente en la máquina.


Número de Bots : 12

Bueno creo que hemos llegado al final del post y espero que haya sido de su agrado. Cabe mencionar que es muy importante estar atentos a los recursos que utilizamos en nuestros dispositivos ya que podemos estar en la lista de una de estas botnet presentadas.

Bueno me despido y les deseo un Felíz Año Nuevo, espero que este año sea tantos para ustedes,  lectores de este humilde blog como para mi un gran año y mucho mejor que los anteriores. Durante este tiempo voy a dedicar mucho mas tiempo a mi blog con muchos nuevos e interesantes temas. Bueno , será hasta la próxima.






PD: En algunos casos existen botnets que son diseñadas para determinadas fechas. En esta ocasión presento un botnet que pude obtener alrededor de la fecha de San Valentín.


Número de Bots : 21