Análisis de malware
Malware en la web oscura
15 de enero de por Admin
La Dark Web juega un papel crucial en el mundo criminal, especialmente para las comunidades de desarrolladores de malware; Las principales redes oscuras son entornos privilegiados para los autores de malware y los botmasters.
Los numerosos mercados negros son excelentes puntos de agregación para los desarrolladores de malware y los delincuentes que pretenden pagar por códigos maliciosos e infraestructuras de comando y control.
El uso de redes oscuras representa una opción de diseño para los desarrolladores de malware que las utilizan para ocultar los servidores de comando y control.
Hace apenas tres años realicé un análisis rápido para determinar la cantidad de códigos maliciosos que explotaban tanto la red Tor como la dark net I2P para ocultar sus servidores de comando y control. Los resultados fueron sorprendentes: la cantidad de malware que utilizaba la red oscura era limitada, con una prevalencia de código malicioso basado en Tor.
1: Malware que utiliza CC en la Dark Web (Security Affairs)
En sólo tres años la situación ha cambiado por completo: hoy en día casi cualquier ransomware depende de servicios ocultos en la red Tor para la infraestructura de pagos. Muchos tipos de malware están controlados directamente por servidores alojados tanto en Tor como en I2P, y es bastante fácil encontrar Ransom-as-a-Service (RaaS) en las redes oscuras.
A continuación se muestran algunos ejemplos de malware descubierto en los últimos 12 meses que aprovechan las redes oscuras para sus operaciones:
- – MACSPY – Troyano de acceso remoto como servicio en la Dark web
- : MacRansom es el primer ransomware para Mac que se ofrece como servicio RaaS.
- – Karmen Ransomware RaaS
- –Ransomware-as-a-Service denominado Shifr RaaS que permite crear ransomware compilando 3 campos de formulario.
2: Panel de control de Shifr RaaS
Ocultar la infraestructura de comando y control en la web oscura
Los autores de malware suelen ocultar los servidores CC en la red oscura para hacer que la botnet sea resistente a las operaciones realizadas por empresas de seguridad y cumplimiento de la ley. El uso de redes anonimizadas es bastante común, pero tiene pros y contras, veamos en detalle cuáles son ventajas y problemas.
Tor-Botnet
Durante la Conferencia Defcon en , el ingeniero de seguridad Dennis Brown pronunció un interesante discurso sobre las botnets basadas en Tor; Explicó cuáles son los pros y los contras de ocultar servidores CC en la red Tor. Las principales ventajas de las botnets basadas en Tor son:
- Disponibilidad de servicios ocultos autenticados.
- Disponibilidad de redes Tor privadas
- Posibilidad de inundación del nodo de salida
Los investigadores de seguridad utilizan el análisis de tráfico para detectar actividades de botnets y localizar los servidores CC; Por lo general, lo hacen mediante el uso de sistemas de detección de intrusiones y analizadores de red. Una vez descubierta una botnet, los investigadores de seguridad y las fuerzas del orden tienen diferentes opciones para erradicarla:
- Oscurecimiento de las direcciones IP asignadas al servidor CC
- Limpieza de servidores CC y de los hosts infectados.
- Revocar nombre de dominio
- Proveedor de hosting eliminado
El tráfico de la Botnet se dirige al servidor CC a través de la red Tor que lo encripta dificultando su análisis.
Brown propuso los siguientes dos modelos de botnet que explotan la red Tor:
- “Modelo basado en proxy Tor2Web”.
- “Malware compatible con proxy en la red Tor”.
“Modelo basado en proxy Tor2Web”.
El mecanismo de enrutamiento se basa en el proxy Tor2Web para redirigir. Tráfico web de cebolla. El bot se conecta al servicio oculto pasando a través del proxy Tor2Web que apunta a una dirección cebolla que identifica el servidor CC que permanece oculto. El principal problema relacionado con este enfoque es que es fácil filtrar el tráfico Tor2Web, el modelo también sufre una latencia significativa debido a la red Tor que podría hacer que la botnet no responda.
“Malware compatible con proxy en la red Tor”.
Los robots que implementan este enfoque ejecutan el cliente Tor en los hosts infectados. Los bots deben ser compatibles con el protocolo SOCKS5 para llegar. Las direcciones cebolla a través de la red Tor una vez cargaron un cliente Tor en los sistemas de las víctimas.
Este segundo enfoque es más seguro porque el tráfico no se enruta a través de un proxy y está completamente dentro de la red Tor debido a la conexión directa entre los bots y los servidores CC.
Este enfoque es más complicado desde la perspectiva de un bot debido a la complejidad de administrar la interfaz SOCKS5 y la sincronización de botnets. Este tipo de botnet podría detectarse fácilmente por la presencia de tráfico Tor en una red.
Fortalezas y debilidades de Tor Botnets
Los principales puntos fuertes para implementar una botnet basada en Tor son:
- Tráfico de botnet disfrazado de tráfico Tor legítimo
- El cifrado evita que la mayoría de los sistemas de detección de intrusiones encuentren tráfico de botnets.
- Los servidores de comando y control (CC) son difíciles de localizar
- Los servicios ocultos proporcionan una función específica de Tor. pseudodominio de nivel superior de cebolla, que no está expuesto a posibles hundimientos.
- El operador puede moverse fácilmente por los servidores de CC simplemente reutilizando la clave privada generada para el Servicio Oculto.
Las principales debilidades son:
- Gestión compleja de botnets
- Riesgo de fragmentación de botnets
- Latencia en la comunicación.
La botnet Mevade: un estudio de caso
El malware Mevade (también conocido como Sefnit, LazyAlienBiker) es uno de los botnets basados en Tor más grandes de la historia; en septiembre de provocó un aumento en el número de usuarios de Tor que alcanzó los 5 millones.
3: Usuarios de Tor Mevade Spike Tor de Métricas
Los autores del robot Mevade eran rusos; Utilizaron la botnet para instalar adware y barras de herramientas en sistemas infectados, extraer Bitcoin y robar información confidencial de las máquinas de las víctimas. Los expertos de TrendMicro revelaron que el bot Mavade también implementó funciones de puerta trasera y la capacidad de comunicarse a través de SSH con hosts remotos.
Malware en la web oscura
En la red Tor es fácil encontrar servicios ocultos que proponen malware y servicios relacionados a los visitantes, a continuación una breve lista de sitios cebolla que he visitado en busca de malware en las últimas horas:
Dirección de cebolla Nombrehttp://rhe4faeuhjs4ldc5.onion/ Foro anónimo: foro de hackershttp://money2mxtcfcauot.onion/hacking.html Centro de falsificaciónhttp://rsprjqyxhf25l3qd.onion/order.php DW – DETECTIVOhttp://facez25qzcuvu2t3.onion/ Hackear cuenta de Facebookhttp://raasbrrypzkuj5cy.onion/ RaaSberry: ransomware como serviciohttp://3m2pyft7fyzjqymu.onion/ Mercado Berlusconihttp://pwoah7foox4q2juo.onion Mercado de sueñoshttp://x7bwsmcore5fmx56.onion/ Mercado Wall SThttp://3vrrj7zpi27idyli.onion/ Repositorio de malwarehttp://5nr3y5i5tenl6a3w.onion/ CrimeBayhttp://macspy423ho54vap.onion/ MacSpyhttp://ranionjgot5cud3p.onion/ Ranion ransomware
Comencemos con Berlusconi Market, que tiene una impresionante lista de malware, que incluye botnets, exploits, kits de exploits y software de seguridad.
Navegando por el mercado podemos encontrar cualquier tipo de malware, desde RAT móviles como DroidJack hasta troyanos bancarios como GozNym. Mientras que el Android RaT cuesta unos pocos dólares, la versión completa de la botnet GozNym, que incluye la instalación en los servidores a prueba de balas del usuario y el código, cuesta 1500 euros.
Los vendedores también ofrecen servicios para configurar una botnet o impulsar un ataque DDoS que pueda eludir los servicios de protección (es decir, Incapsula, CloudFlare, Sucuri).
Varios proveedores ofrecen registradores de teclas muy económicos (precio entre 1 y 5 euros) y scripts DDoS que también funcionan en contra. sitios de cebolla.
La oferta también incluye varios software para hackear dispositivos móviles, por ejemplo, el super Bluetooth Hack cuesta menos de 3 euros y te permite “hackear” otro teléfono para poder controlar y acceder a información como historial de llamadas, mensajes de texto. , tonos de llamada y más.
Continuamos nuestro recorrido visitando el mercado The Dream Market; Está organizado en varias categorías, algunas de ellas incluyen productos que podrían resultarnos interesantes.
Al buscar el término troyano, es posible encontrar muchos vendedores que ofrecen códigos maliciosos, desde troyanos bancarios hasta ransomware.
Android RAT y el ladrón de información son muy baratos; Es posible comprarlos por menos de 5 dólares. Indagando en el mercado negro, podemos encontrar otro malware, como el bot de Android SMSBot y BetaBot, ambos disponibles por menos de diez dólares.
Por supuesto, también es posible pagar por ransomware, la calidad del código que se ofrece en el mercado no es tan buena, pero esto es normal en los mercados genéricos.
4: El mercado de los sueños: búsqueda de ransomware
Otro mercado negro que tiene una interesante oferta de malware es el “Wall ST Market”, que incluye secciones específicas donde encontrar códigos maliciosos, botnets y exploit kits.
Los aspirantes a delincuentes pueden comprar el malware ATM Cutlet Maker por alrededor de $3500; Fue detectado por primera vez en octubre de por investigadores de Kaspersky Lab que notaron una publicación en un foro que anunciaba el código malicioso.
A un Monero Miner Builder silencioso se le podría pagar 300 euros, mientras que un Jigsaw Ransomware está disponible por 1uros. El software espía de Android es muy económico; el DroidJack Android RAT está disponible por sólo un dólar.
5 – Mercado negro de Wall ST Market
En la red Tor también es posible encontrar repositorios completos de malware, uno de ellos es DarKoder. Este tipo de repositorios están bien organizados e incluyen casi cualquier tipo de malware y componente para el desarrollo de malware. Por supuesto, la oferta es para profesionales más capacitados que una vez obtenidos el código malicioso puedan personalizar la instalación y entregarlo.
6 – Repositorio Darkoder
El repositorio está organizado en varias categorías que incluyen:
- Redes de bots
- Cripteros
- DOSer
- Registradores de teclas
- Minero
- Malware de la vieja escuela
- Otros tipos de malware
- RATA
- malware SE
Al explorar la carpeta RAT, podemos encontrar malware popular como DarkCometRAT5, ProtonRAT y PurpleRat.
La carpeta de botnets incluye varios elementos, como botnets bancarios, botnets DDOS y botnets de registradores.
Al buscar Ransomware-As-A-Service, encontré RaaSberry, un conjunto de paquetes de ransomware personalizados que están listos para distribuir. Los paquetes están precompilados con una dirección de Bitcoin proporcionada por los usuarios. Como cualquier otro RaaS, RaaSberry también proporciona un Centro de comando y control (CC) para administrar a sus víctimas y ver claves AES individuales.
7: RaaSberry Ransomware como servicio
Conclusión
Los expertos en seguridad han destacado las profundas diferencias entre los distintos mercados negros, los delincuentes en cada zona geográfica especializan su oferta. Las comunidades criminales brasileñas, por ejemplo, se centran más en los troyanos bancarios, mientras que las comunidades de hackers chinas se centran en el malware móvil.
Los precios del malware son muy diferentes según áreas geográficas específicas.
Si observamos la lista de precios recopilada por las empresas de seguridad, podemos ver que productos específicos en algunos mercados tienden a ser más caros que en otras regiones.
Este es el caso de los Keyloggers en foros de Medio Oriente y Norte de África que se ofrecen en promedio por 19 dólares, mucho más caro que en otros lugares. En el underground norteamericano, por ejemplo, es posible comprarlos por entre 1 y 4 dólares.
8: La clandestinidad de Oriente Medio y el Norte de África (Informe Trend Micro)
Las diferencias anteriores demuestran la intensa actividad de las comunidades de malware en diferentes regiones; sus evoluciones a menudo están relacionadas con los hábitos específicos de las víctimas potenciales en el área en lugar de una tendencia global.
¡Conviértete en un ingeniero inverso certificado!
Obtenga capacitación práctica en vivo sobre análisis de malware desde cualquier lugar y conviértase en un analista certificado de ingeniería inversa. Comienza a aprender
Fuentes
- Pérdidas de Maersk Notpetya
- FedEx 300 millones de ataques notpetya
- El mayor intercambio de bitcoins
- El cibercrimen clandestino en el norte de África
- Bithumb hackeado
- Hackeo de moneda Ethereum
- Atraco cibernético a Coindash
- Veritaseum ciberatraco ethereum
- Declaración del G7 sobre comportamiento de los Estados responsables en el ciberespacio
- Ataques DDoS a dispositivos IoT
- El underground de Medio Oriente y el norte de África donde se encuentran la cultura y el cibercrimen