Estuve leyendo algunas cosas referentes a la propagación de malware a nivel global, encontrándome con el caso actual del "virus" (gusano) llamado Downadup/Conflicker, y encontre un cuadro en el que se puede ver los países con mas incidencias/infecciones de este virus.
Aquí el cuadro.
Como ya había visto anteriormente en otros cuadros de otros virus (malwares), nuestro país (Perú) no sale aún en esas estadísticas, en comparación a nuestros países vecinos. Este dato me parece interesante, ya que según "yo", esa situación "privilegiada" se nos puede acabar en un corto plazo. Por qué?
Primero; ya un tiempo atrás me había puesto a analizar muestras de pharming/phishing nacional, encontrando cosas en portugues, lo cual me hace suponer que hay algún tipo de "alianza¿?, influencia¿?" garota en estos lares.
Segundo; Brasil siempre a salido (al menos en los cuadros que vi) en los primeros lugares (o no tan bajo) en las campañas de despliegue de malware global.
Tercero; supuestamente se nos viene un dinamismo comercial/económico nacional (a pesar de la crisis), lo cual pudría hacer que se nos vea como un "mercado" provocador, para siembra de bots, ya que por si alguien no lo sabe, las botnets son un "negocio".
Puede que este equivocado/paranóico, pero era una inquietud que quería compartir.
domingo, 18 de enero de 2009
lunes, 12 de enero de 2009
Análisis básico de ejecutables (por Furious Logic [aRC])
Lectura recomendada, enviada por Furious Logic
Todas las herramientas comentadas están disponibles en la sección aRC
Spamanario en: www.furiouslogic.co.cc o aquí
SUMARIO
-------
Las razones que nos lleven a analizar un archivo ejecutable pueden
ser diversas dependiendo del área en que el informático se desenvuelva:
análisis de código vírico, ingeniería inversa, análisis forense,
prevención contra malware, etc. En este artículo comentaremos algunas
formas básicas para identificar archivos ejecutables y descomprimirlos.
Está dirigido al usuario promedio. No se requieren conocimientos
avanzados. Sin embargo, las herramientas aludidas, debido a su
versatilidad de personalización, pueden aplicarse en niveles más
avanzados por usuarios de mayor experiencia.
2 mitos sobre los ejecutables
-----------------------------
Es un mito pensar que la presencia de un archivo ejecutable
infectado, significa que nuestro sistema está infectado. Dicho de otro
modo, es un mito creer que por manipular un archivo ejecutable infectado
(mientras no se lo ejecute) vamos a infectar nuestra PC. Un archivo
ejecutable no es más que un conjunto de instrucciones que UNICAMENTE se
llevarán a cabo si lo ejecutamos directamente (doble click o ENTER en el
mismo) o si lo depuramos sin cuidado alguno. Es esto último ha causado
infecciones por culpa de usuarios que desconocían a cabalidad lo que
significa "depurar".
Es un mito pensar que estamos 100% seguros si ejecutamos un programa
sospechoso en una máquina virtual. El nivel de seguridad nunca es del
100%. Estimamos que en todo caso estaríamos seguros quizá un 90% ó 95% a
lo sumo. No obstante, desde el punto de vista de la programación es
posible utilizar la documentación de una máquina virtual para
conectarnos con el sistema host.
Herramientas básicas
--------------------
Antes de poder analizar un archivo recomendamos al usuario
familiarizarse con la siguiente herramienta básica:
(imprescindible)
Total Commander Ultra Pack ó Total Commander Ultima Prime (en
adelante TC) como explorador de archivos. Las 3 razones básicas de esta
sugerencia son:
- TC no autocarga los archivos autorun.inf, desktop.ini y similares que
sí se autocargan bajo el explorador de archivos incluido en windows. De
esta forma, cuando analicemos un archivo sospechoso o una unidad de
memoria que se sospecha está infectada, no corremos el riesgo de que el
supuesto programa dañino se autoinstale o autoejecute. Además y como una
característica interesante, TC puede configurarse para autocargarse al
insertar un CD/DVD o una unidad de memoria USB (pendrive, memoria SD,
MiniSD, MicroSD, MMC, disco slim, etc.) siempre sin leer los archivos de
configuración antes aludidos.
- TC incluye una importante cantidad de utilitarios y plugins en lo
referente al análisis de archivos.
- TC reconoce los más conocidos (y también los no muy conocidos)
formatos de compresión de archivos ejecutables incluyendo plugins para
extraerlos de manera sencilla.
Procedimiento rápido
--------------------
Obs.: No ejecute el archivo a menos que lo indiquemos explícitamente.
1ro. Identificar si el ejecutable está comprimido y/o encriptado.
2do. De ser así proceder a descomprimirlo.
3ro. Examinar los archivos resultantes en busca del archivo legítimo.
Ese es en resumen el procedimiento a seguir por supuesto con
algunas variantes para casos especiales. Seguido describiremos el
procedimiento de manera más detallada.
1ro. Identificar el ejecutable
------------------------------
En honor a nuestro público objetivo, el usuario promedio, haremos
la identificación lo más simple que sea posible. Es decir, nos
dedicaremos a la utilización de programas especializados. Esta
especialización debe comprenderse en al menos 2 aspectos: la
identificación del sistema de compresión/encriptación y la
identificación del compilador con que se creó el ejecutable. Existen
varios niveles para estos 2 tipos de identificación. También existen
sistemas de protección múltiples y existen sistemas diseñados para
engañar a los programas identificadores. Para nuestro caso no nos
interesa determinar específicamente qué sistema se utiliza, sino que nos
interesa saber si el ejecutable está o no comprimido/encriptado para
proceder de la manera en que explicaremos en las líneas posteriores.
Algunos de los programas que utilizaremos a continuacion pueden
despertar naturales alertas en los antivirus debido a las técnicas que
utilizan. Por este motivo sugerimos tomar todas las precauciones del
caso evitando que el software protector elimine nuestras herramientas.
Uno de los canales de distribución más importantes de los
ejecutables sospechosos es la proliferación de sitios web de
pseudo-cracks y pseudo-warex. Estos abundan y los buscadores devuelven
cada vez más resultados de páginas con cracks que en el mejor de los
casos cumple con su función, pero que además están infectados para
cumplir con un objetivo macabro en contra de nuestra de por sí muy
maltratada PC. También encontraremos torrents y warez de supuestas
versiones de un programa de hasta varios cientos de megabytes, pero que
en realidad son virus/troyanos disfrazados.
Existen varios programas identificadores. Mencionemos los 2 mejores:
- PEiD 0.94. A nuestro parecer es el mejor identificador de ejecutables
entre todos.
- Exeinfo 0.0.0.1.9C. Este es un candidato estupendo para sustituir a PEiD.
Con estos 2 programas se puede resolver la mayoría de casos de
identificación de ejecutables para el propósito que nos conduce.
Una vez instalado PEiD lo ejecutamos, pulsamos el botón Options,
marcamos las opciones "Hardcore Scan", "Register Shell Extensions",
"Load Plugins" y "Use External Signatures". Grabamos los cambios,
cerramos PEiD y a partir de este instante al hacer click derecho en
cualquier archivo ejecutable aparecerá la opción "Scan with PEiD" que al
selecccionarla lanzará la pantalla del programa.
Una vez instalado Exeinfo PE lo ejecutamos, pulsamos el botón
Options, marcamos las opciones "Fast Scan", "Shell integration" y
"Disable Log". Grabamos los cambios, cerramos Exeinfo PE y a partir de
este instante al hacer click derecho en cualquier archivo ejecutable
aparecerá la opción "--> Exe Info PE Scan <--" que al selecccionarla
lanzará la pantalla del programa.
2do. Descomprimir el ejecutable
-------------------------------
En caso de que esté comprimido obviamente procederemos a
descomprimirlo. Para lograrlo por lo general seguiremos la información
que devuelve Exeinfo. Cuando Exeinfo detecta que un ejecutable está
comprimido/encriptado sugiere la herramienta a utilizar para la
descompresión. De ello se deduce que habrán muchos programas para
descomprimir y en nuestro caso sería imposible explicar todas esas
herramientas. Por ello nos limitaremos a las más generales.
UPX:
Es el más conocido y reconocido compresor de ejecutables. Se utiliza
tanto para comprimir un ejecutable como para restaurar un ejecutable
comprimido a su tamaño original. Si el ejecutable estuviese comprimido
con UPX abriremos una consola y aplicaremos el comando:
upx -d NombreDelEjecutable.exe
Obs.: Existen programas comprimidos con UPX que no pueden descomprimirse
con el propio UPX.
Universal Extractor 1.5
Este programa es muy interesante porque no nos pregunta nada más que el
nombre del archivo a descomprimir. Automáticamente creará un directorio
con el mismo nombre del ejecutable y colocará allí el contenido
descomprimido. Automáticamente reconocerá el formato del archivo
comprimido entre archivos comprimidos ZIP, RAR, ACE, etc. también
archivos ejecutables (exes) comprimidos, encriptados, archivos
instaladores, etc.
Quick Unpack 2.1
Para instalarlo correctamente lo descomprimimos, lo ejecutamos,
seleccionamos el menú Options / Preferences, marcamos la casilla
"Register shell extension", presionamos "Save" y cerramos el programa. A
partir de este momento el menú contextual de todos los ejecutables
presentará una nueva opción llamada "Unpack by Quick Unpack".
Este programa es algo más sofisticado y con más opciones. Una vez
cargado un ejecutable (leer el párrafo anterior) que se presume comprimido:
- buscamos en la pantalla la sección "Options"
- presionamos el botón ">" que está a la izquierda de "Code"
- doble click a ForceOEP
- presionamos el botón "Full unpack" y esperamos hasta que aparezca una
nueva ventana titulada "Import Table - OK"
- En dicha ventana presionamos el botón "Save" y volvemos a esperar
hasta que en la ventana principal aparezca al final el mensaje "11:52:35
Done" (la hora puede ser otra).
- Se habrá creado en el mismo directorio, una copia descomprimida del
ejecutable llamada NombreDelEjecutable__.exe
RL!dePacker 1.4
Este es otro de los programas clásicos para descompresión previa al
análisis básico de ejecutables. Insistimos por nuevamente que cualquiera
de estos programas especializados despertará alertas falso-positivas en
los programas antivirus.
- ejecutamos RL!dePacker.exe
- presionamos el botón "Browse" y seleccionamos el archivo ejecutable a
descomprimir (también se puede arrastrar el ejecutable hacia la ventana)
- presionamos el botón "Find OEP!"
- dejemos las opciones tal cual están. Por lo general funcionan sin
modificaciones.
- presionamos el botón "Unpack" y esperamos el mensaje informativo de
operación sa
tisfactoria
- Se habrá creado en el mismo directorio, una copia descomprimida del
ejecutable llamada unpacked.exe
VM Unpacker
Esta es solo 1 muestra de las joyas chinas. El programa está en chino
pero debería ser fácil intuir su modo de funcionamiento.
- Cargar VMUnpacker_CN.exe luego de descomprimir el programa en un
directorio apropiado.
- presionamos el botón "..." y seleccionamos el archivo ejecutable a
descomprimir (también se puede arrastrar el ejecutable hacia la
ventana). Al hacerlo de inmediato aparecerá en la ventana la
identificación del programa compresor.
- presionamos el botón con letras en chino. Es el botón para descomprimir.
- esperamos unos segundos y en la ventana aparecerá el nombre del
archivo descomprimido.
- Se habrá creado en el mismo directorio, una copia descomprimida del
ejecutable llamada NombreDelEjecutable_unpacked.exe
3ro. Examinar el ejecutable
---------------------------
Existen tantas razones para identificar un archivo ejecutable que
sería prácticamente imposible mencionarlas todas. Queda a buen criterio
del usuario la utilización de las técnicas básicas mencionadas.
Nos permitimos sugerir que luego del paso (2) repitamos el paso (1)
para verificar que efectivamente no existan más protecciones. Aún así,
los programas del paso (1) podrían indicar erróneamente que aún existe
compresión. Por ello siempre es útil tener a la mano un programa tal
como eXeScope 6.50 que es un editor de recursos muy útil que incluimos
para quienes desean continuar su aventura con la identificación de
ejecutables.
Con TC es muy sencillo examinar el interior de un ejecutable.
Basta con cambiar la extensión .exe por .zip por ejemplo, luego
presionamos en el archivo .zip y encontraremos todos los recursos del
ejecutable listos para ser extraidos. Esta técnica es muy importante
porque hay una cantidad notable de troyanos que incorporan en su sección
recursos variantes de archivos infectados y librerías para ser
insertados en sus víctimas.
CONCLUSION
----------
Varios programas antivirus actuales emiten alertas falso-positivas
sobre software legítimo. Algunos sitios como:
VIRUS CHECK - Virus Scan - http://virusscan.jotti.org/
VIRUS CHECK - Virus Total - http://www.virustotal.com
también pueden emitir falsas alarmas. La mejor forma de salir de dudas
es determinar si la alarma se debe a que un programa está comprimido. Lo
que es cada vez más frecuente en nuestros días. Si bien el procedimiento
descrito es casi mecánico, esperamos que seá de suma utilidad para todos.
bytes y que disfruten de un buen año 2009,
FL
sábado 10 de enero del 2009
16:51 pm
Todas las herramientas comentadas están disponibles en la sección aRC
Spamanario en: www.furiouslogic.co.cc o aquí
SUMARIO
-------
Las razones que nos lleven a analizar un archivo ejecutable pueden
ser diversas dependiendo del área en que el informático se desenvuelva:
análisis de código vírico, ingeniería inversa, análisis forense,
prevención contra malware, etc. En este artículo comentaremos algunas
formas básicas para identificar archivos ejecutables y descomprimirlos.
Está dirigido al usuario promedio. No se requieren conocimientos
avanzados. Sin embargo, las herramientas aludidas, debido a su
versatilidad de personalización, pueden aplicarse en niveles más
avanzados por usuarios de mayor experiencia.
2 mitos sobre los ejecutables
-----------------------------
Es un mito pensar que la presencia de un archivo ejecutable
infectado, significa que nuestro sistema está infectado. Dicho de otro
modo, es un mito creer que por manipular un archivo ejecutable infectado
(mientras no se lo ejecute) vamos a infectar nuestra PC. Un archivo
ejecutable no es más que un conjunto de instrucciones que UNICAMENTE se
llevarán a cabo si lo ejecutamos directamente (doble click o ENTER en el
mismo) o si lo depuramos sin cuidado alguno. Es esto último ha causado
infecciones por culpa de usuarios que desconocían a cabalidad lo que
significa "depurar".
Es un mito pensar que estamos 100% seguros si ejecutamos un programa
sospechoso en una máquina virtual. El nivel de seguridad nunca es del
100%. Estimamos que en todo caso estaríamos seguros quizá un 90% ó 95% a
lo sumo. No obstante, desde el punto de vista de la programación es
posible utilizar la documentación de una máquina virtual para
conectarnos con el sistema host.
Herramientas básicas
--------------------
Antes de poder analizar un archivo recomendamos al usuario
familiarizarse con la siguiente herramienta básica:
(imprescindible)
Total Commander Ultra Pack ó Total Commander Ultima Prime (en
adelante TC) como explorador de archivos. Las 3 razones básicas de esta
sugerencia son:
- TC no autocarga los archivos autorun.inf, desktop.ini y similares que
sí se autocargan bajo el explorador de archivos incluido en windows. De
esta forma, cuando analicemos un archivo sospechoso o una unidad de
memoria que se sospecha está infectada, no corremos el riesgo de que el
supuesto programa dañino se autoinstale o autoejecute. Además y como una
característica interesante, TC puede configurarse para autocargarse al
insertar un CD/DVD o una unidad de memoria USB (pendrive, memoria SD,
MiniSD, MicroSD, MMC, disco slim, etc.) siempre sin leer los archivos de
configuración antes aludidos.
- TC incluye una importante cantidad de utilitarios y plugins en lo
referente al análisis de archivos.
- TC reconoce los más conocidos (y también los no muy conocidos)
formatos de compresión de archivos ejecutables incluyendo plugins para
extraerlos de manera sencilla.
Procedimiento rápido
--------------------
Obs.: No ejecute el archivo a menos que lo indiquemos explícitamente.
1ro. Identificar si el ejecutable está comprimido y/o encriptado.
2do. De ser así proceder a descomprimirlo.
3ro. Examinar los archivos resultantes en busca del archivo legítimo.
Ese es en resumen el procedimiento a seguir por supuesto con
algunas variantes para casos especiales. Seguido describiremos el
procedimiento de manera más detallada.
1ro. Identificar el ejecutable
------------------------------
En honor a nuestro público objetivo, el usuario promedio, haremos
la identificación lo más simple que sea posible. Es decir, nos
dedicaremos a la utilización de programas especializados. Esta
especialización debe comprenderse en al menos 2 aspectos: la
identificación del sistema de compresión/encriptación y la
identificación del compilador con que se creó el ejecutable. Existen
varios niveles para estos 2 tipos de identificación. También existen
sistemas de protección múltiples y existen sistemas diseñados para
engañar a los programas identificadores. Para nuestro caso no nos
interesa determinar específicamente qué sistema se utiliza, sino que nos
interesa saber si el ejecutable está o no comprimido/encriptado para
proceder de la manera en que explicaremos en las líneas posteriores.
Algunos de los programas que utilizaremos a continuacion pueden
despertar naturales alertas en los antivirus debido a las técnicas que
utilizan. Por este motivo sugerimos tomar todas las precauciones del
caso evitando que el software protector elimine nuestras herramientas.
Uno de los canales de distribución más importantes de los
ejecutables sospechosos es la proliferación de sitios web de
pseudo-cracks y pseudo-warex. Estos abundan y los buscadores devuelven
cada vez más resultados de páginas con cracks que en el mejor de los
casos cumple con su función, pero que además están infectados para
cumplir con un objetivo macabro en contra de nuestra de por sí muy
maltratada PC. También encontraremos torrents y warez de supuestas
versiones de un programa de hasta varios cientos de megabytes, pero que
en realidad son virus/troyanos disfrazados.
Existen varios programas identificadores. Mencionemos los 2 mejores:
- PEiD 0.94. A nuestro parecer es el mejor identificador de ejecutables
entre todos.
- Exeinfo 0.0.0.1.9C. Este es un candidato estupendo para sustituir a PEiD.
Con estos 2 programas se puede resolver la mayoría de casos de
identificación de ejecutables para el propósito que nos conduce.
Una vez instalado PEiD lo ejecutamos, pulsamos el botón Options,
marcamos las opciones "Hardcore Scan", "Register Shell Extensions",
"Load Plugins" y "Use External Signatures". Grabamos los cambios,
cerramos PEiD y a partir de este instante al hacer click derecho en
cualquier archivo ejecutable aparecerá la opción "Scan with PEiD" que al
selecccionarla lanzará la pantalla del programa.
Una vez instalado Exeinfo PE lo ejecutamos, pulsamos el botón
Options, marcamos las opciones "Fast Scan", "Shell integration" y
"Disable Log". Grabamos los cambios, cerramos Exeinfo PE y a partir de
este instante al hacer click derecho en cualquier archivo ejecutable
aparecerá la opción "--> Exe Info PE Scan <--" que al selecccionarla
lanzará la pantalla del programa.
2do. Descomprimir el ejecutable
-------------------------------
En caso de que esté comprimido obviamente procederemos a
descomprimirlo. Para lograrlo por lo general seguiremos la información
que devuelve Exeinfo. Cuando Exeinfo detecta que un ejecutable está
comprimido/encriptado sugiere la herramienta a utilizar para la
descompresión. De ello se deduce que habrán muchos programas para
descomprimir y en nuestro caso sería imposible explicar todas esas
herramientas. Por ello nos limitaremos a las más generales.
UPX:
Es el más conocido y reconocido compresor de ejecutables. Se utiliza
tanto para comprimir un ejecutable como para restaurar un ejecutable
comprimido a su tamaño original. Si el ejecutable estuviese comprimido
con UPX abriremos una consola y aplicaremos el comando:
upx -d NombreDelEjecutable.exe
Obs.: Existen programas comprimidos con UPX que no pueden descomprimirse
con el propio UPX.
Universal Extractor 1.5
Este programa es muy interesante porque no nos pregunta nada más que el
nombre del archivo a descomprimir. Automáticamente creará un directorio
con el mismo nombre del ejecutable y colocará allí el contenido
descomprimido. Automáticamente reconocerá el formato del archivo
comprimido entre archivos comprimidos ZIP, RAR, ACE, etc. también
archivos ejecutables (exes) comprimidos, encriptados, archivos
instaladores, etc.
Quick Unpack 2.1
Para instalarlo correctamente lo descomprimimos, lo ejecutamos,
seleccionamos el menú Options / Preferences, marcamos la casilla
"Register shell extension", presionamos "Save" y cerramos el programa. A
partir de este momento el menú contextual de todos los ejecutables
presentará una nueva opción llamada "Unpack by Quick Unpack".
Este programa es algo más sofisticado y con más opciones. Una vez
cargado un ejecutable (leer el párrafo anterior) que se presume comprimido:
- buscamos en la pantalla la sección "Options"
- presionamos el botón ">" que está a la izquierda de "Code"
- doble click a ForceOEP
- presionamos el botón "Full unpack" y esperamos hasta que aparezca una
nueva ventana titulada "Import Table - OK"
- En dicha ventana presionamos el botón "Save" y volvemos a esperar
hasta que en la ventana principal aparezca al final el mensaje "11:52:35
Done" (la hora puede ser otra).
- Se habrá creado en el mismo directorio, una copia descomprimida del
ejecutable llamada NombreDelEjecutable__.exe
RL!dePacker 1.4
Este es otro de los programas clásicos para descompresión previa al
análisis básico de ejecutables. Insistimos por nuevamente que cualquiera
de estos programas especializados despertará alertas falso-positivas en
los programas antivirus.
- ejecutamos RL!dePacker.exe
- presionamos el botón "Browse" y seleccionamos el archivo ejecutable a
descomprimir (también se puede arrastrar el ejecutable hacia la ventana)
- presionamos el botón "Find OEP!"
- dejemos las opciones tal cual están. Por lo general funcionan sin
modificaciones.
- presionamos el botón "Unpack" y esperamos el mensaje informativo de
operación sa
tisfactoria
- Se habrá creado en el mismo directorio, una copia descomprimida del
ejecutable llamada unpacked.exe
VM Unpacker
Esta es solo 1 muestra de las joyas chinas. El programa está en chino
pero debería ser fácil intuir su modo de funcionamiento.
- Cargar VMUnpacker_CN.exe luego de descomprimir el programa en un
directorio apropiado.
- presionamos el botón "..." y seleccionamos el archivo ejecutable a
descomprimir (también se puede arrastrar el ejecutable hacia la
ventana). Al hacerlo de inmediato aparecerá en la ventana la
identificación del programa compresor.
- presionamos el botón con letras en chino. Es el botón para descomprimir.
- esperamos unos segundos y en la ventana aparecerá el nombre del
archivo descomprimido.
- Se habrá creado en el mismo directorio, una copia descomprimida del
ejecutable llamada NombreDelEjecutable_unpacked.exe
3ro. Examinar el ejecutable
---------------------------
Existen tantas razones para identificar un archivo ejecutable que
sería prácticamente imposible mencionarlas todas. Queda a buen criterio
del usuario la utilización de las técnicas básicas mencionadas.
Nos permitimos sugerir que luego del paso (2) repitamos el paso (1)
para verificar que efectivamente no existan más protecciones. Aún así,
los programas del paso (1) podrían indicar erróneamente que aún existe
compresión. Por ello siempre es útil tener a la mano un programa tal
como eXeScope 6.50 que es un editor de recursos muy útil que incluimos
para quienes desean continuar su aventura con la identificación de
ejecutables.
Con TC es muy sencillo examinar el interior de un ejecutable.
Basta con cambiar la extensión .exe por .zip por ejemplo, luego
presionamos en el archivo .zip y encontraremos todos los recursos del
ejecutable listos para ser extraidos. Esta técnica es muy importante
porque hay una cantidad notable de troyanos que incorporan en su sección
recursos variantes de archivos infectados y librerías para ser
insertados en sus víctimas.
CONCLUSION
----------
Varios programas antivirus actuales emiten alertas falso-positivas
sobre software legítimo. Algunos sitios como:
VIRUS CHECK - Virus Scan - http://virusscan.jotti.org/
VIRUS CHECK - Virus Total - http://www.virustotal.com
también pueden emitir falsas alarmas. La mejor forma de salir de dudas
es determinar si la alarma se debe a que un programa está comprimido. Lo
que es cada vez más frecuente en nuestros días. Si bien el procedimiento
descrito es casi mecánico, esperamos que seá de suma utilidad para todos.
bytes y que disfruten de un buen año 2009,
FL
sábado 10 de enero del 2009
16:51 pm
martes, 16 de diciembre de 2008
Cómo saber si estoy siendo victima de Phishing o Pharming Peruano?
Alguien me hizo esa pregunta, y aquí le respondo. Esta facilito ah! :)
Como puede usted saber si su PC esta siendo víctima de alguna de estas modalidades de robo a través de la banca electrónica? (en resumen, si le van a vaciar la cuenta corriente? $$$$$...)
Este método no pretende ser 100% eficaz pero al menos para las muestras de malware ("virus") peruanas analizadas, creo que si lo es.
Recomiendo realizar los 2 métodos :)
Método 1:
=========
Dele click al botón Inicio de Windows, luego elija la opción ejecutar, y en la ventanita que se abre, escriba "cmd" (sin las comillas), y presione la tecla enter o dele click al botón aceptar.
Va a aparecer una ventana negra.
A continuación (dentro de la ventana negra) escriba "ping viabcp.com" (sin las comillas) o "ping www.scotiabank.com.pe" (tambien sin mas comillas), o ponga la dirección web de su banco, despues de la palabra "ping"; y a continuación presione la tecla enter, y espere que salgan algunas lineas como resultado.
Aquí está lo bueno :)
Si en el resultado aparecen los números 127.0.0.1, como lo muestra la imagen anterior, con lineas rojas, no pregunte ni cómo, cuándo, ni porqué. CREAME su PC esta infectada y es víctima de esta modalidad de robo. Así que tome las medidas correctivas necesarias. Puede que un dia de estos se encuentre con una desagradable sorpresa en su cuenta corriente.
Método 2:
=========
Dele click al botón Inicio de Windows, luego elija la opción ejecutar, y en la ventanita que se abre, escriba "C:\WINDOWS\system32\drivers\etc" (sin las comillas), y presione la tecla enter o dele click al botón aceptar. Se me ocurre que puede copiar y pegar el texto que yo puse :P
A continuación se va a abrir la ventana del explorer, con unos cuantos archivos. De esos archivos va a tener que abrir con su editor de texto preferido, el archivo que se llama "hosts".
Ya dentro de ese archivo, busque si aparece la dirección web de su banco.
Aquí una imagen de ejemplo:
Si la dirección web de su banco esta en dicho archivo, no pregunte ni cómo, cuándo, ni porqué. CREAME su PC esta infectada y esa siendo víctima de esta modalidad de robo. Así que tome las medidas correctivas necesarias. Puede que un dia de estos se encuentre con una desagradable sorpresa en su cuenta corriente.
P.D. Este post es sólo informativo. Cualquier consulta que se presente sobre el mismo, no va a ser respondida.
Como puede usted saber si su PC esta siendo víctima de alguna de estas modalidades de robo a través de la banca electrónica? (en resumen, si le van a vaciar la cuenta corriente? $$$$$...)
Este método no pretende ser 100% eficaz pero al menos para las muestras de malware ("virus") peruanas analizadas, creo que si lo es.
Recomiendo realizar los 2 métodos :)
Método 1:
=========
Dele click al botón Inicio de Windows, luego elija la opción ejecutar, y en la ventanita que se abre, escriba "cmd" (sin las comillas), y presione la tecla enter o dele click al botón aceptar.
Va a aparecer una ventana negra.
A continuación (dentro de la ventana negra) escriba "ping viabcp.com" (sin las comillas) o "ping www.scotiabank.com.pe" (tambien sin mas comillas), o ponga la dirección web de su banco, despues de la palabra "ping"; y a continuación presione la tecla enter, y espere que salgan algunas lineas como resultado.
Aquí está lo bueno :)
Si en el resultado aparecen los números 127.0.0.1, como lo muestra la imagen anterior, con lineas rojas, no pregunte ni cómo, cuándo, ni porqué. CREAME su PC esta infectada y es víctima de esta modalidad de robo. Así que tome las medidas correctivas necesarias. Puede que un dia de estos se encuentre con una desagradable sorpresa en su cuenta corriente.
Método 2:
=========
Dele click al botón Inicio de Windows, luego elija la opción ejecutar, y en la ventanita que se abre, escriba "C:\WINDOWS\system32\drivers\etc" (sin las comillas), y presione la tecla enter o dele click al botón aceptar. Se me ocurre que puede copiar y pegar el texto que yo puse :P
A continuación se va a abrir la ventana del explorer, con unos cuantos archivos. De esos archivos va a tener que abrir con su editor de texto preferido, el archivo que se llama "hosts".
Ya dentro de ese archivo, busque si aparece la dirección web de su banco.
Aquí una imagen de ejemplo:
Si la dirección web de su banco esta en dicho archivo, no pregunte ni cómo, cuándo, ni porqué. CREAME su PC esta infectada y esa siendo víctima de esta modalidad de robo. Así que tome las medidas correctivas necesarias. Puede que un dia de estos se encuentre con una desagradable sorpresa en su cuenta corriente.
P.D. Este post es sólo informativo. Cualquier consulta que se presente sobre el mismo, no va a ser respondida.
jueves, 11 de diciembre de 2008
Estafa a Banca Electrónica
Y como se sabe, siguen los envíos dirigidos a la sustracción de nuestros datos bancarios. Como bien lo reporta ReYDeS, en su blog. Todos, absolutamente TODOS son enviados por correo simulando ser algún tipo de video de noticia "grande", "ayuda de seguridad", premio, etc.
En resumen, despertando de una u otra manera la expectativa (morbo?) de la víctima, para que ejecute el malware ("virus") y así infectar la PC y apoderarse de datos bancarios.
Ahora, otra cosa mas, es que entre los envíos hay algunos malwares (2 en concreto), que por lo que pude ver, no crea ningún tipo de estructura de archivos en la PC infectada para simular el banco del que se quiere sustraer o algo parecido, sino que hace conexiones a diferentes servidores en intenet con nombres de dominios creados para tal fin. Parecerían "pruebas" o "testeos" de algún futuro nuevo método. Y vaya que el listado de PC's comprometidas era EXTENSO.
En resumen, despertando de una u otra manera la expectativa (morbo?) de la víctima, para que ejecute el malware ("virus") y así infectar la PC y apoderarse de datos bancarios.
Ahora, otra cosa mas, es que entre los envíos hay algunos malwares (2 en concreto), que por lo que pude ver, no crea ningún tipo de estructura de archivos en la PC infectada para simular el banco del que se quiere sustraer o algo parecido, sino que hace conexiones a diferentes servidores en intenet con nombres de dominios creados para tal fin. Parecerían "pruebas" o "testeos" de algún futuro nuevo método. Y vaya que el listado de PC's comprometidas era EXTENSO.
martes, 28 de octubre de 2008
Infección y limpieza de malware caso real
El post anterior que trataba sobre la experiencia con un malware me fue borrado por google, porque al parecer "alguien" me acusó de infringir derechos de autor. :S
Asi que lo vuelvo a compartir por otro medio, ya que no tengo tiempo para estar reclamando.
Experiencia compartida por Furious Logic [aRC] sobre Infección y limpieza de malware.
Una lectura MUY interesante
http://www.4shared.com/file/74701699/a65a87fd/Beagle_Infeccin_y_limpieza__caso_real_.html
Saludos.
Asi que lo vuelvo a compartir por otro medio, ya que no tengo tiempo para estar reclamando.
Experiencia compartida por Furious Logic [aRC] sobre Infección y limpieza de malware.
Una lectura MUY interesante
http://www.4shared.com/file/74701699/a65a87fd/Beagle_Infeccin_y_limpieza__caso_real_.html
Saludos.
jueves, 25 de septiembre de 2008
Ataques "magistrales" de "hackers" mediáticos
Tomado de Hispasec
Se han producido en las dos últimas semanas dos "ataques cibernéticos"
que han atraído la mirada de los medios de comunicación generalistas.
Desde el punto de vista técnico, los ataques no son más que
curiosidades, y ya apenas merece la pena detenerse en las inexactitudes,
exageraciones y errores habituales que se comenten desde los medios
generalistas. Sin embargo pueden servir para reflexionar sobre algunos
asuntos.
El primer ataque fue dado a conocer por el Daily Telegraph el 10 de
septiembre. Un grupo de atacantes griegos había desfigurado una de las
páginas relacionadas con el famoso LHC (Large Hadron Collider). El mayor
experimento de la historia de la humanidad ha sido bastante mediático.
Los que auguraban el fin del mundo con su puesta en marcha han sido
también alimentados incondicionalmente por la prensa. El experimento
cuenta obviamente con una inmensa red de sistemas conectados. Una de
las páginas públicas (www.cmsmon.cern.ch), forma parte del CMSMON, que
controla el software que utilizan los científicos para analizar los
resultados de las colisiones. La idea era usar esta página para que todo
el mundo pudiese disfrutar en directo de los resultados obtenidos.
Apareció desfigurada y con un mensaje escrito probablemente por un grupo
de atacantes de poca monta. Calificaban de niñatos a los responsables
de seguridad de la red, que en última instancia es el CERN (European
Organization for Nuclear Research). En la página se ofrecían ciertas
evidencias de que quizás podrían haber llegado un poco más lejos de
la simple desfiguración de la página.
La idea de alguien ajeno a los sistemas colándose en los servidores del
LHC y poniendo en riesgo a la humanidad puede ser muy atractiva para
los medios, pero está lejos de ser real. Una de las declaraciones del
portavoz del CERN, James Gillies, aparecidas en la nota original del
Daily Telegraph fue que: "Tenemos diferentes niveles de red, una red de
acceso general y una mucho más restringida para las cosas sensibles que
hacen funcionar el LHC" pero esta afirmación lógica ha sido omitida en
otros medios. Este detalle es importante. No se sabe bien cómo, es
bastante más que posible que hayan podido entrar en la zona de acceso
general, los vectores de ataque son muchos. Sin embargo, ese salto a la
red verdaderamente sensible, por mucho que fanfarroneen los atacantes,
habría sido mucho más complejo. Incluso, en el improbable caso de que
lo consiguieran, sería extraño que supieran manejar un software tan
específico como para causar ningún daño. Es también más que probable que
el software incorpore medidas de seguridad para evitar comandos erróneos
o peligrosos, y que la inclusión hubiese sido detectada mucho antes de
poder intentar cualquier acción... En definitiva, el ataque puede ser
real, pero tan grave como si un niño se hubiese colado sin permiso en un
despacho privado de un banco, y se comparase la intrusión con el hecho
de acceder a las cajas fuertes y desvalijarlas. Importante, sin duda,
pero no de vital importancia.
El otro acontecimiento de la semana ha sido el acceso por parte de
algún atacante al correo personal de Sarah Palin, la candidata a
vicepresidenta en Estados Unidos con el republicano John McCain. Se
dio a conocer su email personal, alojado (con poco criterio) en el
servicio de correo público de Yahoo! y usado además para cuestiones
gubernamentales. A un tal "Rubico" le costó apenas una hora cambiar la
contraseña del correo de Sarah. Se han hecho públicas conversaciones y
fotografías personales. El método ha sido calificado por las agencias
de noticias como "un magistral ataque cirbenético". La verdad es que
simplemente usó el servicio de recuperación de contraseña, la Wikipedia
y Google para acertar la pregunta secreta y poder acceder a los emails.
Cuando se olvida la contraseña de Yahoo! es posible modificarla
respondiendo a tres preguntas. Una era el código postal de Palin, que
vive en Wasilla, Alaska. Un dato público. Otra su fecha de nacimiento,
disponible también en la Wikipedia. La tercera pregunta secreta era
"¿dónde conociste a tu cónyuge?". Un poco de Google y se puede averiguar
que en el instituto. Un par de pruebas y "Wasilla high" resulta la
respuesta adecuada. Estaba dentro.
Esto ya le ocurrió a Paris Hilton en febrero de 2005. El método fue muy
sencillo. El teléfono de Paris, de T-Mobile, permitía mantener una copia
de los contenidos en un servidor accesible a través de la web. Bastaba
con contestar a la pregunta "¿cuál es el nombre de su mascota favorita?"
para tener acceso a números de teléfonos privados de famosos y fotos
subidas de tono que había tomado con el móvil. El nombre de su perro
chihuahua era bien conocido a raíz de que la famosa heredera ofreció
meses antes una recompensa de varios miles de dólares tras extraviarlo.
Una de las reglas de seguridad (que no se suelen prodigar abiertamente)
es la de intentar obviar el servicio de recuperación de contraseñas a
través de preguntas y respuestas supuestamente secretas. Está demostrado
que se trata del punto más débil de los servicios públicos que ofrecen
esta funcionalidad. Si es imprescindible usarlo, las preguntas y
respuestas deberían ser cadenas aleatorias, tanto si la pregunta es a
elegir de un conjunto determinado, como si se puede escribir cualquiera.
La respuesta a la pregunta secreta debería considerarse como otra
contraseña más, incluso más compleja que la principal si cabe. Basta con
cuidar de la contraseña principal o usar programas de cifrado como el
gratuito Password Safe para mantenerla a salvo y no olvidarla. Así se
evitaría tener que usar los peligrosos servicios de recuperación.
En definitiva, ni el ataque a los sistemas del LHC han llegado a
sistemas críticos ni el ataque al correo de Palin es "magistral", tan
solo ingenioso. "No dejes que la realidad estropee una buena noticia."
Se han producido en las dos últimas semanas dos "ataques cibernéticos"
que han atraído la mirada de los medios de comunicación generalistas.
Desde el punto de vista técnico, los ataques no son más que
curiosidades, y ya apenas merece la pena detenerse en las inexactitudes,
exageraciones y errores habituales que se comenten desde los medios
generalistas. Sin embargo pueden servir para reflexionar sobre algunos
asuntos.
El primer ataque fue dado a conocer por el Daily Telegraph el 10 de
septiembre. Un grupo de atacantes griegos había desfigurado una de las
páginas relacionadas con el famoso LHC (Large Hadron Collider). El mayor
experimento de la historia de la humanidad ha sido bastante mediático.
Los que auguraban el fin del mundo con su puesta en marcha han sido
también alimentados incondicionalmente por la prensa. El experimento
cuenta obviamente con una inmensa red de sistemas conectados. Una de
las páginas públicas (www.cmsmon.cern.ch), forma parte del CMSMON, que
controla el software que utilizan los científicos para analizar los
resultados de las colisiones. La idea era usar esta página para que todo
el mundo pudiese disfrutar en directo de los resultados obtenidos.
Apareció desfigurada y con un mensaje escrito probablemente por un grupo
de atacantes de poca monta. Calificaban de niñatos a los responsables
de seguridad de la red, que en última instancia es el CERN (European
Organization for Nuclear Research). En la página se ofrecían ciertas
evidencias de que quizás podrían haber llegado un poco más lejos de
la simple desfiguración de la página.
La idea de alguien ajeno a los sistemas colándose en los servidores del
LHC y poniendo en riesgo a la humanidad puede ser muy atractiva para
los medios, pero está lejos de ser real. Una de las declaraciones del
portavoz del CERN, James Gillies, aparecidas en la nota original del
Daily Telegraph fue que: "Tenemos diferentes niveles de red, una red de
acceso general y una mucho más restringida para las cosas sensibles que
hacen funcionar el LHC" pero esta afirmación lógica ha sido omitida en
otros medios. Este detalle es importante. No se sabe bien cómo, es
bastante más que posible que hayan podido entrar en la zona de acceso
general, los vectores de ataque son muchos. Sin embargo, ese salto a la
red verdaderamente sensible, por mucho que fanfarroneen los atacantes,
habría sido mucho más complejo. Incluso, en el improbable caso de que
lo consiguieran, sería extraño que supieran manejar un software tan
específico como para causar ningún daño. Es también más que probable que
el software incorpore medidas de seguridad para evitar comandos erróneos
o peligrosos, y que la inclusión hubiese sido detectada mucho antes de
poder intentar cualquier acción... En definitiva, el ataque puede ser
real, pero tan grave como si un niño se hubiese colado sin permiso en un
despacho privado de un banco, y se comparase la intrusión con el hecho
de acceder a las cajas fuertes y desvalijarlas. Importante, sin duda,
pero no de vital importancia.
El otro acontecimiento de la semana ha sido el acceso por parte de
algún atacante al correo personal de Sarah Palin, la candidata a
vicepresidenta en Estados Unidos con el republicano John McCain. Se
dio a conocer su email personal, alojado (con poco criterio) en el
servicio de correo público de Yahoo! y usado además para cuestiones
gubernamentales. A un tal "Rubico" le costó apenas una hora cambiar la
contraseña del correo de Sarah. Se han hecho públicas conversaciones y
fotografías personales. El método ha sido calificado por las agencias
de noticias como "un magistral ataque cirbenético". La verdad es que
simplemente usó el servicio de recuperación de contraseña, la Wikipedia
y Google para acertar la pregunta secreta y poder acceder a los emails.
Cuando se olvida la contraseña de Yahoo! es posible modificarla
respondiendo a tres preguntas. Una era el código postal de Palin, que
vive en Wasilla, Alaska. Un dato público. Otra su fecha de nacimiento,
disponible también en la Wikipedia. La tercera pregunta secreta era
"¿dónde conociste a tu cónyuge?". Un poco de Google y se puede averiguar
que en el instituto. Un par de pruebas y "Wasilla high" resulta la
respuesta adecuada. Estaba dentro.
Esto ya le ocurrió a Paris Hilton en febrero de 2005. El método fue muy
sencillo. El teléfono de Paris, de T-Mobile, permitía mantener una copia
de los contenidos en un servidor accesible a través de la web. Bastaba
con contestar a la pregunta "¿cuál es el nombre de su mascota favorita?"
para tener acceso a números de teléfonos privados de famosos y fotos
subidas de tono que había tomado con el móvil. El nombre de su perro
chihuahua era bien conocido a raíz de que la famosa heredera ofreció
meses antes una recompensa de varios miles de dólares tras extraviarlo.
Una de las reglas de seguridad (que no se suelen prodigar abiertamente)
es la de intentar obviar el servicio de recuperación de contraseñas a
través de preguntas y respuestas supuestamente secretas. Está demostrado
que se trata del punto más débil de los servicios públicos que ofrecen
esta funcionalidad. Si es imprescindible usarlo, las preguntas y
respuestas deberían ser cadenas aleatorias, tanto si la pregunta es a
elegir de un conjunto determinado, como si se puede escribir cualquiera.
La respuesta a la pregunta secreta debería considerarse como otra
contraseña más, incluso más compleja que la principal si cabe. Basta con
cuidar de la contraseña principal o usar programas de cifrado como el
gratuito Password Safe para mantenerla a salvo y no olvidarla. Así se
evitaría tener que usar los peligrosos servicios de recuperación.
En definitiva, ni el ataque a los sistemas del LHC han llegado a
sistemas críticos ni el ataque al correo de Palin es "magistral", tan
solo ingenioso. "No dejes que la realidad estropee una buena noticia."
sábado, 16 de agosto de 2008
Estafa a la Banca Electrónica
Y esta semana se me va, pero con un pequeño resumen e imagenes por parte de ReYDeS de los correos fraudulentos dirigidos a robarnos nuestros datos bancarios.
Mas información en este enlace.
Mas información en este enlace.
jueves, 14 de agosto de 2008
DNS, Kaminsky y Vulnerabilidades.
Este es un tema técnico.
Si Ud. es una persona no técnica no le va a interesar este post.
Distraigase mejor con algo como ésto.
Hablando sobre este tema, me encontré un link interesante que explica primeramente muy bien el funcionamiento del los DNS para pasar luego a explicar el problema descubierto por Dan Kaminsky.
Guia ilustrada de la vulnerabilidad descubierta por Dan Kaminsky.
Personalmente no domino tanto como quisiera el tema de los DNS, por lo que ese link me sirve de mucho. Después de entender de pies a cabeza el tema del funcionamiento de los DNS, podre decir que soy un loco consumado :oD
Adicionalmente de manera local en Perú, Tabo, también hizo un análisis muy interesante.
Vulnerabilidad: Servidores de DNS peruanos
Si Ud. es una persona no técnica no le va a interesar este post.
Distraigase mejor con algo como ésto.
Hablando sobre este tema, me encontré un link interesante que explica primeramente muy bien el funcionamiento del los DNS para pasar luego a explicar el problema descubierto por Dan Kaminsky.
Guia ilustrada de la vulnerabilidad descubierta por Dan Kaminsky.
Personalmente no domino tanto como quisiera el tema de los DNS, por lo que ese link me sirve de mucho. Después de entender de pies a cabeza el tema del funcionamiento de los DNS, podre decir que soy un loco consumado :oD
Adicionalmente de manera local en Perú, Tabo, también hizo un análisis muy interesante.
Vulnerabilidad: Servidores de DNS peruanos
miércoles, 13 de agosto de 2008
"Cyber Guerra" Russia --> Georgia
En los últimos días, como todos ya sabemos hubo un conflicto entre Rusia y Georgia, y como ya es conocido, aparte de la guerra convencional, también se a dado la guerra electrónica o cibernética. Personalmente me puse a buscar información en blogs y otros recursos web, como ZDNet, RBNexploit y Dancho Danchev obteniendo información muy interesante que me gustaría compartir.
Antes de eso, para los que no conozcan, sería bueno que lean sobre la Russian Business Network. Que en resumen es una mafia Rusa dedicada a la distribución de gran parte de virus y mas cosas peligrosas que pasan actualmente en la Internet. Los verdaderos monstruos en computación según yo :)
También sobre Sistemas Autónomos o AS. Que en resumen serían las redes independientes de cada proveedor de servicios de telecomunicaciones/Internet, y que cada uno tiene una numeración definida Ejem:AS8342
Y también sobre Internet exchange point o puntos neutros. Que son en resumen los puntos de encuentro entre las redes de nuestros proveedores de servicios teleco/Internet. Para ponerla mas fácil, si alguna ves te preguntaste como haces para comunicarte por msn desde tu conexión de telefónica con un amigo/amistad/contacto que usa telmex u otro, pues aquí es donde ocurre la "unión" de redes :) .Mira que hasta pagina web tienen www.nap.pe
Después de esa lectura, empezamos mencionando que la Cyber Guerra a consistido obviamente en hacer un ataque DDoS a Georgia (lo cual para los que no entienden el tema, es a grandes rasgos una denegación del servicio Internet y telecomunicaciones, desde distintos lugares).
Yo personalmente dividí/entendí el ataque en 2 tipos de frentes:
La pare Física y la parte Lógica.
En la parte física fue envuelta la infraestructura de los diferentes proveedores de telecomunicaciones y proveedores de acceso Internet. Pero lo que no pude terminar de averiguar fue si sólo era hacia los proveedores de servicios para organizaciones Gubernamentales de Georgia o para TODOS en general, ya que no pude encontrar nada referente al punto neutro de Georgia para ver a la totalidad de proveedores.
Para este caso
DeltaComm Group AS20771 (Aún inaccesible)
Caucasus Network AS28751
Según RBNexploit, el ataque a consistido en que ya que lamentablemente el acceso a las entidades de Georgia pasaba por Rusia y Turquía, y estos accesos fueron de alguna manera "influenciados" por Rusia para que la señal (ruteo) sea "cortada" o "disminuida".
En las siguientes imágenes de RBNexploit, se puede ver que en efecto, los accesos a Georgia pasaban previamente por esos lugares (para mayor entendimiento, los nombre Internet de Georgia terminan en .ge).
Para el acceso a mfa.gov.ge (Relaciones Exteriores):
En la primera imagen, y en la segunda
Tratando de ingresar vía US, el bloqueo se da desde Turquía.
Tratando de ingresar vía Ucrania, el bloqueo se da desde Rusia (mira que hasta banderita sale :P).
Para el acceso a mod.gov.ge (Ministerio Defensa)
Tratando de ingresar desde US, el bloqueo es nuevamente se da desde Turquía.
Tratando de ingresar vía Ucrania, el bloqueo nuevamente se da desde Turquía.
Y en este siguiente gráfico, se ve que efectivamente los AS de Georgia AS28751 AS20771, dependen en gran parte de AS8342 AS12389
AS9121 para el ruteo de su acceso, y que son justamente los que le están haciendo el bloqueo. El único acceso libre (a medias) que quedaba era el AS29049 ubicado en el país de Azerbaiyán.
Pero en lo que no concuerdo (o al menos me cuesta creer), es que RBNexploit diga que tales accesos estaban bajo el control de la RBN y influenciados por Rusia. Osea, lo segundo puede ser, pero lo primero? ya que si relacionamos los números AS con las respectivas empresas vemos que (al menos para mi), son empresas bien constituidas, además de que 2 de ellas son Rusas, y que eran las que le daban el acceso a Georgia, y que tales accesos no son de "reciencito nomas".
AS8342 RTComm.RU OJSC Rusa
AS12389 Rostelecom Rusa
AS9121 Turk Telekom Turca
En la parte Lógica el ataque consistió en distribuir listas de dominios específicos pertenecientes al gobierno de Georgia (nombres de Internet), para así evitar que el ataque sea centralizado.
police(punto)ge
mfa.gov(punto)ge
government.gov(punto)ge
constcourt.gov(punto)ge
nod.gov(punto)ge
nsc.gov(punto)ge
mof(punto)ge
nbg.gov(punto)ge
parliament(punto)ge
president.gov(punto)ge
Distribuir "herramientas" para hacer un ataque "fácil".
Distribuir listas de sites susceptibles a ataques SQL Injection
Abusar de listados públicos de correo pertenecientes a políticos, para hacer un envío masivo de spam y probablemente malware.
entre otros.
En fin, estuvo muy interesante esa Cyber War. Para mí estuvo mas interesante la parte de la infraestructura.
Las imagenes fueron tomadas de ZDNet, RBNexploit y Dancho Danchev.
Cosas nuevas: Si volvemos a hacer un tracert a algunas de las webs citadas, del Gobierno de Georgia (mfa.gov.ge por ejemplo), vamos a ver cosas nuevas.
http://logbud.com/visual_trace
http://www.dnsstuff.com/
Cualquier critica/observación/actualización constructiva bienvenida.
Antes de eso, para los que no conozcan, sería bueno que lean sobre la Russian Business Network. Que en resumen es una mafia Rusa dedicada a la distribución de gran parte de virus y mas cosas peligrosas que pasan actualmente en la Internet. Los verdaderos monstruos en computación según yo :)
También sobre Sistemas Autónomos o AS. Que en resumen serían las redes independientes de cada proveedor de servicios de telecomunicaciones/Internet, y que cada uno tiene una numeración definida Ejem:AS8342
Y también sobre Internet exchange point o puntos neutros. Que son en resumen los puntos de encuentro entre las redes de nuestros proveedores de servicios teleco/Internet. Para ponerla mas fácil, si alguna ves te preguntaste como haces para comunicarte por msn desde tu conexión de telefónica con un amigo/amistad/contacto que usa telmex u otro, pues aquí es donde ocurre la "unión" de redes :) .Mira que hasta pagina web tienen www.nap.pe
Después de esa lectura, empezamos mencionando que la Cyber Guerra a consistido obviamente en hacer un ataque DDoS a Georgia (lo cual para los que no entienden el tema, es a grandes rasgos una denegación del servicio Internet y telecomunicaciones, desde distintos lugares).
Yo personalmente dividí/entendí el ataque en 2 tipos de frentes:
La pare Física y la parte Lógica.
En la parte física fue envuelta la infraestructura de los diferentes proveedores de telecomunicaciones y proveedores de acceso Internet. Pero lo que no pude terminar de averiguar fue si sólo era hacia los proveedores de servicios para organizaciones Gubernamentales de Georgia o para TODOS en general, ya que no pude encontrar nada referente al punto neutro de Georgia para ver a la totalidad de proveedores.
Para este caso
DeltaComm Group AS20771 (Aún inaccesible)
Caucasus Network AS28751
Según RBNexploit, el ataque a consistido en que ya que lamentablemente el acceso a las entidades de Georgia pasaba por Rusia y Turquía, y estos accesos fueron de alguna manera "influenciados" por Rusia para que la señal (ruteo) sea "cortada" o "disminuida".
En las siguientes imágenes de RBNexploit, se puede ver que en efecto, los accesos a Georgia pasaban previamente por esos lugares (para mayor entendimiento, los nombre Internet de Georgia terminan en .ge).
Para el acceso a mfa.gov.ge (Relaciones Exteriores):
En la primera imagen, y en la segunda
Tratando de ingresar vía US, el bloqueo se da desde Turquía.
Tratando de ingresar vía Ucrania, el bloqueo se da desde Rusia (mira que hasta banderita sale :P).
Para el acceso a mod.gov.ge (Ministerio Defensa)
Tratando de ingresar desde US, el bloqueo es nuevamente se da desde Turquía.
Tratando de ingresar vía Ucrania, el bloqueo nuevamente se da desde Turquía.
Y en este siguiente gráfico, se ve que efectivamente los AS de Georgia AS28751 AS20771, dependen en gran parte de AS8342 AS12389
AS9121 para el ruteo de su acceso, y que son justamente los que le están haciendo el bloqueo. El único acceso libre (a medias) que quedaba era el AS29049 ubicado en el país de Azerbaiyán.
Pero en lo que no concuerdo (o al menos me cuesta creer), es que RBNexploit diga que tales accesos estaban bajo el control de la RBN y influenciados por Rusia. Osea, lo segundo puede ser, pero lo primero? ya que si relacionamos los números AS con las respectivas empresas vemos que (al menos para mi), son empresas bien constituidas, además de que 2 de ellas son Rusas, y que eran las que le daban el acceso a Georgia, y que tales accesos no son de "reciencito nomas".
AS8342 RTComm.RU OJSC Rusa
AS12389 Rostelecom Rusa
AS9121 Turk Telekom Turca
En la parte Lógica el ataque consistió en distribuir listas de dominios específicos pertenecientes al gobierno de Georgia (nombres de Internet), para así evitar que el ataque sea centralizado.
police(punto)ge
mfa.gov(punto)ge
government.gov(punto)ge
constcourt.gov(punto)ge
nod.gov(punto)ge
nsc.gov(punto)ge
mof(punto)ge
nbg.gov(punto)ge
parliament(punto)ge
president.gov(punto)ge
Distribuir "herramientas" para hacer un ataque "fácil".
Distribuir listas de sites susceptibles a ataques SQL Injection
Abusar de listados públicos de correo pertenecientes a políticos, para hacer un envío masivo de spam y probablemente malware.
entre otros.
En fin, estuvo muy interesante esa Cyber War. Para mí estuvo mas interesante la parte de la infraestructura.
Las imagenes fueron tomadas de ZDNet, RBNexploit y Dancho Danchev.
Cosas nuevas: Si volvemos a hacer un tracert a algunas de las webs citadas, del Gobierno de Georgia (mfa.gov.ge por ejemplo), vamos a ver cosas nuevas.
http://logbud.com/visual_trace
http://www.dnsstuff.com/
Cualquier critica/observación/actualización constructiva bienvenida.
martes, 29 de julio de 2008
Diario local usado para estafas a la banca electrónica
Nuevamente gracias a ReYDeS, me entero de otra nueva estafa enviada por correo masivo dirigida a la banca por Internet, PERO, esta noticia tiene ALGO INTERESANTE. Qué? Pues que la pagina web de un diario local (www.expreso.com.pe) a sido comprometida para almecenar/descargar el supuesto "video" que apela a la curiosidad de la víctima para hacer descargar y ejecutar un supuesto vídeo del tema en cuestión, y así hacerse con sus datos bancarios. Para ser creíble, después de ejecutado el "vídeo" la persona es redirigida a una pagina de YouTube que trata el tema mencionado, y así no levantar sospechas.
Obviamente si alguien pecó de abrir el "vídeo", cambie sus datos bancarios de inmediato, desde otra PC obviamente, y mandela a revisar (la PC; y por si acaso su estado de cuenta).
Los demás detalles relacionados y técnicos a este tema aquí.
Qué es Phishing?
Qué es Pharming?
Suscribirse a:
Entradas (Atom)