Este boletín fue preparado en colaboración con el Centro de Integración de Comunicaciones y Ciberseguridad Nacional (NCCIC), el Servicio Secreto de los Estados Unidos (USSS), el Centro de Análisis e Intercambio de Información del Sector Financiero (FS-ISAC) y Trustwave Spiderlabs, un socio de confianza bajo contrato con el Servicio Secreto de los Estados Unidos. El propósito de este comunicado es proporcionar indicadores técnicos relevantes y aplicables para proteger la red.
Investigaciones recientes revelaron que atacantes maliciosos utilizan herramientas disponibles públicamente para localizar negocios que utilizan aplicaciones de Escritorio Remoto. Soluciones de Escritorio Remoto como Remote Desktop de Microsoft [1], Apple Remote Desktop [2], Chrome Remote Desktop [3], Splashtop 2 [4], Pulseway [5] y Join.Me de LogMeIn [6], ofrecen comodidad y eficiencia para conectarse a computadoras desde una ubicación remota. Una vez que estas aplicaciones son localizadas, los atacantes intentan iniciar sesión mediante fuerza bruta. Después de ganar acceso, a lo que frecuentemente son cuentas de administrador o usuarios con privilegios, los atacantes distribuyen software malicioso al Punto de Venta (PoS) y posteriormente extraen datos de pago de los consumidores a través de peticiones POST cifradas.
El Servicio Secreto de los Estados Unidos junto con NCCIC/US-CERT y Trustwave SpiderLabs trabajan para caracterizar el software malicioso identificado recientemente, denominado "Backoff", asociado con varias investigaciones de extracción de datos en Puntos de Venta. Para el momento del descubrimiento y análisis, las variantes del software malicioso tenían tasa de detección de baja a 0%, lo que significa que los motores antivirus actualizados con todos los parches no pudieron identificar la pieza como maliciosa.
Ataques similares se han observado en campañas previas de software malicioso orientado a Puntos de Venta [7] y algunos estudios indican que los ataques de fuerza bruta dirigidos al protocolo de Escritorio Remoto van en aumento [8]. En el artículo se incluye una sección de mitigación y estrategias de prevención que ofrecen opciones que los administradores de red podrían considerar.
"Backoff" es una familia de software malicioso para Puntos de Venta que fue descubierta recientemente. La familia de software malicioso ha sido objeto de por lo menos tres investigaciones forenses independientes. Los investigadores identificaron tres variantes principales para el software malicioso "Backoff", incluyendo: 1.4, 1.55 ("backoff", "goo", "MAY", "net") y 1.56 ("LAST").
Estas variantes se observaron en octubre de 2013 y continúan operando. En general, el software malicioso consiste de las siguientes 4 capacidades:
Algunas excepciones son la variante más antigua (1.4) que no incluye la funcionalidad de keylogger y la variante 1.55 'net' que elimina el componente de inyección en el proceso explorer.exe.
El código malicioso que se inyecta en el proceso explorer.exe es responsable de la persistencia en caso de que el ejecutable malicioso sea interrumpido o forzado a terminar su ejecución. El software malicioso es responsable de explorar la memoria de los procesos que se están ejecutando en la máquina de la víctima y buscar datos sensibles. La funcionalidad de registrar las pulsaciones del teclado también está presente en las variantes más recientes de "Backoff". Adicionalmente, el software malicioso tiene un componente C&C que es responsable de alojar los datos descubiertos, actualizar o eliminar el software malicioso, además de descargar y ejecutar otras muestras maliciosas.
Con base en las marcas de tiempo recopiladas y en la información del control de versiones en las peticiones HTTP al C&C por método POST, las variantes de "Backoff" fueron analizadas durante un periodo de 7 meses. Las 5 variantes de la familia de software malicioso "Backoff" tienen modificaciones notables. Los cambios se muestran a continuación:
1.55 "backoff"
1.55 "goo"
1.55 "MAY"
1.55 "net"
1.56 "LAST"
La comunicación entre el C&C y "Backoff" se lleva a cabo a través de peticiones HTTP por método POST. Una serie de parámetros POST son incluidos cuando este software malicioso hace peticiones al servidor C&C:
El parámetro "id" está almacenado en la siguiente ubicación, para garantizar que sea consistente a través de las peticiones:
Si esta llave de registro no existe, la cadena se genera y se almacena. Los datos se cifran usando RC4 antes de ser codificados en Base 64. La contraseña para RC4 se genera a partir del parámetro 'id', además de la cadena estática ' jhgtsd7fjmytkr' y el parámetro 'ui'. Estos valores se concatenan y se obtiene su hash utilizando el algoritmo MD5 que forma la contraseña RC4. Para este ejemplo, la contraseña RC4 sería '56E15A1B3CB7116CAB0268AC8A2CD943' (firma MD5 de la cadena "vxeyHkSjhgtsd7fjmytkrJosh @ PC123456").
La siguiente lista son Indicadores de Compromiso (IOCs) que deben contemplarse en la seguridad de su red e identificar si están presentes y tomar acciones correctivas:
1.4
MD5 de la muestra empaquetada: 927AE15DBF549BD60EDCDEAFB49B829E
MD5 de la muestra desempaquetada: 6A0E49C5E332DF3AF78823CA4A655AE8
Ruta de instalación: %APPDATA%AdobeFlashPlayermswinsvc.exe
Objetos de exclusión mutua:
uhYtntr56uisGst
uyhnJmkuTgD
Archivos escritos:
%APPDATA%mskrnl
%APPDATA%winserv.exe
%APPDATA%AdobeFlashPlayermswinsvc.exe
Cadena estática (petición por método POST): zXqW9JdWLM4urgjRkX
Llaves de registro:
HKCUSOFTWAREMicrosoftWindowsCurrentVersionidentifier
HKCUSOFTWAREMicrosoftWindowsCurrentVersionRunWindows NT Service
User-Agent: Mozilla/4.0
URI(s): /aircanada/dark.php
1.55 "backoff"
MD5 de la muestra empaquetada: F5B4786C28CCF43E569CB21A6122A97E
MD5 de la muestra desempaquetada: CA4D58C61D463F35576C58F25916F258
Ruta de instalación: %APPDATA%AdobeFlashPlayermswinhost.exe
Objetos de exclusión mutua:
Undsa8301nskal
uyhnJmkuTgD
Archivos escritos:
%APPDATA%mskrnl
%APPDATA%winserv.exe
%APPDATA%AdobeFlashPlayermswinhost.exe
%APPDATA%AdobeFlashPlayerLocal.dat
%APPDATA%AdobeFlashPlayerLog.txt
Cadena estática (petición por método POST): ihasd3jasdhkas
Llaves de registro:
HKCUSOFTWAREMicrosoftWindowsCurrentVersionidentifier
HKCUSOFTWAREMicrosoftWindowsCurrentVersionRunWindows NT Service
User-Agent: Mozilla/5.0 (Windows NT 6.1; rv:24.0) Gecko/20100101 Firefox/24.0
URI(s): /aero2/fly.php
1.55 "goo"
MD5 de la muestra empaquetada: 17E1173F6FC7E920405F8DBDE8C9ECAC
MD5 de la muestra desempaquetada: D397D2CC9DE41FB5B5D897D1E665C549
Ruta de instalación: %APPDATA%OracleJavajavaw.exe
Objetos de exclusión mutua:
nUndsa8301nskal
nuyhnJmkuTgD
Archivos escritos:
%APPDATA%
sskrnl
%APPDATA%winserv.exe
%APPDATA%OracleJavajavaw.exe
%APPDATA%OracleJavaLocal.dat
%APPDATA%OracleJavaLog.txt
Cadena estática (petición por método POST): jhgtsd7fjmytkr
Llaves de registro:
HKCUSOFTWAREMicrosoftWindowsCurrentVersionidentifier
HKCUSOFTWAREMicrosoftWindowsCurrentVersionRunWindows NT Service
User-Agent:
URI(s): /windows/updcheck.php
1.55 "MAY"
MD5 de la muestra empaquetada: 21E61EB9F5C1E1226F9D69CBFD1BF61B
MD5 de la muestra desempaquetada: CA608E7996DED0E5009DB6CC54E08749
Ruta de instalación: %APPDATA%OracleJavajavaw.exe
Objetos de exclusión mutua:
nUndsa8301nskal
nuyhnJmkuTgD
Archivos escritos:
%APPDATA%
sskrnl
%APPDATA%winserv.exe
%APPDATA%OracleJavajavaw.exe
%APPDATA%OracleJavaLocal.dat
%APPDATA%OracleJavaLog.txt
Cadena estática (petición por método POST): jhgtsd7fjmytkr
Llaves de registro:
HKCUSOFTWAREMicrosoftWindowsCurrentVersionidentifier
HKCUSOFTWAREMicrosoftWindowsCurrentVersionRunWindows NT Service
User-Agent:
URI(s): /windowsxp/updcheck.php
1.55 "net"
MD5 de la muestra empaquetada: 0607CE9793EEA0A42819957528D92B02
MD5 de la muestra desempaquetada: 5C1474EA275A05A2668B823D055858D9
Ruta de instalación: %APPDATA%AdobeFlashPlayermswinhost.exe
Objetos de exclusión mutua:
nUndsa8301nskal
Archivos escritos:
%APPDATA%AdobeFlashPlayermswinhost.exe
%APPDATA%AdobeFlashPlayerLocal.dat
%APPDATA%AdobeFlashPlayerLog.txt
Cadena estática (petición por método POST): ihasd3jasdhkas9
Llaves de registro:
HKCUSOFTWAREMicrosoftWindowsCurrentVersionidentifier
HKCUSOFTWAREMicrosoftWindowsCurrentVersionRunWindows NT Service
User-Agent:
URI(s): /windowsxp/updcheck.php
1.56 "LAST"
MD5 de la muestra empaquetada: 12C9C0BC18FDF98189457A9D112EEBFC
MD5 de la muestra desempaquetada: 205947B57D41145B857DE18E43EFB794
Ruta de instalación: %APPDATA%OracleJavajavaw.exe
Objetos de exclusión mutua:
nUndsa8301nskal
nuyhnJmkuTgD
Archivos escritos:
%APPDATA%
sskrnl
%APPDATA%winserv.exe
%APPDATA%OracleJavajavaw.exe
%APPDATA%OracleJavaLocal.dat
%APPDATA%OracleJavaLog.txt
Cadena estática (petición por método POST): jhgtsd7fjmytkr
Llaves de registro:
HKCUSOFTWAREMicrosoftWindowsCurrentVersionidentifier
HKCUSOFTWAREMicrosoftWindowsCurrentVersionRunWindows NT Service
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunWindows NT Service
HKCUSOFTWAREMicrosoftActive SetupInstalled Components{B3DB0D62-B481-4929-888B-49F426C1A136}StubPath
HKLMSOFTWAREMicrosoftActive SetupInstalled Components{B3DB0D62-B481-4929-888B-49F426C1A136}StubPath
User-Agent: Mozilla/5.0 (Windows NT 6.1; rv:24.0) Gecko/20100101 Firefox/24.0
URI(s): /windebug/updcheck.php
El impacto de un sistema de Punto de Venta comprometido, afecta tanto al negocio como a los consumidores al exponer los datos de los clientes, como: nombre, dirección postal, número de tarjeta de crédito o débito, número telefónico y dirección de correo electrónico a los criminales. Estos incidentes pueden afectar la reputación del negocio, mientras que la información de los consumidores puede utilizarse para realizar compras fraudulentas. Es fundamental proteger las redes corporativas y servicios web, prevenir cualquier exposición innecesaria del negocio y mitigar cualquier daño que estuviera ocurriendo en este momento.
Para el momento en que este documento informativo se libera, las variantes de la familia de software malicioso "Backoff" no son detectadas por la mayoría de los proveedores antivirus. Sin embargo, poco después de la publicación de este análisis técnico las compañías antivirus comenzarán a detectar las variantes existentes. Es importante mantener los motores antivirus y sus firmas actualizadas para detectar nuevas amenazas como las que se presentan en este análisis y que continuamente se agregan a la bases de datos de las soluciones antivirus. Aunado a la detección de variantes de software malicioso por antivirus, los administradores de red pueden aplicar Indicadores de Compromiso (IOC) para una gran variedad de estrategias de prevención y detección [9] [10] [11]. Los Indicadores de Compromiso se encuentran más arriba en este documento.
Las investigaciones forenses de las redes comprometidas indican que se permitió la introducción del software malicioso a las terminales de pago. Los profesionales de seguridad de la información recomiendan un enfoque profundo de defensa para mitigar el riesgo que pudiera presentarse en los sistemas de pago. Si bien, algunas de las recomendaciones de mitigación de riesgos son de carácter general, las siguientes estrategias proporcionan una manera de minimizar la posibilidad de un ataque y disminuir el riesgo de comprometer datos sensibles:
Acceso por Escritorio Remoto:
Seguridad de red:
Seguridad en Puntos de Venta y Cajas Registradoras:
4. Referencias
[1] Windows Remote Desktop
[2] Apple Remote Desktop
[3] Chrome Remote Desktop
[4] Splashtop
[5] Windows Pulseway
[6] Windows Join.me
[7] Attacker’s brute-force POS systems utilizing RDP in global botnet operation
[8] Brute force RDP attacks depend on your mistakes
[9] Understanding Indicators of Compromise (IOC)
[10] Using Indicators of Compromise in Malware Forensics
[11] Indicators of Compromise: The Key to Early Detection
[12] Configuring Account Lockout
[13] Securing Remote Desktop for System Administrators
[14] Account Lockout and Password Concepts
[15] NIST Guide to Enterprise Telework and Remote Access Security
[16] Installing RD Gateway
[17] Networking and Access Technologies
[18] Secure RDS Connections with SSL
La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:
UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información
incidentes at seguridad.unam.mx
phishing at seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 47
Aviso legal |
Créditos |
Staff |
Administración
Copyright © Todos los derechos reservados
UNAM - CERT