Blog de Seguridad de la Información de S2 Grupo
Destacado: CrossRat
Un mes más, desde el laboratorio de malware de S2 Grupo queremos compartir con vosotros lo que se está cociendo en el mundo del malware. Como siempre, comentaros que en este tipo de entradas encontraremos amenazas conocidas, vistas en otras fuentes o analizadas directamente en nuestro laboratorio, pero el objetivo del post es conocer qué tipo de amenazas están activas.
A continuación mostramos un diagrama con la información recopilada este mes desde el laboratorio:
Destacado: Android Loapi y BrowserLockers
Un mes más, desde el laboratorio de malware de S2 Grupo queremos compartir con vosotros lo que se está cociendo en el mundo del malware. Recordar que en este tipo de entradas encontraremos amenazas conocidas, vistas en otras fuentes o analizadas directamente en nuestro laboratorio, pero el objetivo del post es conocer qué tipo de amenazas están activas.
A continuación mostramos un diagrama con la información recopilada este mes desde el laboratorio:
Destacado: IcedID y botnet Andromeda
Un mes más, desde el laboratorio de malware de S2 Grupo queremos compartir con vosotros lo que se está cociendo en el mundo del malware. Recordar que en este tipo de entradas encontraremos amenazas conocidas, vistas en otras fuentes o analizadas directamente en nuestro laboratorio, pero el objetivo del post es conocer qué tipo de amenazas están activas.
A continuación, mostramos un diagrama con la información recopilada este mes desde el laboratorio:
Un mes más, desde el laboratorio de malware queremos compartir con vosotros lo que se está cociendo en el mundo del malware. Recordar que en este tipo de entradas encontraremos amenazas conocidas, vistas en otras fuentes o analizadas directamente en nuestro laboratorio, pero el objetivo del post es conocer qué tipo de amenazas están activas. A continuación, mostramos un diagrama con la información recopilada este mes desde el laboratorio (pinchar en la imagen para ampliar):
Para poder observar de un modo más visual determinadas tendencias relativas a la infraestructura de algunas amenazas actuales, una vez más queremos mostraros unas gráficas que consideramos interesantes. La idea es sencilla y consiste en recopilar de diferentes fuentes abiertas y de fuentes propias, direcciones IP de command&control (C2 a partir de ahora). Después esta información recopilada la representamos de diferentes maneras como veremos a continuación. [Read more…]
Un mes más, desde el laboratorio de malware de S2 Grupo queremos compartir con vosotros lo que se está cociendo en el mundo del malware. Recordad que en este tipo de entradas encontraremos amenazas conocidas, vistas en otras fuentes o analizadas directamente en nuestro laboratorio, pero el objetivo del post es conocer qué tipo de amenazas están activas.
A continuación, mostramos un diagrama con la información recopilada este mes desde el laboratorio:
Para poder observar de un modo más visual determinadas tendencias relativas a la infraestructura de algunas amenazas actuales, una vez más queremos mostraros unas gráficas que consideramos interesantes. La idea es sencilla y consiste en recopilar de diferentes fuentes abiertas y de fuentes propias, direcciones IP de Command and Controls (C2 a partir de ahora). Después esta información recopilada la representamos de diferentes maneras como veremos a continuación: [Read more…]
Recientemente un viejo conocido ha vuelto a las andadas. Se trata del Ransomware “Locky”, el cual hace cerca de un año estuvo muy activo a través de campañas de #Malspam (Correo Spam con la finalidad de instalar malware en el sistema de la víctima ) mayoritariamente con ficheros de scripting como “.js”, “.wsf” o “.vbe”. Desde entonces ha seguido manteniendo actividad, aunque en menor medida.
Recientemente han empezado una nueva campaña en la que utilizan ficheros .doc (MSOffice Word) con macros, como el siguiente:
Tras un breve descanso, desde el laboratorio de malware queremos volver a compartir una vez más con vosotros lo que se está cociendo en el mundo del malware. Recordar que en este tipo de entradas encontraremos amenazas conocidas, vistas en otras fuentes o analizadas directamente en nuestro laboratorio, pero el objetivo del post es conocer qué tipo de amenazas están activas.
A continuación, mostramos un diagrama con la información recopilada este mes desde el laboratorio:
Para poder observar de un modo más visual determinadas tendencias relativas a la infraestructura de algunas amenazas actuales, una vez más queremos mostraros las siguientes gráficas, las cuales consideramos interesantes. La idea es sencilla, y consiste en recopilar de diferentes fuentes abiertas y de fuentes propias, direcciones IP de Command and Controls (C2 a partir de ahora). Después, esta información recopilada la representamos de diferentes maneras como veremos a continuación:
[Read more…]
Desde el laboratorio de malware, como ya se imaginará más de uno, le tenemos cierto cariño a Trickbot. Es curioso ver cómo avanzan paso a paso en cuestión de semanas. Hace relativamente poco estaban añadiendo objetivos nuevos en su versión 19, y en pocos días, avanzan hasta la versión 24, con nuevas mejoras en cuestión de ofuscación de información y de ocultación en el sistema.
En esta entrada vamos a repasar los detalles interesantes que hemos visto modificados en esta última versión.
Lo primero, para constatar cual es la versión del binario que nos ha caído entre manos, extraemos de las strings del proceso la versión de la configuración que carga de sus recursos.
Como podemos observar, se trata de la versión 1000024, y el código de campaña es mac1.
Desde el laboratorio de malware hemos estado atentos y analizando varios aspectos de lo que se ha llamado NotPetya, Wannapetya, ExPetya, etc. Lo que primero que nos preocupó en el laboratorio era conocer exactamente como se estaba propagando el malware. Para ello partimos de la dll (027cc450ef5f8c5f653329641ec1fed91f694e0d229928963b30f6b0d7d3a745) que se puede encontrar en Hybrid Analysis.
En el entorno de laboratorio levantamos dos máquinas Windows 7 sin los parches para protegernos de EternalBlue. El análisis de McAfee también ha mostrado el mismo comportamiento a nivel de red en este magnífico informe publicado durante los primeros días. A partir de ahí planteamos los siguientes dos escenarios:
Escenario 1:
Las dos máquinas no están en el dominio, pero existe en las dos máquinas un usuario con las mismas credenciales. Estas máquinas están en el mismo segmento de red.
Una vez preparado el entorno ejecutamos la dll del siguiente modo:
$ rundll32.exe petya.dll,#1
A partir de este momento vemos como el equipo A (11.11.11.66) empieza a generar peticiones ARP para descubrir nuevos equipos dentro del mismo segmento de red. En nuestro caso, encuentra el equipo B (11.11.11.4) e inmediatamente intenta la autenticación sobre la máquina remota y se autentica. A continuación, el malware empieza a copiar la dll (en nuestro caso la hemos llamado lolz.dll) al recurso remoto:
Las últimas semanas estamos observando múltiples campañas de correos con documentos ofimáticos adjuntos, cuya finalidad es instalar diferentes tipos de malware en nuestros sistemas. En este post queremos repasar una campaña concreta que ha evolucionado sensiblemente en los últimos días, pero cuya finalidad se ha mantenido. La evolución ha consistido en el nombre de los documentos adjuntos, pues en principio, todos venían con el nombre “resume.doc” y posteriormente han empezado a añadir un nombre aleatorio al principio “[Nombre]_resume.doc.
| Fichero | Hash |
| Resume.doc | 952c2637787e737714ce8bdd24e9f41179865f1431c2ad4bc8e849b88c2a2ab9 |
| Resume.doc | 1969f5bc5be1db820eff204504ba53efbf9ecd63a9b4af0b3f545586aec847ca |
| Kathleen_Resume.doc | 4bbff4c776705bbf2d4be4a3ef1c9211fa2c691d90970c0cdc8b1c11f82a98a0 |
| Itunes.exe | 4a2bf3912a679c0a3b591f13004b36bd2e77938b61e2a29badfec0d2c8b21c23 |
| Itunes.exe | 9b8e7a442e4b7b08e6d25629f97ebd65%da2deac7a1677d9700b9ddf9f640b3f |
| Itunes.exe | dd6178ae524b31d668e555caf22d72b50a467a0221a505357cf1e8d2d8861ccf |
El Documento en cuestión muestra lo siguiente al ser abierto:
