El solitario camino de los unos y ceros

menéame

Seguir la historia ocurrida durante este mes sobre el robo de información de Google (y otras 33 empresas) es algo que parece llegado de la época de la guerra fría, aunque es una historia muy de hoy. Referente al robo de información con el troyano Hydraq y el agujero de seguridad del Internet Explorer, puede ver el inicio de la historia aquí. Pero esto va a traer cola.

Se han visto afectadas incluso las relaciones entre EEUU y China, y representantes de alto nivel de ambos gobiernos han tenido que salir a defender a sus empresas o desmentir que sus Ministerios tuvieran algo que ver. Pero bueno, era la posición lógica de ambos. Otra cosa es que Google finalmente acabe cerrando su oficina en China, o finalmente decida quedarse. El resto de empresas de las que se han llevado información han decidido quedarse haciendo negocios en el país asiático.

En un plano más técnico, he estado leyendo sobre los detalles del ataque que se ha “bautizado” como operación Aurora y queda claro que los que planearon la operación sabían bien lo que hacían.

Está claro que las grandes empresas tienen vigilancia constante sobre el tráfico de red buscando ataques o posibles agujeros de seguridad. Por lo tanto, que Google sea objeto de algún tipo de ataque no es demasiado novedoso. Pero muy grave debe haber sido ellos lo anunciaron en su blog oficial.

¿Cómo infecta?

Inicialmente la técnica es similar a otros troyanos: se manda un e-mail a los usuarios que parezca verídico y enviado por alguien de confianza para conseguir que siga un enlace o abra un archivo adjunto, que contiene el código malicioso. En este sentido lo más importante es usar una vulnerabilidad de día cero, es decir, que sea utilizada por primera vez para que el software antivirus o los administradores de red no la conozcan. Y ese ha sido el caso, porque aunque Hydraq ya se había usado en julio de 2009, lo hacía colándose a través de aplicaciones de Abobe: Reader y Flash Player.

Hydraq en si mismo, no es excesivamente sofisticado. No utiliza anti-debugging, simplemente ofusca su código malicioso. El rastro que deja en PCs que infecta es:

Ficheros:

• %System%\[ALEATORIO].dll: main file. Se ejecuta como servicio y contiene las funciones de puerta trasera.
• %System%\acelpvc.dll: Flujos de información en tiempo real para el hacker.
• %System%\VedioDriver.dll: funciones auxiliares de acelpvc.dll

Servicio:
RaS[4 CARACTERES ALEATORIOS]

Clave de registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RaS[4 CARACTERES ALEATORIOS]

¿Qué hace?

Una vez que se instala intenta comunicarse con un servidor para que le de instrucciones. Los servidores que se han identificado y se han hecho públicos son:

• yahooo.8866.org
• sl1.homelinux.org
• 360.homeunix.com
• li107-40.members.linode.com
• ftp2.homeunix.com
• update.ourhobby.com
• blog1.servebeer.com

Información enviada de cliente a servidor:

• Cabecera de paquete de datos encriptada por inversión de bytes (operación NOT bit a bit).
• La información aparte de la cabecera va comprimida y encriptada con XOR por byte y una clave adicional.
• Se establece una suma de comprobación de 16 bits de los datos comprimidos y encriptados.

Información enviada de servidor al cliente:

• La cabecera del paquete de datos se encripta haciendo XOR en los bytes.
• La información del servidor no se comprime y no tiene suma de comprobación, pero si se encripta con XOR por byte y una clave adicional.

Una vez instalado, es capaz de realizar bastantes cosas, pero hay una que me llama bastante la atención y es que uno de los componentes de Hydraq está basado en el código del proyecto VNC y podría permitir al hacker ver el escritorio del ordenador infectado en tiempo real. Además de esto tiene capacidad para:

• Crear, modificar y borrar claves del registro de Windows.
• Comprobar el estado, controlar y finalizar procesos y servicios.
• Escribir, ejecutar, leer, copiar, cambiar atributos y borrar ficheros.
• Apagar y reiniciar el ordenador.
• Desintalarse a sí mismo (borra la clave de registro que he mencionado antes).
• Recopilar información del hardware, sistema operativo y parámetros de red.
• Limpiar los logs del sistema.
• Comprobar si la DLL acelpvc.dll está cargada y poder llamar a la función EntryMain().
• Descargar un fichero remoto en la carpeta %Temp% llamado mdm.exe, y ejecutarlo.
• Instalar actualizaciones de su código.

Hydraq a día de hoy

En la práctica como los servidores de control se han desconectado, Hydraq está desactivado. El uso por parte del trojano de una comunicación con proveedores de servidores de DNS dinámicos para enrutar el tráfico hacia los servidores de control, ha permitido a estos proveedores cortar su tráfico.

Adicionalmente, los fabricantes de antivirus han identificado el código malicioso con lo cual, ya tienen protección actualizada. Por supuesto, esto no impide que alguna variante aparezca próximamente y no sea identificada por el antivirus.

Hydraq se aprovecha de una vulnerabilidad de Internet Explorer que afecta a las versiones 6, 7 y 8. El fallo de seguridad permite que se pueda ejecutar código malicioso en la máquina remota. A día de hoy Microsoft está todavía trabajando en el parche para solucionar este problema.

En cuanto a la versión de Hydraq que afectó a los productos de Abobe, sí que hay parche disponible, con lo cual basta con descargar sus actualizaciones para tener solucionado este problema.

Este virus hay que ubicarlo como un paso más dentro de una guerra de espías digitales en los que el robo de información, el descubrimiento de secretos del enemigo o el espionaje industrial, se realiza en el campo de internet y la informática. En el caso concreto de Google que es una empresa orientada a Internet y a mantener “toda” su información en ella, el impacto de estos ataques es mayor que en otras que pueden mantener su información más critica en redes internas aisladas de Internet.

Hay que seguir este caso concreto por las repercusiones que puede tener a nivel político y empresarial. Ya veremos cuáles son las decisiones que Google toma.

menéame

Windows desde versiones anteriores tiene las herramientas de administración centradas en un framework llamado MMC, o sea, Microsoft Management Console. Esta consola tiene un uso intensivo cuando se trata de trabajar con alguna de las versiones de servidor. Centrándome en Windows Server 2008, lo más cómodo es crearme mis propias consolas personalizadas

¿Por qué?

Pues porque salvo casos muy concretos, en la administración del día a día, acabas usando solamente 2 ó 3 complementos de forma intensa, y el resto sólo de forma esporádica. Los más comunes del Active Directory son:

• Usuarios y equipos,
• Sitios y servicios,
• Y si hay más de un dominio en la red, Dominios y confianzas.

¿Cómo?

Abrir un consola (Inicio -> Iniciar búsqueda -> mmc.exe), ir al menú Archivo y elegir Agregar o quitar complementos.

Seleccionamos: Usuarios y equipos de Active Directory y Administración del equipo (si trabajamos directamente sobre el servidor seleccionaremos equipos local, si no, indicaremos en nombre del servidor. Esta opción de administrar el servidor desde un cliente sólo está disponible si se ha instalado en el cliente la función Servicios de dominio de Active Directory con RSAT).

Visor de eventos

En cualquier administración medianamente seria de un servidor, una de las tareas que se deben realizar constantemente es el seguimiento de los eventos que ocurren en el dominio. Eso se hace mediante el Visor de eventos, que permite detectar problemas de red, de seguridad, de hardware, etc. Así que lo añado a la consola, también.

Si no lo hicieramos, también podemos encontrar el Visor, dentro del complemento Administración del equipo (local) -> Herramientas del sistema -> Visor de eventos. Pero si lo tenemos en la raíz del árbol de la consola, estaremos más pendiente de revisar los eventos.

Guardar la consola (y ponerla a disposición de otros administradores)

Una vez tengamos la consola de nuestro Windows 2008, lista en el menú Archivo -> Guardar seleccionamos su ubicación en una carpeta. Si varios administradores van a utilizar la consola, la guardo en una carpeta compartida y en modo Usuario, acceso completo (permite usar todos los complementos pero no permite modificar la consola). Se hace desde el menú Archivo -> Opciones -> ficha Consola.

Si soy el único administrador la puedo guardar en modo Autor, de forma que en cualquier momento puedo modificar los complementos y volverla a guardar.