sábado, 25 de octubre de 2008

Notas sobre problema en el TCP

La noticia ya es sabida, la anoto para recordar en el futuro... Después de haberse encontrado problemas con el DNS y con el protocolo BGP, y haberse puesto de moda el pre-aviso de vulnerabilidades con objeto de obtener algo de publicidad gratis mientras el descubridor da tiempo a los fabricantes a poner las medidas adecuadas en sus productos, ahora podríamos tener problemas con el mismo funcionamiento de TCP.

En este caso, fue una empresa llamada Outpost24 la que ha anunciado vulnerabilidades que implican la manipulación de la tabla de estados TCP (que registra en qué estado se encuentra una conexión TCP). De momento, no se han dado detalles acerca de cuál es el problema, parece tener que ver son las llamadas SYN cookies, un mecanismo que evita tener que mantener un registro del estado de una conexión, hasta que se termina el proceso de establecer la misma (el llamado TCP three-way handshake). Este mecanismo se utiliza para defenderse de los ataques SYN flood (es decir, evita que si un malote se dedica a lanzar únicamente paquetes de inicio de la conexión TCP, se desborde la tabla de estados TCP).

Se sabe que hay una herramienta llamada "socktress" que explotaría las posibilidades del problema, si bien no está disponible para descarga. Supuestamente, iban a darse más datos en las conferencias T2 de Helsinky, pero realmente no se ha ampliado información.

No creo que esto sea ninguna falsa alarma, porque las personas que han descubierto el asunto son auténticos TCP-ninjas, crearon por ejemplo el escáner Unicornscan. Espero a leer qué nos cuentan ;)

Algunos enlaces:
blog de uno de los autores
Algo de Fyodor
Entrada en Securityfocus
Algo de Hispasec

Si te gustó esta entrada, quizás quieras suscribirte al blog por email o por RSS...
Publicado por en 4 comentarios:
Etiquetas: , ,

domingo, 19 de octubre de 2008

Estudio sobre botnets fast-flux

En este post hablamos de un estudio sobre redes de botnets que usan técnicas de fast-flux (tamaño, para qué se usan, características para detectarlas, etc) realizado mediante técnicas de data mining sobre resoluciones DNS.

El fast-flux es una técnica que consiste en cambiar periódicamente la resolución DNS de aquellas máquinas que participan en una botnet. Se pretende ocultar cuál es el servidor que aloja un sitio web parte de un phishing, o que sirve malware, colocando una red de máquinas que harán las veces de proxy. Estas máquinas, los bots de la botnet, redirigirán la solicitud que realiza cualquiera al sitio web controlado por el atacante, a los servidores centrales de la botnet.

En Sans Diary nos presentaban hace unos días un estudio realizado por Jose Nazario (véase también su worm blog) y Thorsten Holz, sobre el comportamiento de las redes botnet. Utilizan para ello los datos recogidos por el sistema ATLAS de Arbor Networks. En el estudio, identificaron dominios DNS que pudieran corresponder a redes fast-flux mediante estas técnicas:
  • captura y análisis de spam
  • listas negras de nombres DNS y análisis de malware
  • a mano, es decir, por cualquier otro medio, como pueden ser datos presentados en informes de análisis antimalware
Una vez obtenido un posible dominio, se obtiene un listado de los registros de tipo A, NS, etc que están bajo este dominio, y en base a esos datos es evaluado según una fórmula heurística. Si cumple un determinado criterio de una lista que se nos presenta en el paper, entonces gana un punto para ser considerado un fast-flux. Algunos ejemplos de estos criterios son que los tiempos de TTL de los registros de tipo A sean menores de 15 minutos, o que se encuentren direcciones IP separadas entre sí en un rango superior a 65355.

Se presentan algunas conclusiones interesantes. La difusión del concepto "fast-flux" tiene éxito: los creadores de estas redes han de ir "más lejos" (es un decir) para conseguir un registrador de dominios con el que no haya problemas para trabajar con este tipo de redes. Se usan más dominios de alto nivel que antes, y nos indican cuál es el dominio de alto nivel ("TLD", es decir, si son .com, .net, etc) que utilizan. Otros datos interesantes presentados: cuál es el tiempo de vida medio de un dominio fast-flux (el caso de Storm fue particular), cuál es el tamaño medio, en número de máquinas comprometidas, que tiene una botnet, cuántas de esas máquinas se están usando de forma activa como parte del fast-flux, o el propósito de las redes analizadas, obtenidos relacionando los datos de este estudio con estudios de otros. (No te voy a dar yo los datos: lee el paper ;) ).

El estudio deja fuera redes double-flux (es el caso en que también los servidores DNS forman parte de una botnet).

Por cierto, echadle un vistazo a las referencias, que están muy bien, destacando el proyecto FluXOR y trabajos relacionados con la detección de redes fast-flux.

Slds!
Si te gustó esta entrada, quizás quieras suscribirte al blog por email o por RSS...
Publicado por en 1 comentario:
Etiquetas: , , ,

miércoles, 15 de octubre de 2008

Mebroot

Poniéndome al día en noticias de seguridad informática que ha habido últimamente, he encontrado esta entrada en Sahw, sobre Mebroot, el primer malware instalado en el Master Boot Record que se ha conocido en mucho mucho tiempo.

Los equipos técnicos de F-Secure y de Symantec han colaborado en la investigación de este malware. Se puede ver una presentación sobre Mebroot realizada en las conferencias Virus Bulletin de este año, con algunos detalles interesantes (aunque me pierdo en la parte más técnica). Por ejemplo, que hubo algunos prototipos de software similar presentados en BlackHat en 2005 ("Bootroot") y en 2007 ("Vbootkit").

Según la propia presentación, es el primer rootkit, que se instala en el MBR, que además incluye un payload realmente malo en sus tripas, permitiendo descargar todo tipo de software malicioso, incluyendo troyanos bancarios. Se menciona Neosploit en la presentación, indicando la evolución de versiones de este paquete con Mebroot, entre Enero y Agosto 2008.

Algunos de sus puntos fuertes:
  • no deja ningún ejecutable en el sistema de ficheros
  • no utiliza ninguna clave del registro de Windows, ni tampoco ninguna manera estándar de lanzar la ejecución de un programa. Utiliza un buen número de funciones de la API de Windows no documentadas.
  • no instala ningún tipo de módulo o driver nuevos en el sistema
  • "huella" mínima en la memoria de la máquina infectada
  • se ejecuta en los primeros estadios del arranque del sistema (está en el MBR)
  • todas las operaciones de lectura y escritura en disco son difícilmente rastreables, también lo son sus comunicaciones por la red (por ejemplo, emplea un buen cifrado en todas estas comunicaciones)
  • es capaz de protegerse frente a soluciones software que intente eliminarlo
Resulta ser así, en palabras de F-secure, la pieza de malware más maligna y más avanzada conocida hasta la fecha, ha tenido un proceso de desarrollo muy cuidadoso y de gran calidad (no "cuelga" ninguna de las máquinas que infecta), y que tiene como principal objetivo las webs de banca online.

Se utiliza la web para distribuirlo, es decir, un usuario se infecta porque ha visitado una sitio web comprometido previamente.

En fin, un nombre que nos deberá sonar, aunque sea sólo como culturilla general informática... porque dará mucho mucho mal.

Slds!

Algo más de información:
Symantec security response
Si te gustó esta entrada, quizás quieras suscribirte al blog por email o por RSS...
Publicado por en 3 comentarios:
Etiquetas: , , ,

miércoles, 8 de octubre de 2008

Still alive...

¿Muchos días sin escribir nada, verdad? Tranquilidad, no he perdido interés por el blog... un pico de trabajo me impide tenerlo atendido como se merece, pero en un par de días volveré a estar en plena forma :) . Mientras, dejo un enlace a un pequeño artículo de Eugene Kaspersky, sobre cibercrimen, que me ha gustado leer.

Slds!
Si te gustó esta entrada, quizás quieras suscribirte al blog por email o por RSS...
Publicado por en 4 comentarios:
Etiquetas: , ,
Suscribirse a: Entradas (Atom)