jueves, 30 de mayo de 2013

Operation Hangover: reglas de Snort/Soucefire

Imagino que la mayoría de vosotros conoceréis el informe generado por la empresa Norman, llamado Operation Hangover, donde se habla de una campaña APT sofisticada procedente de India, utilizada desde hace más de tres años como una plataforma para la vigilancia contra objetivos de interés de seguridad nacional, que se basan sobre todo en Pakistán y, posiblemente, en los Estados Unidos.

También se ha utilizado para el espionaje industrial contra la empresa noruega Telnor y otras corporaciones civiles, noticia que se conoció el 17 de marzo de este año.


He recopilado en esta entrada las reglas de detección existentes para la algunos de los patrones expuestos en este informe, y aquellas que tenía creadas unas para detectar los accesos vía DNS a los dominios que están involucrados con la estructura del APT.


Buscando en las reglas de la gente de Emerging Threats, salen las siguientes firmas:
    • ET TROJAN Hangover Campaign Keylogger Checkin
    • ET TROJAN Hangover Campaign Keylogger 2 checkin
    • ET TROJAN TrojanSpy.KeyLogger Hangover Campaign User-Agent(FMBVDFRESCT)
    • ET TROJAN TrojanSpy.KeyLogger Hangover Campaign User-Agent(DSMBVCTFRE)
    • ET TROJAN TrojanSpy.KeyLogger Hangover Campaign User-Agent(MBESCVDFRT)
    • ET TROJAN TrojanSpy.KeyLogger Hangover Campaign User-Agent(TCBFRVDEMS)
    • ET TROJAN TrojanSpy.KeyLogger Hangover Campaign User-Agent(DEMOMAKE)
    • ET TROJAN TrojanSpy.KeyLogger Hangover Campaign User-Agent(DEMO)
    • ET TROJAN TrojanSpy.KeyLogger Hangover Campaign User-Agent(UPHTTP)
    • ET TROJAN TrojanSpy.KeyLogger Hangover Campaign User-Agent(sendFile)
    • ET TROJAN TrojanSpy.KeyLogger Hangover Campaign User-Agent(file)
    • ET TROJAN TrojanSpy.KeyLogger Hangover Campaign User-Agent(vbusers)
    • ET TROJAN TrojanSpy.KeyLogger Hangover Campaign User-Agent(folderwin)
    • ET TROJAN TrojanSpy.KeyLogger Hangover Campaign User-Agent(smaal)
    • ET TROJAN TrojanSpy.KeyLogger Hangover Campaign User-Agent(nento)
    • ET TROJAN TrojanSpy.KeyLogger Hangover Campaign User-Agent(bugmaal)

Podéis descargar el fichero aquí: ET-operation-over.rules


Además, podéis utilizar estos ficheros en vuestras máquinas:
    1. hangover-domains.txt: recopilación de los 606 dominios relacionados con el APT que figuran en el anexo del informe
    2. hangover-segofensiva.rules: reglas para Sourcefire/Snort para detectar las peticiones DNS a cualquiera de los dominios indicados anteriormente

Si alguno no ha tenido oportunidad de poder leer el informe de Operation Hangover, os dejo los enlaces a los PDFs a continuación:
    1. Norman HangOver report (Executive Summary)
    2. Unveiling an Indian Cyberattack Infrastructure
    3. Unveiling an Indian Cyberattack Infrastructure (Appendixes)

Espero que os sean de utilidad :)