miércoles, septiembre 08, 2010

Cómo enFocar un ataque de malware dirigido

En la Defcon 18, Charlie Miller dio una charla sobre cómo podría realizar un ataque cibernético a gran escala contra los Estados Unidos para controlar los sistemas si se lo pidiera Korea del Norte [Diapositivas]. Esta charla concluía con la toma de los USA en un par de añitos. Además, recientemente ha salido a la luz pública que el peor ataque contra los USA fue realizado al Pentágono a través de un malware dirigido insertado en un pendrive.

¿Sería muy complicado para un atacante realizar este tipo de ataques? Pues si no se han tomado las medidas permitentes de fortificación de la política de seguridad y del sistema informático en sí, no es tan complejo. En este artículo vamos a utilizar la FOCA para elegir los objetivos de un caso simulado en el que quisiéramos crear un malware dirigido (que no es el caso).

Arquitectura del ataque

El objetivo del ataque es darle un pendrive con un malware a un usuario que esperamos que alegremente pinche en su ordenador. La idea es que este usuario tenga un sistema operativo que esté probablemente menos protegido contra los autoruns en pendrives o que tenga un sistema con una debilidad conocida. Además, es interesante que este usuario tenga acceso a servidores donde se pueda copiar un malware genérico que infecte al resto de usuarios. Por supuesto, cuanta más información se tenga de los equipos y la política, mejor se podrá preparar el malware y para eso también ayuda FOCA.


Figura 1: Esquema de la arquitectura del ataque

Recogida de información con FOCA

Como vamos a utilizar la FOCA, lo primero que vamos a realizar es descargar todos los documentos ofimáticos y extraer los metadatos. Para este ejemplo, se ha utilizado un dominio real pero voy a guardarme el nombre del mismo (y espero que no se me escape ningún dato en las imágenes). Como se puede ver, con solo 125 documentos hay disponibles nombres de usuarios, rutas, impresoras, versiones de software y direcciones de correo electrónico. Caldo de cultivo para preparar el ataque.


Figura 2: Resumen de la información obtenida

Elección de objetivo

En este caso se va a seleccionar un usuario con un Sistema operativo Windows XP que tenga acceso a servidores para copiar el malware. Para ello, analizando los metadatos con FOCA, dibujamos un mapa de la red. Esta persona parece un buen Objetivo, ya que tiene acceso a dos servidores distintos, tenemos su nombre y apellidos, con lo que serías más fácil ubicar a esta persona. Para este ejemplo, no voy a dar más datos ni más trucos sobre como rastrear a la persona. Creo que es suficiente ilustrativo.


Figura 3: Elección del equipo de entrada

Además, los servidores parecen bastante interesantes, pues se sabe que acceden a ellos muchos usuarios y se comparten bastantes carpetas, por lo que hay muchos sitios donde copiarse sin hacer demasiado ruido.


Figura 4: Carpetas compartidas de los servidores donde copiar el malware

En este caso no importa si los servidores son internos, no tenemos la dirección IP o su nombre de dominio DNS. El equipo del usuario está dentro de la red y se puede conectar por NETBios, así que basta con que el usuario esté trabajando en ese equipo.

Técnicas de evasión de AV

Vale, lo último sería intentar detectar el AV que están utilizando internamente para poder crear un malware que, en el momento que se suelte, no sea detectado por heurística por el Antivirus que tengan instalado. Para ello, se puede utilizar el mismo sistema de DNS cache Snooping que soporta FOCA para averiguar a qué URLs de casas de antivirus se conectan los equipos de la red interna, igual que se hacía para saber las Updates del resto de productos en el ataque del evilgrade. Una vez que sepas el AV, pasa tu malware por Virus Total hasta que no lo detecte el AV que interesa.

Como se puede ver, la fuga de información por Metadatos puede ser muy peligrosa, así que limpia tus ficheros antes de publicarlos o protege tu servidor web con Metashield Protector.

Saludos Malignos!

4 comentarios:

Christian Hernández dijo...

JXXXR qué miedo da esto, la foca es un toolkit que va a faltar en pocos equipos malignos...

Jose dijo...

@maligno:

En la detección AV, sería mejor comprobar con novirusthanks (checked en no distribuir muestra) puesto que virustotal distribuye todas las muestras que se suben. Por tanto, aunque al final consigas hacer FUD, si has empleado virustotal tu muestra estará cazada en unos días.

Anónimo dijo...

joder, la foca a este paso domina el mundo...

Anónimo dijo...

@Jose, novirusthanks te pillara Kaspersky en 1 semana ;).

Pero bueno, antes que VT claramente es mejor.

Saludos
AnonimoK

Entradas populares