Ramsonware, ¿un gran ataque global?

news and informations automotive,business,crime,health,life,politics,science,technology,travelautomotive,business,crime,health,life,politics,science,technology,travel

Sigue el sensacionalismo entorno al ramsonware que se descubrió ayer y se ha extendido por casi 100 países. Incluso Europol afirma que se trata de un ataque a un nivel sin precedentes.

Por supuesto que no voy a restar importancia a este incidente, pero creo que el enfoque que se le está dado en muchos medios es muy desacertado. Estamos tratando con un malware que requiere que un usuario de la red pulse en un enlace o abra algún archivo, y que además, el ordenador que está usando tenga un sistema operativo sin actualizar. No ha sido un acceso no autorizado a las redes internas saltándose cortafuegos, sistemas de detección de intrusos, elevación de privilegios, …

Continue reading »

Malware en Linux

news and informations automotive,business,crime,health,life,politics,science,technology,travelautomotive,business,crime,health,life,politics,science,technology,travel

Por algún motivo, muchos administradores de sistemas siguen teniendo la percepción de que Linux es un sistema operativo que no se ve afectado por el malware, o que es muy difícil que vea infectado por troyanos, virus, …

Si tenemos en cuenta que más de dos tercios de los servidores web que actualmente ofrecen contenido en Internet son variantes de Linux, Unix y BSD (W3 Techs, 2017), ¿cuál es el motivo que nos hace pensar que Linux no es un objetivo interesante para los atacantes?

Esta semana se ha puesto en contacto conmigo una empresa porque uno de sus servidores respondía con mucha lentitud a las peticiones de los clientes. En estas situaciones se pueden plantear varias posibilidades, y una de ellas es que el sistema haya sido atacado e infectado con algún tipo de malware. Desgraciadamente esta posibilidad suele ser bastante frecuente.

Lo primero es conocer las características del servidor. En este caso es una máquina CentOS 7 en Amazon EC2 en la que se instaló un JBoss versión 4.2.3:

Continue reading »

Cloudbleed, ¿otro desastre en Internet?

news and informations automotive,business,crime,health,life,politics,science,technology,travelautomotive,business,crime,health,life,politics,science,technology,travel

Cloudflare es una CDN (Content Deliver Network) usada por millones de sitios web para distribuir su contenido y para protegerse frente a ataques como DDoS (Distributed Denial of Service). Básicamente funciona como un proxy entre los sitios web y los clientes, actuando como intermediario para liberar a los servicios web de la carga de atender peticiones.

Además de esta protección anti-ddos también ofrece otras características de seguridad y optimización de rendimiento como ofuscación de correos, Server-Side Excludes y HTTPS rewrites.

El pasado 18 de febrero, Tavis Ormandy de Project Zero avisó a Cloudflare de un fallo en sus sistemas debido a un error en su código fuente:

Continue reading »

Malware casi invisible: infección y detección

news and informations automotive,business,crime,health,life,politics,science,technology,travelautomotive,business,crime,health,life,politics,science,technology,travel

Hace una semana hablábamos sobre las técnicas que están empezando a utilizar los atacantes para desarrollar malware muy difícil de detectar. Este tipo de malware suele denominarse fileless por el hecho de que no guarda ni modifica archivos en el disco duro y se ejecuta completamente en memoria.

Esta semana ya tenemos algo más de información sobre estas amenazas. El medio de infección aún no está claro, pero podría tratarse de archivos adjuntos de Office con macros que al ejecutarse en la máquina de la víctima hace las veces de dropper que instala el malware en sí. Por sorprendente que nos parezca, aún hay usuarios que aceptan la ejecución de macros en Word cuando se lo pide un archivo que han descargado de alguna web poco fiable o que les ha llegado en un correo electrónico desde un remitente desconocido. Como siempre, el factor humano sigue siendo el eslabón más débil de la cadena de seguridad.

Otra posibilidad que se baraja es el uso de de dominios gratuitos difíciles de rastrear para alojar exploits que aprovechen vulnerabilidades Java o Flash para la infección.

Lo que sí tenemos más claro es el modus operandi que sigue el malware una vez que se ha descargado a la máquina de la víctima. Aquí llama la atención de que, aunque la técnica fileless es bastante novedosa, se utilizan herramientas muy comunes y conocidas por los administradores de sistemas desde hace mucho tiempo para implementarla.

Una de estas herramientas es Metasploit, en la que se ha utilizado la utilidad msfvenom para la creación de un script. Aquí podemos ver msfvenom en funcionamiento:

Continue reading »

Malware casi invisible

news and informations automotive,business,crime,health,life,politics,science,technology,travelautomotive,business,crime,health,life,politics,science,technology,travel

Fue allá por el año 2011 cuando los analistas de seguridad se vieron sorprendidos por un nuevo tipo de malware que usaba sofisticadas técnicas de infección. Fue el derivado de Stuxnet más célebre y le llamaron Duqu. Al igual que Stuxnet, su complejidad y la forma modular en que se había diseñado llevó a la conclusión, que nunca se confirmó oficialmente, de que su desarrollo requería las capacidades de un país tecnológicamente avanzado, y que no podía ser obra de un grupo de delincuentes que no contasen con ese soporte.

Duqu desapareció en 2012, pero en 2015 Kaspersky se encontró de lleno con Duqu 2.0. Y se encontró de lleno porque varios de los propios sistemas internos de Kaspersky habían sido infectados con esta variante del malware.

https://securelist.com/files/2015/06/The_Mystery_of_Duqu_2_0_a_sophisticated_cyberespionage_actor_returns.pdf

Duqu 2.0 utilizaba varias vulnerabilidades zero-day, pero una de sus principales características es que no escribía ni modificaba archivos en los discos de las víctimas. Es lo que pasó a llamarse fileless malware, es decir, un malware que reside completamente en memoria y no deja rastro en ningún archivo. Esta capacidad hace que el malware pueda permanecer sin ser detectado durante meses.

Hasta hace poco, este nivel de sofisticación sólo estaba al alcance de grupos organizados y financiados por gobiernos y formaba parte de su arsenal de ciberguerra contra otras naciones. Sin embargo, en los últimos días las mismas técnicas de diseño “únicamente en memoria” han sido encontradas por Kaspersky en malware que infecta las redes de, al menos, 140 bancos y otras empresas en 40 países. Podrían ser más víctimas debido a la dificultad de detectar estas infecciones.

De hecho, la detección se hace aún más difícil porque para la inyección del malware en la memoria se están utilizando herramientas legítimas habitualmente usadas en la administración de sistemas, como Powershell, netsh, mimikatz o Metasploit.

La primera infección detectada fue un controlador de dominio en un banco que albergaba en su memoria una copia de Meterpreter, viejo conocido para los que nos gusta la seguridad informática.

Según Kaspersky, el objetivo principal de este malware son los ordenadores que ejecutan las aplicaciones para los cajeros automáticos y los atacantes se acercan a ellos para llevarse el dinero.

La próxima semana tendremos más detalles sobre este tipo de malware.