[Español] Con cada nueva versión los sistemas operativos incorporan mejores defensas a nivel de usuario dificultando su explotación y por ello los atacantes han enfocado sus esfuerzos al núcleo (kernel), una temática desconocida para muchos pero la llegada de este libro sobre cómo atacar el kernel es todo un despertar.
[English] With each new version operating systems incorporate better defenses at user land to make its exploitation harder and therefore attackers have focused their efforts on the kernel, a subject unknown to many but the arrival of this book on how to attack the kernel is an awakening.
A Guide to Kernel Exploitation: Attacking the Core (ISBN-13: 978-1597494861) escrito por Enrico Perla y Massimiliano Oldani, dos expertos sobre explotación del kernel, trata en sus nueve capítulos como atacar Windows, Linux y Mac OS donde más les duele, el kernel.
A Guide to Kernel Exploitation: Attacking the Core (ISBN-13: 978 – 1597494861) written by Enrico Pearl and Massimiliano Oldani, two experts on kernel exploitation, covers in its nine chapters how to attack Windows, Linux and Mac OS X where it most hurts, the kernel.
El libro comienza con una introducción de por qué atacar al kernel y diferentes tipos de vulnerabilidades para después enfocarse cómo atacar sistemas operativos tan populares como Linux/Solaris/BSD, Mac OS X y Windows (x32 y x64) y acaba explicando las dificultades y cómo superarlas así como ejemplos reales de cómo crear exploits.
The book begins with an introduction of why attacking the kernel and different types of vulnerabilities to then focus on attacking popular operating systems such as Linux/Solaris/BSD, Mac OS X and Windows (x32 and x64) to end up explaining the difficulties and how to overcome them and real examples of how to create exploits.
Este libro profundamente técnico es de las pocas obras que tratan esta temática con todo lujo de detalles, y donde el lector aprenderá a utilizar debuggers y otras herramientas para escribir exploits y shellcodes desde cero para comprometer la seguridad del kernel de las diferentes plataformas. Como no podía ser de otra manera el libro contiene bastante código fuente escrito en C y ensamblador y todos los ejemplos están disponibles en la web del libro.
This deeply technical book is one of the few works that deal with this subject in great detail where the reader will learn how to use debuggers and other tools to write shellcode and exploits from scratch to compromise kernel security of different platforms. Naturally the book contains a lot of source code written in C and assembler and all examples are available on the book website.
Posiblemente una de las obras más técnicas que he leído en bastante tiempo y que a pesar de sus carencias (algunas erratas y no tocar temas como ataques al Hypervisor) es una estupenda obra de obligada lectura para toda persona dedicada a temas ofensivos.
Possibly one of the more technical works I’ve read in quite some time that in spite of its shortcomings (some typos and not touching topics such as attacks on the Hypervisor) is a great work of required reading for anyone dedicated to offensive subjects.
Puntuación (1 rosa, muy malo / 5 rosas, muy bueno): 5 Rosas (Lectura Obligatoria)
Score (1 rose, very bad / 5 roses, very good): 5 Roses (Mandatory Reading)
[Español] El arte de los rootkits es fascinante y este libro nos adentra en este arte de forma amena a lo largo de sus diez capítulos con diferentes ejemplos para crear poderosos rootkits en Windows. Rootkits: Subverting the Windows Kernel (ISBN-13: 978-0321294319) está escrito por dos expertos en la materia, Greg Hoglund y Jamie Butler, autores de varios rootkits públicos.
[English] The art of rootkits is fascinating and this book introduces us to this art throughout its ten chapters with different examples to create powerful rootkits in Windows. Rootkits: Subverting the Windows Kernel (ISBN-13: 978 – 0321294319) is written by two experts in the field such as Greg Hoglund and Jamie Butler, authors of several public rootkits.
El libro contiene una gran cantidad de código fuente que cubre diferentes aspectos para el desarrollo de rootkits como inyección de DLL, creación y manipulación de drivers de sistema, manipulación de hardware, programación DKOM y uso de canales encubiertos para comunicaciones seguras. El capítulo diez trata sobre tecnologías para detectar rootkits.
The book contains a large amount of source code covering different aspects for the development of rootkits as DLL injection, developing and manipulation of system drivers, hardware manipulation, DKOM programming and use of covert channels for secure communications. Chapter ten deals with technologies to detect rootkits.
Este libro es de lectura obligatoria por ser una de las obras de vanguardia en la materia, incluso otros libros sobre rootkits hacen referencia a este libro. Lo único que echamos de menos es una edición del libro más actualizada ya que algunos apartados se han quedado obsoletos con las nuevas versiones de Windows.
This book is a required reading since it is one of the best works in the field; even other rootkits books make reference to this book. What we miss is an updated edition of the book because some sections have become obsolete with the new versions of Windows.
Definitivamente es una magnífica introducción al mundo de los rootkits y sus posibilidades que cualquier experto en seguridad ya sea ofensivo o defensivo debe leer para estar preparado.
Definitely this book is a great introduction to the world of rootkits and their possibilities that any security expert either offensive or defensive must read to be prepared.
Puntación (1 rosa, muy malo / 5 rosas, muy bueno): 5 Rosas (Lectura Obligatoria)
Score (1 rose, very bad / 5 roses, very good): 5 Roses (Mandatory Reading)
[Español] Fuzzing es posiblemente el método más utilizado hoy en día para buscar vulnerabilidades y este libro nos demuestra cómo hacerlo a lo largo de sus nueve capítulos. Fuzzing for Software Security Testing and Quality Assurance (ISBN-13: 978-1596932142) está escrito por tres reputados expertos en seguridad que han innovado en este área como son Ari Takanen, Jared DeMott y Charlie Miller.
[English] Fuzzing is possibly the most widely used method today to look for vulnerabilities, and this book shows us how to do this through its nine chapters. Fuzzing for Software Security Testing and Quality Assurance (ISBN-13: 978-1596932142) is written by three reputed security experts that have innovated in this area such as Ari Takanen, Jared DeMott and Charlie Miller.
El libro comienza con una introducción a diferentes tipos de vulnerabilidades en aplicaciones para después profundizar en el fuzzing, explicando en qué consiste, uso de métricas, como desarrollar fuzzers efectivos y avanzados, monitorizar y analizar resultados y acaba con el estudio de ejemplos reales. El libro incluso menciona una de mis herramientas, gracias ;)
The book begins with an introduction to different types of vulnerabilities in applications for later dealing with fuzzing in depth, explaining what fuzzing is, use of metrics, how to develop effective and advanced fuzzers, monitor and analyse results and ends with the study of real-life examples. The book even mentions one of my tools, thanks :)
La obra está muy bien organizada y trata temas que mucha gente pasa por alto y que son de vital importancia como métricas o cómo se comparan los fuzzers entre sí. El libro también incluye código fuente a modo de ejemplo utilizando conocidos fuzzers. Una crítica negativa al libro son las constantes referencias a un producto comercial por parte de uno de los autores, que es también fundador de la empresa que vende el producto en cuestión.
The work is very well organized and covers aspects that many people ignore that are of vital importance such as metrics or how fuzzers compare between them. The book also includes source code examples using well-known fuzzers. A negative criticism of the book is the constant references to a commercial product by one of the authors, who is also founder of the company that sells the product in question.
Es por todo ello que esta obra es una magnífica referencia para adentrarnos en el apasionante mundo del fuzzing y cómo establecer una infraestructura de fuzzing efectiva que nos permita descubrir el próximo Oday que nos hará ricos y/o famosos.
It is because all these aspects the work is a wonderful reference to delve into the exciting world of fuzzing and how to set up an effective fuzzing infrastructure that will allow us to discover the next Oday that will make us rich and/or famous.
Puntuación (1 rosa, muy malo / 5 rosas, muy bueno): 5 Rosas (Lectura Obligatoria)
Score (1 rose, very bad / 5 roses, very good): 5 Roses (Mandatory Reading)
[Español] Recientemente cayó en mis manos un PDF malicioso y como no podía ser de otra manera decidí analizarlo. Se sabe que en los últimos años los atacantes han estado usando ficheros PDF y SWF para explotar vulnerabilidades e infectar a sus víctimas. Este vector de ataque es uno de los preferidos de las Amenazas Persistentes Avanzadas (APT).
[English] Recently a malicious PDF fell into my hands and naturally I decided to analyze it. It is known that in recent years attackers have been using PDF and SWF files to exploit vulnerabilities and infect their victims. This attack vector is one of the preferred methods of the Advanced Persistent Threats (APT).
Lo primero que nos interesa es determinar el contenido del PDF y para ello utilizamos las PDFtools que nos permiten analizar PDF. Ejecutamos la herramienta pdfid para ver el contenido del fichero y vemos que contiene código JavaScript (ver Fig. 1), que generalmente es utilizado para explotar vulnerabilidades. Si encontramos JavaScript y OpenAction en el mismo PDF nos interesa analizarlo :)
First thing of interest to us is to determine the content of the PDF and for this we use the PDFtools that allow us to analyze PDFs. We run the pdfid tool to view the content of the file and we see that it contains JavaScript (see Fig. 1), which is generally used to exploit vulnerabilities. If we find JavaScript and OpenAction in the same PDF we must analyze it :)
Nota PDFtools: para utilizar estas herramientas con Python 2.7 o superior debemos editar los ficheros Python y actualizar la versión!
PDFtools Note: to use these tools with Python 2.7 or higher we must edit the Python files and update the version!
Fig. 1 – PDFtools en acción / PDFtools in action
Ahora que ya sabemos que el PDF contiene código JavaScript podemos usar la herramienta PDFStreamDumper. Esta herramienta es magnífica para realizar análisis de malware.
Now that we know that the PDF contains JavaScript code we can use the PDFStreamDumper tool. This tool is great for malware analysis.
Abrimos el PDF con PDFStreamDumper y en el objeto 0x74FB-0x7B48 encontramos código JavaScript sospechoso (Fig. 2). Ahora debemos copiar este código desde la propia ventana de texto o pinchando encima del objeto y con botón derecho seleccionar guardar.
Open the PDF with PDFStreamDumper and at object 0x74FB-0x7B48 we find suspicious JavaScript code (Fig. 2). Now we copy this code from text window or by clicking on the object and right mouse button, select save.
Fig. 2 – PDF malicioso en PDFStreamDumper / Malicious PDF under PDFStreamDumper
El código que obtenemos se puede apreciar en la Fig. 3.
The code we get can be seen in Fig. 3.
Fig. 3 – Javascript Exploit / JavaScript Exploit
Observando el código podemos determinar que es un exploit JavaScript muy enrevesado para evitar ser detectado. Ahora lo que nos interesa es determinar qué hace este exploit por lo debemos hacer ingeniería inversa.
Utilizando la herramienta Malzilla, otra sofisticada herramienta de análisis, insertamos el código JavaScript con algunos pequeños cambios para poder ser analizado en el intérprete JavaScript que la herramienta incorpora.
Observing the code we can determine that it is a JavaScript exploit which is heavily obfuscated to avoid being detected. What we want to do now is to determine what the exploit does by reverse it.
Using Malzilla, another sophisticated analysis tool, we insert the JavaScript code with some minor changes so it can be analyzed in the JavaScript interpreter the tool incorporates.
Fig. 4 – Ejecutando el exploit en Malzilla / Executing the exploit in Malzilla
En la Fig. 4 podemos ver el resultado de ejecutar el código JavaScript malicioso modificado. Una de las técnicas que el exploit utiliza para no ser detectado es el uso de la función Eval() para concatenar dos cadenas de texto que se convierten en código y que se ejecutan mediante el intérprete JavaScript. El resultado son tres sentencias JavaScript.
Nuestro siguiente paso es analizar el código para intentar reconstruir el exploit malicioso. En la Fig. 5 podemos ver las distintas técnicas que el exploit utiliza con el fin de evitar que los anti-virus le detecten.
In Fig. 4 we can see the result of running the modified malicious JavaScript code. One of the techniques of obfuscation is the use of the Eval() function to concatenate two strings that are converted into code that is executed by the JavaScript interpreter. The result is three JavaScript sentences.
Our next step is to analyze the code to try to rebuild the malicious exploit. In Fig. 5 we can see the different obfuscate techniques that the exploit uses to avoid being detected by the anti-virus.
Fig. 5 – Exploit ofuscado / Obfuscated exploit
Los métodos que el exploit utiliza para ocultarse son:
La función adobeexp recibe 2 parámetros: unescape y “%”.
Las variables ddd y VZxgbuj apuntan a unescape.
En la siguiente línea encontramos una shellcode oculta. El exploit llama a la función urpl, que tiene 2 parámetros: “%” y la shellcode. Esta función sustituye la etiqueta NAXX por “%u” y devuelve la shellcode en formato Unicode.
En esta línea se ejecuta un unescape, VZxgbuj, pero antes se concatenan varias cadenas de texto formado: %u0c0c%0c0c. La variable Zod almacena lo que se conoce como el NOP slide.
Utilizando la técnica de Eval() se concatenan dos cadenas de texto para formar una sentencia ejecutable, preparando la dirección de retorno para que al explotar la vulnerabilidad se ejecute el código malicioso, NOP slide + shellcode.
y 7. El exploit utiliza los demás Eval() para preparar el buffer malicioso que llenará el heap, lo que se conoce como Heap Spraying, que consiste en llenar todo el espacio posible en el heap del proceso con código malicioso y al explotar la vulnerabilidad se redirigirá la ejecución del proceso a una dirección del heap donde reside el código malicioso.
Hemos destripado el exploit y tenemos una clara idea de su funcionamiento. En la Fig. 6 podemos leer el verdadero código del exploit.
The methods that the exploit uses for obfuscation are:
The adobeexp function takes 2 parameters: unescape and “%”.
The variables ddd and VZxgbuj point to unescape.
On the next line we find an obfuscated shellcode. The exploit calls the function urpl, which has 2 parameters: “%” and the shellcode. This function replaces the NAXX tag by “%u” and returns the shellcode in Unicode format.
In this line the code runs an unescape, VZxgbuj, but before it concatenates several strings to form: %u0c0c%0c0c. Now Zod variable stores what is known as the NOP slide.
Using the Eval() technique it concatenates two text strings to form a executable sentence, which prepares the return address containing the malicious code when exploiting the vulnerability, NOP slide + shellcode.
And 7. The exploit uses Eval() again to prepare the malicious buffer that will fill the heap, what is known as Heap Spraying, which consists in filling all possible heap space in the process with malicious code and when exploiting the vulnerability it changes the execution flow of the process to call an address on the heap where resides the malicious code.
We have reversed the exploit and have a clear idea of its operation. In Fig. 6 we can read the exploit code without obfuscation.
Fig. 6 – Exploit / Exploit
El objetivo de este post era analizar y destripar este exploit. Nuestro siguiente paso sería analizar la shellcode. En la Fig. 7 se puede ver cómo he vuelto a modificar el exploit para obtener una shellcode en formato Unicode que sea fácil de analizar. El procedimiento que he seguido para ello es convertir la shellcode en ejecutable y analizarlo con IDA Pro pero eso es otra historia :)
The objective of this post was to analyze and reverse this obfuscated exploit. Our next step would be to analyze the shellcode. In Fig. 7 you can see how I modified again the exploit code to get a shellcode in Unicode format which is easy to analyze. The procedure I followed was to convert the shellcode to executable code and analyze it with IDA Pro but that’s another story :)
Fig. 7 – Extrayendo la shellcode / Extracting the shellcode
A lo largo de este post hemos utilizado potentes herramientas de análisis y estudiado el procedimiento para analizar código malicioso, una habilidad necesaria hoy en día con tanto PDF y SWF malicioso que circulan por Internet.
Si el lector tiene algún código malicioso que quiera analizar para el blog que me lo envíe por favor :)
¿Que exploits maliciosos te has encontrado?
In this post we have used powerful analysis tools and studied the procedure to analyze malicious code, a necessary skill today with so many malicious PDF and SWFs that circulate on Internet.
If the reader has some malicious code you want us to analyze for this blog sent it our way please :)
[Español] Sin duda el carácter open source de Android lo ha convertido en el terreno favorito de los atacantes entre todas las plataformas móviles. Hoy en día existe una buena cantidad de exploits y troyanos los cuales estudiaremos en este artículo.
[English] No doubt the open source character of Android has become the favorite target of attackers across all mobile platforms. Nowadays there are plenty of exploits and trojans which we will learn in this article.
Hemos analizado nueve conocidos troyanos para Android, que son:
ADRD
Basebridge
DroidDream
DroidKungFu
Geinimi
jSMSHider
Plankton
TrojanSMS
Crusewind
We have analyzed nine trojans known to Android, which are:
ADRD
Basebridge
DroidDream
DroidKungFu
Geinimi
jSMSHider
Plankton
TrojanSMS
Crusewind
Para este ejercicio de análisis simplemente hemos estudiado los permisos que la aplicación solicita y hemos visualizado su código con el fin de entender la complejidad del troyano.
Nota: algunos troyanos contienen código real de una aplicación, por eso la visualización puede parecer más compleja de lo que realmente es.
For this analysis we have only studied the permissions that the application requests and we have visualized its code in order to understand the complexity of the trojan.
Note: some trojans contain real application code so the display may seem more complex than it really is.
ADRD
El ADRD es un troyano de complejidad media descubierto en febrero de 2011 que roba información del teléfono (IMEI, wifi, hardware, etc.). Esta información es cifrada mediante DES y enviada a una serie de páginas web.
The ADRD is a trojan with a moderate complexity uncovered in February 2011 that steals information from the phone (IMEI, Wi-Fi, hardware, etc.). This information is encrypted using DES and sent to a series of web pages.
Otras características de este troyano son que puede recibir parámetros de búsqueda que luego utiliza en Baidu.com, el conocido buscador chino, para aumentar las visitas (ranking) a una determinada página web. También puede recibir actualizaciones del propio troyano que instala silenciosamente en el teléfono.
Other characteristics of this Trojan are that it can receive search parameters to use in a well-known Chinese search engine, Baidu.com, to increase the (ranking) visits of a particular web page. It can also receive updates of the Trojan to install silently on the phone.
En la Fig. 1 podremos encontrar los permisos que este troyano requiere para su funcionamiento. Algunos de estos permisos son un poco sospechosos, como la necesidad de leer contactos (READ_CONTACTS), recibir mensajes del sistema (RECEIVE_BOOT_COMPLETED) o modificar parámetros del teléfono (MODIFY_PHONE_STATE) aunque ninguno de estos permisos tiene un riesgo elevado por lo que lo hace más efectivo para pasar desapercibido.
In figure 1 we can see the permissions this trojan requires for its operations. Some of these permissions are somewhat suspicious as the need to read contacts (READ_CONTACTS), receive messages from the system (RECEIVE_BOOT_COMPLETED), or modify parameters of the phone (MODIFY_PHONE_STATE) but none of these permissions have a high risk for which makes it more effective to go unnoticed.
Fig. 1 – ADRD permisos / ADRD permissions
También hemos analizado la complejidad del código (app real + troyano) y como se puede apreciar en la Fig. 2 es un troyano bastante simple de analizar. El apk contiene dos paquetes principales (tat y xx.yyy). Tat se divide en dos paquetes más (cascadeswallpaper.android y livewallpaper.dandelion) y contiene la aplicación real, mientras que xx.yyy contiene el código del troyano.
We have also looked into code complexity (real app + trojan) and as shown in Fig. 2 is a Trojan rather simple to analyze. The apk contains two main packages (tat and xx.yyy). Tat is divided into two packages more (cascadeswallpaper.android and livewallpaper.dandelion) and contains the actual app code, while xx.yyy contains the trojan code.
BaseBridge
Troyano descubierto en junio de 2011 con una sofisticación elevada y que actúa en dos fases. En la primera fase el troyano utiliza un exploit conocido (CVE-2009-1185) para elevar sus privilegios a root.
Trojan discovered in June 2011 with a high sophistication which operates in two phases. In the first phase the trojan uses a well-known exploit (CVE-2009-1185) to elevate its privileges to root.
Una vez conseguido el objetivo de ser root comienza la segunda fase con la instalación de una aplicación maliciosa, SMSapp.apk, en el teléfono. Esta aplicación permite al troyano comunicarse con los servidores de centro de mando (C&C) utilizando http, y al igual que otros troyanos roba información del teléfono (IMSI, hardware, versión SO, etc.) que es enviada a páginas web maliciosas.
Once achieved the goal of being root begins the second phase with the installation of a malicious application, SMSapp.apk, on the phone. This application enables the trojan to communicate with the command and control servers (C&C) using HTTP, and like other trojans steals phone information (IMSI, hardware, OS, etc.) that is sent to malicious web pages.
Además el troyano envía y elimina SMS y también realiza llamadas telefónicas a números de pago (Premium).
Moreover the trojan sends and removes SMS and also makes telephone calls to payment numbers (Premium).
Al analizar los permisos (ver Fig. 3) podemos apreciar que algunos son peligrosos como enviar SMS (SEND_SMS) y escribir SMS (WRITE_SMS). Otros permisos menos sospechosos pero interesantes que la aplicación requiere son grabar audio (RECORD_AUDIO), escribir contactos (WRITE_CONTACTS) o leer SMS (READ_SMS).
Analyzing the permissions (see Fig. 3) we can appreciate that some of them are dangerous as send SMS (SEND_SMS) and write SMS (WRITE_SMS). Other permissions are less suspicious but interesting nevertheless as record audio (RECORD_AUDIO), write contacts (WRITE_CONTACTS) or read SMS (READ_SMS).
Fig. 3 – Basebridge permisos / Basebridge permissions
Al visualizar la aplicación infectada con el troyano en la Fig. 4 podemos ver una complejidad elevada. Una serie de paquetes (com, jackpal.androidterm, javax, myjava.awt.datatransfer y org.apache.harmony) así como una cantidad de ficheros sueltos (clases sueltas) forman el código del troyano.
When we visualize the application infected with the Trojan in Fig. 4 we can see a high complexity. A number of packages (com, jackpal.androidterm, javax, myjava.awt.datatransfer and org.apache.harmony) as well as a number of loose files (standalone classes) form the trojan code.
Fig. 4 – Basebridge visualización de código / Basebridge code visualization
DroidDream
Troyano descubierto en marzo de 2011 con diferentes variantes. Este troyano también utiliza diferentes fases siendo la primera la ejecución de exploits para obtener root. La versión analizada no contiene estos exploits.
Trojan discovered in March 2011 with different variants. This Trojan also uses different phases be the first phase the execution of exploits to gain root. The analyzed version does not contain these exploits.
La segunda fase de este troyano consiste en instalar otra aplicación, a.apk, que sirve para robar información del teléfono (IMEI e ISMI) que es enviada a páginas web que actúan como centros de mando (C&C). Otras características del troyano son el envío y lectura de SMS y la capacidad de recibir actualizaciones de sí mismo.
The second phase of this Trojan consists on installing another application, a.apk, which is used to steal information from the phone (IMEI and ISMI) that is sent to web pages that act as command centers (C&C). Other features of the Trojan are sending and reading SMS and the ability to receive updates of itself.
En el análisis de permisos (Fig. 5) vemos algunos permisos peligrosos como el envío de SMS (SEND_SMS) y la instalación de paquetes (INSTALL_PACKAGES). Otros permisos de interés para el troyano son grabación de audio (RECORD_AUDIO), lectura y escritura del historial del navegador (READ_HISTORY_BOOKMARKS / WRITE_HISTORY_BOOKMARKS) y recibir eventos del sistema (RECEIVE_BOOT_COMPLETED).
In the permissions analysis (Fig. 5) we see some hazardous permissions as sending SMS (SEND_SMS) and installation of packages (INSTALL_PACKAGES). Other permissions of interest for the Trojan are recording audio (RECORD_AUDIO), reading and writing browser history (READ_HISTORY_BOOKMARKS / WRITE_HISTORY_BOOKMARKS) and receive events from the system (RECEIVE_BOOT_COMPLETED).
Troyano descubierto entre mayo y junio de 2011, similar a otros troyanos estudiados anteriormente ya que divide su funcionamiento en fases. En primer lugar el troyano utiliza dos exploits (CVE-2009-1185 y CVE-2010-EASY), encriptados mediante AES, para obtener privilegios root en el teléfono, aunque a diferencia de los otros troyanos utiliza hasta tres métodos diferentes para obtener root.
Trojan discovered between May and June 2011, similar to other trojans formerly studied dividing its operation into phases. At first the Trojan uses two exploits (CVE-2009-1185 and CVE-2010-EASY), encrypted with AES, to obtain root privileges on the phone, but unlike other trojans uses up to three different methods to get root.
Una vez obtenido root el teléfono, el troyano roba información sobre IMEI, hardware, SO y Wifi que se envía a una página web. Con los permisos de root el troyano puede instalar paquetes y en este caso instala otro troyano llamado “legacy” que convierte al teléfono en parte de una botnet.
Once obtained root on the phone, the trojan steals information such as IMEI, hardware, OS, and Wi-Fi which is sent to a web page. With root permissions the trojan can install packages and in this case it also installs another trojan called “legacy” which makes the phone part of a botnet.
Analizando los permisos requeridos por DroidKungFu (ver Fig. 7) algunos deberían hacer saltar las alarmas como instalar paquetes (INSTALL_PACKAGES) y resetear paquetes (RESTART_PACKAGES). Otros permisos de interés son el leer el estado del teléfono (READ_PHONE_STATE) o cambiar el estado de la wifi (CHANGE_WIFI_STATE).
Looking at the permissions required by DroidKungFu (see Fig. 7) some should sound the alarm such as installing packages (INSTALL_PACKAGES), and resetting packages (RESTART_PACKAGES). Other interesting permissions are reading phone status (READ_PHONE_STATE) or changing the state of the Wi-Fi (CHANGE_WIFI_STATE).
Fig. 7 – DroidKungFu permisos / DroidKungFu permissions
Al analizar el código de este complejo troyano (Fig. 8 ) podemos identificar tres paquetes principales (com, org y uk.co.lilhermit.android.core). El paquete com contiene el código del troyano que se divide en otros dos paquetes, google.ssearch y sansec.
Analyzing the code complexity of this Trojan (Fig. 8 ) we can identify three main packages (com, org, and uk.co.lilhermit.android.core). The com package contains the code for the trojan that is divided into two packages, google.ssearch and sansec.
Fig. 8 – DroidKungFu visualización de código / DroidKungFu code visualization
Geinimi
El Geinimi es un sofisticado troyano descubierto en diciembre de 2010 que aunque no utiliza exploits como otros troyanos es peligroso ya que roba información del teléfono como el IMEI y el IMSI. Otras características son el envío de información de posicionamiento (geo-localización), recibir actualizaciones de sí mismo y el envío de SMS.
The Geinimi is a sophisticated trojan uncovered in December 2010 that although it does not use exploits like other trojans is dangerous because it steals phone IMSI and IMEI information. Other features are sending localization information (geo-location), receive updates for itself and sending SMS.
Los teléfonos infectados con Geinimi forman parte de una botnet y el troyano ofusca las direcciones web de los centros de control para dificultar su análisis.
Phones infected with Geinimi are part of a botnet and the trojan obfuscates the web addresses of its control centers (C&C) to make the analysis harder.
Al analizar los permisos requeridos por Geinimi (ver Fig. 9) podemos observar una extensiva lista de permisos necesarios para su funcionamiento. Los permisos que nos tienen que llamar la atención son el envío de SMS (SEND_SMS), resetear paquetes (RESTART_PACKAGES) y escribir SMS (WRITE_SMS). Otros permisos de interés para nuestro análisis son acceso al posicionamiento del teléfono (ACCESS_COARSE_LOCATION), leer contactos (READ_CONTACTS), leer SMS (READ_SMS), escribir contactos (WRITE_CONTACTS) y recibir SMS (RECEIVE_SMS).
Analyzing the permissions required by Geinimi (see Fig. 9) we can see an extensive list of necessary permissions for its operation. The permissions we have to draw attention to are sending SMS (SEND_SMS), resetting packages (RESTART_PACKAGES) and writing SMS (WRITE_SMS). Other permissions of interest to our analysis are access to the location of the phone (ACCESS_COARSE_LOCATION), read contacts (READ_CONTACTS), read SMS (READ_SMS), write contacts (WRITE_CONTACTS) and receive SMS (RECEIVE_SMS).
Fig. 9 – Geinimi permisos / Geinimi permissions
A pesar de la sofisticación de Geinimi lo cierto es que es un código bastante simple de analizar (ver Fig. 10) repartido en dos paquetes: admob.android.ads y dseffects.MonkeyJump2. El paquete dseffects.MonkeyJump2 contiene otro paquete, jump2, y ficheros sueltos. Es aquí donde encontramos el código del troyano.
Despite the sophistication of Geinimi the truth is that is a fairly simple code analysis (see Fig. 10) distributed in two packages: admob.android.ads and dseffects.MonkeyJump2. Package dseffects.MonkeyJump2 contains another package, jump2, and loose files (standalone classes). Here is where you find the trojan code.
Troyano descubierto en junio de 2011, y a diferencia de otros troyanos su infección se enfoca a usuarios chinos que hayan instalado una ROM personalizada, limitando su peligrosidad. jSMSHider utiliza un exploit para obtener root pero este exploit no ataca al sistema Android como otros troyanos, sino que explota una vulnerabilidad en la firma digital de las ROMs. Podemos decir que jSMSHider es un troyano diferente a todo lo visto hasta ahora.
Trojan discovered in June 2011 and unlike other Trojans its infection focuses on Chinese users who have installed a custom ROM, limiting his dangerousness. jSMSHider uses an exploit to gain root but unlike other trojans this exploit does not attack the Android system but exploit a vulnerability in the digital signature of the ROMs. We can say that jSMSHider is a trojan different to that we have seen so far.
Una vez obtenido root en el teléfono, el troyano instala otro paquete, testnew.apk, convirtiendo al teléfono en parte de una botnet. Ahora el troyano puede instalar nuevos paquetes, comunicarse con varias páginas web que funcionan como el centro de mando (C&C) utilizando DES para encriptar las comunicaciones y abrir páginas web de forma silenciosa sin que el usuario lo sepa.
Once obtained root on the phone, the trojan installs another package, testnew.apk, making the phone part of a botnet. Now the Trojan can install new packages, communicate with several websites that act as the command centers (C&C) using DES to encrypt communications and open web pages silently without the user knowing.
Imaginamos que esta ROM personalizada debe ser popular en el mercado chino por el grado de sofisticación y el tiempo de desarrollo empleado para este troyano.
We imagine this custom ROM must be popular in the Chinese market by the degree of sophistication and time spent developing this trojan.
En el análisis de permisos de jSMSHider (ver Fig. 11) dos permisos llaman nuestra atención, que son la instalación de paquetes (INSTALL_PACKAGES) y borrar paquetes (DELETE_PACKAGES). Otros permisos de interés son localización (ACCESS_COARSE_LOCATION), leer SMS (READ_SMS) y leer contactos (READ_CONTACTS).
In the analysis of jSMSHider permissions (see Fig. 11) two permissions call our attention, the installation of packages (INSTALL_PACKAGES) and delete packages (DELETE_PACKAGES). Other interesting permissions are phone location (ACCESS_COARSE_LOCATION), read SMS (READ_SMS) and read contacts (READ_CONTACTS).
Fig. 11 – jSMSHider permisos / jSMSHider permissions
En el análisis de código (Fig. 12) encontramos un paquete principal, org.expressme.love, que en su interior contiene otros tres paquetes: contentwrapper, logic y ui. En ui es donde podemos encontrar el código del troyano.
In the code analysis (Fig. 12) we see a main package, org.expressme.love, containing inside other three packages: contentwrapper, logic and ui. Ui is where you can find the trojan code.
Plankton es un troyano descubierto en junio de 2011 con una sofisticación moderada. Este troyano no utiliza exploits pero el teléfono infectado forma parte de una botnet.
Plankton is a trojan discovered in June 2011 with a moderate sophistication. This Trojan doesn’t use exploits but the infected phone is part of a botnet.
Como otros troyanos Plankton roba información del teléfono como los contactos, el historial y logs del sistema. Otras características son ejecutar comandos y manipular los iconos de acceso (shorcuts) además de la capacidad de encriptar mensajes.
Like other trojans Plankton steals phone information such as contacts, history, and system logs. Other features are running commands and manipulate shortcuts and also the ability to encrypt messages.
Al analizar los permisos de Plankton (Fig. 13) destaca la lectura de logs del sistema (READ_LOGS). Otros permisos interesantes son la lectura del historial (READ_HISTORY_BOOKMARKS), escritura del historial (WRITE_HISTORY_BOOKMARKS) leer contactos (READ_CONTACTS) y leer el estado del teléfono (READ_PHONE_STATE).
Analyzing the permissions of Plankton, Fig. 13, stresses the reading of logs from the system (READ_LOGS). Other interesting permissions are the reading browser history (READ_HISTORY_BOOKMARKS), writing browser history (WRITE_HISTORY_BOOKMARKS), reading contacts (READ_CONTACTS) and reading phone status (READ_PHONE_STATE).
Fig. 13 – Plankton permisos / Plankton permissions
En el análisis de código del troyano (Fig. 14) encontramos dos paquetes principales: com y org. Com, a su vez está formando por crazypps.angry.birds.rio.unlocker y plankton. Es en este último paquete donde encontramos el código del troyano.
In the code analysis of the Trojan (Fig. 14) there are two main packages: com and org. Com is formed by crazypps.angry.birds.rio.unlocker and plankton packages. It is the former package where we find the trojan code.
TrojanSMS
El TrojanSMS fue descubierto en agosto de 2010 y tiene el honor de ser el primer troyano para Android. Es un troyano muy simple y su infección consiste en enviar SMS a números de pago (Premium) rusos por lo que solo afecta a usuarios en Rusia.
The TrojanSMS was discovered in August 2010 and has the honor of being the first trojan for Android. It is a very simple trojan and his infection consists in sending SMS to Russians payment numbers (Premium) so it only affects users in Russia.
En el análisis de permisos (Fig. 15) podemos ver que sólo requiere un permiso: el de envío de SMS (SEND_SMS).
In the permissions analysis (Fig. 15) we can see that it only requires one permission: sending SMS (SEND_SMS).
Fig. 15 – TrojanSMS permisos / TrojanSMS permissions
Igualmente en el análisis de código (Fig. 16) podemos observar la simpleza de este troyano. El código está formado por un solo paquete, org.me.androidapplicacion1, que contiene el troyano.
In the code analysis (Fig. 16) we can see the simplicity of this trojan. The code is composed of just one package, org.me.androidapplicacion1, which contains the trojan code.
Troyano descubierto en junio de 2011 de sofisticación moderada. Este troyano convierte al teléfono en una pasarela SMS (relay) para el envío de SMS de forma silenciosa. Otras características del troyano son el robo de información que se envía a centros de mando (C&C), listar las aplicaciones instaladas y la capacidad de actualizarse a sí mismo.
Trojan discovered in June 2011 with a moderate sophistication. This trojan turns the phone into a SMS relay for sending SMS silently. Other trojan features are the steal of information that is sent to command centers (C&C), listing installed applications and the ability to update itself.
En el análisis de permisos (Fig. 17) dos son los permisos que llaman nuestra atención: leer SMS (READ_SMS) y escribir SMS (WRITE_SMS). Otros permisos interesantes son recibir y leer SMS (RECEIVE_SMS y READ_SMS) y leer el estado del teléfono (READ_PHONE_STATE).
In the permissions analysis (Fig. 17) two permissions catch our attention: read SMS (READ_SMS) and write SMS (WRITE_SMS). Other interesting permissions are to receive and read SMS (RECEIVE_SMS and READ_SMS) and read phone status (READ_PHONE_STATE).
Fig. 17 – Crusewind permisos / Crusewind permissions
En el análisis de código de Crusewind (Fig. 18) podemos observar un paquete principal, com.flashp, que se divide en una serie de paquetes (bo, data, http, task, utils y xml) y ficheros. Todos estos paquetes forman parte del código del troyano.
In the code analysis of Crusewind, Fig. 18, we can see a main package, com.flashp, which is divided into a number of files and packages (bo, data, utils, task, http and xml). All these packages form part of the trojan code.
A lo largo de este artículo hemos analizado diversos troyanos para Android que se encuentran entre las infecciones más comunes y que en varias ocasiones Google ha tenido que eliminarlos del Android Market, pero si un teléfono está infectado es responsabilidad del usuario limpiarlo.
In this article we have analyzed different Android trojans that are amongst the most common infections and several times it Google had to delete them from the Android Market, but if a phone is infected it is the responsibility of the user to clean it.
Entre los troyanos analizados hemos podido observar cómo roban información del teléfono, utilizan exploits para obtener root, instalan troyanos para formar parte de botnets, envían SMS o realizan llamadas y protegen sus comunicaciones mediante canales seguros. Desde luego emplean una buena variedad de técnicas ofensivas.
Among the analyzed trojans we have seen how they steal phone information, use exploits to gain root, install more trojans to form part of botnets, send SMS or make calls and protect communications through secure channels. I would say a high variety of offensive techniques.
Llama la atención la cantidad de troyanos que son de origen chino y en especial el jSMSHider ,que está totalmente focalizado a una serie de usuarios en concreto. ¿Puede ser que todo este desarrollo de tecnologías ofensivas sea parte del programa de ciberguerra del gobierno? Lo que está claro es que los atacantes chinos están muy activos.
It is striking the number of trojans that are Chinese in origin, and especially the jSMSHider that is targeted on a number of particular users. Could it be that all these developments of offensive technologies are part of the Chinese Government cyber warfare program? What is clear is that Chinese attackers are very active.
Es de esperar que el número de troyanos aumente en las plataformas móviles, si no ¿por qué tanto antivirus disponible para teléfonos?
It is expected that the number of trojans will increase in the mobile platforms, if not why so many antivirus available for phones?
Si alguna persona está interesada en un análisis técnico con más detalle de los troyanos del artículo, estaré encantado de proporcionarlo por un precio ;)
If anyone is interested in a technical analysis with more details of any trojans in the article, I’ll be happy to provide it for a price ;)
Por ultimo dar las gracias a Mila y la lista Mobile Malware por proporcionar copias de los troyanos.
Finally thanks to Mila and Mobile Malware list by providing copies of the trojans.
¿Qué troyano te ha gustado más?
[Español] Coincidiendo con mi visita a Seattle / Redmond por trabajo la semana pasada se celebraban dos importantes congresos de seguridad, Source y ToorCon Seattle, que han sido todo un éxito.
[English] Coinciding with my visit to Seattle / Redmond for work last week two important conferences took place, Source & ToorCon Seattle, that have been a success.
Por desgracia no pude asistir a ninguna charla de Source, celebrado en el museo marítimo, pero el feedback de los asistentes es que las charlas fueron de mucho nivel y gustaron mucho. Pero sí pude asistir a las fiestas que se celebraron cada noche por el centro de la cuidad donde se reunían ponentes, asistentes y muchas personas de la escena hacker de Seattle, mucho más potente de lo que me imaginaba :)
Unfortunately I could not attend any talk at Source, held at the Maritime Museum, but the feedback from attendees was that talks were high quality and really liked them. But I was able to attend the parties held every night around downtown where meet speakers, attendees and many people of the Seattle hacker’s scene, much more powerful than I imagined :)
En breve en la web de Source están disponibles las presentaciones así como los videos de las diferentes charlas que no podéis perder!
Shortly on the Source website the presentations should be available as well as videos of the different talks that you cannot miss!
El fin de semana se celebró ToorCon en un bar con más de 30 charlas en un mismo día, ya que cada presentación duraba 15 minutos. Lo cierto es que esta agilidad me gustó mucho y los temas fueron muy diversos. Gracias a todos los sponsors por las bebidas gratis ;)
On the weekend was held ToorCon in a club with over 30 talks on the same day as each talk lasted 15 minutes. The truth is I liked a lot this dynamism and the talk topics were very broad making them very good. Thanks to all sponsors for the free drinks ;)
Desde luego dos excelentes congresos con muy buen rollo y si consiguieran establecer una alianza y celebrarlo en conjunto de forma anual sería una cita obligada para los profesionales del sector.
Without doubt two excellent conferences with a good vibe and if they managed to establish a partnership and celebrate it together on a yearly basis it would be a must for any security professional.
Lo genial de estos dos congresos fue su localización, no el típico hotel, y que son pequeños y se puede hablar con todo el mundo por el buen ambiente que existe entre todos los asistentes.
Mis felicitaciones a la organización de ambos congresos por un magnifico evento :)
The greatness of these two conferences was their location, not being held at the typical hotel, and that were quite small and you can talk to everyone because of the good atmosphere among all attendees.
My kudos to the organization of both conferences for the wonderful events :)
[Español] Hoy en día existen multitud de conferencias de seguridad por todo el mundo y seguramente el lector participa en una o varias al año, todos tenemos algunas fijas ;) Todos los congresos siempre buscan los mejores ponentes pero es interesante analizar qué ofrecen estasconferencias al ponente y esto es lo que hemos hecho para este post.
[English] Today there are a lot of security conferences around the world and the reader will surely attend one or more a year, some of them are even a must ;) All conferences are always seeking the best speakers but it is interesting to analyze what these conferences offer the speakers and this is what we have done for this post.
Para este pequeño ejercicio de análisis hemos seleccionado 19 conferencias, unas conocidas y otras no tanto, basándonos en los siguientes criterios:
Son conferencias que he asistido como ponente o asistente, participado en la organización o simplemente oído hablar de ellas
La recogida de información está basada en el CFP de este año (2011) o del año anterior (2010) (exceptuando una de ellas que no tiene CFP)
For this little analysis exercise we have selected 19 conferences, some well-known and others not so much, based on the following criteria:
Conferences that I have attended as a speaker or attendee, participated in the organization or simply heard of them
The gathering of information is based on the CFP of this year (2011) or the previous year (2010) (except one of them that has no CFP)
Con esta información hemos analizado lo que ofrecen al ponente y desde luego que los resultados son variopintos:
La mayoría de conferencias paga hotel y suele ser un máximo de 3 noches
También la mayoría se hace cargo del transporte pero el precio del billete varía y siempre hay un límite
Sólo tres conferencias además pagan un honorario (Blackhat, Defcon y Syscan)
Dos conocidos congresos no cubren nada (RSA y OWASP)
Algunos de ellos, incluso con cierto renombre, proporcionan poca o ninguna información sobre los beneficios del ponente
Otros beneficios que algunos congresos ofrecen son fiesta, cenas, barra libre y/o visitas guiadas
La organización es bastante variada. Algunas tienen un acento corporativo (RSA, Infiltrate) y otras se presentan sin ánimo de lucro (Brucon, ToorCon) o son organizadas por colectivos hacker
With this information we have analyzed what they offer to the speaker and the results are quite varied:
Most conferences pay hotel, usually a maximum of 3 nights
Also most pay travel but the ticket price varies and there is always a limit
Only three conferences also pay a honorarium (Blackhat, Defcon and Syscan)
Two well-known conferences do not cover anything (RSA and OWASP)
Some of them, even with some renown, provide little or no information on the benefits of the speaker
Other benefits offered by some conferences are party, dinner, open bar and/or tours
The organization is quite varied. Some have a corporate accent (RSA, Infiltrate) and others are non-profit (Brucon, ToorCon) or are organized by hacker groups.
En mi experiencia, como fundador original de un congreso de seguridad en España, los congresos que realmente quieren triunfar necesitan profesionalizarse y tomárselo como un negocio, no necesariamente para ganar dinero pero sí para cubrir gastos y ofrecer una buena experiencia tanto a los ponentes como a los asistentes.
In my experience, as the original founder of a security conference Spain, conferences which really want to succeed need to professionalize it and treat it like a business, not necessarily to profit but to cover expenses and provide a good experience for both speakers and attendees.
Desde luego algunas conferencias tienen claro que esto es un negocio y así lo demuestran ofreciendo varios beneficios al ponente, por ejemplo pagar un honorario. Lógicamente ningún ponente se hará rico y creo que no es el objetivo de ningún ponente pero para unas cañas siempre da ;)
Some conferences have it very clear that this is a business and they do demonstrate by offering several benefits to the speaker, for example an honorarium fee. Of course no speaker will become rich and I think this is not the goal of any speaker anyways but for sure they can buy a few pints of beer ;)
Algunas conferencias con cierta buena reputación consiguen magníficos ponentes a pesar de no ofrecer ningún beneficio económico y eso que en muchos casos tienen sponsors o respaldo económico para cubrir gastos del ponente. Estas conferencias no facilitan que los ponentes sin respaldo económico de una organización puedan participar y tienden a repetir los ponentes de forma asidua. En algunos congresos podríamos hablar de falta de sangre nueva.
Even some of these conferences with a good reputation achieve excellent speakers despite not offering any economic benefits and in many cases they have sponsors or financial support to cover costs of the speakers. These conferences do not make easy for speakers without the financial backing of an organization to participate so conferences tend to repeat the speakers on a regular basis. In some conferences we could start talking about the lack of new blood.
EL máximo ejemplo de éxito es Blackhat, uno de los congresos más famosos y profesionalizado aunque no era así al principio, que su fundador vendió en el 2005 por 10 millones de dólares a CMP Media.
The best example of success is Blackhat, one of the most famous conferences and professionalized around although it was not at first, which its founder sold in 2005 for 10 million dollars to CMP Media.
Por otro lado como ponente en varios congresos, en los que algunos se me cubrían gastos y en otros no, he participado en ellos por varias razones y creo que muchos ponentes pensarán de la misma forma:
Por invitación del congreso
Social: ver a los amigos
Carrera Profesional: la posibilidad de hacer contactos, “networking”
Reputación del congreso
On the other hand as a speaker at several conferences, which some did cover costs and others didn’t, I have participated in them for several reasons and I think many speakers would think the same way:
By invitation of the conference
Social: to catch up with friends
Professional career: the possibility of making contacts, “networking”
Conference reputation
Tanto organizador como ponente yo me tomo cualquier congreso como un negocio y busco que sea una relación ganadora para todos (Win-Win), y a mi entender cualquier congreso como mínimo debería cubrir gastos (hotel, viaje y comida) de los ponentes.
Both as organizer and speaker I treat any conference as a business and I’m looking for a winning relationship for all (Win-Win), and in my opinion any conference at least should cover expenses (hotel, travel and food) of the speaker.
Hoy en día existen posiblemente demasiados congresos, muchos más de los que hemos analizado aquí, y aunque algunos tienen éxito la mayoría tienen dificultades para sobrevivir, por eso son necesarias la profesionalización y la innovación. Solo así se podrán conseguir buenos ponentes y sponsors y el éxito ya vendrá por sí solo.
Today there are possibly too many conferences, many more of which we have analyzed here, and although some are quite successful most struggle to survive, so they need to be professional and innovate. Only this way they can get good speakers and sponsors, and success will come by itself.
Si organizas un congreso y quieres tener éxito ya sabes, innovar o morir :)
Aquí podrás encontrar la hoja Excel que hemos utilizado para el análisis. Si eres organizador de algún congreso de los analizados y quieres añadir/cambiar información o quieres incluir uno nuevo no dudes en ponerte en contacto, por favor.
Qué congresos te gustan y por qué?
If you organize a conference and want to succeed, you must innovate or die :)
Here you will find the Excel sheet we used for the analysis. If you are organizing any of the conferences analyzed and want to add/change information or just want to include a new one please do not hesitate to get in touch with us.
[Español] Muchos conocerán a Zeus como el padre de los dioses en la mitología griega, pero Zeus también es un conocido malware con interesantes características. Se estima que este botnet es uno de los más activos con millones de infecciones por todo el mundo y que se puede contratar como un servicio o comprar en algunos foros por unos 10000 dólares con el código fuente. Es todo un lucrativo negocio.
[English] Many will know Zeus as the father of the gods in Greek mythology, but Zeus is also a well- known malware with interesting features. It is estimated that this botnet is one of the most active with million infections worldwide and it can be contracted as a service or purchased in various forums for 10000 USD with the source code. It’s a lucrative business.
En los últimos días han aparecido copias del código fuente en diversas webs en Internet y es fácil de encontrar con unas básicas habilidades de búsqueda, por lo que podemos imaginar en los próximos meses una explosión de botnets basados en Zeus.
In recent days copies of the source code have appeared on various websites on Internet and it’s easy to find with a few basic search skills, so we can imagine an explosion of Zeus-based botnets in the coming months.
En un análisis superficial del código fuente podemos encontrar una decente documentación de su instalación, configuración y uso, gracias :)
A superficial analysis of the source code we can find a decent documentation of installation, configuration and use, thank you :)
Lo cierto es que este malware es capaz de infectar varias versiones de Windows (XP, Vista y 7) con UAC activado y se controla desde un simple interfaz web escrito en php (C&C).
The truth is that this malware is able to infect multiple versions of Windows (XP, Vista and 7) with UAC turned on and is controlled from a simple web interface written in php (C&C).
Igual que hicimos con Stuxnet os pongo a continuación un mapa gráfico sobre Zeus en el cual podréis estudiar casi todas sus capacidades.
Just as we did with Stuxnet I put below a graphic map on Zeus in which you can study almost all its features.
Composición de Zeus / Zeus Composition
Analizando el gráfico podemos ver que Zeus es un complejo y sofisticado malware por lo que no sorprende su alto número de infecciones. Aunque Zeus no contiene exploits nos ofrece interesantes características como diversos canales de comunicación entre el Cliente y el Servidor con la posibilidad de encriptar mediante RC4 para saltarnos los mecanismos de seguridad típicos ;) así como un amplio arsenal: sniffer, robo de certificados, cookies y contraseñas, infección de navegadores (IE e Firefox), key logger, opciones de scripting y más. No es de extrañar que este botnet sea ampliamente utilizado por el ciber-crimen y con éxito.
Analyzing the graph we can see that Zeus is a complex and sophisticated malware so its high number of infections is not surprising. Although Zeus does not contain exploits offers interesting features such as number of communication channels between the client and the server with the possibility to encrypt using RC4 to skip your typical security mechanisms ;) as well as a broad arsenal: sniffer, stealing certificates, cookies and passwords, infection of browsers (IE and Firefox), key logger, options for scripting and more. Not strange that this botnet is widely and successfully used by cyber-crime.
Ahora que el código fuente es “público” podemos plantearnos diversas cuestiones:
¿Incluirán los framewoks de explotación algo parecido a Zeus? Hola Metasploit, sería genial :)
¿Veremos algún kit con código mezclado de Zeus y Stuxnet?
Seguramente veremos una explosión de clones de Zeus en los próximos meses. ¿Cuál será su precio?
¿Uso de Zeus para la ciberguerra?
Now that the source code is “public” we can consider various issues:
Will the exploitation frameworks include something like Zeus? Hello Metasploit, it would be great :)
Will we see a kit mixing code from Zeus and Stuxnet?
Surely we will see an explosion of clones of Zeus in the coming months. What will be their price?
Use of Zeus for cyber war operations?
Aquí concluimos este análisis de Zeus, aunque personalmente seguiré estudiando su código con más detalle y quizás algún día pongamos un post más detallado. Imagino que todas las casas de anti-virus están como locos estudiando el código ;)
¿Y cuál es tu visión de Zeus para los próximos meses?
Here we conclude this analysis of Zeus although personally I will continue studying the code in more detail and perhaps one day publish a more in-depth post. I imagine that all anti-virus houses are looking at the code like crazy ;)
And what is your vision of Zeus for the coming months?
Inauguramos una nueva sección del blog con un aviso de seguridad en una aplicación Android vulnerable que descubrí hace unos meses, todo un ejemplo de desarrollo inseguro.
No soy muy dado a publicar avisos de seguridad por el amplio gasto de recursos que consumen y el poco ROI pero de vez en cuando publicaremos algo. Tenemos más 0days en el horno ;)
We are inaugurating a new section of the blog with a security advisory in a vulnerable Android app that I discovered a few months ago, a good example of insecure development practices.
I’m not too keen to publish security advisories for the broad spending of resources they consume and the little ROI but occasionally we will release some stuff. We have more 0days in the oven ;)
El 16 y 17 de Abril tuvo lugar en Miami la primera edición de Infiltrate organizada por ImmunitySec con la aspiración de ser el mejor congreso ofensivo y tengo que admitir que lo han conseguido y con nota!
The first edition of Infiltrate organized by ImmunitySec was held in Miami on 16 And 17 April with the aspiration of being the best offensive conference and I have to admit that they have exceeded my expectations!.
Es el primer congreso en el que he asistido a todas las charlas porque eran todas muy buenas, aunque no perfectas. Prácticamente casi todas las presentaciones utilizaban exploits y algunos eran 0day.
It is the first conference that I have attended all the talks because they were all very good but not perfect. Almost all presentations used exploits and some were 0day.
Mis presentaciones favoritas fueron del primer día (Rock’m Sock’m Robots: Exploiting the Android Attack Surface y The Listening) aunque las presentaciones del segundo día tampoco tenían desperdicio como: Bypassing Windows services protections o Infiltrating PHP.
My favorite presentations were on the first day (Rock’m Sock’m Robots: Exploiting the Android Attack Surface and The Listening) although the presentations of the second day were not wasted material either: Bypassing Windows services protections or Infiltrating PHP.
Desde luego ha sido uno de los mejores congresos que he asistido, no sólo por la calidad técnica sino por el trato recibido ya que la gente de ImmunitySec ha realizado un gran esfuerzo poniendo toda la carne en el asador, y se han preocupado en todo momento en que los asistentes estuviéramos cómodos, por lo que aprovecho para felicitar a todo el equipo de Immunity por el gran evento! :)
Sin duda un congreso en mi lista de obligados, hasta el año que viene!
For sure one of the best conferences I have ever attended not only by the technical quality but by the treatment received by the people of ImmunitySec, who made a great effort to make sure all attendees were comfortable. Because of this I would like to take this opportunity to give my congratulations to all the Immunity team for the big event! :)
No doubt a mandatory conference on my list, until next year!
