Cazando con Inteligencia Artificial: Detección de dominios maliciosos (I)

10 de mayo de 2022 Por

Esta entrada y la serie en su conjunto ha sido elaborada conjuntamente con Ana Isabel Prieto, Sergio Villanueva y Luis Búrdalo.

Internet aporta un mundo de posibilidades para el desarrollo personal y la realización de muchas de las actividades diarias, siendo una pieza indispensable en la sociedad actual. En esta red existen cientos de millones de dominios a los que acceder, aunque por desgracia, no todos ellos son seguros. Los dominios maliciosos son aquellos utilizados por los cibercriminales con el fin de realizar conexiones con servidores command and control, robar credenciales a través de campañas de phishing o distribuir malware.

En muchas ocasiones, estos dominios comparten entre sí ciertas características léxicas que a simple vista pueden llamar la atención. Por ejemplo, en campañas de phishing son relativamente comunes los dominios con TLD xyz, top, space, info, email, entre otros. De igual manera, los atacantes utilizan técnicas DGA (Domain Generation Algorithm) para crear dominios aleatorios con los que exfiltrar información como, por ejemplo, istgmxdejdnxuyla[.]ru. Otras propiedades llamativas pueden ser un exceso de guiones, dominios de varios niveles o dominios que intentan suplantar organizaciones legítimas como sería el caso de amazon.ytjksb[.]com y amazon.getfreegiveaway[.]xyz.

Con la digitalización en auge, las organizaciones navegan a miles de dominios diferentes, lo cual dificulta la detección de dominios maliciosos entre tanto tráfico legítimo. En una organización de tamaño medio, se registra a diario tráfico de entre 3000 y 5000 dominios. Este volumen hace inviable llevar a cabo su análisis de manera manual. Tradicionalmente, parte de este proceso de detección se automatiza mediante reglas de búsqueda de patrones, por ejemplo, reglas para hallar dominios con TLD (Top Level Domain) utilizados en campañas de phishing, que contengan el nombre de grandes empresas y no sean los legítimos o que tengan más de X caracteres.

[Read more…]

Ataques a Exchanges de Criptomonedas

21 de abril de 2022 Por

Esta entrada ha sido elaborada conjuntamente con Álvaro Moreno.

Las criptomonedas han crecido tanto en los últimos años en volumen económico y relevancia que se han convertido en uno de los objetivos importantes de los ciberdelincuentes. Dado que los Exchange, plataformas donde los usuarios pueden comprar y vender estas criptomonedas, aglutinan un gran número de operaciones y usuarios de estos activos, han pasado a ser un objetivo importante para los cibercriminales, que buscar conseguir la mayor cantidad de dinero posible explotando las vulnerabilidades de las mismas.

En este artículo vamos a tratar sobre algunos de los ataques más recientes en estas plataformas de Exchange y se concluirá con una tabla sobre otros ataques importantes a exchanges de criptomonedas.

Crypto.com

El 17 de enero de 2022, la plataforma de Exchange Crypto.com descubrió que un pequeño número de usuarios estaba realizando retiradas no autorizadas de criptomonedas de sus cuentas por un valor de aproximadamente 4800 ETH y 440 BTC, más unos 66.200 dólares en otras monedas.

La respuesta por parte de la plataforma fue suspender las retiradas de cualquier “token” mientras se realizaba una tarea de investigación. Finalmente, ningún cliente de la plataforma sufrió pérdida de fondos, ya que los 483 usuarios afectados recibieron un reembolso completo.

[Read more…]

Novedades de OWASP Top 10 2021 (II)

13 de abril de 2022 Por

Tras comentar en el anterior post de la serie algunos detalles sobre la nueva versión de OWASP Top 10, en esta segunda entrada vamos a profundizar en otra categoría introducida, la A08, fallos de integridad del software y de los datos.

A08: Fallos de integridad del software y de los datos

Esta nueva categoría introducida en la versión de 2021 hace referencia a la falta de verificación de integridad en procesos, como por ejemplo: actualizaciones de software, fuentes CDN (Content Delivery Network), flujos CI/CD, serialización de datos o codificación de estructuras de datos, entre otros.

En esta nueva categoría está incluida también la categoría de la anterior versión de 2017: A08:2017-Serialización insegura; dicha referencia puede ser útil para quien ya la conozca o para ampliar información consultando ediciones anteriores.

En general, se podría estar expuesto al riesgo si se usan componentes para los que no se dispone de una forma de verificar su integridad o esta no se lleva a cabo. Si se realiza la verificación, podríamos estar más seguros de que los componentes que estamos usando son los mismos que los que se tenían en el origen.

A continuación expondremos algunos ejemplos de como podría llevarse a cabo la verificación de integridad para los casos mencionados.

[Read more…]

Exploiting Leaked Handles for LPE

4 de abril de 2022 Por

La herencia de manejadores de objetos entre procesos en un sistema Microsoft Windows puede constituir una buena fuente para la identificación de vulnerabilidades de elevación de privilegios locales (LPE). Tras introducir los conceptos básicos alrededor de este tipo de debilidades de seguridad, se presentará una herramienta capaz de identificarlos y explotarlos, aportando a Pentesters y Researchers un nuevo punto donde focalizar sus acciones de intrusión e investigación respectivamente, sigue leyendo!

Dentro de un sistema operativo Microsoft Windows los procesos son capaces de interactuar con objetos securizables del sistema como ficheros, PIPES, claves de registro, hilos o incluso otros procesos. Para ello y mediante el uso del WINAPI el proceso origen requiere al S.O. de un manejador (Handle en inglés)  para realizar una determinada acción sobre el objeto en cuestión.

Si se disponen de los permisos y/o privilegios adecuados el S.O. autoriza este acceso entregando el susodicho manejador del objeto al proceso que lo requiere. Desde ese momento es posible interactuar con el dentro de los límites de los permisos solicitados. Veamos el siguiente ejemplo donde un proceso origen haría uso de la función del WinApi OpenProcess para tratar de abrir un proceso destino (spoolsv.exe) con el objetivo de obtener información de forma remota de él (PROCESS_QUERY_INFORMATION).

[Read more…]

DICOMo se hackea: el estándar de los hospitales

29 de marzo de 2022 Por

¿Alguna vez has pensado que las radiografías eran simples imágenes en JPG? ¿Recuerdas haber escuchado el nombre de DICOM? En este artículo esperamos resolver todas tus dudas sobre el protocolo de envío de imágenes médicas y mostrarte sus implicaciones en la ciberseguridad.

Introducción rápida a DICOM

Figura 1. Logo de DICOM

Las imágenes médicas que se transmiten dentro de los hospitales, como radiografías o ecografías, no están en los formatos comunes de imagen, sino que están en formato DICOM (Digital Imaging and Communications in Medicine), sin embargo, sí que se pueden convertir a JPG o PNG.

Aunque a primera vista solo parezca un simple formato de imagen, DICOM es mucho más, es el estándar de transmisión, almacenamiento, recuperación, impresión, procesado y visualización de imágenes médicas y su información. Gracias a la implementación de este estándar, se revolucionó la tecnología en el ámbito sanitario, sustituyendo las radiografías físicas por radiografías digitales con todos los datos que estas implican. Hoy en día, DICOM está reconocido como el estándar ISO 12052.

[Read more…]

ATT&CK reconnaissance: críticas constructivas

9 de marzo de 2022 Por

Sin duda, MITRE ATT&CK se ha convertido en el marco de trabajo de referencia para la estructuración (y análisis, y detección…) de tácticas y técnicas ligadas a operaciones ofensivas. Este estándar de facto constituye un esfuerzo enorme que sirve de gran ayuda para todos los que trabajamos en seguridad, pero también tiene muchas opciones de mejora, al ser un trabajo en curso y permanente actualización. Algunas de las críticas a MITRE ATT&CK pasan por la estructura plana de técnicas asociadas a cada táctica, sin ningún tipo de estructura que facilite su análisis.

En particular, en el caso de la táctica Reconocimiento, en la que un actor hostil trata de obtener información sobre su objetivo a través de diferentes medios, MITRE ATT&CK proporciona igualmente una estructura plana para las técnicas, como en el resto de tácticas, pero en este caso mezcla conceptos que pueden inducir a error y que no constituirían técnicas en sí mismas. Veamos: MITRE ATT&CK define las siguientes técnicas para la táctica “Reconnaissance” (no detallamos al nivel de sub técnica):

IDTechnique
T1595Active Scanning
T1592Gather Victim Host Information
T1589Gather Victim Identity Information
T1590Gather Victim Network Information
T1591Gather Victim Org Information
T1598Phishing for Information
T1597Search Closed Sources
T1596Search Open Technical Databases
T1593Search Open Websites/Domains
T1594Search Victim-Owned Websites
[Read more…]

Ciberguerra. El conflicto en Ucrania en el plano digital y el papel de la Ciberseguridad en estos escenarios

7 de marzo de 2022 Por
Fuente: https://www.lavanguardia.com/tecnologia/20220126/8013768/ucrania-rusia-peligro-ciberguerra-malware-nbs.html

El concepto de “guerra tecnológica” se ha posicionado como una de las grandes tendencias de la era digital. La tecnología y la hiperconectividad global han facilitado el traslado de los conflictos armados tradicionales a este nuevo escenario, sirviendo como apoyo ilimitado en el escalado de contiendas bélicas.

Así, el histórico enfrentamiento cuerpo a cuerpo evoluciona en ataques informáticos que buscan debilitar y desestabilizar un país o gobierno concreto, teniendo como principal objetivo aquellos sistemas, servicios e infraestructuras que resultan esenciales para la continuidad y operatividad de una zona geográfica entera.

La ciberguerra se convierte en un potente aliado para los conflictos internacionales y juegos geopolíticos entre gobiernos y Estados. Y esta realidad la sentimos más cerca que nunca con la situación de contienda que se dispersa en estos momentos por las calles de las ciudades estratégicamente más importantes de Ucrania.

Que la Ciberguerra es una constante entre Rusia y Ucrania no es algo nuevo, pues ambos países han optado desde hace años por utilizar estrategias de guerra cibernética con el objetivo de impactar en sus respectivos gobiernos y personalidades clave, pero el reciente escalado de la contienda en el propio terreno ucraniano ha supuesto no solo un aumento considerable de estas técnicas de ciberguerra, sino en la propia internacionalización de este conflicto en el espacio digital.

En cuestión de pocos días, varios ciberataques han paralizado tanto sistemas informáticos de instituciones y organizaciones de alta importancia en Kiev, como páginas webs del propio gobierno y entidades bancarias. A todo esto se suma la revuelta que ha creado la intervención del grupo hacktivista Anonymous, declarando en sus propias redes sociales la guerra cibernética a Vladimir Putin. Así, el propio grupo ha compartido la consecución con éxito de varios ciberataques perpetrados contra el Kremlin, como el ataque a la televisión estatal o el hackeo de la base de datos web del Ministerio de Defensa ruso.

¿Cómo impacta esta guerra online en un conflicto con un escalado tan notable en la comunidad internacional? Esta internacionalización supone un enorme reto en materia de Ciberseguridad, con la aparición de especialistas en Ciberdefensa en diferentes puntos del mundo dedicados por completo a esta contienda cibernética y con una creciente necesidad de acudir a expertos en Ciberseguridad y Ciberguerra.

Sin ir más lejos, tanto la UE como la OTAN han auxiliado al gobierno ucraniano con equipos de apoyo especializados en Ciberseguridad y Ciberdefensa.

Si la Ciberseguridad para Estados y gobiernos ya era crucial, en un conflicto armado con una alta incidencia y aplicación de técnicas cibernéticas resulta altamente necesaria. Tantos actores clave conectados y dependiendo de Internet supone una creciente amenaza para los activos digitales de todo el planeta. Lo que ocurre en Ucrania puede afectar no solo a Europa, sino también a Estados Unidos y las potencias americanas o asiáticas.

Extremar la precaución en el ciberespacio siempre es necesario, pero ante la situación actual que presenta este conflicto, esto debe ir más allá. Aquí, la Ciberseguridad jugará un papel clave. Se debe crear conciencia en la necesidad de aplicar medidas técnicas y organizativas, pues la aparición de nuevas amenazas es constante. Por ejemplo, grandes firmas de Ciberseguridad han alertado de la aparición de nuevos y potentes malwares en sistemas informáticos ucranianos, que fácilmente pueden ser explotados por otros grupos para atacar tanto instituciones internacionales como al sector privado en cualquier parte del mundo.

Un antivirus y un sistema operativo actualizado ya no son suficientes, es de vital importancia contar con perfiles expertos y herramientas enfocadas en Ciberinteligencia, Ciberdefensa y Seguridad Informática. Además, la concienciación será siempre una herramienta fundamental que tendrá un gran efecto en la prevención de los ataques informáticos, pues el factor humano siempre supondrá una vulnerabilidad muy jugosa para los señores de la guerra cibernética.

Atacando el protocolo MQTT

24 de febrero de 2022 Por

El siguiente artículo muestra un método de crackeo de las credenciales de autenticación del protocolo MQTT. Para ello se va a montar un escenario virtual haciendo uso del bróker Mosquitto. Además, también se va a utilizar el cliente Mosquitto y la herramienta Ncrack para extraer las credenciales.

No se pretende explicar el funcionamiento del protocolo en cuestión, por lo que se recomienda la lectura de uno de los artículos anteriores del blog (https://www.securityartwork.es/2019/02/01/el-protocolo-mqtt-impacto-en-espana/) donde se detallan las características del protocolo.

MQTT ofrece la posibilidad de añadir autenticación a las comunicaciones, no obstante, a pesar de aplicar esta capa de seguridad, las comunicaciones van sin cifrar por defecto como se mostrará a continuación. Un atacante que consiga interceptar el tráfico de la red podría visualizar las credenciales en claro:

[Read more…]

Desmenuzando la aproximación al marco de gobernanza de la ciberseguridad del CCN

18 de febrero de 2022 Por

En un proceso continuado a lo largo de los últimos lustros, los términos de gobernanza y de buen gobierno han venido adquiriendo un creciente protagonismo en todo tipo de organizaciones que, o bien han buscado mejorar su nivel de madurez o, en otros casos, se han visto sometidas a los requisitos de nuevos marcos sectoriales de control.

La preocupación por los problemas de “gobierno corporativo” en todo tipo de organizaciones apareció por primera vez en el “Informe Cadbury” (Reino Unido, 1992); este informe recogía un “código de buen gobierno” al que debían adherirse las corporaciones que cotizaban en la bolsa de Londres.

Posteriormente, en 1999 y 2004, la Organización para la Cooperación y Desarrollo Económico, OCDE, publicaría las primeras ediciones de sus “Principios de Gobernanza Corporativa”.

En 2004 los investigadores del Instituto de Tecnología de Massachusetts, MIT, Peter Weill y Jeanne Ross propondrían seis activos clave que deberían ser objeto de prácticas de gobierno en cualquier organización:

  • Los activos financieros,
  • los activos físicos,
  • los recursos humanos,
  • el esquema de relaciones de la organización,
  • la propiedad intelectual, y
  • la información y las Tecnologías de la Información.

Cronología de los marcos de referencia en gobernanza corporativa
[Read more…]

Glosario de la DarkWeb

16 de febrero de 2022 Por
Fuente: Argone National Laboratory

Esta entrada ha sido elaborada conjuntamente con Nikolas Sarriegi.

Existe mucha confusión entre los términos DeepWeb, DarkWeb, DarkNet y ClearNet, por lo que antes de comenzar conviene asentar estos conceptos.

El término más sencillo de explicar es el de ClearNet o Surface Web, el cual es el Internet comúnmente conocido por todos. Aquel al que se puede acceder gracias a su indexación en buscadores como Google, Bing o muchos otros.

No obstante, el 90% del contenido de la red no es accesible a todo el mundo: pasarelas de pago, carpetas privadas de Drive o DropBox, cuentas en redes sociales, correos electrónicos, etc. Todo este contenido que no está indexado en buscadores recibe el nombre de DeepWeb y no es contenido ilegal ni prohibido en su mayoría. 

Dentro de la DeepWeb hay un pequeño porcentaje del contenido que sí que se encuentra oculto intencionadamente del resto de la red gracias a un enmascaramiento de las direcciones IP. Todo este contenido recibe el nombre de DarkWeb y se encuentra distribuido en DarkNets, que son distintas redes accesibles mediante programas específicos (TOR, I2P, FreeNet, etc.).

La DarkWeb, de forma similar que en la ClearNet, funciona con un lenguaje propio entendible por los usuarios de esta. Debido a que la naturaleza de la mayoría de las actividades que se realizan aquí, son ilegales, muchas veces es necesario conocer esta jerga para poder indagar, de una manera más profunda, si se está realizando una investigación.

[Read more…]