Blog de Seguridad de la Información de S2 Grupo
Continuo en esta segunda entrega analizando más en profundidad el Chat bot de Telegram y el código fuente de la web. Analizando la respuesta que da la web fraudulenta, se pudo extraer datos relevantes como el Chat_id:
Con la herramienta Curl me decido a extraer más información del bot de telegram:
Con la orden GetMe a la api de telegram extraemos información básica sobre el Bot:
El mundo de las criptomonedas y la posibilidad de diversificar los ahorros, han hecho que a día de hoy muchas personas quieran asumir un riesgo y diversificar su cartera de ahorros incluyendo cripto-activos. En mi caso decidí hacerlo de forma cautelosa y a ser posible de la forma más segura posible usando una billetera fría o “cold wallet”, concretamente el modelo “Ledger Nano S”.
La diferencia fundamental de usar una billetera fría es que tú mismo eres el que custodia la clave privada y la frase semilla que te permite recuperar la billetera en caso de pérdida, a diferencia del uso de un Exchange online.
El 14 de julio de 2020 Ledger fue alertado por un investigador propio de su programa de bug bounty de una posible brecha de seguridad. La brecha consistía en que un tercero no autorizado
podría acceder a una parte de la base de datos de comercio electrónico y marketing mediante una API key que había sido asignada a un tercero. Más tarde se comprobó que el 25 de junio de 2020 fue la fecha en la que el acceso malicioso había comenzado aprovechando dicha brecha.
Ledger informó que aproximadamente 1000000 de direcciones de correo electrónico estaban comprometidas, de las cuales 272.000 clientes estaban afectados por la exposición de datos personales como nombre/apellidos, dirección y teléfono.
A partir de esa fuga de datos, empecé a recibir mails, llamadas y sms fraudulentos, con el fin de conseguir las palabras que forman la frase semilla. La mayoría de estos intentos fueron fáciles de detectar como estafa, aquí muestro algunos ejemplos:
[Read more…]A lo largo de este verano hemos recibido infinidad de correos, entre los cuales existe, por desgracia, un buen número de troyanos bancarios. Estos correos se suelen caracterizar por tener varias cosas en común, que es lo que vamos a explicar en este artículo.
Como elemento común (y básico para que el usuario caiga en la trampa), los correos suelen tener un gancho para que el usuario se vea en la necesidad de abrirlo: una multa de la DGT, una factura impagada de la luz, temas relacionados con la agencia tributaria, etc.
Por norma general, entre todos los correos analizados se pueden identificar dos clases principales: los correos con adjunto (habitualmente un documento doc, con macros maliciosas) y los correos con un enlace. Estos últimos son más peligrosos en cierto sentido ya que, los adjuntos que vienen por correo se suelen tener controlados y analizados, pero es más difícil controlar los ficheros que se descargan vía http por un link en el cuerpo del mensaje. Cuando son correos con enlaces, pueden descargar también un doc con macros, o a veces un fichero comprimido con un archivo .msi en su interior.
Además de esto, se identifican una serie de patrones, que no en todos los enlaces de correo se producen, pero sí en muchos, y que pueden ayudar a prevenir la descarga de estos archivos maliciosos, que se detallarán al final del artículo.
[Read more…]Día típico de otoño, por la ventana solo se aprecia un cielo gris. Es el típico día en el que crees que no va a suceder nada extraño. De repente nuestro sistema de vigilancia alerta de unas conexiones anómalas: un equipo ha intentado conectarse contra unas direcciones IP de origen desconocido. Estas direcciones IP son públicas y, según la configuración establecida en la organización, toda conexión HTTP hacia el exterior debe pasar a través de un proxy.
Las conexiones se buscan en los registros del proxy y no se encuentran, por lo tanto este equipo ha intentado conectarse directamente, haciendo caso omiso a la configuración del sistema. [Read more…]
Hace unos días analizando varios correos di con uno que contenía un adjunto sospechoso. Era un documento .docx que a simple vista no tenia nada dentro pero ocupaba 10 kb.
El correo había pasado todas las barreras, tanto SPF, como los dos antivirus que tienen las pasarelas, y también el filtro anti spam.
El fichero .docx se puede tratar como un comprimido. Una vez extraído su contenido, me puse a analizar todos los ficheros del directorio en busca de dominios o direcciones IP que se pudiesen ver en claro:
Y logré encontrar algo interesante dentro de la ruta word/_rels/document.xml.rels donde aparece lo siguiente:
[Read more…]
En la actualidad, el tráfico http cada vez es menos visible para un analista de seguridad ya que ahora, en muchos casos, los servidores web obligan a usar https y por lo tanto, dejamos de tener mucha visibilidad.
En este aspecto, algunas organizaciones optan, o bien por “romper” el tráfico ssl gracias al uso de un certificado impuesto, o bien solo permiten acceso https para algunos servicios determinados. Algunos de estos servicios, como es el caso de Google, suelen estar permitidos.
Hablemos entonces, por ejemplo, del traductor de Google. Se me ocurrió la idea de hacer bypass a las conexiones a través de un traductor, en este caso de Google. [Read more…]
Muchas de las web que se visitan a diario están comprometidas, y el usuario corriente navega por ellas sin tener conocimiento alguno del peligro que supone no tener el navegador o la versión de Adobe Flash actualizada. A continuación vamos a ver un análisis de este tipo de compromisos que por desgracia, cada día es más habitual.
En el análisis de tráfico HTTP se pueden usar herramientas como Burp o Fiddler.
En este ejemplo he usado Fiddler y en navegador Iceweasel con un plugin para simular distintos User Agent (Switch user agent), para en momentos determinados emular Internet Explorer.
Si se quiere instalar Fiddler bajo Linux con mono, se puede seguir este manual:
(Los dominios y nombres de usuario que se describen en este post son ficticios, con el fin de proteger la identidad de los reales)
Una de las tareas habituales a la hora de buscar posibles infecciones es analizar el trafico de navegación web (proxy) en busca de contactos con dominios de carácter dinámico (dyndns, no-ip.org, etc…).
En una de estas búsquedas se ve el contacto con un dominio dinámico sospechoso desde la página www.hospitales.com:
2015-08-09 10:53:40 191.226.176.112 Pgarcia - "none" http://www.hospitaless.com/en/index.php 0 - GET http yyuewv.hopto.org 80 /wordpress/ 633 409
El dominio está inactivo, pero queremos analizar las peticiones que se hacen al visitar esta web. Para ello, uso un analizador como Burp:
BRO es una herramienta open-source para el análisis de tráfico de red cuyo objetivo es reconocer actividades sospechosas.
El análisis de red reporta varios tipos de registros divididos según el protocolo y características como puede ser HTTP, DNS, SSL, FTP, sesiones IRC, SMTP, etc.
Para la captura de paquetes utiliza libpcap. Es capaz de analizar y detectar túneles (incluyendo Ayiya, Teredo, GTPv1) además de desencapsularlos para luego analizar su contenido.
Se basa en dos componentes:
En este último capítulo sobre Pfsense (ver I, II, III, IV y V) se explica la configuración de un servidor proxy como Squid en modo transparente para no tener que configurar todos los equipos de la red.
La tarea de este proxy será registrar todas las conexiones HTTP, hacer estadísticas de navegación y denegar ciertos dominios.
El primer paso es instalar estos 3 paquetes: Squid, SquidGuard y Ligthsquid.
