sábado, 21 de julio de 2018

ZombieBoy, nuevo malware de minado de criptomonedas

ZombieBoy, como lo ha bautizado el analista de seguridad James Quinn, es una nueva familia de malware de minado de criptomonedas que utiliza la capacidad de procesamiento de tu ordenador para obtener Moneros.  

ZombieBoy tiene características de gusano, valiéndose de WinEggDrop para buscar nuevos hosts y propagarse. Para infectar a la víctima el virus utiliza la herramienta que le da nombre: "ZombieBoyTools". Esta herramienta aprovecha dos conocidos exploits, EternalBlue y DoublePulsar para instalar la DLL maliciosa en la máquina de la víctima. 
Captura de la herramienta ZombieBoyTools. Fuente: www.alienvault.com


 Una vez instalada la DLL en la máquina, se descarga y ejecuta el binario "123.exe" desde ca[.]posthash[.]org:443. Este se encargará de descargar el resto de componentes del malware: 

 "64.exe", además de estar encriptado con el packet "Themida" implementa algunas técnicas de evasión bastante sofisticadas. Se encarga de la propagación del virus y de ejecutar el miner (XMRIG), para ello utiliza "WinEggDrop" un escaner TCP que buscará víctimas potenciales contra las que ejecutar el exploit DoublePulsar. Adicionalmente "64.exe" utiliza el software XMRIG para minar Monero y enviarlo a las direcciones:

  • 42MiUXx8i49AskDATdAfkUGuBqjCL7oU1g7TsU3XCJg9Maac1mEEdQ2X9vAKqu1pvkFQUuZn2HEzaa5UaUkMMfJHU5N8UCw
  • 49vZGV8x3bed3TiAZmNG9zHFXytGz45tJZ3g84rpYtw78J2UQQaCiH6SkozGKHyTV2Lkd7GtsMjurZkk8B9wKJ2uCAKdMLQ


 El otro componente descargado tiene el nombre de "74.exe". Se encarga de descargar y ejecutar la DLL "NetSyst96.dll", heredada del RAT "Gh0stRat", permitirá al administrador del malware realizar algunas acciones sobre la máquina infectada de forma remota, como capturar la pantalla, grabar sonidos o alterar el portapapeles de la víctima.

 "84.exe" es otro de los módulos droppeados por "123.exe". Al igual que "74.exe" es un RAT utilizado para extraer información adicional sobre la víctima: SO utilizado, velocidad de la CPU o antivirus instalados. Además añade una entrada al registro que sirve para comprobar si el malware se está ejecutando por primera vez.
Flujo de actividad. Fuente: www.alienvault.com


Para comprobar si está infectado por ZombieBoy puede buscar si alguno de los binarios implicados se encuentra entre sus procesos:

  • 123.exe
  • 64.exe
  • 74.exe
  • 84.exe
  • CPUinfo.exe
  • N.exe
  • S.exe
  • Svchost.exe (OJO, siempre que no provenga de C:\Windows\System32)


 Si es así debería detener estos procesos y borrar los ficheros implicados, así como las entradas al registro introducidas por el virus.

 Entradas de registro maliciosas:

  • SYSTEM/CurrentControlSet/Services/Dazsks Fsdgsdf
  • SYSTEM/CURRENTCONTROLSET/SERVICES/ANqiki cmsuuc
Ficheros descargados por el malware:
  • C:\%WindowsDirectory%\sys.exe
  • C:\windows\%system%\boy.exe
  • C:\windows\IIS\cpuinfo.exe
  • C:\Program Files(x86)\svchost.exe
  • C:\Program Files\AppPatch\mysqld.dll
  • C:\Program Files(x86)\StormII\mssta.exe
  • C:\Program Files(x86)\StormII\*
  • C:\Archivos de programa (x86)\svchost.exe
  • C:\Archivos de programa\AppPatch\mysqld.dll
  • C:\Archivos de programa (x86)\StormII\mssta.exe
  • C:\Archivos de programa (x86)\StormII\*
Francisco Salido
fsalido@hispasec.com

Más información:

ZombieBoy:


0 comentarios
Etiquetas: ,

viernes, 20 de julio de 2018

10 libros de seguridad informática para leer este verano

¡Estamos en verano! Toca descansar, coger una toalla, la crema protectora (cortafuegos dérmico) y por supuesto un buen libro para acompañarnos en el asueto estival.
Tal y como hiciéramos en las navidades pasadas, vamos a recomendar unos cuantos libros para que el estío se nos haga más soportable. Abundan las calores y nada mejor que un librazo y algo fresco que echarse al coleto para aguantar las terribles temperaturas que nos quedan por soportar. En HISPASEC nos gustan los libros, mucho, y cuando salimos de vacaciones asaltamos la biblioteca de empresa y sacamos varios volúmenes (algunos incunables) prestados, para devolverlos sanos y salvos (aunque con algo de salitre y tufillo a carbón de chiringuito) de vuelta a la estantería cuando comienza el nuevo curso escolar.

Como ya hicimos antes, no hay enlaces. No nos casamos con nadie. Si lo quieres, con el título lo puedes buscar donde mejor te venga. El orden no es significativo solo circunstancial. Si tienes alguna recomendación de lectura que hacer, los comentarios están abiertos, como siempre.


0.- The Hacker Playbook 3: Practical Guide To Penetration Testing
Peter Kim
Peter Kim lo ha vuelto a hacer. Teníamos el uno, el dos y ahora el tres. Nueva temporada de uno de los libros que todo pentester debe tener en sus estanterías. Muy enfocado al Red Team, agresividad pura y dura y recopilación de técnicas para que no se nos escape un puerto abierto. Muy recomendable. Ya lo hicimos en las navidades con el segundo y no queremos que dejes pasar esta actualización. Como decía alguno por aquí, ha tomado el relevo espiritual de los Hacking Exposed.

 1.- Advanced Penetration Testing: Hacking the World's Most Secure Networks
Will Allsopp


¿Cansado del combo Kali-Metasploit-Powershell? Prueba algo nuevo. No se detiene en "las técnicas que ya sabe todo el mundo". Se mueve por otro lado, coge tecnologías que suenan a viejuno y les da una mano de pintura. Es un must-have si se quiere complementar y dar una vuelta de tuerca a lo que ya sabemos. Además tiene un toque APT que nos muestra como se pueden poner las cosas serias.

 2.- Black Hat Python: Python Programming for Hackers and Pentesters
Justin Seitz

Que Python es la lengua franca de la seguridad es indiscutible. Ya lo fue Perl en sus buenos tiempos (¡Ah, los 90!) y lo será...¿Go? No hay nada escrito :) Bien, el volumen presente nos acerca Python al mundillo de la seguridad con buenas artes. Mucho código de red, sockets, scapy, etc, incluso un capítulo dedicado a extensiones de la navaja suiza de la auditoría web: el Burp. También incluye un capitulo dedicado a la elevación de privilegios en sistemas Windows, pisándole algo el terreno a PowerShell. Lo mejor de todo es que no se detiene a enseñar el lenguaje, cosa que le quita unas 200 páginas de peso innecesario si ya dominas el lenguajes.

 3.- Pentesting con PowerShell
Pablo Gonzalez

Ya hemos nombrado a PowerShell dos veces, así que toca libro para profundizar sobre el tema. Tal y como se deduce del contenido, PowerShell se ha convertido en la herramienta de facto para atacar sistemas Windows. Hay auténticos frameworks que nos permiten hacer locuras incluso sin tocar el disco duro en los sistemas de Microsoft. El libro no solo se para a enseñarnos a usar estos frameworks, sino que nos provee de una base para entender PowerShell de raíz. 

 4.- Serious Cryptography: A Practical Introduction to Modern Encryption
Jean-Philippe Aumasson

R1pzFH5dYUBzFHZRMlh7VmBbYRR2UTJHd1NnRntQc1AyXXxSfUZ/1WZdcVUyR3taMkF8FH5dcEZ9FHZRMldgXWJAfVNgVXTZcxR3RzJXfVl9FGdaMkR9R2YUdlEyXXxTd1p7UWDZcxR7WmRRYEdzFGFdfBRnWnMUcVViQGdGcxR2UTJEc1pmVX5YcxR2W3xQdxRhVX5TcxR3WDJ9VnUyWzJBfBRkW35Xc1B9FHpRalV2UXFdf1V+GjJxYUB3FGRbfkF/UXwUcVt8QHtRfFEyQXwUYFFiVWFbMkR9RjJAfVBzFH5VMldgXWJAfVNgVXTZcxRxWPNHe1dzDjJa6Fl3Rn1HMlV+UXNAfUZ7W2EYMld7UmBVdlthFGJbYBRwWH1FZ1E+FHRYZ159GDJcc0d6UWEYMlFmVzwUU1B3WfNHMld9WmZdd1p3FH9VZlFgXXNYMlnzRzJVcUBnVX4UdxR7WnFYZ0d9FGFRMlVmRndCdxRxW3wUZ1oyV3NE/0BnWH0UdF18VX4UdlF2XXFVdlsyVTJYcxRxRntEZlt1RnNS/1UyV2fVfEB7V3MaMnd9WX0UZFV+W2AUc8VzUHtQfRgyV31aZl13WncUZlV8QH0Uf1VmUWBdc1gyRGDVcUB7V30UcVt/WzJAd8dgXXFbMk0yWXNAd1nzQHtXfRo=

 5.- The Art of Memory Forensics : Detecting Malware and Threats in Windows, Linux, and Mac Memory
Michael Hale Ligh, Andrew Case, Jamie Levy, Aaaron Walters 


Este libro es uno de los más queridos por nuestros reversers con el permiso de Practical Malware Analysis, que ya comentamos en navidad. Es de la gente que hace el framework de extracción de memoria Volatility, ahí es nada. No solo es útil para las artes forenses, el dominio de las técnicas quirúrgicas ancestrales de análisis de malware también exigen de pociones eficaces para volcar la memoria de estos elementos. Un "instant-classic" del volcado.

 6.- Software Exorcism
Bill Blunden

No, mucho me temo que no es un libro de hechizos para depurar esos fallos que el compilador no termina de tragarse. Lo que sí es este libro es un compendio de sabiduría respecto a una figura: el error. Impagable el capítulo dedicado a los internals de los depuradores. Todo un elogio al error y sus métodos para exorcizarlos de nuestros programas.

 7.- The Tangled Web
Michal Zalewski

Zalewski no necesita presentación. Es un genio, que lo mismo te escribe "la herramienta" para hacer fuzzing como te escribe un pedazo de libro donde te desgrana todo lo que hay que saber alrededor de las tecnologías que componen la web, en especial énfasis hacia el navegador. Si de verdad crees saber sobre seguridad web, lee este libro, no tiene desperdicio.

 8.- Attacking Network Protocols
James Forshaw

Vamos a reconocer que le sobran páginas, unas 200. Se mete en terrenos más allá de la materia del libro: los protocolos de red. Pasa por temas que deberían ser explorados en otros libros o darse por sabido: reversing, criptografía, explotación, etc. No obstante, en cuanto a lo estrictamente acordado en el título, el libro posee unos buenos capítulos acerca de los ataques de red y sobre todo captura e interpretación del tráfico. Un plano que debemos conocer a fondo, asignatura transversal en seguridad: los protocolos de red.

9.- The Shellcoder's Handbook: Discovering and Exploiting Security Holes
Chris Anley, John Heasman, Felix 'FX' Linder, Gerardo Richarte


 Escrito por grandes firmas en el mundillo del exploiting, se trata de una segunda edición (que algunos pedimos a gritos se renueve con una tercera edición) que nos lleva de la mano al mundo de la fabricación de exploits. Desde sistemas Cisco hasta el kernel de Windows pasando, por supuesto, por Linux y otros derivados de UNIX. Nos explica el concepto general de un shellcode, los sistemas de protección anti-exploit y técnicas de fuzzing entre otros. Si antes comentábamos libros a los que le sobran páginas, con este volumen de más de 700 hubiéramos disfrutado de lo linder si hubiese tenido otras 700...o mil más!

 A.- (Bonus track) Historia de la filosofía occidental vols. I y II
Bertrand Russell

¿Cómo? ¿Filosofía? Exacto, filosofía. Aprovechemos que la han echado de las aulas para reponerla en nuestras mentes. Si las matemáticas son el lenguaje de la ciencia, la llama de la ciencia fue prendida por la filosofía y su eterno cuestionamiento (hasta de si misma). Puedes ser un inteligente hacker que resuelva hasta el más complejo puzzle jamás creado, pero si tu cabeza no puede ensancharse y pensar más allá no podrás desarrollar eso que tan de moda está como es el "pensamiento lateral" y saber "conectar los puntos". ¿Acaso no es un hacker alguien que lo cuestiona todo? Fuera rejas.

David García
@dgn1729


0 comentarios
Etiquetas: , ,
Suscribirse a: Entradas (Atom)
Hispasec Sistemas | Copyright ©1998-2017