LUK
02-09-2009, 14:29
Ultimamente se está propagando la noticia del troyano que graba el audio de las conversaciones VoIP a través de Skype, tiene la posibilidad de envío de información a un dropzone (http://www.megapanzer.com/glossary/dropzone/). Para ponernos al día, será bueno tocar un poco de historia.
Ruben Unteregger (RU) de 33 años, desarrollador suizo, ha publicado el código fuente de un troyano capaz de interceptar las llamadas a través de Skype, graba todo el audio y es capaz de enviarlo en formato mp3 a cualquier destino. Este último desarrollo se puede enlazar con el escándalo ocurrido en el 2006 y publicado por la prensa suiza “Sonntagszeitung” en el que se utilizaba un sistema similar para establecer este tipo de escuchas por la policía alemana. El departamento de desarrollo, transporte y comunicaciones, relacionó a ERA IT con su desarrollo, cosa que ya comentaba nuestro compañero Clemens Kurtenbach en sus dos posts sobre el Federal Trojan Horse que se pueden consultar desde aquí. 1 (http://blog.s21sec.com/2008/04/federal-trojan-horse.html) - 2 (http://blog.s21sec.com/2008/09/federal-trojan-horse-2.html)
En una entrevista (http://www.megapanzer.com/2009/08/25/interview-on-gulli-com-about-the-skype-trojan-and-trojans-in-general-english) publicada en Gulli.com, RU admite haber estado trabajando desde el 2001 al 2008 en ERA IT y que estuvo trabajando en proyectos privados. Su trabajo era generar código malicioso que pudiesen invadir los equipos de los usuarios privados. ERA IT Solutions estaba involucrada de forma particular en el desarrollo y construcción de troyanos que permitiesen establecer escuchas en las llamadas VoIP. Si él no quería pagar la penalización, debería mantener en secreto los clientes de la compañía. De forma paralela a la realización de la entrevista, RU hizo publico el código fuente del troyano.
Riccardo Gubser, representante de ERA IT intentó aclarar que el conocimiento para el desarrollo de ese malware, fue introducido en la empresa por RU y desapareció cuando este abandonó la empresa.
De ahora en adelante, el troyano-spyware de escucha y grabación, conocido como Trojan.Peskyspy o TROJ_SPAYKE.C pasará a ser conocido de forma familiar como: Bicho, para abreviar un poco.
En principio, aunque pueda parecer que el sistema funciona para todos los sistemas con Skype, según Symantec, sólo afecta a sistemas Microsoft, ya que supuestamente hace uso de alguna llamada al API de Windows.
Mucha gente piensa que la grabación de sus conversaciones genera una gran cantidad de espacio ocupado en el sistema y que se podrían dar cuenta del proceso, pero no es del todo correcto. Actualmente los equipos informáticos disponen de grandes sistemas de almacenamiento, incluso los equipos con discos de estado sólido, disponen de espacio suficiente para grabar las conversaciones de un usuario convencional. Y aparte de eso, la gran mayorías de las personas, no suelen llevar un control exhaustivo del espacio ocupado de disco.
Para hacernos una idea, en una calidad normal, una canción en MP3 de 1 minuto de duración, puede ocupar aproximadamente 1 MB, sin embargo, para la grabación de la voz humana, no es necesario un muestreo de superior a 32 kbs, ya que los limites de las frecuencias fundamentales de la voz humana se sitúan en los 80 Hz y los 1056 Hz, el rango de acción alcanza los 15Khz y su ancho de banda ronda los 3,4 Khz, con lo que si se optimizan los procesos de grabación a los valores necesarios, por ejemplo, estableciendo un máximo de 6Khz , podríamos grabar algo más de 6 minutos de audio en 1 MB.
Se ha publicado el código del Bicho, el de la DLL de inyección y el del plugin, junto con unas imágenes que explican el proceso de captura y la utilización del mismos, a continuación vemos el funcionamiento en una de esas imágenes.
http://img297.imageshack.us/img297/8516/skypetapoverview1.png
Es necesario la introducción del Bicho en el equipo víctima, ya que las comunicaciones de Skype están cifradas, pero skype las descifra en local, donde si pueden interceptarse y grabarse.
El proceso es completamente silencioso y transparente al usuario. El Bicho es capaz de evitar los sistemas de barrera y de antivirus (http://blog.s21sec.com/2009/09/ultimamente-se-esta-propagando-la.html#NotaPie) del equipo víctima. Para los sistemas de barrera, el Bicho busca una serie de procesos: mpfagent.exe, mpfservice.exe, Mcdetect.exe, McShield.exe, outpost.exe, zlclient.exe, bdagent.exe, bdmcon.exe, fsdfwd.exe, kadmin.exe, avgfwsrv.exe, webroot.exe y los evita. Las soluciones de análisis de virus, no disponen de una firma y el Bicho en sí, no muta, ni busca expandirse, o infectar archivos, con lo que no muestra una conducta propiamente vírica.
Siempre que la victima inicia una conversación a través del Skype, el Bicho ejecuta una inyección de DLL que le permite solaparse a los procesos de Skype y grabar todas las conversaciones. Estas conversaciones, se convierten de audio PCM a MP3, se cifran y se envían a una ubicación en la red definida por el atacante.
El Bicho no depende directamente de Skype, con lo que puede migrarse a cualquier otro sistema de VoIP. La captura de audio se hace a nivel de sistema operativo, no a nivel de red.
Debido a la carencia de sistema de propagación, como se ha comentado anteriormente, la instalación depende de la habilidad del atacante para el despliegue, ya sea a través de ingeniería social, con acceso físico a la máquina o a través de otro malware.
Almacena por separado las cadenas de audio de entrada y de salida, manteniendo el siguiente formato:
[Carpeta Predeterminada]\[prefijo]-[número]- SkypeOut-[ año – mes – día – hora – minuto - segundo].mp3
[Carpeta Predeterminada]\[prefijo]-[número]- SkypeIn-[ año – mes – día – hora – minuto - segundo].mp3
A partir de aquí empiezan las divagaciones, la gente opina y habla, con más o menos tino y conocimiento, de que los gobiernos no pueden hacerlo o permitirlo, que es una tontería analizar GB de conversaciones de millones de usuarios, que no vale la pena, que no tiene utilidad, pero claro, con esto pasa lo mismo de siempre, las posibilidades son directamente proporcionales al ingenio de la persona que lo usa. Al final parece una parte de más de Echelon
Algunas fuentes:
http://blog.s21sec.com/2009/09/ultimamente-se-esta-propagando-la.html
http://news.softpedia.com
http://blog.s21sec.com
http://slatdot.org
http://www.megapanzer.com
http://www.diarioti.com
http://www.scmagazineus.com
http://www.symantec.com
Ruben Unteregger (RU) de 33 años, desarrollador suizo, ha publicado el código fuente de un troyano capaz de interceptar las llamadas a través de Skype, graba todo el audio y es capaz de enviarlo en formato mp3 a cualquier destino. Este último desarrollo se puede enlazar con el escándalo ocurrido en el 2006 y publicado por la prensa suiza “Sonntagszeitung” en el que se utilizaba un sistema similar para establecer este tipo de escuchas por la policía alemana. El departamento de desarrollo, transporte y comunicaciones, relacionó a ERA IT con su desarrollo, cosa que ya comentaba nuestro compañero Clemens Kurtenbach en sus dos posts sobre el Federal Trojan Horse que se pueden consultar desde aquí. 1 (http://blog.s21sec.com/2008/04/federal-trojan-horse.html) - 2 (http://blog.s21sec.com/2008/09/federal-trojan-horse-2.html)
En una entrevista (http://www.megapanzer.com/2009/08/25/interview-on-gulli-com-about-the-skype-trojan-and-trojans-in-general-english) publicada en Gulli.com, RU admite haber estado trabajando desde el 2001 al 2008 en ERA IT y que estuvo trabajando en proyectos privados. Su trabajo era generar código malicioso que pudiesen invadir los equipos de los usuarios privados. ERA IT Solutions estaba involucrada de forma particular en el desarrollo y construcción de troyanos que permitiesen establecer escuchas en las llamadas VoIP. Si él no quería pagar la penalización, debería mantener en secreto los clientes de la compañía. De forma paralela a la realización de la entrevista, RU hizo publico el código fuente del troyano.
Riccardo Gubser, representante de ERA IT intentó aclarar que el conocimiento para el desarrollo de ese malware, fue introducido en la empresa por RU y desapareció cuando este abandonó la empresa.
De ahora en adelante, el troyano-spyware de escucha y grabación, conocido como Trojan.Peskyspy o TROJ_SPAYKE.C pasará a ser conocido de forma familiar como: Bicho, para abreviar un poco.
En principio, aunque pueda parecer que el sistema funciona para todos los sistemas con Skype, según Symantec, sólo afecta a sistemas Microsoft, ya que supuestamente hace uso de alguna llamada al API de Windows.
Mucha gente piensa que la grabación de sus conversaciones genera una gran cantidad de espacio ocupado en el sistema y que se podrían dar cuenta del proceso, pero no es del todo correcto. Actualmente los equipos informáticos disponen de grandes sistemas de almacenamiento, incluso los equipos con discos de estado sólido, disponen de espacio suficiente para grabar las conversaciones de un usuario convencional. Y aparte de eso, la gran mayorías de las personas, no suelen llevar un control exhaustivo del espacio ocupado de disco.
Para hacernos una idea, en una calidad normal, una canción en MP3 de 1 minuto de duración, puede ocupar aproximadamente 1 MB, sin embargo, para la grabación de la voz humana, no es necesario un muestreo de superior a 32 kbs, ya que los limites de las frecuencias fundamentales de la voz humana se sitúan en los 80 Hz y los 1056 Hz, el rango de acción alcanza los 15Khz y su ancho de banda ronda los 3,4 Khz, con lo que si se optimizan los procesos de grabación a los valores necesarios, por ejemplo, estableciendo un máximo de 6Khz , podríamos grabar algo más de 6 minutos de audio en 1 MB.
Se ha publicado el código del Bicho, el de la DLL de inyección y el del plugin, junto con unas imágenes que explican el proceso de captura y la utilización del mismos, a continuación vemos el funcionamiento en una de esas imágenes.
http://img297.imageshack.us/img297/8516/skypetapoverview1.png
Es necesario la introducción del Bicho en el equipo víctima, ya que las comunicaciones de Skype están cifradas, pero skype las descifra en local, donde si pueden interceptarse y grabarse.
El proceso es completamente silencioso y transparente al usuario. El Bicho es capaz de evitar los sistemas de barrera y de antivirus (http://blog.s21sec.com/2009/09/ultimamente-se-esta-propagando-la.html#NotaPie) del equipo víctima. Para los sistemas de barrera, el Bicho busca una serie de procesos: mpfagent.exe, mpfservice.exe, Mcdetect.exe, McShield.exe, outpost.exe, zlclient.exe, bdagent.exe, bdmcon.exe, fsdfwd.exe, kadmin.exe, avgfwsrv.exe, webroot.exe y los evita. Las soluciones de análisis de virus, no disponen de una firma y el Bicho en sí, no muta, ni busca expandirse, o infectar archivos, con lo que no muestra una conducta propiamente vírica.
Siempre que la victima inicia una conversación a través del Skype, el Bicho ejecuta una inyección de DLL que le permite solaparse a los procesos de Skype y grabar todas las conversaciones. Estas conversaciones, se convierten de audio PCM a MP3, se cifran y se envían a una ubicación en la red definida por el atacante.
El Bicho no depende directamente de Skype, con lo que puede migrarse a cualquier otro sistema de VoIP. La captura de audio se hace a nivel de sistema operativo, no a nivel de red.
Debido a la carencia de sistema de propagación, como se ha comentado anteriormente, la instalación depende de la habilidad del atacante para el despliegue, ya sea a través de ingeniería social, con acceso físico a la máquina o a través de otro malware.
Almacena por separado las cadenas de audio de entrada y de salida, manteniendo el siguiente formato:
[Carpeta Predeterminada]\[prefijo]-[número]- SkypeOut-[ año – mes – día – hora – minuto - segundo].mp3
[Carpeta Predeterminada]\[prefijo]-[número]- SkypeIn-[ año – mes – día – hora – minuto - segundo].mp3
A partir de aquí empiezan las divagaciones, la gente opina y habla, con más o menos tino y conocimiento, de que los gobiernos no pueden hacerlo o permitirlo, que es una tontería analizar GB de conversaciones de millones de usuarios, que no vale la pena, que no tiene utilidad, pero claro, con esto pasa lo mismo de siempre, las posibilidades son directamente proporcionales al ingenio de la persona que lo usa. Al final parece una parte de más de Echelon
Algunas fuentes:
http://blog.s21sec.com/2009/09/ultimamente-se-esta-propagando-la.html
http://news.softpedia.com
http://blog.s21sec.com
http://slatdot.org
http://www.megapanzer.com
http://www.diarioti.com
http://www.scmagazineus.com
http://www.symantec.com