elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Trabajando con las ramas de git (tercera parte)


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Seguridad (Moderador: r32)
| | |-+  De copas con Qbot
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: 1 [2] 3 Ir Abajo Respuesta Imprimir
Autor Tema: De copas con Qbot  (Leído 14,234 veces)
Arcano.


Desconectado Desconectado

Mensajes: 469



Ver Perfil
Re: De copas con Qbot
« Respuesta #10 en: 2 Diciembre 2010, 10:07 am »

Muy buenas,

Justo cuando ayer me comentaba Novlucker lo de la vulnerabilidad, me encuentro hoy con un archivo en una ruta diferente a la mencionada con icono de pdf y extensión 'exe'.

La ruta es: "C:\Documents and Settings\<usuario>\Datos de programa\Ecasc\<nombre_archivo>"

Resultado de VirusTotal:http://www.virustotal.com/file-scan/report.html?id=510f26c181441df739665a5aac3a8f3f153875c7ecb9de00679262a5e9c9ff57-1291280158



El equipo tiene Adobe Reader... ¡¡¡ 7.0 !!!!

Saludos.


En línea

La curiosidad es la antesala al conocimiento...
Novlucker
Ninja y
Colaborador
***
Desconectado Desconectado

Mensajes: 10.683

Yo que tu lo pienso dos veces


Ver Perfil
Re: De copas con Qbot
« Respuesta #11 en: 2 Diciembre 2010, 11:25 am »

Buenas

Arcano, en realidad los dos links que te había dejado eran a modo de complemento, ya que en la línea 8 (2010-11-20 15:38:01) del primer link dice lo de Exploit.Win32.CVE-2010-2883.a :P

Citar
Justo cuando ayer me comentaba Novlucker lo de la vulnerabilidad, me encuentro hoy con un archivo en una ruta diferente a la mencionada con icono de pdf y extensión 'exe'.

Juju! Otro bicho ;D
http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?name=PWS%3aWin32%2fZbot.gen!Y

Saludos


« Última modificación: 2 Diciembre 2010, 11:28 am por Novlucker » En línea

Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD
"Hay dos cosas infinitas: el Universo y la estupidez  humana. Y de la primera no estoy muy seguro."
Albert Einstein
Arcano.


Desconectado Desconectado

Mensajes: 469



Ver Perfil
Re: De copas con Qbot
« Respuesta #12 en: 2 Diciembre 2010, 11:51 am »

Buenas!

Citar
en la línea 8 (2010-11-20 15:38:01) del primer link dice lo de Exploit.Win32.CVE-2010-2883.a

Perfecto, eso es lo que se me había escapado. La próxima vez que entre a la web será con las gafas limpias...  :¬¬

Citar
Juju! Otro bicho

Sí, efectivamente. Como has podido comprobar a través del primer link, esa IP es fuente 'bixos de todos los colorE'. Por lo tanto, mi teoría de que Qbot se conecta para descargarse más Malware, empieza a tener forma  :P

Mediante WireShark lo he podido comprobar. Ahora bien... Sigo sin ver que esas cositas son las que se instalan en C:\.

Por otro lado, el segundo link que comentaste, informa de un 0-day de Adobe Reader. Si no he visto mal, incontrolado hasta la versión 9.4. Pero ahora está la 9.4.1

Será cuestión de instalarla.

Saludos y gracias!!
En línea

La curiosidad es la antesala al conocimiento...
Mobiplayer

Desconectado Desconectado

Mensajes: 70


Ver Perfil
Re: De copas con Qbot
« Respuesta #13 en: 2 Diciembre 2010, 16:56 pm »

Hola,

Estoy tratando con lo mismo. En mi caso me he centrado en encontrar el método de infección (llegando a la misma conclusión que vosotros) y luego el vector. En estos momentos parece que he encontrado el "caso cero" pero estoy confirmándolo.

El asunto es que yo estoy contratado para esto, por lo que no trabajo aquí y no es mi trabajo directo limpiarlo (por eso puedo dedicarme a cosas más divertidas jeje). Estoy recopilando toda la información y redactando el informe, creo que voy a recomendar la utilización de HIPS que viene incluído en el paquete Total Endpoint Protection de McAfee. Pediré que con HIPS bloqueen las conexiones Netbios entrantes en las workstations y así eliminamos este problema y otros futuros similares.

Como curiosidades decir que nada más enchufarme a la red del cliente recibí un portscan de una máquina de la red. Hablando con el personal de IT me dicen que no hay nada similar programado (había pensado en un RSD de McAfee), pero tampoco no me cuadra este comportamiento con lo descrito por todas partes acerca de Qakbot/Qbot/PinkSlipBot. En fin, que tras mucho Wireshark y mucho análisis puedo afirmar lo que dicen los fabricantes de antivirus, que se propaga a través de los recursos compartidos de Windows. En este caso el número de máquinas no es muy exagerado, unos cientos, por lo que los DC aguantan bien la cantidad de peticiones de autenticación. También he capturado el tráfico que se genera al navegar por las webs corporativas, no sea que el "caso cero" fuera la introducción de código malicioso en estas webs (cosa que ya me encontré una vez).
Finalmente estoy revisando logs del proxy (aunque extrañamente se han perdido logs de una semana entera, la semana interesante) y logs del firewall, que es donde he localizado la primera máquina que trató de subir información a los FTP de la lista que ponéis.

Saludos
En línea

Arcano.


Desconectado Desconectado

Mensajes: 469



Ver Perfil
Re: De copas con Qbot
« Respuesta #14 en: 2 Diciembre 2010, 17:28 pm »

Hola Mobiplayer

Muy interesante lo que cuentas.

Citar
En estos momentos parece que he encontrado el "caso cero" pero estoy confirmándolo.

Tienes suerte. En mi caso, primero que no es mi trabajo -ojalá lo fuera- y segundo que la cantidad de ordenadores es muy elevada... Aunque supongo que todo sería ponerse. Me encantaría que describieras, en la medida de lo posible, cómo has llegado -o eso crees hasta falta de confirmación- hasta 'el caso cero'. Supongo que a través de 'mucho WireShark', pero... Lo dicho, toda explicación será bienvenida. Mera curiosidad.

Citar
... decir que nada más enchufarme a la red del cliente recibí un portscan de una máquina de la red

¿Y no pudiste hallar la máquina en la red? Lo digo porque hubiese sido interesabte escanearla para poder observar qué tipo de software/malware tenía instalado.

Citar
pero tampoco no me cuadra este comportamiento con lo descrito por todas partes acerca de Qakbot/Qbot/PinkSlipBot

Mmm... Si 'nuestro amigo' aprovecha netBios para propagarse, a saber si también está 'programado' para eso. Puede que la información recopilada no lo describa, pero... quién sabe. Lo dicho anteriormente, hubiera sido interesante hallar esa máquina para escanearla.

Citar
También he capturado el tráfico que se genera al navegar por las webs corporativas, no sea que el "caso cero" fuera la introducción de código malicioso en estas webs (cosa que ya me encontré una vez

En esto no había pensado... Intersante...

Citar
Estoy recopilando toda la información y redactando el informe

Cuando lo hayas terminado, ojalá lo quieras compartir con nosotros.


Muchas gracias por la información!

Saludos.







« Última modificación: 2 Diciembre 2010, 17:36 pm por Arcano. » En línea

La curiosidad es la antesala al conocimiento...
Mobiplayer

Desconectado Desconectado

Mensajes: 70


Ver Perfil
Re: De copas con Qbot
« Respuesta #15 en: 2 Diciembre 2010, 18:05 pm »

Hola Mobiplayer

Muy interesante lo que cuentas.

Tienes suerte. En mi caso, primero que no es mi trabajo -ojalá lo fuera- y segundo que la cantidad de ordenadores es muy elevada... Aunque supongo que todo sería ponerse. Me encantaría que describieras, en la medida de lo posible, cómo has llegado -o eso crees hasta falta de confirmación- hasta 'el caso cero'. Supongo que a través de 'mucho WireShark', pero... Lo dicho, toda explicación será bienvenida. Mera curiosidad.

Hola,

Pues al final de la manera más tonta: Revisando logs del cortafuegos. Filtrando por servicio (ftp), origen (red corporativa) y destino (listado de ftp's a los que se conecta el virus). He ido haciendo marcha atrás en los logs hasta que ya no había rastro de estas conexiones, por lo que la primera que aparece en el tiempo es el "caso cero".

Citar
¿Y no pudiste hallar la máquina en la red? Lo digo porque hubiese sido interesabte escanearla para poder observar qué tipo de software/malware tenía instalado.

Mmm... Si 'nuestro amigo' aprovecha netBios para propagarse, a saber si también está 'programado' para eso. Puede que la información recopilada no lo describa, pero... quién sabe. Lo dicho anteriormente, hubiera sido interesante hallar esa máquina para escanearla.

Sí, se la pasé al personal de IT y ahí quedó la cosa. Yo seguí a lo mío... No pensé que me llegara a ser muy útil la información que me pudiera dar esta máquina y, además, soy más de redes que de sistemas :P por lo que aunque pudiera proporcionarme información, no soy el más hábil en ese campo. Lo que sí hice fue lanzarle yo un portscan y reconocer los servicios que corría, por si tenía algún RAT o similar. IT me confirmó que los servicios descubiertos eran normales. No ahondé mucho más ya que, además, no aparecía ningún servicio como filtrado (señal de filtro por IP origen por ejemplo).

Citar
En esto no había pensado... Intersante...

A bote pronto no he encontrado nada ahí.

Citar
Cuando lo hayas terminado, ojalá lo quieras compartir con nosotros.


Muchas gracias por la información!

Saludos.

No creo que pueda/deba, pero sí -sin duda- echar una mano en lo que necesitéis ya que por fin he conseguido todo lo que quería: Caso cero, métodos de propagación, vector de infección. Una máquina (caso cero) se conectó una mañana a la fatídica IP 91.213.8.192, siendo infectado tras explotarse la vulnerabilidad de Adobe Reader y a los 30 segundos ya estaba intentando subir datos a uno de los FTP de la lista. La conexión a la IP estaba permitida pero para encontrarla he tenido que cambiar el filtro origen por la IP del proxy, ya que navegan por proxy. Ahora esa IP ya está denegada en el propio proxy.

La verdad es que me ha ayudado mucho la información de NovLucker (¡gracias fiera!) ya que me ha ahorrado tiempo de búsqueda entre gigaBytes de logs :)

Si puedes, haz lo siguiente: Mediante GPO (no sé si se puede) filtra el tráfico entrante a los puertos 137, 139 y 445 de las estaciones de trabajo. Así contienes la amenaza. Luego limpia con el McAfee (a mi cliente tuvieron que suministrarle un ExtraDAT al principio, mira de contactar con McAfee si tu VirusScan no limpia) y finalmente recórrete los logs del cortafuegos en busca de conexiones http a las webs que explotan la vulnerabilidad y conexiones FTP a los servidores donde se sube la información.

Si tienes cualquier pregunta y crees que te puedo ser de ayuda ya sabes, dispara :)

Voy a escribir el informe.
Saludos
En línea

Mobiplayer

Desconectado Desconectado

Mensajes: 70


Ver Perfil
Re: De copas con Qbot
« Respuesta #16 en: 2 Diciembre 2010, 18:06 pm »

Por cierto, se me olvidaba y creo que es importante: Ahora toca revisar logs del proxy para ver como leches ha llegado el usuario hasta la 91.213.8.192...

Saludos
En línea

Arcano.


Desconectado Desconectado

Mensajes: 469



Ver Perfil
Re: De copas con Qbot
« Respuesta #17 en: 2 Diciembre 2010, 18:19 pm »

Buenas Mobiplayer!

Citar
No creo que pueda/deba

Ya lo suponía... Pero por probarlo  :xD De todas formas, ya me estás diciendo suficiente. Gracias!

Citar
La verdad es que me ha ayudado mucho la información de NovLucker (¡gracias fiera!)

A mí porque me gustan las mujeres, sino ya le había 'tirao los trastos'.... O_o'

Citar
Mediante GPO (no sé si se puede) filtra el tráfico entrante a los puertos 137, 139 y 445 de las estaciones de trabajo. Así contienes la amenaza. Luego limpia con el McAfee (a mi cliente tuvieron que suministrarle un ExtraDAT al principio, mira de contactar con McAfee si tu VirusScan no limpia) y finalmente recórrete los logs del cortafuegos en busca de conexiones http a las webs que explotan la vulnerabilidad y conexiones FTP a los servidores donde se sube la información.

Todo eso es lo que me gustaría hacer...  Pero es trabajo de otros... Y... Lo dejaremos ahí.

Citar
Ahora toca revisar logs del proxy para ver como leches ha llegado el usuario hasta la 91.213.8.192..

Eso, si puedes... También será interesante saberlo.

Saludos!!!

« Última modificación: 3 Diciembre 2010, 11:58 am por Arcano. » En línea

La curiosidad es la antesala al conocimiento...
Novlucker
Ninja y
Colaborador
***
Desconectado Desconectado

Mensajes: 10.683

Yo que tu lo pienso dos veces


Ver Perfil
Re: De copas con Qbot
« Respuesta #18 en: 3 Diciembre 2010, 12:48 pm »

Por cierto, se me olvidaba y creo que es importante: Ahora toca revisar logs del proxy para ver como leches ha llegado el usuario hasta la 91.213.8.192
Suerte con eso, la gente se aburre, se mete a feisbuk y esas cosas :xD

Fijense en el reporte de la IP que puse más arriba, se ha agregado alguna detección más. Por lo visto el dominio interesante ahora es este ...
http://safebrowsing.clients.google.com/safebrowsing/diagnostic?site=nt17.in
http://www.urlvoid.com/?domain=nt17.in&check=Scan+Now

En el último link creo que lo más interesante lo muestra AMaDa, pero igual los dueños del servidor han tomado alguna precaución y han desactivado el listado de archivos, que nunca lo hacen :xD

¡Ya tá! Creo que no hay más nada pa' sacarle a esto, lo mejor creo que va a ser que Arcano pida traspaso para el departamento de seguridad :xD

Saludos
En línea

Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD
"Hay dos cosas infinitas: el Universo y la estupidez  humana. Y de la primera no estoy muy seguro."
Albert Einstein
Arcano.


Desconectado Desconectado

Mensajes: 469



Ver Perfil
Re: De copas con Qbot
« Respuesta #19 en: 3 Diciembre 2010, 13:00 pm »

Voy a revisar lo que dices... Casi nunca posteas cosas interesantes, pero puede que ésta sea la excepción...  :xD

Citar
... traspaso para el departamento de seguridad

Te paso por MP el teléfono de mi jefa...  ;D

Saludos!!!
En línea

La curiosidad es la antesala al conocimiento...
Páginas: 1 [2] 3 Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Una discoteca de Alicante regala copas por cada suspenso
Noticias
wolfbcn 0 1,647 Último mensaje 21 Junio 2013, 02:06 am
por wolfbcn
Discotecas de Mallorca ofrecen copas gratis a cambio de felaciones « 1 2 3 »
Foro Libre
Scaramanga 20 8,215 Último mensaje 20 Julio 2014, 01:30 am
por ccrunch
Qbot: ¿Mas informacion, ejemplos?
Análisis y Diseño de Malware
AlbertoBSD 0 2,658 Último mensaje 14 Abril 2016, 14:42 pm
por AlbertoBSD
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines