Evolución de Shamoon – Parte 2

[Nota: Este artículo ha sido elaborado por ARTURO NAVARRO y SALVADOR SÁNCHIZ ARANDA]

Tal y como indicábamos en el anterior artículo de esta saga continuamos con la disección de la amenaza Shamoon, en esta ocasión en su vertiente más reciente.

DICIEMBRE 2018. SHAMOON V3

Shamoon v3 aparece el 10 de diciembre 2018 con más similitudes a la versión original que a la v2. Aparece combinada con una nueva pieza de malware, Filerase (también llamada Trojan.Filerase), responsable de borrar datos del OS del host infectado de forma totalmente permanente (siendo imposible su recuperación con técnicas forenses), para posteriormente proceder al borrado de MBR que realiza el componente wiper de Shamoon v3.
[Read more…]

Evolución de Shamoon – Parte 1

[Nota: Este artículo ha sido elaborado por Arturo Navarro y Salvador Sánchiz Aranda]

Tal y como nos contaba nuestra compañera Maite Moreno en este mismo blog, Shamoon fue como se denominó a una campaña atribuida supuestamente a Irán en 2012 y centrada principalmente en la destrucción de información, principalmente en petroleras de Arabia Saudí. Como también se indica en el mismo artículo, la rivalidad entre Arabia Saudí e Irán es histórica, con lo que este tipo de campañas podrían ser habituales entre ambos estados.

Shamoon ha estado evolucionando desde aquel 2012 y en este artículo os queremos hacer un análisis sobre las tres versiones que se han ido detectando de dicha amenaza.
[Read more…]

SSL pinning, I hate you!

NOTA: Ante todo destacar que esta publicación consiste en una recopilación de artículos que he usado (y alguna cosa con la que me he tenido que pegar). El contenido pertenece a otras personas y los enlaces a los originales se encuentran en esta misma publicación.

En lo que a la auditoría de aplicaciones para móviles Android se refiere, nunca me he metido demasiado, principalmente por falta de tiempo y porque al final aunque se pueda ver el código, cada desarrollador hace las cosas a su manera (las buenas manías de cada developer).

[Read more…]

Agujas, pajares e imanes: Análisis forense de malware fileless (V)

En el artículo anterior Ángela ya tenía gracias al análisis forense toda la información del ataque, así que le toca continuar con la respuesta al incidente en las fases de contención, erradicación y recuperación.

Respuesta al incidente

Con todas las respuestas importantes en la mano, Ángela puede hacer un esquema muy rápido del incidente:

  1. Los atacantes envían un spear-phishing a Pepe Contento y otros altos cargos el 3 de noviembre sobre las 10.37h.
  2. El usuario Pepe Contento abre el correo y pincha sobre el enlace el mismo día a las 11.05h, ejecutando el código malicioso entregado por Sharpshooter y comprometiendo su equipo con una sesión de Meterpreter.
  3. Los atacantes verifican que tienen privilegios de administrador y obtienen las credenciales del equipo, encontrando el hash de un administrador de dominio (que tenía sesión iniciada en el equipo).
  4. Los atacantes se hacen pasar por la cuenta de administrador de dominio y acceden a las contraseñas cifradas de varios altos cargos.
  5. Estas contraseñas cifradas son rotas por los atacantes mediante un ataque de fuerza bruta, obteniendo las contraseñas en claro.
  6. Los atacantes emplean esas credenciales para acceder a los webmail de diversos altos cargos entre las 11.30h y las 16.00h del mismo día.
  7. A las 15.30h la usuaria maria.feliz detecta un comportamiento inusual de su cuenta de correo y lo comunica al CAU.
  8. A las 15.45h el CAU corrobora el comportamiento extraño y avisa a Seguridad.
  9. Seguridad accede a las 15.55h a los logs del correo y detecta los accesos anómalos.
  10. Se declara incidente de seguridad a las 16.00h.

[Read more…]

Agujas, pajares e imanes: Análisis forense de malware fileless (IV)

Paso 7: Correo

En la entrada anterior Salvador había destripado el malware y encontrado el C2, y Ángela había confirmado que era una sesión de Meterpreter, habiéndose hecho una idea de las posibles acciones realizadas por los atacantes.

Tan solo queda localizar el vector de entrada, que por el análisis de memoria sabíamos que era un correo electrónico malicioso. Es el momento perfecto para recuperar el equipo del usuario pepe.contento, entrar con un LiveUSB forense (como DEFT o SIFT) y recuperar el .ost del usuario del directorio C:\Users\pepe.contento\AppData\Local\Microsoft\Outlook.

Para leerlo en modo solo lectura la forma más cómoda es emplear Kernel OST Viewer, que permite abrir el fichero de correo entero (y con acceso a los metadatos). En 30 segundos Ángela ha encontrado lo que buscaba:
[Read more…]

Agujas, pajares e imanes: Análisis forense de malware fileless (III)

Paso 5: Análisis de malware

En la entrada anterior Ángela había encontrado la persistencia del malware, así que procede analizarlo para ver su contenido. Salvador (a pesar de su espesa barba digna de un administrador de HP-UX de principios de siglo) está más contento que un niño con zapatos nuevos, así que se lanza a por el malware como un fox-terrier hambriento.

Lo primero de todo es comprobar si nos estamos enfrentando a un malware conocido. Para ello Salvador copia el código en base64 a un fichero de texto, calcula su hash con HashMyFiles y lo sube a VirusTotal sin obtener resultados. Interesante…

El segundo paso sería subir el fichero a VirusTotal, pero Salvador ha estado atento a lo explicado por sus profesores del curso de análisis de malware: algunos atacantes vigilan de forma constante VirusTotal para comprobar si su malware ha sido subido a la plataforma, usándola como un sistema de alerta temprana.
[Read more…]

Agujas, pajares e imanes: Análisis forense de malware fileless (II)

Paso 3: Logs de eventos

En la entrada anterior dejamos a Ángela blasfemando por la manera en la que los atacantes habían empleado un antiguo dominio del MINAF para realizar su ataque. Ahora toca comprobar lo sigilosos que han sido revisando los logs del sistema.

Todo equipo Windows tiene un registro de eventos, situado en los equipos modernos en:

C:\Windows\System32\winevt\Logs

Existen diversos registros en función de los eventos que se guardan. Los clásicos son Seguridad, Sistema y Aplicación, pero a día de hoy tenemos varias docenas más de registros, que en algunos casos nos pueden dar información vital. Estos registros se guardan en formato binario, por lo que necesitamos algún programa para abrirlos.

[Read more…]

Agujas, pajares e imanes: Análisis forense de malware fileless (I)

[Nota: Esta serie de posts es una narración de un análisis forense de un caso práctico totalmente ficticio (pero contada, esperamos, de forma didáctica y con gracia y salero). Si queréis una versión con la misma dosis técnica pero con menos narrativa, podéis consultar el vídeo de la charla que el autor dio en las XII Jornadas STIC del CCN-CERT, o echar un ojo las slides de la presentación].

[Nota 2: Estos posts desgranan un taller de análisis forense básico. Habrá algunas cosas que se podrían hacer de manera más eficiente y elegante, pero la idea era hacerlas de forma sencilla para que fueran fáciles de entender. Y como todo buen taller práctico, se puede seguir paso a paso: el CCN-CERT está alojando en LORETO todo el material, que podéis descargar desde aquí. Tenéis tanto las evidencias en bruto (si queréis primero intentar encontrar el bicho por vuestra cuenta sin leer nada de la solución) como una guía paso a paso con todas las herramientas y evidencias necesarias en cada paso].

Un nuevo día empieza en las instalaciones del MINAF (Ministerio de la Alegría y la Felicidad), lo que para Ángela de la Guarda (CISO del MINAF) significa café, reuniones y papeleo. Al menos, el proyecto del ENF (Esquema Nacional de Felicidad) está de una vez saliendo adelante…

[Read more…]

El reto de integrar RGPD, ENS y ahora también LOPD-GDD

Después de más de 7 meses de la entrada en vigor de la aplicación del RGPD, la mayoría de las Administraciones Públicas y muchas de las empresas privadas que trabajan para ellas en procesos críticos, como vigilancia de la red, seguridad perimetral, mantenimiento y soporte de sistemas, desarrollo y/o mantenimiento de aplicaciones, se enfrentan actualmente al reto de integrar su adaptación al RGPD con su declaración o certificación de conformidad con el Esquema Nacional de Seguridad, ENS.

El RGPD y el ENS exigen demostrar conformidad y comparten requisitos regulatorios basados en la exigencia de realizar un análisis de riesgos y en implantar medidas enfocadas a mitigar los riesgos identificados. [Read more…]

EternalSilence: por qué tu router puede estar en riesgo a causa de esta herramienta de la NSA

El artículo de hoy es cortesía de John Mason, cofundador de TheBestVPN.com y articulista en TripwireStaySafeOnline, DigitalGuardian y Educause. Puedes encontrarlo en twitter como @JohnCyberMason.

¿Confías en tu router para mantenerte a salvo de hackers y espías? Puede que quieras echar otro vistazo sólo para asegurarte.

Akamai descubrió recientemente una campaña de malware que ya ha comprometido a más de 45 113 routers domésticos y corporativos. Para ello se utilizó una herramienta basada en las herramientas de hacking de la NSA que se filtraron en 2017. Para explicar cómo los hackers utilizan esta herramienta para convertir un router en un servidor proxy, primero tenemos que entender cómo funciona UPnP.

[Read more…]