English
Español
Bot utilizada para lanzar ataques DoS
Recientemente se capturó un archivo malicioso que formaba parte de la botnet Athena, la cual está programada en lenguaje C++ y es capaz de lanzar ataques de denegación de servicio de diversos tipos enviando una gran cantidad de peticiones tanto GET como POST a los servidores además de muchas otras funcionalidades.
El archivo capturado fue renombrado a 26082013.exe, a continuación se presentan las firmas del archivo malicioso.
MD5: 86eed2adca70e9fe6297c33ca4b4d13b
SHA1: 22f616f75826ec9cc7a806da7bf62ec42aeb54b7
El análisis de cadenas de la muestra maliciosa no nos permitió obtener mayor información debido a que el archivo probablemente había sido empaquetado.
El análisis mediante la herramienta ExeInfo PE determinó que la muestra había sido empaquetada con la herramienta UPX como se muestra a continuación:
Por tanto se procedió a desempaquetar el archivo 26082013.exe como se muestra en la siguiente imagen.
Posteriormente se realizó un análisis de cadenas del archivo desempaquetado dec.exe donde se corroboró que efectivamente se trataba de un bot. En las siguientes imágenes se observan en rojo las cadenas que hacen referencia a los comandos utilizados por la botnet para realizar ciertas acciones en el equipo infectado, por ejemplo rapidget y rapidpost son comandos utilizados para lanzar un ataque de denegación de servicio a través del uso de estos métodos.
Además se observaron las cadenas que hacían referencia a distintos navegadores web como Chrome, Firefox, IExplorer y Maxthon, así como también del servicio de mensajería Skype y el cliente FTP Filezilla, los cuales probablemente son buscados por el archivo malicioso para robar los datos almacenados en el sistema a través de estas aplicaciones.
Posteriormente se ejecutó la muestra maliciosa en un equipo sin salida a internet con la finalidad de observar el modo de operación del bot. En el análisis de tráfico se observaron diferentes peticiones al dominio irc.whhcd.info.
Para resolver el dominio irc.whhcd.info en el equipo Windows se procedió a modificar el archivo hosts como se muestra a continuación.
Una vez que el equipo logró resolver el dominio irc.whhcd.info se observaron intentos de conexión al puerto 6667 el cual es comúnmente usado por el servicio IRC.
Con la información obtenida se utilizó la herramienta honeyd en un equipo Linux con la finalidad de simular el servicio pedido por el malware. Para redirigir los paquetes provenientes del equipo infectado hacia el equipo local se modificó el archivo honeyd.conf, en la siguiente imagen se muestra en rojo la modificación realizada al archivo mencionado.
Como servidor IRC se utilizó el programa ircd-hybrid, cuyo archivo de configuración debe ser modificado para escuchar las peticiones realizadas en el puerto 6667 como se muestra a continuación.
Después de realizar el proceso anterior la conexión al servicio de IRC en el puerto 6667 se estableció exitosamente.
En el análisis del tráfico de red se observó el proceso de autenticación que utiliza el malware para conectarse al servidor IRC malicioso.
En la imagen anterior se observan en las dos primeras líneas el nombre de usuario y el nick con los que el archivo malicioso se identifica en el servidor. En el nick utilizado se logró observar que este sigue un patrón en particular, en el que el primer campo es un identificador del idioma utilizado en el sistema, el siguiente carácter identifica si el usuario es administrador o no, posteriormente se identifica el tipo de sistema operativo y la arquitectura del procesador utilizado (x86 – 32 bits).
Después mediante el uso de la instrucción JOIN se une al canal #courvixnrm, lo interesante es el modo que se le asigna al canal (+nTtCVs), de acuerdo al RFC 1459 el cual define el protocolo de comunicación IRC la explicación de los parámetros es la que se describe a continuación:
n: no se permiten mensajes de clientes que no se encuentren unidos al canal.
t: tema del canal únicamente modificable por el operador del mismo.
s: canal secreto.
En cuanto a los demás parámetros se desconoce su significado debido a que pudieron ser implementados con un propósito en específico.
En la última línea se observa el comando PONG el cual el cliente regresa al servidor IRC de forma tal que éste conozca que el cliente se encuentra activo.
Mediante el uso de un cliente IRC en el equipo Linux se realizó la conexión al servidor IRC. Posteriormente se hizo un listado de los canales mediante el comando LIST, sin embargo no se observó ningún canal activo lo cual resultó interesante dado que se podría pensar que el equipo infectado nunca se unió al servidor IRC, sin embargo recordando las modificaciones realizadas a través del comando MODE se tomó en cuenta que al tratarse de un canal secreto este no se muestra a los clientes a través del comando LIST. Lo que se procedió a realizar es que dado que se conocía el nombre del canal el cual era #courvixnrm utilizamos el comando JOIN con el canal mencionado y de esta manera se logró una conexión exitosa.
En la siguiente imagen se muestra el proceso descrito anteriormente, en verde se observa la ejecución del comando LIST, en azul se muestra la ejecución del comando “JOIN #courvixnrm” observando a los usuarios remnux y @_[ESP|A|D|W_XP], finalmente en rojo se vuelve a ejecutar el comando LIST donde es posible ver el nombre del canal y el número de usuarios autenticados en el mismo.
En cuanto a las modificaciones en el sistema de archivos se agregó la llave de registro que permitía que la muestra se ejecutara en cada inicio de sesión del sistema.
Mediante la herramienta Autoruns se pudo corroborar la modificación mencionada anteriormente.
Asimismo se agregó el archivo jusched.exe en la ruta “C:\Windows\416726107\” y se eliminó la muestra maliciosa 26082013.exe del escritorio, que era donde originalmente se encontraba el archivo.
Resultó interesante observar la eliminación de la pestaña “Opciones de Carpeta” la cual nos permite configurar las opciones necesarias para mostrar los archivos ocultos del sistema, de esta forma el archivo malicioso busca que el usuario no pueda habilitar esta opción y así no logre localizar el archivo agregado al sistema y eliminarlo.
Imagen después de la infección
Imagen antes de la infección
Finalmente se ejecutó el archivo malicioso en un equipo con salida a Internet, durante el tiempo de ejecución se observó la conexión que el equipo infectado realizaba hacia el servidor IRC.
Como se observa en la imagen anterior, al momento de ejecutar la muestra se tenían 487 clientes unidos al servidor y 9 operadores del canal en línea. Si la muestra se ejecuta por un periodo relativamente amplio se pueden observar diversos equipos infectados que se van uniendo al servidor. Como se observa en las siguientes imágenes cada vez que un nuevo usuario se une al canal se le agrega su dirección IP con la finalidad de tener un identificador de los equipos.
En caso de reiniciar el equipo infectado es posible observar que se levantan dos procesos de nombres jusched.exe y acotray.exe, el primero de ellos toma el nombre de un proceso legítimo de Java que corresponde al agente de actualización del cliente Sun Microsystems, mientras que el segundo proceso toma el nombre de un proceso utilizado por la suite de Adobe Acrobat.
Las siguientes imágenes muestran los procesos del sistema antes de la infección y después de la infección donde se observa el proceso legitimo de Java y el proceso malicioso del mismo nombre respectivamente.
Antes de la infección
Después de la infección
Desinfección del equipo
A continuación se muestra una solución para eliminar este archivo malicioso de nuestro sistema, para ello se requiere el uso de las herramientas ProcessExplorer y Autoruns de la suite SysInternals.
Lo primero que se debe de realizar es abrir el programa ProcessExplorer e identificar los archivos maliciosos (jusched.exe y acotray.exe), cabe mencionar que los nombres utilizados por este malware pueden cambiar dependiendo del sistema operativo y programas instalados que se utilicen. Una vez que se han identificado los procesos hacemos clic derecho sobre el nombre de los mismos y damos clic sobre la opción “Suspend” como se muestra a continuación.
Una vez que se ha realizado esta acción para ambos procesos procedemos a ejecutar el programa Autoruns, es importante mencionar que si se intenta abrir el programa Autoruns sin haber suspendido los procesos maliciosos éste se cerrara automáticamente. Posteriormente seleccionamos la pestaña “Logon” y deseleccionamos las casillas correspondientes al archivo jusched.exe (también se pueden eliminar las llaves de registro correspondientes dando clic derecho sobre el icono del programa) como se muestra en la siguiente imagen.
Para recuperar la pestaña de “Opciones de Carpeta” en el Explorador de Windows abrimos la herramienta “Ejecutar” para ello damos clic en el icono de Inicio y seleccionamos la herramienta mencionada.
Después tecleamos la palabra “regedit” y damos clic en “Aceptar” como se muestra a continuación
Una vez que se ha abierto el editor de registro nos dirigimos a la ruta “HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer” e identificamos el nombre “NoFolderOptions” como se muestra en la siguiente imagen.
Posteriormente damos doble clic sobre el nombre mencionado y cambiamos el valor de 1 por 0 y damos clic en “Aceptar”
Finalmente debemos de tomar nota sobre la ruta donde se encuentran los programas maliciosos para posteriormente eliminarlos del sistema, las rutas de estos archivos se pueden obtener del programa ProcessExplorer al posicionar el puntero sobre los procesos, en este caso las rutas son:
“C:\Windows\416726107\jusched.exe”
“C:\Documments and Settings\Administrador\acotray.exe”
Una vez realizado lo anterior reiniciamos el sistema, se observará que los procesos maliciosos ya no se inician, posteriormente nos dirigimos a las rutas de los archivos maliciosos y los eliminamos del sistema, en caso de que los archivos no se muestren debemos de ir a la pestaña “Opciones de Carpeta” y habilitar la opción “Mostrar todos los archivos y carpetas ocultos” así como deshabilitar la opción “Ocultar archivos protegidos del sistema operativo”.
Finalmente reiniciamos el equipo para garantizar que los cambios realizados se hayan guardado. Es recomendable que durante el proceso de desinfección se deshabilite el acceso a Internet.
A través del servicio de Virus Total observamos que el archivo malicioso es detectado por 21 de 46 soluciones antivirus
El reporte total se puede consultar en el siguiente enlace:
