La Botnet ZeroAccess – características y alcance

0

A través de un reciente estudio, Kaspersky ha otorgado a esta amenaza el nombre de Trojan.Win32.Jorik.IRCbot.xkt. Según las averiguaciones de Symantec, este troyano es distribuído mediante BlackHole Exploit Toolkit y Bleeding Life Toolkit. El kit de vulnerabilidades Blackhole es un kit de “exploit” que ha aparecido recientemente en las noticias debido a su uso generalizado por los hackers. 

Cuando una víctima visita una página que ha sido infectada con un iframe malicioso, dicho componente redirige al usuario al servidor exploit de Blackhole. CUando el usuario visita el sitio web correspondiente al servidor mencionado, este se activa para sacar partido a las vulnerabilidades encontradas en el navegador de la víctima. Hoy en día tenemos múltiples aplicaciones en la máquina del usuario, como Internet Explorer, Java, Adobe y otros. Normalmente alguno de ellos suele estar desfasado o posee una vulnerabilidad Zero Day (no reportada aún) y aquí es donde Balckhole saca partido, sobrepasando por ese agujero la defensa del sistema. 

Symantec explica algunas de las vulnerabilidades explotadas por estos dos Kits de exploit:

 – Microsoft Windows Help and Support Center Trusted Document Whitelist Bypass Vulnerability (BID 40725): El Centro de Soporte y Ayuda de Microsoft es modificado para permitir la apertura de documentos de soporte alterados que permiten la ejecución de código arbitrario.

 – Microsoft MDAC RDS.Dataspace ActiveX Control Remote Code Execution Vulnerability (BID 17462): Este control ActiveX es vulnerable a la ejecución de código remoto. Un atacante podría explotar este problema para ejecutar código cuando el usuario visite una página web infectada.

 – Sun Java Runtime Environment ActiveX Control Multiple Remote Buffer Overflow Vulnerabilities (BID 34931): El entorno Java es vulnerado mediante la generación de “desbordamientos de búfer” remotos, ya que la aplicación ha fallado al comprobar adecuadamente las firmas de los archivos proporcionados por el usuario.

 – Adobe Reader ‘util.printf()’ JavaScript Function Stack Buffer Overflow Vulnerability (BID 30035): Otra vulnerabilidad que aprovecha la generación de un desbordamiento de búfer (en Adobe Reader esta vez) ya que no se comprueban de forma satisfactoria las firmas de los archivos empleados por el usuario.

 – Adobe Acrobat and Reader Collab ‘getIcon()’ JavaScript Method Remote Code Execution Vulnerability (BID 34169): Adobe Acrobat y Reader permiten ejecución de código malicioso debido a que no han sido capaces de aislar contenido vulnerable empleado por el usuario. 

Finalmente, un troyano es descargado en el pc de la víctima y envía una ID única al Servidor de Comando y Control. Los cambios en el registro que producirá el Troyano son los siguientes:

  • HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices[NOMBRE DE ARCHIVO INFECTADO]”ImagePath” = “*”
  • HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices[NOMBRE DE ARCHIVO INFECTADO]”Type” = “1″
  • HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices[NOMBRE DE ARCHIVO INFECTADO]”Start” = “3″

Esta amenaza podría llegar en forma de un Keygen/Crack como se apuntó en el anterior artículo para software comercial. Los sitios web que alojan este tipo de archivos suelen contener malware. Incluso hemos conocido casos recientes de servidores de anuncios (ads) siendo infectados por código malicioso y, por tanto, infectando a las páginas web relacionadas con esas campañas.

Una vez que el usuario hace click sobre el ejecutable de uno de estos servidores, el dropper (descargador) suspenderá silenciosamente una parte del Windows File Protection (WFP) que maneja los archivos protegidos del sistema operativo. Entonces, el troyano sobreescribirá un driver de sistema con su propio driver tipo Kernel y lo iniciará. El archivo correspondiente al driver puede ser localizado alfabéticamente entre %System%Driversclasspnp.sys y %System%Driverswin32k.sys es sobreescrito con el própio código del troyano. La comunicación depende en gran medida de la tecnología peer-to-peer, haciendo posible para los responsables mejorar en el tiempo el troyano y añadir funcionalidades.

Malware correspondiente a ZeroAccess insertado en Skyrim

Aquí tenemos un ejemplo de vector de ataque llevado a cabo por ZeroAccess, donde una copia del juego “Skyrim” es convertida en amenaza. El instalador es un archivo NSIS. Durante el ataque, un archivo es descargado en %Profile%Application Dataskyrimlauncher.exe y aparece una ventana del instalador del juego. De nuevo y en segundo plano, un archivo en formato 7zip es descargado y ejecutado. Estos archivos están especialmente modificados para “pasar por alto” la detección de los antivirus.

Para conseguir convertir el archivo en totalmente indetectable, los creadores lo testearán individualmente contra todos los antivirus posibles de su base de datos. Se han estado aprovechando, además, puntos de “rotura” en dispositivos de hardware para permitir su descompresión. Una interesante característica de ZeroAccess es que un simple “dropper” es capaz de instalarse de una forma u otra, detectando si el sistema operativo es de 32 o 64 bits.

Aquí podemos ver una imagen que representa las infecciones conseguidas por el troyano en EEUU, visualizadas sobre un mapa de Google Earth y proporcionadas por F-Secure en su blog.

Expansión de la amenaza en Estados Unidos

Symantec ha publicado un aviso de seguridad para protegerse ante ZeroAccess, Los usuarios no deben hacer click sobre enlaces que parezcan extraños, o sobre anuncios que muestren precios irreales o escenarios similares. Asimismo, no deberían manipular cracks o keygens para activar software con copyright. El troyano es capaz de saltar el firewall y crear una conexión TCP en el puerto 13620 para comunicarse con su dueño. También se recomienda bloquear el acceso a estas direcciones IP a través del firewall o en el router, ya que se ha comprobado que intervienen en el proceso de comunicación:

  • 69.176.14.76
  • 76.28.112.31
  • 24.127.157.117
  • 117.205.13.113
  • 200.59.7.216
  • 113.193.49.54

También se ha comprobado el acceso a los siguientes servidores NTP:

  • ntp2.usno.navy.mil
  • ntp.adc.am
  • chronos.cru.fr
  • wwv.nist.gov
  • clock.isc.org
  • time.windows.com
  • time2.one4vision.de
  • time.cerias.purdue.edu
  • clock.fihn.net
  • ntp.duckcorp.org
  • ntp.ucsd.edu
  • ntp1.arnes.si
  • ntp.crifo.org
  • tock.usask.ca

La Botnet ZeroAccess ocupa el primer puesto entre las 5 muestras de malware tipo botnet más presentes en la red, seguida de Jeefo, Smoke, Mariposa y Grum.

Compartir.

Sobre el Autor

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.

Dejar una Respuesta

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR