Boletín de ciberataques: Defensa contra el ransomware Codefinger en AWS S3 >

Boletín de ciberataques: Defensa contra el ransomware Codefinger en AWS S3 >

Vectra AI Japón、ITR発行の最新レポート内「NDR市場」にて国内トップシェアを獲得
詳細を見る
Icono de hamburguesa línea superior
Icono de hamburguesa línea media
Icono de hamburguesa línea inferior

Análisis técnico de Hola

1 de junio de 2015
Vectra AI Equipo de investigación sobre seguridad
Ciberseguridad
Análisis técnico de Hola

Actualizado el 3 de junio de 2015 11:00 AM

Recientemente, una popular aplicación de privacidad y desbloqueo conocida como Hola ha acaparado la atención de la comunidad de seguridad por una serie de vulnerabilidades y prácticas muy cuestionables que permiten que el servicio se comporte esencialmente como una botnet de alquiler a través de su servicio hermano llamado Luminati. Los investigadores de Vectra han estado investigando esta aplicación después de observarla en redes de clientes durante las últimas semanas, y los resultados son a la vez intrigantes y preocupantes. Además de sus diversas funciones de botnet que ahora forman parte del registro público, la aplicación Hola contiene una variedad de características que la convierten en una plataforma ideal para ejecutar ciberataques dirigidos.

Empecemos por lo básico‍

Hola se presenta como un navegador anónimo y un desbloqueador para acceder a cualquier contenido desde cualquier lugar. El "desbloqueo" se presenta de dos formas. La primera es que un usuario de Hola puede fingir estar en el país que quiera, lo que le permite acceder a contenidos que sólo estarían disponibles en el país de destino. Un ejemplo común es el de un ciudadano canadiense que accede a la versión estadounidense de Netflix. La segunda es que un empleado de una empresa que bloquea cierto tráfico saliente puede utilizar Hola para saltarse el bloqueo.

El software está disponible como extensión del navegador o como aplicación independiente, con versiones para los principales sistemas operativos, y Hola cuenta con 46 millones de usuarios en todo el mundo. Los investigadores de Vectra analizaron la versión de 32 bits de Hola para Windows, y las versiones ARM y x86 de Hola para móviles disponibles antes del 27 de mayo de 2015.

Una vez instalado, el servicio actúa como una red peer-to-peer gigante conocida internamente como "Zon", donde el tráfico de Internet de un usuario rebota a través de otros usuarios de Hola. En la red Zon, cada usuario no pagado se utiliza como nodo de salida, lo que significa que si instalas la aplicación, transportarás tráfico de otros usuarios anónimos. Peor aún, Hola almacena en caché el contenido en los dispositivos de los usuarios, lo que significa que no sólo transportarías el tráfico de otra persona sin tu conocimiento, sino que también podrías ser utilizado para almacenar en caché su contenido. Todas estas son cosas que Hola declara públicamente en su sitio web y en su acuerdo de licencia. Aunque los usuarios que acaban de darse cuenta de esto han expresado su sorpresa, la historia no termina ahí.

Nuestra decisión de analizar este software fue que activaba un tipo de detección que llamamos "Acceso Remoto Externo" en algunas de las redes de nuestros clientes. El algoritmo en el que se basa esta detección encuentra conexiones que se establecen desde el interior de la red de un cliente a Internet y la interacción posterior está claramente dirigida por un humano que se encuentra en el exterior de la red del cliente. Este patrón es coherente con el funcionamiento de una red de anonimato de igual a igual. El ordenador del empleado con Hola instalado debe utilizar técnicas bien conocidas para hacer que un cortafuegos permita que se complete la conexión del peer y estas técnicas hacen que efectivamente la conexión parezca -para el cortafuegos y para Vectra - iniciada desde la máquina del empleado al peer que desea hacer uso de ella. Una vez establecida la conexión, el humano externo que controla al peer dirige toda la acción.

Lea un blog sobre ciberatacantes que utilizan The Onion Router

Profundizar‍

Las cosas se ponen un poco más interesantes cuando te das cuenta de que Hola (la empresa) opera una segunda marca llamada Luminati que vende acceso a la red de Hola a terceros. Si esto te suena a receta para una red de bots, no eres el único. De hecho, los moderadores del controvertido sitio 8chan afirman haber sufrido un DDoS originado en la red Hola/Zon.

Además, investigadores externos han descubierto una serie de vulnerabilidades en el software de Hola que permiten no sólo rastrear a los usuarios, sino también ejecutar código arbitrario en la máquina de un usuario de Hola. Cabe señalar que las vulnerabilidades en software perfectamente legítimo no son inusuales: la mayoría de los editores de software son juzgados por la competencia de sus programadores en la prevención de vulnerabilidades de seguridad, así como por la rapidez con la que reaccionan a las vulnerabilidades reportadas. Las vulnerabilidades se hicieron públicas el 29 de mayo. El 1 de junio, Hola declaró que las vulnerabilidades estaban parcheadas, y su declaración fue refutada por los investigadores externos en una actualización de su publicación original.

También parece que el DDoS mencionado anteriormente no es la primera vez que los hackers han intentado utilizar Hola para actividades maliciosas. Al analizar el protocolo utilizado por Hola, los investigadores de Vectra encontraron 5 muestras de malware diferentes en VirusTotal que contienen el protocolo Hola. Los hashes SHA256 de estas muestras se enumeran a continuación:

  • 83fd35d895c08b08d96666d2e40468f56317ff1d7460834eb7f96a9773fadd2d
  • 2f54630804eeed4162618b1aff55a114714eeb9d3b83f2dd2082508948169401
  • 65687dacabd916a9811eeb139d2c2dada1cefa8c446d92f9a11c866be672280b
  • 43498f20431132cd28371b80aed58d357367f7fa836004266f30674802a0c59c
  • 59a9fedeb29552c93bb78fff72b1de95a3c7d1c4fc5ad1e22a3bbb8c8ddbfaba

Como era de esperar, esto significa que los malos ya se habían dado cuenta del potencial de Hola antes de la reciente oleada de informes públicos de los buenos.

Habilitar a un atacante humano

Mientras analizaban Hola, los investigadores de Vectra Threat Labs descubrieron que, además de los informes de que Hola habilita una red de bots, contiene una variedad de capacidades que pueden permitir un ciberataque dirigido y dirigido por humanos en la red en la que reside la máquina de un usuario de Hola.

En primer lugar, el software Hola puede descargar e instalar cualquier software adicional sin el conocimiento del usuario. Esto se debe a que, además de estar firmado con un certificado de firma de código válido, una vez instalado Hola, el software instala su propio certificado de firma de código en el sistema del usuario. En los sistemas Windows, el certificado se añade al almacén de certificados de editores de confianza. Esta modificación del sistema permite instalar y ejecutar cualquier código adicional sin que el sistema operativo o el navegador lo notifiquen al usuario.

Además, Hola contiene una consola integrada que permanece activa incluso cuando el usuario no está navegando a través del servicio Hola: está incluida en el proceso que actúa como reenviador del tráfico de otros pares. La presencia de esta consola -denominada "zconsole"- es sorprendente por sí misma, ya que permite la interacción humana directa con un nodo de Hola incluso cuando el servicio no está siendo utilizado activamente por el usuario del sistema. Si una persona ajena al sistema accediera a esta consola, ¿qué podría hacer?

  • Listar y matar cualquier proceso en ejecución
  • Descargar cualquier archivo con la opción de evitar la comprobación antivirus (AV)
  • Ejecutar un archivo descargado y:
  • Ejecutar el archivo con el token de otro proceso
  • Ejecutarlo como proceso en segundo plano
  • Abrir un socket a cualquier dirección IP, dispositivo, guid, alias o nombre de Windows
  • Leer y escribir contenido a través del socket a la consola o a un archivo

Esto representa sólo un pequeño subconjunto de la funcionalidad disponible en la consola. Los desarrolladores de la consola han tenido la amabilidad de incluir una página de manual para ayudar a quien no esté familiarizado con los comandos.

Estas capacidades pueden permitir a un atacante competente realizar casi cualquier cosa. Esto aleja el debate de una red de anonimato con fugas que permite una red de bots, y en su lugar nos obliga a reconocer la posibilidad de que un atacante pueda utilizar Hola como plataforma para lanzar un ataque dirigido dentro de cualquier red que contenga el software Hola.

Como resultado, recomendamos encarecidamente a las organizaciones que determinen si Hola está activo en su red y decidan si los riesgos destacados en este blog son aceptables. Para ayudar con esto, hemos creado reglas de Yara para identificar si Hola está presente en un sistema. Para los clientes que tienen un sistema de prevención de intrusiones (IPS) desplegado, también hemos creado firmas Snort para ayudarles a identificar el tráfico de Hola en su red.

Adiciones y aclaraciones desde la primera publicación

  • En los casos en los que se habló de redes de bots en relación con Hola, se aclaró que Hola se utilizaba para habilitar una red de bots y que, en sí misma, no es una red de bots.
  • Añadida información en el apartado tres sobre la versión específica Hola para Windows y Hola para móvil analizadas para este blog. Esta información ya estaba presente en la sección posterior titulada SHA256 Hashes of Windows and Android Versions of Hola Software Analyzed. Se ha añadido información disponible después de la publicación de nuestro blog sobre los parches de Hola para su software.
  • Se aclara que las muestras de VirusTotal indican intentos maliciosos de utilizar Hola; no se dispone de pruebas de que estos ataques hayan tenido éxito.
  • Hemos actualizado nuestra recomendación a las organizaciones en el último párrafo

Firmas Snort para detectar el tráfico de Hola o Luminati (enlace al archivo)

alert tcp any any -> any any (msg: "VECTRA TROJAN Zon Network Encrypted"; content:"

Preguntas frecuentes