|
Título: De copas con Qbot Publicado por: Arcano. en 1 Diciembre 2010, 04:17 am Muy buenas!
No hace mucho postee sobre este mismo tema. Poco tiempo después solicité a un Administrador que borrara el post. Los motivos no importan. Ahora, por otros motivos, que tampoco importan, vuelvo a comentarlo. A ver si alguien me aclara ciertas ideas. Va a ser un poquito largo... A los interesados, id ocupando vuestras localidades, la función empieza ya.... Antes de nada, GRACIAS a Novlucker por indicarme en el anterior post -borrado- datos que han resultado de vital importancia para seguir investigando. Sin su ayuda, no me hubiera dado cuenta ni de la mitad de las cuestiones que expondré a continuación. Os pongo en situación:
Sí, lo sé. Ese antivirus a mí tampoco me convence. Pero... Es lo que hay. Para empezar, a los interesados, os cuelgo las muestras 'del amigo': http://www.mediafire.com/?r1rep0l2u6j54d2 (contraseña virus) Conforme lo observado. El gusano -asqueroso, baboso y arrastrao- se comporta de la siguiente manera: Citar - Actúa como Keylogger guardando contraseñas y demás cuestiones que realice el correspondiente usuario. Aquí (http://www.pandasecurity.com/spain/enterprise/security-info/218018/information/Qbot.AO) encontraréis más datos. Lo único que la ruta de ejecución es diferente. - Se acopla/inyecta a los procesos "explorer" e "iexplore". - Impide la ejecución de las extensiones 'exe'. Indicando errores con cada aplicación que queramos iniciar. Por ejemplo el antivirus: "La aplicación o DLL <nombre aplicación>. <ruta del gusanos/nombre del gusanos> no es una imagen válida de Windows.") - Crea la carpeta que veréis en el link en la ruta: "C:\Documents and Settings\All Users". - En cuanto se ejecuta -archivo de nombre aleatorio que llamaremos 'gusano'-. Realiza conexiones a varios ftp y/o páginas web. - Crea un fichero dbg.txt en 'la raíz' mostrando cómo se va comportando. Vamos, que 'el creador del amigo', parece que se ríe en nuestra cara, diciéndonos todo lo que está haciendo y cómo lo está haciendo. - Crea una clave en HKLM\Software\Microsoft\Windows\CurrentVersion\Run con nombre 'gusano' para asegurarse la ejecución en el inicio de Windows. - Crea una tarea para lanzarse cada 'x' tiempo de 'gusano'. - Va creando varios archivos en la raíz. Sin atributos de oculto ni sistema. Se presupone que estos archivos son muestras de nuevos virus/troyano, puestos que son detectados por McAfee con otro nombre (Generic.dx!uwy). Además, se ha comprobado que, en ordenadores infectados durante varios días, tienen MalwareVariado. Incluso muestras de Conficker.C - Crea copia de sí mismo en C:\Windows\temp. de 'gusano'. - Crea carpeta de nombre 'gusano' en "c:\Documents and Settings\LocalService". - Se propaga por la LAN mediante NetBios. Puertos 139 y 445. Eso es lo que he podido ver. Ahora bien, después de eliminar todo lo comentado, en el siguente reinicio, al poco tiempo, vuelve a infectar la máquina. Lo cual, me plantea la siguiente cuestión. El ordenador se vuelve a infectar porque (1) No se elimina por completo Ó (2) Porque, al utilizar los puertos 139 y 445, abiertos por defecto en Windows para las conexiones de unidades compartidas e impresoras, mientras haya otros equipos infectados, podrá seguir accediendo (y reinfectando) a los ordenadores que han sido limpiados. Al parecer, utiliza el mismo método que en su momento Conficker. Vulnerabilidad que, en principio, fue solucionada por Microsoft con el correspondiente parche. O quizá no se trate de ninguna vulnerabildad. Quizá, sencillamente, como se ha comentado utiliza esos puertos que, por defecto, están abiertos y, en un dominio, con tantos ordenadores es inviable cerrarlos. CONEXIONES Vistas mediante el mencionado fichero dbg.txt que crea en la raíz. FTPs a los que se conecta para subir los datos almacenados de los usuarios. Citar [ftphost_1] _var_value=[72.29.90.67] [ftphost_2] _var_value=[ftp.flwest.com] [ftphost_3] _var_value=[ftp.maybournehotelprojects.co.uk] [ftphost_4] _var_value=[66.219.30.219] [ftphost_5] _var_value=[72.29.92.27] [ftphost_6] _var_value=[174.122.112.234] [ftphost_7] _var_value=[74.55.65.186] Conexiones que realiza al ejecutarse. Supongo que, tal y como se ha dicho anteriormente, para descargarse muestras de más malware. Comprobadas mediante TcpView: Citar p35.ich-9.com (174.122.112.234) (Estados Unidos) pass51.dizinc.com (72.29.92.27) (Estados Unidos) p35.ich-9.com (174.122.112.234) (Estados Unidos) john316.hostkansas.com (74.55.65.186) (Estados Unidos) 212.117.174.170.server.lu (Luxemburgo). 91.213.8.192 (Ucrania). Deploy.akamaitechnologies.com cv4.compuvisionenlinea.com 6.1c.78ae.static.theplanet.com CUESTIONES VISTAS EN ARCHIVO dbg.txt Ruta donde se instala. Inyectándose en el proceso "iexplore" Citar qbot: DllMain(): c:\documents and settings\all users\xeay\xeay.dll is loaded by proccess [c:\archivos de programa\internet explorer\iexplore.exe]) A ver si alguien lo interpreta... Citar qbot: load_conf() started qbot: load_conf() do lock conf file qbot: CreateMutex("xea.dll_gl") success hMutex=0000060C! qbot: load_conf() do sxor2_open() qbot: sxor2_open(): crypt_buf_len=1138 rlen: 1138 qbot: sxor2_decrypt_full(): format is good ver=2 qbot: sxor2_decrypt_full(): ver=2 do sxor_decrypt() qbot: ===>>> load_conf(): sxor2_parse_strings() done: ctx->str_i=26 qbot: expand_vars() ok: 10 -> 10 bytes qbot: SessSpyPostThreadProc() started qbot: ===>>> Created thread id=85c [sesspostthread] qbot: SessSpyPipeReadMessage(): Waiting for connections pipe_name=[\\.\pipe\xeay]... qbot: force_exec_pid(): Remote thread finished ok. pid=0 qbot: force_exec_pid(""c:\documents and settings\all users\xeay\xeaypv.exe" "c:\documents and settings\all users\xeay\xeaygi.dll"") success: pid=3624 qbot: force_exec_pid() returned 0 qbot: ===>>> Created thread id=970 [swatcher] qbot: ===>>> Created thread id=c84 [flasher] qbot: DllMain(): DLL_THREAD_ATTACH qbot: DllMain(): DLL_THREAD_ATTACH qbot: ===>>> &call_stack_marker=03F7FF94 qbot: ===>>> cValues=8 qbot: ===>>> set_var(): var_name=[irc_pass] _var_value=[Zdnimast212424252627] var_value=[Zdnimast212424252627] Renombrando a nuestro amigo... Citar qbot: ===>>> set_var(): var_name=[alias__qbotinj.exe] _var_value=[xeay.exe] var_value=[xeay.exe] qbot: ===>>> set_var(): var_name=[alias__qbot.dll] _var_value=[xeay.dll] var_value=[xeay.dll] qbot: ===>>> set_var(): var_name=[alias__qbotnti.exe] _var_value=[xeaypv.exe] var_value=[xeaypv.exe] qbot: ===>>> set_var(): var_name=[alias_seclog.txt] _var_value=[xe.dll] var_value=[xe.dll] qbot: ===>>> set_var(): var_name=[alias_si.txt] _var_value=[vbywvu5] var_value=[vbywvu5] qbot: ===>>> set_var(): var_name=[alias_ps_dump] _var_value=[pufi] var_value=[pufi] qbot: ===>>> set_var(): var_name=[alias_qa.bin] _var_value=[nbyh9q] var_value=[nbyh9q] Felicidades a los que hayan llegado hasta aquí... LA DUDA como comentaba al principio, es... ¿Cómo erradicarlo?
Si el Sr. Qbot no puede conectar con los ftp's para trasmitir los datos almacenados, pierde funcionalidad y se asegura la confidencialidad de los usuarios. Por otro lado, si tampoco puede conectarse a páginas desde las cuales, deduzco, se descarga más malware, tampoco podrá infectar más, si cabe, los ordenadores. Mientras... A ver si el Mr. McAfee se digna a borrarlo por completo... Se aceptan sugerencias... Por último, un dato curioso: Fecha 26 Abril 2010 Citar Symantec aseguraba en su blog: “Un aspecto poco usual de Qakbot es que, aunque su propósito es robar información asociada a los usuarios finales, también tiene éxito a la hora de comprometer los ordenadores en entornos corporativos y departamentos gubernamentales”. Y es que Qakbot ya ha comprometido más de 1.100 ordenadores en todo el mundo, concretamente hay unos 100 ordenadores comprometidos en una red gubernamental regional de Brasil, y también ha llegado a infectar la red de la organización nacional de salud de Reino Unido. Los datos incluyen información de tarjetas de crédito, credenciales de redes sociales y correos web e historiales de búsquedas en Internet. Por último... Encontrado en el fichero dbg.txt: Citar qbot: ===>>> set_var(): var_name=[cleanup] _var_value=["c:\documents and settings\all users\xeay\xeaypv.exe" xeaygi.dll remove] var_value=["c:\documents and settings\all users\xeay\xeaypv.exe" xeaygi.dll remove] Según eso, el gusano se 'autoeliminaría'/limpiaría mediante ese comando, pero... Conforme las pruebas realizadas... Na de na. Se aceptan opiniones. Mientras, voy a tomarme unas copitas con 'el amigo'. A ver si le emborracho, lo amordazo y lo empaqueto en cualquier cohete hacia la luna... :¬¬ Saludos. Título: Re: De copas con Qbot Publicado por: APOKLIPTICO en 1 Diciembre 2010, 14:26 pm Bueno, me enfoco en los métodos de propagación:
Si se supone que hay anti virus en las pcs, cuando se copie y se ejecute por netbios, el mcafee lo va a detectar. O no? El mcafee lo detecta en su totalidad? Título: Re: De copas con Qbot Publicado por: confused en 1 Diciembre 2010, 15:02 pm Dejando el antivirus de lado, que veo que no hace bien su trabajo..
A ver, de 100 pcs conectadas en red, no es un numero muy grande a tratar. Por lo que pienso que de 100, cuantas estaran infectadas?, con un wireshark a la escucha, en tu maquina, podrias ver desde que puntos se intenta explotar la falla en la tuya. No digo que no sea un trabajo 'molesto' pero tampoco aburrido.. es divertido, vas juntando las maquinas que intentan infectarte, las bajas de dominio, las desconectas de la red, eliminas el virus de la pc, y realizas una actualizacion de parches de windows correctamente. Con eso creo que deberia bastar, tampoco es un virus demasiado complicado. Es cuestion de aplicar parches de seguridad correctamente en el windows. Título: Re: De copas con Qbot Publicado por: Arcano. en 1 Diciembre 2010, 15:28 pm Buenas!
APOKLIPTICO... Citar Si se supone que hay anti virus en las pcs, cuando se copie y se ejecute por netbios, el mcafee lo va a detectar. Ahí está uno de los principales problemas. El McAfee, la gran mayoría, ni los huele... :¬¬ confused ... Citar A ver, de 100 pcs conectadas en red, no es un numero muy grande a tratar He puesto 100 por poner un número... Como podía haber puesto 300, 400, 500, 600... Así, a ojo... 200 arriba, 200 abajo... :silbar: Citar cuantas estaran infectadas? TODAS. Incluido equipos con W7 con los parches actualizados. Incluidos Wxp con SP3 actualizados a tope... Citar con un wireshark a la escucha... Con WireShark quería probar, pero para instalarlo en un ordenador y verificar si el ejecutable de "allusers", como creo, se conecta a las IPs indicadas para almacenar más malware y propagarse en mayor medida. Lo tengo pendiente... Citar No digo que no sea un trabajo 'molesto' pero tampoco aburrido.. (...) as juntando las maquinas que intentan infectarte, las bajas de dominio, las desconectas de la red, eliminas el virus de la pc, y realizas una actualizacion de parches de windows correctamente.(...) Es cuestion de aplicar parches de seguridad correctamente en el windows. Digamos que algunos orenadores de la LAN no están al alcance. Sólo se pueden llegar a ellos mediante conexión remota. Por lo tanto, la opción de quitarlas del dominio, desconectarlas... Lo dicho anteriormente, no es posible. Citar ...tampoco es un virus demasiado complicado No, como virus/troyano/gusano no es demasiado complicado. Si entra en una ordenador personal, es fácil de eliminarlo. Ya he comentado cómo. El problema es cuando infecta una LAN entera. Por ejemplo, como en el texto que he puesto de Symantec. El problema principal reside en lo anteriormente descrito: McAfee no lo detecta. Ya que, aunque acceda por NetBios, en cuanto entra al ordenador y se intenta propagar, debería eliminarlo... Pero NO lo hace. La cuestión quizá sería lo siguiente: Habilitar el Firewall de Windows en los equipos para evitar las conexiones por NetBios (\\<IP>\c$). Aunque tengo mis dudas si evitaría las conexiones mediante los puertos 139 y 445... :huh: Una vez controlada la infección, entonces sí, desinfectar los equipos a mano o realizar un escaneo completo de McAfee en aquellos que no son accesibles. Que, con escáner completo, sí suele detectarlo... Evitando: (1) Que conecte con las IPs indicadas. (2) Las conexiones a los FTP para transmitir los datos. (3) Que se propague entre los equipos que se quedan limpios... Debería valer... Se agradecen las aportaciones!! Sólo os comento que el tema es complicado, principalmente, porque los ordenadores están en dominio/Lan y no es viable realizar algunas cosas: Como quitarlos de red. Saludos!! Título: Re: De copas con Qbot Publicado por: APOKLIPTICO en 1 Diciembre 2010, 16:22 pm Pero, no hay ninguna chance de poner otro anti virus? Ni siquiera uno portable como clam-win?
Título: Re: De copas con Qbot Publicado por: Arcano. en 1 Diciembre 2010, 16:26 pm APOKLIPTICO
Por políticas de empresa... McAfee es el antivirus contratado. No hay lugar a cambio. Desde McAfee, supuestamente, están estudiando las muestras enviadas que su aplicación 'no ve'... Saludos! PD: Según las muestras subidas a virustotal, hay varias que McAfee no detecta. Título: Re: De copas con Qbot Publicado por: Novlucker en 1 Diciembre 2010, 17:38 pm Citar - Crea una tarea para lanzarse cada 'x' tiempo de 'gusano'. Que apunta a un archivo javascript que hace uso de Microsoft.XMLHTTP, ADODB.Stream, MSXML2.ServerXMLHTTP y WScript.Shell para descargar y ejecutar actualizaciones Apunta dominios para bloquear ;)
Por cierto, odio los javascript cifrados :¬¬ , lo bueno, que al ser javascript tarde o temprano terminas por encontrar las funciones que descifran las partes que no entiendes :D Lo gracioso es que este javascript lo detectan 5/43 antivirus, y el que más acierta es el de Microsoft :http://www.virustotal.com/file-scan/report.html?id=344b8e7c8d1ea36cfb48b0acb71488bf80f7ac1c06d16600fa689a8c769cf01e-1291220547 Saludos Título: Re: De copas con Qbot Publicado por: Arcano. en 1 Diciembre 2010, 18:04 pm Me encanta! :P
Oído cocina!! Por otro lado, he comprobao que todos los dominios apuntan a la 91.213.8.192 De las primeras IP que conecta al ejecutarse... Ubicada en Ucrania. Mmmm... Interesante... Saludos y Gracias!!! Título: Re: De copas con Qbot Publicado por: Novlucker en 1 Diciembre 2010, 18:44 pm Por cierto ...
http://support.clean-mx.de/clean-mx/viruses.php?ip=91.213.8.192 Y por lo que he encontrado ese servidor es fuente de vaaaaarios bichitos :silbar: Vulnerabilidad ... http://secunia.com/advisories/41340 Saludos Título: Re: De copas con Qbot Publicado por: Arcano. en 1 Diciembre 2010, 18:55 pm Lástima que cierto país donde tú resides queda algo lejos de cierto país por donde yo deambulo. De lo contrario, te invitaba a unas copichuelas. Eso sí, espero que no te importe que venga mi amigo Qbot. Últimamente me acompaña a todas partes... :¬¬
Anda, Nov! Explícate. Muy bonitos los dos links que muestras. La verdad es que es bastante interesante. Pero podrías explicarte por el bien común de la comunidad... :silbar: He echado un vistazo: OK! IP que apunta a múltiples malware. ¿Algo más que añadir?¿? En cuanto a http://secunia.com/advisories/41340. Dos cosas: (1) Cómo has llegado hasta esa conclusión. De acuerdo, una vulnerabilidad de Adobe. Pero cómo has llegado 'hasta ahí' (2) ¿Me estás diciendo que MIQbot se propaga a causa de este 0-day? Anda, lo mismo que antes. Explícate. Cuando puedas, sin prisas. Sin presiones, que por mucho que quiera, no puedo irte a buscar... ;D Saludos!!! Título: Re: De copas con Qbot Publicado por: Arcano. en 2 Diciembre 2010, 10:07 am Muy buenas,
Justo cuando ayer me comentaba Novlucker lo de la vulnerabilidad, me encuentro hoy con un archivo en una ruta diferente a la mencionada con icono de pdf y extensión 'exe'. La ruta es: "C:\Documents and Settings\<usuario>\Datos de programa\Ecasc\<nombre_archivo>" Resultado de VirusTotal:http://www.virustotal.com/file-scan/report.html?id=510f26c181441df739665a5aac3a8f3f153875c7ecb9de00679262a5e9c9ff57-1291280158 El equipo tiene Adobe Reader... ¡¡¡ 7.0 !!!! Saludos. Título: Re: De copas con Qbot Publicado por: Novlucker en 2 Diciembre 2010, 11:25 am Buenas
Arcano, en realidad los dos links que te había dejado eran a modo de complemento, ya que en la línea 8 (2010-11-20 15:38:01) del primer link dice lo de Exploit.Win32.CVE-2010-2883.a :P Citar Justo cuando ayer me comentaba Novlucker lo de la vulnerabilidad, me encuentro hoy con un archivo en una ruta diferente a la mencionada con icono de pdf y extensión 'exe'. Juju! Otro bicho ;D http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?name=PWS%3aWin32%2fZbot.gen!Y Saludos Título: Re: De copas con Qbot Publicado por: Arcano. en 2 Diciembre 2010, 11:51 am Buenas!
Citar en la línea 8 (2010-11-20 15:38:01) del primer link dice lo de Exploit.Win32.CVE-2010-2883.a Perfecto, eso es lo que se me había escapado. La próxima vez que entre a la web será con las gafas limpias... :¬¬ Citar Juju! Otro bicho Sí, efectivamente. Como has podido comprobar a través del primer link, esa IP es fuente 'bixos de todos los colorE'. Por lo tanto, mi teoría de que Qbot se conecta para descargarse más Malware, empieza a tener forma :P Mediante WireShark lo he podido comprobar. Ahora bien... Sigo sin ver que esas cositas son las que se instalan en C:\. Por otro lado, el segundo link que comentaste, informa de un 0-day de Adobe Reader. Si no he visto mal, incontrolado hasta la versión 9.4. Pero ahora está la 9.4.1 Será cuestión de instalarla. Saludos y gracias!! Título: Re: De copas con Qbot Publicado por: Mobiplayer en 2 Diciembre 2010, 16:56 pm Hola,
Estoy tratando con lo mismo. En mi caso me he centrado en encontrar el método de infección (llegando a la misma conclusión que vosotros) y luego el vector. En estos momentos parece que he encontrado el "caso cero" pero estoy confirmándolo. El asunto es que yo estoy contratado para esto, por lo que no trabajo aquí y no es mi trabajo directo limpiarlo (por eso puedo dedicarme a cosas más divertidas jeje). Estoy recopilando toda la información y redactando el informe, creo que voy a recomendar la utilización de HIPS que viene incluído en el paquete Total Endpoint Protection de McAfee. Pediré que con HIPS bloqueen las conexiones Netbios entrantes en las workstations y así eliminamos este problema y otros futuros similares. Como curiosidades decir que nada más enchufarme a la red del cliente recibí un portscan de una máquina de la red. Hablando con el personal de IT me dicen que no hay nada similar programado (había pensado en un RSD de McAfee), pero tampoco no me cuadra este comportamiento con lo descrito por todas partes acerca de Qakbot/Qbot/PinkSlipBot. En fin, que tras mucho Wireshark y mucho análisis puedo afirmar lo que dicen los fabricantes de antivirus, que se propaga a través de los recursos compartidos de Windows. En este caso el número de máquinas no es muy exagerado, unos cientos, por lo que los DC aguantan bien la cantidad de peticiones de autenticación. También he capturado el tráfico que se genera al navegar por las webs corporativas, no sea que el "caso cero" fuera la introducción de código malicioso en estas webs (cosa que ya me encontré una vez). Finalmente estoy revisando logs del proxy (aunque extrañamente se han perdido logs de una semana entera, la semana interesante) y logs del firewall, que es donde he localizado la primera máquina que trató de subir información a los FTP de la lista que ponéis. Saludos Título: Re: De copas con Qbot Publicado por: Arcano. en 2 Diciembre 2010, 17:28 pm Hola Mobiplayer
Muy interesante lo que cuentas. Citar En estos momentos parece que he encontrado el "caso cero" pero estoy confirmándolo. Tienes suerte. En mi caso, primero que no es mi trabajo -ojalá lo fuera- y segundo que la cantidad de ordenadores es muy elevada... Aunque supongo que todo sería ponerse. Me encantaría que describieras, en la medida de lo posible, cómo has llegado -o eso crees hasta falta de confirmación- hasta 'el caso cero'. Supongo que a través de 'mucho WireShark', pero... Lo dicho, toda explicación será bienvenida. Mera curiosidad. Citar ... decir que nada más enchufarme a la red del cliente recibí un portscan de una máquina de la red ¿Y no pudiste hallar la máquina en la red? Lo digo porque hubiese sido interesabte escanearla para poder observar qué tipo de software/malware tenía instalado. Citar pero tampoco no me cuadra este comportamiento con lo descrito por todas partes acerca de Qakbot/Qbot/PinkSlipBot Mmm... Si 'nuestro amigo' aprovecha netBios para propagarse, a saber si también está 'programado' para eso. Puede que la información recopilada no lo describa, pero... quién sabe. Lo dicho anteriormente, hubiera sido interesante hallar esa máquina para escanearla. Citar También he capturado el tráfico que se genera al navegar por las webs corporativas, no sea que el "caso cero" fuera la introducción de código malicioso en estas webs (cosa que ya me encontré una vez En esto no había pensado... Intersante... Citar Estoy recopilando toda la información y redactando el informe Cuando lo hayas terminado, ojalá lo quieras compartir con nosotros. Muchas gracias por la información! Saludos. Título: Re: De copas con Qbot Publicado por: Mobiplayer en 2 Diciembre 2010, 18:05 pm Hola Mobiplayer Muy interesante lo que cuentas. Tienes suerte. En mi caso, primero que no es mi trabajo -ojalá lo fuera- y segundo que la cantidad de ordenadores es muy elevada... Aunque supongo que todo sería ponerse. Me encantaría que describieras, en la medida de lo posible, cómo has llegado -o eso crees hasta falta de confirmación- hasta 'el caso cero'. Supongo que a través de 'mucho WireShark', pero... Lo dicho, toda explicación será bienvenida. Mera curiosidad. Hola, Pues al final de la manera más tonta: Revisando logs del cortafuegos. Filtrando por servicio (ftp), origen (red corporativa) y destino (listado de ftp's a los que se conecta el virus). He ido haciendo marcha atrás en los logs hasta que ya no había rastro de estas conexiones, por lo que la primera que aparece en el tiempo es el "caso cero". Citar ¿Y no pudiste hallar la máquina en la red? Lo digo porque hubiese sido interesabte escanearla para poder observar qué tipo de software/malware tenía instalado. Mmm... Si 'nuestro amigo' aprovecha netBios para propagarse, a saber si también está 'programado' para eso. Puede que la información recopilada no lo describa, pero... quién sabe. Lo dicho anteriormente, hubiera sido interesante hallar esa máquina para escanearla. Sí, se la pasé al personal de IT y ahí quedó la cosa. Yo seguí a lo mío... No pensé que me llegara a ser muy útil la información que me pudiera dar esta máquina y, además, soy más de redes que de sistemas :P por lo que aunque pudiera proporcionarme información, no soy el más hábil en ese campo. Lo que sí hice fue lanzarle yo un portscan y reconocer los servicios que corría, por si tenía algún RAT o similar. IT me confirmó que los servicios descubiertos eran normales. No ahondé mucho más ya que, además, no aparecía ningún servicio como filtrado (señal de filtro por IP origen por ejemplo). Citar En esto no había pensado... Intersante... A bote pronto no he encontrado nada ahí. Citar Cuando lo hayas terminado, ojalá lo quieras compartir con nosotros. Muchas gracias por la información! Saludos. No creo que pueda/deba, pero sí -sin duda- echar una mano en lo que necesitéis ya que por fin he conseguido todo lo que quería: Caso cero, métodos de propagación, vector de infección. Una máquina (caso cero) se conectó una mañana a la fatídica IP 91.213.8.192, siendo infectado tras explotarse la vulnerabilidad de Adobe Reader y a los 30 segundos ya estaba intentando subir datos a uno de los FTP de la lista. La conexión a la IP estaba permitida pero para encontrarla he tenido que cambiar el filtro origen por la IP del proxy, ya que navegan por proxy. Ahora esa IP ya está denegada en el propio proxy. La verdad es que me ha ayudado mucho la información de NovLucker (¡gracias fiera!) ya que me ha ahorrado tiempo de búsqueda entre gigaBytes de logs :) Si puedes, haz lo siguiente: Mediante GPO (no sé si se puede) filtra el tráfico entrante a los puertos 137, 139 y 445 de las estaciones de trabajo. Así contienes la amenaza. Luego limpia con el McAfee (a mi cliente tuvieron que suministrarle un ExtraDAT al principio, mira de contactar con McAfee si tu VirusScan no limpia) y finalmente recórrete los logs del cortafuegos en busca de conexiones http a las webs que explotan la vulnerabilidad y conexiones FTP a los servidores donde se sube la información. Si tienes cualquier pregunta y crees que te puedo ser de ayuda ya sabes, dispara :) Voy a escribir el informe. Saludos Título: Re: De copas con Qbot Publicado por: Mobiplayer en 2 Diciembre 2010, 18:06 pm Por cierto, se me olvidaba y creo que es importante: Ahora toca revisar logs del proxy para ver como leches ha llegado el usuario hasta la 91.213.8.192...
Saludos Título: Re: De copas con Qbot Publicado por: Arcano. en 2 Diciembre 2010, 18:19 pm Buenas Mobiplayer!
Citar No creo que pueda/deba Ya lo suponía... Pero por probarlo :xD De todas formas, ya me estás diciendo suficiente. Gracias! Citar La verdad es que me ha ayudado mucho la información de NovLucker (¡gracias fiera!) A mí porque me gustan las mujeres, sino ya le había 'tirao los trastos'.... O_o' Citar Mediante GPO (no sé si se puede) filtra el tráfico entrante a los puertos 137, 139 y 445 de las estaciones de trabajo. Así contienes la amenaza. Luego limpia con el McAfee (a mi cliente tuvieron que suministrarle un ExtraDAT al principio, mira de contactar con McAfee si tu VirusScan no limpia) y finalmente recórrete los logs del cortafuegos en busca de conexiones http a las webs que explotan la vulnerabilidad y conexiones FTP a los servidores donde se sube la información. Todo eso es lo que me gustaría hacer... Pero es trabajo de otros... Y... Lo dejaremos ahí. Citar Ahora toca revisar logs del proxy para ver como leches ha llegado el usuario hasta la 91.213.8.192.. Eso, si puedes... También será interesante saberlo. Saludos!!! Título: Re: De copas con Qbot Publicado por: Novlucker en 3 Diciembre 2010, 12:48 pm Por cierto, se me olvidaba y creo que es importante: Ahora toca revisar logs del proxy para ver como leches ha llegado el usuario hasta la 91.213.8.192 Suerte con eso, la gente se aburre, se mete a feisbuk y esas cosas :xDFijense en el reporte de la IP que puse más arriba, se ha agregado alguna detección más. Por lo visto el dominio interesante ahora es este ... http://safebrowsing.clients.google.com/safebrowsing/diagnostic?site=nt17.in http://www.urlvoid.com/?domain=nt17.in&check=Scan+Now En el último link creo que lo más interesante lo muestra AMaDa, pero igual los dueños del servidor han tomado alguna precaución y han desactivado el listado de archivos, que nunca lo hacen :xD ¡Ya tá! Creo que no hay más nada pa' sacarle a esto, lo mejor creo que va a ser que Arcano pida traspaso para el departamento de seguridad :xD Saludos Título: Re: De copas con Qbot Publicado por: Arcano. en 3 Diciembre 2010, 13:00 pm Voy a revisar lo que dices... Casi nunca posteas cosas interesantes, pero puede que ésta sea la excepción... :xD
Citar ... traspaso para el departamento de seguridad Te paso por MP el teléfono de mi jefa... ;D Saludos!!! Título: Re: De copas con Qbot Publicado por: Mobiplayer en 14 Diciembre 2010, 00:36 am Hola,
Me gustaría añadir un par de cositas más: Finalmente he visto que el usuario se infectó a través de una web en principio legítima. Los atacantes infectaron una tienda online que corría OsCommerce (por lo visto se encontró un bug y estaba siendo explotado on the wild), redirigiendo peticiones hacia http://nt06.in desde la misma. Una vez en la web maliciosa se explotaba una vulnerabilidad en Adobe Reader (versiones hasta 9.4, no vulnerables 9.4.1 y X) que era la que finalmente subía el troyano al usuario. De ahí corrió como una mancha de aceite por toda la red, clonándose en recursos compartidos. He informado al webmaster de la tienda online, pero de todas maneras creo que ya está limpia. Saludos y espero que os sirva de ayuda. Título: Re: De copas con Qbot Publicado por: Arcano. en 14 Diciembre 2010, 01:39 am Buenas Mobiplayer
Citar web maliciosa se explotaba una vulnerabilidad en Adobe Reader (versiones hasta 9.4, no vulnerables 9.4.1 y X) Es lo que comentó Novlucker anteriomente: Citar Vulnerabilidad ... http://secunia.com/advisories/41340 Pero se agradece que lo hayas corroborado!! Por mi parte, aun y estando realmente mosqueado, existen cuestiones que no puedo comentar, pero... Todo empieza a volver a la normalidad. Aunque, por falta de medios, de conocimientos, de curiosidad. De no poder mirar o tener las herramientas necesarias en el 'soporte que le tocaba', el gusano ha hecho muuucho daño. Saludos!! Título: Re: De copas con Qbot Publicado por: Mobiplayer en 16 Diciembre 2010, 03:28 am Lo que explico, lo explico como resumen y no como novedad. De hecho gracias a Novlucker me he ahorrado tiempo de investigación, por lo que si por mi fuera le daba una medalla ;D
Un saludo y gracias! Título: Re: De copas con Qbot Publicado por: Arcano. en 16 Diciembre 2010, 09:17 am Citar Insertar Cita Lo que explico, lo explico como resumen y no como novedad Se agradece de todas formas!! :) Citar De hecho gracias a Novlucker me he ahorrado tiempo de investigación, por lo que si por mi fuera le daba una medalla Como se suele decir en cierta tierra cuyo nombre no viene al caso: "Es más listo que los ratones coloraos!!" Saludos!! Título: Re: De copas con Qbot Publicado por: Arcano. en 23 Marzo 2011, 00:39 am Buenas,
Sé de sobras las normas del foro y jamás -hasta hoy- he revivido un post después de tanto tiempo. Lo hago, sencillamente, porque creo que la información es bastante interesante. Sirve como complemento a lo que ya se dijo anteriormente. Dando más datos sobre "el amigo" que, quizá, le pueda ser de utilidad a quien se tope con él. Os copio el link -de McAfee-. https://kc.mcafee.com/resources/sites/MCAFEE/content/live/PRODUCT_DOCUMENTATION/22000/PD22960/en_US/McAfee-Labs-ThreatAdvisory-Pinkslipbot.pdf (Está en Inglés). Saludos. Título: Re: De copas con Qbot Publicado por: Novlucker en 23 Marzo 2011, 12:38 pm No problem :P, y la info es del 03/03/2011, seguro esta molestando en más de una empresa ;D
Saludos Título: Re: De copas con Qbot Publicado por: Arcano. en 23 Marzo 2011, 12:57 pm Citar ...seguro esta molestando en más de una empresa Si yo te contara... :silbar: Saludos! |