lunes, 21 de junio de 2010

Inteligencia y nivel de explotación según Siberia Exploit Pack

Siberia Exploit Pack es un crimeware, evolución de Napoleon Exploit Pack, del cual ya he hecho una breve descripción en otra oportunidad. Sin embargo, desde el momento de esa descripción hasta estos días, el panorama de su desarrollador se ha ampliado.



En este sentido y si bien termina siendo uno más del montón, lo interesante de este crimeware es la información que proporciona su panel de estadísticas (la inteligencia para el atacante), dicho sea de paso muy similar al provisto por Eleonore Exploit Pack, donde se ofrecen datos relativos al éxito de explotación que tiene el exploit pack para el reclutamiento zombi, discriminando estos datos en función de:

  • Países afectados
  • Sistemas operativos más explotados
  • Referencia de los dominios con mayor porcentaje a través de los cuales se explotan vulnerabilidades
  • Navegadores más explotados
  • Exploits pre-compilados en esta versión del paquete
Déjenme insistir (porque no es un dato menor) con que este acopio de información no es más que hacer inteligencia, lo cual le permite al atacante conocer, en primera instancia:

En el primero de los casos, la población de qué país es más vulnerable, quizás por su nivel de piratería, lo cual pone sobre relieve la falta de actualizaciones de seguridad de los sistemas operativos y de las aplicaciones, ya que como veremos al llegar a los exploits, todos estos son conocidos y cuentan desde hace mucho tiempo con el correspondiente parche que soluciona la vulnerabilidad.

En este caso, los primeros cinco países donde este crimeware tiene mayor tasa de infección son: Estados Unidos, Inglaterra, Canadá, Rusia y Alemania.


El mismo criterio se persigue con los datos recavados sobre los sistemas operativos “más vulnerables”, entre comillas porque, como dije anteriormente, el grado de vulnerabilidad del OS depende directamente de una serie de aspectos que deberían estar contemplados en el hardening, dentro del cual un factor importante es la implementación de los parches de seguridad.

Por ejemplo, la vulnerabilidad en MDAC (Microsoft Data Access Components) data del año 2006 (cuatro años), descrita en Boletín Oficial de Microsoft MS06-014. El impacto que sobre los sistemas operativos tiene esta versión del crimeware, la podemos observar en la siguiente imagen.


La lista de sistemas operativos atacados es amplia y los tres que poseen mayor brecha de vulnerabilidad pertenecen a la familia de Microsoft (lo que es lógico debido a la masividad de uso), además de otros también de MS.

Sin embargo, el crimeware contempla otros sistemas operativos no Windows, incluyendo los de consolas PlayStation (GNU/Linux o Black Rhino) y Nintendo Wii (irónicamente una versión modificada de una distribución GNU/Linux), en el caso de Workstations y OS utilizado en telefonía celular de alta gama, entre ellos:
  • Mac OS
  • GNU/Linux
  • FreeBSD
  • iPhone
  • Windows Mobile
  • Windows CE
  • Pocket PC
  • Symbian OS
Aquí ya comenzamos a reconocer que los delincuentes han ampliado el horizonte de cobertura, incorporando en su cartera de opciones la explotación de vulnerabilidades (a través del navegador) y reclutamiento de zombis en otros sistemas operativos empleados en otras tecnologías informáticas.

Más...



Fuente:
MalwareIntelligence (*)


(*) MalwareIntelligence es un sitio dedicado a la investigación sobre todas las cuestiones relacionadas con criminología informática, seguridad de la información en general y seguridad antimalware en particular, siempre desde una perspectiva estrechamente relacionado con el campo de inteligencia.

No hay comentarios: