El protocolo MQTT: impacto en España

En el artículo de hoy os hablaremos de uno de los protocolos de moda, MQTT y cual es su impacto, en cuanto a ciberseguridad se refiere, en España. MQTT es ampliamente usado en el ámbito industrial, domótica y, en general, en todo lo relacionado con IoT.

MQTT es un protocolo de mensajes muy simple y ligero que se basa en un modelo publisher/subscriber, también conocido como productor/consumidor. Por una parte tendremos los publishers, que serán aquellos encargados de generar los mensajes a enviar. Siguiendo el flujo de las comunicaciones, encontraríamos el intermediario (broker), que será el encargado de distribuir los mensajes a los consumidores o subscribers. MQTT es un estándar ideado para las comunicaciones M2M (Machine to Machine) en las cuales varios dispositivos comparten información, ya sea a través de un medio cableado o inalámbrico. [Read more…]

(Ciber) GRU (X): objetivos

Aparte de algunos objetivos más concretos, como la compañía Westinghouse Electric Company’s -con negocios en tecnología nuclear- o routers domésticos que puedan ser comprometidos para orquestar un ataque distribuido contra el objetivo real, la información publicada en 2018 ha sacado a la luz cinco grandes objetivos del GRU, consistentes con los intereses del Servicio y por consiguiente con los de la Federación Rusa; son los expuestos en este punto.

Llama la atención que en la mayor parte de estos objetivos -salvo quizás Ucrania y sus infraestructuras- el GRU tiene, siempre presuntamente, un interés relacionado más con la confrontación de información psicológica a la que hemos hecho referencia que con un ataque puramente técnico; dicho de otra forma, es poco probable que el GRU ataque a objetivos como los investigadores del uso de Novichok o del derribo del MH17, que veremos a continuación, con la intención de alterar tecnológicamente los resultados de estas investigaciones… es más probable que el objetivo real fuera obtener información por un lado para conocer de primera mano el estado en cada momento y por otro, igualmente importante, para poder obtener datos que permitiera al Servicio el inicio de campañas de desinformación contra estos organismos investigadores, de manera que de cara a la sociedad perdieran credibilidad en sus afirmaciones, beneficiando así los intereses de la Federación Rusa. [Read more…]

Agujas, pajares e imanes: Análisis forense de malware fileless (V)

En el artículo anterior Ángela ya tenía gracias al análisis forense toda la información del ataque, así que le toca continuar con la respuesta al incidente en las fases de contención, erradicación y recuperación.

Respuesta al incidente

Con todas las respuestas importantes en la mano, Ángela puede hacer un esquema muy rápido del incidente:

  1. Los atacantes envían un spear-phishing a Pepe Contento y otros altos cargos el 3 de noviembre sobre las 10.37h.
  2. El usuario Pepe Contento abre el correo y pincha sobre el enlace el mismo día a las 11.05h, ejecutando el código malicioso entregado por Sharpshooter y comprometiendo su equipo con una sesión de Meterpreter.
  3. Los atacantes verifican que tienen privilegios de administrador y obtienen las credenciales del equipo, encontrando el hash de un administrador de dominio (que tenía sesión iniciada en el equipo).
  4. Los atacantes se hacen pasar por la cuenta de administrador de dominio y acceden a las contraseñas cifradas de varios altos cargos.
  5. Estas contraseñas cifradas son rotas por los atacantes mediante un ataque de fuerza bruta, obteniendo las contraseñas en claro.
  6. Los atacantes emplean esas credenciales para acceder a los webmail de diversos altos cargos entre las 11.30h y las 16.00h del mismo día.
  7. A las 15.30h la usuaria maria.feliz detecta un comportamiento inusual de su cuenta de correo y lo comunica al CAU.
  8. A las 15.45h el CAU corrobora el comportamiento extraño y avisa a Seguridad.
  9. Seguridad accede a las 15.55h a los logs del correo y detecta los accesos anómalos.
  10. Se declara incidente de seguridad a las 16.00h.

[Read more…]

Agujas, pajares e imanes: Análisis forense de malware fileless (IV)

Paso 7: Correo

En la entrada anterior Salvador había destripado el malware y encontrado el C2, y Ángela había confirmado que era una sesión de Meterpreter, habiéndose hecho una idea de las posibles acciones realizadas por los atacantes.

Tan solo queda localizar el vector de entrada, que por el análisis de memoria sabíamos que era un correo electrónico malicioso. Es el momento perfecto para recuperar el equipo del usuario pepe.contento, entrar con un LiveUSB forense (como DEFT o SIFT) y recuperar el .ost del usuario del directorio C:\Users\pepe.contento\AppData\Local\Microsoft\Outlook.

Para leerlo en modo solo lectura la forma más cómoda es emplear Kernel OST Viewer, que permite abrir el fichero de correo entero (y con acceso a los metadatos). En 30 segundos Ángela ha encontrado lo que buscaba:
[Read more…]

Agujas, pajares e imanes: Análisis forense de malware fileless (III)

Paso 5: Análisis de malware

En la entrada anterior Ángela había encontrado la persistencia del malware, así que procede analizarlo para ver su contenido. Salvador (a pesar de su espesa barba digna de un administrador de HP-UX de principios de siglo) está más contento que un niño con zapatos nuevos, así que se lanza a por el malware como un fox-terrier hambriento.

Lo primero de todo es comprobar si nos estamos enfrentando a un malware conocido. Para ello Salvador copia el código en base64 a un fichero de texto, calcula su hash con HashMyFiles y lo sube a VirusTotal sin obtener resultados. Interesante…

El segundo paso sería subir el fichero a VirusTotal, pero Salvador ha estado atento a lo explicado por sus profesores del curso de análisis de malware: algunos atacantes vigilan de forma constante VirusTotal para comprobar si su malware ha sido subido a la plataforma, usándola como un sistema de alerta temprana.
[Read more…]

Agujas, pajares e imanes: Análisis forense de malware fileless (II)

Paso 3: Logs de eventos

En la entrada anterior dejamos a Ángela blasfemando por la manera en la que los atacantes habían empleado un antiguo dominio del MINAF para realizar su ataque. Ahora toca comprobar lo sigilosos que han sido revisando los logs del sistema.

Todo equipo Windows tiene un registro de eventos, situado en los equipos modernos en:

C:\Windows\System32\winevt\Logs

Existen diversos registros en función de los eventos que se guardan. Los clásicos son Seguridad, Sistema y Aplicación, pero a día de hoy tenemos varias docenas más de registros, que en algunos casos nos pueden dar información vital. Estos registros se guardan en formato binario, por lo que necesitamos algún programa para abrirlos.

[Read more…]

Agujas, pajares e imanes: Análisis forense de malware fileless (I)

[Nota: Esta serie de posts es una narración de un análisis forense de un caso práctico totalmente ficticio (pero contada, esperamos, de forma didáctica y con gracia y salero). Si queréis una versión con la misma dosis técnica pero con menos narrativa, podéis consultar el vídeo de la charla que el autor dio en las XII Jornadas STIC del CCN-CERT, o echar un ojo las slides de la presentación].

[Nota 2: Estos posts desgranan un taller de análisis forense básico. Habrá algunas cosas que se podrían hacer de manera más eficiente y elegante, pero la idea era hacerlas de forma sencilla para que fueran fáciles de entender. Y como todo buen taller práctico, se puede seguir paso a paso: el CCN-CERT está alojando en LORETO todo el material, que podéis descargar desde aquí. Tenéis tanto las evidencias en bruto (si queréis primero intentar encontrar el bicho por vuestra cuenta sin leer nada de la solución) como una guía paso a paso con todas las herramientas y evidencias necesarias en cada paso].

Un nuevo día empieza en las instalaciones del MINAF (Ministerio de la Alegría y la Felicidad), lo que para Ángela de la Guarda (CISO del MINAF) significa café, reuniones y papeleo. Al menos, el proyecto del ENF (Esquema Nacional de Felicidad) está de una vez saliendo adelante…

[Read more…]

¿Qué paSAP con mis contraseñas?

Técnica y herramienta para la obtención de credenciales de usuario del aplicativo SAP

En este artículo se va a hablar del protocolo que usa SAP cuando un usuario se autentica, los fallos de seguridad que presenta, y cómo poder utilizarlo en nuestro beneficio al llevar a cabo una auditoría.

Con el crecimiento de las empresas, surge la necesidad de emplear nuevas herramientas que permiten hacer una mejor gestión del capital, tanto humano, como físico.

Así, compañías como SAP ponen a disposición de otras empresas una herramienta que les permite poder llevar a cabo esta gestión. Aunque hay varios tipos de arquitectura, lo más común es encontrarse una configuración basada en tres niveles (three-tier architecture).

Esta estructura plantea un modelo en el que los clientes (client tier) se conectan a uno o varios servidores (business logic tier), que hacen de mediadores entre el usuario y las bases de datos (database tier), que puede estar distribuida entre varias máquinas. [Read more…]

(Ciber) GRU (IX): estructura. Otras unidades

Además de las dos unidades anteriores, que han cobrado protagonismo a partir de la información sacada a la luz en 2018, el GRU cuenta con otras Unidades Militares ligadas a inteligencia de señales, ciberseguridad o guerra de información; algunas de las que podemos encontrar datos en fuentes públicas son las siguientes:

  • Unidad Militar 11135 (18th Central Research Institute). Históricamente ([1]) se ha identificado dentro del GRU al Central Scientific Research Institute, que desde Moscú diseña equipamiento SIGINT para el GRU y que quizás en la actualidad sea esta Unidad Militar, focalizada hoy en día no sólo en interceptación de comunicaciones de radio y satélite sino también en dispositivos inalámbricos, sistemas SCADA o protección de las comunicaciones ([2]).
  • Unidad Militar 40904, conocida como el “177º Centro Independiente para la Gestión del Desarrollo Tecnológico”. Ubicada en Meshcheryakova, 2 (Moscú), con alta probabilidad, esta unidad se especializa en el procesamiento de inteligencia de señales ([3]).
  • Unidad Militar 36360. Aparentemente es una unidad formativa del GRU en la que se imparten, al menos desde enero de 1949, cursos avanzados de inteligencia. Esta formación, también aparentemente y según fuentes abiertas, incluye temas muy ligados al ámbito ciber como los siguientes:
    • Ingeniería de Telecomunicaciones (comunicación por radio, radiodifusión y televisión).
    • Tecnologías, redes y sistemas de comunicación.
    • Sistemas y tecnologías de información: información y análisis.
    • Ingeniería de software.
    • Matemáticas aplicadas y ciencias de la computación.
    • Seguridad de la información.
    • Software informático.
    • Sistemas automatizados de procesamiento y control de información.
    • Traducción y estudios de traducción (lingüística).
  • Unidad Militar 54726 (46th Central Research Institute), centro focalizado en información técnica militar, en especial sobre las capacidades de países extranjeros, que potencialmente incluye investigación en el ámbito ciber.

[Read more…]

Grupo WIRTE atacando a Oriente Medio

Desde el Grupo de Elaboración de Inteligencia (GREIN) de S2 Grupo se ha llevado a cabo una investigación sobre un actor sobre el que desde GREIN no se han podido encontrar referencias o similitudes en fuentes abiertas y al que se ha identificado como WIRTE.

El equipo de DFIR (Digital Forensics and Incident Response) de S2 Grupo identificó por primera vez este actor en agosto de 2018 y a partir de ese instante se ha llevado a cabo el seguimiento durante los últimos meses.

Este grupo ataca a Oriente Medio y no utiliza mecanismos muy sofisticados, al menos en la campaña iniciada en agosto de 2018 que fue la monitorizada. Se considera poco sofisticado por el hecho de que los scripts están sin ofuscar, las comunicaciones van sin cifrar por HTTP, utilizan Powershell (cada vez más monitorizado), etcétera. Pese a este modus operandi aparentemente poco sofisticado respecto a otros actores, consiguen infectar a sus víctimas y llevar a cabo sus objetivos. Además, como se verá durante este artículo, la tasa de detección de alguno de los scripts en el mes de diciembre de 2018 por los principales fabricantes de antivirus es baja, aspecto que es necesario resaltar. Hay que ser consciente que una vez se ejecutan estos scripts es cuando el análisis por comportamiento de muchas soluciones los detectarán, pero este hecho no ha sido objeto de estudio por parte de GREIN.

Este actor en todos los artefactos analizados muestra a sus víctimas un documento señuelo en árabe con diferentes temáticas. Durante el informe se analizarán estos documentos y quienes podrían ser los objetivos dependiendo de la temática tratada en el documento. [Read more…]