domingo, 27 de enero de 2013

Antibot Guard System v.1.0 Experimental


Este nuevo CrimeWare kit ha sido diseñado para filtrar el tráfico que accede al servidor fraudulento donde está instalado.

No se trata de un Firewall. Funciona a nivel de control de la navegación de usuario.
Dispone de una base de datos de HoneyPots de 132k.

Su misión es eliminar todo el tráfico que los criminales no consideren interesante, de esta manera logran un alto numero de positivos en los impactos de sus paneles de control maliciosos, eliminando una gran cantidad de ruido que repercute en la eficiencia del Panel, así como también eliminar todos los impactos que provengan desde direcciones especializadas en la investigación Malware y demás casas de seguridad lucha contra el cybercrimen.



Las primeras referencias de este KIT aparece en los foros underground rusos especializados en este tipo de temas. Siendo su autor XShaman que también diseño el antiguo KIT de propagación de exploits  “Shaman's Dream” y que en esta ocasión lo ofrece a “El precio de emisión 500” tal como se observa en su anuncio en el foro:



De hecho si se accede al panel de Control se observa una gran similitud con el Panel del  “Shaman's Dream”

Los criminales solo necesitan instalar este kit AntiBot y modificar el archivo .htaccess del servidor donde han montado la infraestructura para que todo el tráfico que acceda a los paneles de control fraudulentos sea filtrado primero por el Antibot Guard System.



El Panel tiene funcionalidades para denegar el acceso desde todas las direcciones IP de HoneyPots que tenga registrados. Así como especial protección contra GoogleBot , Antiproxy , etc.

Permite prohibir el tipo de navegadores del usuario: MSIE, Firefox, Opera , Chrome para elegir o definir un navegador especifico.

Contiene un modulo de Geolocalizacion por IP GeoIP, para especificar una lista de países que se deseen eliminar el ruido del tráfico de la forma US,GB,CA,AU. etc;


Pantalla de configuración del tráfico que se desee banear:



Este menu solicita una contraseña extra de seguridad para evitar modificaciones por personal no autorizado.

Incluso deniega el tráfico si no tiene instalado el usuario la aplicación FlashPlayer , para la cual existen bastantes vulnerabilidades actualmente. Y prohibir usuarios que contengan ciertas cookies en su navegación.

También bloquea todas las peticiones que provengan de ciertas direcciones mediante el análisis del parámetro Referer de la navegación del usuario, tales como las direcciones de las Webs especializadas en recopilar datos de Malware Y phishing:


martes, 22 de enero de 2013

PANEL HERMES. BOTNET FOR DISTRIBUTED BRUTE FORCE ATTACKS


The Hermes botnet has been  developed to try to discover access credentials to servers or other services by distributed brute force attacks.

We are facing a botnet with a control panel almost identical to that used by the Zeus Trojan but with different functionalities.

It uses infected zombies users by the Trojan as attack vectors to spread the work process between them and that each infected computer perform multiple authentication attempts against the target machine. So we have an incredible Distributed Brute Force tool.

Here there is the Control Panel of the Hermes Botnet:


the greater number of compromised machines that command the panel greater brute force attack power, by throwing thousands of authentication attempts from different IP's.

This gets further confuse at security systems of attacked hosts by participating in the incident a variety of machines from different IP's simultaneously, making it difficult to block these IP's because is quite difficult to account for continuous requests from the same IP as the  classic brute force attack incident.

In the settings menu shows the list of passwords to be used for brute force attack



In the Import option from the Panel Menu is selected the target machine against to perform the distributed brute force attack and the name of the file that have been previously uploaded with a list of usernames which will be launched the authentication attempts against the victim host with the combinations pair of username / password  above


In this panel Hermes that was analyzed is seen how criminals have used it for testing using files with the IP address ranges of active machines that are hosted on Dreamhost and Godaddy USA ISP. And also the list of the files containing the list of usernames for the brute force attack.

The Usernames files contain list of people surnames & names to test.



AT Note option from panel can be seen how thousands of requests have been made against Godaddy addresses to test the HERMES Panel.


On day 05/12/2012 , 513.000 brute force authentication attempts were made against Godaddy serves at 18:15. 410,000 brute force  authentication attempts were made at 21:15. 481.460 brute force   authentication attempts were made at 22:44 ......... etc

PANEL HERMES. BOTNET DE ATAQUE POR FUERZA BRUTA DISTRIBUIDA


La botnet Hermes ha sido diseñada para tratar de descubrir las credenciales de acceso a los servidores u otros servicios mediante ataque por fuerza bruta.

Nos encontramos ante una botnet con un panel de Control casi idéntico al empleado por el troyano ZEUS pero con funcionalidades diferentes.


Para ello utiliza los usuarios zombies infectados por el troyano como vectores de ataque para repartir el proceso de trabajo entre ellos y que cada ordenador infectado realice múltiples intentos de autenticación contra la máquina destino. Así pues tenemos una herramienta de Fuerza Bruta Distribuida.

Este es el Panel de Control de la Botnet Hermes:


Cuando mayor número de equipos comprometidos controle el panel de Control mayor será la potencia del ataque por Fuerza Bruta, lanzando miles de intentos de autenticación desde diferentes IP. Además de confundir los sistemas de seguridad del Host atacado al participar en el incidente una gran variedad de máquinas desde IP’s diferentes simultáneamente lo que dificultara el bloqueo de estas IP’s al ser bastante complicado contabilizar las peticiones continuadas desde la misma IP como incidente de fuerza bruta.

En el menu de configuración del Panel se indica la lista de passwords que se va a emplear para el ataque por fuerza bruta.


En la opción Import del Menu se selecciona la máquina objetivo contra la que se va a realizar el ataque por fuerza bruta distribuida y el nombre del fichero que previamente se habrá subido al Panel de Control con una lista de nombres de usuarios contra los que se va a lanzar el par de combinaciones usuario / contraseña de intentos de autenticación contra dicho Host.


En el Panel Hermes que se ha analizado se observa como han empleado para realizar pruebas ficheros con los rangos de direcciones IP de máquinas activas que están alojadas en los proveedores de USA , Dreamhost y Godaddy . Así como los ficheros conteniendo la lista de usuarios para el ataque.


Estos archivos de usuarios contenían listas de nombres de personas de prueba.



Si observamos el panel de seguimiento de las pruebas realizadas vemos que han realizado miles de peticiones contra direcciones de Godaddy para probar el Panel HERMES.


Así pues el día 5-12-2012 realizaron 513.000 intentos de autenticación de fuerza bruta contra direcciones de Godaddy a las 18:15. 410.000 intentos de autenticación de fuerza bruta a las 21:15. 481.460 intentos de autenticación de fuerza bruta a las 22:44  ……… etc ….



miércoles, 16 de enero de 2013

BOTNET PONY 1.9 Malware


For the past few months has been detected at Crimeware scene a new class of  Malware called PONY Bonet. The Pony Control panel is identified by the logo of a this animal that appears in the famous Facebook game "Farmville"

The login screen panel of this new botnet Pony is:


Once control panel is accessed, it displays a menu with all available options. It can see that has been developed to capture all types of passwords and login credentials of infected users when they access applications and Internet sites. This is a very powerful type of Spy - Keylogger Malware with very dangerous features.



Pony Trojan is configured to capture all kinds of confidential information and access passwords for the following applications:

Passwords for FTP and SSH servers. The Trojan is able to recognize almost all FTP & SSH applications both commercial and opensource and extract its credentials:

  System Info , FAR Manager , Total Commander , WS_FTP , CuteFTP , FlashFXP , FileZilla , FTP commander , BulletProof FTP , SmartFTP , TurboFTP , FFFTP , CoffeeCup FTP / Sitemapper , CoreFTP , FTP Explorer , Frigate3 FTP , SecureFX , UltraFXP , FTPRush , WebSitePublisher , BitKinex , ExpanDrive , ClassicFTP , Fling , SoftX , Directory Opus , FreeFTP / DirectFTP , LeapFTP , WinSCP , 32bit FTP , NetDrive , WebDrive , FTP Control , Opera , WiseFTP , FTP Voyager , Firefox , FireFTP , SeaMonkey , Flock , Mozilla , LeechFTP , Odin Secure FTP Expert , WinFTP , FTP Surfer , FTPGetter , ALFTP , Internet Explorer , Dreamweaver , DeluxeFTP , Google Chrome , Chromium / SRWare Iron , ChromePlus , Bromium (Yandex Chrome) , Nichrome , Comodo Dragon , RockMelt , K-Meleon , Epic , Staff-FTP , AceFTP , Global Downloader , FreshFTP , BlazeFTP , NETFile , GoFTP , 3D-FTP , Easy FTP , Xftp , FTP Now , Robo-FTP , LinasFTP , Cyberduck , Putty , Notepad++ , CoffeeCup Visual Site Designer , FTPShell , FTPInfo , NexusFile , FastStone Browser , CoolNovo , WinZip , Yandex.Internet , MyFTP , sherrod FTP , NovaFTP , Windows Mail , Windows Live Mail , Becky! , Pocomail , IncrediMail , The Bat! , Outlook , Thunderbird , FastTrack .

Screen from menu management of the FTP grabber :


Also captures all kind of e-mails and their passwords, stored certificates and  RDP passwords


Control panel allows capturing all types of passwords for loging web applications on HTTP and HTTPS. It has a very powerful filter to configure Captures, selecting or excluding Internet domains to start capturing data when infected users access in these pages, and selects by text strings, domains , countries , dates, etc.


The statistical panel shows confidential data captured from Web browsing of infected users.


compromised Users by the Trojan Pony are ordered by their IP, the information gathered can be selected for each user by selecting the desired IP profile:


It is very interesting to see in the statistical panel the variety of data types that can be captured by the Trojan from infected users



 All captured data is encrypted and stored in a MySQL database to prevent being stolen if someone gains access to this information:


Finally we present part of  file structure of the KIT PONY Troyan:



Also Have been found other malicious addresses containing Pony panels actives at:

hXXp://217.195.200.12:8080/ponyb/admin.php
hXXp://195.5.208.204:8080/ponyb/admin.php
hXXp://9jal33ts.com/ponysample/admin.php
hXXp://198.27.83.179/popo/
hXXp: http://hostohu.net/p0x/admin.php
hXXp://vpro.juplo.com/p/admin.php

domingo, 13 de enero de 2013

PONY 1.9 BOTNET

Desde hace unos pocos meses se ha detectado en el escenario del cibercrimen una nueva clase de Bonet Malware denominada PONY y que se identifica su panel por el logo de este animal que aparece en el famoso juego para Facebook “Farmville”

La pantalla de login al panel de este nuevo botnet Pony es la siguiente:


Una vez que se ha accedido a este Panel de Control aparece el menú con todas las opciones disponibles observándose que ha sido diseñado para capturar todo tipo de credenciales de acceso de las aplicaciones de los usuarios infectados así como de los sitios de Internet a los que accede. 

Se trata de un potente Malware del tipo Spy – Keylogger con funcionalidades muy peligrosas.


El troyano Pony está configurado para capturar toda clase de información confidencial y datos de acceso para las siguientes aplicaciones:
Contraseñas de acceso para servidores FTP y SSH. El troyano es capaz de reconocer casi todas las aplicaciones FTP, SSH existentes en el mercado y extraer sus credenciales:

System Info , FAR Manager , Total Commander , WS_FTP , CuteFTP , FlashFXP , FileZilla , FTP commander , BulletProof FTP , SmartFTP , TurboFTP , FFFTP , CoffeeCup FTP / Sitemapper , CoreFTP , FTP Explorer , Frigate3 FTP , SecureFX , UltraFXP , FTPRush , WebSitePublisher , BitKinex , ExpanDrive , ClassicFTP , Fling , SoftX , Directory Opus , FreeFTP / DirectFTP , LeapFTP , WinSCP , 32bit FTP , NetDrive , WebDrive , FTP Control , Opera , WiseFTP , FTP Voyager , Firefox , FireFTP , SeaMonkey , Flock , Mozilla , LeechFTP , Odin Secure FTP Expert , WinFTP , FTP Surfer , FTPGetter , ALFTP , Internet Explorer , Dreamweaver , DeluxeFTP , Google Chrome , Chromium / SRWare Iron , ChromePlus , Bromium (Yandex Chrome) , Nichrome , Comodo Dragon , RockMelt , K-Meleon , Epic , Staff-FTP , AceFTP , Global Downloader , FreshFTP , BlazeFTP , NETFile , GoFTP , 3D-FTP , Easy FTP , Xftp , FTP Now , Robo-FTP , LinasFTP , Cyberduck , Putty , Notepad++ , CoffeeCup Visual Site Designer , FTPShell , FTPInfo , NexusFile , FastStone Browser , CoolNovo , WinZip , Yandex.Internet , MyFTP , sherrod FTP , NovaFTP , Windows Mail , Windows Live Mail , Becky! , Pocomail , IncrediMail , The Bat! , Outlook , Thunderbird , FastTrack .

La pantalla del menú de gestión del capturador FTP:





También captura cualquier tipo de direcciones de e-mails , así como sus contraseñas de acceso , certificados que tenga almacenados el usuario , además de contraseñas de acceso RDP


El panel permite la captura de todo tipo de contraseñas de acceso a aplicaciones web bajo HTTP y HTTPS. Dispone de un filtro muy potente para configurar las capturas , seleccionando o excluyendo los dominios de Internet a los que el usuario infectado acceda para empezar a capturar datos cuando se encuentre en dichas páginas , así como cadenas de texto de captura , países de los dominios víctimas , fechas , etc.


El panel de seguimiento de los datos confidenciales capturados de la navegación Web de los usuarios infectados.


Los usuarios comprometidos por el troyano Pony están ordenados por su IP , pudiéndose seleccionar la información recopilada para cada usuario seleccionando el perfil de la IP deseada:



Es muy interesante observar en el panel estadístico la cantidad de información que puede capturar de los usuarios infectados por el troyano:




Todos los datos capturados son cifrados y almacenados en una base de datos en MySQL para evitar que sean robados si alguien logra acceder acceder a dicha información:


Finalmente se presenta parte de la estructura de ficheros del KIT PONY:



Se han localizado otras direcciones maliciosas conteniendo paneles Pony activos en:
hXXp://217.195.200.12:8080/ponyb/admin.php
hXXp://195.5.208.204:8080/ponyb/admin.php
hXXp://9jal33ts.com/ponysample/admin.php
hxxp://198.27.83.179/popo/

lunes, 7 de enero de 2013

Trojan Multi Locker Version 3 - "Trojan police"




In last times it has been detected an increase number of infections caused by the Trojan Ransomware, also called Ransomlock or Multi-Locker or more famously known as "Trojan police" because it simulates the user computer has been intervened and blocked by police until they pay a fee for legal penalty which is nothing more than a fraud or scam by criminals.

This time will be analyzed the Trojan Kit MULTI LOCKER Version 3

The user's computer is compromised by visiting the infection vector:

hxxp://62.76.45.94/exe.php

It downloads the malicious binary:

hXXp://62.76.45.94/colt.exe

Size: 7680
MD5:baa5de00714b02660bfc092b53c449f7

The IP 62.76.45.94 is hosted at the ISP Clodo-Cloud in Russia.

Once the computer is infected, Ransomware Malware modifies the whole system configuration and registry so that each time the user restarts the computer, trojan automatically takes over control blocking full system. Besides virus presents a false screen display of police asking user to pay the fine for allegedly viewed child pornography or illegal contents against intellectual property

This fake police screen is downloaded from the fraudulent server at address:

hXXP://62.76.45.94/lending/tds.php

This script checks the language version at user's browser to display the fake police screen in the local country language of the user with relevant legal notices with warnings from the police of that country.

The code script of "tds.php" is show as follows:




In the case of Spanish users would display the following fraudulent screen hosted at:

hXXP://62.76.45.94/lending/ES.php


In this example, the screen is very poorly designed unlike other kits detected most detailed enough to trick the user making the veracity of it.

Criminals can modify these fake warning pages to achieve the appearance of legality accessing the mini editor that exists in the kit Ramsomware, also called by some antivirus companies as Ransomlock.

The panel is called MULTI LOCKER LENDING  EDITOR and is accessed via the URL:

Hxxp://62.76.45.94/lending/
  

And file structure of the LENDING KIT is:
 

If user pays the fee through the online payment systems UKASH, MoneyPack, etc .his Machine will be free once entered the code returned by these payment systems



Ransomware statistical panel is accessed through the main login page:


Once logged in can see the main menu screen of KIT MULTI LOCKER Version 3



Panel with statistical tracking of infected users



menu of users who have paid for unlocking their computers



The KIT file structure is as follows:

Panel Kit Installation