Español | English
rss facebook linkedin Twitter

El FTP password stealer definitivo

Es usual ver multitud de troyanos en la red buscando en el tráfico palabras mágicas como "USER" y "PASS", que identifican una autenticación FTP, así como POP3. Los troyanos que disponen de este tipo de monitorización de tráfico son capaces de recolectar tanto servidores como credenciales de usuario en cuanto el usuario hace la petición de login mediante protocolo FTP. No obstante, esto es frecuente en distintas familias de malware. Hace unos días analizamos un troyano cuya única función era la recolección de credenciales FTP, pero lo hacía realmente bien: intentaba recuperar dichas credenciales de todas las fuentes disponibles en el equipo infectado, más allá de la monitorización de red ya mencionada y soportando gran cantidad de distintos clientes FTP. En casos en que las credenciales se almacenaban en formato cifrado, el troyano era capaz de lograr el descifrado.



La lista completa de las aplicaciones afectadas eran:

* CoffeeCup Free FTP
* TransSoft FTP
* Core FTP
* Far Manager's saved connections
* Total Commander's saved connections
* GlobalSCAPE Cute FTP client
* FileZilla
* FlashFXP
* Passwords from Windows Internals (Protected Storage)
* SmartFTP
* FTP Navigator

Detección de antivirus:

Filesize: 32768 bytes
MD5: 22bee10a9c989e3d217b0259b2bf9f63
Resultado: 38/41 (92.68%)
a-squaredTrojan-PWS.Win32.Agent!IK
AhnLab-V3Win-Trojan/Daurso.32768
AntiVirTR/PSW.Agent.mzh.1
Antiy-AVLTrojan/Win32.Agent.gen
AuthentiumW32/Agent.HKC
AvastWin32:Trojan-gen
AVGPSW.Agent.AAJK
BitDefenderGeneric.PWStealer.5EFCF3C4
CAT-QuickHealTrojanPSW.Agent.mzh
ClamAVTrojan.Spy-63868
ComodoTrojWare.Win32.PSW.Agent.mzh
DrWebTrojan.PWS.Multi.24
F-ProtW32/Agent.HKC
F-SecureGeneric.PWStealer.5EFCF3C4
FortinetW32/Agent.MZH!tr.pws
GDataGeneric.PWStealer.5EFCF3C4
IkarusTrojan-PWS.Win32.Agent
JiangminTrojan/PSW.Agent.htc
K7AntiVirusTrojan-PSW.Win32.Agent.mzh
KasperskyTrojan-PSW.Win32.Agent.mzh
McAfeeGeneric PWS.y!yx
McAfee+ArtemisGeneric PWS.y!yx
McAfee-GW-EditionHeuristic.BehavesLike.Win32.Backdoor.H
MicrosoftPWS:Win32/Daurso.A
NOD32Win32/PSW.Agent.LQD
NormanW32/Agent.PHND
nProtectTrojan-PWS/W32.Agent.32768.Q
PandaTrj/CI.A
PCToolsTrojan-PWS.Agent
RisingTrojan.PSW.Win32.Agent.euo
SophosMal/Generic-A
SunbeltTrojan.Win32.Generic!BT
SymantecInfostealer
TheHackerTrojan/PSW.Agent.mzh
TrendMicroTSPY_AGENT.AVMG
VBA32Trojan-PSW.Win32.Agent.mzh
ViRobotTrojan.Win32.PSWAgent.32768.R
VirusBusterTrojan.PWS.Agent.NPLX
http://www.virustotal.com/analisis/90acaa9342474fda4543157511fe52d079dc587b5814003809736fe938a1de28-1257151450

En este caso la detección de antivirus es bastante buena para la muestra, todos lo detectan. Pero ¿es posible que esto no tenga ninguna importancia? ¿Por qué tengo esa impresión, a pesar de la detección de todos los antivirus? En este caso el troyano se distribuye con la ayuda de otro, llamado Bredolab, y es el que descarga los ficheros cifrados. De este modo, no salta ninguna alarma para firmas de "PE" o "MZ" en la red que puedan hacer saltar ninguna alarma de descarga de ejecutable. Por otra parte, Bredolab puede evitar varios productos antivirus, así como ejecutar los binarios que descarga directamente en memoria y sin necesidad de tocar el disco. De este modo, sin ningún fichero en disco, no queda nada que escanear.

Por otra parte, ¿cómo se benefician los delincuentes de las credenciales FTP robadas? Pueden venderlas, o comprobar si pertenecen a alguna empresa importante, pero la práctica más habitual estos días es utilizarlas para distribución de código malicioso. De forma automática enumeran todos los logins de FTP y comprueban si pueden modificar alguna página web dentro de la cuenta (necesita acceso de escritura, y comprueba si el sitio tiene index.html o ficheros php). En caso afirmativo, añaden contenido javascript extra en el código o redirecciones a un sitio web remoto en el que un kit de explotación intenta infectar los equipos vulnerables que la visiten. Este escenario es similar a las inyecciones SQL masivas, aunque en este caso son las credenciales FTP las que permiten comprometer cientos de sitios a pesar de no tener ninguna vulnerabilidad.

Jozsef Gegeny
S21sec e-crime

2 comentarios:

David dijo...

Los clientes FTP tampoco ayudan mucho porque algunos guardan las credenciales en un fichero sin cifrar.

Alex Huerta dijo...

Hola:

Muy bueno el artículo. Buscando información sobre cómo eliminarlo llegué aquí. Ahora busco cómo librarme de manera automática de la inyección de código que hizo en un par de sitios. Cada página index.* y *.js fue infectada por código malicioso. Es realmente engorroso borrar el código página por página. ¿Cómo puedo hacer para borrarlo de manera automática?

Gracias.
Saludos.


(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login