VolGUI: Interfaz gráfica de usuario para Volatility

Volatility es una herramienta software que permite hacer un estudio del contenido de la memoria RAM. Está formada por un conjunto de utilidades de código abierto implementadas en el lenguaje de programación Python con licencia GNU General Public License versión 2 permitiendo, de esta forma, leer su código fuente, aprender de él y ampliarlo. Es una herramienta de análisis muy completa y muy usada en el mundo de la informática forense, pero ésta también presenta una serie de “inconvenientes:

  • Para funcionar necesita una interfaz de línea de comandos por lo que su funcionamiento se vuelve menos intuitivo para el usuario ya que el analista ha de memorizar o consultar los comandos cada vez que quiera ejecutar sus funciones, y ha de escribirlas correctamente puesto que de lo contrario fallarán.
  • Volatility sólo muestra los resultados por pantalla, y estos no son almacenados de ninguna forma lo que presenta una serie de desventajas e inconvenientes. Por ejemplo, cada vez que el analista forense ejecuta una instrucción, se vuelve a procesar el resultado y si éste es muy complejo, provoca un mayor tiempo de espera para obtenerlo. Del mismo modo provoca que las búsquedas en los resultados obtenidos puedan ser complejas.

[Read more…]

Amenazas Persistentes Avanzadas

41huogc0srlDespués de muchos viajes y, por tanto, de mucho tiempo para escribir, me alegra poder decir que ha visto la luz Amenazas Persistentes Avanzadas, un pequeño libro donde se trata el tema que indica su título :)

NO es un libro técnico -ojalá-, al menos no mucho, sino una aproximación a las APT desde la óptica de eso que ahora estamos denominando ciberinteligencia, ciberespionaje o ciber-*, y que no es más que poner este prefijo a algo tan antiguo como la humanidad. En él se contextualizan las APT en el marco de los servicios de inteligencia o los grupos (ese gran debate de la atribución, algo casi imposible pero paradójicamente de lo que a todos nos encanta hablar durante horas) y se describen los elementos necesarios para orquestar un ataque, así como el ataque en sí, o al menos el ciclo de vida de la amenaza.
[Read more…]

Accesos directos como vía de infección de malware

Últimamente hemos estado conviviendo con muchas campañas de propagación de malware por correo que está llenando de SPAM la bandeja de entrada de mucha gente con ficheros maliciosos de todo tipo.

Desde nuestro laboratorio de malware estamos observando que la mayoría de ficheros maliciosos recibidos son bastante poco sutiles. Por ejemplo, ficheros de tipo “Script” con extensiones más raras como “.js”, “.vbs” o “.wsf”, o ficheros ofimáticos de desconocidos, con nombres en otro idioma y que piden que les permitas la ejecución de macros, las cuales el propio Word te bloquea y te recuerda que pueden ser peligrosas (con mucha razón).

No obstante, un caso algo más particular que estamos recibiendo, es el de los accesos directos de Windows con “truco”. No es la primera vez que nos topamos con este método de infección, y a principios de este último mes de 2016 hemos vuelto a recibir ficheros como estos.
[Read more…]

Deutsche Telekom, uno más en la lista de Mirai

Y después de Dyn, llegó Deutsche Telekom. Si hace unos días alertábamos sobre la existencia de una nueva variante de Mirai, el pasado domingo 27 de noviembre, un ataque contra los routers de la operadora Deutsche Telekom dejó sin Internet a un gran número de alemanes, pues casi un millón de hogares se vieron afectados por el no funcionamiento de sus routers y reinicios constantes cada quince minutos.

Esta vez, Mirai atacó basándose en una vulnerabilidad en el firmware de los dispositivos que utiliza la empresa proveedora de servicios Deutsche Telekom. Esta utiliza el protocolo TR-064 asociado al puerto 7457 expuesto a todo Internet para configurar de forma remota el router. A pesar de que algunos modelos tienen restringido el acceso a direcciones IP relacionadas con el ISP, para una gran parte no es así.

Entre los comandos que ofrece el servicio está la capacidad de obtener datos como el SSID, la MAC o la clave Wi-Fi, sin embargo el exploit se basa en la posibilidad de ejecución de código remota mediante la instrucción de configuración del servidor NTP.
[Read more…]

La CCI rusa (II). Contexto: Rusia

Antes de hablar de la CCI rusa debemos saber que Rusia es el país más extenso y con más kilómetros fronterizos (un número que supera los 20.000) del mundo; posee las mayores reservas de recursos energéticos y minerales del mundo todavía sin explotar, por lo que es considerada la mayor superpotencia energética, así como también la mayor reserva mundial de recursos forestales, y dispone además de la cuarta parte de agua no congelada del mundo.

Desde un punto de vista ciber, presuntamente Rusia es el único país que ha ejecutado una acción militar combinada (física y lógica) contra otro país (Georgia, en agosto de 2008) o que ha logrado degradar infraestructuras críticas de un tercero mediante una aproximación ciber (Estonia, 2007); su potencial militar y de inteligencia en este ámbito es indudable, así como también lo son sus capacidades “físicas” o tradicionales. Los servicios de inteligencia están fuertemente implicados en la política –sin ir más lejos, es público que Vladimir Putin fue agente del KGB y director del FSB- o en la empresa pública o privada, y mantienen adicionalmente estrechas relaciones –siempre supuestas- con el crimen organizado.
[Read more…]

Análisis tráfico de red dispositivos móviles

En un post anterior se explicó como capturar tráfico de red en una red local utilizando para ello una Raspberry Pi 3.

A continuación vamos a ver cómo podemos analizar el tráfico que hemos capturado en formato pcap.

La primera opción por la que me decanto es la herramienta Capanalysis. Esta herramienta nos permite ver de una forma gráfica las peticiones realizadas, filtrar por tipo de tráfico (HTTP, DNS, ARP, …), filtrar por IP, país, etc. Por tanto, permite acceder a toda esta información de una forma sencilla y visual.

En primer lugar, instalamos la aplicación de Capanalysis. En mi caso he optado por instalarlo en una máquina virtual de la distribución Caine, la cual está orientada a realizar análisis forenses y está basada en Ubuntu 14.04.
[Read more…]

La CCI rusa (I). Introducción: ¡que vienen los rusos!

Muchas veces hablamos de APT rusas, de malware ruso, de grupos rusos… Pero, ¿quiénes son “los rusos”? Vamos a analizar, en una serie de posts, quiénes son realmente “los rusos”, qué es Rusia (desde el punto de vista de inteligencia y seguridad), cuáles son sus servicios –y sus APT-, qué relaciones tienen con el resto del ecosistema en la guerra de información rusa, qué objetivos tienen, qué información buscan, etc. En definitiva, vamos a tratar de conocer un poco mejor a la Comunidad de Ciberinteligencia rusa, a estas amenazas supuestamente rusas que nos encontramos día sí día también en diferentes organizaciones.

Por supuesto, toda la información recogida aquí ha sido obtenida de fuentes públicas y no representa más que opiniones particulares, interpretaciones, análisis, cuestiones… seguramente todas ellas equivocadas porque… ¿qué es eso de la atribución?

Empecemos: como no podía ser de otra forma (en caso contrario no estaríamos dedicándole una serie) uno de los principales actores en el ámbito de la (ciber)inteligencia es Rusia; quizás éste es actualmente el país que más sofisticación aplica en sus ataques: dirigidos, sigilosos y técnicamente brillantes, con unos índices de persistencia muy elevados debido a la complejidad de detección (por supuesto, con el permiso de Estados Unidos…). Habitualmente, las APT rusas tienen perfectamente identificada la información que necesitan, dónde está y quién la maneja, y de esa forma se centran en el robo exacto de esos datos, como hemos dicho de la manera más sigilosa posible.
[Read more…]

Hasta el infinito y más allá. Bienvenido IPv6 (I)

Seguro que muchos de los lectores de este blog conocen el protocolo de comunicación IPv6: algunos de oídas, otros de forma teórica y unos pocos habrán jugado con él -y probablemente se habrán encontrado con problemas al aplicarlo-. Por eso se pretende realizar una serie de posts para que los lectores puedan tener una visión global. Si bien este nuevo protocolo tiene diferencias con su antecesor, son sus ventajas -y desventajas- lo que lo hacen interesante.

El principal motivo de la creación de IPv6 fue la falta de direcciones IPv4 por la expansión de países altamente poblados como China e India. La principal y más conocida ventaja es el tamaño de su rango de direcciones. Como todo el mundo sabe, una dirección IPv4 consta de 32 bits, lo cual posibilita un direccionamiento de 2^32 máquinas (4.294.967.296). En cambio, una dirección IPv6 está formada por 128 bits, dando lugar a 2^128 direcciones posibles, este número es muy difícil de imaginar, o de manejar, ya que el ser humano no esta acostumbrado a números de tal magnitud, por ello voy a hacer unos símiles para poder evidenciar el tamaño del mismo:
[Read more…]

Nuevos retos y oportunidades con el nuevo Reglamento Europeo de Protección de Datos

Qué duda cabe que el nuevo paradigma digital, el big data, la innovación constante en ingeniería social, los procesamientos masivos de información personal, imponen un nuevo modelo en la gestión de datos personales. Esto es inapelable.

Las empresas deben asumir nuevos retos en la gestión de la protección de datos, retos que sin ningún género de dudas, se convertirán en grandes oportunidades que nadie debería desestimar.

Con la misión de responder a estos nuevos retos y aportar soluciones más efectivas que la actual LOPD, nacida antes de la revolución digital, nace el nuevo reglamento europeo de protección de datos, cuya fecha límite de aplicación es mayo de 2018. Para entonces todas las empresas deberán haber realizado la transición hacia una nueva forma de concebir la protección de datos.
[Read more…]

Mirai Strikes Again

Tras provocar la caída del proveedor de soluciones DNS Dyn y, por ende, la de portales web como Twitter, Amazon o Spotify, la botnet de moda sigue expandiéndose mediante nuevos mecanismos.

Tal y como os contamos en nuestro artículo anterior sobre la detección de Mirai este verano en uno de los sensores en nuestra Honey, durante estas últimas semanas hemos podido observar como el número de conexiones diarias se ha mantenido constante, por lo que se podía determinar que el número total de dispositivos susceptibles a la infección podía estar en su máximo.

Sin embargo, la habilitación de las credenciales root:ikwb para la creación de un entorno de alta interacción en el honeypot Hontel, ha permitido la captura de un nuevo binario.
[Read more…]