Monthly Archives: março 2011

Cibercriminosos exploram venda de “kit de serviço”

Incognito

Cibercriminosos estão explorando a venda de kits completos com serviços de hospedagem para a exploração de vulnerabilidades, sendo que seus “clientes” pagariam por um período de tempo a fim de utilizarem suas habilidades na infecção de computadores.
Os kits oferecem vários tipos de “exploits”, ou seqüências de códigos que podem se aproveitar de vulnerabilidades de software, permitindo assim a contaminação por malware.
Pesquisadores da empresa “Seculert” descobriram que pelo menos um par destes kits, denominados de “Incognito 2.0” e “Bomba”, ofereceriam serviços de hospedagem (web hosting), bem como uma interface de gerenciamento baseada na “web”.
O novo modelo de negócios torna mais fácil as atividades para criminosos virtuais, que podem ter problemas para garantir hospedagem nos chamados “Bulletproof Hosting” ou provedores que estejam dispostos a hospedar servidores malware, segundo informou Aviv Raff, CTO e co-fundador da “Seculert”.
“Bulletproof Hosting” é um serviço oferecido por algumas hospedagens de domínios ou web sites que permite que seus clientes tenham uma certa tolerância nos tipos de materiais que podem carregar e distribuir.
A empresa “Seculert” é especializada em serviços baseado em nuvem e alerta seus clientes para novos malwares, “exploits” e outras ameaças virtuais.
Todo o pacote vendido é destinado para criminosos que querem “hackear” um grande número de computadores executando Microsoft Windows. Uma vez que os computadores são invadidos, as máquinas podem ser usadas para roubar dados pessoais, enviar spams, realizar ataques de negação de serviço ou outros fins.
Este tipo de ação criminosa é também mais econômica, pois os clientes criminosos pagam apenas pelo tempo que suas atividades estejam “online”, ou seja, se por alguma razão os provedores desligarem os servidores desonestos, eles não têm de pagar, informou Aviv Raff.
Ele estimou que o uso de malware e a exploração dos serviços de hospedagem têm custo nos Estados Unidos entre US$100 a US$200 por mês.
“Isso tudo é gerido pelo prestador do serviço”, segundo informou Aviv Raff. “É como um cliente que só paga pelo tempo em que suas atividades estão ativas. Nós não temos os números exatos, mas como qualquer outro serviço na “nuvem”, é razoável que a conta seja muito mais acessível do que comprar o kit e procurar uma hospedagem para o mesmo”.
O cliente deve fornecer seu próprio malware para suas atividades de infecção de computadores. Eles também devem invadir sites, a fim de que suas vítimas sejam redirecionadas para os servidores controlados pelos operadores do “Incognito”.
Quando uma vítima em potencial visita um dos sites infectados, é exibido um “frame” que traz em seu conteúdo “exploits” dos servidores “Incognito”, que começa a tentar invadir as máquinas com várias ações.
Até agora, a “Seculert” informou que cerca de 8.000 sites legítimos foram “hackeados” e estão espalhando “exploits” hospedados nos servidores do “Incognito”. Algumas vítimas são infectadas quando visitam esses sites através da navegação normal, disse Aviv Raff.
Mas os hackers também têm utilizado campanhas de spam para tentar atrair as pessoas para os sites infectados.
Uma dessas mensagens de spam, recentemente interceptada pela “Seculert”, pretendia ser uma mensagem de apoio a partir do Twitter, que encorajava as pessoas a clicar em um link que supostamente veiculava um vídeo mostrando de perto os reatores nucleares em Fukushima danificadas pelo tsunami no início deste mês. Se uma pessoa clicar no link, nenhum vídeo seria exibido, e um “Trojan Downloader” seria instalado no computador que tiver uma vulnerabilidade de software.
“Incognito 2.0” fornece uma interface de gerenciamento baseada na Web onde os clientes podem verificar quantos computadores foram infectados e que tipo de “exploits” foram utilizados, disse Aviv Raff.

Incognito Estatísticas

A “Seculert” afirma que o “Incognito 2.0” parece ser um negócio em crescimento, sendo que após seus pesquisadores teriam analisado sua infra-estrutura e descoberto que pelo menos 30 clientes estavam usando-o para instalar de tudo, desde o Trojan “Zeus” até “downloaders” genéricos que podem instalar outros programas maliciosos nos computadores infectados.
Pelo menos 150 mil máquinas foram infectadas durante um período de duas semanas em janeiro. Cerca de 70 por cento dos computadores foram infectados com um “exploit” para uma vulnerabilidade no “Java Runtime Environment” e outros 20 por cento foram infectados através de uma vulnerabilidade no Adobe Reader.

Fonte: http://blog.seculert.com/2011/03/exploit-kits-as-service.html

Rastreando correio eletrônico: Primeiras Noções

Rastreando email

Toda  comunicação por e-mail na Internet é governada por regras e regulamentos consubstanciadas em dois protocolos diferentes: Simple Mail Transfer Protocol (SMTP Port 25) e o Post Office Protocol (POP Port 110).
Basicamente, o sistema de e-mail é análogo a uma caixa postal do correio. Cada vez que um e-mail deva ser enviado, o remetente se conecta a um servidor de email local (Post Office) e usa comandos pré-definidos SMTP para criar e enviar e-mail.
Este servidor de email local, em seguida, usa o protocolo SMTP para encaminhar o e-mail através de vários outros servidores de correio provisórios, até o último e-mail chega ao servidor de correio de destino (Post Office). O destinatário do e-mail se conecta ao servidor de destino dos correios para fazer o download do e-mail recebido usando comandos predefinidos POP (Post Office Protocol).
O SMTP (Simple Mail Transfer Protocol) é usado para enviar e-mails, enquanto o protocolo POP (Post Office Protocol)é usado para recebê-los.
Assim sendo, cada e-mail na internet tem origem no servidor do escritório remetente (Post), sendo encaminhado com o uso de comandos SMTP através de vários servidores de correio provisórios até finalmente alcançar o posto de destino, onde o receptor, utilizando comandos POP, consegue transferi-lo para o sistema local.
Conhecendo-se a forma pela qual as mensagens de correio eletrônico circulam pela internet seria possível realizar-se a identificação da fonte de um e-mail, bastando para isso fazer engenharia reversa do caminho percorrido por ele. Cada vez que um e-mail é enviado pela internet, ele não só carrega no corpo da mensagem, como também, transmite informações relevantes sobre o caminho percorrido por ele. Esta informação é conhecida como o cabeçalho do e-mail.
Uma mensagem de correio eletrônico consiste basicamente de duas seções:

HEADER: é estruturado em campos que contém o remetente, destinatário e outras informações sobre a mensagem, com inclusive, ip’s e caminho da mensagem até o servidor local do usuário.
BODY : corpo da mensagem, onde estão os anexos e o que foi escrito.

 Veja o exemplo a seguir:

 

Cabeçalho

A maneira mais eficaz e mais fácil de rastrear um e-mail é analisar seus cabeçalhos de e-mail. A maioria dos investigadores de cibercrimes utilizam os cabeçalhos de e-mail para investigar práticas delituosas e coletar as provas necessárias para comprová-las. Cabeçalhos de e-mail são automaticamente gerados e incorporados em uma mensagem de e-mail, tanto durante a composição quanto durante a transferência entre sistemas. Eles não só contêm informações valiosas sobre a origem do e-mail, mas também representam o caminho exato por ela tomadas.
Sempre, no processo de análise e rastreamento de uma mensagem vamos nos ater aos headers ( ou seja, ao cabeçalho da mensagem ) da mesma.
Depois disto, abra o arquivo com um editor de texto qualquer e se prenda a primeira seção:

Return-Path: usuario@quemmandou.com.br
X-Original-To: meuemail@meudominio.com.br
Delivered-To: meuemail@meudominio.com.br
Received: by mail.meudominio.com.br (Postfix, from userid 1001)
id 2B2D7522FC4; Tue, 21 Oct 2008 15:40:25 -0200 (BRST)
Received: from localhost (localhost [127.0.0.1])
by mail.meudominio.com.br (Postfix) with ESMTP id 66E37522FFB
for <meuemail@meudominio.com.br>; Tue, 21 Oct 2008 15:40:25 -0200 (BRST)
Received: from mail.meudominio.com.br ([127.0.0.1])
by localhost (mail.meudominio.com.br [127.0.0.1]) (amavisd-new, port 10024)
with ESMTP id 25097-01 for meuemail@meudominio.com.br;
Tue, 21 Oct 2008 15:40:25 -0200 (BRST)
Received: from gwdeemail@meudominio.com.br (unknown [10.10.10.10])
by mail.meudominio.com.br (Postfix) with ESMTP id 2A51B4D50B5
for <meuemail@meudominio.com.br>; Tue, 21 Oct 2008 15:40:25 -0200 (BRST)
Received: from gwdeemail@meudominio.com.br (localhost [127.0.0.1])
by postfix.imss70 (Postfix) with ESMTP id 478961AED37
for <meuemail@meudominio.com.br>; Tue, 21 Oct 2008 15:36:12 -0200 (BRST)
Received: from hm507.locaweb.com.br (hm507-1.locaweb.com.br [200.234.205.193])
by gwdeemail@meudominio.com.br (Postfix) with SMTP id 65A8B1AEBEB
for <meuemail@meudominio.com.br>; Tue, 21 Oct 2008 15:36:09 -0200 (BRST)
Received: (qmail 21712 invoked from network); 21 Oct 2008 17:42:54 -0000
Received: from unknown (10.1.10.29)
by hm507.locaweb.com.br with QMQP; 21 Oct 2008 17:42:54 -0000
Message-ID: 20081021174254.12287.qmail@hm616.locaweb.com.br
From: “=?ISO-8859-1?Q?usuario=20=20quemmandou?=” usuario@quemmandou.com.br
Date: Tue, 21 Oct 2008 15:42:54 -0200
To: meuemail@meudominio.com.br
Subject: Fwd: Teste
References:
In-Reply-To:
X-Mailer: LocaMail
X-Auth-User: quemandou at dominio.com.br
X-IPAddress: xxx.xxx.xxx.xxx
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary=”—-=OMAIL_ATT_001_0.748136299270303″
X-Virus-Scanned: amavisd-new at meudominio.com.br 

 Com o ping neste caso, pegamos o ip do servidor (pelo menos para saber se a hospedagem em questão é realmente a detentora do bloco de ip’s que os servidores dela estão hospedados).

 Ping

 

 De posse dos ip’s, é só ir ao “registro.br, por exemplo, e procurar quem é o dono do ip que gerou a mensagem:

  Busca no Registro BR

 

Na eventualidade de você ter algum tipo de dificuldade na coleta de informações de um “header” de correio eletrônico, poderá fazer uso de vários serviços na internet que identificam endereços IP de mensagens.
Um dos mais conhecidos e que facilita bastante o trabalho de identificação de ip’s em emails pode ser acessado pelo link ” http://whatismyipaddress.com/trace-email”.
É conveniente destacar-se que a obtenção de cabeçalhos (header) em serviços de webmail pode variar entre cada provedor deste tipo de serviço.
Por fim, emails que sejam oriundos do serviço “GMail” sempre apontarão para endereços IP daquele provedor, uma vez que o mesmo oculta a identificação dos ip’s de seus usuários.