Detectando proxies anónimos

Hace ya algún tiempo tuvimos un incidente donde los atacantes estaban utilizando un servidor de la organización afectada como un proxy anónimo, aprovechando una configuración errónea del servidor. Durante el mismo incidente, nos vino a la cabeza la pregunta, ¿Qué usan para detectar que este servidor estaba mal configurado y tiene capacidad de proxy?. La pregunta no iba por la senda de averiguar una técnica muy compleja, sino ver qué podían estar utilizando y añadir dentro de nuestros análisis preventivos uno que compruebe que los servidores no tengan ningún servicio actuando como proxy anónimo, por error. Antes de ponernos a hacer un “pythonito” que haga justo eso, me puse a bucear un poco en la red.... Leer Más

/Rooted CON 2013 día 1

Un año más estamos en la /RootedCON. Este año se inicia con una interesante charla de David Fuertes titulada «Señales débiles, ¿nos protegemos sabiendo que nos van a atacar?«. David nos ha hablado sobre uno de los temas de moda como son las «APT» y el enfoque que le dan actualmente las organizaciones a la hora de protegerse, donde muchas de ellas no asumen que van a ser alguna vez comprometidas. David terminó exponiendo algunas ideas para detectar en las organizaciones esas señales débiles que puedan hacer saltar las alarmas, como puede ser centrarse en la cantidad de tráfico de red. ... Leer Más

HoneySpider 2.0 – Detección de malware en la web

Hace algún tiempo que llevamos trabajando con la herramienta HoneySpider en su versión 1.x que, para el que no la conozca es una herramienta desarrollada por CERT Polska / NASK y el NCSC. En la versión 1.x se trataba básicamente de un honeyclient web y su funcionamiento consistía en visitar páginas web como si fuera un usuario y detectar si existe código malicioso en la página.... Leer Más

Protocolo IRC en Cuckoo Sandbox

Durante el mes de Noviembre hemos estado añadiendo soporte a nuestra sandbox para que pueda interpretar el tráfico IRC y cuando un malware se comunica mediante este protocolo obtengamos información en nuestro informe, como son los mensajes que envía el cliente de irc y los mensajes que envía el servidor.... Leer Más

Personalización de “Cuckoo Sandbox”

Cuckoo Sandbox como muchos de nuestros lectores ya sabrán es una aplicación para el análisis automático de malware. El proceso de instalación en la versión actual de la sandbox es bastante sencillo y ha sido descrito por otros blogs de manera muy detallada. Una vez ya disponemos de la sandbox instalada, ésta nos proporcionará informes, como los que podemos encontrar en el servicio de análisis de malware alojado en Malwr, sobre el comportamiento del malware, sobre las APIs importadas, con los resultados de virustotal, el packer utilizado, etc.

En esta entrada me gustaría destacar “la verdadera potencia”, bajo mi humilde punto de vista, de esta sandbox, y que la podemos encontrar en el diseño modular que han realizado sus desarrolladores y en la sencillez para desarrollar módulos para el análisis automático de malware. Convirtiéndola en una Sandbox muy personalizable.

[Read more…]

JavaSnoop – Debugging aplicaciones Java

Recientemente hemos utilizado una herramienta muy interesante para analizar applets Java: JavaSnoop, desarrollada para la BlackHat USA de 2010 por Arshan Dabirsiaghi. A grandes rasgos, la herramienta nos permite adherirnos (attach) a un proceso Java o arrancarlo e interceptar las llamadas que se realizan. Además de interceptar estas llamadas y ver su contenido, nos permitirá modificar los argumentos de los métodos que estamos interceptando y modificar el valor de retorno de la función.

A continuación, veamos cómo interceptar un método de un applet Java:

1. Descargamos la última versión de la aplicación: http://code.google.com/p/javasnoop/downloads/list

Nota: Se recomienda dejar la aplicación en un directorio que no contenga espacios en sistemas Windows (ej. C:\JavaSnoop).

[Read more…]

Análisis de “Builder NGR Bot 1.1.0.0”

Hace unos días estuvimos buscando qué era lo que estaban distribuyendo sobre “NGR bot” por la red y vimos que aparecía bastantes veces por los foros la cadena “Builder NGR Bot source code”. Para aprender un poco más sobre esta muestra decidimos pegarle un vistazo y ver qué era exactamente. Después de varios intentos (la mayoría de enlaces no iban) conseguimos descargarnos un fichero zip (MD5 (ngrBot_1.1.0.zip) = 411eb0f5e7e56322f308ceaeae666018) que contiene lo siguiente:

$ ls -lR

total 0
drwxr-xr-x   9 josemi  staff  306 19 jun 23:29 Builder
drwxr-xr-x  12 josemi  staff  408 19 jun 23:44 BuilderFull
drwxr-xr-x   4 josemi  staff  136  9 sep  2011 bin

./Builder:
total 640
-rw-r--r--@ 1 josemi  staff   31167  1 sep  2011 fMain.frm
-rw-r--r--@ 1 josemi  staff   26091  1 sep  2011 fMain.frx
-rw-r--r--@ 1 josemi  staff   25998 31 ago  2011 new copy.jpg
-rw-r--r--@ 1 josemi  staff  223808 31 ago  2011 new.PSD
-rw-r--r--@ 1 josemi  staff     614  1 sep  2011 ngrBotBuilder.vbp
-rw-r--r--@ 1 josemi  staff      52  5 sep  2011 ngrBotBuilder.vbw
-rw-r--r--@ 1 josemi  staff     261  1 sep  2011 ngrdata.inf

./BuilderFull:
total 344
-rw-r--r--@ 1 josemi  staff  33896  5 sep  2011 fMain.frm
-rw-r--r--@ 1 josemi  staff     81  5 sep  2011 fMain.frx
-rw-r--r--@ 1 josemi  staff    242 31 ago  2011 makeit.bat
-rw-r--r--@ 1 josemi  staff  96332 31 ago  2011 ngrBotBuilder.RES
-rw-r--r--@ 1 josemi  staff    676  5 sep  2011 ngrBotBuilder.vbp
-rw-r--r--@ 1 josemi  staff     52  5 sep  2011 ngrBotBuilder.vbw
-rw-r--r--@ 1 josemi  staff    258  1 sep  2011 ngrdata.inf
-rw-r--r--@ 1 josemi  staff   8938 31 ago  2011 ngrdll.asm
-rw-r--r--@ 1 josemi  staff     46 31 ago  2011 ngrdll.def
-rw-r--r--@ 1 josemi  staff   2726 31 ago  2011 ngrdll.lib

./bin:
total 320
-rw-r--r--@ 1 josemi  staff  159744  5 sep  2011 ngrBotBuilder.exe
-rw-r--r--@ 1 josemi  staff    4096 31 ago  2011 ngrdll.dll

[Read more…]

NGR Bot 1.1.0.0 – Configurando nuestro -IRC C&C- para el análisis

Durante estas semanas he estado realizando un análisis al malware NGRBot, del cual podéis encontrar bastante documentación haciendo una simple búsqueda en Google por el nombre del bot. Os aconsejo para situaros pegarle un vistazo por ejemplo el siguiente paper: http://secniche.org/released/VB_AKS_RB_RJE_NGR_BOT.pdf. ... Leer Más

Tcpdump DROP privileges

Estoy seguro que muchos de vosotros conocéis tcpdump y en más de una ocasión la habréis utilizado. Como todos sabréis cuando la ejecutamos como usuario sin privilegios para capturar paquetes en una interfaz de red recibimos el siguiente mensaje:

$ /usr/sbin/tcpdump -i eth0
tcpdump: eth0: You don't have permission to capture on that device
(socket: Operation not permitted)

[Read more…]

Botnets: Detection, Measurement, Disinfection & Defence

Desde ENISA el día 07 de Marzo de 2011 se publicó el informe “Botnets: Detection, Measurement, Disinfection & Defence”, donde se describe de una manera muy extensa las medidas de detección, desinfección y defensa para luchar contra este tipo de amenaza tan presente hoy en día.

Como ya he comentado el informe es extenso y ofrece gran cantidad de ejemplos que ilustran cada una de las recomendaciones para que se entienda cómo puede ayudar a mitigar. No pretendo en esta entrada hacer un resumen del informe sino destacar algunos aspectos que me han llamado la atención del mismo.

En primer lugar destacaría como bien comenta el informe la necesidad de medir la eficacia de la medidas que adoptamos para mitigar las botnets. Es decir, responder a preguntas como, ¿Haber puesto un DNS sinkhole ha tenido un efecto positivo para mitigar esta amenaza? ¿La campaña de concienciación ha funcionado?, etcétera. Entonces, como no podía ser de otra manera para responder a esta pregunta deberemos definir una serie de indicadores relacionados con esta amenaza que nos determinen de manera clara y objetiva si las medidas están teniendo efecto. Ejemplo de estos indicadores podrían ser:

[Read more…]