Camuflaje en la capa de cifrado: domain fronting

En la entrada de hoy hablaremos sobre una técnica relativamente vieja (aunque programas como Signal la han empezado a utilizar hace relativamente poco) y que siempre me ha parecido un hack muy “astuto”: el domain fronting.

Por ejemplo, tomemos la dirección IP del frontal que nos sirve www.google.es:

$ host www.google.es
www.google.es has address 216.58.210.227

Vamos a fijarnos en el campo Common Name (CN) del certificado TLS que nos devuelve el servidor: [Read more…]

Ejecutando un binario mediante la técnica RunPE

La técnica conocida como RunPE la podemos encontrar descrita con varios nombres diferentes como: RunPE, Dynamic Forking, process replacement o process hollowing. También he visto que se refieren a ella como “process zombie”, pero después en otras fuentes mencionan diferencias que podéis leer aquí [5].

Durante los últimos meses hemos observado desde el laboratorio de malware que algunos “bichos”conocidos la implementan, por ejemplo como hancitor[1].

En esta entrada no vamos a explicar la técnica en detalle, ya que con un simple búsqueda en Google por los términos RunPE, Dynamic Forking o Process Hollowing, encontraréis información muy buena sobre la técnica [2][4].

Por tanto, el objetivo de la entrada es ver como un analista cuando se encuentra con un malware que utiliza esta técnica puede obtener el código del malware para analizarlo posteriormente (el código inyectado). Para probarlo, durante esta entrada hemos utilizado el código que podéis encontrar aquí [3]. Como podréis ver está sacado de una entrada del foro “www.rohitab.com” que se referencia como comentario en el mismo código fuente. [Read more…]

La CCI rusa (X): el ecosistema de inteligencia

coat_of_arms_of_the_russian_federation-svgNo podemos concebir la comunidad de inteligencia rusa, descrita en esta serie, como un conjunto de servicios dependientes del poder político o militar; el grado de penetración de estos servicios en toda la sociedad rusa es muy elevado, tanto oficial como extraoficialmente. No es ningún secreto que antiguos oficiales del KGB o del FSB ocupan puestos de responsabilidad en la política o las grandes empresas del país; como curiosidad, en 2006 se publicó que el 78% de los mil políticos más importantes del país habían trabajado para los servicios secretos rusos ([1]). Tanto es así que estos perfiles tienen un nombre propio: siloviki, término que viene a significar personas en el poder. Y no es ningún secreto quién es el siloviki más conocido: Vladimir Putin, Presidente de la Federación Rusa, quien fue agente del KGB en la época soviética y posteriormente Director del FSB.... Leer Más

1984 – La ficción de Orwell en la actualidad

img1Imagino que los lectores conocerán esta gran obra de George Orwell, y que trágicamente vemos día a día como se entrelazan en nuestra vida los tejemanejes del Partido que Orwell expone de un modo premonitorio en su obra. ¡Al que no conozca esta obra maestra, que deje todo lo que está haciendo y consiga un ejemplar para su lectura y asimilación inmediatamente!

Cada día tenemos más ojos pegados a nuestra nuca, y a pesar de que todos somos conscientes, todos necesitamos un kick a lo inception para despertarnos de nuestro letargo, pasotismo, indiferencia o como queramos denominar el que no actuemos en contra de esta situación. En mi caso, soy una persona bastante consciente de esto, y no suelo dejar demasiado rastro por el mundo, pero soy usuario de Google, uno de los ministerios de nuestro 1984 personal… uno de los más ávidos de información.
[Read more…]

La Seguridad en el nuevo reglamento de protección de datos

Las amenazas evolucionan, se profesionalizan, se multiplican. Los ciberataques se complejizan e intensifican. ¿Qué plantea el nuevo reglamento de protección de datos al respecto?

Nuestra sociedad es digital. No se trata solo de proteger datos personales, sino que el desafío consiste en defender un modo de vida en donde todo está interconectado y donde dependemos de la seguridad de los sistemas para el sostenimiento de nuestras actividades cotidianas más elementales.

Nuevos peligros, nuevos retos, nuevas leyes

El nuevo reglamento de protección de datos recoge el guante y propone un marco regulador en donde la seguridad adquiere un enorme protagonismo y un enfoque más realista y práctico.
[Read more…]

Aunque la mona se vista de seda… ¿Mona se queda?

Solemos asociar que el llevar a cabo ataques contra entidades que consideramos seguras sólo puede ser realizado por atacantes altamente especializados y con profundos conocimientos sobre la temática. Aunque suele ser la norma, esto no siempre es así, y para ejemplo, la noticia que saltaba este verano de dos chicos que, movidos por el famoso juego ‘Pokemon Go’, llegaron a introducirse en una zona de seguridad de un cuartel de la Guardia Civil de Las rozas en Madrid. Muchas veces no son necesarios unos amplios conocimientos técnicos, sino más bien dar en el clavo con ciertas técnicas o ideas medianamente diferentes que se nos ocurran.

En esta entrada vamos a comprobar cómo se comportan diferentes motores “antivirus” (AV) ante amenazas ya conocidas por ellos mismos pero que se encuentran empaquetadas por un software que creen conocer. No se busca hacer una comparativa de antivirus, sino analizar cómo se comportan y concienciar sobre la fe ciega que muchas veces se pone en ellos.

Para la creación del packer, en lugar de construir uno propio desde 0, lo que nos daría bastante ventaja pero complicaría su creación, se ha utilizado uno de los más famosos no por su poder de ocultación, sino por lo extendido de su uso y porque su código es libre, UPX. Los motores antivirus deberían ser capaces casi de ver ‘a través’ del empaquetamiento. Para las pruebas y modificaciones que presentamos se ha utilizado versión 3.91 de UPX.
[Read more…]

ImageGate: Ransomware en Facebook y Linkedin

Los investigadores de la empresa de seguridad Check Point han hecho un descubrimiento que puede hacer temblar los cimientos de las comunicaciones de hoy en día. En un mundo gobernado por las redes sociales y con Facebook como máximo exponente de las mismas, parece que los ciberdelincuentes han encontrado la vía de infección más extensa y de mayor repercusión. Y es que, como la firma de seguridad ha notificado a las compañías Facebook y Linkedin, usuarios malintencionados pueden usar sus respectivas plataformas para expandir el ransomware Locky (malware del que se ha hablado recientemente en este mismo blog).... Leer Más

La CCI rusa (IX): grupos APT

russian-malware-analysis-temp-770x513Hemos hablado hasta el momento de los principales servicios que conforman la comunidad de inteligencia rusa en su ámbito ciber y seguiremos describiendo en sucesivos posts el resto del complejo ecosistema ruso pero, ¿dónde quedan las APT supuestamente rusas? Grupos conocidos por todos, como APT28 (FancyBear, Sofacy…) o APT29 (CozyBear, The Dukes…), deben estar, de alguna forma, relacionados con esta comunidad… si no son parte de la misma, ¿verdad?... Leer Más

Forensic CTF Writeup: Baud, James Baud (IV)

Como ya vimos en el artículo anterior, habíamos encontrado un .hta que ejecutaba un script en Powershell que a todas luces parecía malicioso. Nos quedamos con la mosca detrás de la oreja, así que aunque estemos fuera del alcance del CTF, vamos a intentar tirar del hilo para ver si somos capaces de saber qué ha sucedido en el equipo.

[Nota: Como esta parte es un bonus, no vamos a intentar hacerla por duplicado en Windows y Linux, que bastante trabajo llevaron algunas cosas.]

Nos gustaría responder a estas preguntas:

  • ¿Qué malware se ha desplegado en el equipo?
  • ¿Qué acciones maliciosas se han realizado en el sistema?
  • ¿Cuál ha sido el vector de entrada de esta infección?

[Read more…]

Bro IDS tips and tricks

Como continuación del excelente post sobre Bro que publicó nuestro compañero Juan Manuel hace un tiempo, en el presente recopilamos diversos tips and tricks para dicha herramienta que esperamos que os sean de utilidad. Nos centraremos en la última versión estable, Bro 2.5, publicada en noviembre del pasado año 2016.

Captura sobre varios interfaces

En algunas ocasiones, el tráfico a monitorizar nos llega por varios interfaces de red diferentes; por ejemplo, en el caso de disponer de dos salidas a Internet. [Read more…]