Todos odian el spam (aparte de las personas que lo envían). Si bien muchas personas simplemente denuncian el correo no deseado y lo eliminan, algunas buscan la manera de vengarse de los spammers que pierden el tiempo. De hecho, una pregunta común que se nos pide es, “¿Cómo podemos desperdiciar su  tiempo?”

Mi propia opinión sobre esto está un poco cargada de precaución; simplemente entablar conversaciones con spammers y estafadores sin experiencia previa es una buena manera de meterse en problemas.

Tal vez respondiste desde tu correo de trabajo, y ahora están enviando misivas a tu jefe. Tal vez usaste un servicio de correo que revela tu dirección IP, y ahora están haciendo amenazas vacías pero aterradoras sobre piratearlo. ¿Qué hay de responder a su solicitud de identificación y enviar accidentalmente lo real, en lugar de una imagen construida con humor de MS paint?

Hay mucho en qué pensar antes de emprender este camino, pero si aún quieres perder el tiempo de algunos spammers (y de una manera mucho más segura), sigue leyendo.

Los basicos

1) NINGUNA INFORMACIÓN GENUINA NUNCA . Sí, me doy cuenta de que todas las mayúsculas son un poco gritonas, pero es información lo suficientemente importante como para justificar los gritos. No importa lo que haga, o qué método use para perder el tiempo de un estafador, revelarle cosas sobre usted y los suyos siempre es una mala idea.

2) Use una dirección de correo electrónico anónima.  Y no lo vincules con algo que usas a diario. Evite el correo electrónico del trabajo, el correo electrónico personal, el correo electrónico vinculado a cualquier elemento «crítico para el negocio» (sitios web / registros de dominios u otros inicios de sesión confidenciales).

¿Le preocupa que un spammer no responda si responde con su nueva cuenta anónima / descartable en lugar de la que le enviaron? No seas. No les importa, responderán a cualquier cosa. Correo, correo de voz, carta de amor pintada en el costado de una vaca, cualquier cosa. Un truco común para los spammers es dirigirlo a direcciones de correo electrónico alternativas a las que responder porque su principal es susceptible de cerrarse en cualquier momento de todos modos, por lo que realmente no les importará de dónde provienen sus travesuras que hacen perder el tiempo.

3) No le diga a la gente que haga cosas peligrosas. Existe una forma popular de hostigamiento de estafa 419 llamada «Going on safari», donde la víctima fingida manipula al estafador en una larga y potencialmente peligrosa caminata hacia partes desconocidas. Si bien algunos de estos cuentos son humorísticos en una manera de «Oh, no, ¿qué hiciste?», Realmente no quieres involucrarte en ninguna situación en la que alguien se caiga por un precipicio y tenga una copia impresa en sus pantalones con tu » Hay un tesoro enterrado a 500 millas de esta manera, honesto «correo en ellos.

Fuera de eso, cómo usted pierde su tiempo depende de usted. Las respuestas de una palabra a todas sus misivas tienden a agravarlas de manera espectacular, si eso ayuda. Si no se siente cómodo con el enfoque directo, hay más que unas pocas maneras de mantener sus manos limpias (por así decirlo) mientras consume más de su valioso tiempo.

Deje que otra persona haga el trabajo sucio

Como resultado, un poco de automatización va un largo camino. Hay una variedad de herramientas en línea para que pueda utilizar en la lucha contra los spammers, y la mejor parte es que no tendrán ninguna idea sobre su participación.

4) Use una aplicación de chatbot, como Spamnesty, para automatizar los intercambios de correo no deseado.  Todo lo que debe hacer aquí es eliminar toda su información personal de cualquier intercambio de correo electrónico, enviar el correo no deseado a la dirección de correo electrónico de Spamnesty, y luego sentarse y reírse mucho mientras un chatbot que pretende ser un CEO frustra infinitamente a un estafador. Bonificación: puede leer algunas de las conversaciones. Todos pueden disfrutar eso.

Re: Scam recibe una mención honorífica porque, aunque actualmente no está conectado, tiene la promesa de volver a la vida. Otro chatbot, pasa por varias personalidades para hacer el trabajo y, según sus estadísticas, respondió a más de un millón de correos electrónicos y desperdició aproximadamente cinco años de su tiempo en total, lo que es espectacular.

5) Use una aplicación de bloqueo de spam con respuestas automatizadas para telemercaderes. No todo el spam se basa en el correo electrónico, y volúmenes significativos continúan aterrizando en nuestros dispositivos móviles en forma de llamadas telefónicas. Si tiene mucha mala suerte, es un aluvión incesante de llamadas perdidas, personas que llaman desconocidas y estafas de devolución de llamada con tarifas premium que esperan para sacarle el dinero a su efectivo. Existen varias aplicaciones que bloquearán las llamadas en frío y las agregarán a las listas de correo no deseado (que no siempre es fácil de descifrar en un teléfono convencional), pero no hay muchas que pierdan el tiempo de los estafadores con chatbots.

Robokiller es uno de los primeros en desplegar una variedad de (con suerte?) Chatbots humorísticos para elegir, luego los suelta en llamadas con televendedores no deseados. Al igual que con los equivalentes basados ​​en correo electrónico, perder el tiempo es el nombre del juego porque el tiempo perdido equivale al dinero desperdiciado por parte del spammer. Aunque no creo que este enfoque vaya a evitar que los que envían correos electrónicos no deseados abandonen su trabajo diario , una llamada desperdiciada es otra persona que no pierde una tonelada de dinero o información personal con un estafador. Eso sólo puede ser una buena cosa.

El futuro del desperdicio de tiempo

Quemar a los estafadores ya no es solo un pasatiempo ocasional para los asistentes al foro. Puede convertirlo en una ocupación real con un poco de esfuerzo y trabajo duro. El futuro es que la estafa de estafas en YouTube se ha convertido en algo común . Solo recuerde antes de comenzar a criticar a su siguiente estafador que (dependiendo del método de alcance y de cuánta información pueda estar al acecho en los botaderos), podrían tener su información real. Realmente no es agradable escuchar «Tendremos a nuestra gente en la dirección de tu casa, cuidaremos tu espalda».

En caso de duda, cumpla con la automatización no identificable o deje las cosas a los profesionales. En general, es mucho más seguro de esa manera, y es probable que veas un divertido video de YouTube en el trato. Es una victoria para todos, excepto tal vez para el spammer en el extremo receptor.

No ha habido un pequeño brote de caos en los terrenos móviles recientemente, todo debido a un juego asombrosamente popular llamado Fortnite.

Aquí está el problema: las personas se refieren a Android como «plataforma abierta» y dicen que, en teoría, puedes hacer lo que quieras con ella. En la práctica, compras un teléfono Android y luego estás encerrado en aplicaciones de la tienda Google Play. Puede desactivarlo para permitir instalaciones externas, pero en general no es aconsejable, ya que deja la puerta abierta para instalaciones potencialmente dudosas.

Puede ahondar en discusiones sobre si Android es de código abierto o no, pero la conversación es un poco más complicada y matizada que simplemente responder «sí» o «no».

Con toda la discordia anterior arrojada a un crisol de fusión y girando, Fortnite entra y hace sonar unas cuantas jaulas más.

¿Que pasó?

Los desarrolladores, Epic, decidieron que preferirían ofrecer el juego en un dispositivo móvil fuera de Google Play , lo que aumenta drásticamente la cantidad de ingresos no mordisqueados por Google. Hay varios problemas potenciales con esto:

• Tener hijos habilitando la opción «permitir instalaciones desde fuentes desconocidas» en un Android es una receta para el desastre. No solo significa que muchos de ellos terminarán descargando por error una aplicación deshonesta , sino que también significa que esos teléfonos ahora son menos seguros que los dispositivos Android completamente bloqueados que existen.
• Como se señaló en Twitter, incluso los niños con instalaciones legítimas de Fortnite a bordo eventualmente caerán en algo desagradable  porque el teléfono está chapoteando en el lodo del malware metafórico.
• Todo se reduce a qué tan bien promocionado es el enlace de descarga oficial, y qué tan eficientemente los desarrolladores del juego le dicen a las personas que solo agarren el juego de ese enlace específico.
• Epic necesita asegurarse de que no sean víctimas de estafas sofisticadas de SEO que apuntan a enlaces fuera de su sitio y hacia descargas malas, y también que la seguridad de su sitio es de primera clase. Si la página está en peligro, un enlace de descarga deshonesto podría estar esperando en las alas.

Así es como se veía el panorama inicial poco después del anuncio de Epic, y muchas cosas predichas rápidamente saldrían terriblemente mal.

¿Las cosas salieron terriblemente mal?

Ciertamente lo hicieron. Al final, ni siquiera fue una aplicación deshonesta que causó caos, sino un problema encontrado con el instalador de Fortnite  que permitió la posibilidad de que las aplicaciones deshonestas a bordo secuestraran el instalador e instalaran su propio junkware. El llamado ataque » Hombre en el disco » busca aplicaciones que no bloqueen el almacenamiento externo tan bien como deberían, y rápidamente se pone a trabajar explotando cosas que suceden bajo el capó.

El alboroto sobre el kerfuffle del instalador se completó con un poco de un debate feroz en Twitter , porque eso es lo que sucede con todo en la vida ahora.

¿Qué pasa después?

Les guste o no, Epic es ahora el abanderado del «desarrollador de aplicaciones que se sale de la naturaleza (increíblemente rica e insegura)». No creo que una aplicación de Android haya atraído tanta atención antes, y eso es sin lanzando el ángulo de instalación de Google Play a la mezcla.

Lo que también les atraviesa es darse cuenta de que mientras continúen fuera del ecosistema de Google Play, las historias volverán a perseguirlos en cuanto a instalaciones de malware que se hacen pasar por reales, trucos de ingeniería social para convencer a los niños de que descarguen datos poco fiables. Complementos de Fortnite de servidores rusos, y posibles envenenamientos SEO que llevan a los aspirantes a jugadores a descarriarse.

Google Play ciertamente no es perfecto , y se han encontrado muchas aplicaciones deshonestas acechando a través de los años. Creo que la mayoría de los profesionales de seguridad argumentarían que todavía es mucho más arriesgado desconectar la prohibición desconocida de instalación de la fuente de lo que es visitar Play y tomar una aplicación.

Tampoco separemos Epic en este caso; no son solo los desarrolladores de juegos los que dan pasos tentativos en el mundo de las instalaciones desconocidas, incluso los proveedores de teléfonos celulares lo hacen. Hace unos cuatro o cinco años, cambié mi teléfono y obtuve un paquete con un conocido minorista del Reino Unido. Parte del trato fue «seis juegos gratis para tu Android». Suena genial, ¿verdad? Excepto que rápidamente me di cuenta de que para obtener los juegos, tenía que habilitar las instalaciones de origen desconocidas y descargar los seis archivos .APK directamente desde el sitio web del proveedor del teléfono.

En ningún momento alguien dijo nada acerca de cómo apagar una función de seguridad del teléfono que acababa de vender era una mala idea. Nada en la literatura provista menciona nada más allá, «Guau, apagar esto es una muy buena idea, ¡juegos gratis! ¡Wow! «Esto también ocurre en un momento en el que escribía regularmente sobre descargas falsas de Angry Birds / Flappy Bird alojadas en sitios web rusos.

Una vez instalados (a través de arrastrar y colocar desde el escritorio al móvil a través de la magia de los cables USB), esos juegos falsos con temas de pájaros normalmente intentarían realizar engaños de SMS con tarifas superiores. Esto solo funcionó porque algunas personas estaban corriendo con instalaciones de origen desconocidas permitidas, y todavía tendrían que intentar ingeniar socialmente aquellas que no estaban encendidas.

Instalaciones desconocidas: tan caliente en este momento

Ahora estamos en un punto en el que las instalaciones de fuentes desconocidas no solo son convencionales, sino que actualmente están conectadas a las ruedas de un monstruo de juego absoluto. Hay graves problemas de seguridad que Epic necesita considerar, y va a ser fascinante mirar hacia atrás en seis a 12 meses y decidir si promocionar instalaciones de fuentes desconocidas de esta manera causó una vorágine de dolores de cabeza de seguridad por todos lados, o una gran cantidad de » absolutamente nada sucedió mucho «.

Si es el último, puede apostar que más desarrolladores querrán aprovechar este método. Entonces, el panorama de amenazas se volverá mucho más complicado en la tierra móvil.

La semana pasada, analizamos las payasadas dudosas en mobile land , un caso peculiar de spam en el sitio web oficial de Cardi B, y nos sumergimos en el malware sin archivos . También exploramos el funcionamiento interno de Hidden Bee , y le dimos un explicador de Regex .

Otras noticias de ciberseguridad:

• Gran brecha de datos afecta a la cadena hotelera china (Fuente: Xinhuanet)
• Cryptojacking no aporta mucho dinero [PDF] (Fuente: Arxiv)
• Hackador «Fappening» sentenciado a prisión (Fuente: Justice.gov)
• La campaña de phishing de cobalto continúa extendiéndose (Fuente: The Register)
• Exposición de datos sensibles a través de wifi (Fuente: Nightwatch Cybersecurity)
• Pobres prácticas de parches en el sistema de análisis de visas (Fuente: Nextgov)
• El error en el correo electrónico de CC enoja a los fanáticos del fútbol (Fuente: The Register)
• Comportamiento de inicio de sesión inusual detectado en la aplicación móvil de Air Canada (Fuente: Air Canada)
• La anatomía de las noticias falsas (Fuente: Help Net Security)
• Informe de seguridad de las telecomunicaciones de la UE (Fuente: Enisa)

¡Mantente seguro, todos!

El malware puede estar hecho de muchos componentes. A menudo, encontramos macros y scripts que funcionan como descargadores maliciosos. Algunas funcionalidades también pueden lograrse mediante el código independiente de posición, denominado código shell. Pero cuando se trata de elementos más complejos o módulos centrales, casi damos por hecho que será un archivo PE que es un formato ejecutable nativo de Windows.

La razón de esto es simple: es mucho más fácil proporcionar una funcionalidad compleja dentro de un archivo PE que dentro de un shellcode. El formato PE tiene una estructura bien definida, lo que permite mucha más flexibilidad. Tenemos ciertos encabezados que definen qué importaciones se deben cargar y dónde, así como también cómo se deben aplicar las reubicaciones. Este es un formato predeterminado que se genera cuando compilamos aplicaciones para Windows, y su estructura es utilizada por Windows Loader para cargar y ejecutar nuestra aplicación. Incluso cuando los autores de malware escriben cargadores personalizados, son principalmente para el formato PE.

Sin embargo, a veces encontramos excepciones. La última vez, cuando analizamos las cargas útiles relacionadas con Hidden Bee (eliminadas por el kit de explotación de Underminer) , notamos algo inusual. Se eliminaron dos cargas útiles que no siguieron el formato PE. Sin embargo, su estructura se veía bien organizada y más compleja de lo que generalmente encontramos al tratar con piezas de Shellcode. Decidimos mirar más de cerca y descubrimos que los autores de este malware realmente crearon su propio formato ejecutable, siguiendo una estructura consistente.

Visión de conjunto

La primera carga útil: b3eb576e02849218867caefaa0412ccd (con extensión .wasm, imitando Web Assembly) es un cargador que descarga y descomprime un archivo de Cabinet:

La segunda carga útil: 11310b509f8bf86daa5577758e9d1eb5 , desempaquetada desde el gabinete:

Podemos ver al principio que, a diferencia de la mayoría de los códigos de shell, no comienza desde un código, sino desde algunos encabezados. Al comparar ambos módulos, podemos ver que el encabezado tiene la misma estructura en ambos casos.

Encabezados

Examinamos más de cerca para descifrar el significado de campos particulares en el encabezado.

El primer DWORD: 0x10000301 es el mismo en ambos. No encontramos este número correspondiente a ninguna de las piezas dentro del módulo. Entonces, asumimos que es un número mágico que hace un identificador de este formato.

A continuación, dos WORDs se compensan con elementos relacionados con la carga de las importaciones. El primero (0x18) apunta a la lista de DLL. El segundo bloque (0x60) se ve más misterioso al principio. Su significado se puede entender cuando cargamos el módulo en IDA. Podemos ver las referencias cruzadas a esos campos:

Vemos que se usan como IAT: se supone que deben llenarse con las direcciones de las funciones importadas:

El siguiente valor es un DWORD (0x2A62). Si lo seguimos en IDA, vemos que conduce al comienzo de una nueva función:

Esta función no está referenciada por ninguna otra función, por lo que podemos sospechar que se trata del punto de entrada del programa.

El significado del siguiente valor (0x509C) es fácil de adivinar porque es el mismo que el tamaño del módulo completo.

Entonces, tenemos los dos últimos DWORD del encabezado. El segundo DWORD (0x4D78) conduce a la estructura que es muy similar a las reubicaciones del PE. Podemos adivinar que debe ser una tabla de reubicación del módulo, y el DWORD anterior especifica su tamaño.

Así fue como pudimos reconstruir el encabezado completo:

typedef struct {
	Magia DWORD;

	WORD dll_list;
	PALABRA iat;
	DWORD ep;
	DWORD mod_size;

	DWORD relocs_size;
	DWORD se traslada;
} t_bee_hdr;

Importaciones

Como sabemos por el encabezado, la lista de las DLL comienza en el desplazamiento 0x18. Podemos ver que cada uno de los nombres de la DLL está precedido de un número:

Los números no se corresponden con un nombre de DLL: en dos módulos diferentes, la misma DLL tenía diferentes números asignados. Pero si sumamos todos los números, encontramos que su suma total es la misma que el número de DWORD en el IAT. Entonces, podemos adivinar que esos números están especificando cuántas funciones se importarán desde una DLL particular.

Podemos describirlo como la siguiente estructura (donde no se especifica la longitud del nombre):

typedef struct {
	WORD func_count;
	nombre del personaje;
} t_dll_name;

Entonces, el IAT viene como una lista de DWORDs:

Es común en el malware que cuando los nombres de la función no se dan como una cadena explícita, se importen mediante suma de comprobación. Lo mismo se hace en este caso. Adivinar la función apropiada que se usó para calcular la suma de comprobación puede ser más difícil. Afortunadamente, lo encontramos en el componente cargador:

Suma de comprobación DWORD (char * func_name)
{
  Resultado DWORD = 0x1505;
  while (* func_name)
    result = * func_name ++ + 33 * resultado;
  resultado de devolución;
}

Sabiendo que emparejamos las sumas de comprobación apropiadas con los nombres de las funciones:

Una vez que se recupera la dirección de la función, se almacena en el IAT en lugar de la suma de comprobación.

Reubicaciones

Crear una tabla de reubicación es simple. Consiste en la lista de DWORD que identifican los desplazamientos de los lugares en el código a los que debemos agregar la base donde se ha cargado el módulo. Sin las reubicaciones aplicadas, el módulo se bloqueará (por lo tanto, no es independiente de la posición como un shellcode típico).

Comparación con el formato PE

Si bien el formato PE es complejo, con una variedad de encabezados, este contiene solo elementos esenciales. La mayor parte de la información que generalmente se almacena en un encabezado PE se omite por completo aquí.

Puede ver un formato PE visualizado por Ange Albertini aquí .

Compárelo con la visualización del formato analizado actualmente:

Análisis estático

Podemos cargar este código en IDA como una burbuja de código sin formato. Sin embargo, estaremos perdiendo información importante. Debido al hecho de que el archivo no sigue una estructura PE, y su tabla de importación no es estándar, tendremos dificultades para entender qué llamadas API se están realizando con cada desplazamiento. Para resolver este problema, hice una herramienta que resuelve los hashes en nombres de funciones y genera un archivo TAG para marcar los desplazamientos donde se llenará la dirección de cada función.

Esas etiquetas se pueden cargar en IDA usando un  plugin IFL :

Teniendo todas las funciones API etiquetadas, es mucho más fácil entender qué acciones realiza el módulo. Aquí, por ejemplo, podemos ver que establecerá la conexión con el servidor C2:

Análisis dinámico

Este formato es personalizado, por lo que no es compatible con las herramientas típicas para el análisis. Sin embargo, después de entenderlo, podemos escribir nuestras propias herramientas, como el analizador sintáctico para los encabezados y el cargador, que ayudarán a ejecutar este formato y analizarlo dinámicamente.

A diferencia de PE, el módulo no tiene secciones. Por lo tanto, tenemos que cargarlo en una región de memoria continua con acceso RWX (lectura-escritura-ejecución). Al recorrer la lista de reubicaciones, agregaremos el valor de la base en la que se cargó el módulo a las direcciones enumeradas. Luego, tenemos que resolver las funciones importadas por sus valores hash y completar las direcciones en los procesos. Después de preparar la etapa, solo necesita saltar en el punto de entrada del módulo. Cargaremos el cargador preparado debajo del depurador y lo seguiremos hasta el punto de entrada del módulo cargado.

Simple pero raro

Los elementos descritos aquí son bastante simples: sirven como una primera etapa del paquete completo de malware, descargando otras piezas e inyectándolas en los procesos. Sin embargo, lo que los hace interesantes es el hecho de que sus autores han demostrado cierta creatividad y han decidido inventar un formato personalizado que es menos complejo que un PE completo, pero va un paso más allá de una pieza típica de shellcode.

Dicho módulo, a diferencia de Shellcode independiente, no es autosuficiente y no puede cargarse de manera trivial, sino que debe analizarse primero. Dado el hecho de que el formato es personalizado, no es compatible con las herramientas existentes. Aquí es donde las habilidades de programación son útiles para un analista de malware.

Afortunadamente, los formatos completamente personalizados son bastante poco comunes en el mundo del malware; por lo general, los autores dependen en gran medida de los formatos existentes, de vez en cuando corrompen o personalizan partes seleccionadas de los encabezados PE.