De copas con Qbot

Arcano. · 2 Diciembre 2010, 10:07 AM

Muy buenas,

Justo cuando ayer me comentaba Novlucker lo de la vulnerabilidad, me encuentro hoy con un archivo en una ruta diferente a la mencionada con icono de pdf y extensión 'exe'.

La ruta es: "C:\Documents and Settings\<usuario>\Datos de programa\Ecasc\<nombre_archivo>"

Resultado de VirusTotal:http://www.virustotal.com/file-scan/report.html?id=510f26c181441df739665a5aac3a8f3f153875c7ecb9de00679262a5e9c9ff57-1291280158

El equipo tiene Adobe Reader... ¡¡¡ 7.0 !!!!

Saludos.

Novlucker · 2 Diciembre 2010, 11:25 AM

Buenas

Arcano, en realidad los dos links que te había dejado eran a modo de complemento, ya que en la línea 8 (2010-11-20 15:38:01) del primer link dice lo de Exploit.Win32.CVE-2010-2883.a

CitarJusto cuando ayer me comentaba Novlucker lo de la vulnerabilidad, me encuentro hoy con un archivo en una ruta diferente a la mencionada con icono de pdf y extensión 'exe'.

Juju! Otro bicho

http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?name=PWS%3aWin32%2fZbot.gen!Y

Saludos

Arcano. · 2 Diciembre 2010, 11:51 AM

Buenas!

Citaren la línea 8 (2010-11-20 15:38:01) del primer link dice lo de Exploit.Win32.CVE-2010-2883.a

Perfecto, eso es lo que se me había escapado. La próxima vez que entre a la web será con las gafas limpias...

CitarJuju! Otro bicho

Sí, efectivamente. Como has podido comprobar a través del primer link, esa IP es fuente 'bixos de todos los colorE'. Por lo tanto, mi teoría de que Qbot se conecta para descargarse más Malware, empieza a tener forma

Mediante WireShark lo he podido comprobar. Ahora bien... Sigo sin ver que esas cositas son las que se instalan en C:\.

Por otro lado, el segundo link que comentaste, informa de un 0-day de Adobe Reader. Si no he visto mal, incontrolado hasta la versión 9.4. Pero ahora está la 9.4.1

Será cuestión de instalarla.

Saludos y gracias!!

Mobiplayer · 2 Diciembre 2010, 16:56 PM

Hola,

Estoy tratando con lo mismo. En mi caso me he centrado en encontrar el método de infección (llegando a la misma conclusión que vosotros) y luego el vector. En estos momentos parece que he encontrado el "caso cero" pero estoy confirmándolo.

El asunto es que yo estoy contratado para esto, por lo que no trabajo aquí y no es mi trabajo directo limpiarlo (por eso puedo dedicarme a cosas más divertidas jeje). Estoy recopilando toda la información y redactando el informe, creo que voy a recomendar la utilización de HIPS que viene incluído en el paquete Total Endpoint Protection de McAfee. Pediré que con HIPS bloqueen las conexiones Netbios entrantes en las workstations y así eliminamos este problema y otros futuros similares.

Como curiosidades decir que nada más enchufarme a la red del cliente recibí un portscan de una máquina de la red. Hablando con el personal de IT me dicen que no hay nada similar programado (había pensado en un RSD de McAfee), pero tampoco no me cuadra este comportamiento con lo descrito por todas partes acerca de Qakbot/Qbot/PinkSlipBot. En fin, que tras mucho Wireshark y mucho análisis puedo afirmar lo que dicen los fabricantes de antivirus, que se propaga a través de los recursos compartidos de Windows. En este caso el número de máquinas no es muy exagerado, unos cientos, por lo que los DC aguantan bien la cantidad de peticiones de autenticación. También he capturado el tráfico que se genera al navegar por las webs corporativas, no sea que el "caso cero" fuera la introducción de código malicioso en estas webs (cosa que ya me encontré una vez).
Finalmente estoy revisando logs del proxy (aunque extrañamente se han perdido logs de una semana entera, la semana interesante) y logs del firewall, que es donde he localizado la primera máquina que trató de subir información a los FTP de la lista que ponéis.

Saludos

Arcano. · 2 Diciembre 2010, 17:28 PM

Hola Mobiplayer

Muy interesante lo que cuentas.

CitarEn estos momentos parece que he encontrado el "caso cero" pero estoy confirmándolo.

Tienes suerte. En mi caso, primero que no es mi trabajo -ojalá lo fuera- y segundo que la cantidad de ordenadores es muy elevada... Aunque supongo que todo sería ponerse. Me encantaría que describieras, en la medida de lo posible, cómo has llegado -o eso crees hasta falta de confirmación- hasta 'el caso cero'. Supongo que a través de 'mucho WireShark', pero... Lo dicho, toda explicación será bienvenida. Mera curiosidad.

Citar... decir que nada más enchufarme a la red del cliente recibí un portscan de una máquina de la red

¿Y no pudiste hallar la máquina en la red? Lo digo porque hubiese sido interesabte escanearla para poder observar qué tipo de software/malware tenía instalado.

Citarpero tampoco no me cuadra este comportamiento con lo descrito por todas partes acerca de Qakbot/Qbot/PinkSlipBot

Mmm... Si 'nuestro amigo' aprovecha netBios para propagarse, a saber si también está 'programado' para eso. Puede que la información recopilada no lo describa, pero... quién sabe. Lo dicho anteriormente, hubiera sido interesante hallar esa máquina para escanearla.

CitarTambién he capturado el tráfico que se genera al navegar por las webs corporativas, no sea que el "caso cero" fuera la introducción de código malicioso en estas webs (cosa que ya me encontré una vez

En esto no había pensado... Intersante...

CitarEstoy recopilando toda la información y redactando el informe

Cuando lo hayas terminado, ojalá lo quieras compartir con nosotros.

Muchas gracias por la información!

Saludos.

Mobiplayer · 2 Diciembre 2010, 18:05 PM

Cita de: Arcano. en 2 Diciembre 2010, 17:28 PM
Hola Mobiplayer

Muy interesante lo que cuentas.

Tienes suerte. En mi caso, primero que no es mi trabajo -ojalá lo fuera- y segundo que la cantidad de ordenadores es muy elevada... Aunque supongo que todo sería ponerse. Me encantaría que describieras, en la medida de lo posible, cómo has llegado -o eso crees hasta falta de confirmación- hasta 'el caso cero'. Supongo que a través de 'mucho WireShark', pero... Lo dicho, toda explicación será bienvenida. Mera curiosidad.

Hola,

Pues al final de la manera más tonta: Revisando logs del cortafuegos. Filtrando por servicio (ftp), origen (red corporativa) y destino (listado de ftp's a los que se conecta el virus). He ido haciendo marcha atrás en los logs hasta que ya no había rastro de estas conexiones, por lo que la primera que aparece en el tiempo es el "caso cero".

Citar¿Y no pudiste hallar la máquina en la red? Lo digo porque hubiese sido interesabte escanearla para poder observar qué tipo de software/malware tenía instalado.

Mmm... Si 'nuestro amigo' aprovecha netBios para propagarse, a saber si también está 'programado' para eso. Puede que la información recopilada no lo describa, pero... quién sabe. Lo dicho anteriormente, hubiera sido interesante hallar esa máquina para escanearla.

Sí, se la pasé al personal de IT y ahí quedó la cosa. Yo seguí a lo mío... No pensé que me llegara a ser muy útil la información que me pudiera dar esta máquina y, además, soy más de redes que de sistemas

por lo que aunque pudiera proporcionarme información, no soy el más hábil en ese campo. Lo que sí hice fue lanzarle yo un portscan y reconocer los servicios que corría, por si tenía algún RAT o similar. IT me confirmó que los servicios descubiertos eran normales. No ahondé mucho más ya que, además, no aparecía ningún servicio como filtrado (señal de filtro por IP origen por ejemplo).

CitarEn esto no había pensado... Intersante...

A bote pronto no he encontrado nada ahí.

CitarCuando lo hayas terminado, ojalá lo quieras compartir con nosotros.

Muchas gracias por la información!

Saludos.

No creo que pueda/deba, pero sí -sin duda- echar una mano en lo que necesitéis ya que por fin he conseguido todo lo que quería: Caso cero, métodos de propagación, vector de infección. Una máquina (caso cero) se conectó una mañana a la fatídica IP 91.213.8.192, siendo infectado tras explotarse la vulnerabilidad de Adobe Reader y a los 30 segundos ya estaba intentando subir datos a uno de los FTP de la lista. La conexión a la IP estaba permitida pero para encontrarla he tenido que cambiar el filtro origen por la IP del proxy, ya que navegan por proxy. Ahora esa IP ya está denegada en el propio proxy.

La verdad es que me ha ayudado mucho la información de NovLucker (¡gracias fiera!) ya que me ha ahorrado tiempo de búsqueda entre gigaBytes de logs

Si puedes, haz lo siguiente: Mediante GPO (no sé si se puede) filtra el tráfico entrante a los puertos 137, 139 y 445 de las estaciones de trabajo. Así contienes la amenaza. Luego limpia con el McAfee (a mi cliente tuvieron que suministrarle un ExtraDAT al principio, mira de contactar con McAfee si tu VirusScan no limpia) y finalmente recórrete los logs del cortafuegos en busca de conexiones http a las webs que explotan la vulnerabilidad y conexiones FTP a los servidores donde se sube la información.

Si tienes cualquier pregunta y crees que te puedo ser de ayuda ya sabes, dispara

Voy a escribir el informe.
Saludos

Mobiplayer · 2 Diciembre 2010, 18:06 PM

Por cierto, se me olvidaba y creo que es importante: Ahora toca revisar logs del proxy para ver como leches ha llegado el usuario hasta la 91.213.8.192...

Saludos

Arcano. · 2 Diciembre 2010, 18:19 PM

Buenas Mobiplayer!

CitarNo creo que pueda/deba

Ya lo suponía... Pero por probarlo

De todas formas, ya me estás diciendo suficiente. Gracias!

CitarLa verdad es que me ha ayudado mucho la información de NovLucker (¡gracias fiera!)

A mí porque me gustan las mujeres, sino ya le había 'tirao los trastos'.... O_o'

CitarMediante GPO (no sé si se puede) filtra el tráfico entrante a los puertos 137, 139 y 445 de las estaciones de trabajo. Así contienes la amenaza. Luego limpia con el McAfee (a mi cliente tuvieron que suministrarle un ExtraDAT al principio, mira de contactar con McAfee si tu VirusScan no limpia) y finalmente recórrete los logs del cortafuegos en busca de conexiones http a las webs que explotan la vulnerabilidad y conexiones FTP a los servidores donde se sube la información.

Todo eso es lo que me gustaría hacer... Pero es trabajo de otros... Y... Lo dejaremos ahí.

CitarAhora toca revisar logs del proxy para ver como leches ha llegado el usuario hasta la 91.213.8.192..

Eso, si puedes... También será interesante saberlo.

Saludos!!!

Novlucker · 3 Diciembre 2010, 12:48 PM

Cita de: Mobiplayer en 2 Diciembre 2010, 18:06 PM
Por cierto, se me olvidaba y creo que es importante: Ahora toca revisar logs del proxy para ver como leches ha llegado el usuario hasta la 91.213.8.192

Suerte con eso, la gente se aburre, se mete a feisbuk y esas cosas

Fijense en el reporte de la IP que puse más arriba, se ha agregado alguna detección más. Por lo visto el dominio interesante ahora es este ...
http://safebrowsing.clients.google.com/safebrowsing/diagnostic?site=nt17.in
http://www.urlvoid.com/?domain=nt17.in&check=Scan+Now

En el último link creo que lo más interesante lo muestra AMaDa, pero igual los dueños del servidor han tomado alguna precaución y han desactivado el listado de archivos, que nunca lo hacen

¡Ya tá! Creo que no hay más nada pa' sacarle a esto, lo mejor creo que va a ser que Arcano pida traspaso para el departamento de seguridad

Saludos

Arcano. · 3 Diciembre 2010, 13:00 PM

Voy a revisar lo que dices... Casi nunca posteas cosas interesantes, pero puede que ésta sea la excepción...

Citar... traspaso para el departamento de seguridad

Te paso por MP el teléfono de mi jefa...

Saludos!!!