Tendencias de malware. Septiembre 2017. Destacado: CVE- 2017-11826

Un mes más, desde el laboratorio de malware de S2 Grupo queremos compartir con vosotros lo que se está cociendo en el mundo del malware. Recordad que en este tipo de entradas encontraremos amenazas conocidas, vistas en otras fuentes o analizadas directamente en nuestro laboratorio, pero el objetivo del post es conocer qué tipo de amenazas están activas.

A continuación, mostramos un diagrama con la información recopilada este mes desde el laboratorio:

Para poder observar de un modo más visual determinadas tendencias relativas a la infraestructura de algunas amenazas actuales, una vez más queremos mostraros unas gráficas que consideramos interesantes. La idea es sencilla y consiste en recopilar de diferentes fuentes abiertas y de fuentes propias, direcciones IP de Command and Controls (C2 a partir de ahora). Después esta información recopilada la representamos de diferentes maneras como veremos a continuación: [Read more…]

Mirai Año Uno: Evolución y adaptación de una botnet

Desde el laboratorio de malware de S2 Grupo llevamos más de un año siguiendo los pasos del malware Mirai. El 1 de agosto de 2016 se registró la primera petición de un dispositivo infectado por esta botnet, que a pesar de no ser la primera de su especie ya que, entre otras, Gafgyt o Remaiten habían llegado antes, ha marcado un antes y un después en cuanto al conocimiento por el gran público de la dimensión que supone la amenaza de los dispositivos IoT.

Mirai provocó los dos ataques de denegación de servicio más grandes hasta la fecha; el ataque a la web de hosting OVH con más de 1 Tbps de carga (el mayor ataque registrado hasta el momento), y el ataque a Dyn, que provocó la caída de portales como Twitter, Facebook o Paypal.

A continuación se adjunta un informe que tiene como objetivo exponer muchas de las características que hemos podido registrar en la botnet y la evolución sufrida durante su año de existencia.

Para la redacción del siguiente análisis nos hemos basado en las 342 muestras pertenecientes a diferentes variantes de Mirai recolectadas a través de nuestros sistemas honeypot, así como también en la extracción de muestras y/o análisis estáticos de las plataformas detux.org, linux.huntingmalware.com y VirusTotal. En total se ha hecho uso de una población de más de 1200 muestras. Esperamos que el informe os resulte de interés.

– Descargar informe –

[Read more…]

Crónica RootedCON Valencia 2017

El pasado 16 de septiembre volvió a celebrarse un año más una de las jornadas de seguridad más esperadas en Valencia, la RootedCON Valencia. Se trata de un evento que comenzó como satélite del congreso celebrado anualmente en Madrid y que, tras tener una gran acogida entre el público, goza de entidad propia desde hace ya dos ediciones.

Varios compañeros de S2 Grupo y autores de Security Art Work asistimos al evento como oyentes e incluso uno de nosotros, nuestro compañero Jaume Martín, participó como ponente este año. A continuación compartimos con vosotros un breve resumen de las distintas charlas que tuvieron cabida a lo largo de la jornada.
[Read more…]

Informe del proyecto de investigación iHoney

El pasado día 14 de septiembre, S2 Grupo presentó en sus oficinas de Madrid ante la prensa el informe del proyecto de investigación iHoney.

Este proyecto, que comenzó en 2014, está orientado al desarrollo de herramientas específicas para la protección de sistemas de control industrial financiado por el Ministerio de Industria, Energía y Turismo, dentro del Plan Nacional de Investigación Científica, Desarrollo e Innovación Tecnológica 2013-2016. En el desarrollo del iHoney ha trabajado un equipo multidisciplinar formado por ingenieros industriales, de telecomunicaciones e informáticos.

Uno de los elementos esenciales del proyecto ha sido la creación de un honeypot que simula una planta de tratamiento de aguas, con todos los procesos que se llevarían a cabo en una infraestructura real. De este modo se consigue una fuente de información fiable sobre la tipología de ataques que cabría esperar en una infraestructura industrial, de forma que, junto al conocimiento procedente de la experiencia del equipo de S2 Grupo, se disponga de información valiosa para el diseño de herramientas de seguridad específicas para los entornos industriales, así como la creación de estrategias de defensa de estos entornos.

Otro aspecto importante de este proyecto ha sido conocer la tipología de ataques que cabría esperar en un entorno industrial, descubrir qué individuos están interesados en realizar ataques a infraestructuras industriales, de qué conocimientos disponen y cuáles son sus objetivos.
[Read more…]

Phishing: mejorando nuestras campañas

Una de las cosas más importantes a la hora de realizar una campaña de phishing [N.d.E. como es obvio, siempre desde la legalidad] es asegurarse de que nuestro correo consigue evadir los filtros anti-spam y así poder llegar a la bandeja de entrada de nuestra víctima.

En este post no se va a explicar cómo se utiliza Gophish, que ya hemos mencionado en algún post, simplemente se van a explicar una serie de pasos a seguir para que nuestros correos sean más confiables. No está de más añadir que siguiendo estos pasos no asegura un éxito del 100%, cada gestor de correos tiene sus propias reglas de filtrado.

Partimos de la base de que Gophish ya está instalado, por lo cual el siguiente paso sería obtener un dominio y realizar una serie de cambios en la administración de DNS.

[Read more…]

Droppers de Locky Ransomware con extra de anti-Sanboxing

Recientemente un viejo conocido ha vuelto a las andadas. Se trata del Ransomware “Locky”, el cual hace cerca de un año estuvo muy activo a través de campañas de #Malspam (Correo Spam con la finalidad de instalar malware en el sistema de la víctima ) mayoritariamente con ficheros de scripting como “.js”, “.wsf” o “.vbe”. Desde entonces ha seguido manteniendo actividad, aunque en menor medida.
Recientemente han empezado una nueva campaña en la que utilizan ficheros .doc (MSOffice Word) con macros, como el siguiente:


[Read more…]

Facebook y la protección de datos: una de cal y una de arena

Hemos de admitirlo: hace tiempo que se sabe que los datos personales son el petróleo de la sociedad 2.0, y en este sentido Facebook es el emporio de la información de personal; sin duda es la red social que más datos almacena, gestiona y monetiza en la red.

Lo supo hace tiempo y por eso no es casual que en 2014 desembolsaran nada menos que 22.000 millones de dólares para adquirir WhatsApp. Los registros obtenidos con esa adquisición convirtieron a la red social en todo un coloso monopólico en el mercado de la información personal, y hemos de recordar que Facebook también es el dueño de Instagram.

Todos recordamos aquellas vehementes promesas de nuestro ilustre amigo de Palo Alto Marc Zuckerberg, garantizando públicamente que ambas plataformas no intercambiarían los datos de los usuarios ni habría sesiones de datos entre ambas. No sé si coincidirían con el día de los inocentes, pero inocente el que lo creyó. ¿Cómo se justificaría una inversión de 22.000 millones de dólares por una aplicación gratuita sin la explotación de la única fuente clara de ingresos?

También dijeron entonces que no tenían una forma “fiable” y automática de relacionar las cuentas de WhatsApp y Facebook de sus usuarios, y claro, como no le íbamos a creer…

El caso es que WhatsApp no tardó en cambiar las condiciones de uso para que debiéramos aceptar sin rechistar y sin opción al pataleo el intercambio de información con Facebook, no hubo alternativa, ni siquiera, desmarcando la opción de dar permiso a Facebook para obtener nuestros datos. El plazo para aceptar estas nuevas condiciones fue de treinta días, en caso de no ser aceptadas, se desactivaría la cuenta de WhatsApp. Toda una declaración de principios.

Para más inri, el texto legal correspondiente a la cesión de datos a Facebook aparecía junto a una casilla premarcada, algo que contradice de forma flagrante los requisitos del consentimiento legítimo que exige el nuevo reglamento.

[Read more…]

Essential Reading for the Security Professional

Hace ya algún tiempo, desde la cuenta de twitter @securityartwork lanzamos una petición para crear lista de libros imprescindibles en el ámbito de seguridad
(https://www.securityartwork.es/2016/02/12/recopilacion-de-algunos-libros-imprescindibles-para-aprender-seguridad-informatica-secbook)

Ampliando el post original y pensando en los que empiecen ahora sus vacaciones o dispongan de tiempo y ganas de buena lectura, os hacemos partícipes de Cybersecurity Canon, una iniciativa que lleva varios años promoviéndose desde Palo Alto Networks.

Como seguramente todos sabréis, Palo Alto Networks es una empresa de seguridad con sede en California, conocida principalmente, al menos en mi caso, por su firewall de nueva generación y por su equipo de investigación de amenazas UNIT 42 (https://www.paloaltonetworks.com/threat-research).

Como el nombre del post indica, esta iniciativa pretende identificar los libros de lectura obligatoria para todos los profesionales de la ciberseguridad, sean de ficción o no, y en la que cualquier profesional puede involucrarse. Para ello se puede escribir una revisión acerca de un libro relacionado con el ámbito de la ciberseguridad, la cual debe cumplir unos requisitos establecidos. De esta forma,  una vez se valida la revisión del libro, éste pasa a la lista de candidatos publicados en la web.

Todos los años desde Palo Alto, un comité de expertos revisa las publicaciones de la lista de candidatos y organiza un ‘salón de la fama’ donde, finalmente, durante una ceremonia se intenta entrevistar a los autores de los libros seleccionados.

Por ejemplo, dentro de la iniciativa podemos encontrar algunos clásicos como The Cuckoo’s Egg, The Cryptonomicon o la serie de Hacking Exposed.

¿Qué opinan los lectores de esta iniciativa? ¿Encuentran familiares los títulos de los libros nominados? ¿Se atreverían a publicar una revisión de sus libros favoritos? Esperamos vuestros comentarios.

[Read more…]

Tendencias de malware. Agosto 2017

Tras un breve descanso, desde el laboratorio de malware queremos volver a compartir una vez más con vosotros lo que se está cociendo en el mundo del malware. Recordar que en este tipo de entradas encontraremos amenazas conocidas, vistas en otras fuentes o analizadas directamente en nuestro laboratorio, pero el objetivo del post es conocer qué tipo de amenazas están activas.

A continuación, mostramos un diagrama con la información recopilada este mes desde el laboratorio:

Para poder observar de un modo más visual determinadas tendencias relativas a la infraestructura de algunas amenazas actuales, una vez más queremos mostraros las siguientes gráficas, las cuales consideramos interesantes. La idea es sencilla, y consiste en recopilar de diferentes fuentes abiertas y de fuentes propias, direcciones IP de Command and Controls (C2 a partir de ahora). Después, esta información recopilada la representamos de diferentes maneras como veremos a continuación:
[Read more…]

La CCI rusa (XVIII). Conclusiones

Durante unos meses hemos publicado en SecurityArtWork una serie de posts sobre la ciberinteligencia rusa, que esperamos que os hayan gustado y hayan ayudado a comprender mejor las capacidades, grupos, estructuras, APT… rusas; sin duda, Rusia ha sido y sigue siendo uno de los principales actores en el ámbito de la seguridad, inteligencia y defensa (y obviamente en la ciberseguridad, ciberinteligencia y ciberdefensa… o ciber cosas en general) y, como tal, debemos conocerlo bien si trabajamos en estos temas.

Como hemos visto en esta serie, Rusia es una potencia mundial en muchos campos (como en su día lo fue la URSS) y sigue manteniendo reminiscencias soviéticas; el “Modo Guerra Fría”, al que hemos hecho referencia en diferentes posts, define a la perfección su estrategia actual en el ámbito ciber y en el manejo de la información que históricamente ha hecho el país, que se aplican en ese amplio concepto de information warfare al que también nos hemos referido en múltiples ocasiones, significativamente diferente al occidental y que incluye propaganda o decepción, por poner sólo unos ejemplos. Si Rusia es tu madre y tu madre está en peligro harás todo lo necesario para salvarla. Punto. No hay discusión posible.

  [Read more…]