EternalBlue vía IoT (PoC)

Introducción

No cabe duda de que el mundo está en estado de alerta tras los últimos acontecimientos relacionados con la infección masiva del Ransomware WannaCry2.0, y la adición de características de gusano a una variante de ransomware nos lleva directamente a una nueva era para la ciberseguridad. Sin embargo, muchas veces las medidas que se toman son simplemente parches para la contención inmediata de la amenaza, sin llevar a cabo aquellas que subsanen la vulnerabilidad de forma total.

En el siguiente post se especifica el modo de unir los dos ataques de las amenazas más conocidas, las cuales han tenido incidencia a nivel mundial durante estos últimos meses. Por un lado, la vulnerabilidad en los dispositivos IoT, y por el otro el CVE-17-0144 asignado al exploit EternalBlue.
[Read more…]

Mirai meets OpenSSL

No es una sorpresa el hecho de que continuamente salgan a la luz nuevas variantes de Mirai, y más, estando al alcance de cualquiera el código fuente del bot, del sevidor CnC y del servidor de descarga. Sin embargo, todos tenían unas características relativamente parecidas (a excepción de la variante para Windows, claro).

El pasado 19 de marzo llegó a nosotros una nueva versión de Mirai que nos llamó la atención por su tamaño. Mientras que lo habitual es encontrarnos con binarios Mirai de alrededor de decenas de Kbs, esta nueva muestra tiene 1,6 Mbs. La conexión TELNET que precedió la descarga del binario es exactamente igual que en anteriores capturas. [Read more…]

Evadiendo nuestro antivirus con Windows PowerShell

Hace algunos días se difundió la noticia de que PowerShell se estaba convirtiendo en el método más eficaz para la difusión de malware pero, ¿existen razones de peso que expliquen la migración a esta plataforma?
Durante el siguiente artículo veremos algunas de las razones prácticas por la que muchos blackhat están optando por este lenguaje de scripting.

En primer lugar, cabe destacar que la distintiva de PowerShell respecto a intérpretes tradicionales es que está orientado a objetos, puesto que la información de entrada y de salida en cada etapa del cmdlet es un conjunto de instancias de objeto. Esto, junto a la capacidad de agregar clases personalizadas a framework .NET mediante el cmdlet “Add-Type”, le otorga grandes funcionalidades a tener en cuenta para el desarrollo de malware.
[Read more…]

Deutsche Telekom, uno más en la lista de Mirai

Y después de Dyn, llegó Deutsche Telekom. Si hace unos días alertábamos sobre la existencia de una nueva variante de Mirai, el pasado domingo 27 de noviembre, un ataque contra los routers de la operadora Deutsche Telekom dejó sin Internet a un gran número de alemanes, pues casi un millón de hogares se vieron afectados por el no funcionamiento de sus routers y reinicios constantes cada quince minutos.

Esta vez, Mirai atacó basándose en una vulnerabilidad en el firmware de los dispositivos que utiliza la empresa proveedora de servicios Deutsche Telekom. Esta utiliza el protocolo TR-064 asociado al puerto 7457 expuesto a todo Internet para configurar de forma remota el router. A pesar de que algunos modelos tienen restringido el acceso a direcciones IP relacionadas con el ISP, para una gran parte no es así.

Entre los comandos que ofrece el servicio está la capacidad de obtener datos como el SSID, la MAC o la clave Wi-Fi, sin embargo el exploit se basa en la posibilidad de ejecución de código remota mediante la instrucción de configuración del servidor NTP.
[Read more…]

Mirai Strikes Again

Tras provocar la caída del proveedor de soluciones DNS Dyn y, por ende, la de portales web como Twitter, Amazon o Spotify, la botnet de moda sigue expandiéndose mediante nuevos mecanismos.

Tal y como os contamos en nuestro artículo anterior sobre la detección de Mirai este verano en uno de los sensores en nuestra Honey, durante estas últimas semanas hemos podido observar como el número de conexiones diarias se ha mantenido constante, por lo que se podía determinar que el número total de dispositivos susceptibles a la infección podía estar en su máximo.

Sin embargo, la habilitación de las credenciales root:ikwb para la creación de un entorno de alta interacción en el honeypot Hontel, ha permitido la captura de un nuevo binario.
[Read more…]

Linux.Mirai: Atacando sistemas de videovigilancia

Durante los Juegos Olímpicos de Río de Janeiro, uno de nuestros sensores en Brasil detectó una intrusión especialmente interesante en un honeypot de servicio TELNET.

Esta interacción utilizaba credenciales no habituales ya que las más recibidas fueron, a diferencia de lo que cabía esperar, xc3511 y vyzxv.

Tras una primera búsqueda no se encontró ninguna referencia a ataques relacionados con estas credenciales pero se dedujo que las credenciales son recurrentes en los dispositivos DVR (Digital Video Recorder) de la marca de origen chino Dahua (por ejemplo el DH-3004). Dahua es el principal proveedor mundial de soluciones de vigilancia, pues según el informe IMS 2015 gozan de la mayor cuota de mercado.

[Read more…]

“Qatar bank hacked”. Análisis

El pasado 27 de Abril, un grupo de piratas informáticos comprometieron los servidores del QNB (ver Wikipedia. (2016). QNB Group), el segundo banco comercial más grande de África y Oriente Medio, y filtraron más de 1,4 GB de datos con contenido personal de los clientes.

A pesar de no estar claro el origen, todo parece indicar que ha sido obra de Grey Wolves, una organización paramilitar de extrema derecha nacionalista ligada al Partido del Movimiento Nacionalista Turco (ver es.wikipedia.org. (2016). Lobos grises (paramilitares turcos)) al reivindicar su autoría mediante un vídeo de Youtube horas antes del filtrado de archivos (ver YouTube. (2016). Bozkurtlar claiming video over QNB breach).

La brecha de seguridad afecta a más de 100.000 cuentas bancarias que contienen cerca de 15.000 documentos, desde transacciones de los clientes de la entidad financiera, hasta números de identificación y otros detalles sobre operaciones con tarjeta de crédito. Sin embargo, lo que le otorga un interés especial no es el número de afectados (que ascienden a cientos de miles), sino que entre ellos se encuentran multitud de detalles de la familia real catarí, servicios secretos británicos, franceses y polacos, periodistas del canal de televisión Al Jazeera o el Mukhabarat.

[Read more…]