Llegamos a ustedes gracias a:



Alertas de Seguridad

Viejo exploit de Java

Aprende nuevos trucos

[06/05/2013] Puede que los perros viejos no puedan aprender nuevos trucos, pero esto no es cierto para los kits de exploits de Java.
Uno de los cuatro principales kits de exploit del mundo, g01pack, ha añadido uno más a su repertorio de trucos para evitar la detección, de acuerdo a investigadores de Trusteer. Contiene un nuevo exploit que modifica la forma en que entrega el malware a un sistema infectado.
El kit se encuentra diseñado para atacar una vulnerabilidad que fue parchada en Java 6 por Oracle en el 2012. A pesar de ello -y del hecho de que la más reciente versión de Java es la 7.x- Trusteer estima que el paquete aún se encuentra infectando mensualmente a una de cada tres mil computadoras conectadas a Internet.
Oracle declinó comentar para esta nota.
Con un kit de exploits típico, se inyecta un pequeño parche de código shell en la máquina a través de la vulnerabilidad. Una vez en la memoria, envía por su payload.
Los payloads contienen un bufet de programas de malware para hacer jugarretas en la computadora. Por ejemplo, el g01pack tiene algunas perlas como el Zeus, Torpig, Gozi y Shylock en su payload.
Con esta reciente variación de g01pack, el código shell escribe un programa en el disco duro del sistema infectado que escribe otro programa para traer el payload. Se crea una especie de zona de buffer entre el proceso explotado y la ejecución final del payload, afirmó Amit Klein, CTO de Trusteer, en una entrevista.
Aunque la técnica es bastante simple, el cambio en el comportamiento parece estar burlando algunos sistemas de defensa. Esto parece que está confundiendo a muchos mecanismos de seguridad porque las actividades maliciosas ahora se llevan a cabo en dos lugares, afirmó Klein.
La explotación inicial se lleva a cabo en el proceso del navegador y plug in, y la descarga y ejecución ocurre en otro proceso, agregó.
Si un programa de seguridad busca llamadas sospechosas a Internet desde un programa en memoria, puede ser engañado cuando éstas llamadas son realizadas desde un programa localizado en otro lugar del sistema.
Eso se debe a que el proceso explotado no corre el payload, simplemente corre una nueva instancia del proceso de Java que parece ser legítima, señaló Klein.
Identificar el payload escrito en el disco duro de un sistema puede ser difícil. El programa de descarga utiliza una lista de 20 nombres que asigna de manera aleatoria a los archivos de payload. Más aún, los nombres son los nombres que se encuentran en los procesos legítimos que corren en un máquina de Windows típica -Google, Firefox, Chrome, Opera y similares.
Si uno no es lo suficientemente cuidadoso para revisar la trayectoria completa de los nombres cuando se buscan los procesos que corren, simplemente verá procesos que se ven legítimos, indicó Klein.
Los escritores de esta versión del g01pack parecen no estar muy actualizados, anotó H.D. Moore, chief security officer de Rapid 7. El hecho de que este exploit funcione es un testimonio de cuán mal se encuentra la industria de los antivirus, afirmó el CSO.
La segunda etapa del exploit de g01pack no es tan elegante como los nuevos exploits que comprometen la sandbox de Java, continuó. Si hace el escapa de la sandbox en Java, puede hacer la ejecución en memoria de cualquier cosa que quiera, afirmó. No tiene que escribir un archivo a disco en ningún lugar.
Sus técnicas son muy primitivas en comparación con lo que actualmente se enfrenta, manifestó Moore.
También es sorprendente verlos atacar un exploit cerrado hace seis meses en una versión de Java que se encuentra en solo el 40% de la base instalada o menos, afirmó. Parece un uso ineficiente de su tiempo.
John P. Mello, CSO (EE.UU.)