Primer desafío :D.

Bueno, como comenté en una de las entradas anteriores, cada vez que tenga un poco de tiempo libre (y me acuerde del blog xD) voy a intentar hacer desafíos de esos que dan vueltas por internet. La idea es empezar con los simples e ir subiendo un poco la dificultad y ver hasta donde puedo llegar xD. Principalmente buscaré desafíos de tipo forenses, al menos por ahora es lo que mas me interesa.
Para empezar elegí (http://forensicscontest.com/2009/09/25/puzzle-1-anns-bad-aim) este primer caso. La introducción está en inglés, y no pienso traducirla D... aprender inglés es muy importante, al menos en este rubro.

El desafío consiste básicamente en analizar una captura de tráfico de una LAN y responder las siguientes preguntas que se plantean.

Para poder ver el tráfico de manera legible utilizamos Wireshark, y nos encontramos con unos 240 paquetes, que van de consultas dns, actualizaciones NTP, paquetes ARP hasta conexiones http ssl tls, etc etc.

Reconocimiento de la red:
Desde la captura obtenida encontramos al menos 6 ordenadores en la red 192.168.1.0/24. Tenemos pcs en las direcciones 10,30,2,157,158,159 (último octeto de la IP real). Un servidor DNS en 10.1.1.20, un gateway y servidor NTP en 192.168.1.10, y un aparente servidor web en 192.168.1.157. Además encontramos algunas IPs públicas de servicios de mensajería instantánea AOL.

La primer secuencia de paquetes interesantes para este caso es la que tiene como origen 192.168.1.158 (pc de anna xD) y destino 64.12.24.50. En esta conexión podemos ver la conversación que mantiene Anna con el chico malo. El chico malo (192.168.1.159) está utilizando un cliente de mensajería que cifra la conversación, no así anna, por eso podemos ver la conversación en gran parte.

Bien, ahora podemos responder la primer pregunta.
1-El amigo malvado de anna se hace llamar "Sec558user1".
2-El primer comentario registrado fue escrito por anna y dice "Here's the secret recipe... I just downloaded it...".
3-También observamos el nombre de un archivo potencialmente de texto "recipe.docx", una vez que el destinatario acepta la transferencia del archivo, se abre una conexión punto a punto entre las dos pcs 192.168.1.158 <-> 192.168.1.159.
4-Buscando un poco por internet se pueden encontrar sitios que listan magic numbers (http://www.garykessler.net/library/file_sigs.html) para distintos tipos de archivos. El magic number que señala archivos de tipo docx es "50 4B 03 04", que si, es exáctamente igual al de archivos de tipo zip.
5-Este punto resultó ser bastante mas complicado que los anteriores xD.
 La siguiente imagen es la captura de la conexión TCP que se abre para transferir el archivo recipe.docx. Los puntos rojos señalan los paquetes que traen carga efectiva (partes del archivo).

Desde otro punto de vista vemos:

"PK" es la traducción ASCII de "50 4B", es decir, a partir de allí existe nuestro archivo. Si pasamos el volcado a Hexa es mas claro:

Ahora viene el trabajo pesado. Como el archivo no es tan grande como para que sea necesario automatizar el proceso, lo hice manualmente. De cada uno de los paquetes marcados con rojo en la imagen de la conexión TCP extraje los bytes de carga, de la siguiente manera: seleccionamos el paquete, vamos a la zona de datos y exportamos los bytes del paquete.

Exportamos uno a uno los 10 paquetes, en mi caso les asigné como nombre las primeras 10 letras del abecedario, es decir a,b,c,d,e,f,g,h,i, y j. Ahora tenemos nuestro documento de texto partido en 10 pedazos xD, poco útil cierto? jajaj. Haciendo uso de una de las maravillas de la ingeniería unimos estos 10 archivos en uno solo, de la siguiente manera:

juan@moon:~/ForensicTests/puzzle1-forensicscontest/Solucion$ cat a b c d e f g h i j > recipe.docx
juan@moon:~/ForensicTests/puzzle1-forensicscontest/Solucion$ md5sum recipe.docx 8350582774e1d4dbe1d61d64c89e0ea1  recipe.docx
juan@moon:~/ForensicTests/puzzle1-forensicscontest/Solucion$ file recipe.docx
recipe.docx: Zip archive data, at least v2.0 to extract

Si!, cat es la maravilla de la ingeniería xD. Unidos los 10 archivos calculamos su checksum y de paso vemos como file lo detecta correctamente como un archivo tipo ZIP. Y ya tenemos el punto 5.

6-Si el punto 5 está bien hecho este es trivial, claro si tenés office instalado!!! :P, pero como no lo tengo recurrimos a GoogleDocs :D y leemos la receta secreta!!!

Y aca concluye el primer desafío. Anna realmente fue parte de una fuga de información y debería ser sancionada como corresponda :P. Sec558user1 se salió con la suya, obtuvo la codiciosa receta secreta y debe estar vendiéndola en ebay xD.

Recien salido del horno "Que absurdo.‏"

Aca traigo una novedad de esas que me llegan por mail xD. Esta vez de un contacto diferente, y con el siguiente texto:

Todos los enlaces de las supuestas fotos apuntan a http://mulhersubita.100webspace.ne t/ que nos redirije a un sito chino, específicamente a http://www.cwts.com.cn/en/area/taiwan/Downloads_E.z ip . Una vez descargado este archivo comprimido quien no se sentiría tentado de ver unas fotos... En fín, dichi zip contiene un ejecutable, que a este momento es detectado por 4 de los 42 antivirus que utiliza virus total, es decir, es muy muy nueno evidentemente. Enlace de mi reporte en virus total: http://www.virustotal.com/file-scan/report.html?id=77df88abc1a50a6d1b2b283388e1d1561f91e2b78becb870d1555d3b57cfbffb-1282783946 .

Una vez prepara la vm nueva voy a probar qué hace este nuevo bichito :D.
...
...
5 minutos después... una gran decepción, por algún motivo obtengo esto:

process: created C:\WINDOWS\explorer.exe -> C:\Documents and Settings\Administrador\Escritorio\Downloads_E.exe
process: terminated C:\WINDOWS\explorer.exe -> C:\Documents and Settings\Administrador\Escritorio\Downloads_E.exe

Es decir, el proceso se crea y muere inmediatamente... es probable que el entorno donde lo intento ejecutar no le sea propicio (Windows XP SP3).

Aca el reporte de anubis: http://anubis.iseclab.org/?action=result&task_id=13f3d7a196e03ed6459da776ce3d9e114&format=pdf .

Las actividades que registró anubis yo no las observé en mi entorno de pruebas, para esto debe haber una explicación, mis conjeturas son:
-Anubis realiza las pruebas sobre otro sistema operativo distinto del mio.
-Mi programa de logging de actividades CaptureBAT no registra las actividades de este malware, posiblemente sea mas avanzado que los demás.

Hasta el momento no registré actividad de red extraña desde la VM infectada, lo que me llama poderosamente la atención. No pude avisar a los administradores del sitio chino porque... no encontré un mail de contacto xD. El sitio tiene mucho código en php en malas condiciones y vulnerable, seguramente por ahí fue que lograron colarse los chicos malos.

En los próximos días tengo planeado hacer unos ejercicios de informática forense que iré juntando por la web, es una rama de la informática muy interesante. La idea es intentar resolverlos y subir los resultados al blog, como para variar un poco.

Nuevo: "Fotos chocantes cobra engole garoto de 13 anos no Pantanal 09/08/2010‏"

Ya no se cuanto tiempo pasó de la entrada anterior, pero mas de una semana seguro. Necesito temas para escribir en el blog xD. Justamente hoy, recibí un nuevo email de mi "contacto en el mas allá". Nuevamente el título del email juega con el morbo de los seres humanos xD. Las supuestas fotos estarían enhttp://ofuxico.terra.com.br/materia/Fotos-pantanal-0.73642, que a decir verdad apunta a http://centurionet2001.com/files/ Fotos-IML-matogrosso.pps?0.73642 .
De una vez por todas estos chicos realizaron  cambios interesantes, respecto a las versiones anteriores. Todo indica que centurionet2001.com, es un host comprometido por los chicos malos, o nunca fue concebido con buenos fines :P.

Si presionamos el link seremos redireccionados de la siguiente manera:

GET /files/Fotos-IML-matogrosso.pps?0.73642 HTTP/1.1
Host: centurionet2001.com
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; es-ES; rv:1.9.2.8) Gecko/20100722 Firefox/3.6.8
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: es-es,es;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Keep-Alive: 115
Connection: keep-alive

HTTP/1.1 302 Moved Temporarily
Date: Mon, 23 Aug 2010 23:13:19 GMT
Server: Apache/2.0.63 (Unix) mod_ssl/2.0.63 OpenSSL/0.9.8e-fips-rhel5 mod_auth_passthrough/2.1 mod_bwlimited/1.4 FrontPage/5.0.2.2635 mod_perl/2.0.4 Perl/v5.8.8
X-Powered-By: PHP/5.2.9
Location: http://hostgaitor.narod.ru/materia.htm
Content-Length: 0
Keep-Alive: timeout=15, max=100
Connection: Keep-Alive
Content-Type: text/html

De nuevo dominios .ru ... hostigaitor.narod.ru/materia.htm hospeda un sitio que se presenta de la siguiente manera.

Similar al sitio de adobe cierto? jajajaaj, no cabe duda. Además nos invita a instalar Adobe Flash Player version 10.1.6 (supuestamente) de Adobe System y hospedad en hostigator.narod.ru.
Pidiendo un poco mas de información a firefox vemos que el certificado con que fue firmada la aplicación:

1. Expiró en 2009 (Validity Validity: [From: Sat Nov 08 18:25:37 ARST 2008,
                  To: Fri Feb 06 18:25:37 ARST 2009] ).
2. Fue generado por Adobe System@ para Adobe System@. Lo cual despierta sospechas a firefox.

Si cancelamos la instalación (muy recomendable xD) no sucederá nada malo (ni divertido xD). Pero bueno xD, en este caso vamos a ver qué sucede de divertido cuando aceptemos e instalemos este "nuevo" flashplayer.
Primero descargamos el archivo a instalar para comprobarlo con virustotal a ver que nos dice. El archivo en cuestión se hospeda en: http://realamizades.com/system/FLASH_PLAYER10.0.40.5.ex e.
Todo indica que este es el primer reporte que recibe virustotal de nuestro amigo infeccioso.
14 de 40 antivirus lo detectan como una amenaza, para ver el reporte total click aca -> http://www.virustotal.com/file-scan/compact.html?id=c116fc4d1aad19121d484c07ebad0d49cdc4e01a5778efc41e450bfe789bb803-1282606951#
Análisis de anubis: http://anubis.iseclab.org/?action=result&task_id=103db40d587163ab4cdfd8aaba20e6896&format=html . El reporte de anubis nos indica con precisión las actividades acometidas por nuestro .exe en el sistema.
Una de las primeras actividades es descargar la siguiente "imagen":

Se puede observar el sospechoso envión de una imagen en formato png, la cadena "This program must be run under win32" nos deja mas que claro que no se trata de una imagen en lo mas mínimo. Poniendo el link directamente en el navegador, este nos indica que la imagen está corrupta y no puede mostrarse. Para saber su verdadera identidad podemos utilizar por ejemplo el comando file (en linux) de la siguiente manera:

juan@moon:~$ wget http://lajeado2010.tv/log/itens_img01.png
--2010-08-23 21:17:52--  http://lajeado2010.tv/log/itens_img01.png
Resolviendo lajeado2010.tv... 189.38.80.195
Conectando a lajeado2010.tv|189.38.80.195|:80... conectado.
Petición HTTP enviada, esperando respuesta... 200 OK
Longitud: 116992 (114K) [image/png]
Guardando a: «itens_img01.png.1»

100%[======================================>] 116.992     37,0K/s   en 3,1s   

2010-08-23 21:18:01 (37,0 KB/s) - «itens_img01.png.1» guardado [116992/116992]

juan@moon:~$ file itens_img01.png
itens_img01.png: PE32 executable for MS Windows (GUI) Intel 80386 32-bit
juan@moon:~$

Ya no cabe duda de que no se trata de un png xD, sino de un archivo ejecutable de windows. Aca el análisis de virustotal de itens_img01.png http://www.virustotal.com/file-scan/report.html?id=f911b9f4a1801f480151d75466da7806d1efb2e842fffecff625aec1ab4fea10-1282609386.

Todo sigue igual...

Esta semana comencé la facultad de nuevo y junto con eso una pasantía en el centro de redes de otra universidad, todo esto implica una drástica disminución en mis tiempos libres xD.

Hoy después de varios días volví a recibir un mail de mi "contacto", pero el punto esta vez es que... el mail tiene el mismo asunto que el de la entrada del 15 de julio (http://viviendolared.blogspot.com/2010/07/otro-mail-interesante-encontrado-o.html) y pienso... mierda!!! ni siquiera se molestan en innovar!!! El archivo se sigue llamando igual, aunque esta vez se encuentra alojado en http://bit.ly/ afgHin?0.05796 -> http://svelin.com/stats/fotos.com .

Lo mas gracioso de este caso... es que el sitio en cuestión (svelin.com) corre el servicio Webalizer:

Ven el punto roojo? xD, bueno, analicemos... a los 4 días del mes de agosto se superaron ampliamente las métricas diarias respecto al resto de los meses, inclusive se superaron algunas métricas mensuales!!! En los 4 días que van de agosto hubo el doble de visitas que en todo julio jajjaja, definitivamente como administrador del sitio esto me llamaría poderosamente la atención. Los administradores ya fueron debidamente avisados.

Mirando un poco mas podemos hasta deducir la fecha en que se pudo haber perpetrado la intrusión:

Vemos que el día 3, las métricas revientan respecto a los otros dos días de agosto... claramente eso es un indicio de que comenzó a propagarse el enlace al malware que tienen hospedado...

Otro, mirá quien está en segundo puesto de las url mas accedidas :P

Esta siguiente me pareció MUY interesante, la mayoría de los referrers (páginas desde donde se accedió al enlace del malware) son webmails!!!

Al menos sospechoso deberia ser, que un sitio aparentemente Checo tenga un gráfico así:

Tendrían que hacer una versión en portugues? NO!!!!! tienen que borrar el fotos.com!!! y denunciar una intrusión a principios de agosto seguramente, posiblemente el 3 cerca del medio día!!!
Una vez mas queda claro el objetivo de este malware... BRASIL!!! el país sudamericano con mayores usuarios de internet y homebanking.

Esta vez no voy a hacer mas análisis de fotos.com, ya que se comporta de la misma manera que los anteriores, inclusive sigue utilizando a www.avinnovo.com y otros hosts que ya fueron advertidos de que se encuentran hospedando malware.

La pregunta es... ¿¿¿complicidad o ignorancia??? la respuesta es...

Actualización... navegando un poco mas el sitio en cuestión se puede encontrar una PHPshell... no voy a poner el enlace por una cuestión obvia, pero evidentemente el sitio está MUY comprometido.