Manejo de incidentes de seguridad por drone de Skinhole con HTTP

Descripción

Existen informes que indican que un servidor (o una máquina/PC conectada a través de VPN, NAT, etc) se ha unido a un servidor Sinkhole operado por una organización de seguridad pero no ha llegado por medio de un HTTP referrer.

Debido a que el servidor Sinkhole solo puede accederse a través de nombres de dominio anteriormente maliciosos, la actividad que se ha detectado indica que este servidor está infectado o está dando servicios de VPN a un host infectado. 

Encuentre más detalles sobre estos informes aquí: https://www.shadowserver.org/wiki/pmwiki.php/Services/Sinkhole-HTTP-Drone

Detalles de drones identificados 

  • Tipo de drone: Sality

Este virus es un infector de ficheros polimorfo que modifica archivos ejecutables al agregar su cuerpo encriptado al final de los archivos. Para llegar al código, el virus reemplaza el código en el punto de entrada con una secuencia polimorfa que contiene la rutina de descripción.

Sistemas afectados: Windows 2000, Windows 7, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Server 2008, Windows Vista, Windows XP 

Más información:

http://www.bitdefender.com/VIRUS-1000630-en--Win32-Sality-2-OE.html

  •  Tipo de drone: downadup

Worm/Downadup es un software malicioso que una vez ejecutado tiene la capacidad de replicarse e infectar otros archivos y programas. Este tipo de malware, llamado virus, puede robar espacio en el disco duro y la memoria, y ralentizar o detener completamente la computadora.

Sistemas afectados: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Vista, Windows XP

Más información:

http://www.symantec.com/security_response/writeup.jsp?docid=2008-112203-2408-99

http://www.avgthreatlabs.com/virus-and-malware-information/info/worm-downadup/

http://www.bitdefender.com/VIRUS-1000462-en--Win32.Worm.Downadup.Gen.html

  • Tipo de bot: Beebone

Win32/Beebone es una familia de descargadores troyanos compilados en Visual Basic que descargan y ejecutan otros malware ya conocidos como Win32/VobfusWin32/FareitWin32/ZbotWin32/SirefefTrojan:Win32/Necurs..

Más información:

http://home.mcafee.com/virusinfo/virusprofile.aspx?key=3255551#none

http://www.microsoft.com/security/portal/threat/encyclopedia/Entry.aspx?Name=Win32/Beebone

http://threatpost.com/vobfus-worm-beebone-trojan-create-malware-infection-loop

http://www.lavasoft.com/mylavasoft/malware-descriptions/blog/trojandownloaderwin32beebonebr 

  • Tipo de bot: Glupteba

Este troyano sirve como backdoor. Se puede controlar de forma remota.

Más información:

http://www.virusradar.com/en/Win32_Glupteba.G/description

https://www.mysonicwall.com/sonicalert/searchresults.aspx?ev=article&id=588

https://www.sonicwall.com/us/en/esblogs.html?id=63 

  • Tipo de drone: stealrat

StealRAT era una botnet que usaba sitios comprometidos de WordPress en julio de 2013.  StealRAT es una mejora del correo masivo o spamming.  Cuando se revela que se ha detectado spam nuevo y se pone en marcha la detección, los spammers deben encontrar formas de sortear estas nuevas tecnologías. TrendMicro fue una de las primeras compañías en descubrir este tipo de malware. Los métodos del malware consisten en 3 elementos fundamentales, como se explica en su blog:

- Un sitio web comprometido por enviar spam
- Sistemas comprometidos por recoger y entregar datos de spam
- Un sitio web comprometido por entregar la carga útil

Fuente: http://zerosecurity.org/2014/06/stealrat-pops-back-2014 
 

Más información:

http://blog.trendmicro.com/trendlabs-security-intelligence/compromised-sites-conceal-stealrat-botnet-operations/

http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/white-papers/wp-stealrat.pdf

http://blog.trendmicro.com/trendlabs-security-intelligence/compromised-sites-conceal-stealrat-botnet-operations/?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Anti-MalwareBlog+%28Trendlabs+Security+Intelligence+Blog%29

  • Tipo de bot: IRCBot

La familia de malware IRCBOT utiliza el servicio Internet Relay Chat (IRC) para enviar y recibir comandos desde un bot maestro que maneja cada variante específica. El malware IRCBOT se propaga a través de unidades extraíbles mediante las vulnerabilidades del software. IRCBOT también puede usar programas de mensajería instantánea como Yahoo! Messenger, MSN Messenger y Windows Live Messenger para propagarse.

Más información:

http://www.symantec.com/security_response/writeup.jsp?docid=2011-040711-0927-99

http://about-threats.trendmicro.com/Malware.aspx?language=au&name=IRCBOT 

http://about-threats.trendmicro.com/us//archive/malware/BKDR_IRCBOT.AGF 

  • Tipo de drone: pushdo

Pushdo es una botnet que se usa principalmente para enviar spam. Recientemente se ha observado que envía ataques distribuidos de denegación de servicio (DDoS) a determinados sitios web con SSL habilitado. El malware Pushdo también es conocido como Pandex y algunos componentes se conocen como Cutwail.

Pandex es el nombre dado por Symantec para ese troyano.  Trojan.Pandex es un caballo de Troya que envía spam desde un servidor remoto y recopila direcciones de correo electrónico desde la computadora infectada.

Más información:

https://www.symantec.com/security_response/writeup.jsp?docid=2007-042001-1448-99 

http://www.iss.net/threats/pushdoSSLDDoS.html

http://en.wikipedia.org/wiki/Cutwail_botnet

http://www.shadowserver.org/wiki/pmwiki.php/Calendar/20100129

http://msmvps.com/blogs/harrywaldron/archive/2010/02/02/pushdo-botnet-new-ddos-attacks-on-major-web-sites.aspx 

  • Tipo de bot: Ransomware

Ransomware es un tipo de malware que le impide usar su computadora. Puede entonces decirle que tiene que pagar una cierta cantidad de dinero, llenar unas encuestas o realizar otras acciones para desbloquear y usar la computadora.

Algunos tipos de ransomware son conocidos también como "FBI Moneypak" o "FBI virus". Comúnmente utilizan los logotipos del FBI o la policía local, pidiéndole que pague una multa usando el servicio legítimo de transferencia de dinero Green Dot MoneyPak.

La mayoría de los ransomware mostrarán una notificación que dice que las autoridades locales han detectado actividad ilegal en su computadora. Luego le obligan a pagar una multa (dinero de rescate) para evitar ser acusado y tener acceso nuevamente a sus archivos.

Más información:

http://blog.emsisoft.com/2012/04/11/the-accdfisa-malware-family-ransomware-targetting-windows-servers/

http://es.wikipedia.org/wiki/Ransomware

http://news.techworld.com/security/3343528/ransom-trojans-spreading-beyond-russian-heartland/

http://www.infoworld.com/t/security/mcafee-cyber-criminals-using-android-malware-and-ransomware-the-most-219916

http://www.ic3.gov/media/2012/121130.aspx

http://www.fbi.gov/news/stories/2012/august/new-internet-scam/new-internet-scam

http://www.microsoft.com/security/portal/mmpc/shared/ransomware.aspx

http://www.securitycentral.org.nz/cybersecurity-for-small-businesses/dealing-with-ransomware-and-remote-access-hacking/

http://es.wikipedia.org/wiki/CryptoLocker

http://www.sophos.com/en-us/support/knowledgebase/119006.aspx 

  • Tipo de drone: sinkhole

Estas direcciones IP son todos los dispositivos que se han unido a nuestro servidor Sinkhole que no llegó mediante el uso de un HTTP referrer. Debido a que el servidor Sinkhole solo puede ser accedido a través de nombres de dominio anteriormente maliciosos, únicamente pueden verse enlistados sistemas infectados o investigadores de seguridad.  

Más información:

http://www.shadowserver.org/wiki/pmwiki.php/Services/Sinkhole-HTTP-Drone 

  • Tipo de drone: torpig

Torpig, también conocido como Sinowal o Anserin (generalmente difundidos con el rootkit Mebroot), es un tipo de botnet que se propaga mediante varios caballos de Troya que pueden infectar equipos que utilizan Microsoft Windows. Torpig elude las aplicaciones de antivirus mediante el uso de tecnología rootkit y analiza el sistema infectado para encontrar credenciales, cuentas y contraseñas, y hasta pueden permitir que los atacantes tengan total acceso a la computadora. Supuestamente, también es capaz de modificar los datos en la computadora y realizar ataques  man-in-the-browser. Fuente: http://en.wikipedia.org/wiki/Torpig)

También se conoce como Win32.Anserin.C [Computer Asso, Troj/Torpig-k [Sophos]

Más información:

http://en.wikipedia.org/wiki/Torpig

http://www.spamfighter.com/News-11683-Rootkit-Torpig-Described-as-Most-Dangerous-Malware.htm

http://www.symantec.com/security_response/writeup.jsp?docid=2005-112315-0608-99

http://www.symantec.com/connect/blogs/flow-mbr-rootkit-trojan-resumes

http://www.sophos.com/en-us/threat-center/threat-analyses/viruses-and-spyware/Troj~Torpig-A.aspx 

  • Tipo de bot: Trojan.Simda

Trojan:Win32/Simda es un troyano multicomponente que descarga y ejecuta archivos arbitrarios. Estos archivos pueden consistir en malware adicional.

Más información:

http://www.virusradar.com/Win32_Simda.B/description

http://www.microsoft.com/security/portal/threat/encyclopedia/Entry.aspx?Name=Win32/Simda

http://www.virusradar.com/Win32_Simda.B/description

http://www.avgthreatlabs.com/virus-and-malware-information/info/simda/ 

  • Tipo de drone: urlzone

Urlzone es un troyano bancario que apareció en el 2009. Su característica principal es la capacidad de ocultar pruebas de fraude al cambiar sobre la marcha el saldo mostrado a la víctima.

Más información:

https://www.owasp.org/index.php/OWASP_Anti-Malware_-_Knowledge_Base#Urlzone

http://www.pcmag.com/article2/0,2817,2353610,00.asp

http://krebsonsecurity.com/tag/url-zone-trojan/

https://threatpost.com/inside-urlzone-trojan-network-100609/72203

http://labs.m86security.com/2009/09/malware-analysis-trojan-banker-urlzonebebloh/ 

  • Tipo de drone: zeus

Zeus, Zeus o Zbot es caballo de Troya de computadoras que se ejecuta en equipos que utilicen versiones del sistema operativo Microsoft Windows. Si bien puede usarse para llevar a cabo muchas acciones maliciosas y criminales, a menudo se usa para robar información bancaria mediante la detección de pulsaciones de teclas y la recuperación de formularios man-in-the-browser. También se usa para instalar el ransomware CryptoLocker. Zeus se propaga principalmente mediante descargas ocultas (drive-by downloads) y esquemas de phishing. Fue identificado por primera vez en julio de 2007, cuando se usó para robar información del Departamento de Transporte de los Estados Unidos, y luego se hizo más generalizado en marzo de 2009. En junio de 2009 la empresa de seguridad Prevx descubrió que Zeus había comprometido a más de 74.000 cuentas FTP en los sitios web de empresas como Bank of America, NASA, Monster.com, ABC, Oracle, Play.com, Cisco, Amazon y BusinessWeek. (Fuente:http://en.wikipedia.org/wiki/Zeus_%28Trojan_horse%29)

Más información:

http://en.wikipedia.org/wiki/Zeus_%28Trojan_horse%29

https://www.owasp.org/index.php/OWASP_Anti-Malware_-_Knowledge_Base#Zeus

https://zeustracker.abuse.ch/statistic.php

http://www.antisource.com/article.php/zeus-botnet-summary

https://www.youtube.com/watch?v=CzdBCDPETxk

http://www.b3b.ch/2010/12/12/zeus-le-dieu-des-virus-contre-les-banques/

http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/zeus_king_of_bots.pdf

http://www.secureworks.com/cyber-threat-intelligence/threats/zeus/ 

  • Tipo de drone: zeus3np2p

Las nuevas variantes del toolkit de delito informático Zeusbot/SpyEye se están alejando de los servidores de comando y control (C&C) hacia una arquitectura punto a punto.

Más información:

http://www.theregister.co.uk/2012/02/27/p2p_zeus/ 

  • Tipo de bot: Otros

Si el tipo de drone que está buscando no ha sido enlistado anteriormente, puede buscar más información aquí:

https://www.owasp.org/index.php/OWASP_Anti-Malware_-_Knowledge_Base

http://www.bitdefender.com/site/Search/

http://www.symantec.com/security_response/landing/threats.jsp

http://www.avgthreatlabs.com/virus-and-malware-information/

- http://www.microsoft.com/security/portal/threat/threats.aspx

http://windows.microsoft.com/es-us/windows/security-essentials-download

http://about-threats.trendmicro.com/us/threatencyclopedia

¿Tiene más preguntas? Enviar una solicitud

0 Comentarios

El artículo está cerrado para comentarios.
Tecnología de Zendesk