Sobre galletas y biscochos

Una cookie es un pequeño conjunto de datos enviados desde un sitio web que se almacena en el navegador web del usuario, al navegar el usuario por ese sitio web.

Cuando un usuario accede a un sitio web que hace uso de las cookies por vez primera, se genera una cookie y se envía desde el servidor al navegador del equipo local donde se almacena (se almacena en el sitio del PC donde establezca el navegador que debe guardarse).

Más tarde, cuando el usuario vuelve a la misma página web, el sitio web reconoce al usuario por la cookie que almacena la información de dicho usuario, y que el navegador del usuario envía al servidor web a instancias de éste.

Las cookies fueron diseñadas para ser un mecanismo fiable para los sitios web a la hora de recordar la información de estado (tales como elementos de una cesta de la compra) o para registrar la actividad de navegación del usuario.

Aunque las cookies no son portadoras de virus y no pueden instalar malware en el equipo del usuario, representan un riesgo potencial para la intimidad de las personas, al poder acumular información de los hábitos de un usuario durante un período de tiempo grande, tales como qué tipo de artículos compra, las contraseñas, cuántas veces accede a su banco, número de tarjeta de crédito, una dirección, etc.
[Read more…]

Linux.Bew: un backdoor para el minado de Bitcoin

En el siguiente artículo vamos a analizar una muestra del binario catalogado por varias firmas antivirus como Linux.Bew. (Virustotal), malware de tipo ELF del cual hemos detectado actividad durante este último mes.

sha256: 80c4d1a1ef433ac44c4fe72e6ca42395261fbca36eff243b07438263a1b1cf06

Lo primero que podemos detectar es la extracción de información intrínseca del proceso haciendo uso del archivo /proc/self/exe, cuya información será remitida más tarde hacia el servidor C&C.

[Read more…]

Módulo Radare2 para Yara

Desde el equipo de YaraRules Project nos gustaría presentaros un nuevo módulo que hemos desarrollado que permite utilizar la información que nos provee radare2 para crear firmas de Yara.

Ya hemos hablado en este blog de Yara (potente herramienta open-source para búsqueda de patrones en binarios) que además, nos permite ampliar sus funcionalidades a través del uso de módulos, bien usando los ya oficialmente distribuidos (PE, ELF, Cuckoo, Math, etc), bien diseñando nuestros propios módulos (como explica muy bien aquí la documentación de Yara).

Por otro lado, todos los que conocemos radare2 sabemos que es un framework de reversing muy versátil, open-source, y que entre otras muchas funcionalidades, nos permite obtener mucha información de un binario y además soporta tantos tipos de formatos de ficheros (ELF, Java Class, Mach-O, COFF, Gameboy, Nintendo Switch bins, SNES roms, WASM, Compiled LUA, PCAP files, etc.), que resulta difícil encontrar otra herramienta de estas características que lo haga.
[Read more…]

¿Cómo acreditar el consentimiento? Aterrizando el RGPD


Ya hemos comentado anteriormente que uno de los cambios más significativos que introduce el nuevo reglamento está en la transformación del consentimiento. Una nueva visión que refuerza la voluntad del usuario para que su determinación no arroje dudas ni se preste a ambigüedades, no se sobreentienda ni se pueda abusar de ella haciéndola extensiva a otros aspectos no informados.

También se pide que el consentimiento sea acreditable, y esto gracias al principio de “accountability” o “responsabilidad proactiva”.
[Read more…]

Guías Safer

Como ya sabéis Wannacry también hizo sus estragos en el Sistema Nacional de Salud de Reino Unido afectando a cerca de 25 hospitales y centros médicos. Las noticias hablan de que se paralizaron los sistemas y que en algunos casos se tuvo que desviar pacientes a otros hospitales.

En mi opinión, las organizaciones pertenecientes al sector sanitario deberían estar mínimamente preparadas para poder hacer frente a un ataque de este tipo y conseguir que la afectación fuese la menor posible.

Si hacemos un análisis diferencial de la organización con respecto a un estándar, mejores prácticas, etc., podremos tener una visión de cuáles son los puntos más débiles de la organización y sobre los que tendremos que actuar de manera inmediata. En el caso de los entornos sanitarios las referencias más conocidas son la HIPAA y la ISO 27799.
[Read more…]

Security On Air (Episodio II)

... Leer Más

Defendiendo nuestros dispositivos IoT

Mucho se ha hablado últimamente de los ataques en IoT, pero muy poco de cómo defenderse. Así pues, me puse a investigar un poco sobre las medidas de las que disponemos los Makers a la hora de incrementar la seguridad en nuestros dispositivos conectados a Internet.

A estas alturas de la partida todos sabemos que Arduino se ha impuesto como la plataforma de hardware libre por excelencia y navegando un poco por su web oficial puede verse que hace relativamente poco tiempo han lanzado al mercado una nueva placa denominada MKR1000, entre cuyas especificaciones técnicas me llamó especialmente la atención un punto que decía ECC508 CryptoAuthentication.

Placa Arduino MKR1000

Placa Arduino MKR1000

Pues bien, si indagamos un poco más descubrimos que Arduino ha integrado el chip ATECC508A de Atmel, el cual nos dota con las bondades del algoritmo de Curva Elíptica Diffie–Hellman en nuestros dispositivos IoT. Es un buen principio, pero… ¿qué más tiene Atmel preparado para la seguridad? Además del cifrado asimétrico cubierto por la familia de dispositivos basados en ECC, encontramos los dispositivos basados en SHA y en AES. Es cuestión de elegir la familia que mejor se adapte a las necesidades de nuestro proyecto.

Vamos a estudiar un poco que características tiene cada una de las familias.

[Read more…]

Tendencias de malware junio 2017. Destacado: NotPetya

Como todos los meses, desde el laboratorio de malware queremos compartir con vosotros lo que se está cociendo en el mundo del malware. Recordar que en este tipo de entradas encontraremos amenazas conocidas, vistas en otras fuentes o analizadas directamente en nuestro laboratorio, pero el objetivo del post es conocer qué tipo de amenazas están activas.

A continuación, mostramos un diagrama con la información recopilada este mes desde el laboratorio:

Para poder observar de un modo más visual determinadas tendencias relativas a la infraestructura de algunas amenazas actuales, una vez más queremos mostraros unas gráficas que consideramos interesantes. La idea es sencilla y consiste en recopilar de diferentes fuentes abiertas y de fuentes propias, direcciones IP de Command and Control (C2 a partir de ahora).

[Read more…]

El lado mimi (mimikatz) de #NotPetya

Uno de los aspectos que más nos ha llamado la atención desde el laboratorio de malware de #NotPetya es el módulo que según parece contempla código de la herramienta mimikatz. Es una automatización del proceso de cualquier test de intrusión que creemos que merece la pena estudiar y tratarla con cariño, para aprender. Para el análisis nos centramos en la versión de 32 bits del binario:

[Read more…]

Revisión de Trickbot V24

Desde el laboratorio de malware, como ya se imaginará más de uno, le tenemos cierto cariño a Trickbot. Es curioso ver cómo avanzan paso a paso en cuestión de semanas. Hace relativamente poco estaban añadiendo objetivos nuevos en su versión 19, y en pocos días, avanzan hasta la versión 24, con nuevas mejoras en cuestión de ofuscación de información y de ocultación en el sistema.

En esta entrada vamos a repasar los detalles interesantes que hemos visto modificados en esta última versión.

Lo primero, para constatar cual es la versión del binario que nos ha caído entre manos, extraemos de las strings del proceso la versión de la configuración que carga de sus recursos.

Como podemos observar, se trata de la versión 1000024, y el código de campaña es mac1.

[Read more…]