20 may. 2019

The hacker's hardware toolkit: catálogo con más de 100 gadgets para hackers

Yago Hansen (@yadox) ha compartido "The hacker's hardware toolkit" que fue presentado en #HITBAMS2019 y #HITBHaxpo. Se trata de un catálogo con una gran colección de dispositivos de hardware para hackers, pentesters y red teamers.

Incluye más de 120 gadgets clasificados en ocho categorías diferentes y superan los U$S10.000:
  1. Mini Computers: La mejor selección de mini PCs, mini placas base, etc. Las mejores herramientas para manejar todos los demás periféricos de hardware de tus proyectos.
  2. RF: Las mejores herramientas para hackear, analizar, modificar o responder a cualquier señal de radiofrecuencia. Herramientas para hackear controladores inalámbricos, GPS, teléfonos celulares, señales satelitales, etc. 
  3. Wi-Fi: El kit de herramientas para un experto en Wi-Fi como Yago. Estas herramientas permiten el sniffing en modo monitor, enumeración, inyección, etc. Algunas herramientas como deautenticadores y amplificadores solo deben usarse en entornos de laboratorio. 
  4. RFID / NFC: Bonita colección de herramientas profesionales y para principiantes para investigar sobre las tecnologías RFID y NFC basadas en tarjetas contactless LF (baja frecuencia) y HF (alta frecuencia), etiquetas y tarjetas. Herramientas de hacking para controles de acceso, garajes, tiendas, etc. 
  5. HID / Keyloggers: HID (hardware input devices) como los ratones y los teclados USB están abiertos a un ataque de inyección de pulsaciones de teclas (keystrokes). Muchos de estos dispositivos como rubberducky, badusb, badusb ninja, etc. están aumentando sus capacidades y efectividad. Los keyloggers de hardware siguen siendo una de las mejores opciones para la captura de credenciales. 
  6. Network: Los routers pequeños, los taps y otros dispositivos de red similares basados en Linux pueden ser el compañero perfecto para un pentesting interno. Aquí encontraremos muchos mini routers basados en OpenWRT / LEDE que se pueden personalizar para pentesting de red. 
  7. BUS: Hay muchas tecnologías y protocolos de bus diferentes, y un hacker de hardware debe poseer muchas herramientas para descubrir y "hablar" con dichos buses. Algunas de las categorías incluidas aquí son: hacking de automóviles, hacking de placas base y PCB, industrial, etc. 
  8. Accesorios: No son suficientes solo las herramientas anteriores para crear nuestro dispositivo de hacking propio. Si vamos a construir un sistema funcional, también necesitaremos muchos accesorios como baterías, cargadores, gps, sensores, DC-DC, equipos de laboratorio, etc. 
El catálogo puede descargarse en formato PDF desde aquí.

Nota del autor: aclarar que este NO es un catálogo comercial, incluso si se ve así.
Yago no tiene ningún interés personal en vender ninguna de las herramientas mostradas, sólo compartir muchas de las herramientas que ha usado para diferentes propósitos de hacking. Cualquier herramienta que no esté disponible para ser comprada online, será excluida del catálogo. Todas las herramientas muestran un precio aproximado y una tienda online donde se puede comprar. Todos los códigos OCR incluyen el enlace a una tienda online que se envía a Europa y, por supuesto, no son maliciosos.

Proyecto y términos para contribuciones: https://github.com/yadox666/The-Hackers-Hardware-Toolkit.

Fuente:  Yago Hansen

Nuevos ataques de Magecart a MyPillow, Amerisleep y a la revista Forbes

Los investigadores de ciberseguridad siguen revelado detalles de tres nuevos ataques de Magecart recientemente identificados dirigidos a los compradores en línea de las tiendas de ropa de cama MyPillow y Amerisleep y a la revista Forbes.

Magecart es un término genérico que los investigadores dieron a por lo menos 11 grupos de hacking diferentes que se especializan en implantar código malicioso en sitios web de comercio electrónico con la intención de robar en silencio los datos de las tarjetas de pago de sus clientes.

Magecart apareció en los titulares el año pasado después de que los atacantes llevaran a cabo varios ataques de alto perfil contra importantes compañías internacionales, entre ellas British Airways, Ticketmaster y Newegg.

Los delincuentes de Magecart utilizan un skimmer digital de tarjetas de pago, unas pocas líneas de código Javascript malicioso que insertan en la página de pago de los sitios web pirateados y que están diseñados para capturar la información de pago de los clientes en tiempo real y luego enviarla a un servidor controlado por un atacante remoto.

A principios de este año, los atacantes de Magecart también comprometieron a casi 277 sitios web de comercio electrónico en un ataque a la cadena de suministro al insertar su código de skimming en una popular biblioteca JavaScript de terceros de Adverline.

Ataques a MyPillow y Amerisleep

En un nuevo informe RiskIQ, los investigadores revelaron dos nuevas infracciones relacionadas con Magecart que comprometieron a los minoristas de ropa de cama en línea MyPillow y Amerisleep y robaron la información de pago de sus clientes. Los delincuentes implantaron un código digital de skimming en ambos sitios web y consiguieron robar las tarjetas de pago de sus clientes durante las transacciones en línea.
ciberseguridad, ciberataques - El nuevo MageCart ataca a los minoristas de ropa de cama MyPillow y Amerisleep
MyPillow fue violado por los atacantes de Magecart en octubre del año pasado, cuando los atacantes insertaron un script de skimming malicioso en el sitio que estaba alojado en un dominio similar (también conocido como TypoSquatting) con un certificado SSL de LetsEncrypt.

Otra empresa de colchones, Amerisleep, fue atacada varias veces en 2017 por los atacantes de Magecart para robar las tarjetas de sus clientes durante las transacciones en línea, pero volvió a ser víctima del ataque en diciembre de 2018, cuando los atacantes de Magecart alojaron código malicioso que contenía skimmers en una cuenta de Github.
El nuevo MageCart ataca a los minoristas de ropa de cama MyPillow y Amerisleep
A pesar de haber sido atacados durante varios meses, ni MyPillow ni Amerisleep emitieron ninguna alerta o declaración oficial advirtiendo a sus clientes sobre el ataque a Magecart que podría haber comprometido sus datos de pago.

Ataques a Forbes

Magecard consiguió inyectar un Javascript en Forbes que enviaba a sus propios servidores los datos de la tarjeta de crédito de cualquiera que quisiera suscribirse. Este es un éxito reciente del grupo al vulnerar una web muy popular, tras varios meses centrados en páginas menos populares pero probablemente, igual de productivas por volumen de páginas comprometidas.
Magecart y sus técnicas están evolucionando constantemente. Hace unos meses se descubrió que utilizan imágenes descargadas en cuyas propiedades se esconden los enlaces necesarios, por ejemplo.  Otras mejoras "interesantes" es que se "inyectan" en la página con fórmulas más sofisticada para activarse cuando se envían los datos de la tarjeta. Por ejemplo, están experimentando con el "hookeo" de la tecla "intro", y no solo el botón "submit".

A finales de 2018 se descubrió además que si encontraban código de otro grupo robando las tarjetas de crédito además de ellos en una web, le enviaban datos falsos.

Dado que los atacantes suelen explotar vulnerabilidades conocidas en el software de comercio electrónico en línea, se recomienda encarecidamente a los administradores de sitios web que sigan las mejores prácticas estándar, como la aplicación de las últimas actualizaciones y parches, la limitación de los privilegios para los sistemas críticos y el endurecimiento de los servidores web.

Los compradores en línea también deben revisar regularmente los estados de cuenta de sus tarjetas de crédito y de sus bancos en busca de actividades desconocidas. No importa lo pequeña que sea la transacción no autorizada que usted note, los usuarios afectados siempre deben reportarla a sus instituciones financieras inmediatamente.

Fuente: SerHacker

SubFinder: herramienta de descubrimiento de subdominios

SubFinder es una herramienta de descubrimiento de subdominios, que descubre subdominios válidos para sitios web mediante el uso de fuentes pasivas en línea. Diseñado como un marco pasivo para que sea útil para las recompensas de errores y seguro para las pruebas de penetración. Tiene una arquitectura modular simple y se ha situado como un sucesor al proyecto sublist3r. SubFinder utiliza fuentes pasivas, motores de búsqueda, Pastebins, archivos de Internet, etc. para encontrar subdominios y luego utiliza un módulo de permutación inspirado por los altdns para generar permutaciones y resolverlas rápidamente usando un potente motor de fuerza bruta. También puede realizar fuerza bruta simple si es necesario. La herramienta es altamente personalizable, y el código está construido con un enfoque modular en mente, lo que facilita la adición de funcionalidades y la eliminación de errores.
SubFinder esta diseñado para cumplir con todas las licencias de fuentes pasivas y restricciones de uso, mantenido un modelo pasivo consistente para que sea útil tanto para los evaluadores de penetración como para los cazarrecompensas de bugs.

Características principales de SubFinder:
  • Base de código simple y modular que facilita la contribución.
  • Módulo de fuerza bruta rápido y potente.
  • Potente motor de generación de permutaciones. (En desarrollo).
  • Muchas fuentes de datos pasivos (31 en la actualidad).
  • Múltiples formatos de salida.
  • Proyecto Embebible.
  • Soporte Raspberry Pi.
El uso ofensivo de esta herramienta es el Footprinting una de las aplicaciones ofensivas de OSINT. Esta técnica es útil en las fases de reconocimiento de un test de penetración, ya que puede aprovechar la información que proporciona el footprinting cuando se realiza otras tareas de reconocimiento, como el escaneo y la enumeración.

Por ejemplo, como se describe en la sección de inicio de este artículo, se puede someter los rangos de direcciones IP que se encuentren a través de footprinting a escaneos de puertos para encontrar hosts online en las redes de destino. Los resultados de footprinting son bastante útiles en otras tareas de test de penetración no relacionadas con el reconocimiento, como cuando se realizan escaneos de vulnerabilidad y se realizan tareas de explotación. Esencialmente permiten tener un mapa de los activos de una organización objetivo, por lo tanto, se tiene una muy buena idea de dónde empezar a buscar vulnerabilidades.

Fuente: Gurú de la Informática

19 may. 2019

El ransomware "RobbinHood" tumba las redes gubernamentales

Un ataque de ransomware mediante el conocido "RobbinHood" ha tumbado las redes gubernamentales de la ciudad de Baltimore. Es un nuevo recordatorio de la peligrosidad de este tipo de malware, especialmente en redes empresariales.

RobbinHood es un ransomware que se dirige específicamente a las empresas, no se distribuye a través de spam, sino a través de otros métodos, que podrían incluir servicios de escritorio remoto previamente hackeados u otros troyanos que brindan acceso a los atacantes.

Desde que apareció, no ha sido fácil encontrar muestras del ransomware RobbinHood. MalwareHunterTeam fue capaz de encontrar muestras para hacer ingeniería reversa y aprender sobre él.

El malware detiene 181 servicios de Windows asociados con antivirus, bases de datos, servidores de correo y otros programas que podrían mantener los archivos abiertos y evitar su cifrado. Lo hace emitiendo el comando "sc.exe stop"
 Además, RobbinHood también desconecta todos los recursos compartidos de red de la computadora. Esto significa que cada computadora es infectada individualmente. Esto podría indicar que el payload es enviando a cada máquina individualmente a través de un controlador de dominio o a través de un framework como Empire PowerShell y PSExec.
El Ransomware mantiene la supremacía como la principal ciberamenaza de malware en la mayoría de los estados miembros de la Unión Europea, según el informe de Europol, Internet Organised Crime Threat Assessment (IOCTA) correspondiente a 2018. Ya en 2019, la detección de ataques por ransomware en empresas aumentaron un 200%, según el último informe trimestral de amenazas de Malwarebytes.

El Director de Información de Baltimore, Frank Johnson, confirmó en una conferencia de prensa que el malware era RobbinHood, un Ransomware muy agresivo que el FBI ha identificado como una "variante bastante nueva" del malware y similar a una de las múltiples versiones detectadas como la que afectó al municipio de Greenville, Carolina del Norte, en abril.

En este caso, RobbinHood ha logrado bloquear las redes gubernamentales de Baltimore, una ciudad con un área metropolitana con cerca de 3 millones de habitantes que tiene fuera de línea casi todos sus servicios, exceptuando los de emergencias, policías y bomberos.

El investigador de seguridad Vitali Kremez, quien recientemente diseñó una muestra de RobbinHood por ingeniería inversa, explica que el malware parece apuntar solo a archivos en un solo sistema y no se propaga a través de redes compartidas. "Se cree que se propaga directamente a las máquinas individuales. Ello significaría que el atacante debería haber obtenido acceso de nivel administrativo a un sistema dentro de la red debido a la forma en que el ransomware interactúa con el directorio "C:\Windows\Temp".

Cómo prevenir el Ransomware

Al igual que con otros tipos de malware, los ciberataques por Ransomware son cada vez más numerosos, sofisticados, peligrosos y masivos, como mostró WanaCryptor, un ataque bien planificado y estructurado cuyo objetivo fue lograr una infección masiva a nivel mundial, poniendo contra las cuerdas a un buen número de grandes empresas de decenas de países.

Un Ransomware típico infecta un ordenador personal o dispositivo móvil, bloquea el funcionamiento y/o acceso a una parte o a todo el equipo apoderándose de los archivos con un cifrado fuerte y exige al usuario una cantidad de dinero como "rescate" para liberarlos. Por ello, si el mejor de los consejos en ciberseguridad es la prevención, en el caso del Ransomware es imprescindible para frenarlo. Te recordamos algunos consejos:
  1. Actualización del sistema y aplicaciones. Mantener el sistema operativo actualizado con los últimos parches de seguridad y todas las aplicaciones que tengamos instaladas es el mejor punto de partida. El mencionado WanaCryptor aprovechó una vulnerabilidad en sistemas Windows.
  2. Línea de defensa. Conviene instalar y mantener una solución antimalware, incluyendo un cortafuegos correctamente configurado para permitir el acceso exclusivo de las aplicaciones y servicios necesarios.
  3. Herramienta Anti Ransom. Es una herramienta específica contra este tipo de ataques, que tratará de bloquear el proceso de cifrado de un ransomware (monitorizando "honey files"). Realizará un dump de la memoria del código dañino en el momento de su ejecución, en el que con suerte hallaremos la clave de cifrado simétrico que estuviera empleándose.
  4. Filtro antispam. Muchos de los ataques por Ransomware se distribuyen a través de campañas masivas de correo electrónico. Además de estos filtros, debes seguir los consejos generales como no pinchar en enlaces o abrir archivos adjuntos de remitentes desconocidos.
  5. Bloqueadores de JavaScript. Aplicaciones como Privacy Manager bloquean la ejecución de todo código JavaScript sospechoso de poder dañar el equipo del usuario. Esto ayuda a minimizar la posibilidades de quedar infectado a través de la navegación web.
  6. Políticas de seguridad. Herramientas como AppLocker, Cryptoprevent, o CryptoLocker Prevention Kit facilitan el establecimiento de políticas que impiden la ejecución de directorios comúnmente utilizados por el ransomware, como App Data, Local App Data, etc.
  7. Cuentas con privilegios. No utilizar cuentas con privilegios de administrador. El 86% de las amenazas contra Windows se pueden esquivar en caso de utilizar un usuario común en lugar de un administrador. Por eso es importante utilizar para tareas comunes un usuario común y solo dejar el administrador para cuando se vaya a hacer una serie de tareas relacionadas con la manipulación del sistema.
  8. Extensiones de archivos. Mostrar las extensiones para tipos de ficheros conocidos es una buena práctica para identificar los posibles ficheros ejecutables que quieran hacerse pasar por otro tipo de fichero. No es raro ver a un fichero .EXE con el icono de un documento de Word. Si no se ve la extensión, el usuario posiblemente no pueda distinguir si es un documento de Word o un ejecutable malicioso, aunque también es bueno recordar que un documento de Microsoft Office también puede contener malware.
  9. Máquinas virtuales. Emplear máquinas virtuales para aislar el sistema principal es otra técnica efectiva. En un entorno virtualizado la acción de los ransomware no suele materializarse.
  10. Backup. Realizar copias de seguridad de los datos importantes como tarea de mantenimiento regular es la medida más efectiva para minimizar los daños en caso de ser infectado. La copia de seguridad debe alojarse en un medio externo distinto al del equipo para poder recuperar los archivos desde un sitio "limpio" y no tener que pagar el "rescate" exigido por estos ciberdelincuentes.
Fuente: Muy Computer Pro

Webinario: Examinando WhatsApp en sus investigaciones forenses

WhatApp hoy en día es una aplicación de mensajería tan popular con hasta 1.500 millones de usuarios activos mensuales en más de 180 países que la usan diariamente.
En el top de los 5 principales países, Brasil y México se ubicaron en el 4º y 5º lugar representando en conjunto el 38% del total de usuarios activos. En América Latina, el uso de WhatsApp facilita la comunicación diaria y ha llegado a ser incluso más común que los mensajes de texto. Como resultado, WhatsApp ha creado un gran desafío para las investigaciones forenses debido a la creciente cantidad de datos producidos y la creación de nuevos modus operandi por parte de los delincuentes que utilizan la plataforma para:
  • Fuga de datos sensibles
  • Compartir contenidos de abuso infantil.
  • Apoyar las extorsiones.
  • Realizar otros delitos cibernéticos que aún no son conocidos o tipificados por los tribunales de la región
El webinar en vivo con los expertos forenses Gustavo Presman y Enrique Banda puede verse aquí.

Fuente: MagnetForensics.

18 may. 2019

Evento 360 – Comienza la cuenta atrás


Después de 20 años en los que Una al día ha acompañado a los amantes de la ciberseguridad, estamos a un mes de que el sueño se haga realidad.

Los próximos días 7 y 8 de junio se celebrará en el Campus de Teatinos de la UMA, el 1º congreso de ciberseguridad, UAD360. El sitio elegido ha sido Málaga, ciudad que vio nacer a Una al día y, que con los años se está posicionando como un polo de ciberseguridad en el que empresas de todo el mundo están eligiendo como ciudad para implantarse.

El evento ha sido promovido por Una al día y organizado por la Universidad de Málaga e Hispasec. Además el evento contará con el patrocinio de la empresa Buguroo, la colaboración de Extenda y el apoyo institucional de Incibe.

Serán dos intensos días divididos en un primera jornada de talleres y una segunda de conferencias.

El evento comenzará con talleres sobre Exploiting, Pentesting sobre Windows e Inteligencia Artificial. El sábado será el día de las conferencias. Bernardo Quintero, Soledad Antelada, Sergio de los Santos, David Santo y Fernando Díaz son los ponentes confirmados hasta el momento, solo faltará un ponente sorpresa por confirmar.

Además el sábado, previo al acto de clausura, organizaremos una mesa redonda en la que se tratará, con las partes interesadas, las salidas laborales que ofrece la ciberseguridad a día de hoy.

En paralelo a ambas actividades, se realizará un CTF (Capture the Flag), es decir, un campeonato de hacking ético en el que participarán los mejores especialistas en la materia.

Salvo para participar en el CTF, no se requiere de ninguna formación previa en ciberseguridad, tan solo tener inquietud en el tema y muchas ganas de aprender.

Os dejamos un enlace en el cuál podréis adquirir vuestra entrada, tened en cuenta que os haremos llegar algunos obsequios de la organización, y nos encargaremos de vuestra manutención durante el sábado.

Ya queda solo un mes, ¡no te quedes sin tu entrada!

Fuente: Hispasec

Tres nuevas vulnerabilidades afectan a los procesadores Intel

Estas tres nuevas vulnerabilidades, conocidas como RIDL, Fallout y ZombieLoad, afectan a todos los procesadores Intel modernos.
En las últimas horas ha podido verse cómo tiembla de nuevo el mundo de la seguridad informática con el anuncio de tres nuevas vulnerabilidades que afectan a los procesadores de Intel. ZombieLoad, RIDL y Fallout, como han sido nombradas, no se tratan de simples variaciones de Meltdown y Spectre, como hemos estado acostumbrados.

Las tres, al igual que Meltdown y Spectre, se basan en la ejecución especulativa. Esta forma de optimización, consiste en realizar tareas antes de necesitarse, y desecharlas si al final no se requieren. A pesar de estar basadas en Meltdown y Spectre, éstas se consideran como MDS (Microarchitectural Data Sampling), lo que significa que pueden realizarse «al vuelo», siendo mucho más peligrosas.

RIDL (Rogue In-Flight Data Load) explota el buffer interno de la CPU (como los Line-Fill Buffers y los Load Ports) mientras se carga o almacena la información desde la memoria para acceder a datos sensibles. La explotación puede realizarse sin necesidad de ejecutarse con privilegios; desde cualquier sandbox, máquina virtual o incluso a pesar de usar SGX. Existe una prueba de concepto usando JavaScript.
Fallout permite la lectura del "Store Buffer" cuando la CPU almacena cualquier tipo de dato, pudiendo el ataque elegir qué dato se filtrará desde el ‘Store Buffer’ de la CPU. Este tipo de ataque puede utilizarse para romper el "KASLR" (Kernel Address Space Layout Randomization), pudiendo así filtrar datos sensibles escritos en memoria por el sistema operativo. Lo peor de todo, es que las nuevas contramedidas introducidas en los Intel i9 para Meltdown hacen estas CPUs aún más vulnerables a Fallout.

El último de estos, ZombieLoad, ha sido nombrado así por ser capaz de "resucitar" información que ha sido accedida recientemente o en paralelo en el mismo core. Afecta a todos los procesadores Intel desde el 2011, y no importa si se está utilizando virtualización. Para el ataque, se realiza un muestreo sobre el buffer de datos de relleno.

Las vulnerabilidades ya han sido identificadas con los siguientes CVE:
  • CVE-2018-12126: Ataque MSBDS (Microarchitectural Store Buffer Data Sampling), conocido como Fallout.
  • CVE-2018-12127: Ataque MLPDS (Microarchitectural Load Port Data Sampling), forma parte de RIDL.
  • CVE-2018-12130: Ataque MFBDS (Microarchitectural Fill Buffer Data Sampling), conocido como ZombieLoad o RIDL.
  • CVE-2019-11091: Ataque MDSUM (Microarchitectural Data Sampling Uncacheable Memory), forma parte de RIDL.
Google, Microsoft y Apple han lanzado parches para mitigar estas vulnerabilidades. En el caso de Google, la actualización sólo se aplica a los dispositivos Android con procesadores Intel, como algunos Chromebook y tablets. Microsoft por su parte, ha avisado que el parche podría tener un impacto en el rendimiento del sistema.

Existen pruebas de concepto de RIDL y Fallout tanto para Linux como Windows, además de para ZombieLoad en su repositorio.

Fuentes:

17 may. 2019

VMWare soluciona vulnerabilidad de DLL-hijacking luego de un año

Un ataque de DLL Hijacking no es nuevo. Consiste básicamente en un programa que no comprueba correctamente la ruta de carga de la DLL. Esto permitiría a un atacante con la capacidad de reemplazar o instalar una nueva DLL en alguna de las rutas, ejecutar código arbitrario cuando se lanza el programa legítimo. Este es un problema conocido (siguen apareciendo CVEs al respecto después de años de ser descubierto), sin embargo no todos los problemas de secuestro de DLL tienen la misma gravedad.

Algunos problemas son mitigados de diferentes formas de acuerdo al orden de carga de las DLL, la forma en que se establecen los permisos donde se encuentra el archivo ejecutable, etc. Este malware es consciente de ello y ha convertido los problemas del DLL Hijacking "menos graves" en una ventaja para que los atacantes eviten los sistemas de detección y, a su vez, ha convertido simples DLL hijackings en una potente herramienta para los desarrolladores de malware. Esto probablemente obligará a muchos desarrolladores a comprobar de nuevo la forma en que cargan las DLL desde el sistema, si no quieren ser utilizados como "lanzadores de malware".
Hace un año, ElevenPaths identificó un troyano bancario brasileño mejorado y evolucionado (muy probablemente procede del Kit KL Banker), que utilizaba una nueva técnica para eludir el sistema de reputación SmartScreen y evitar la detección en Windows. El troyano descarga programas legítimos y los utiliza como "malware launcher" aprovechando el DLL hijacking en el software. De este modo, el malware puede ejecutarse "ndirectamente" y eludir el sistema de reputación SmartScreen e incluso algunos antivirus.

Lo que hace que este malware sea realmente diferente es que utiliza dos etapas.
  • El downloader (primera etapa) descarga una copia desde un servidor de un programa legítimo que sufre un DLL Hijacking. Es el archivo ejecutable original, firmado y legítimo, por lo que no generará ninguna alerta.
  • Posteriormente, descarga el malware (segunda etapa) en el mismo directorio; se trata de una DLL firmada con certificados vendidos en el mercado negro. Estos certificados contienen el nombre de jóvenes empresas británicas reales, pero lo más probable es que estos certificados no sean robados, sino que se hayan creado a partir información de las empresas expuesta en fuentes públicas.
En este caso, el malware abusa de un problema de DLL Hijacking en VMnat.exe, que es un programa independiente que viene con varios paquetes de software de VMware. VMnat.exe (como muchos otros programas) intenta cargar una DLL del sistema llamada shfolder.dll (específicamente la función SHGetFolderPathw).

Primero intenta cargarlo desde la misma ruta en la que se llama a VMnat.exe; si no se encuentra, lo comprobará en la carpeta del sistema. Lo que hace el malware es colocar tanto el VMnat.exe legítimo como un archivo malicioso rebautizado como shfolder.dll (que es el propio malware firmado con un certificado) en la misma carpeta. VMnat.exe es entonces lanzado por el "malware de primera etapa", el cual primero encuentra el sfholder.dll malicioso y luego lo carga en su memoria. El sistema está ahora infectado, pero lo que el SmartScreen percibe es que lo que se ha ejecutado es un archivo con buena reputación.
A través de este innovador movimiento el atacante puede:
  • Evitar las firmas de antivirus fácilmente, pero no puede bypassear tan fácilmente la seguridad de los endpoints (heurística, hooking). El lanzamiento de vmware.exe es de hecho menos sospechoso y, por ello, el malware entra por esta vía, a través de algún tipo de ejecución de "segunda etapa" que es menos ruidosa dentro del sistema.
  • SmartScreen se basa en la reputación y es difícil de eludir para los atacantes. Por esta razón, la ejecución de un archivo ejecutable legítimo como VMware.exe y la carga de una DLL firmada (que a su vez es malware) hace que a SmartScreen le resulte mucho más difícil de detectar la potencial infección.
Ahora, un año despúes, VMWare ha publicado la versión 15.1 que soluciona la vulnerabilidad para DLL-hijacking identificada como CVE-2019-5526.

Fuente: Thing Big

SHA-1 ha muerto, ataque de colisión con prefijo elegido

Los ataques contra el algoritmo de hash SHA-1 se volvieron mucho más peligrosos la semana pasada con el descubrimiento de un "ataque de colisión con prefijo elegido", una versión más práctica del ataque de colisión SHA-1 que realizó Google hace dos años.

Lo que esto significa es que los ataques de colisión SHA-1 ahora pueden llevarse a cabo con entradas personalizadas, y ya no son solo colisiones "accidentales", lo que permite a los atacantes apuntar a ciertos archivos para duplicarlos y crearlos bajo demanda.

Combinando diferentes técnicas como búsqueda de cumpleaños, aproximación de multibloque atendiendo al efecto de clústering y aplicando también técnicas de colisión con las que han mejorado los ataques, se ha reducido su complejidad a entre 2^66.9 y 2^69.4.
  • 1995: se publica SHA-1. En teoría se debería romper en 2^80 (la mitad de 160) con fuerza bruta.
  • 2005: SHA-1, se publica un primer ataque de colisión con prefijos idénticos en 2^69, algo computacionalmente costoso para el momento y por tanto complejo en la práctica. Aun así ya el NIST recomendó ir migrando. Lo consideraría obsoleto en 2011.
  • 2012: se consigue mejorar los ataques de prefijo idéntico en 2^61. Algo posible, pero muy caro. Ese mismo año se consiguen que los ataques de prefijo elegido caigan a 2^77.1.
  • 2017: Google consigue dos PDF diferentes con mismo hash. Utiliza ataques de prefijo idéntico, que en teoría estaban en 2^61, pero ellos lo consiguen en 2^63 tras varios meses de computación y un coste de más de 100.000 dólares (en GPU).
  • 2019: se consigue reducir la complejidad del algoritmo de colisión de prefijos elegidos hasta entre 2^66 y 2^69. Esto hoy por hoy requeriría bastante computación, pero... ¿y mañana?

Prefijos idénticos y prefijos elegidos

Explican en Blog Think Big que con los prefijos idénticos, el atacante no tiene control sobre los mensajes en los que se encuentra la colisión, sino que los elige el algoritmo. Por tanto es menos útil desde el punto de vista práctico (para un atacante). Se tiene que partir de la base de que existe un prefijo con mismo hash,y a partir de ahí se le añaden payloads diferentes para que todo el conjunto tenga el mismo hash, aunque el contenido sea diferente.

Esto es muy útil para crear documentos con un mismo hash y diferente contenido. Como un documento o binario con un formato compartido contiene muchas partes idénticas por esa misma razón, es bastante habitual realizar pruebas de concepto de este tipo.

Esto se popularizó con el algoritmo de Xiaoyun Wang y Yu en 2004. Diseñó un código para crear ficheros que podían llegar a ser diferentes en hasta 128 bytes, pero compartir un mismo hash MD5. Un año más tarde se publicó el famoso artículo "Attacking Hash Functions by Poisoned Messages – The Story of Alice and her Boss", donde se mostraban dos ficheros PS (PostScript) con idéntico MD5. Lo consiguieron Magnus Daum y Stefan Lucks. Recordemos que MD5 son 128 bits y SHA-1, 160. Google no se consiguió lo mismo con SHA-1 hasta doce años más tarde y un coste más elevado.

Esto se mejoró sustancialmente en 2007 cuando Marc Stevens, Arjen K. Lenstra, y Benne de Wege pudieron crear dos binarios ejecutables completamente diferentes con mismo MD5, gracias a los prefijos "elegidos". Con los prefijos elegidos se abría una nueva fórmula, en la que se ponían en peligro los certificados, por ejemplo, con firmas digitales completamente diferentes pero que se podía simular que disponían del mismo hash, puesto que en un certificado solo se firma el hash de su información.

Por tanto, tenemos por un lado los ataques clásicos de Wang y demás con prefijo idéntico y por otro lado, Stevens y demás con sus prefijos elegidos. Uno más sencillo computacionalmente que el otro, y el segundo también más potente.

Ataques de colisión SHA-1

La función de hash SHA-1 se rompió teóricamente en 2005; sin embargo, el primer ataque exitoso de colisión en el mundo real se llevó a cabo en 2017. Hace dos años, académicos de Google y CWI produjeron dos archivos que tenían el mismo hash SHA-1, en el primer ataque de colisión SHA-1 en el mundo, conocido como "SHAttered".
Los criptógrafos predijeron que SHA-1 se rompería en un escenario del mundo real, pero la investigación de SHAttered se realizó tres años antes de lo que esperaban, y costó solo U$S 110.000 mediante el uso de potencia en la nube, mucho menos de lo que la gente pensaba que podría costar .

SHA-1 ataques de prefijo elegido

Pero la semana pasada, un equipo de académicos de Francia y Singapur llevó la investigación de SHAttered un paso más allá al demostrar un ataque de colisión con el "prefijo elegido" SHA-1, en un nuevo documento de investigación titulado "Desde las colisiones a las colisiones con prefijo elegido  en SHA-1" [PDF].

"Encontrar un ataque práctico de colisión rompe la función de hash, por supuesto, pero el daño real que se puede hacer con tal colisión es algo limitado, ya que el atacante tendrá poco o ningún control sobre los datos reales que colisionan", dijo Thomas Peyrin, uno de los investigadores. "Un ataque mucho más interesante es encontrar una llamada 'colisión de prefijo elegido', donde el atacante puede elegir libremente el prefijo para los dos mensajes en colisión. Estas colisiones cambian todo en términos de amenaza porque ahora puede considerar tener colisiones con datos significativos dentro (como nombres o identidades en un certificado digital, etc.)".

Lo que esto significa es que los ataques de colisión SHA-1 ya no son un juego de ruleta, y ahora, los atacantes pueden falsificar cualquier documento firmado por SHA-1 que deseen, desde documentos de negocios hasta certificados TLS.

Los ataques de colisión con el prefijo SHA-1 también son más baratos y entran en el presupuesto de los ciberdelincuentes. "Se cree que estas colisiones de prefijo elegido son mucho más difíciles de encontrar que las colisiones clásicas. Para SHA-1, el mejor método de búsqueda anterior requirió 2^77 evaluaciones de SHA-1, que permanecieron fuera de alcance en la práctica. La novedad en nuestro artículo es que explicamos cómo reducir drásticamente el costo de encontrar colisiones con el prefijo elegido para SHA-1, hasta casi el mismo costo que encontrar una colisión clásica".

"Actualmente estamos trabajando en mejoras adicionales (aún no publicadas), y evaluamos que se puede encontrar una colisión de prefijo elegido para SHA-1 con un presupuesto menor que U$S 100.000, lo que es realmente práctico".

Este es aproximadamente el mismo costo que la investigación original de SHAttered, sin embargo, esta versión del ataque es lo que los atacantes probablemente usarían si alguna vez quisieran atacar los datos protegidos por SHA-1.

Alejándose de SHA-1


Los navegadores han comenzado hace mucho tiempo eliminar el soporte para el tráfico TLS firmado con SHA-1 dentro de sus productos; sin embargo, otras aplicaciones todavía dependen de él.

"Todavía hay muchos usuarios con navegadores antiguos y muchos protocolos y software que permiten las firmas SHA-1. En concreto, todavía es posible comprar un certificado SHA-1 de una CA confiable, y muchos clientes de correo electrónico aceptan un certificado SHA-1 cuando están abriendo una conexión TLS", dijo Peyrin.

"El uso de SHA-1 para firmas digitales o certificados es muy peligroso, y no se debe permitir. Se recomienda encarecidamente a las personas que lo hagan cambiar a SHA-2 o SHA-3 ahora".

Por tanto el paralelismo el claro, muy pronto podremos ver ataques prácticos de colisión de prefijos elegidos en SHA-1, bien porque se mejore aún más el algoritmo, bien porque la capacidad de computación lo permita. Como pasó con MD5, el siguiente paso será crear un certificado o entidad certificadora falsa con mismo SHA-1. Para entonces, más nos vale haber dejado de usar SHA-1 para siempre.

¿Qué usar?

"Los ataques contra SHA-1 solo van a mejorar", dijo Scott Arciszewski, un destacado criptógrafo.

En orden de preferencia, estos son los algotimos que se deben utilizar:
  • BLAKE2b / BLAKE2s / Online
  • SHA-512/256
  • SHA3-256
  • SHA-384
  • Cualquier otra función hash de la familia SHA2 como último recurso
Fuente: ZDNet

Thrangrycat: vulnerabilidad crítica en productos Cisco

Investigadores de Red Balloon han descubierto una grave vulnerabilidad en los productos de Cisco que podría permitir a los atacantes implantar puertas traseras persistentes en dispositivos de amplio rango utilizados en empresas y redes gubernamentales, incluidos routers, switches y firewalls.

Apodado Thrangrycat o 😾😾😾, la vulnerabilidad, descubierta por investigadores de la empresa de seguridad Red Balloon e identificada como CVE-2019-1649, afecta a varios productos de Cisco que admiten el módulo Trust Anchor (TAm).
El módulo Trust Anchor (TAm) es una funcionalidad de inicio seguro basada en hardware implementada en casi todos los dispositivos empresariales de Cisco desde 2013 que garantiza que el firmware que se ejecuta en las plataformas de hardware sea auténtico y no haya sido modificado.

Sin embargo, los investigadores encontraron una serie de fallas en el diseño del hardware que podrían permitir que un atacante autenticado realice la modificación persistente del módulo Trust Anchor mediante la modificación del flujo de bits FPGA y cargue el cargador de arranque malicioso.

"Un atacante con privilegios de root en el dispositivo puede modificar el contenido del flujo de bits de anclaje FPGA, que se almacena sin protección en la memoria flash. Los elementos de este flujo de bits se pueden modificar para deshabilitar la funcionalidad crítica en el TAm", dijeron los investigadores. "La modificación exitosa del flujo de bits es persistente, y el ancla de confianza se desactivará en las siguientes secuencias de arranque. También es posible bloquear cualquier actualización de software al flujo de bits de TAm".

No se requiere acceso físico

Dado que la explotación de la vulnerabilidad requiere privilegios de root, el aviso publicado por Cisco destacó que solo un atacante local con acceso físico al sistema objetivo podría escribir una imagen de firmware modificada en el componente.

Sin embargo, los investigadores de Red Balloon explicaron que los atacantes también podrían explotar la vulnerabilidad de Thrangrycat de forma remota encadenándola con otras fallas que podrían permitirles obtener acceso de root o, al menos, ejecutar comandos como root.

Para demostrar este ataque, los investigadores revelaron una vulnerabilidad de RCE (CVE-2019-1862) en la interfaz de usuario basada en la web del sistema operativo IOS de Cisco que permite a un administrador registrado ejecutar comandos arbitrarios en la shell de Linux subyacente de un dispositivo afectado con privilegios de root.

Después de obtener acceso a la raíz, el administrador malintencionado puede omitir de forma remota el módulo Trust Anchor (TAm) en un dispositivo específico utilizando la vulnerabilidad de Thrangrycat e instalar una puerta trasera maliciosa.

Esto es lo que hace que esta vulnerabilidad sea más grave:

"Al encadenar 😾😾😾 y las vulnerabilidades de inyección remota de comandos, un atacante puede omitir de manera remota y persistente el mecanismo de arranque seguro de Cisco y bloquear todas las futuras actualizaciones de software para el TAm", dijeron los investigadores. "Dado que las fallas residen en el diseño del hardware, es poco probable que cualquier parche de seguridad del software resuelva completamente la vulnerabilidad de seguridad fundamental".

Mientras los investigadores probaron las vulnerabilidades contra los routers Cisco ASR 1001-X, cientos de millones de unidades de Cisco que ejecutan un TAm basado en FPGA en todo el mundo, que incluye todo desde routers empresariales hasta switchs y firewall, son vulnerables.

Red Balloon Security informó de forma privada los problemas a Cisco en noviembre de 2018 y solo publicó algunos detalles al público después de que Cisco emitió parches de firmware para solucionar ambos defectos y enumeró todos los productos afectados.

Cisco dijo que la compañía no detectó ataques que explotaran ninguna de estas dos vulnerabilidades.

Los detalles completos de las vulnerabilidades se publicarán en la conferencia de seguridad Black Hat USA de este año en agosto.

Fuente: THN