El payload que puede tirar un código malicioso al infectar un sistema puede tener los más diversos objetivos; entre algunas de las acciones que nos podemos encontrar se encuentran los Bitcoin Miners. Los cibercriminales buscan aprovecharse de los recursos de los sistemas que infectan y así tomar el control, robar información, o como veremos en este post, minar ciertas monedas criptográficas para generarle una ganancia al atacante.
El archivo malicioso que vamos a analizar es detectado por los productos de ESET como una variante de Win32/CoinMiner.LV y utiliza diferentes técnicas para evitar ser analizado, como así también evitar ejecutarse en entornos virtuales. Cuando comenzamos el análisis de esta amenaza en un desensamblador como IDA Pro, nos encontramos con diferentes comprobaciones para saber si estaba siendo analizado con un debugger:
Entre las técnicas que nos encontramos están la llamada a IsDebuggerPresent,CheckRemoteDebuggerPresent y la comprobación de PEB (Process Environment Block) del proceso para ver si estaba habilitado el flag de debug. Luego de pasar las comprobaciones, el malware pasa a la sección principal, donde busca tres recursos diferentes que se encuentran en la sección.rsrsc:
De la imagen anterior podemos ver que existen los recursos RT_RCDATA 0, 1 y 2 que son cargados antes de realizar cualquier otra acción al cargar la segunda parte de este código malicioso:
Más adelante, vimos que utilizaba estos recursos repetidamente a lo largo de su ejecución; luego de analizar el binario vimos que cada uno de ellos se convertía en:
- Resource “0”: contiene la URL del pool al que se va a conectar el miner. El contenido está cifrado
- Resource “1”: contiene la clave de cifrado para descifrar los otros dos resources
- Resource “2”: es el más grande y contiene un archivo ejecutable cifrado
Para descifrar los recursos que están cifrados dentro del ejecutable utiliza la función con el siguiente prototipo para descifrar los recursos:
int descifrarRes(void* cifrado, void* clave, int size_clave, void* buffer)
El mismo está compuesto por algunas comprobaciones y dos xor:
En forma simplificada, cada caracter descifrado se obtiene de la siguiente forma:
descifrada[i] = clave[i] XOR cifrada[(size_cifrada – 1) – 32 + (i mod 32)] XOR cifrada[i]
Es decir que en primera instancia se va tomando cada byte de la clave y se le aplica una operación de XOR. Para el segundo operando se toman los últimos 32 bytes del texto cifrado, también de a uno por vez. Cuando se pasa del final, se vuelve al comienzo del intervalo (por ello se toma el resto de la división por 32). Y luego se aplica el segundo XOR, con cada byte de la cadena cifrada, pero esta vez desde el comienzo.
Así, el resource “0” se vuelve visible:
“-a scrypt -o stratum+tcp://eu.ltcrabbit.com:3333 -u YouMother92.Miner -p x -g no -t 2”
Vemos que son los parámetros para la ejecución de un miner que se conecta a ltcrabbit.com(Litecoins) con el usuario “YouMother92.Miner” y contraseña “x”. También vemos que el algoritmo usado es scrypt, aunque el sitio también ofrece la alternativa de X11. Si bien X11 puede llegar a ser más rápido, requiere el uso intensivo de GPU. No pudiendo garantizar que la máquina infectada posea GPU, entendemos la elección de los cibercriminales de usar scrypt.
Luego se aplica la misma rutina de descifrado al resource “2”. Sin embargo, esto devuelve un contenido que tiene una capa más de cifrado, para lo cual se invoca a otra subrutina. Vemos la estructura de esta segunda función de descifrado en la siguiente imagen:
Luego del descifrado, queda un ejecutable en memoria que podemos volcar. El archivo resultante tiene SHA-1 igual a 5f3d01baa567d8b5e32ae933f94472d1d40aaf0e. Que no es más ni menos que una aplicación para minar Bitcoins, o Litecoins este caso. Así, y con lo que hemos visto hasta el momento, podemos suponer que el malware va a ejecutar un cliente de mining, con los parámetros y la URL que se descifraron previamente.
Sin embargo, el ejecutable que ha sido descifrado en memoria no será escrito al disco, sino que será inyectado en la imagen de otro proceso, a través de la técnica conocida como Process Replacement. Para ello, la siguiente acción que realiza el malware consiste en buscar y ejecutar “C:\Windows\Microsoft.NET\Framework\v2.0.50727\vbc.exe”.
A continuación la imagen del respectivo CreateProcess:
Se observa cómo se lanza una aplicación no maliciosa (vbc.exe, el compilador de Microsoft Visual Basic) con los argumentos que vimos antes. En la misma rutina que se invoca CreateProcesstambién se llama a NtUnmapViewofSection, WriteProcessMemory y ResumeThread, con lo cual se remplaza la imagen de vbc.exe con el miner que se descifró en memoria. Esa rutina tiene una disposición lineal, y en la siguiente imagen mostramos una parte:
Luego de esto, el miner queda trabajando bajo el nombre de vbc.exe, mientras que el malware entra en un bucle de comprobación de procesos de análisis.
Así, cada segundo se itera por los procesos que están en memoria, buscando los que se observan en la imagen anterior. Si alguno de ellos es encontrado (es decir, si alguno de ellos está siendo ejecutado) se termina la ejecución, evitando así que se estudie el programa malicioso o el usuario se dé cuenta de que alguien está minando Litecoins con su sistema sin su permiso.
Por otro lado, resulta curioso que en la lista no aparezcan aplicaciones de monitoreo de tráfico de red, tal como Wireshark. De hecho, si capturamos el tráfico en la máquina infectada, vemos la comunicación con el servidor:
Esta familia de malware es normalmente distribuida por otros códigos maliciosos, que además de robar información utilizan este tipo de acciones para generar otro tipo de ganancia a los atacantes. Por otro lado, en este post vimos algunas técnicas que los cibercriminales suelen utilizar para ocultar diferentes amenazas dentro de un mismo código malicioso, ya sea utilizando una imagen osimplemente ocultándolos en los recursos del programa.
´
Uno de los grandes inconvenientes de la era digital y sus agigantados progresos es que, con el paso del tiempo, algunos excelentes juegos y programas se convierten efectivamente en algo inutilizable. El hardware avanza, el software avanza, y varios programas, aplicaciones y videojuegos se pierden en algún lugar de la historia informática y quedan como recuerdos. Sin embargo, hay quienes luchan contra la corriente, y quieren revivir la época oscura del inicio de los videojuegos. Si te cuentas entre los que integran este selecto grupo, te alegrará saber que Atari pronto lanzará 100 títulos clásicos en la tienda online de videojuegos “Steam” como parte de su colección de “Atari Vault”. “Atari Vault”, que llega para la época de primavera de Estados Unidos (es decir, entre marzo y mayo), incluirá clásicos como “Asteroids”, “Centipede” y “Misile Command”, cada uno con mejoras sutiles para ponerlas a tono con la llegada del siglo 21.
De acuerdo con Atari, las nuevas versiones contarán con actualizaciones de la interfaz de usuario, soporte para el Control de Steam, así como soporte multijugador local y en línea. A pesar de los cambios, las bandas sonoras originales permanecerán intactas. La idea, según la compañía, es “revivir la experiencia clásica de los juegos en la era moderna.” Aunque todavía no se ha hablado de precios, precio aún no se ha anunciado, el paquete “Atari Vault” se incluirá en un solo título, por lo que podrás adquirir los 100 juegos clásicos con una sola compra.
En 2014, Mike Hearn dejó Google para dedicarse por completo a trabajar en Bitcoin. Ya desde antes de ese cambio era uno de los desarrolladores más importantes de esta moneda digital. Ahora Hearn ha abandonado el barco de Bitcoin, y no tiene bonitas palabras sobre su futuro.
Hearn se ha despachado a gusto en un post publicado en Medium en el que ha criticado no a la moneda en sí, sino a la comunidad que la gestiona, a la que el desarrollador acusa de haberse convertido en una oligarquía financiera no muy diferente de las que existen alrededor de otras monedas. En sus propias palabras:
¿Por qué ha fallado Bitcoin? Ha fallado porque la comunidad ha fallado. Bitcoin está al borde de un colapso técnico, y por lo tanto no hay muchas razones por las que pueda considerarlo mejor que el sistema financiero actual.
El problema técnico al que Hearn apunta es el límite actual al número de transacciones simultáneas por segundo que se pueden realizar con Bitcoin. Este límite lo impone una plataforma llamada Blockchain que es como un libro de cuentas público y de libre acceso que registra los movimientos de la moneda y la hace crecer poco a poco. Para el gusto de muchos como Hearn, demasiado poco a poco.
Existen proyectos para elevar ese límite de Blockchain (el más conocido es Bitcoin XT) pero se han topado con feroces críticas por parte de la comunidad y hasta han sido objeto de ataques DDOS. Hearn se queja de que existe una fuerte censura en los foros de Bitcoin hacia cualquier crítica técnica al sistema actual. El desarrollador también advierte de que intentar rodear la limitación actual sin elevar el límite se traducirá en la inoperancia de la moneda para realizar transacciones. Simplemente para pagar algo con Bitcoins habría que esperar a que la transacción se registre en el Blockchain, lo que podría llevar horas si la saturación crece al ritmo actual.
Finalmente, Mike Hearn apunta a que la moneda virtual está sufriendo una severa concentración que traiciona su espíritu de plataforma descentralizada. Según el desarrollador, Blockchain está en manos de un puñado de mineros de bitcoin chinos. Solo dos de ellos controlan el 50% de la plataforma.
Hearn ha abandonado su puesto en Bitcoin y ha comenzado a trabajar en un nuevo proyecto surgido de Blockchain y llamado R3. El desarrollador advierte que el futuro de la moneda es incierto como poco:
Los fundamentos en los que se basaba Bitcoin se han roto, y pase lo que pase a corto plazo, el camino a largo plazo será descendente. No quiero seguir formando parte del desarrollo de Bitcoin y ya he vendido todas mis divisas.
Como alguien con experiencia en trading, las dinámicas del mercado de bitcoins son una fascinación constante. Aún es una moneda joven y el mercado, por tanto, ha gastado los últimos pocos años buscando su valor verdadero, o más bien un precio que refleje ese valor. A diferencia de, digamos, el euro cuando fue lanzado, el bitcoin es una moneda cuya emisión y oferta se modela sobre productos básicos en lugar de monedas convencionales. La oferta limitada y la creciente dificultad de la minería deberían, en función de las tasas de adopción, resultar en un camino ascendente bastante predecible en el tiempo.
Esa inestabilidad de los precios debe, por lo tanto, en teoría no durar demasiado tiempo.
Eso, por supuesto, ha sido un largo camino hasta la actualidad. Inicialmente Bitcoin vio cambios bruscos en sus precios, disparado desde menos de $ 100 a más de $ 1000 en alrededor de 4 meses antes de caer a menos de la mitad en dos semanas. Todavía hay incertidumbre en cuanto a que creó la burbuja y es probable que nunca sepamos la verdad. Siempre la he mirado como una especie de movimiento “Bunker Hunt”. A ese nivel de emisión y precio, y teniendo en cuenta los beneficios en el camino, sólo habría tomado una posición relativamente pequeña (en Wall Street o en términos de fondos de cobertura) para empujar la cosa hacia el cielo. El colapso resultante sin duda pareció un largo periodo tratando de salir.
Cualquiera que sea la razón, sin embargo, una vez que el retroceso había terminado, en alrededor de $ 200 en enero del año pasado, las cosas se han mantenido relativamente estables. Para la mayor parte de 2015, bitcoin se ubicó en una gama más o menos de 200 – 300 frente al dólar estadounidense que, aunque masiva en términos de moneda, era en realidad una gran mejora. Sin embargo, el cambio BTC / USD rompió ese rango al final del año y ahora está en torno a $ 450. Esto plantea la pregunta, ¿estamos en otro ataque de hiper-volatilidad?
La respuesta, al menos en mi opinión, que se basa en cerca de 30 años de experiencia directa en trading en mercados financieros, es no, y por una razón básica. Mientras el pico de 2013 fue un misterio en muchos sentidos, esta subida está pasando por una razón reconocible, de hecho, incluso predecible. Es una razón que está recibiendo una gran cantidad de culpa en este momento, por las caídas en los mercados bursátiles y de materias primas mundiales: China.
Para aquellos que no están familiarizados o son nuevos en Bitcoin, vale la pena señalar en este punto que la mayoría de las operaciones de Bitcoin se han originado en China desde que el gobierno se dio cuenta de la futilidad de intentar prohibir efectivamente divisas peer-to-peer, algo como tratar de prohibir internet. No hay nada nuevo en que China domine el volumen de intercambio, pero, según bitcoincharts.com, el porcentaje de operaciones contra el Yuan chino (CNY) ha estado trepando recientemente, y se sitúa en el 81% durante los últimos 30 días.
Cuando algo se comercializa principalmente contra una moneda se mueve en general en una dirección opuesta a la moneda. Todo lo demás es equivalente al oro, por ejemplo, menor comercialización a más fortaleza del dólar. En este caso el gobierno chino permite que el tipo de cambio fijo del Yuan se debilite, lo que se traduce en fuerza relativa para bitcoin. Eso es sin duda exagerado por el hecho de que los inversionistas chinos, desacostumbrados a ver cambios reales en el valor de su moneda, están intercambiando todo lo posible por algo que no puede ser devaluado por un gobierno.
El hecho de que esta subida es lógica, permite por tanto al mercado realizar una de sus principales funciones y actuar como un mecanismo de descuento adelantado. Un cierto grado de apreciación futura se construye en el precio actual, que suma al menos cierto grado de estabilidad. Además, la atención que Bitcoin ahora tiene de Wall Street y otras mesas de operaciones combinado con la posibilidad de escasez de la moneda permite al mercado comprobar cualquier repunte al alza de forma natural por simplemente atrayendo vendedores.
En resumen, pues, se trata de una apreciación de bitcoin que es perfectamente lógica y se basa en factores fundamentales. Eso hace que sea mucho más probable que se va a proceder de una manera ordenada y extremadamente improbable que será seguida por un colapso repentino. Los partidarios de la moneda digital deben esperan que ese sea el caso de aquí en adelante, dado que un precio más predecible y menos volátil es esencial para que el número de comerciantes que aceptan Bitcoin comience una vez más en aumento, y eso es lo que va a impulsar el crecimiento sostenido en el precio.
Dentro de los muchos indicadores que suelen estudiarse en la economía, el desempeño de una moneda es siempre de gran interés no solo para los expertos en el área, sino para los usuarios en general. Luego de haber despedido el año 2015, la criptomoneda creada por Satoshi Nakamoto se alza con un título que puede interpretarse como una bofetada a sus detractores y un fuerte espaldarazo a sus defensores: Bitcoin fue la moneda que mejor rendimiento tuvo en el pasado año, superando a todas sus competidoras fiduciarias.
Al no ser una moneda cuya emisión está regulada por gobiernos y/o instituciones bancarias, precisamente allí parte de su gran fortaleza, cada bitcoin emitido se revalorizó durante el año pasado en un 35% de su valor inicial; pasando de los 300$/BTC al inicio del 2015, a cerca de 430$/BTC al cerrar el año.
A excepción de Israel, Japón y Suiza; ningún otro estado pudo evitar la caída de su moneda ante el valor del Dólar de los Estados Unidos. Y aunque la moneda oficial del país norteamericano se fortaleció en una cifra cercana al 9%, sigue siendo un desempeño poco apreciable cuando se compara con el de la principal criptomoneda en el 2015.
En cuanto a los activos más usados como reserva de valor, el oro y la plata, éstos tuvieron un retroceso en el 2015 de 10% y 11% sobre el precio de cambio con el que iniciaron en enero. Nada que ver con la gran revalorización de Bitcoin antes mencionada durante el pasado año.
Uno de los eventos más esperados dentro de la industria tecnológica se llevará a cabo dentro de un par de días en la ciudad de Las Vegas. Se trata del CES, la mayor feria de tecnología a nivel mundial en la que los mayores representantes de la industria se encargan de promover las últimas innovaciones y tendencias de cada año.
El CES® (Consumer Electronics Show) es propiedad de la Asociacion de Tecnología de Consumo (CTA), una organización que se encarga, entre otra cosas, de la educación, investigación y promoción de la industria, y está conformada por aproximadamente 2200 empresas estadounidenses. El evento patrocinado por la asociación ha sido llevado a cabo durante casi 50 años, siendo uno de los mayores lugares de encuentro para las empresas más innovadoras y exitosas dentro de la industria de tecnología de consumo internacional.
Este evento ha sido determinante para esta industria debido al surgimiento y desarrollo de herramientas y tecnologías disruptivas, por lo que el CES 2016 promete ser aún más interesante que las ediciones anteriores. Esta feria se realizará desde el 6 al 9 de enero y, durante estos días, se llevarán a cabo diversas pruebas y presentaciones de productos, así como charlas y discusiones en torno a las nuevas tecnologías.
Tomando en cuenta lo anterior, Bitcoin no podría quedar fuera de este evento. Esta tecnología fue ampliamente estudiada y desarrollada durante el año pasado. Los expertos y líderes de la industria financiera incluso llegaron a la conclusión de que Bitcoin y la Blockchain tendrán un gran impacto en muchas áreas del sector financiero y en otras industrias que también podrían beneficiarse de estas tecnologías.
Por lo tanto, el evento contará con la participación de algunos representantes del ecosistema Bitcoin. Uno de estos representantes es la compañía Ledger Wallet, que estará realizando una exhibición de sus productos. Ledger es una startup francesa que se encarga del desarrollo de productos que permitan a los usuarios almacenar y manejar sus bitcoins de una manera segura. Actualmente, la empresa se encuentra desarrollando su gama de productos, entre los que se encuentran el Ledger Nano, el Ledger HW.1 y el Ledger Unplugged.
Además, en el evento también se llevará a cabo una charla acerca de la tecnología blockchain que será moderada por Michael Terpin, fundador de CoinAgenda, y contará con la participación de Charlie Lee, Director de Ingeniería de Coinbase y creador de Litecoin, y Brock Pierce, socio director de Blockchain Capital, como voceros. En esta charla, llamada Blockchain 101, Lee y Pierce hablarán acerca de la difusión de esta tecnología en los medios de comunicación y su potencial para transformar la manera en la que funcionan las transacciones financieras.
Desde sus inicios, el CES se ha caracterizado por ser un evento altamente favorecedor para las empresas emergentes dentro de la industria tecnológica, al proveerles una oportunidad excepcional para promover sus productos, servicios y proyectos. La mayor parte de los participantes de este evento afirman que es el lugar ideal para que tanto las startups como los inversionistas encuentren grandes oportunidades de negocio.
Sin duda, la participación de Ledger Wallet, Charlie Lee, Brock Pierce y Michael Terpin, como una representación de la comunidad Bitcoin en este evento, promete traer un impulso para la expansión de Bitcoin y las empresas relacionadas con esta tecnología, generando publicidad en torno a la gran diversidad de herramientas y aplicaciones que han surgido a raíz de su desarrollo.
Parece que este final de año no ha sido nada bueno para Sony y para su videoconsola. Tras las misteriosas irregularidades de PlayStation Network, ahora un grupo de hackers afirman que han conseguido modificar el software de PlayStation 4, una modificación que va hasta poder instalar una distribución Linux en la propia videoconsola. Algo que ha permitido transformar la propia PlayStation 4 en un completo ordenador.
Gracias a un bug en el navegador webkit, el grupo de hackers ha podido meterse en el sistema de seguridad y actualizaciones del sistema operativo de la PS4 y ha conseguido engañarlo para que admita la instalación de una distribución Linux, en este caso estamos hablando de Gentoo.
La distribución Gentoo ha sido la elegida para instalarse en PlayStation 4
Las pruebas realizadas y demostraciones confirman que el sistema operativo y el hackeo son todo un éxito ya que han conseguido correr el videojuego de Pokemon a través de un emulador de la Game Boy Advance que estaba instalado en Gentoo.
Pero no cabe duda que lo más interesante de todo esto es que se abre la posibilidad de un camino de hackeos y liberaciones de la videoconsola más segura que hemos conocido. Hasta el momento, si miramos la historia de otras videoconsolas, a estas alturas ya tenían un sistema hackeable cada una, sin embargo la PlayStation solo tiene dos hackeos, un sistema que se consigue gracias a una Raspberry Pi y este gracias a un bug de Webkit. Seguramente en los próximos días se actualizará el sistema operativo de la PlayStation 4, pero una vez que se ha detectado el exploit, posiblemente se pueda hacer downgrade y hackear el sistema, sin hablar que las videconsolas que no estén conectadas a internet podrán hackearse fácilmente. Vamos que el 2016 será un año donde podremos ver y disfrutar de lo mejor de la PlayStation 4, al menos de toda su potencia ¿vosotros qué creéis?