Publicaciones

TDL4, el bot más sofisticado

Las diferentes versiones de TDSS

El programa malicioso que Kaspersky Anti-Virus detecta como TDSS pertenece al grupo de los más complejos de hoy en día. TDSS usa diferentes trucos para evitar ser detectado por los métodos de firma, heurístico y proactivo; aplica métodos de cifrado durante la transmisión de datos entre el bot y el centro de administración y posee un potente componente rootkit que le permite camuflar la presencia de cualquier tipo de programas maliciosos en el sistema.

El nombre con que su autor bautizó el programa es TDL. Desde el momento de la aparición del programa malicioso en 2008, los creadores de virus lo han venido perfeccionando constantemente. En 2010 la última versión era TDL-3, cuya descripción detallada dimos en el artículo publicado en agosto de 2010.

Los autores de TDSS no pusieron el programa en venta sino hasta finales de 2010. En diciembre, al analizar uno de los especímenes, descubrimos algo extraño: el disco cifrado de TDL-3 contenía ciertos módulos de otro programa malicioso llamado SHIZ.


Contenido del disco cifrado de TDL-3 con los módulos del programa malicioso SHIZ

Entonces apareció en Internet el programa de afiliados que se dedicaba a suplantar los resultados de los sistemas de búsqueda y que pertenecía a los creadores de SHIZ, pero cuya estructura se basaba en TDL-3.

Los cambios introducidos en la configuración de TDL-3 y la aparición de un nuevo sistema de afiliados confirman que los códigos fuente de TDL-3 se vendieron a los delincuentes que antes se dedicaban al desarrollo del programa malicioso SHIZ.

Pero ¿por qué los autores de TDL decidieron vender los códigos fuente de la tercera versión? Es que para ese entonces ya había aparecido la versión TDL-4. Es probable que los cambios de esta versión les hayan parecido tan importantes a los escritores de virus que hayan dejado de temer la competencia por parte de los nuevos propietarios de TDL-3.

A finales de 2010 Viacheslav Rusakov describió el funcionamiento de la nueva versión del rootkit de TDSS desde el punto de vista de su interacción con el sistema operativo. En este artículo analizaremos TDL-4 desde el punto de vista de su funcionamiento con la red y la carga útil de la botnet que en el momento en que llevamos a cabo la investigación, contaba con más de 4,5 millones de ordenadores infectados.

De nuevo un programa de afiliados

En el funcionamiento de la nueva versión parece que quedó intacto sólo el método de propagación, por medio de los programas de afiliados. Como antes, para propagar el programa malicioso, los programas de afiliados siguen ofreciendo el descargador TDL que, después de constatar la versión del sistema operativo, descarga TDL-4 en el ordenador.


Programa de afiliados que propagan TDL

Por cada mil instalaciones, los afiliados a TDL reciben de 20 a 200 dólares americanos, dependiendo de la ubicación geográfica del equipo de la víctima. Los afiliados pueden usar cualquier método de instalación. Con más frecuencia TDL se difunde en los recursos pornográficos, los sitios piratas y los sitios de almacenamiento de vídeo y ficheros.

Los cambios en TDL-4 afectaron de alguna manera a casi todos los componentes del programa malicioso y sus actividades en la red. Los escritores de virus expandieron las funcionalidades del programa malicioso, modificaron el algoritmo de cifrado del protocolo de comunicación entre los bots y los servidores de administración de la botnet trataron de garantizarse el acceso a los equipos infectados incluso en caso de que se clausurasen los centros de administración de la botnet. Al parecer, los dueños de TDL están tratando de crear una botnet ‘indestructible’, protegida de las amenazas tanto de la competencia, como de las compañías antivirus.

La botnet ‘indestructible’

Cifrado de las conexiones de red

Uno de los cambios claves de TDL-4 en comparación con la versión anterior fue la actualización del algoritmo de cifrado del protocolo usado para la comunicación entre los equipos infectados y los servidores de administración de la botnet. Para reemplazar RC4, los delincuentes desarrollaron su propio algoritmo de cifrado, que usaba suplantaciones y operaciones XOR. Sirven de llaves de cifrado el nombre de dominio desde donde se inicia la conexión y el parámetro bsh del fichero cfg.ini.

Recordamos que la presencia de un fichero de configuración, donde se describen los principales parámetros usados por los diferentes módulos para llevar el registro de sus actividades y de la conexión con los servidores de administración es una de las peculiaridades de los programas maliciosos de la familia TDSS.


Ejemplo del contenido del fichero de configuración

En comparación con la tercera versión, el formato del fichero de configuración ha cambiado poco. La adición clave es el parámetro ‘bsh’. Este parámetro es el identificador del ejemplar del programa malicioso, asignado por el servidor de administración durante la primera conexión con el bot. También sirve como una de las llaves de cifrado durante las siguientes conexiones con el servidor de administración.


Parte del código (restaurado) de funcionamiento con el protocolo TDL-4

Durante la inicialización del protocolo se crea una tabla de suplantación para la solicitud http inicial del bot. Esta tabla se inicia con dos llaves: el nombre del dominio del servidor de administración de la botnet y el parámetro “bsh”. La solicitud inicial se cifra y se convierte al formato base64. Después, en el inicio y final del mensaje obtenido, se agregan cadenas aleatorias escogidas con anterioridad en formato base64. La solicitud completa se envía al servidor mediante el protocolo HTTPS.

El algoritmo propio de cifrado de la comunicación entre los centros de administración de la botnet y la red evita que se pueda analizar el tráfico de red y bloquea los intentos de otros delincuentes de interceptar la administración de la botnet.

Un “antivirus’ propio

TDL-4, al igual que Sinowal es un bootkit, es decir, para ejecutarse automáticamente infecta el sector MBR, lo que le permite iniciarse antes que el sistema operativo. Este método, usado por los virus de inicio clásicos, les garantiza a estos programas una gran vitalidad y los oculta de la mayoría de los programas de protección.

TDL es muy hábil para ocultarse a sí mismo y a los programas maliciosos y evitar que los antivirus los detecten. Para que los demás programas maliciosos que hayan penetrado al equipo sin la venia de los dueños de TDL no llamen la atención de los usuarios hacia el equipo infectado, TDL-4 tiene la posibilidad de eliminarlos. Por supuesto, no todos, sino los más populares.


Parte del código de TDSS que responde de la búsqueda de otros
programas maliciosos en el registro del sistema

TDSS tiene códigos para eliminar unos veinte programas maliciosos, incluyendo Gbot, ZeuS, Clishmic, Optima, etc. TDSS escanea el registro, busca nombres específicos de ficheros, pone en su lista de rechazados las direcciones de los servidores de administración de otros botnets y bloquea el acceso a éstos desde el equipo infectado.

Por una parte, este ‘antivirus’ ayuda a TDSS a luchar contra la competencia y por otra, a apartar de sí mismo y de su ‘equipo’ (los programas maliciosos que instaló) los inconvenientes causados por la presencia en el ordenador infectado de otros programas maliciosos.

¿Qué programas maliciosos instala TDL-4? Desde principios de este año, en la botnet se han instalado cerca de 30 programas maliciosos adicionales, incluyendo falsos antivirus, módulos publicitarios y el spambot Pushdo.


Lista de descargas en la botnet TDSS

Es curioso que después de instalar otros programas maliciosos TDL-4 no se borra y puede usarse para desinstalar en cualquier momento sus programas maliciosos con la ayuda del módulo r.dll.

Acceso de la botnet a la red p2p Kad

Una de las innovaciones más brillantes de TDL-4 es el módulo kad.dll, que posibilita el acceso de la botnet TDSS a la red P2P Kad. Pero ¿por qué les hace falta a los delincuentes una red pública de intercambio de ficheros?

Hace bastante tiempo que se tiene noticias de botnets controladas mediante el protocolo P2P, pero hasta ahora se trataba de protocolos cerrados de comunicación creados por los delincuentes. TDSS, por su parte, usa una red P2P pública para enviar las instrucciones del dueño de la botnet a todos los ordenadores de la red zombi. El principio de funcionamiento del algoritmo de TDSS con esta red es el siguiente:

  1. En la red pública Kad los delincuentes abren acceso a un fichero llamado ktzerules. El fichero está cifrado y contiene una lista de instrucciones para TDSS.
  2. Los ordenadores infectados con TDSS reciben la instrucción de descargar e instalar el módulo kad.dll.
  3. Una vez instalado, kad.dll descarga el fichero nodes.dat que contiene la lista pública de direcciones IP de los servidores y clientes de la red Kad.
  4. En la red pública Kad el módulo kad.dll solicita la búsqueda del fichero ktzerules.
  5. Después de descargar e instalar el fichero ktzerules, kad.dll ejecuta las instrucciones contenidas en ktzerules.


Actualizaciones cifradas del fichero kad.dll en la red pública Kad

Esta es la lista de instrucciones contenidas en el fichero cifrado ktzerules.

  • SearchCfg, buscar un nuevo fichero ktzerules en la red Kad
  • LoadExe, descargar y ejecutar el fichero ejecutable
  • ConfigWrite, escribir la entrada en cfg.ini
  • Search, buscar el fichero en la red Kad
  • Publish, publicar el fichero en la red Kad
  • Knock, descargar desde el centro de administración el fichero nodes.dat, que contiene la lista de direcciones IP de los servidores y clientes de la red Kad, entre ellos los ordenadores infectados por TDSS.

La instrucción más interesante es Knock. Mediante esta instrucción los delincuentes crean su propia red P2P Kad, cuyos clientes son sólo los ordenadores infectados por TDSS.

tdl4_pic08_sp

Esquema de intersección de la red pública y cerrada Kad

En esencia, en la administración de la botnet TDSS el módulo kad.dll cumple funciones análogas a cmd.dll. Usando el fichero nodes.dat, que contienen la lista de las direcciones IP de los participantes en la red Kad y ktzerules, que contiene la instrucción de descargar un nuevo fichero nodes.dat desde los servidores de los delincuentes, los dueños de la botnet pueden dar de alta o de baja los equipos infectados en la red pública Kad. En la red pública Kad no hay más de 10 ordenadores infectados por TDSS. Esto hace que sea muy difícil suplantar el fichero ktzerules y evita que otros delincuentes intercepten la administración de la botnet. En cambio, la cantidad general de ordenadores infectados con TDSS en la red cerrada es de varias decenas de miles.


Parte del código kad.dll que se encarga del transporte de las
instrucciones que los delincuentes envían mediante TDL-4

Además, el acceso a la red Kad les da a los delincuentes la posibilidad de descargar en los ordenadores de la botnet y hacer públicos para los usuarios de la red P2P cualquier tipo de ficheros, por ejemplo pornografía o bases de datos robadas.

La peligrosidad de esta botnet consiste en que, incluso si se cierran los centros de administración, los dueños de la misma no pierden el control sobre los ordenadores infectados. Sin embargo, este sistema tiene ciertas lagunas:

  1. Usando la red pública Kad, los delincuentes corren el riesgo de que aparezcan instrucciones falsas para la botnet.
  2. Durante el desarrollo del módulo kad.dll, para gestionar la interacción con la red Kad usaron códigos bajo licencia GPL GPL, lo que significa que los autores están infringiendo el acuerdo de licencia.

Expansión de las funcionalidades

Además de las funcionalidades publicitarias, en TDL-4 han aparecido nuevos módulos. Ya hemos escrito sobre el ‘antivirus’ y el módulo de trabajo con redes P2P. Aparte de ellos, los dueños de TDSS incluyeron entre las funcionalidades del programa malicioso varios módulos más y ahora pueden ofrecer a sus clientes servicios de acceso anónimo a la red mediante los equipos infectados y soporte de sistemas de 64 bits.

Módulo del servidor proxy

Socks.dll es el nombre del fichero que TDSS incrusta en el proceso svchost y que sirve para abrir un servidor proxy en el equipo infectado. La presencia de este módulo permite navegar anónimamente en Internet mediante los equipos infectados.

Como cuentan con una gran cantidad de equipos con esta funcionalidad, los delincuentes han empezado a ofrecer servicios de conexión anónima a Internet. El coste del servicio es de unos 100 dólares al mes. Para ofrecer comodidad a sus usuarios, los delincuentes desarrollaron un plugin para Firefox que permite cambiar con rapidez los servidores proxy sin salir del navegador.


Plugin para Firefox que facilita la navegación en Internet
mediante los equipos infectados por TDSS

Soporte de sistemas de 64 bits

La aparición del driver de 64 bits en TDSS fue una de las novedades tecnológicas introducidas por los delincuentes en 2010. Para admitir el funcionamiento de los sistemas de 64 bits en régimen de usuario, TDL-4 contiene el módulo cmd64.dll, que es la versión de cmd.dll para sistemas de 64 bits. Sin embargo, debido a las limitaciones en el funcionamiento de los programas en sistemas de 64 bits, el código cmd64.dll contiene sólo las funcionalidades de comunicación con los servidores de administración de la botnet.


Lista de instrucciones enviadas por el servidor de administración de la botnet a TDSS

Trabajo con los sistemas de búsqueda

El módulo cmd.dll casi no ha sufrido cambios. Su tarea es establecer la conexión con los servidores de administración de la botnet y suplantar los resultados en los sistemas publicitarios y de búsqueda. En la lista de instrucciones para TDSS, la principal novedad es SetName, que asigna un número a cada ordenador infectado. Durante el trabajo con los sistemas de búsqueda y las redes de banners, TDSS usa la misma tecnología que otros programas maliciosos para hacer subir el rating de los resultados. Sin embargo, TDSS tiene la lista más larga de sistemas de búsqueda en los cuales suplanta los resultados de las búsquedas.


Lista de sistemas de búsqueda admitidos por TDSS

Servidores de administración de la botnet

TDSS usa varias fuentes para obtener las listas de administración de los servidores. Por defecto, la lista se toma del cuerpo de cmd.dll, pero si los servidores estuviesen fuera de alcance, el bot la toma de cfg.ini. Si por alguna razón ninguno de los servidores de administración de la lista cfg.ini está disponible, la lista se extrae del fichero cifrado bckfg.tmp, que el bot recibe la primera vez que se conecta al servidor de administración. Desde principios de este año se han registrado 60 servidores de administración de la botnet, distribuidos por todo el mundo.

 

Dirección del servidor
de administración
Dirección del servidor
a principios de febrero
Dirección del servidor
a principios de marzo
Porcentaje de aparición
en las listas de servidores
de administración
01n02n4cx00.cc noip noip 0,05%
01n02n4cx00.com 91.212.226.5 noip 0,43%
01n20n4cx00.com 91.212.226.5 91.193.194.9 0,21%
0imh17agcla.com 77.79.13.28 91.207.192.22 0,80%
10n02n4cx00.com 194.28.113.20 194.28.113.20 0,22%
1il1il1il.com 91.212.158.72 91.212.158.72 6,89%
1l1i16b0.com 91.193.194.11 91.193.194.11 0,43%
34jh7alm94.asia 205.209.148.232 noip 0,03%
4gat16ag100.com noip noip 2,07%
4tag16ag100.com 178.17.164.129 91.216.122.250 6,69%
68b6b6b6.com noip noip 0,03%
69b69b6b96b.com 91.212.158.75 noip 6,89%
7gaur15eb71.com 195.234.124.66 195.234.124.66 6,85%
7uagr15eb71.com noip noip 2,07%
86b6b6b6.com 193.27.232.75 193.27.232.75 0,14%
86b6b96b.com noip noip 0,24%
9669b6b96b.com 193.27.232.75 193.27.232.75 0,22%
cap01tchaa.com noip noip 2,19%
cap0itchaa.com noip noip 0,58%
countri1l.com 91.212.226.6 91.212.158.72 6,89%
dg6a51ja813.com 91.216.122.250 93.114.40.221 6,85%
gd6a15ja813.com 91.212.226.5 91.212.226.5 2,07%
i0m71gmak01.com noip noip 0,80%
ikaturi11.com 91.212.158.75 noip 6,89%
jna0-0akq8x.com 77.79.13.28 77.79.13.28 0,80%
ka18i7gah10.com 93.114.40.221 93.114.40.221 6,85%
kai817hag10.com noip noip 2,07%
kangojim1.com noip noip 0,14%
kangojjm1.com noip noip 0,24%
kur1k0nona.com 68.168.212.21 68.168.212.21 2,19%
l04undreyk.com noip noip 0,58%
li1i16b0.com noip noip 0,05%
lj1i16b0.com noip noip 0,05%
lkaturi71.com noip noip 0,14%
lkaturl11.com 193.27.232.72 193.27.232.72 0,22%
lkaturl71.com 91.212.226.6 91.212.158.72 7,13%
lo4undreyk.com 68.168.212.18 93.114.40.221 2,19%
n16fa53.com 91.193.194.9 noip 0,05%
neywrika.in noip noip 0,14%
nichtadden.in noip noip 0,02%
nl6fa53.com noip noip 0,03%
nyewrika.in noip noip 0,03%
rukkeianno.com noip noip 0,08%
rukkeianno.in noip noip 0,08%
rukkieanno.in noip noip 0,03%
sh01cilewk.com 91.212.158.75 noip 2,19%
sho1cilewk.com noip noip 0,58%
u101mnay2k.com noip noip 2,19%
u101mnuy2k.com noip noip 0,58%
xx87lhfda88.com 91.193.194.8 noip 0,21%
zna61udha01.com 195.234.124.66 195.234.124.66 6,85%
zna81udha01.com noip noip 2,07%
zz87ihfda88.com noip noip 0,43%
zz87jhfda88.com 205.209.148.232 205.209.148.233 0,05%
zz87lhfda88.com noip noip 0,22%

 

Si se analiza con atención esta lista, se puede ver que las direcciones IP de los centros de administración cambian todo el tiempo y algunos dejan de funcionar. Estos cambios están condicionados por los servidores proxy que ocultan la verdadera ubicación de los centros de administración.

Estadística de los servidores de administración

A pesar de las medidas tomadas por los delincuentes para proteger los centros de administración de la botnet, conociendo el protocolo de comunicación de TDL-4 con los servidores de administración se pueden crear solicitudes especiales y recibir estadísticas de la cantidad de equipos infectados. Al analizar los datos obtenidos, se puso al descubierto tres bases de datos MySQL independientes ubicadas en Moldavia, Lituania y EEUU que admitían el funcionamiento de la botnet desde detrás de servidores proxy.

Según la información de estas bases de datos, sólo en el primer trimestre de 2011, TDL-4 infectó 4.524.488 equipos en todo el mundo.


Distribución por país de los equipos infectados por TDL-4

Casi una tercera parte de los equipos infectados se encuentra en los EE.UU. A juzgar por los precios de los programas de afiliados, infectar esta cantidad de equipos en EE.UU. cuesta 250.000 dólares, suma que al parecer gastaron los creadores de TDSS. Es curioso que en la estadística no figuran usuarios de Rusia. La explicación es que los programas de afiliados no ofrecen ningún pago por infectar usuarios rusos.

Esto todavía no es el final

El subtítulo de las últimas secciones de nuestros artículos sobre TDSS ya se está haciendo una tradición. En este caso tenemos razones para suponer que TDSS continuará desarrollándose. El activo perfeccionamiento del código de TDL-4, el rootkit para sistemas de 64 bits, el inicio antes del sistema operativo, el uso de exploits del arsenal de Stuxnet, el uso de la tecnología P2P, el antivirus propio y muchas cosas más ubican al programa malicioso TDSS entre los más desarrollados desde el punto de vista tecnológico y los más difíciles de analizar. Los delincuentes usan la botnet de más de 4.500.000 bots para manipular los sistemas publicitarios y los resultados de los sistemas de búsqueda, garantiza a los delincuentes acceso anónimo a Internet y sirve de plataforma para instalar otros programas maliciosos.

TDSS y la botnet que reúne los equipos infectados causarán muchos disgustos a los usuarios y los especialistas en seguridad IT. Una botnet descentralizada y sin servidores es prácticamente indestructible y la epidemia del gusano KIDO lo ha confirmado.

TDL4, el bot más sofisticado

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada