Exploit dirigido a Internet Explorer

0

En Septiembre Microsoft publicó información sobre una nueva  vulnerabilidad para Internet Explorer – CVE-2013-3893. La vulnerabilidad afecta a versiones desde la 6 a la 11, incluyendo desde plataformas Windows XP hasta Windows 8.1. Más tarde en el mismo mes, la compañía publicó un parche para cerrar la incidencia.

Los cibercriminiales están contentos de poder explotar este tipo de problemas, ya que son fáciles de “monetizar” (convertir en dinero) debido a que Explorer de Microsoft conserva una gran popularidad.

Los principales navegadores del mercado actual según http://gs.statcounter.com

Este tipo de vulnerabilidad es muy peligrosa porque permite la ejecución de código arbitrario en el sistema atacado. A finales de Septiembre se descubrió un exploit para esta vulnerabilidad, el cual se apoya sobre la función “Use After Free” del motor de renderizado HTML del navegador (-mshtml.dll)

Recientemente hemos sabido que una variante de este exploit fué usado en ataques contra cierto número de víctimas de “alto nivel” en Japón, como políticos o empresarios.

This type of vulnerability is very dangerous because it allows the execution of arbitrary code on the target system. In late September, we discovered an exploit for the vulnerability, which uses an attack of the Use After Free type against the Internet Explorer’s HTML rendering engine –mshtml.dll.

Ataque dirigido

La vulnerabilidad es aprovechada únicamente en aquellos PCs que son parte de subredes específicas en las redes de las organizaciones objetivo:

Definiendo las subredes en las que se producirán los ataques

Si la dirección IP de un ordenador pertenece a uno de los rangos definidos por los cibercriminales, la vulnerabilidad será explotada después de que el usuario acceda a una página web fraudulenta o infectada.

La siguiente información se extrae la primera fase del ataque:

  1. Versión de Sistema Operativo
  2. Versión de Internet Explorer
  3. Lenguaje y región del SO
  4. Si Microsoft Office está presente

El exploit selecciona la cadena ROP apropiada y el código fuente basándose en la información obtenida en esta etapa:

Elección del ROP y código a emplear

Merece la pena comentar que el exploit no funcionará en aquellos sistemas Windows 7 que no tengan instalado Office.

Comprobación del sistema operativo y si Office está presente

Esto es así porque los sistemas operativos de hoy en día incluyen mecanismos que dificultan la labor de los exploits. Uno de estos mecanismos es el avanzado ASLR (Address Space Layout Randomization) El exploit emplea un curioso truco para evadir el mecanismo: Carga un módulo compilado sin el “soporte para ASLR” en el proceso correspondiente al navegador -librería hxds.dll-.

 

Código post-ejecución que carga la librería hxds.dll

Esta librería, que es parte del paquete Microsoft Office, no soporta ASLR. Es cargada en una posición de memoria sin definir. Después de esto los atacantes usan la tecnología ROP para maracar la memoria que contiene el código fuente como un ejecutable.

El siguiente código es ejecutado tras la explotación  satisfactoria de la vulnerabilidad:

Se puede ver en la imagen superior que el código descifra su parte principal mediante la clave 0x9F.

Tras el descifrado, el código busca las funciones necesarias para descargar y lanzar la carga útil del malware, encontrándose las pistas en sus hashes:

Hashes de las funciones empleadas

Cuando se completa la búsqueda de direcciones necesarias, se inicia la siguiente actividad:

1. Un objeto malicioso llamado “runrun.exe” es descargado desde el servidor de comando del atacante:

Descargando el payload del malware

2. Al estar cifrado el módulo descargado, el código fuente lo lee desde el disco y descifra mediante la clave 0x95, tras lo que es iniciado dicho módulo:

Descifrando el módulo descargado

Distribución del ataque

Como mencionamos anteriormente, el ataque dirigido usa una modificación del exploit CVE-2013-3893. Al mismo tiempo, el número total de modificaciones descubiertas hasta la fecha es de 21. Se han detectado ataques que emplean esta vulnerabilidad en Taiwan:

Distribución geográfica del exploit de IE

Tenemos la siguiente información en los servidores desde los que se ha descargado el “payload” de la amenaza: 

Servidor Región
211.23.103.221 Taiwan
210.177.74.45 Hong-Kong
192.192.91.6 Taiwan
61.63.47.27 Taiwan

Un análisis exhaustivo de las varianets de la carga dañina del malware (md5 – 1b03e3de1ef3e7135fbf9d5ce7e7ccf6) ha mostrado que el módulo ejecutable tiene datos encriptados en sus recursos:

Datos cifrados entre los recursos del malware

El módulo ejecutable extrae los datos y los convierte a una librería o DLL:

Extracción de los datos cifrados

La DLL creada mediante la conversión de los datos extraídos del malware es grabada en el disco empleando la siguiente ruta: TempPathtmp.dll (md5 – bf891c72e4c29cfbe533756ea5685314). La librería exporta estas dos funciones:

Funciones exportadas desde tmp.dll

Cuando la librería es grabada en el disco, es cargada en el espacio del proceso en cuestión y se efectúa la llamada a la función exportada ihsk:

Llamando a la función exportada ishk

La librería se copia a sí misma para inyectarse en el espacio de otro proceso. Tras su ejecución, el malware se comunica con un servidor en Corea del Sur. Las siguientes peticiones están enviadas desde la máquina infectada:

Peticiones emitidas desde la máquina una vez infectada

Kaspersky -quien ha realizado esta investigación, reconoce en sus soluciones de seguridad a la citada amenaza con el nombre:

 – Trojan-Dropper.Win32.Injector.jmli para el Payload.

 – HEUR:Exploit.Script.Generic.  para el exploit en sí mismo.

Compartir.

Sobre el Autor

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.

Dejar una Respuesta

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR