Search Results for: mirai

Análisis de Linux.Okiru

18 de diciembre de 2017 Por

Siguiendo con nuestra campaña de detección y documentación de botnets IoT, hace unos días encontramos otra amenaza no clasificada con anterioridad. Fue subida por primera vez a la plataforma VirusTotal el 3 de noviembre y solamente es detectada como maliciosa por 4 antivirus.

Durante el artículo se van a analizar dos variantes del malware, las cuales se diferencian fundamentalmente en su propagación. La primera de ellas fue detectada en nuestros sistemas honeypot (concretamente para la arquitectura SPARC). La segunda se trata de una variante de la primera, la cual fue encontrada bajo la arquitectura Intel x86_64, y de la cual el laboratorio de malware Netlab360 se hizo eco hace unos días.

Al no encontrar registros de su identificación, hemos decidido clasificarla como Linux.Okiru, debido al nombre de sus binarios.
[Read more…]

Botconf, dans la maison du botnet

13 de diciembre de 2017 Por

El pasado 6, 7 y 8 de diciembre tuvo lugar en Montpellier la 5ª edición de la Botconf.

Durante los tres días, más de 300 personas asistieron a la conferencia de las botnets por excelencia. Las charlas fueron todas de un alto nivel y se abordaron temas que fueron desde el desarrollo de herramientas para la obtención o clasificación de malware hasta los problemas legales que pueden acarrear la publicación de ciertas evidencias en nuestros descubrimientos.

A continuación se resumen algunas de las más de veinticinco charlas expuestas:

How to Compute the Clusterization of a Very Large Dataset of Malware with Open Source Tools for Fun & Profit

La charla que dio comienzo a la conferencia expuso la necesaria automatización en la clasificación de familias de malware, dado el elevado número de muestras con las que en estos días suelen trabajar los analistas.

Así pues, se nos presentó la implementación de varios algoritmos de Deep Learning para la clusterización de datos a partir del parseo de los resultados de análisis estáticos previos, como también algunos de los problemas surgidos relacionados con la dificultad que todavía supone la gestión de la complejidad por el Big Data.
[Read more…]

Análisis de Linux.IotReaper

6 de noviembre de 2017 Por

Hace un par de días conocimos la existencia de una nueva amenaza IoT considerablemente más elaborada que cualquiera de las detectadas hasta la fecha (http://blog.netlab.360.com/iot_reaper-a-rappid-spreading-new-iot-botnet-en/), dicha botnet ha sido bautizada por Netlab 360 como IotReaper. Así pues, desde el laboratorio de malware de S2 Grupo hemos obtenido y analizado algunas de las muestras relacionadas.

Infraestructura

La infraestructura de la red es bastante similar a la de la botnet Mirai, siendo formada ésta por cuatro elementos:

  • Servidor Report: Encargado de recolectar la información remitida por los bots.
  • Servidor Downloader: Encargado de proporcionar las samples del malware vía HTTP. La presencia de elemento permite la continua incorporación de actualizaciones sin necesidad de dejar en desuso versiones anteriores del malware.
  • Servidor C2: Encargado de remitir las órdenes de denegación de servicio.
  • Bot: Dispositivo IoT infectado por la botnet IotReaper.

[Read more…]

Análisis de Linux.Helios

23 de octubre de 2017 Por

Desde hace varias semanas venimos detectando desde el laboratorio de malware de S2 Grupo una nueva variante de malware para arquitecturas Linux e IoT, registrado por primera vez en la plataforma VirusTotal el pasado día 18 de Octubre, y al cual hemos denominado Linux.Helios, debido al nombre de ciertas funciones presentes en la muestra.

Destacamos que las principales firmas de antivirus no clasifican de forma unánime esta muestra: van desde ELF.DDoS hasta Tsunami, pasando por Gafgyt o Mirai. [Read more…]

Defendiendo nuestros dispositivos IoT

12 de julio de 2017 Por

Mucho se ha hablado últimamente de los ataques en IoT, pero muy poco de cómo defenderse. Así pues, me puse a investigar un poco sobre las medidas de las que disponemos los Makers a la hora de incrementar la seguridad en nuestros dispositivos conectados a Internet.

A estas alturas de la partida todos sabemos que Arduino se ha impuesto como la plataforma de hardware libre por excelencia y navegando un poco por su web oficial puede verse que hace relativamente poco tiempo han lanzado al mercado una nueva placa denominada MKR1000, entre cuyas especificaciones técnicas me llamó especialmente la atención un punto que decía ECC508 CryptoAuthentication.

Placa Arduino MKR1000

Placa Arduino MKR1000

Pues bien, si indagamos un poco más descubrimos que Arduino ha integrado el chip ATECC508A de Atmel, el cual nos dota con las bondades del algoritmo de Curva Elíptica Diffie–Hellman en nuestros dispositivos IoT. Es un buen principio, pero… ¿qué más tiene Atmel preparado para la seguridad? Además del cifrado asimétrico cubierto por la familia de dispositivos basados en ECC, encontramos los dispositivos basados en SHA y en AES. Es cuestión de elegir la familia que mejor se adapte a las necesidades de nuestro proyecto.

Vamos a estudiar un poco que características tiene cada una de las familias.

[Read more…]

EternalBlue vía IoT (PoC)

25 de mayo de 2017 Por

Introducción

No cabe duda de que el mundo está en estado de alerta tras los últimos acontecimientos relacionados con la infección masiva del Ransomware WannaCry2.0, y la adición de características de gusano a una variante de ransomware nos lleva directamente a una nueva era para la ciberseguridad. Sin embargo, muchas veces las medidas que se toman son simplemente parches para la contención inmediata de la amenaza, sin llevar a cabo aquellas que subsanen la vulnerabilidad de forma total.

En el siguiente post se especifica el modo de unir los dos ataques de las amenazas más conocidas, las cuales han tenido incidencia a nivel mundial durante estos últimos meses. Por un lado, la vulnerabilidad en los dispositivos IoT, y por el otro el CVE-17-0144 asignado al exploit EternalBlue.
[Read more…]

Nukin’ Zaragoza: a cyberwar exercise (VIII). De vuelta al mundo real.

16 de mayo de 2017 Por

(Puedes consultar todas las partes de esta serie en los siguientes enlaces: 1. Apagón, 2. Esto no puede estar pasando, 3. Silencio sepulcral, 4. La hora de la verdad, 5. Daños colaterales, 6. La verdad está ahí fuera, 7. Lo que sabemos que no sabemos, 8. De vuelta al mundo real, 9. Conclusiones. Esperamos que hayan disfrutado con ella tanto como nosotros escribiéndola y publicándola).

(Después del fin de semana movidito que hemos tenido, volvemos con el penúltimo post de la serie de Antonio Sanz sobre un potencial escenario de ciberguerra en la ciudad de Zaragoza. En breve, las conclusiones finales).

0. De vuelta al mundo real

A primera vista, podría parecer que el relato anterior sería más que adecuado como  argumento de una película de Tom Clancy. Sin embargo, vamos a volver a repasar todos los puntos de la investigación del relato ficticio, pero desde otra óptica: la del mundo real.

Fallo del suministro eléctrico

Las redes eléctricas podrían ser sin muchas dudas la infraestructura crítica más importante de un país: la dependencia de otros muchos sistemas de la electricidad lo hace indispensable para la sociedad moderna.

Es por ello por lo que estas redes son objetivos claros de acciones de ciberguerra: un ejemplo claro es el ataque sobre la red eléctrica Ucraniana en 2015 y 2016, que dejó sin energía eléctrica a más de 200.000 personas durante varias horas.  Otro ejemplo, aunque sin confirmar, sería el apagón de prácticamente todo el sudeste de Turquía en 2015, que dejó a 40 millones de turcos sin suministro eléctrico durante 12h.

[Read more…]

Tendencias malware Abril 2017. Destacado: Hajime y Shadow Brokers Leak.

9 de mayo de 2017 Por

Como todos los meses, desde el laboratorio de malware seguimos compartiendo con vosotros lo que se está cociendo en el mundo del malware. Recordad que en este tipo de entradas encontraremos amenazas conocidas, vistas en otras fuentes o analizadas directamente en nuestro laboratorio, pero el objetivo del post es conocer qué tipo de amenazas están activas.

A continuación, mostramos un diagrama con la información recopilada este mes desde el laboratorio:

[Read more…]

¿Está tu NAS expuesta a Internet?

24 de abril de 2017 Por

El uso generalizado de dispositivos conectados a la red, como carros (automóviles), equipos médicos, controladores industriales (PLC), electrodomésticos, etc., ha traído consigo un panorama nuevo y extremadamente vulnerable.

Si bien se ha avanzado a pasos agigantados en temas de conectividad (¡Twitter hasta en el horno!), también se ha dejado de lado el tema de seguridad. Esto se debe principalmente a que para la mayoría de usuarios y organizaciones, la seguridad en Internet no es un factor fundamental, razón por la cual han sucedido casos como el de Mirai, uno de los ataques de denegación de servicio distribuido más grandes de los que se tiene registro hasta ahora, que no es más que uno de los primeros casos a los que nos tenemos que enfrentar en este nuevo escenario.

La proliferación de dispositivos interconectados ha traído para los usuarios (hogares, organizaciones) muchas ventajas: flexibilidad, movilidad, automatización, eficiencia etc., pero ¿qué pasa cuando no tomamos las medidas de seguridad apropiadas y estamos desprotegidos por defecto?

A continuación, se verá cómo una serie de pequeñas debilidades pueden ocasionar una gran fuga de información, comprometiendo datos personales, financieros y confidenciales, tanto de usuarios particulares como de organizaciones.

[Read more…]