MouseJack (o por qué no usar ratones inálambricos)

(N.d.E. Por un error hemos publicado una entrada que publicamos hace unos meses. La que sigue sí es nueva :)

Hace ya algún tiempo el equipo de investigación de Bastille informó que los ratones y teclados inalámbricos de diferentes marcas están afectados por vulnerabilidades relacionadas con la transmisión de datos.

 


Bastille – Mousejack Explainer Video

Aunque el vídeo sea un poco peliculero, al más puro estilo Mr. Robot, es de tener un poco de cabeza que si las conexiones inalámbricas como Wi-Fi o Bluetooth son susceptibles de vulnerabilidades que permitan interceptar el tráfico de red, ¿por que no podrían serlo otro tipo de comunicaciones inalámbricas como los ratones y teclados inalámbricos?

[Read more…]

Evolución de Trickbot

Desde el laboratorio de malware de S2 Grupo llevamos tiempo vigilando los movimientos de un troyano conocido como Trickbot. Su relación con Dyre, otro troyano más antiguo con el que comparte muchas características de diseño, y la velocidad a la que evoluciona, ha captado nuestro interés desde que vimos las primeras muestras.

Este malware se suele catalogar como troyano bancario puesto que hasta el momento ha estado muy orientado al robo de datos referentes a banca, pero su diseño modular permite que en cualquier momento puedan ampliar sus capacidades para realizar cualquier tipo de acción extra.

Durante sus primeras versiones, ya se realizaron muy buenos análisis como los de @hasherezade en el blog de malwarebytes y de Xiaopeng Zhang en el de Fortinet. Pero el desarrollo de Trickbot ha seguido durante los últimos meses, llegando a la versión 17 en menos de 6 meses. Por ello hemos pensado que sería interesante comprobar los cambios que ha sufrido durante su evolución y profundizar en algunas de sus técnicas más curiosas a la hora de realizar distintas acciones.

Junto con estos factores, un reciente aumento en sus objetivos y campañas de infección, ha motivado que decidamos dedicar tiempo y esfuerzo extra en realizar un análisis más profundo de esta amenaza.

Hemos recopilado el resultado de dicho análisis en el reporte que adjuntamos a continuación y que esperamos resulte de utilidad a más de uno.

– Descargar informe –

[Read more…]

La CCI rusa (XV): objetivos. Necesidades de información

Recapitulemos: hasta el momento llevamos varias entradas relativas a la CCI rusa, en las que hemos contextualizado a la inteligencia rusa, hemos descrito sus diferentes servicios con atribuciones ciber y hemos analizado, en la medida de lo posible, sus relaciones con terceros, describiendo así el complejo ecosistema de inteligencia en Rusia. Con este ecosistema ya descrito (en algún momento había que parar), vamos a tratar ahora de analizar los objetivos de esta inteligencia, sus necesidades de información: ¿qué busca -y dónde- Rusia?... Leer Más

Rompiendo verificaciones de clave con Theorem Provers

TIPOS DE CLAVE DE PRODUCTO

A la hora de comprobar la legitimidad de la compra de un software, uno de los métodos más extendidos es la del uso de una clave de compra que se entrega al usuario cuando se compra el acceso al servicio o software. Estas claves deben ser comprobadas en algún punto de la ejecución y utilizar técnicas de ofuscación para que la generación de “keygens” no sea trivial.

Sin embargo, ¿cómo se comprueban estas claves? Aquí podemos encontrarnos con algunas de las siguientes situaciones: [Read more…]

Tendencias de malware Mayo 2017. Destacado: Wannacry y Phishings a Gmail

Un mes más, desde el laboratorio de malware queremos compartir con vosotros lo que se está cociendo en el mundo del malware. Recordar que en este tipo de entradas encontraremos amenazas conocidas, vistas en otras fuentes o analizadas directamente en nuestro laboratorio, pero el objetivo del post es conocer qué tipo de amenazas están activas.

A continuación, mostramos un diagrama con la información recopilada este mes desde el laboratorio:


Para poder observar de un modo más visual determinadas tendencias relativas a la infraestructura de algunas amenazas actuales, una vez más queremos mostraros unas graficas que consideramos interesantes. La idea es sencilla y consiste en recopilar de diferentes fuentes abiertas y de fuentes propias, direcciones IP de Command and Controls (C2 a partir de ahora). Después esta información recopilada la representamos de diferentes maneras como veremos a continuación:
[Read more…]

Privacidad electrónica, el nuevo reglamento europeo

Ya queda menos para  asistir a la transformación de dos grandes regulaciones que nos han estado ayudando a proteger importantes derechos y libertades fundamentales, como el derecho a la intimidad y al honor, y también el derecho a no ser atropellados publicitariamente y a la autodeterminación informativa.

Me refiero lógicamente a la LOPD (Ley Orgánica 15/1999 de Protección de datos)  y a la LSSI-CE (Ley 34/2002 de 11 de julio de Servicios de la Sociedad de la Información y del Comercio Electrónico).

Ambas se transformarán para dar paso a sus dos homólogas europeas: el Reglamento General de Protección de Datos del que ya he hablado aquí en numerosas ocasiones y el Reglamento de Privacidad y Comunicaciones Electrónicas (que abreviaremos como RPCE).

Hoy le voy a dedicar a unas líneas a este último y a intentar resumir alguno de sus principios  a modo de guía para contemplar finalmente alternativas de adecuación.

[Read more…]

Estrategia de Continuidad de Negocio – II

La semana pasada hacíamos algunas reflexiones sobre la fase de estrategia dentro del ciclo de vida de la continuidad de negocio, y como ejemplo, nos planteábamos qué estrategias utilizar en el caso hipotético de que nuestra oficina en Madrid no estuviese disponible y tuviésemos que recuperar el proceso en 24h.... Leer Más

EternalBlue vía IoT (PoC)

Introducción

No cabe duda de que el mundo está en estado de alerta tras los últimos acontecimientos relacionados con la infección masiva del Ransomware WannaCry2.0, y la adición de características de gusano a una variante de ransomware nos lleva directamente a una nueva era para la ciberseguridad. Sin embargo, muchas veces las medidas que se toman son simplemente parches para la contención inmediata de la amenaza, sin llevar a cabo aquellas que subsanen la vulnerabilidad de forma total.

En el siguiente post se especifica el modo de unir los dos ataques de las amenazas más conocidas, las cuales han tenido incidencia a nivel mundial durante estos últimos meses. Por un lado, la vulnerabilidad en los dispositivos IoT, y por el otro el CVE-17-0144 asignado al exploit EternalBlue.
[Read more…]

Oleada de ataques con keyloggers –> keybase & Hawkeye

La semana pasada fuimos testigos de una oleada de documentos office con macros maliciosas y que revisaremos en esta entrada. Los hashes de los documentos son:

Si ejecutamos 1) se produce el siguiente comportamiento en el sistema (pinchar en las imágenes para ver la versión ampliada – se abren en una pestaña nueva):

[Read more…]

Estrategia de Continuidad de Negocio – I

En este artículo se hacen algunas reflexiones sobre la fase de estrategia dentro del ciclo de vida de la continuidad de negocio.

Es más que habitual que los clientes, y no pocos consultores, a la hora de mejorar la resiliencia de las organizaciones, propongan un “Plan de Continuidad de Negocio”. En realidad, se debería hablar de implantar una “Gestión de la Continuidad de Negocio”, ya que de lo que se trata es de poner en marcha una serie de procesos, actividades y capacidades interrelacionadas. De aquí en adelante usaremos las siglas BCM para referirnos a dicha Gestión.

Sí, hay que reconocer que uno de los posibles resultados del BCM puede ser la elaboración de uno o varios planes que definan cómo actuar ante un evento inesperado y recuperar una funcionalidad de negocio o una capacidad TIC. No obstante, dichos planes no son, por supuesto, los únicos “outputs” del BCM, aunque sí es cierto que son los más visibles y, por desgracia, los auditores suelen limitarse a verificar la existencia de los mismos cuando evalúan las capacidades de recuperación de la organización (el clásico de poner la marca de “cumple” en la casilla de verificación).

[Read more…]