Módulo Radare2 para Yara

Desde el equipo de YaraRules Project nos gustaría presentaros un nuevo módulo que hemos desarrollado que permite utilizar la información que nos provee radare2 para crear firmas de Yara.

Ya hemos hablado en este blog de Yara (potente herramienta open-source para búsqueda de patrones en binarios) que además, nos permite ampliar sus funcionalidades a través del uso de módulos, bien usando los ya oficialmente distribuidos (PE, ELF, Cuckoo, Math, etc), bien diseñando nuestros propios módulos (como explica muy bien aquí la documentación de Yara).

Por otro lado, todos los que conocemos radare2 sabemos que es un framework de reversing muy versátil, open-source, y que entre otras muchas funcionalidades, nos permite obtener mucha información de un binario y además soporta tantos tipos de formatos de ficheros (ELF, Java Class, Mach-O, COFF, Gameboy, Nintendo Switch bins, SNES roms, WASM, Compiled LUA, PCAP files, etc.), que resulta difícil encontrar otra herramienta de estas características que lo haga.
[Read more…]

Petya / NotPetya, esa es la cuestión

Si hace poco más de un mes el mundo quedaba suspendido por el ataque del ransomware WannaCry, la historia se ha vuelto a repetir.

Poco después del mediodía de ayer llegaban las primeras informaciones acerca de la posible infección de varias empresas y organismos gubernamentales por una variante del ransomware Petya. Entre los países más afectados se encuentran Ucrania, Rusia, Polonia o Italia, aunque todo apunta a que empresas españolas también han resultado afectadas.
[Read more…]

Yara Rules Strings: estudio estadístico

Como todos los usuarios de Yara saben, las firmas de esta herramienta están basadas en “strings”; que son básicamente descripciones de familias de malware basadas en patrones. Es posible encontrarnos con firmas sencillas como por ejemplo:

rule LIGHTDART_APT1
{
    meta:
        author = "AlienVault Labs"
        info = "CommentCrew-threat-apt1"
        
    strings:
        $s1 = "ret.log" wide ascii
        $s2 = "Microsoft Internet Explorer 6.0" wide ascii
        $s3 = "szURL Fail" wide ascii
        $s4 = "szURL Successfully" wide ascii
        $s5 = "%s&sdate=%04ld-%02ld-%02ld" wide ascii

    condition:
        all of them
}

O firmas más complejas en las que se usan wild-cards, expresiones regulares, operadores especiales o cualquier otra de las funcionalidades que se pueden usar en Yara y que se pueden consultar en la documentación.
[Read more…]

Pongamos que hablo de Madrid

Me he propuesto ser muy previsora a la hora de viajar a otra ciudad/país, así que para prepararme ante mi nuevo destino lo primero que haré será buscar información sobre el mismo. Pongamos que hablo de Madrid -que diría Sabina- como el próximo lugar al que viajaré…

Podría empezar por buscar qué dice la prensa sobre Madrid. Seguro que googleando un poco no nos costará ponernos al día de la actualidad de lo que sucede en la ciudad. Siguiendo con Google, podríamos consultar https://www.google.es/trends/ para ver qué está buscando la gente sobre Madrid (en esta última hora por ejemplo las tendencias son las siguientes):

Tendencias Madrid
[Read more…]

(Cyber) Guerra Fría III: ¿Hack the vote?

Recientemente el DHS (Department of Homeland Security) junto la ODNI (Office of the Director of National Intelligence) han acusado formalmente a Rusia de entrometerse en las próximas elecciones presidenciales con técnicas de la tan candente guerra de la información y diversos ciberataques.

No es la primera vez que USA lanza acusaciones de este calibre, ya lo hizo también cuando acusó a China de robo de secretos industriales en 2014. Una acusación de este tipo podría implicar -de forma ¿oficial? o no oficial- ataques a infraestructuras informáticas rusas que supusieran un dolor de cabeza para Putin y sus aliados. Según declaraciones en el NYT tomar este tipo de acciones conllevarían demasiado riesgo con las elecciones a menos de un mes; ciberataques por parte de una potencia como Rusia contra el sistema de voto electrónico norteamericano podría sembrar el caos. Hay que destacar además que dicho sistema electoral aún no se considera una infraestructura crítica de la nación, aunque es posible que aumente su criticidad en breve.
[Read more…]

(Cyber) Guerra Fría II: Grupo Sofacy

Continuamos con nuestros artículos sobre ciberguerra, ampliando información sobre un grupo de supuesta procedencia rusa del que ya hablamos en la primera entrada de la saga, Sofacy, conocido también por varios alias como vemos en la tabla a continuación:

img1

Alineado con intereses rusos, y activo al menos desde el 2004-2007, Sofacy es un grupo de ciberespionaje que centra su actividad principalmente en operaciones de ataques dirigidos (APT) a objetivos gubernamentales, militares y organismos de seguridad, especialmente aquellos que sean de interés para Rusia: gobiernos y defensa de Europa del Este, la región del Cáucaso, OTAN, contratistas de defensa estadounidenses, SAIC, etc.

[Read more…]

APT Grupo Ke3Chang

Es evidente que las misiones diplomáticas, incluyendo los Ministerios de Asuntos Exteriores de los Estados son objetivos de alta prioridad en las operaciones de ciberespionaje de hoy en día. Campañas de ataques dirigidos como “GhostNet” o las llevadas a cabo por el grupo Ke3Chang (supuestamente financiado por China) -que será el objeto de este artículo- así lo demuestran.

En diciembre de 2013, Fireeye publicó una campaña de ciberespionaje denominada “moviestar” llevada a cabo por un grupo conocido por “Ke3Chang”, centrada en comprometer las redes de los Ministerios de Asuntos Exteriores en Europa, cuya atribución apuntaba a China y que, al menos llevaban activos desde 2010. Utilizaron como vía de entrada spear-phishing con el gancho de ofrecer información sobre los últimos acontecimientos en Siria. En concreto, parece ser que los correos dirigidos comenzaron en agosto de 2013, un mes antes de la Cumbre del G-20 de San Peterburgo en la que el principal foco del cónclave fue la situación en Siria.

[Read more…]

Ciberseguridad y periodismo

En los últimos días todos hemos sido conscientes del bombazo mediático que ha supuesto la filtración informativa de 2,6 terabytes de documentos confidenciales de la firma de abogados Mossack Fonseca por parte de una fuente anónima al periódico alemán Süddeutsche Zeitung, que posteriormente compartió con el Consorcio Internacional de Periodistas de investigación, que revelaban el ocultamiento de propiedades de empresas, activos y evasión de impuestos de personalidades de distinta índole, desde jefes de Estado, líderes políticos, deportistas, etc. a través de compañías offshore.

Fuente y trabajo periodístico

La fuente anónima, tomó contacto directo con el periódico alemán y  tan solo pidió a cambio de la información, que se tomaran ciertas medidas que garantizaran su anonimato y seguridad, como por ejemplo exigir que todas las comunicaciones establecidas se realizarán de forma cifrada y no permitir encuentros personales.

[Read more…]

Recopilación de algunos libros “imprescindibles” para aprender seguridad informática #secbook

img1El pasado fin de semana, desde nuestra cuenta de Twitter @securityartwork os lanzamos una petición que consistía en que, entre todos, forjáramos una lista inicial de libros “imprescindibles” para aprender diferentes materias dentro del ámbito de la seguridad informática tuiteándolos con el hashtag #secbook. Obviamente pretendíamos elaborar una lista inicial genérica ya que, como todos sabemos, dentro de la ciberseguridad hay muchísimos campos en los que especializarse y no podríamos cubrir completamente todos si decidimos abarcarlos todos, además de que entonces sería una lista muy sui géneris.

El resultado de los libros que sugeristeis fue el siguiente:

[Read more…]

Malcom. Ejercicio práctico de análisis de tráfico.

Malcom (Malware Communication Analyzer) es una herramienta que uso desde hace tiempo y que, a pesar de estar muy bien documentada en diferentes sitios, he creído conveniente dedicarle una entrada a raíz de sus últimas actualizaciones ya que ha ganado en estabilidad y consistencia.

Su objetivo es  principalmente analizar las conexiones en el tráfico de red de forma gráfica a la vez que cruza datos con fuentes (feeds) de malware públicas o privadas para identificar rápidamente los nodos maliciosos (por ejemplo servidores de C&C); cómo el malware intenta comunicarse con ellos para analizar posibles patrones de comportamiento, entender redes P2P u observar infraestructuras de tipo DNS Fast-Flux.

image06

[Read more…]