Análisis de malware

Exclusivo: una mirada de cerca a la mayor campaña de recolección de credenciales a través de una botnet de IoT

marzo 6, por Admin

Exclusivo: MalwareMustDie descubrió una banda criminal que utiliza la técnica de ataque directo directo SSH TCP en una operación a gran escala.

El popular investigador MalwareMustDie publicó su primer análisis de y su informe es sorprendente. El experto ha descubierto una banda de ciberdelincuentes a gran escala que está recopilando credenciales y números de tarjetas de crédito de los principales sitios web de todo el mundo aprovechando una botnet de IoT.

MMD ha publicado un análisis detallado de la técnica de recolección utilizada por los ciberdelincuentes que atacan a miles de importantes servicios y servidores web en todo el mundo.

El investigador ha seguido la actividad del grupo y ha determinado el modelo de ataque ideado por los delincuentes que operaban a gran escala potenciando ataques tanto automatizados como manuales.

«Un usuario legítimo que tiene privilegios de autenticación de una conexión SSH existente puede reenviar el protocolo TCP en el mecanismo de proxy. En pocas palabras, es una práctica casi común hoy en día, especialmente para los servicios que deben verse desde un área de red local. » escribió MMD .

«La definición de esta amenaza es el abuso del uso legítimo de SSH TCP, mediante la realización de ataques automáticos o manuales a cuentas SSH débiles de dispositivos remotos (ya sean servidores o IoT), con credenciales o contraseñas de cuenta de fuerza bruta, para realizar un conjunto malicioso de ataques TCP. a través de la técnica TCP Direct Forward en la funcionalidad de reenvío SSH utilizando esta conexión SSH de «acceso forzado» a servicios remotos específicos».

El método de ataque

Para comprender la importancia de la operación criminal, veamos cómo han operado los atacantes.

Los piratas informáticos han utilizado una botnet de IoT para lanzar una campaña de «recolección de datos» a gran escala centrada en las credenciales de inicio de sesión, direcciones de correo electrónico y datos de tarjetas de crédito de los sitios web de destino.

Una vez recopilada la información, los atacantes la utilizaron para iniciar sesión en sitios web de pago como PayPal. No se dirigen al front-end de los servicios web, sino que intentan explotar las API para acceder a ellos.

El mismo conjunto de credenciales se utiliza luego en otros ataques contra plataformas de juegos y redes sociales.

1: Estrategia del atacante publicada por MMD

Los piratas informáticos intentan maximizar sus esfuerzos intentando comprometer las cuentas SSH de muchos servidores de correo en todo el mundo.

A menudo, este tipo de cuentas están menos protegidas y son fáciles de explotar para los piratas informáticos. Los piratas informáticos lanzaron ataques de fuerza bruta a través de sus botnets; Solían enviar paquetes TCP específicos a servidores vulnerables para piratearlos.

«El atacante está tomando las credenciales de los objetivos pirateables de su infraestructura «, continúa el blog MalwareMustDie. «Realizan el ataque manualmente o demonizan la conectividad SSH para que sea reenviada por TCP a través de algunas capas de cuentas SSH pirateables para realizar el ataque. La infraestructura de los servicios SSH comprometidos y los dispositivos IoT se utilizan como protección frontal para el ataque. Su objetivo era credencial lanzada a través de varios ataques TCP (HTTP/HTTPS o SMTP).»

«Tenemos un proceso similar al reciclaje para la recolección de credenciales final dirigida por piratas informáticos». lee MMD.

Los piratas informáticos lanzaron ataques tanto automáticos como manuales con diferentes características en la forma de realizar conexiones y realizar sesiones de ataque.

«Algunas características típicas en sus actividades registradas han sugerido la interacción directa de un humano durante una sesión de ataques, lo que respalda los hechos del establecimiento de la conexión utilizada para realizar el reenvío TCP que se configuró manualmente». escribió MMD.

Los atacantes pueden lanzar diversas formas de ataques, principalmente dirigidos a HTTP (protocolo) con y sin SSL.

Malware Must Die ha descubierto las siguientes formas de ataques:

El análisis publicado por MalwareMustDie incluye códigos PoC en múltiples escenarios de ataque; incluye capturas de pantalla de los abusos más vistos contra los principales sitios web como PayPal, LinkedIn, Facebook, Gmail, Royal Bank, ATT, PlayStation Store, PlayStation Network, eBay, Ubisoft, Sony Entertainment Network y muchos otros.

El experto también compartió código invertido y análisis de tráfico, junto con medidas de mitigación.

Según MMD, los piratas informáticos recopilaron una gran cantidad de correo electrónico de los principales servicios de correo electrónico en línea, incluidos Gmail, Yahoo, AOL, Microsoft (Live Mail y Hotmail), Mail.ru, Yandex, etc.

2- Credenciales recolectadas

Centrarse en los sitios web italianos bajo ataque

MMD, con el apoyo del popular experto en seguridad cibernética Odisseus, me permitió preparar y compartir una lista de los sitios web italianos atacados por la banda criminal.

Publicamos en exclusiva la lista de sitios web italianos objetivo, el número total de objetivos es 140, lo que incluye muchos servidores de correo.

La lista completa y detallada se ha compartido con las autoridades italianas para permitir más investigaciones.

Entre las víctimas se encuentran:

Asuntos de Seguridad y Odisseus alertaron al «Team Digitale» del Gobierno italiano que confirmó que ya está trabajando en el caso.

Preguntas y respuestas sobre el malware debe morir

He hablado con Malware Must Die para pedir más detalles sobre el grupo criminal y sus TTP (Técnicas, Tácticas y Procedimientos).

Debajo de las preguntas y respuestas con MMD

¿Podemos clasificar esta campaña de recolección como una de las mayores violaciones de datos en términos del número de organizaciones objetivo? ¿Puedes explicar mejor con palabras sencillas para las personas que no conocen la tecnología cómo los delincuentes roban información?

Este es un proceso de recolección masiva de credenciales. Los malos actores están explotando sitios débiles, que tienen fallas en su sistema web y recopilan todos los nombres de usuario y contraseñas, junto con las direcciones de correo electrónico. Los sitios web para adultos y los sitios de cámaras en vivo son un objetivo privilegiado debido a la falta de seguridad.

Luego también apuntaron a sitios de portales de pagos financieros como PayPal, pero no apuntaron directamente a la seguridad frontal del sitio web, sino que utilizaron la API en URI que permite que algunos dispositivos móviles accedan a estos sitios de pago. Los atacantes están «bombeando» las direcciones de correo electrónico recopiladas de estos sitios para obtener más datos financieros de los usuarios… para ver si pueden iniciar sesión con las mismas contraseñas.

El proceso no se detiene aquí; continúan pirateando usando URL específicas para acceder a otros sitios (es decir, sitios de juegos como Battlefield, PlayStation, Mojang, etc.) y verifican si pueden iniciar sesión con las mismas credenciales. Los delincuentes van más allá al intentar acceder a plataformas de redes sociales como LinkedIn, cuentas de Google, Yahoo, Facebook y también a muchos portales internacionales como Yandex, Rambler o Mail. RU… en este punto también apuntan al acceso a varias direcciones de correo electrónico para ver los datos que contienen (si es posible).

Por último, acceden a algunos sitios de Banca, venta en línea, en cada país específico utilizando direcciones de correo electrónico específicas de ese país, como en Canadá ingresan a Lowlaw.CA (el portal de tiendas mayoristas en línea) y apuntan a RoyalBank (banco canadiense) para obtener la credencial. que se puede utilizar para piratear más datos financieros.

En este punto viene la parte interesante del ataque.

Los piratas informáticos verifican los servidores de correo electrónico en cada país relacionado de las direcciones de correo electrónico recopiladas previamente, y primero escanean dónde están los servidores, luego verifican si los servidores de correo electrónico tienen protocolo IMAP o POP.

Para los servidores IMAP, intentan piratear nuevamente con la credencial recopilada mediante un ataque HTTP, para los POP intentan acceder directamente al protocolo POP y al protocolo SMTP en un intento de obtener acceso directo al buzón.

Esto sucede con los datos generales de direcciones de correo electrónico recopilados en todo el mundo,

En Japón, para el ataque SMTP, tenemos más de 2taques en Japón y 74 intentos de hackeo positivos, tienes como 400 ataques en Italia y 140+/- intentos de hackeo positivos a los servidores de correo electrónico, Alemania tiene más de 340 intentos de hackeo positivos. , y Estados Unidos sufre cifras mucho mayores.

Esto significa que estamos ante una operación a gran escala de robo masivo de credenciales, creo que el objetivo principal es robar datos de tarjetas de crédito.

¿Cuál es el riesgo para los usuarios de LinkedIn, Gmail y Facebook?

Gmail, Facebook o LinkedIn son sitios con buena seguridad, pero brindan acceso a una aplicación móvil que a menudo es «menos segura» y aprovechan el esquema de autenticación más simple con el URI y los parámetros enviados a través de ella (encriptados o no) cuando los usuarios acceden. desde su navegador web.

Los atacantes están estudiando qué formato de URI es posible explotar para evitar las vulnerabilidades en los servidores de destino.

Son piratas informáticos para intentar tantos patrones de ataque como sea posible. Y en este esquema, automatizaron un programa de script para crear un DAEMON (un proceso, como un servidor, que está listo para ejecutar varias tareas), que hace un túnel a través de SSH a través de capas pirateadas bajo la infraestructura del atacante y envía el comando de pirateo a los objetivos. RÁPIDAMENTE, y utilizando tantos patrones para probar el esquema AUTH de los portales mencionados anteriormente.

Sin embargo, en su mayoría, las cuentas que ya obtuvieron y que tienen credenciales válidas pueden iniciar sesión en dichos servicios. Verifiqué las credenciales de Gmail, Yahoo y Hotmail con el único propósito de ver si este esquema de piratería funciona, y funcionó.

El esquema de ataque comienza con la obtención de materias primas (correos electrónicos y contraseñas de sitios débiles como sitios de juegos, sitios para adultos, etc.). Reciclar datos robados intentando atacar a los servidores de correo electrónico o a sitios de redes sociales. Luego también intentaron utilizar los datos robados apuntando a sitios bancarios, sitios de pago en línea o sitios como eBay y LobLaw.

Curiosamente, todos los sitios para adultos tienen una base de datos de tarjetas de crédito para el esquema de pago y, en su mayoría, su seguridad es débil.

¿Crees que es un grupo de delincuentes? ¿Por qué no una acción patrocinada por el Estado?

Fue mi primer pensamiento. Esta es una operación a gran escala; es trabajo de profesionales. Continuar la investigación sobre el coleccionista y trabajar en la base de datos de malos actores que hemos recopilado a lo largo de los años; Hemos comparado el esquema de piratería de este grupo con el de otros actores de amenazas. Hemos encontrado una coincidencia positiva para un grupo de delincuentes que pensábamos que muchos de ellos habían sido arrestados, pero la reciente campaña de recolección sugiere que algunos de ellos no. Algunos miembros de la pandilla todavía están por ahí.

Venden tarjetas de crédito en su sitio web especial y es por eso que pueden tener tantas tarjetas de crédito para vender en su sitio web. Al darse cuenta, los actores detrás de estos sitios web de tarjetas son los mismos que lanzaron la campaña de recolección. Nos comunicamos con las autoridades para proporcionarles esta información; la policía está investigando el caso.

Los delincuentes son profesionales capacitados que pueden evitar ser arrestados. Creo que las fuerzas del orden tienen la difícil tarea de rastrearlos.

Conclusiones

Se trata de una operación muy compleja que actualmente está siendo investigada por expertos y autoridades.

El informe compartido por MMD está lleno de datos interesantes, incluida la distribución geográfica de las víctimas (principalmente en los EE. UU.) y la lista general de direcciones IP objetivo, incluidas las italianas.

3: Mapa GeoIP de la red de la víctima (Informe MMD)

A continuación la información compartida por Malware Must Die:

MMD también proporcionó sugerencias al administrador del sistema para detectar ataques en curso.

La mejor forma de detectar el ataque es analizar las conexiones a sus servidores; Los administradores pueden buscar la sesión ESTABLECIDA más larga en SSH de la red que no esté relacionada con sus actividades como sospechosas.

«Elija un proceso que se vincule a una conexión y podrá elaborar los datos en función de la conexión deseada (como raíz, por supuesto). Un comando establecido como ps, ptrace+ *debuggers y una lista de archivos son útiles para la detección. » escribió MMD.

«Bloquear la amenaza es simple. Para el administrador de sistemas Linux, iptables es bueno, para usuarios de BSD puede usar ipfw, pf o ipf, o como opción puede usar la aplicación web compilada envoltorio TCP o los servicios para ser bloqueados por los hosts. permitir que funcionará bien.»

A continuación se muestran algunos ejemplos para bloquear la amenaza tanto con iptables como con ipfw:

// iptables (linux)

sudo iptables -A ENTRADA -s 5.45.72.0/22 ​​-j SOLTAR

sudo iptables -A ENTRADA -s 5.45.84.0/22 ​​-j DROP

sudo iptables -A ENTRADA -s 5.45.76.0/22 ​​-j DROP

sudo iptables -A ENTRADA -s 5.45.64.0/21 -j DROP

// ipfw (librebsd)

ipfw agrega denegar desde 5.45.72.0/22 ​​a cualquier

ipfw agrega denegar desde 5.45.84.0/22 ​​a cualquier

ipfw agrega denegar desde 5.45.76.0/22 ​​a cualquier

ipfw agrega denegar desde 5.45.64.0/21 a cualquier

Un agradecimiento especial a Odiseo que me apoyó en el análisis de los acontecimientos.

Referencias

http://blog.malwaremustdie.org//02/mmd-0062–ssh-direct-tcp-forward-attack.html

http://securityaffairs.co/wordpress/56864/cyber-crime/ssh-tcp-direct-forward.html