Weblog de JaCkSecurity

Varias semanas atrás estuvimos averigüando la forma en que Dan Kaminsky determinaba cúando un DNS era vulnerable a su famoso hallazgo, al usar el DNS CHECKER en Doxpara.com.

Inicialmente pensamos en la posibilidad de recrear el DNS CHECKER vía un viejo y útil programa llamado, tcpreplay, bajo la premisa que a Kaminsky se la había fugado parte o toda la cadena de explotación, pero no fue así.

Luego de montar un DNS vulnerable en nuestro lab, descubrimos que los paquetes eran muy inofensivos, pero no quisimos dejar tanto esfuerzo en un simple, no se puede. Quisimos ir más allá, y no despreciar el análisis de los paquetes capturados, contra nuestro DNS vulnerable. Sugerimos que lleve el curso SEC503 si desea aprender cómo hacer esto.

Al analizar los paquetes, observamos renuencia de paquetes. Ellos no eran otra cosa que un prolongado juego de acertijos (por eso el título arriba) en el que estuvo entretenido nuestro DNS. Los acertijos a que nos referimos eran (como puede ver abajo) varias respuestas CNAME sucesivas para una consulta de un registro tipo A, aquí una representación cinematográfica de lo visto:

Interprete el escenario así:
[192.168.1.19] como Batman (nuestro DNS vulnerable)
[209.200.168.66] como El Acertijo (el servidor DNS de Kaminsky)
[190.232.39.215] como El público de la película (PC que hace click en el DNS Checker)

La técnica, que hemos bautizado aquí como “la técnica del acertijo”, es muy interesante. Si bien acá es usada para diagnosticar la vulnerabilidad descubierta por Kamisky, esta, puede ser usada para otros fines futuros. Observe, que la técnica de responder con acertijos, es una forma muy útil de provocar más de una (seudo) sesión (seuda por lo de UDP) a fin de aprender más del host que inicia la sesión. Por otro lado, si piensa por un momento que las respuestas con acertijos son agotadoras (como lo pueden ser las preguntas repetidas de un infante), entonces entenderá -también- que esta técnica puede ser usada para intentar agotar los recursos de un servidor DNS (tarea para los researchers que quieran crackear un BIND-acertijo)

En suma, Kaminsky no sólo nos ha mostrado (BlackHat 2008) su vulnerabilidad, también nos ha dejado algo más (doxpara.com), sólo hacía falta un poco de análisis.

Staff
JaCkSecurity
Conocimiento, conciencia, consultoría

Con un toque muy japonés y transfondo comercial por Symantec, estos videos ilustran perfectamente qué es una botnet.

Si Norton es o no un buen anti-virus, sólo los usuarios lo pueden confirmar.

A continuación algunas de las citas más importantes de la transcripción de lo dicho por el Ministro de Defensa de Estonia, Jaak Aaviksoo, en Washington (28 Nov. 2007), referente a los ataques DDoS sufridos en su nación en el mes de mayo:

Acerca de la responsabilidad del uso de ciertas armas
It is a complicated question to what extent individual people or computer owners can be held responsible for those attacks. Will I just bring you a small mental exercise. In a war, in a regular war, guns are used as weapons to fight. In cyber attacks, computers are the weapons. We have made rules and regulations so anybody who owns a gun has to keep it from being used against third parties, either by leaving it at home on the table accessible to your children and them using it against their friends or classmates, then it’s clear that we can be held responsible.

Acerca de la velocidad de respuesta
…close cooperation. Even more so, we’re taking into account the very nature of those attacks; they are speed; events happen in milliseconds or even in shorter time periods. They develop over minutes or hours. And so, fast reaction is essential.

A pesar del equipamiento de hardware y software de seguridad instalado en muchas compañías y redes domésticas, miles de millones de computadoras vienen siendo explotados.
Todo eso debido a las malas prácticas de seguridad que se vienen desarrollando en el uso de los computadores. Una nueva publicación del portal de JaCkSecurity demostra qué es lo que hacen esas computadoras hackeadas, específicamente en la economía SPAM. Descargue Zombi SPAM al descubierto.

[Nota si los zombis en su red están generando una situación de crisis, recurra inmediatamente a nuestro servicio de emergencias y ayuda forense JaCknoHaCk.]

A consecuencia de las noticias reportadas en el boletín #35 del JaCkNews, creimos conveniente enumerar algunos de los problemas mínimos que puede generar una red zombi:

Explicación detallada:

1. Metástasis
Al igual que ciertas enfermedades humanas hacen metástatis, es decir se generalizan en todo el cuerpo, los infecciones zombis también lo hacen. Esto es porque en la mayoría de casos, en el código de amplificación viral basado en gusano existe la orden de explorar en primera instancia la red interna, a fin de penetrar cada máquina disponible. Si la alguna máquina en dicha red es penetrada y está en modo dual-home, la posibilidad de metástasis se duplica, lo que permite al zombi extenderse a otros perímetros internos (redes backend).

2. Escaneos
Luego de la infección interna, la zombi recibe órdenes integradas o nuevas para explorar existan aplicaciones vulnerables.
A causa de ello es altamente probable, que usted reciba una denuncia (vía teléfono o vía correo) de que está realizando ataques o intentos de intrusiones.
Los último, se hace más delicado aún, si la red a la que están escaneando sus zombis es la red de su competencia o algún enemigo militar.

3. Pasarela criminal
Casi en paralelo a lo anterior, su computador -ahora convertido en un zombi- se conectará a su comando central, a fin de recibir órdenes de su nuevo amo (esto en el sin que usted pierda control convencional de su PC). Desde allí, el criminal ordenará diversas operaciones delincuenciales a través de su computador. La posibilidad de ser incriminado por ello es alta, ya que finalmente es usted el dueño de dicho equipo (no importa si es una zombi).

4. Robo de documentos internos
En ocasiones, el criminal podrá tener interés en documentos de su corporación, para lo cual no tiene obstáculo alguno.

5. Violación a la privacidad
La violación de privacidad del usuario que opera la PC, es arruinada casi en la mayoría de casos. Esto se debe a que los zombis son programadas para extraer cada tarjeta de crédito o de débito que el usuario de la PC digite sobre ella.

6. Envío de SPAM
Esto último, no por estar al final significa que es menos frecuente, todo lo contrario. El envío de spam es lo más típico en una PC zombi.
Los criminales subarriendan su PC para el envío de correos no deseados (SPAM). Quizás, porque la industria comercial publicitaria sigue siendo una de las más rentables.
De esta manera, sus PCs se vuelven en motores de correo no deseado, con todo lo que eso significa: problemas con la leyes peruanas (o de otro país), y problemas con la blacklists.

Síntomas
Hasta aquí es muy probable que usted se pregunte cuáles son los síntomas de una PC zombi. En general, estos son variados, y casi siempre “imperceptibles”. Sin embargo, algunos pueden reflejarse -y no se limita- en los siguientes síntomas:
1. No percibe nada en su PC(s).
2. Percibe tráfico irregular al interior de la red, incluso, saturación y caida de equipos de internetworking (routers y switches) internos, si la red es proporcionalmente grande: red /8 , /16, o similar.
3. Mediante red, se observa tráfico de salida hacia los siguientes puertos TCP/UDP: SMTP, SSH, 5900, 1433, 2967, 2968, 45001, de Microsoft, y otras exentricidades más.
4. Observa consultas DNS salientes por un mismo dominio, en una frecuencia irregular.
5. Conexiones HTTP irregulares, que usted no generó manualmente o vía algún software conocido.
6. Recibe una notificación o llamada de su proveedor o uplink más cercano, o de algún centro de investigación de seguridad, o quizás de entidades financieras.

Muestras
Si no sigue las prácticas citadas en el post “least-privilege“, es altamente probable que su red tenga zombis, vea más en “tráfico autómata“.

Solución zombi
Debido a que una zombi tiene demasiadas aristas, restaurar una PC del estado de zombi no es una tarea que cualquiera pueda realizarlo. Usted puede contar con JaCkSecurity para esa labor (el tiempo de solución depende del nivel de daño y la experticia de su personal: JaCknoHaCk).

Se esperaba que luego del lamentable terremoto que dañara el sur del Perú, el pasado 15 de agosto, el consumo del Internet local disminuyera a sus niveles más bajos, producto de las masivas evacuaciones que se realizaron en las oficinas y hogares conectados a la red. Sin embargo, esta suposición quedó desacreditada luego de observar las gráficas de intercambio del NAP Perú, hecho que a su vez provocó una interrogante: ¿qué generó ese tráfico?

Aunque parte de este remanente pudo haber sido generado por personas no afectas al terremoto (población norteña del Perú) -además de usuarios proclives al Internet como alternativa de comunicación (Ej. correo), es altamente probable que mucho de éste tráfico haya sido generado por código autómata. En ese sentido, varios colegas tienen interesantes teorías al respecto:

Nota: Entre un 30 y 50 porciento del tráfico normal, fue el remanente de consumo que permaneció entre los 7 de los 9 proveedores de Internet conectados al NAP Perú.

Tráfico autómata no malicioso:
- Actualizaciones de herramientas antivirus
- Actualizaciones de sistemas operativos y aplicaciones
- Correo electrónico encolado
- Conexiones a radios en-línea
- Conexiones a TV en-linea
- Telefonía IP
- Similares

Tráfico autómata producto de efectos del mundo cibercriminal:
- Amplificación de código malicioso (gusanos) a través de diversos puertos (P.e.1433, 5900, 2967, 2968)
- Abuso de proxies abiertos (puertos 3128, 8080)
- Descargas peer-to-peer no permitidas
- Tráfico tunelizado vía puerto 80 (para disfrazar tráfico no permitido)
- Tráfico de señalización y comandos de botnets (80 ó 6667)
- Port scan y host scans
- Tráfico de shells reversos, backdoors y similares (puertos muy bajos o muy altos)

Ante éste interesante escenario, se recomienda a los administradores de sistemas el examinar los registros de monitoreo de sus redes en dicha fecha. La probabilidad de hallar tráfico autómata malicioso es alto, y beneficiará en mejorar la seguridad de su compañía. JaCkSecurity sugiere ésta labor, especialmente, a aquellas personas que van a participar del curso SEC 503 Intrusion Detection In-Depth.