Nukin’ Zaragoza: a cyberwar exercise (I). Apagón

4 de mayo de 2017 Por

(Puedes consultar todas las partes de esta serie en los siguientes enlaces: 1. Apagón, 2. Esto no puede estar pasando, 3. Silencio sepulcral, 4. La hora de la verdad, 5. Daños colaterales, 6. La verdad está ahí fuera, 7. Lo que sabemos que no sabemos, 8. De vuelta al mundo real, 9. Conclusiones. Esperamos que hayan disfrutado con ella tanto como nosotros escribiéndola y publicándola).

Notas  previas

Esta historia se basa en el género literario de la ucronía, una reconstrucción de la historia basada en datos y hechos hipotéticos. Es por tanto una ficción, y debe ser considerada como tal en todos los aspectos excepto en aquellos relacionados con la ciberseguridad. Toda la información empleada para realizar este ensayo ha sido obtenida a través de fuentes abiertas, e interpretada por el (mejor o peor) criterio del autor. Esta anotación debe aplicarse especialmente a todos los protocolos de respuesta a situaciones de crisis,  que pueden diferir sensiblemente de la realidad.

Aunque quede claro que es una ficción, se estima necesario recordar que en ningún caso se pretende desmerecer la innegable labor de todos los actores (FFCCSE, fuerzas armadas, servicios de inteligencias, servicios de emergencia, etc…) que velan por la seguridad de los españoles. Nuestro objetivo es claro y común: la seguridad de todos.

Un mundo (casi) como el nuestro

Madrid, 16 de Marzo de 2017.

Todos los telediarios tienen como noticia de primera plana la escalada de tensiones entre España y Marruelia (país formado por la fusión de Marruecos y Argelia después de la primavera árabe de ambos países en 2011) debido a las disputas por la explotación española de los caladeros de pesca. Marruelia continúa exigiendo la retirada de los pesqueros españoles, indicando que el acuerdo firmado con España carece de validez al ser Marruelia un nuevo país.

[Read more…]

¿Y si no podemos usar herramientas?

28 de abril de 2017 Por

A muchos nos ha pasado que estando en el desarrollo de una auditoria, nos damos cuenta de que el cliente posee métodos de protección como Firewall, Waf, IDS, IPS, etc. O que por el contrario, su sistema es tan inestable que cualquier exceso de peticiones o escaneo activo le puede ocasionar una denegación de servicios, afectando la disponibilidad de su activo, y de paso ocasionándonos como auditores un problema mayor.

Personalmente,  además del uso de algunas herramientas como apoyo, me gusta hacer un análisis manual del sitio a auditar, pues viendo cómo se comporta ante peticiones bien formadas (esperadas) o peticiones mal formadas (inesperadas), es cómo se logra entender el funcionamiento del sitio web y cuáles fueron las posibles fallas que el desarrollador pudo tener al momento de codificarlo.

[Read more…]

¿Está tu NAS expuesta a Internet?

24 de abril de 2017 Por

El uso generalizado de dispositivos conectados a la red, como carros (automóviles), equipos médicos, controladores industriales (PLC), electrodomésticos, etc., ha traído consigo un panorama nuevo y extremadamente vulnerable.

Si bien se ha avanzado a pasos agigantados en temas de conectividad (¡Twitter hasta en el horno!), también se ha dejado de lado el tema de seguridad. Esto se debe principalmente a que para la mayoría de usuarios y organizaciones, la seguridad en Internet no es un factor fundamental, razón por la cual han sucedido casos como el de Mirai, uno de los ataques de denegación de servicio distribuido más grandes de los que se tiene registro hasta ahora, que no es más que uno de los primeros casos a los que nos tenemos que enfrentar en este nuevo escenario.

La proliferación de dispositivos interconectados ha traído para los usuarios (hogares, organizaciones) muchas ventajas: flexibilidad, movilidad, automatización, eficiencia etc., pero ¿qué pasa cuando no tomamos las medidas de seguridad apropiadas y estamos desprotegidos por defecto?

A continuación, se verá cómo una serie de pequeñas debilidades pueden ocasionar una gran fuga de información, comprometiendo datos personales, financieros y confidenciales, tanto de usuarios particulares como de organizaciones.

[Read more…]

Shadow Brokers: explotando Eternalblue + Doublepulsar

21 de abril de 2017 Por

Hace pocos días saltaba la noticia de que se el grupo Shadow Brokers había liberado una nueva hornada de exploits de la NSA. Por si esto fuera poco, en el github donde están los exploits también hay información sobre como atacar a los sistemas bancarios.

La gran mayoría de los exploits publicados hacen que comprometer un sistema Windows sea cosa de niños y casi como vemos en las películas, puesto que ente ellos se encuentran varios 0-day (ahora ya parcheados por Microsoft) que atacan al protocolo SMB en todas sus versiones.

De todos los exploits disponibles, el que más ha llamado la atención a la comunidad ha sido el combo del llamado Eternalblue + Doublepulsar. En este post vamos a explicar cómo desplegar un entorno de pruebas donde poder probar los exploits.

(N.d.E.: Sobra decir que la información se proporciona a título informativo y didáctico, con objeto de colaborar a mejorar el conocimiento de los técnicos en ciberseguridad. Los cibercriminales no necesitan que nadie les enseñe cómo utilizar los exploits, y a aquellos incautos scriptkiddies a los que se les ocurra jugar a ciberdelincuentes, en fin, mucha suerte en los juzgados).

[Read more…]

C&C y exfiltración a través del webmail corporativo

20 de abril de 2017 Por

Supongamos una organización que cuenta con unas medidas de seguridad básicas: las estaciones de trabajo no pueden realizar conexiones directas a Internet, tan sólo pudiendo llevar a cabo peticiones web a través de un servidor proxy, que además es el único que puede realizar peticiones DNS externas.

Tanto el tráfico HTTP como el tráfico DNS generado por este servidor proxy son debidamente monitorizados, y además el proxy “rompe” HTTPS, por lo que también serían detectables técnicas como domain fronting. Sólo son accesibles unos pocos sitios web incluidos en la lista blanca. [Read more…]

Yara Rules Strings: estudio estadístico

19 de abril de 2017 Por

Como todos los usuarios de Yara saben, las firmas de esta herramienta están basadas en “strings”; que son básicamente descripciones de familias de malware basadas en patrones. Es posible encontrarnos con firmas sencillas como por ejemplo:

rule LIGHTDART_APT1
{
    meta:
        author = "AlienVault Labs"
        info = "CommentCrew-threat-apt1"
        
    strings:
        $s1 = "ret.log" wide ascii
        $s2 = "Microsoft Internet Explorer 6.0" wide ascii
        $s3 = "szURL Fail" wide ascii
        $s4 = "szURL Successfully" wide ascii
        $s5 = "%s&sdate=%04ld-%02ld-%02ld" wide ascii

    condition:
        all of them
}

O firmas más complejas en las que se usan wild-cards, expresiones regulares, operadores especiales o cualquier otra de las funcionalidades que se pueden usar en Yara y que se pueden consultar en la documentación.
[Read more…]

Docker aplicado al Incident Handling

12 de abril de 2017 Por

Docker ya lleva entre nosotros algún tiempo. En esta entrada se va a hablar de cómo es posible sacar partido de Docker y su uso en DFIR para un análisis rápido en los equipos de los analistas.

En primer lugar hay que conocer Docker. No hace falta sacarnos un máster, pero al menos conocer los conceptos básicos de la tecnología Docker. Voy a explicar muy brevemente los conceptos de imagen y contenedor, y cómo Docker trabaja con ellos.

  • Una imagen Docker es un sistema “congelado”, un sistema pausado o en estado de hibernación, el cual se encuentra en un modo de solo lectura.
  • Un contenedor no es más que una imagen en ejecución. Docker “le da al play” y añade una capa sobre la imagen en un modo de lectura-escritura.

Cuando el contenedor se detiene o se borra, Docker automáticamente elimina la capa de lectura-escritura dejando la imagen en su estado original. Esto permite reutilizar un sistema base en varios entornos, o partir siempre del mismo sistema base.
[Read more…]

Rastreando XSS con Sleepy Puppy

5 de abril de 2017 Por

Cross Site Scripting (XSS) es una vulnerabilidad que permite ejecutar código JavaScript en el navegador de la víctima sin su consentimiento. Por ejemplo, un XSS permite a un atacante, entre muchas posibilidades, mostrar el clásico mensaje mediante un pop-up, redirigir el navegador de la víctima a un sitio de terceros o robar las cookies de su sesión.

La herramienta que ocupa esta entrada es Sleepy Puppy y fue lanzada por Netflix en 2015 (sí, la Netflix que todos conocemos). Ésta permite, principalmente, mediante la inyección de determinados payloads en JavaScript, seguir la traza de las vulnerabilidades XSS obteniendo información de las víctimas del ataque. La información obtenida de éstas abarca desde cookies, hasta su user-agent, el código del DOM o una captura del sitio afectado (entre muchas más posibilidades). [Read more…]

Tendencias de malware. Marzo 2017

3 de abril de 2017 Por

Como todos los meses, desde el laboratorio de malware queremos compartir con vosotros lo que se está cociendo en el mundo del malware. En este tipo de entradas encontraremos amenazas conocidas, vistas en otras fuentes o analizadas directamente en nuestro laboratorio, pero el objetivo del post es conocer qué tipo de amenazas están activas. Este mes destacaremos Torrentlocker y PowerShell WMIOps

A continuación, mostramos un diagrama con la información recopilada este mes desde el laboratorio:

Este mes traemos algo nuevo que esperamos que os guste y nos ayude a ver de un modo más visual determinadas tendencias. La idea es sencilla y consiste en recopilar de diferentes fuentes abiertas y fuentes propias, direcciones IP de command and controls (en adelante C2). Vamos a ver la información recopilada y a representarla de la siguiente manera:
[Read more…]

Mirai meets OpenSSL

3 de abril de 2017 Por

No es una sorpresa el hecho de que continuamente salgan a la luz nuevas variantes de Mirai, y más, estando al alcance de cualquiera el código fuente del bot, del sevidor CnC y del servidor de descarga. Sin embargo, todos tenían unas características relativamente parecidas (a excepción de la variante para Windows, claro).

El pasado 19 de marzo llegó a nosotros una nueva versión de Mirai que nos llamó la atención por su tamaño. Mientras que lo habitual es encontrarnos con binarios Mirai de alrededor de decenas de Kbs, esta nueva muestra tiene 1,6 Mbs. La conexión TELNET que precedió la descarga del binario es exactamente igual que en anteriores capturas. [Read more…]