14 de octubre de 2010

Warcraft DiscHack (y el Falso Positivo) I/II

El por qué de la idea

Todo comenzó a finales de Agosto, un poco cansado de que mi viejo K8 3000+ no diera mucho rendimiento con juegos relativamente viejos (Bioshock, Alone In the Dark 4, etc.) volví a instalarme el Warcraft III: The Frozen Throne. Hacía ya bastantes meses que no me ponía a “ownear” así que no sabía como estaba el percal en Battle.net, cual fue mi sorpresa cuando me di cuenta que estas batallas cibernéticas ya no son lo que eran, era muy habitual cruzarse con “hackers” que se valían de cheats como desactivar la niebla de guerra (que te permite ver las unidades enemigas) o simplemente desconectarlo, el llamado disc Hack:

Aunque a mi siempre me gustó más el video del guiry flipao que, tras padecer los sufrimientos de un demon hunter y su “Mana Burn”, lo desconecta:

El caso es que, desanimado como estaba por la ausencia de fair play decidí investigar en que consistía el dischack, que era el que más me preocupaba, por lo que podía ver el proceso del juego “war3.exe” crecía exponencialmente desde que se lanzaba el ataque, la desconexión no era instantanea, más bien el juego se ralentizaba en lo que parecía un envío de paquetes con un TTL incrementando al máximo (o al menos eso es lo 1º que pensé).

Investigación

Ni corto ni perezoso me dispuse a descargar un par de herramientas muy útiles en estos casos, el WinSock y el CheatEngine, esta última está especialmente diseñada para alterar parámetros de las partidas. Winsock es muy útil para analizar la actividad de los procesos y sus flujos de comunicaciones TCP/IP. También permite establecer filtros para parar determinados tipos de paquetes, lo que puede ser útil si queremos detener el dischack ;-)

Entonces ocurrió algo que personalmente odio, ante la descarga de Winsock el Avast saltó como loco y borró el .rar que lo contenía, dando una alerta por troyano, pensando que esto suele ocurrir con las herramientas de hacking lo subí a virustotal para conocer terceras opiniones, con este resultado : 37/43 positivos con muchos Generic.WinTrojan de por medio o W32/Trojan, etc. (deberían hacer un chiste con estas alertas: Tienes menos personalidad que un Generic.WinTrojan), en mi espíritu paranoico cesé mis actividades de investigación en Warcraft y las sustituía por otras, ¿Qué hacíar realmente WinSock?, ¿me podía fiar?

Lo que realmente investigué

Como laboratorio personal tengo una pequeña máquina virtual con Windows XP SP2 , ideal para hacer un destrozo y luego volver a la normalidad como si nada, en estos casos la función de snapshot de VMWare Workstation viene de perlas. Utilizaré solo dos herramientas para averiguar que hace WinSock:

- Regshot

- Process Monitor

Con regshot obtendré rápidamente una instantánea del registro de sistema, después instalaré y ejecutaré WinSock, tomando una nueva instánea. Regshot comparará ambas imágenes y me dirá los cambios. El programa es muy sencillo e intuitivo de utilizar así que no tiene pérdida:

Tras todo ello vemos bastantes cambios en el registro, aunque muchos están relacionados con cosas que no son WinSock, las únicas entradas relevantes son las siguientes:

HKU\S-1-5-21-1935655697-764733703-839522115-1003\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\Documents and Settings\GigA\Escritorio\WPE PRO.exe: "WPE PRO"

HKU\S-1-5-21-1935655697-764733703-839522115-1003\Software\WinRAR\ArcHistory\0: "C:\Documents and Settings\GigA\Escritorio\wpepro09x.zip"

La primera parece que ha incluido en el listado de software de Windows la aplicación WPE PRO, con la ruta que tiene en el sistema, y la ha cacheado para futuras llamadas. La segunda cambia el histórico de WinRar para que figure el zip de Winsock. Nada extraño por ahora.

Tras esto lanzamos process monitor, esta herramienta de Microsoft combina las bondades de Filemon y Regmon, que formaban parte de SysInternals y han sido combinadas en este nuevo producto. Es perfecto para monitorizar la actividad de un proceso, las librerías de las que depende, las llamadas que realiza, el tráfico de red que genera, los archivos que crea, etc. etc. En este caso vemos que WinSock genera bastante actividad en el sistema, que además mezclada con el resto de procesos puede generar bastante confusión, por suerte con un botón derecho “Hightlight WPE-PRO” nos resaltará en verde lo que nos interesa.


Hay bastantes líneas, muchas de ellas son sencillamente utilización de fuentes de Windows (para lo cual tiene que leer muchos archivos), hay otras en las que llama a la librería que adjunta, WpeSpy.dll.

El programa comienza como es obvio cargándose en memoria, después pasa a añadir a la carpeta prefetch de Windows varios un archivo con la aplicación, en el mismo se han encontrado referencias a entradas de registro del mismo WPE, por lo cual entendemos que quiere que Windows tenga cacheada la aplicación para próximas sesiones. Después realizar varias consultas al sistema, mapeando la unidad raiz “C:\” así como otras de Windows, System32, etc. Después pasa a generar varios archivos en la carpeta fantasma de Windows, la odiada, enigmática y poco comprendida desde el punto de vista de los usuarios WinSxS, así que podemos suponer correctamente que tenemos varios hard-links nuevos para la posteridad.

Tras perdernos durante varios minutos por el registro de actividades de WinSock comenzamos a sospechar que todo es terriblemente normal, no hay conexiones a Internet, no hay creación de ficheros extraños, vemos múltiples llamadas a principalmente dos archivos del core de Windows, kernel32.dll y ntdlm.dll, uno para realizar llamadas al sistema (recordemos que este software sirve para monitorizar procesos) y otro para el gestor de archivos. También hay llamadas a otras librerías y drivers (como wsock32.dll) que entiendo muy necesarios para su ejecución:



Conclusión

Si, ha sido una falsa alarma, lo cual puede dejar a uno más perplejo que anteriormente, ¿37 antivirus dando un falso positivo?, al menos podrían limar un poquito las alertas y que solo fuese un Warning: Hacking Tool, pero no veo el Trojano por ningún lado, e imagino que ellos tampoco. Mi teoría es la que todos estaréis pensado, alguien lo clasifica así una vez por alguna razón y los demás copian la firma. Recuerdo el caso de una casa de antivirus que generó un falso positivo “adrede” solo para comprobar que 24 horas después todas las demás habían hecho lo mismo, sin pararse a investigar claro qué era aquel positivo.

Bueno, y ahora que tenemos una cierta confianza en nuestras herramientas vamos a analizar el famoso, “dischack” de Warcraft, pero será en otra entrada ;-)

6 de octubre de 2010

Hacking y publicidad: Kawasaki

Desde que Angelina Jolie protagonizara la película “Hackers” allá en 1995, (enganchándome definitivamente en el mundillo de la informática - quien iba a decir que 15 años después, sería considerada una de las mujeres más bellas del mundo), la utilización de los piratas informáticos en la gran pantalla ha sido una tónica habitual, nunca olvidaré como nos salvó la vida un virus informático en la película de Will Smith “Independence Day” o como utilizaban el Nmap para desenvolverse por los mundos de Matrix:

Y es que los hackers siempre han sido esas personas misteriosas y extrañas, a las cuales das la mano mientras se vuelcan la agenda de tu teléfono y piratean la tragaperras del bar. La historia desde los tiempos de Kevin Mitnick hasta el Zar de Internet de Obama no ha desvelado ese halo místico que sigue rodeando a los hackers. Eso quieras que no siempre nos ha venido bien a los que nos dedicamos a esta profesión (en mayor o menor medida), nos hace sentirnos como John Wayne y decir de vez en cuando un, “no te preocupes nena, yo te rompo ese candado y tienes Interné gratis”, (para acabar haciendo un downgrade de Windows Vista o peores, ejem, pero esa es otra historia).

La publicidad y el marketing no son ajenas a esta moda, surgiendo términos como urban hacking que viene a ser algo así como utilizar la ciudad para cosas que no fue diseñada (yo siempre lo entendí como ser de mente abierta, o creativa...). Si bien las grandes marcas de Seguridad deben emplear la publicidad para hacerse mercado, normalmente los resultados son bastante pobres y no suelen atraer al consumidor medio (en mi humilde opinión), más bien provocar risillas o comentarios entre el personal del sector (todavía recuerdo el video de SOPHOS de kill a zombie, por que al fin y al cabo todos los antivirus te venden un 100% de seguridad (já).

Fuera de nuestra industria hoy os traigo un ejemplo de publicidad + hacking que nos brinda Kawasaky en su aniversario, lo podéis ver aquí http://www.kawaniversario.com/

Donde un supuesto hacker se carga la web conforme entramos,, yo me he quedado con las ganas de ver motos :-(

Curiosidad matinal, un saludo!

5 de octubre de 2010

Gadget de Seguridad: WIFI ROBIN

Estupefacto me he quedado al encontrarme con este curioso aparato que, por qué no decirlo, roza la ilegalidad. Al menos tal y como la publicidad nos lo muestra:



"WifiRobin le permitirá utilizar Internet de manera gratuita y así ahorrar cuotas mensuales de suscripción. WifiRobin sólo necesita decodificar la contraseña de cada conexión con una vez y la recuerda. La gente no sabrá que alguien está compartiendo con la conexión!"

Es decir, Wifi Robin es un router que permite crackear automáticamente las redes inalámbricas protegidas con WEP con solo darle un botón, también promete intentarlo con WPA, aunque las probabilidades de éxito son bastante bajas.

En fin, un gadget bajo el eslogan "¡No vuelva a pagar por utilizar Internet! que realmente dice, ¡que paguen otros por usted!, sale al módico precio de 123 €, pero como no vas a pagar más por utilizar Internet supongo que no sale caro,, :-S


Salu2

PD: Sobre que los usuarios no sabrán que está utilizando su red no haremos comentarios :)