It’s raining ransomware, man…

3 de julio de 2015 Por

ransomwareDe un tiempo a esta parte, tenemos un nuevo campeón indiscutible dominando en el universo del malware. En un principio, parecía que sería como cualquier otro virus o troyano a los que ya estamos acostumbrados, pero hemos ido viendo como su poder y popularidad ha ido creciendo de manera exponencial con el paso del tiempo. Hablamos del ya famoso ransomware. Fíjense si es famoso que hasta tiene un papel muy relevante en un capítulo de la última temporada de una conocida serie de televisión (y no vamos a decir más).

Todos aquellos que trabajamos dentro el ámbito de la seguridad de la información, ya conocemos a este espécimen, pero por si hay alguien que aún no tiene claro de lo que estoy hablando, explico brevemente al tipo de malware al que me refiero.

Conocemos como ransomware a todo aquel malware que nos bloquea el acceso a (parte o toda) la información almacenada en el dispositivo comprometido, mediante el cifrado de ésta con una clave que desconocemos, y que pide un rescate económico a cambio de recuperar el acceso a dicha información.

[Read more…]

Una introducción a Responder

2 de julio de 2015 Por

Muchos de los lectores de este blog ya habréis utilizado, o al menos tanteado, la herramienta de la que voy a hablar hoy. Se trata de Responder, una herramienta de pentesting creada por los genios de SpiderLabs para hacernos la vida más fácil a la hora de realizar auditorías principalmente en entornos Windows; su objetivo principal es la obtención de credenciales de usuario y hashes.

Se trata de una herramienta bastante sencilla de utilizar y que no necesita de profundos conocimientos técnicos para obtener resultados, pero también puede tener consecuencias inesperadas en el funcionamiento normal de la red si no se conoce como pueden afectarle las distintas funcionalidades de Responder.

Por ello voy a explicar a grandes rasgos el funcionamiento interno de algunas funcionalidades de Responder, así como enumerar las diferentes opciones básicas que presenta la herramienta.

[Read more…]

Análisis de servidores web en dominios ".es" (II)

1 de julio de 2015 Por

Hace unos días veíamos las estadísticas que habíamos obtenido de los servidores web, lo que evidenciaba la gran cantidad de trabajo que queda por hacer. Sin embargo, como veremos a continuación, ese no es el único problema.

Tecnologías web

No todos los servidores responden sobre las tecnologías web que albergan (ASP, PHP, etc). De los 914.903 dominios en los que nos estamos basando, solo 395.828 respondieron a esta consulta y de ellos sacamos estas tecnologías:

  • PHP: 216.066.
  • ASP.NET: 111.171.
  • Plesk: 57.383.
  • Otros: 11.208.

[Read more…]

El “mapa mundi” del Gobierno de la CiberSeguridad

30 de junio de 2015 Por

“Una vez descartado lo imposible, lo que queda, por improbable que parezca, debe ser la verdad”. Frase del novelista escoces Sir Arthur Conan Doyle, conocido por crear al célebre detective de ficción Sherlock Holmes.

Como vimos en la entrada anterior, Las “olimpiadas” del Gobierno de IT, en la actualidad la información juega un papel vital en todo tipo de organizaciones, lo que ha hecho que su seguridad haya ido convirtiéndose en un aspecto clave; con un vistazo rápido a las noticias generalistas podemos ver que el crecimiento de los ciberataques está teniendo graves consecuencias. Diariamente se producen miles de “ataques” en todo el mundo, ritmo que aumenta de manera exponencial y que crea la necesidad de defender los recursos de las organizaciones frente a amenazas externas.

[Read more…]

Criptografía, ¿El patito feo de la informática? (III)

29 de junio de 2015 Por

Una vez hemos visto la introducción y la aplicación a escenarios y entornos concretos, vamos por último a ver una herramienta que es casi imprescindible conocer para el cifrado de información: el gran GPG.

GNU Privacy Guard es una herramienta de cifrado y firma digital, que de por sí nos daría para un post entero, pero dado que hay literatura de sobra para completar varios libros solo daré unas pinceladas básicas. El principal uso de esta herramienta es el cifrado y firmado de archivos y emails mediante criptografía asimétrica, aunque también soporta el cifrado de datos mediante algoritmos simétricos.

[Read more…]

Análisis de servidores web en dominios ".es" (I)

26 de junio de 2015 Por

Hace unas semanas veíamos que casi 100.000 dominios “.es” están mal configurados y permiten la transferencia de zona. Siguiendo con la entrada anterior, ésta sobre la vulnerabilidad a heartbleed o ésta sobre la vulnerabilidad a FREAK de los dominios “.es”, el siguiente paso consistió en obtener la información de:

  • Servidores Web.
  • CMS Instalados.
  • Tecnologías web (ASP, PHP…) existentes.

Para ello se ejecutó el script python whatweb contra todos los dominios “.es”, de manera que se almacenaran en una base de datos MySQL los resultados. El proceso tardó más de un mes (del 19 de marzo al 28 de Abril) en realizarse (estamos hablando de 1.7 millones de dominios .es) y la verdad es que los resultados fueron muy interesantes.

Como disclaimer previo, decir que la información obtenida para el estudio es accesible para cualquier usuario de Internet y que los datos fueron obtenidos de la manera menos agresiva posible, con una única petición HTTP.

[Read more…]

Evaluación de Impacto en la Protección de Datos Personales (EIPD)

25 de junio de 2015 Por

Hace algún tiempo que la Agencia Española de Protección de Datos publicó la Guía para una Evaluación de Impacto en la protección de Datos Personales [PDF]. La verdad es que hasta ahora no me había parado a leerla y la verdad es que es bastante interesante.

En la guía se hace referencia a términos como PIA por sus siglas en inglés (Privacy Impact Assements) y EIPD (Evaluación de Impacto en la Protección de Datos personales). Un término más conocido bastante relacionado con este tema es el de Privacy by Design, del cual podemos encontrar bastante documentación al respecto, pero por no mezclar ideas en este post nos centraremos en el EIPD y más concretamente en lo que la guía de AEPD propone al respecto.

[Read more…]

Criptografía, ¿El patito feo de la informática? (II)

24 de junio de 2015 Por

En la anterior entrada vimos una breve introducción a la criptografía. Hoy trataremos de aplicar lo visto a un escenario más práctico.

Cifrado de disco con herramientas nativas

Por suerte todos los sistemas operativos modernos disponen de un conjunto de herramientas que proporcionan “cripto robusta” y todas ellas permiten el cifrado completo de disco o cifrado de la partición de usuario. Debido a la extensión de algunos de los procesos que en sí darían para un post, en ocasiones se enlaza a la documentación original.

[Read more…]

¿Automóviles vulnerables a ciberataques? (II)

23 de junio de 2015 Por

Tras la introducción que vimos hace unos días, pasamos a la parte que más probablemente os gusta: analizar los vectores de ataque.

Para ello he cogido como ejemplo una arquitectura propuesta por BMW en sus nuevos coches lanzados al mercado. Se observan distintas opciones de ataque que se podrían encontrar tanto BMW como sus usuarios con la arquitectura propuesta. Hay que tener en cuenta que con toda la nueva tecnología y funcionalidades disponibles, el usuario está expuesto a nuevas amenazas que anteriormente no existían:

  • Vector 1. Portal My BMW ConnectedDrive.

    Se trata de un portal web desde el que es posible realizar la administración del vehículo. Para darse de alta es necesario proporcionar el número de bastidor de cada vehículo (número VIN). Una vez introducido el código VIN en el portal, se envía un segundo código al coche que se recibe a través de la tarjeta SIM que tiene integrada. El usuario debe abrir el coche y apuntar esta numeración para luego introducirla en el portal web. De este modo, se tiene que realizar una autenticación de dos factores que evita, por ejemplo, que podamos introducir los datos de un vehículo que no sea nuestro pero del que conozcamos los datos que nos solicitan.

    [Read more…]

Squert

22 de junio de 2015 Por

Dentro de la seguridad informática aplicada a la empresa, uno de los principales puntos que ha de cubrirse es la monitorización y vigilancia a nivel de red. Hay que monitorizar los datos que entran a través del perímetro, los datos que salen de la compañía y el tráfico entre equipos dentro de nuestra red. Esta disciplina es lo que se ha dado en llamar NSM (Network Security Monitoring) y que algunos hemos conocido de la mano de Richard Bejtlich y su libro “The Tao of network security monitoring”.

Pues bien, en este post he decidido presentar una pequeña introducción sobre una herramienta que puede hacernos la vida más fácil en esto de la monitorización de la seguridad de una red: Squert. Pero para poder entrar a ver qué es Squert, primero tendremos que dar unas pequeñas pinceladas de su “padre” Sguil.

Sguil

Sguil es un consola de análisis de eventos de red diseñada por y para analistas, compuesta de varios sistemas que conjuntamente nos ayudan a monitorizar la seguridad de una red de ordenadores. Además del acceso a eventos en tiempo real, nos proporciona datos de sesión y capturas de paquetes de red. Desde su interfaz podemos visualizar dichos datos, e incluso tenemos también capacidades de gestión y clasificación de dichos eventos.

En la siguiente tabla podemos ver los componentes en los que se apoya SGUIL para la recogida y presentación de los datos:

Posee una estructura de cliente-servidor en la que los sensores (clientes) monitorizan los enlaces de red (snort, SANCP) y envían los datos al servidor de Sguil donde se almacenan en una base de datos para su posterior tratamiento. Podemos visualizar dicha información mediante un interfaz gráfico multiplataforma escrito en TCL/TK.

SQUERT (Simple QUEry and Report Tool)

Nació como una evolución de Sguil, añadiendo un interfaz web para visualizar y consultar los datos almacenados en una base de datos de Sguil. El nuevo interfaz mejora la usabilidad y hace el entorno más amigable, añadiendo a su vez nuevas funcionalidades a una herramienta ya de por sí muy útil.

Desde el interfaz de SQUERT podemos tener una visión global de lo que está pasando en nuestra red, actualmente Squert puede agrupar y visualizar alertas de nuestro network IDS (snort/suricata), alertas de host IDS proporcionadas desde OSSEC, PADs (Passive Asset Detection) y eventos procedentes de logs de Bro. La combinación de toda esta información puede ayudarnos a tener una visión más completa de lo que pasa en nuestros sistemas y determinar ante un incidente de seguridad los posibles equipos afectados, conexiones anómalas, etc.

Interfaz Web

Iniciaremos sesión con las credenciales que hayamos definido en la base de datos de Sguil.

La pantalla principal tiene un diseño claro, dando protagonismo al listado de eventos que aparece en posición central. Los filtros temporales aparecen en la parte superior y la barra lateral agrupa las estadísticas de eventos agrupados por tipos (grouping) y la activación de agrupado de eventos por tipo, o la visualización de la cola de eventos por categorizar (queue only).

Alertas

En el listado de alertas se agrupan todos los tipos definidos (NIDS + HIDS + PADS + OSSEC + BRO), una vez pinchamos encima de una de las alertas obtenemos un detalle de la firma que ha sido “activada”, el fichero de reglas en que se encuentra y los eventos clasificados por direcciones IP origen.

El número que aparece en la parte izquierda de la alerta indica el numero de eventos totales que han sido agrupados (si tenemos activado el grouping), por lo que haciendo clic encima, se desplegará el listado completo. En este caso se trata de una alerta de descarga de un fichero ejecutable EXE o DLL, y vemos que hay 2 eventos agrupados, la regla que ha activado la detección, la dirección IP origen, puerto y la dirección IP destino.

Si seguimos investigando y hacemos clic encima del ID del evento, se mostrará una transcripción del contenido de los paquetes de red capturado, donde podemos identificar claramente que se trata de la descarga de un fichero ejecutable.

El texto en color negro es el resultado de la ejecución de la herramienta p0f, identificando el SO. El resto del texto en azul y rojo es la conversación http extraída de la captura de red.

Llegado este momento en el que hemos descubierto un comportamiento malicioso y que puede deberse al compromiso del equipo analizado, podemos clasificar la alerta y continuar con el análisis del incidente, Squert sigue la misma clasificación que Sguil.

Podemos categorizar la alerta mediante el teclado (F1,F2,F3…) o seleccionando la alerta y pinchando en el icono de comentarios, que abrirá una ventana donde podremos seleccionar la categoría y añadir un comentario descriptivo si lo creemos oportuno.

Una vez categorizados los eventos, estos desaparecen de la cola y aparecen en las estadísticas de la categoría seleccionada.

Squert nos ofrece también la opción de crear reglas que nos permitirían categorizar automáticamente las alertas que van entrando en el sistema.

Una vez categorizada la alerta, en este caso nos sería de gran ayuda para continuar con nuestra investigación recuperar el ejecutable descargado. Si tenemos activada la opción de captura de paquetes podemos hacerlo desde ELSA.

ELSA es un framework de análisis de logs centralizado, que puede integrarse con Squert, para poder realizar búsquedas directamente sobre los logs almacenados. Haciendo clic sobre un elemento de la alerta, en este caso sobre el nombre de la firma de snort activada, vemos un submenú que incluye un enlace a una búsqueda externa en ELSA.

Siguiendo el enlace se abrirá una nueva pestaña en el navegador con el interfaz de conexión de ELSA, una vez iniciemos sesión, seleccionamos la tabla sobre la que queremos realizar la búsqueda, en nuestro caso “snort”.

Y obtendremos un listado con los registros resultantes de la búsqueda:

Desde la consulta de ELSA al hacer clic en el enlace “info” conectaremos con seleccionar más información y desde ahí se abrirá capme, un complemento de Squert que nos ayudará a recuperar la captura de red realizada en formato pcap y que posteriormente podremos abrir con wireshark para extraer el fichero descargado.

SUMMARY

Otra de las principales mejoras aportadas por Squert es la visualización de los datos y estadísticas. En esta segunda pantalla llamada Summary, tendremos una visión global de los ataques recibidos, estadísticas de las alertas más detectadas, direcciones IP origen de los atacantes más activos, direcciones IP de los hosts más atacados, etc.

VIEWS

En esta pantalla la información se centra principalmente en dar una visión rápida de las conexiones realizadas, mostrando las direcciones IP y la geolocalización de estas.

Referencias