viernes, junio 01, 2012

A Flame le importan los metadatos

Estos días el revuelo mediático lo ha conseguido Flame, la "nueva" cyberweapon que recoge el testigo de la Aurora, Stuxnet o Duqu en el mundo de los Advanced Persistent Threats. Los análisis que se están haciendo de este software son muchos, y para estar informados os recomiendo leer los artículos de Sergio de Los Santos en una al día o de Luís Delgado en Security By Default, donde se explican muchos detalles de él.

Sin embargo, hay un artículo que publicaron ayer sobre un componente de Flame, en concreto msglu32.ocx, que "el hermano que nunca tuve" Yago Jesús me pasó desde su cuenta Twitter (@Yjesus), que se dedica a recolectar los metadatos de los documentos de la máquina infectada.

Como si fuera una Forensic FOCA, Flame realiza una búsqueda por todo el sistema de ficheros del equipo buscando documentos de Microsoft Office, PDF, Visio y archivos gráficos, recolectando los metadatos asociados a ellos, tales como fechas, autores, historial del documento, etcétera. 

De los archivos gráficos, el componente recolecta información EXIF relativa a coordenadas GPS para, según especulaciones sobre el tema, poder averiguar, más o menos, donde está localizado ese equipo. Supongo que realizando un cálculo junto con la dirección IP y la dirección MAC (por si estuviese esta geolocalizada también), pretenden tener mucha más información en concreto de una máquina.

Figura 1: Código de msglu32.ocx recolectando datos GPS

Yo creo que es la primera vez que veo un malware interesado en los metadatos y no en los documentos en sí. Por supuesto, una vez que está dentro de la máquina, llevarse ficheros es una de las opciones de Flame, pero el llevarse primero los metadatos es algo especial. Supongo que podrían elegir mejor qué ficheros llevarse, o aprovechar la información de los metadatos para tener más información de la red dónde está trabajando el equipo, o información táctica del entorno para preparar un ataque.

Desde luego, hay que reconocer que si se ha pensado en hacer un módulo especial para los metadatos, esta herramienta muestra que hay algunos detalles muy finos en los módulos de Flame. Veremos qué más sorpresas nos depara esta historia.

Saludos Malignos!

9 comentarios:

jcanto dijo...

la nueva cyberweapon

Anónimo dijo...

cyberweapon del amor!

Bernardo.Quintero dijo...

cyberguapo?

Yago Jesus dijo...

Creas tendencia !

Chema Alonso dijo...

@Yago Jesús, ya ves. He estado en comunicación con ellos y todo, y me han confirmado que en el Lab de Hispasec he sido "trending topic"....

@Bernando Quintero... ¡qué paciencia con todos vosotros! zeño... Y todo por hacer una referencia al boom mediático que se ha hecho al término Cyberweapon Flame

@Julito.... no me tires de la lengua, que tu eres de esos que también vas al psicólogo por Twitter..... y tienes algunos momentos brillantes }:P

Saludos!

David García dijo...

Menudo Flame os estáis montando

jcanto dijo...

nunca lo he negado :P

Bernardo.Quintero dijo...

ni siquiera se de que iba la cosa... cuando llegué al lab me uní al meme, más que nada para que descansara Alex... también suma que me senté en el escritorio de ssantos y sentí la fuerza del lado oscuro

Anónimo dijo...

¿O sea que fueron comprometidos los certificados digitales firmados por Microsoft? ...

Esto es muy grave y me pregunto que nos depara el futuro de la seguridad en los productos de Microsoft !!!

Entrada destacada

10 maneras de sacarle el jugo a tu cuenta de @MyPublicInbox si eres un Perfil Público

Cuando doy una charla a algún amigo, conocido, o a un grupo de personas que quieren conocer MyPublicInbox , siempre se acaban sorprendiendo ...

Entradas populares