28 jul. 2016

Detectan 110 servidores maliciosos en la red TOR

Con el fin de poder ofrecer la máxima seguridad posible, muchos expertos de seguridad suelen analizar periódicamente la red TOR en busca de cualquier indicio de que esta ha sido comprometida.

Recientemente, dos expertos de seguridad de la Univerdad Northeastern han estado llevando a cabo un experimento [PDF] en el que han analizado más de 1500 servidores dentro de la red TOR y han encontrado un total de 110 servidores maliciosos que probablemente estaban siendo utilizados por piratas informáticos o gobiernos para comprometer el tráfico de esta red.
Estos investigadores introdujeron en la red TOR una serie de sistemas trampa, llamados HOnions (Honey Onions), que ejecutaban una serie de macros cuando detectaban un tráfico anormal en la red. Tras 72 días, los investigadores recuperaron los registros de estos servidores trampa y demostraron como se habían encontrado un total de 110 servidores con un comportamiento fuera de lo normal.
La mayoría de estos servidores tan solo intentaban recuperar datos sobre la configuración del servidor, por ejemplo, la ruta a la raíz del servidor, los archivos .json o la página del estado de Apache, sin embargo, algunos de ellos sí que tenían un comportamiento malicioso, por ejemplo, intentando llevar a cabo ataques SQL Injection.

Además, el 25% de estos servidores maliciosos eran nodos de salida de la red TOR, por lo que los responsables de los mismos podían llevar a cabo ataques más complejos directamente contra los usuarios permitiendo, por ejemplo, que estos puedan llevar a cabo ataques MITM y controlar el tráfico de los usuarios.

Por suerte, poco a poco, investigadores de seguridad desinteresados suelen llevar a cabo este tipo de experimentos para ayudar a los responsables de esta red a identificar y bloquear estos servidores y nodos maliciosos con el fin de permitir a los usuarios que confíen en esta red hacer un uso de ella lo más seguro posible.

Fuente: Redes Zone

Monitorizar patrones para identificar Ransomware

El ransomware normalmente se propaga como un troyano, cuya carga útil se disfraza como un archivo aparentemente legítimo, por ejemplo, como archivo descargado o explotando una vulnerabilidad de software.

El ransomware intenta leer y luego cifrar los archivos, creando un identificador para cada archivo con el que interactúa. No importa qué algoritmo de cifrado utilice, este es un concepto mas a bajo nivel, en función de cómo el núcleo de Windows interactúa con el hardware del sistema. Si somos capaces monitorizar la frecuencia de nuevos identificadores que son creados por cada proceso, es posible detectar la actividad anormal producida por el ransomware. Esto también se aplicaría al malware destructivo que ha sido diseñado para sobrescribir una gran cantidad de archivos para impedir su recuperación.

Teniendo en cuenta que un objeto es una estructura de datos que representa un recurso del sistema, tal como un archivo. Una aplicación no puede acceder directamente a los datos de un objeto o a un recurso del sistema que representa un objeto. En su lugar, una aplicación debe obtener un identificador de objetos, que se puede utilizar para examinar o modificar los recursos del sistema. Cada identificador tiene una entrada en una tabla mantenida internamente. Estas entradas contienen las direcciones de los recursos y los medios para identificar el tipo de recurso. Esta es una de las varias capas de abstracción que separan el usuario (y todos los procesos que están en ejecución), a partir de los activos físicos, tales como el disco duro. Cualquier solicitud de acceso a un archivo en el disco, tiene que pasar por el núcleo de Windows y si desea modificar ese archivo en el modo de usuario, es necesario crear un identificador.
Basado en este patrón de identificación esta diseñada la herramienta para Windows, llamada handle_monitor y creada por Adam Kramer. Hace un balance de cada identificador de archivo, por proceso a través del sistema. A continuación, tiene una pequeña pausa (a discreción del usuario) y comprueba de nuevo los nuevos identificadores que no se han visto antes y se calcula el número de nuevos identificadores creados. Si el umbral pasa un número definido de ciclos, a continuación, se genera una alerta y se realiza una acción (tal como la suspensión del proceso sospechoso).

Secuencia de funcionamiento:
  1. Genera un índice de todos los archivos se encarga de todos los procesos en ejecución.
  2. Pausas (/pause=X) para cantidad de tiempo.
  3. Monitoriza los índices, para mantener un recuento.
  4. Después los ciclos definidos (/cycles=X) , lleva a cabo un análisis.
  5. En el análisis comprueba si todos los procesos han sobrepasado el umbral (/threshold=X) de repetición de identificativo.
  6. Si es así, se bien generar una alerta para el proceso (/suspend).

Por defecto, sólo se busca ejecutables sin firmar (para reducir el ruido), pero se puede incluir firmados con "/signed".

Fuente: Gurú de la Informática

Spam con adjunto ZIP y WSF propaga ransomware

Las sucesivas campañas de ransomware siguen propagándose semana tras semana intentando infectar al mayor número posible de usuarios. Sin embargo, ya no basta con que el fichero malicioso venga adjunto en un archivo ejecutable, no tan siquiera como un fichero JavaScript. Parece que las campañas de prevención están empezando a surtir efecto y los delincuentes se ven obligados a innovar, aunque sea un poco, para conseguir infectar a un número lo suficientemente interesante de usuarios con nuevas variantes de ransomware.

Archivos WSF (Windows Script File) usados de forma maliciosa

A mediados del mes pasado hablábamos de cómo se estaban empezando a ver ficheros maliciosos en formato WSF, tras unas semanas en las que los delincuentes estaban usando principalmente .EXE y .JS como formatos en los que alojar sus códigos maliciosos. Sin embargo, el vector de ataque seguía siendo el mismo: correos electrónicos con un asunto llamativo en entornos corporativos y adjuntos comprimidos en ficheros ZIP.
Durante las siguientes semanas hemos ido observando cómo se han usado también archivos de Office con macros maliciosas para propagar variantes de Locky y alguno de los ransomware derivados de esta familia, principalmente. Este uso de extensiones no habituales a la hora de propagar malware ha pillado desprevenidos a suficientes usuarios para que sigamos viendo cómo, semana tras semana, las nuevas oleadas de spam que adjuntan malware de este tipo las repitan constantemente.

Durante los últimos días venimos observando que una nueva campaña de propagación de ransomware ha dado una ligera vuelta de tuerca a la nomenclatura de los archivos maliciosos: ha usado dos puntos en lugar de uno para separar el nombre del archivo de la extensión. Un cambio sutil pero que puede dar lugar a la confusión y hacer que más usuarios de lo habitual muerdan el anzuelo.
Tal y como podemos observar en la imagen, estos dos puntos unidos a una extensión que resultará poco habitual a la mayoría de usuarios puede hacerles creer que el nombre del fichero ha sido acortado debido a su longitud. Sin embargo, la realidad es que se trata de un fichero Windows Script File, capaz de ejecutar código en entornos Windows y que, en estos casos, suele contener algún tipo de TrojanDownloader encargado de descargar el ransomware que hayan elegido para la ocasión.

Para quienes no estén familiarizados con el formato WSF, les indicamos que se trata de un documento de texto que contienen código XML. Además, incorpora varias características que ofrecen al usuario flexibilidad y que pueden contener código JavaScript o VBScript, ya que el formato WSF actúa como un contenedor de otros formatos.

Lo que se puede observar al analizar este fichero es el código del TrojanDowloader Nemucod, utilizado en varias campañas para propagar malware como Locky o su más reciente variante Zepto.

Fuente: Protegerse

27 jul. 2016

La UE empieza a auditar software de código abierto, empezando por Keepass

Justo en el momento que Tavis Ormandi publica un 0-Day en el gestor de contraseñas LastPass, la Unión Europea comienza el análisis de KeePass.

La UE está llevando a cabo un proyecto piloto en el que busca poder auditar la seguridad de los principales proyectos de software de código abierto con el fin de ayudar a los desarrolladores a detectar y solucionar posibles fallos de seguridad que puedan existir en ellos. Para decidir qué proyectos auditar, la Comisión abrió una encuesta pública, en la que participaron 3282 personas, y más del 23% de los votos fueron hacia el gestor de contraseñas KeePass Password Manager.

KeePass es un gestor de contraseñas gratuito y de código abierto que busca ofrecer a los usuarios la posibilidad de gestionar sus contraseñas privadas de forma segura, con las garantías del código abierto y sin depender de una nube centralizada, como otras alternativas, que puedan suponer un vector de ataque y que puedan comprometerlas.

En breve, las empresas responsables de dichas auditorías empezarán a llevarlas a cabo. Estas analizarán por completo el código fuente de la aplicación y buscarán cualquier posible vulnerabilidad en el código con el fin de notificárselo a los propios desarrolladores para que puedan solucionar los fallos de seguridad en la próxima actualización. De esta forma, es posible que antes de fin de año KeePass Password Manager mejore la seguridad de las contraseñas de sus usuarios gracias a estas auditorías y pueda seguir creciendo aún más en el mercado de las contraseñas, un mercado en auge.

Mientras la auditoría se lleva a cabo, podemos descargar la última versión de KeePass, para la cual, de momento, no se conocen vulnerabilidades, desde el siguiente enlace. Otros proyectos de código abierto podrían ser auditados por la Unión Europea más adelante

La segunda plataforma más votada por los participantes de la encuesta fue Apache HTTP Server, quien también recibirá su correspondiente auditoría de seguridad. Las demás aplicaciones candidatas como Firefox, WinSCP, 7-Zip, NotePad++, VLC Media Player e incluso Linux, de momento, no recibirán dicha auditoría, al menos de momento.

La metodología utilizada en las auditorías es pública, y puede consultarse en el siguiente enlace. Además, una vez acabe este primer programa piloto, las instituciones buscarán fondos y, de conseguirlos, seguirán auditando nuevos proyectos con el fin de hacer el software libre mejor y más seguro.

Fuente: RedesZone

Zero Day en LastPass (Actualizado)

El investigador de Google Project Zero, Tavis Ormandy ha encontrado una vulnerabilidad 0-Day en el administrador de contraseñas LastPass que puede ser desencadenada por los mismos usuarios al visitar un sitio malicioso, permitiendo a los atacantes comprometer la cuenta de los usuarios y toda su información sensible.

Aparte de ese fallo, también encontró "un montón de problemas críticos evidentes", pero responsable eligió no compartir públicamente más detalles sobre cualquiera de los defectos hasta que los desarrolladores tengan la oportunidad de solucionarlos.

El informe completo sobre los errores fue enviado a LastPass, y ahora queda por ver si son rápidos para corregir los agujeros de seguridad. Por ahora no hay noticia de ataques in-the-wild explotando algunas de las fallas.

LastPass fue adquirida por LogMeIn en 2015 y los comentarios indicaron que muchos estaban procupados por esta adquisición y por la seguridad de los usuarios y eso los llevaría a alejarse de LastPass y no confíar en un servicio que almacena las contraseñas en la nube

Muchos usuarios utilizan 1Password como su gestor de contraseñas y Ormandy prometió que iba a analizarlos junto con Enpass, KeePass, PasswordSafe y Dashlane Password Manager. Aquí se puede ver una evaluación de los gestores de contraseñas.

Actualización de LastPass

El primer problema de seguridad lo encontró hace aproximadamente un año el investigador Matthias Karlsson y publicó recientemente la historia. El error se encontraba en el parse de la URL que LastPass añade mediante la extensión de navegador. Este error permitía engañar al sistema, haciéndole creer que estaba en otra web y extrayendo los datos de acceso a ésta. Así, por ejemplo, uno podía visitar una web cualquiera, y hacer uso de este fallo de seguridad para obtener la contraseña de Twitter, Facebook y otros servicios online. El agujero de seguridad se solucionó en menos de un día, y Karlsson recibió una compensación de 1.000 dólares como parte del programa Bug Bounty de LastPass.

El fallo de seguridad denunciado por Ormandy, del que podemos leer más detalles en un comunicado de la propia compañía. En este caso se podía ejecutar acciones de LastPass en segundo plano sin conocimiento del usuario. Este fallo ha sido solucionado también, mediante una actualización de la extensión de Firefox. Si utilizas este navegador y LastPass 4.0, asegúrate de actualizar a la versión 4.1.21a. Si usas alguna versión anterior, este problema de seguridad no te afecta.

Fuente: HelpNetSecurity | Genbeta

Cazaban #PokémonGO y fueron cazados [video]

¿Y si se empezara a usar Pokémon GO como cebo para lanzar ciberataques? Ya se han dado casos en los que se ha usado el juego como señuelo para robar a usuarios desprevenidos, para que las víctimas acudan a un punto concreto y así poder robarles.

Pues imagina: ¿y si alguien aprovechara el tirón del juego para lanzar ciberataques a víctimas por la calle? Y es que reúne dos cualidades perfectas: popularidad y geolocalización… Pues bien, GlobbSecurity lo ha hecho en Madrid y usaron los Pokémon como señuelo para lanzar un ataque.

Esto es lo que pasó.

Lo verdaderamente importante, y nuestro objetivo, es informar y mostrar los riesgos para concienciar a los usuarios para que estén más prevenidos y apliquen las medidas básicas de seguridad. Así se preparó todo el escenario y el ataque.

Fuente:  GlobbSecurity

26 jul. 2016

Mapeador de red pasivo de entornos SCADA/ICS

El riesgo cibernético de los sistemas SCADA/ICS que controlan las infraestructuras críticas, es significativo y crece día a día. Hay una posibilidad cada vez mayor de ataques cibernéticos con consecuencias perjudiciales o físicamente destructivos. El estado de las vulnerabilidad de los sistemas y dispositivos ICS/SCADA (Por ejemplo, PLC, HMI) se ha documentado públicamente en los informes de vulnerabilidad en Internet y discutido en múltiples conferencias. Para entender el riesgo asociado, debemos entender lo que estamos tratando de proteger, esto comienza con un buen conocimiento de la situación.

GRASSMARLIN es un mapeador de red pasivo, dedicado a las redes industriales y desarrollado por la Agencia Nacional de Seguridad (NSA). La herramienta se ha liberado recientemente a código abierto y está disponible directamente en GitHub. GRASSMARLIN muestra una instantánea de una red de un entorno SCADA incluyendo:
  • Dispositivos que forman parte de la red.
  • Las comunicaciones entre los dispositivos.
  • Metadatos que extrae de estas comunicaciones.

El mantenimiento de la disponibilidad de los sistemas de control industrial es una necesidad primordial. De hecho, cualquier fallo puede llevar a consecuencias importantes que van desde la pérdida del servicio a la pérdida de vidas. Por lo tanto, a fin de no perturbar la disponibilidad de dispositivos industriales, todas las operaciones que realiza GRASSMARLIN se realizan de forma pasiva. De hecho, analiza de forma pasiva las comunicaciones a diferencia de las herramientas de mapeo activas, tales como nmap o plcscan, que envían paquetes a través de la red y analizan las respuestas posibles.

GRASSMARLIN muestra dos tipos de vistas:
  • La vista lógica: muestra todos los dispositivos y las comunicaciones entre ellos.
  • La vista física: lista los enlaces físicos entre los dispositivos industriales y los dispositivos de red.

Fuente: El Gurú de la Informática

Código de Derecho de la Ciberseguridad [España]

Promovida por el Consejo de Seguridad Nacional, en el año 2013 se publicó la Estrategia de Seguridad Nacional de España, que contempla la ciberseguridad dentro de sus doce ámbitos de actuación. El propósito de este documento es el de fijar las directrices generales del uso seguro del ciberespacio a través del impulso de una visión integradora que garantice la seguridad y el progreso de España. Tal objetivo debía alcanzarse a través de la adecuada coordinación y cooperación entre todas las Administraciones Públicas, pero también entre aquellas con el sector privado y con los ciudadanos.

La Estrategia persigue lograr la seguridad del ciberespacio a través del desarrollo y aplicación de una política de ciberseguridad nacional, lo que exige contar con un adecuado marco normativo que proporcione una mayor confianza en el uso de las TIC.

Alineada con la citada Estrategia de Seguridad Nacional de 2013, ese mismo año se publica la Estrategia de Ciberseguridad Nacional [PDF], la cual se articula a través de una serie de líneas de acción. A los efectos que aquí nos interesan, las líneas de acción 4 y 6 incluyen una serie de referencias con especial incidencia en los aspectos legales de la ciberseguridad.

A estos efectos, el Instituto Nacional de Ciberseguridad de España (INCIBE), propone compilar en este documento "Código de Derecho de la Ciberseguridad" [PDF] toda la legislación española que afecte a la ciberseguridad, al objeto de contribuir a mejorar el conocimiento y facilitar la aplicación de una normativa que afecta a una materia tan importante, pero a su vez tan cambiante.

Fuente: BOE

"No more Ransom", iniciativa de Europol

La Agencia Nacional Europol ha unido sus fuerzas con empresas de seguridad para poner en marcha una iniciativa mundial para abordar y combatir juntos el crecimiento exponencial del ransomware.
Europol ha anunciado la iniciativa llamada "No more Ransom", y está sido apoyada por Intel, Kaspersky Lab y la policía de Holanda.

"El se ha convertido en una preocupación dominante para la aplicación de la ley de UE" dijo el Subdirector de Europol Wil van Gemert. "Esperamos ayudar a muchas personas a recuperar el control de sus archivos y al mismo tiempo crear conciencia y educar a la población sobre cómo mantener sus dispositivos limpios de malware".
La última versión de ransomware Cerber es tan sofisticada que genera una muestra diferente cada 15 segundos para evitar los antivirus basado en firmas.

La iniciativa busca informar al público sobre los peligros del ransomware, cómo evitar ser víctima y cómo recuperar los datos sin tener que pagar a los delincuentes. El sitio NoMoreRansom proporciona herramientas descargables que pueden ayudar a descifrar los archivos afectados.

En su etapa inicial, contiene cuatro herramientas de descifrado de ransomware, incluyendo el notorio CryptXXX y las familias CoinVault y Bitcryptor.

El portal también ofrece una sección "Crytpo Sherif" que permite añadir más muestras de malware y una descripción para identificar el tipo de amenaza que afectan un sistema.

Fuente: The Hacker News

25 jul. 2016

Wordpress vulnerable + Neutrino + Spam = CryptXXX = Usuario infectado

Los investigadores están reportando un aumento en las infecciones ransomware CryptXXXen sitios webs comprometidos para e infectados con Neutrino Exploit Kit.

Según Invincea, los atacantes están infectando sitios de WorpPress que tienen el plug-in de slider y diapositivas Revslider. Detrás de los ataques está la botnet SoakSoak, activa desde 2014 y conocida por su capacidad automatizada de escanear páginas web en busca de vulnerabilidades.
"Estamos viendo un aumento en este tipo de ataques dirigidos contra componentes de presentación de diapositivas y vídeos en sitios web" dijeron desde Invicea. Por ejemplo, la página web de Turismo de Guatemala y el sitio web de una empresa de suministro de agua de la Ciudad de México están enviando inadvertidamente a los visitantes a sitios que alojan Neutrino Exploit Kit. Si los usuarios son vulnerable a los exploits, serán infectadas con el ransomware CryptXXX.

Por su parte Neutrino sigue implementado mejoras y en los últimos días han agregado una vulnerabilidad 0-Day (ya parcheada) que afecta a Internet Explorer. El 10 de mayo, Microsoft lanzó un lote de actualizaciones de seguridad e incluyó en ese paquete la solución para la vulnerabilidad CVE-2016-0189 que es una vulnerabilidad de corrupción de memoria que permite ejecución remota de código (RCE) en los equipos de los usuarios.


Miles de sitios web de WordPress se han convertido en blancos de los atacantes por lo que se recomienda parchear las instalaciones de este popular CMS y los sistemas de los usuarios, para evitar que los exploits pueden descargar el malware.

Fuente: Threatpost