15 junio 2010

Pastebin como repositorio de logs de keyloggers

pastebin.com es un juguete. Un caramelo. Un caramelo dulce para algunos, y para otros muy amargo, y la mayoría de estos últimos aún no lo saben. Alejandro hace unos meses ya nos comentó lo que da de si este servicio en un principio destinado a compartir trozos de código fuente, el cual te devuelve un enlace que se puede distribuir para que cualquiera pueda consultarlo. El consultar aleatoriamente el listado de "Recent Posts" que podemos ver en la parte izquierda de la página para ver que sube la gente nos puede regalar alguna que otra sorpresa curiosa.

El problema es que mucha gente lo utiliza para compartir información muy extensa (no necesariamente código fuente), como por ejemplo e-mails, ficheros de configuración de servicios propios...¿y la "última" moda? Dejar una muestra de información sensible obtenida con el fin de que por ejemplo un comprador "vea el material" y seguidamente pague por la versión completa. Parejas de e-mails y contraseñas, obtenidas de phishings (¿recordáis el caso de las contraseñas de hotmail?), volcados de registros de tablas de bases de datos de foros...


Pues lo último que se ha podido encontrar en pastebin han sido logs o registros de lo que parece ser un keylogger, aplicación que residente en el sistema intercepta todas las pulsaciones de teclado (también hay versión "hardware"). BitdefenderLabs ha detectado estas filtraciones y las reportó a The Tech Herald. En esta imagen podemos ver un preview de información propia del keylogger, que muestra usuarios y contraseñas de servicios de correo, redes sociales como orkut o facebook, incluso accesos a routers y otros paneles de control, así como conversaciones de mensajería instantánea, actualizaciones en páginas...¡incluso se ven pulsaciones de teclado en videojuegos! Esto descarta por tanto que sea un keylogger a nivel de navegador, como por ejemplo un ActiveX, un complemento de firefox...

Del preview que os comento podemos observar las codificaciones que el keylogger asigna a las teclas tabulador ("<tab>"), backspace ("<back>"), dígitos numéricos de teclado (numpadX donde X es el dígito). Estas palabras tan concretas nos sirven para poder realizar búsquedas más concretas dentro de pastebin (que en el momento de redacción de esta entrada, los logs no han sido borrados). Siempre que ocurren este tipo de filtraciones, pastebin.com desactiva la función de búsqueda hasta que consigue realizar una limpieza de información sensible...esta vez, están tardando.

Esta última es la que más da juego da, ya que como sabréis, el tabulador se utiliza mucho para pasar de usuario a la contraseña en los formularios de autenticación...

Buscando "<back>" o "<tab>" obtendremos una gran cantidad de resultados, en muchas ocasiones intentos de autenticación a servicios, conversaciones como comentábamos, con el formato de [titulo de la ventana] y a continuación la información interceptada.

Es curioso como a día de hoy, tras ver incluso tarjetas de crédito con sus CVV2 válidos, la gente siga confiando en este servicio tan "crawleable" para compartir información tan sensible. Y tenemos las dos versiones:

  1. Los incautos buenos e inocentes que copian los ficheros de configuración que incluyen credenciales para que otros las revisen porque les da error al ejecutar X servicio.
  2. Los incautos malos y malvados que dejan su material ilegal para que los vean sus compradores.
Tened cuidado con lo que pasteais ahí fuera.

3 comments :

eduardo abril dijo...

Realmente interesante ... Este es el problema que tienen todos los servicios para compartir archivos, que al final puedes subir lo que te de la gana (pelis, usuario/passwd, ... o cosas peores).

Saludos,
Eduardo.

Jandro dijo...

Esta bien saberlo :P

B4RRe1R0 dijo...

Ayer con una búsqueda vi que Google tenía indexado unos 2000 resultados; con la misma búsqueda acaba de darme ahora 8000. Les queda bastante trabajo para dejarlo todo bien :P