Malware: Teoría del BlackHole
De acuerdo a Symantec: esta herramienta denominada "BlackHole toolkit" posee un conjunto poderoso de exploits y se propaga muy rápida y peligrosamente por la computadora del cliente o "víctima". Actualmente es uno de los exploits más peligrosos en cuanto a la cantidad de usuarios que afecta en poco tiempo; similar a el alcance de exploits como Neosploit y Phoenix.
Este malware se ha propagado rapidísimo, para que tengan una idea: más de 100 mil reportes al día han sido detectados por symantec.
Cuando una "victima" visita un sitio que posee un "iframe malicioso" de este tipo. Lo que hace el iframe es redireccionar al usuario al servidor donde se aloca el exploit BlackHole.
Ojo, es importante indicar que muchas veces el sitio desconoce estar infectado, por lo que siempre es importante estar alertas cuando de un sitio nos direccionan automáticamente a otro o el acceso al mismo es muy lento (es decir, nunca termina de cargar o demora demasiado). También es cierto que dependerá del ancho de banda y varios otros factores, pero no está demás estar atento.
Voy a resumir el funcionamiento, ustedes pueden ver la nota completa utilizando el enlace de Symantec que aparece al principio y profundizar más de la misma fuente (en inglés).
¿Cómo funciona el BlackHole?
Usa una técnica que se confunde con otros exploits (PDF, HCP, JAVA, etc). Generalmente, la página contiene un array o matriz muy grande bajo la etiqueta "textarea". Cuando se decodifica la matriz, está hace uso de varias vulnerabilidades conocidas con el único fin de filtrarse y realizar el ataque.
La página contiene un código que lo que hace es redirrecionar al visitante para que descargue un archivo "jar" con el conjunto de rutinas maliciosas a ejecutarse en la computadora del cliente o "víctima".
Más específicamente, el archivo jar contiene un script que pasa en un string, la URL de redirección de donde se descargaran el conjunto de exploits maliciosos a propagar. Podría decir que es un enmascaramiento del proceso. Este proceso es pensado para poder llegar a ejecutarse total o parcialmente antes de ser detectado y detenido por el software de seguridad del propio cliente (si este posee uno o el que posee, lo puede detectar).
Acciones reales del BlackHole.-
La URL indicada para activar este malware, permitirá descargar el Trojan.Carberp, similar al ZeuS (posee técnicas muy ingeniosas para evadir ser detectado).
Dicho Trojan postea un identificador único al servidor C&C (command-and-control) para ser ser utilizado en cada transacción.
A continuación, el Trojan posteará todos los procesos del cliente a través del servidor.
Ahora, el Trojan descargará 3 módulos o plugs para:
El primer archivo descargado es Trojan Hiloti (a.k.a. Trojan.Zefarch) que realizará solicitudes a un sitio gratuito de file-hosting solicitando al mismo un determindado archivo; pero dicho servidor siempre responderá a la solicitud como " File Not Found".
Continua descargando como segundo archivo a FakeAV (mi sgte nota).
Como sigue el tema! no entramos en pánico. Verificamos que nuestros paquetes de software de seguridad instalados en nuestra computadora cubran el inconveniente o instalamos, por ejemplo Symantec IPS.
Symantec IPS y la ingeniería de AV están protegidos de este tipo de malware. Ambos poseen detectores genéricos o estándares comunes para detectar el tráfico de BlackHole, exploit y Trojans e inclusive la aplicación FakeAV.
Estemos actualizados con los parches de nuestros productos y si tenemos dudas preguntemos.
Conclusión: nunca estamos libres de todos los malware pero es muy bueno estar al día e informado de lo que pasa en la red para prevenir y detectar ataques...
Este malware se ha propagado rapidísimo, para que tengan una idea: más de 100 mil reportes al día han sido detectados por symantec.
Cuando una "victima" visita un sitio que posee un "iframe malicioso" de este tipo. Lo que hace el iframe es redireccionar al usuario al servidor donde se aloca el exploit BlackHole.
Ojo, es importante indicar que muchas veces el sitio desconoce estar infectado, por lo que siempre es importante estar alertas cuando de un sitio nos direccionan automáticamente a otro o el acceso al mismo es muy lento (es decir, nunca termina de cargar o demora demasiado). También es cierto que dependerá del ancho de banda y varios otros factores, pero no está demás estar atento.
Voy a resumir el funcionamiento, ustedes pueden ver la nota completa utilizando el enlace de Symantec que aparece al principio y profundizar más de la misma fuente (en inglés).
¿Cómo funciona el BlackHole?
Usa una técnica que se confunde con otros exploits (PDF, HCP, JAVA, etc). Generalmente, la página contiene un array o matriz muy grande bajo la etiqueta "textarea". Cuando se decodifica la matriz, está hace uso de varias vulnerabilidades conocidas con el único fin de filtrarse y realizar el ataque.
La página contiene un código que lo que hace es redirrecionar al visitante para que descargue un archivo "jar" con el conjunto de rutinas maliciosas a ejecutarse en la computadora del cliente o "víctima".
Más específicamente, el archivo jar contiene un script que pasa en un string, la URL de redirección de donde se descargaran el conjunto de exploits maliciosos a propagar. Podría decir que es un enmascaramiento del proceso. Este proceso es pensado para poder llegar a ejecutarse total o parcialmente antes de ser detectado y detenido por el software de seguridad del propio cliente (si este posee uno o el que posee, lo puede detectar).
Acciones reales del BlackHole.-
La URL indicada para activar este malware, permitirá descargar el Trojan.Carberp, similar al ZeuS (posee técnicas muy ingeniosas para evadir ser detectado).
Dicho Trojan postea un identificador único al servidor C&C (command-and-control) para ser ser utilizado en cada transacción.
A continuación, el Trojan posteará todos los procesos del cliente a través del servidor.
Ahora, el Trojan descargará 3 módulos o plugs para:
- desactivar el antivirus instalado en la computadora cliente, víctima o visitante.
- verifica la existencia y operancia de otros Trojans, como ZeuS, y si los encuentra. el Trojan elimina a sus adversarios.
- se infiltra en los archivos WININET.dll y USER32.dll para conocer todas las operaciones y obtener nombres de usuario y contraseñas de todos los URL visitados por la "víctima".
El primer archivo descargado es Trojan Hiloti (a.k.a. Trojan.Zefarch) que realizará solicitudes a un sitio gratuito de file-hosting solicitando al mismo un determindado archivo; pero dicho servidor siempre responderá a la solicitud como " File Not Found".
Continua descargando como segundo archivo a FakeAV (mi sgte nota).
Symantec IPS y la ingeniería de AV están protegidos de este tipo de malware. Ambos poseen detectores genéricos o estándares comunes para detectar el tráfico de BlackHole, exploit y Trojans e inclusive la aplicación FakeAV.
Estemos actualizados con los parches de nuestros productos y si tenemos dudas preguntemos.
Conclusión: nunca estamos libres de todos los malware pero es muy bueno estar al día e informado de lo que pasa en la red para prevenir y detectar ataques...
