investigación R%504

Qué es SMM???
Pues significa System Management Mode 
Y que hace?
es un modo de funcionamiento x86 de tu cpu, recuerdas que tu windows tiene la opcion de iniciar en MODO SEGURO??
pues de igual forma, la diferencia es que este modo es parte del firmware y no del software, asi que está en el RING-2,

SMM es un modo operativo de propósito especial prevista para el manejo de las funciones de todo el sistema, como administración de energía, control de hardware del sistema, o de propiedad código diseñado OEM. Está destinado para uso exclusivo de firmware del sistema, no por el software de aplicaciones o software de sistemas de propósito general.
Que tiene de bueno este modo??

El principal beneficio de SMM es que ofrece un entorno de procesador distinta y fácilmente aislado que funciona de forma transparente para el sistema operativo o las aplicaciones ejecutivas y software.

Con el fin de lograr la transparencia, SMM impone ciertas reglas. El SMM sólo se puede introducir a través del SMI (Sistema de Gestión de interrupción). El procesador ejecuta el código SMM en un espacio de direcciones separado que es inaccesible a otros modos de funcionamiento de la CPU

SKY LABS

En el laboratorio se decidío auditar el firmware de una placa Intel DQ77KB
para hacer ingeniería inversa necesitamos volcar la SMM a un SMMR o System Management Mode RAM
un trabajo nada facil, para lo cual evaluamos 2 formas de hacerlo:
1° La forma mas obvia de hacerlo es coger una parte del firmware y quitar la protección SMRAM y así hacerlo accesible al codigo SMM
2° Escribir un exploit para alguna vulnerabilidad de Firmware que nos permita leer el contenido de SMRAM basandonos en la base datos de vulnerabilidades registradas (CERT VU #976132)

Para alcanzar una mejor solución decidí codear un backdoor para el firmware que corra en SMM y proporcione un interfaz que permita dumpear la SMRAM del código menos privilegiado y que deje hacer algunas otras cosas útiles, luego escribí un payload adicional que permite escalar privilegios de procesos de modo de usuario bajo GNU/Linux 64 bit usando SMM; claro que este backdoor es más bien un instrumento de investigación que un malware - para instalarlo usted tiene que tener un hardware programador SPI y el acceso físico a la máquina objetivo, pero como indican otros investigadores también puede ser usado para armar un exploit de UEFI que infecte el firmware.
la seguridad SMM no es un tema nuevo entre investigadores, en los ultimos 10 años hubieron muchas publicaciones sobre SMM y su uso malicioso en objetivos

• "Using CPU System Management Mode to Circumvent Operating System Security Functions"
• "System Management Mode Hack, Using SMM for Other Purposes"
• "A Real SMM Rootkit: Reversing and Hooking BIOS SMI Handlers"
• "SMM Rootkits: A New Breed of OS Independent Malware"

Sin embargo, la mayor parte de parte de esta investigación fue hecha durante la era de BIOS Legacy y hoy día, cuando los vendedores de ordenador habían cambiado del BIOS Legacy a UEFI, la seguridad SMM contempla aspectos relacionados en UEFI.

Muy buenas noches y pronto les daremos la siguiente parte
SKY SECURITY -- amor por la investigación

Preocupante y desapercibido

UN NUEVO ENFOQUE PARA UN VIEJO CONOCIDO

A veces se le presta mucha importancia a un troyano dejando de lado al script que éste puede transportar; En este artículo quisiera hablarles un poco de los webinjects que en sintonía con el phishing avanzaron significativamente en los últimos años para convertirse en una amenaza mucho más sofisticada. Hoy en día, constituyen una amenaza real para las instituciones financieras. De hecho, los ciberdelincuentes están utilizando cada vez más los kits de webinjects genéricos diseñados para consumo masivo, e incluso los personalizan y los añaden a sus troyanos bancarios con el objetivo de robar datos y dinero de las víctimas. En este artículo observaremos a estos kits más de cerca para entender mejor lo que hacen.

y de que trata?

La inyección web es una herramienta gratuita y de código abierto diseñada principalmente para automatizar la prueba de las aplicaciones y servicios web. Los investigadores de seguridad la han estado utilizando durante los últimos 20 años para evaluar los componentes de los sistemas web con interfaz HTTP.

Son muchos los lugares donde se puede inyectar código en un sitio, una aplicación o un servicio web, por eso es esencial asegurarse de que los administradores las controlen siempre durante las pruebas de carga, los controles de calidad y la implementación de medidas de seguridad.

CÓMO SE APROVECHAN DEL SISTEMA

Recientemente, los delincuentes comenzaron a usar archivos de webinject junto con sus troyanos bancarios para robar información bancaria online u otros datos confidenciales de la víctima. En efecto, algunos delincuentes intentan deliberadamente incorporar archivos dewebinject a sus variantes de malware para aumentar las posibilidades de robo de datos.

Estos son, básicamente, archivos de texto con un montón de código JavaScript y HTML, y los ciberdelincuentes los usan para atacar ciertas organizaciones mediante la inyección de códigos específicos en los navegadores de las víctimas en tiempo real y así poder modificar las páginas web que los usuarios están viendo.

Al usarse en conjunto con un troyano bancario, el webinject suele mostrar un mensaje emergente falso en un sitio legítimo, en general mientras la víctima está utilizando su servicio bancario online o está haciendo una transacción.

Los cibercriminales se esfuerzan para que la página web parezca legítima y, mientras el usuario navega en ella, roban sus datos de inicio de sesión y detalles bancarios. Algunos kits buscan información de seguridad cuando el usuario inicia la sesión en el sitio del banco, o incluso piden permiso para transferir fondos, por lo general bajo el pretexto de que el dinero fue transferido a la cuenta del usuario accidentalmente, por lo que éste debe proceder a su reembolso.

“Aunque es una técnica bastante antigua, ha evolucionado considerablemente en los últimos años”,

Un estudio de jean ian boutin, presentado en la 24º Conferencia de Virus Bulletin en Seattle, analiza el alcance que tuvieron los inyectores web.

“Por lo general, los troyanos bancarios descargan algún tipo de archivo de configuración dewebinject, que especifica el objetivo de ataque e incluye el contenido que deberá inyectar en la página web de destino”, continuó.

“Algunos webinjects tratan de robar información personal del usuario mediante la inyección de campos adicionales en los formularios que la víctima está usando en ese momento, lo que crea una página de phishing elaborada. Otros son mucho más complejos e incluso podrían tratar de automatizar transferencias fraudulentas desde la cuenta bancaria de la víctima hacia la cuenta bancaria de una ‘mula’”.

MULTIFACÉTICOS Y SUMAMENTE ESPECIALIZADOS

La rapidez con la que avanza el desarrollo de los webinjects es tal que ya se convirtieron en productos básicos, disponibles para la venta o negociación en “foros clandestinos” y modificados a medida según las necesidades específicas de los ciberdelincuentes que quieran atacar un bancodeterminado u otras instituciones financieras.

Por otra parte, los escritores del software de webinject ahora son capaces de producir kits personalizados por solo una fracción del costo que tenían antes, aunque aquellos con características especiales (como la capacidad de tomar un saldo bancario y enviarlo al servidor de Comando y Control) cuestan más; sin embargo, teniendo en cuenta las posibles recompensas, es una inversión que muchos atacantes no dudan en hacer.

Si bien muchos de estos establecimientos bancarios y financieros cuentan con sistemas exclusivos de seguridad, el hecho de que los webinjects se pueden personalizar para superar tantas medidas de seguridad distintivas es algo preocupante. Subestimar este hecho es un grave error: el vigor que muestra el mercado negro sugiere que los criminales detrás de los webinjects apenas están empezando.

metodos criminales

ROBO DE CREDENCIALES BANCARIAS

Los ciber criminales buscan principalmente ganar dinero sin importar si en su camino deben destruir datos, y en su empecinada búsqueda de ganancias económicas,  atacan directamente a donde los usuarios manejan su dinero, es decir, sus cuentas bancarias. Con el desarrollo de posibilidades para hacer todo tipo de transacciones por Internet, fue inevitable que pusieran su atención en tratar de vulnerar estos servicios.

La colección de amenazas que puede utilizar un atacante con este objetivo es bastante amplio: desde una sencilla campaña de correo electrónico que con un enlace que dirija a un sitio de phishing hasta diferentes familias de códigos maliciosos, con características particulares como el uso de Ingeniería Social, interceptación del tráfico de red o modificación del sistema, entre otras posibilidades.

Dentro de esta amplia variedad, los troyanos bancarios tienen un puesto principal por las facilidades que le ofrecen a un atacante, y algunos tienen características muy particulares.

Veamos algunas de las amenazas dedicadas al robo de credenciales bancarias:

LA INGENIERÍA SOCIAL, PUNTA DE LANZA

Cuando hablamos de códigos maliciosos del tipo troyano es inevitable no relacionarlos con técnicas de Ingeniería Social. En el caso de los bancarios, hay unas familias en particular que tienen una alta dosis.

La familia Win32/Spy.Bancos tiene la finalidad de robar credenciales bancarias de entidades financieras. Las variantes de esta familia son diferenciadas por los protocolos que utilizan para enviar los datos robados, como por ejemplo FTP o SMTP.

Cuando un usuario recibe una muestra de este tipo de código malicioso y lo ejecuta, se abrirá en su dispositivo una ventana muy similar a un navegador web en lo que parece ser la página de una entidad financiera.

Otras variantes de esta misma familia esperan que el usuario abra un navegador y quiera entrar a una página legítima de un banco para abrir este falso navegador. En este caso este falso navegador no permite al usuario acceder a otras páginas web ni realizar otras actividades diferentes a ingresar los datos en los formularios falsos.

MODIFICACIONES SILENCIOSAS DEL SISTEMA

Hay otro tipo de amenazas bancarias que realizan cambios directamente sobre el sistema de manera “automática” cuando se inicia la computadora; de esta manera, el código malicioso logra realizar los cambios necesarios en el sistema para lograr su objetivo. Si bien hace un tiempo los atacantes dejaron de lado este tipo de metodología para afectar a los usuarios, todavía se siguen viendo detecciones de estos códigos maliciosos.

La familia de amenazas detectada por las soluciones de ESET como Win32/Qhost modifica el archivo hosts del sistema para realizar un ataque de pharming local, redirigiendo a la víctima a sitios de phishing. Cuando se ejecuta el troyano, se conecta a una dirección URL remota desde la que descarga un archivo de texto por el cual reemplaza al archivo original, forzando al usuario al caer en un servidor falso la próxima vez que intente acceder a la banca electrónica.

Otra familia de códigos maliciosos que modifican directamente el comportamiento de las aplicaciones en el sistema es Win32/Spy.Banker. Este código malicioso, en lugar de modificar el archivo host, inyecta código de manera dinámica en determinadas páginas web; en el momento en que el usuario acceda a las mismas, esta información se envía a una dirección de correo electrónico con los datos del usuario.

TROYANOS PARA ENMASCARAR LA DESCARGA DE OTRAS AMENAZAS

Una de las características de los troyanos con mayor cantidad de detecciones actualmente es que no realizan la acción maliciosa directamente, sino que son utilizados para descargar al equipo de la vícitma la amenaza que roba las credenciales bancarias o que intercepta los datos de las transacciones comerciales.

Una de las familias que tienen este comportamiento es Win32/TrojanDownloader.Banload. Una vez que un usuario se ve infectado, realiza la descarga de otros códigos maliciosos que intentan robar las contraseñas de acceso a portales bancarios.

Este tipo de amenazas simulan ser diferentes tipos de archivos, dentro lo más comunes documentos de ofimática, archivos PDF o fotografías. Sin embargo, es común que tengan doble extensión y como muchas veces en el sistema operativo viene desactivada la opción de ver lasextensiones de los archivos, suelen pasar inadvertidas -por lo general SCR o la menos común EXE

INTERCEPTACIÓN DEL TRÁFICO DE LAS TRANSACCIONES

El objetivo de la familia de amenazas anteriores preparan el terreno para que se efectúe el robo de información del usuario, y así lograr que los cibercriminales obtengan datos de los usuarios. Hay otros troyanos que tienen esta misma característica, como por ejemplo la familiaWin32/TrojanDownloader.Waski, utilizada para propagar otro troyano bancario detectado por las soluciones de ESET como Win32/Battdil.

Esta familia, también como conocida como Dyre, tiene la particularidad de vulnerar SSL haciéndole creer a los usuarios que están en un sitio web seguro y desviando todo el tráfico a servidores maliciosos para robar la información de la transacción.

AMENAZAS BANCARIAS EN ANDROID Y WINDOWS DE 64 BITS

Si bien la gran mayoría de amenazas que tratan de comprometer las transacciones bancarias las encontramos para Windows, de a poco hemos podido detectar un incremento en la aparición de familias enfocados en Android, así como en las últimas versiones de Windows.

Por ejemplo la familia Android/Spy.Banker busca robar credenciales bancarias. Cuando el usuario descarga este tipo de aplicaciones maliciosas, se solicitarán permisos de administrador y una vez que se active, se elimina el ícono del menú principal y no permitirá que el usuario la pueda desinstalar.

Además, la próxima vez que intente abrir Google Play para realizar la búsqueda de material interactivo, la siguiente pantalla irá a su encuentro peticionando las credenciales de su tarjeta de crédito.

Si bien los niveles de detección de la familia Win64/Spy.Banker no se compara con las detecciones de su similar en 32 bits, es de esperarse que en la medida en que se masifique el uso de los sistemas operativos de 64 bits, crezcan estas detecciones y además veamos la aparición de nuevas familias y variantes.

La protección debe complementarse con buenas prácticas al momento de estar navegando por Internet.