24 abr. 2019

FINTEAM: rusos vulneran embajadas norteamericanas

De acuerdo con información del portal dedicado a recopilar información sobre ciberataques, Checkpoint research, recientemente miembros de la Asociación Oficial de Finanzas del Gobierno de Estados Unidos, (GFOA, por sus siglas en inglés), recibieron el mismo correo electrónico, en el cual se les adjuntaba un archivo con extensión .xlsm que al ser descargado instalaba software malicioso capaz de tomar control de sus ordenadores.

El archivo llevaba por nombre "Military Financing.xlsm", y con este, un grupo de hackers, cuyo origen hasta ahora ha sido rastreado en Rusia, intentaron vulnerar la ciberseguridad de algunas embajadas de Estados Unidos al rededor del mundo, abarcando Nepal, Guyana, Kenya, Italia, Liberia, Bermuda y Lebanon, entre otras.

El archivo instalaba sin autorización una versión del software TeamViewer, con el cual es posible conectarse remotamente a otro equipo para controlarlo.
En el comunicado de prensa de checkpoint, se puede leer que "es difícil afirmar si hay un motivo geopolítico detrás de esta campaña con solamente mirar la lista de países a los que apuntó [...] puesto que no ocurrió en una región específica y las víctimas venían de diferentes lugares del mundo". Por último se añadió que las motivaciones de este grupo de hackers pudieron ser simplemente monetarias.

Fuente: El Universal

Google bloqueará los inicios de sesión de navegadores integrados para evitar el phishing

A partir de junio, Google bloqueará los intentos de inicio de sesión de los navegadores integrados en un esfuerzo por evitar los ataques de phishing de tipo intermediario (MitM, por sus siglas en inglés).
La empresa afirma que los ataques de phishing, que implican interceptación de tráfico y suplantación de identidad, son difíciles de detectar cuando se emplea un marco de trabajo de navegador integrado o un tipo diferente de plataforma de automatización para la autenticación.

Como ejemplo del procedimiento Google mencionó su Chromium Embedded Framework (CEF), que está diseñado para integrar navegadores basados en Chromium en otras aplicaciones.

Dado que sus sistemas no pueden distinguir entre los inicios de sesión legítimos y los ataques MitM cuando se utilizan estos frameworks incrustados, Google ha decidido que, a partir de junio, bloqueará los inicios de sesión de manera estandarizada. Esta es otra capa de protección además de las salvaguardas existentes, como las advertencias de Safe Browsing warnings, Gmail spam filters, y account sign-in challenges.

"La solución para los desarrolladores que actualmente utilizan CEF para la autenticación es la misma: autenticación OAuth basada en navegador. Además de ser seguro, también permite a los usuarios ver la URL completa de la página en la que están introduciendo sus credenciales, lo que refuerza las buenas prácticas contra la suplantación de identidad", escribe Jonathan Skelker, director de productos de seguridad de cuentas de Google, en el blog de la empresa.

La solución para los desarrolladores que actualmente utilizan CEF para la autenticación es la misma: la autenticación OAuth basada en el navegador. Además de ser seguro, también permite a los usuarios ver la URL completa de la página donde están ingresando sus credenciales, lo que refuerza las buenas prácticas contra el phishing. Si es un desarrollador con una aplicación que requiere acceso a los datos de la cuenta de Google, cambie a usar la autenticación OAuth basada en el navegador hoy.

Fuente: Google

Seguridad y modelado en el desarrollo de software: cuanto antes, mejor

Si nos remontamos a los primeros desarrollos de software, o no tan atrás, a hace 10 años, estos desarrollos tenían como objetivo conseguir que el software tuviera las características solicitadas por un cliente, pero nadie se centraba en que ese software fuera eficiente, de calidad o seguro. Con el tiempo, se empezó a extender el concepto de calidad, algo necesario en la industria y, finalmente y a base de palos, se ha conseguido dar a entender que la seguridad necesita estar presente en cualquier desarrollo.

Hace no mucho, apenas 2 años atrás, cuando trabajaba en el equipo de seguridad de aplicaciones de Accenture Security, y en reuniones con diferentes clientes, algunos comentaban que ellos ya tenían contratados a un equipo de hacking ético para revisar la seguridad de sus aplicaciones, y que con eso era suficiente, otros además agregaban un análisis estático del código (SAST) al finalizar el desarrollo. Sin duda, son tareas necesarias en el mundo del desarrollo de aplicaciones, pero se realizan al final, cuando si se detecta un bug o problema, puede ser demasiado tarde, por que lo detecte un atacante o la modificación de la aplicación requiere rehacerla por completo. La seguridad en el software se debe incluir desde el minuto 1, que es en la captura de requisitos. En el siguiente esquema se puede ver la aproximación a alto nivel de la que estoy hablando.
Aproximación a alto nivel imagen
Las tareas fundamentales para llevar tener un código lo más seguro posible son los siguientes:
  • Recogida de información que afecte a la seguridad (por ejemplo, ¿qué normativas pueden afectar a este desarrollo?
  • Modelado de amenazas.
  • Establecer contramedidas.
  • Durante el desarrollo implementar las contramedidas y pasar un SAST.
  • Al finalizar el desarrollo, realizar las pruebas de seguridad correspondientes (SAST, DAST, ethical hacking).

Recogida de información

Debe de existir una buena comunicación, la seguridad es responsabilidad de todos, en primer lugar, reuniones entre los equipos de seguridad, arquitectura y negocio son imprescindibles. Es necesario obtener entre otros datos: el tipo de datos que se va a manejar, los usuarios, dónde se desplegará el software, (país, Intranet, cloud, etc.), componentes o flujos.

Modelar amenazas

Teniendo en cuenta toda la información recolectada, para facilitar el trabajo se pasa a hacer el diagrama de flujos, donde saldrán las zonas de confianza, los componentes de la aplicación y los flujos que existirán entre componentes y zona, a partir de este diagrama podemos pasar a identificar amenazas que afectan al proyecto. Puedes seguir distintas metodologías: STRIDE, PASTA, Trike, etc.

Contramedidas

Las amenazas se deben tener en cuenta a la hora de desarrollar, y para ello es necesario definir unas contramedidas que los desarrolladores tengan en cuenta. En este punto no se entra en detalle, se trata de un enunciado a alto nivel, del tipo: “Parametriza las consultas a la base de datos”. Para aportar un gran valor a estas contramedidas a la hora de validar que se están llevando a cabo en el desarrollo, se puede hacer un mapeo con estándares de seguridad, como son CWE o ASVS.

Implementaciones

Las contramedidas se ha comentado que son a alto nivel, en este caso, teniendo en cuenta la tecnología a usar en el proyecto, se puede decir cómo llevar a cabo esa contramedida. Por ejemplo, en PHP, llevar a cabo la parametrización:
$test = $db->prepare("INSERT INTO TEST (mytest) VALUES (:mytest)");
$test->bindParam(':mytest', $mytest);
De primeras puede parecer un trabajo pesado, así pasaba, nos encontrábamos con equipos que comentaban que esto les generaba perdida de tiempo que no entregaban a tiempo… Hay que dejar claro, que esta tarea requiere de la colaboración de todos, y la estimación se tiene que hacer teniendo la seguridad en mente. Con la colaboración de todos y la experiencia nos fuimos encontrando mucho mejor feedback.

Podemos ver que es un trabajo "repetitivo", por lo que, generando una base de conocimientos a la larga, se va a poder reducir mucho el tiempo dedicado a encontrar amenazas y definir contramedidas, bastará con establecer componentes de la aplicación, datos, flujos, etc. Y tendremos el listado de contramedidas e implementaciones.

Existen herramientas en la red que pueden ser de gran ayuda a la hora de llevar a cabo este trabajo, unas gratis, otras con diferentes licencias, dejo un pequeño listado:
  • Irius Risk: aún les queda trabajo por hacer, quizás el punto más débil es el tema de implementaciones, pero es de las más completas que he usado, permite personalización y agregar nuestro contenido, pero además ya dispone de muchos datos. No es gratuita.
  • Microsoft Threat Modelling Tool: herramienta gratuita para pequeños desarrollos o para comenzar a aprender no está mal, pero de cara a algo “profesional” no la recomiendo. Dejará de tener continuidad en octubre del 2019.
  • Threat Dragon: herramienta de OWASP, para hacer el diagrama nos puede servir, pero no para mucho más.
  • Drawio: esta herramienta no la he podido probar, pero el aspecto visual que ofrece es muy bueno, si alguien la conoce o la quiere probar y dar su opinión se lo agradecería.
  • Threat Modeler: una herramienta potente, no es gratuita.
No dejes la seguridad de tus desarrollos para el final, aunque te parezca que el proyecto te va a requerir más esfuerzo, tiempo y dinero, a la larga va a ser todo lo contrario, recuerda esto: arreglar un problema encontrado en una aplicación que ya se encuentra en producción es muchísimo más caro que arreglar uno encontrado en la fase de diseño.

Fuente: ElevenPaths

Libros de seguridad informática (recomendados por los usuarios)

En la mayoría de los casos, los títulos sugeridos por la comunidad son en español, aunque también hay en otros idiomas. A continuación, compartimos los títulos sugeridos e invitamos a los lectores que recomienden otros libros de seguridad en la sección comentarios al final del artículo.

1. Qué es la seguridad Informática

Su autor, Hugo Scolink, escribió este libro de 176 páginas que introduce al lector en el mundo de la seguridad informática, permitiéndole comprender la importancia que tiene la seguridad en un mundo cada vez más tecnológico, así como sus principales desafíos.

2. Ethical Hacking, un enfoque metodológico para profesionales

Un material que explica los métodos que utiliza un “hacker ético” y los distintos tipos de análisis de seguridad existentes, así como la forma de presentar los resultados de dichos análisis a otras áreas de una empresa que hacen al negocio. De esta manera, el lector aprenderá el tipo de análisis que cada organización necesita y cómo gestionar los resultados de los análisis realizados. Además, este libro explora las distintas técnicas de identificación y explotación de vulnerabilidades que más se utilizan en la actualidad, así como distintos perfiles de atacantes que existen.

3. Manual de Informática Forense

Un conjunto de tres libros que abordan la Informática Forense. Hablamos de Manual de informática Forense, Manual de Informática Forense II, y Manual de Informática Forense III. A partir de estos libros de más de 400 páginas cada uno el lector encontrará información sobre las distintas problemáticas a las que debe hacer frente un informático forense y los desafíos cotidianos que se presentan día a día.

4. Voto electrónico. Una solución en busca de problemas

Se trata de un material gratuito, disponible tanto de manera impresa como en diversos formatos digitales, que recopila gran parte de los debates sobre la implementación del voto electrónico en Argentina durante 2016. Para ello, el libro tiene en cuenta opiniones diversas, como las que pueden aportar juristas, politólogos y profesionales de las ciencias de la computación, entre otros.

5. Cibercriminología: Guía para la Investigación del Cibercrimen y Mejores Prácticas en Securidad Digital

Sus autores, Kyung-Shick Choi, y Marlon Mike Toro – Álvarez, recopilan las lecciones aprendidas a través de diferentes casos relacionados con amenazas en el entorno digital. En este sentido, exploran las diferencias entre cibercrimen y delitos informáticos y el problema de la ciberdelincuencia, así como las debilidades de la criminología tradicional, medidas de contención y estrategias de prevención.

6. Internet: ¿arma o herramienta?

Este libro, editado por la Universidad de Guadalajara de México, pone el foco en el aspecto legal. Por lo tanto, el lector encontrará una definición del delito cibernético y aprenderá cuáles son los tipos de delitos cibernéticos existentes, los derechos digitales, cuál es el marco normativo sobre la seguridad y los delitos cibernéticos, y también aprenderá conceptos generales sobre seguridad informática, malware, vulnerabilidades y criptografía, entre otros temas más.

7. Cyberdéfense – La sécurité de l’informatique industrielle | Sécurité informatique Ethical Hacking – Apprendre l’attaque pour mieux se défendre

Para aquellos que tienen dominio del francés, un usuario de la comunidad compartió dos títulos en este idioma.

El primero de ellos se titula “Cyberdéfense – La sécurité de l’informatique industrielle” y aborda el tema de la seguridad de las tecnologías industriales. Según su descripción, el objetivo del libro es presentar las técnicas más comunes utilizadas por los atacantes para a partir de ahí aprender cómo defenderse. Se trata de un campo menos tradicional que aborda la seguridad aplicada a los sistemas industriales y las medidas para hacerle frente a las problemáticas de este campo en particular. El libro explica los métodos de búsqueda de distintos problemas de seguridad, así como algunos posibles ataques, mediante el uso de una biblioteca particular llamada Scapy escrita en Python.

El segundo de ellos se titula “Sécurité informatique – Ethical Hacking : Apprendre l’attaque pour mieux se défendre”. El mismo introduce al lector a las técnicas de ataque más comunes para enseñar los mecanismos de defensa. Quien lea este libro aprenderá cuáles son los distintos tipos de “hackers” y sus objetivos, la metodología de un ataque y las distintas formas que existen para descubrir fallos de seguridad, así como las estrategias posibles para hacer frente a distintos tipos de casos posibles. Además, explica cómo identificar posibles vulnerabilidades en Windows y Linux así como posibles fallas en aplicaciones que sirven para introducir al lector en el lenguaje ensamblador.

Por otra parte, entre los temas por los que pasa este material está el aspecto legal, con capítulos que se refieren al reglamento general de protección de datos, más conocido como GDPR.

Por último, el usuario que compartió estos dos libros también recomendó la revista “Haking”, la cual ofrece una gran cantidad de tomos en inglés sobre distintos temas que hacen a la seguridad.

8. Seguridad informática: Básico

Escrito por Álvaro Gómez Vieites, este título recorre los aspectos más relevantes a tener en cuenta al momento de establecer un sistema de gestión de la seguridad de la información en una organización, como son las etapas de análisis, gestión de riesgos, definición y establecimiento de políticas, planes y procedimientos de seguridad. Asimismo, se exploran los principales tipos de amenazas, así como los problemas provocados por los casos de estafas y “phishing” en Internet, entre otros temas más.
Fuente: We Live Security

Avalancha de exploits que se aprovechan la vulnerabilidad de WinRAR

La vulnerabilidad en WinRAR divulgada en febrero, identificada como CVE-2018-20250, se está convirtiendo en la vulnerabilidad más explotada de los últimos tiempos.

La última evidencia es un informe del equipo Microsoft Office 365 Threat Research que ha señalado que está siendo utilizada por el grupo MuddyWater APT para atacar organizaciones en el sector de satélites y comunicaciones.

Para los que desconozcan WinRAR, se trata de una aplicación muy popular en Windows utilizada para comprimir archivos y que nació en los 90, pero que una empresa de seguridad descubrió que tenía una grave vulnerabilidad RCE desde hace 19 años.

Los ciberdelincuentes no podían dejar pasar una oportunidad como esta, por lo que a los pocos días de divulgarse la vulnerabilidad ya existían más de 100 exploits.
El explotar la vulnerabilidad dependía de un formato de fichero ya desaparecido llamado ACE, que WinRAR no soporta desde la versión 5.71 beta, tras ser informados del problema antes de que fuera divulgado.

Eso ocurrió semanas antes de que se hiciera público el problema, pero desafortunadamente la muchos no se enteraron por lo que no lo actualizaron.

En ese sentido, la entrada en el blog de Microsoft que alerta sobre los ataques dirigidos es una llamada de atención para que las organizaciones e individuales actualicen sus equipos lo antes posible.

Detectado a principios de marzo, se trata de un sofisticado ataque de phishing conectado a una nación (de ahí las siglas APT: amenaza persistente avanzada), que utiliza un fichero adjunto Word que pretende provenir del Ministro de Exteriores de Afganistán. Al abrirlo desencadena una descarga desde un enlace OneDrive (ahora inactivo) que contiene un segundo archivo Word que embebido tiene un macro que inicia el malware.

En este caso se trata de un script PowerShell, que abre una puerta trasera para que el atacante entregue el fichero malicioso ACE con el exploit para el CVE-2018-20250.

El ciberdelincuente todavía necesita engañar al usuario para que reinicie el ordenador. Este tipo de ataques se basa en un juego de porcentajes, que asume que alguien acabará cayendo en todo el proceso, lo suficiente para un ataque dirigido.Como señala Microsoft:
El ataque que inmediatamente explota la vulnerabilidad WinRAR demuestra la importancia de la gestión de amenazas y vulnerabilidades en reducir el riesgo operacional.
Lo que sorprende es lo similar que es el ataque que describe Microsoft a otros que explotan la misma vulnerabilidad.

¿Cómo pudo una vulnerabilidad estar oculta durante tanto tiempo?

Porque el desarrollo de software puede ser complicado, como WinRAR incide en sus notas de la nueva versión:
WinRAR utilizaba una librería de terceros para descomprimir archivos ACE. UNACEV2.DLL no había sido actualizada desde 2005 y no tenemos acceso a su código fuente. Por lo que hemos decidido eliminar ese archivo para proteger a los usuarios de WinRAR.

Actualiza o elimina

Además de eliminar o actualizar WinRAR, los administradores pueden enviar una advertencia sobre este tipo de ataques, especificando el no abrir ningún fichero ACE bajo ninguna circunstancia (recordando que los archivos pueden ser renombrados para evitar sospechas).

El otro aporte es no asumir que, como hasta ahora los ataques han estado relacionados con naciones, este será siempre el caso. Los exploits comerciales estarán al caer, los 500 millones de usuarios de WinRAR suponen un montón de víctimas para atacar.

Fuente: Sophos

23 abr. 2019

Código fuente del malware CARBANAK/FIN7 filtrado

Los investigadores de seguridad de FireEye han descubierto el código fuente completo del malware Carbanak, también conocido como FIN7, Anunak o Cobalto. Este es uno de los programas maliciosos más peligrosos, que pertenecen a un grupo de delincuentes al estilo de la APT involucrado en varios ataques contra bancos, instituciones financieras, hospitales y restaurantes.
carbanak source code
En julio del año pasado, se corrió el rumor de que el código fuente de Carbanak se filtró al público, pero investigadores de Kaspersky Lab confirmaron más tarde que el código filtrado no era el troyano Carbanak.

Ahora, los investigadores de FireEye revelaron que encontraron el código fuente de Carbanak, los creadores y algunos complementos nunca antes vistos en dos archivos RAR [1, 2] que se cargaron en el motor de escaneo de malware VirusTotal hace dos años desde una dirección IP rusa.
"El código fuente de CARBANAK era de 20 MB y comprendía 755 archivos, con 39 binarios y 100.000 líneas de código. Nuestro objetivo era encontrar inteligencia sobre amenazas que habíamos perdido en nuestros análisis anteriores".
Los investigadores de FireEye tienen planes de lanzar una serie de artículos de 4 partes que detallan las características y el análisis de CARBANAK según su código fuente e ingeniería inversa.

Descubierto por primera vez en 2014 por Kaspersky Lab, Carbanak es uno de los malware más exitosos del mundo, lanzado por un grupo altamente organizado que evolucionó continuamente en sus tácticas para llevar a cabo la ciberdelincuencia al tiempo que evita la detección por parte de posibles objetivos y las autoridades.

El grupo de delincuentes comenzó sus actividades hace casi seis años lanzando una serie de ataques de malware utilizando Anunak y Carbanak para comprometer a los bancos y las redes de cajeros automáticos de todo el mundo, y de ese modo robar más de mil millones de euros a más de 100 bancos en todo el mundo.

Para comprometer a los bancos, los delincuentes enviaron correos electrónicos maliciosos de phishing a cientos de empleados en diferentes bancos, los cuales infectaron las computadoras con malware Carbanak si se abrían, lo que permite a los atacantes transferir dinero de los bancos afectados a cuentas falsas o cajeros automáticos monitoreados por ellos.

Según las autoridades europeas, el grupo criminal más tarde desarrolló un sofisticado troyano bancario listo para el atraco llamado Cobalt, basado en el software de pruebas de penetración Cobalt-Strike, que estuvo en uso hasta 2016.

El grupo fue expuesto por primera vez en 2015 como delincuentes cibernéticos por motivos económicos, y tres sospechosos, Dmytro Fedorov, de 44 años, Fedir Hladyr, de 33 años, y Andrii Kopakov, de 30 años, todos de Ucrania fueron arrestados el año pasado en Europa entre enero y junio.

Los tres sospechosos, uno de los cuales (se cree que Kopakov) era el presunto líder del grupo criminal organizado, fueron acusados ​​y acusados ​​de un total de 26 cargos de delitos graves en agosto de 2018.

Fuente: THN

Evil Clippy: herramienta para crear documentos de MS Office maliciosos

Evil Clippy de Stan Hegt (@StanHacked) es un asistente multiplataforma para crear documentos maliciosos de Microsoft Office. Se presentó en la BlackHat Asia (28 de marzo de 2019) y puede ocultar macros VBA, pisar (en adelante stomp) códigoVBA (a través de P-Code) y confundir a las herramientas de análisis de macros.

Actualmente esta herramienta es capaz de obtener una macro predeterminada de Cobalt Strike que puede bypassear todos los principales productos antivirus y la mayoría de las herramientas de análisis de maldoc (mediante el uso de stomping VBA en combinación con nombres de módulos aleatorios).

Evil Clippy usa la librería OpenMCDF para manipular los archivos (Compound File Binary Format) de MS Office y abusa de las especificaciones y características de MS-OVBA. Reutiliza el código de Kavod.VBA.Compression para implementar el algoritmo de compresión que se usa en las secuencias de dir y módulos (consultar MS-OVBA para obtener las especificaciones relevantes).

Evil Clippy funciona perfectamente bien con el compilador Mono C# y ha sido probado en Linux, OSX y Windows.

Referencias:
Fuente: HackerPlayers

22 abr. 2019

Digital Doppelgangers: "pedir prestada" otra identidad para robar bancos

El investigador de Kaspersky Lab Sergey Lozhkin ha descubierto una tienda en la Darknet llamada Genesis que se utiliza para vender máscaras digitales a los usuarios.

Una máscara es la huella digital de un usuario (su historial web, el sistema operativo y la información del navegador, como los complementos instalados y demás) e información sobre su comportamiento: qué hace online y cómo lo hace. 
Pero ¿por qué los cibercriminales venden las máscaras y qué relación tienen con el carding? Las máscaras digitales se utilizan en los sistemas antifraude para verificar a los usuarios. Si la máscara digital coincide con la que ha mostrado anteriormente el usuario, el sistema antifraude considerará que la actividad es legítima. Por tanto, en el caso de muchos bancos, ni siquiera requerirán un código 3D Secure por SMS ni notificarán al usuario para confirmar la transacción.

Por tanto, si un cibercriminal consiguiera robar tu máscara digital y tus credenciales de la banca online, el sistema antifraude pensará que eres tú y no disparará ninguna alarma. De esta forma, el atacante puede vaciar todo el dinero de tu cuenta sin ser detectado.

Este es el motivo por el que algunos cibercriminales extraen los datos de los dispositivos de los usuarios y los ponen a la venta en Genesis. Otros compran esta información, que puede costar entre 5 y 200 dólares estadounidenses, dependiendo de la cantidad de datos y de las credenciales incluidas, y la utilizan para hacerse pasar por el propietario de la máscara digital.

Para ello, utilizan un complemento de navegador gratuito desarrollado por las personas responsables de Genesis y llamado Genesis Security. Este complemento les permite utilizar la máscara digital para recrear la identidad virtual del usuario legítimo y, por consiguiente, engañar a los sistemas antifraude. En resumen, modifica los parámetros que analiza el sistema antifraude para que coincidan con los del dispositivo de la víctima y reproduce su comportamiento.

Recopilación de huellas digitales

Los propietarios de Genesis Store desean que el uso de perfiles robados sea lo más fácil posible, por lo que han desarrollado un complemento especial .crx para los navegadores basados en Chromium. El complemento permite instalar perfiles digitales robados en el propio navegador de los ciberdelincuentes con un solo clic para que se convierta en un Doppelganger de la víctima. Después de eso, el malo solo necesita conectarse a un servidor proxy con una dirección IP desde la ubicación de la víctima y puede pasar por alto los mecanismos de verificación de los sistemas antifraude, haciéndose pasar por un usuario legítimo.

Entonces, ¿dónde consiguen los cibercriminales de Genesis todos los datos que venden? La respuesta es simple, pero un tanto difusa: a partir de varios tipos de malware.

No todos los tipos de malware intentan cifrar tus datos para pedir un rescate o robar tu dinero nada más acceder a tu dispositivo. Otros permanecen en silencio, recopilando todos los datos a su alcance y elaborando esas máscaras digitales que posteriormente se venden en Genesis.

Fuente: Kaspersky

Framework ATT&CK para equipos Red Team

Acerca de ATT&CK

ATT&CK desarrollado por MITRE es una base de conocimiento de acceso global de las tácticas y técnicas del adversario basada en observaciones del mundo real. La base de conocimientos ATT&CK es usada como base para el desarrollo de modelos de amenazas específicos y metodologías en el sector privado, gobierno y en la comunidad de productos y servicios de ciberseguridad. Con la creación de ATT&CK, MITRE está cumpliendo su misión para resolver problemas por un mundo más seguro -al reunir comunidades para el desarrollo más efectivo de la ciberseguridad. ATT&CK está abierto y disponible a cualquier persona u organización para su uso sin cargo.

Porque fue creado ATT&CK

ATT&CK significa Tácticas, Técnicas del Adversario y  Conocimiento Común (Adversarial Tactics, Techniques, and Common Knowledge). MITRE inició este proyecto en 2013 para documentar las tácticas, técnicas comunes y procedimientos (tactics, techniques, and procedures, TTPs) que las amenazas persistentes avanzadas usan contra las redes Windows empresariales. ATT&CK fue creado por la necesidad de documentar los comportamientos del adversario para usarlo en en un proyecto de investigación en MITRE denominado FMX. El objetivo de FMX era investigar el uso de los datos y análisis de la telemetría del terminal para mejorar la detección post-compromiso de los adversarios operando dentro de las redes de las empresas. Mucho de aquel trabajo está documentado aquí: Hallazgos de Amenazas basados en Análisis ATT&CK y el Repositorio de Ciber-Análisis

En base a nuestra investigación, decidimos que necesitábamos un marco de trabajo para abordar cuatro temas principales:
  1. Comportamientos del adversario. Enfocarnos en las tácticas y técnicas del adversario nos permitió desarrollar el análisis para detectar posibles comportamientos de adversario. Indicadores típicos tales como dominios, direcciones IP, hashes de archivos, claves de registro, etc. fueron cambiados fácilmente por adversarios y solo fueron útiles para la detección en un momento determinado de tiempo -esos indicadores no representan como interactúan los adversarios con los sistemas, solo que probablemente interactuaron en algún momento.
  2. Modelos de ciclo de vida que no encajaban. Los conceptos existentes de ciclo de vida del adversario y Cyber Kill Chain eran de muy alto nivel para relacionar los comportamientos con las defensas: el nivel de abstracción no era útil para asignar las TTPs a nuevos tipos de sensores.
  3. Aplicabilidad a entornos reales. Los TTP deben basarse en incidentes observados para mostrar que el trabajo es aplicable a entornos reales.
  4. Taxonomía común. Los TTP deben ser comparables entre los diferentes tipos de grupos adversarios utilizando la misma terminología.
Creemos firmemente que la ofensiva es el mejor impulsor para la defensa. La capacidad de una organización para detectar y detener una intrusión mejora en gran medida al mantener sólidos equipos sólidos ofensivos y defensivos que trabajan juntos. Dentro de FMX, ATT & CK era el marco utilizado para construir escenarios de emulación de adversarios. El equipo de emulación utilizó estos escenarios para inyectar actividades inspiradas en el mundo real dentro de la red. Luego, el equipo usó las pruebas para verificar que los sensores y los análisis estaban funcionando para detectar el comportamiento del adversario dentro de una red de producción. El enfoque dio como resultado una rápida mejora en la capacidad de detección y, lo que es más importante, de manera medible y repetible.

ATT&CK se convirtió en la herramienta de acceso tanto para el equipo de emulación del adversario para planificar eventos como para que el equipo de detección verifique su progreso. Este fue un proceso tan útil para el programa de investigación de MITRE que consideramos que debería publicarse para beneficiar a toda la comunidad, por lo que MITRE lanzó ATT & CK al público en mayo de 2015. Desde entonces, ATT&CK se ha expandido significativamente para incorporar técnicas utilizadas contra macOS y Linux, comportamientos usados por adversarios contra dispositivos móviles, y estrategias de adversarios para planificar y realizar operaciones de pre-explotación.

¿Qué es ATT&CK?

ATT&CK es principalmente una base de conocimiento de técnicas de adversario, un desglose y clasificación de acciones de orientación ofensiva que se pueden usar contra plataformas particulares, tales como Windows. A diferencia del trabajo previo en esta área, el enfoque no está en las herramientas y el malware que usan los adversarios, sino en cómo interactúan con los sistemas durante una operación.
ATT&CK organiza estas técnicas en un conjunto de tácticas para ayudar a explicar el contexto de la técnica. Cada técnica incluye información que es relevante para el equipo rojo o de pruebas de penetración para comprender la naturaleza de cómo funciona una técnica y también para el defensor para comprender el contexto que rodea los eventos o artefactos generados por una técnica en uso.
Las tácticas representan el "por qué" de una técnica ATT&CK. La táctica es el objetivo táctico del adversario para realizar una acción. Las tácticas sirven como categorías contextuales útiles para técnicas individuales y cubren notaciones estándar de nivel superior para cosas que hacen los adversarios durante una operación, como persistir, descubrir información, moverse lateralmente, ejecutar archivos y exfiltrar datos.

Las técnicas representan "cómo" un adversario logra un objetivo táctico al realizar una acción. Por ejemplo, un adversario puede volcar credenciales para obtener acceso a credenciales útiles dentro de una red que se pueden usar más adelante para el movimiento lateral. Las técnicas también pueden representar "lo que" gana un adversario al realizar una acción. Esta es una distinción útil para la táctica de descubrimiento, ya que las técnicas resaltan tras qué tipo de información está adversario con una acción en particular. Puede haber muchas maneras, o técnicas, para lograr objetivos tácticos, por lo que hay múltiples técnicas en cada categoría táctica.

La Matriz ATT&CK™

La relación entre tácticas y técnicas se puede visualizar en la matriz ATT&CK. Por ejemplo, bajo la táctica Persistencia (este es el objetivo del adversario: persistir en el entorno objetivo), hay una serie de técnicas que incluyen AppInit DLL, Nuevo servicio y Tarea programada. Cada uno de estos es una técnica única que los adversarios pueden usar para conseguir el objetivo de la persistencia.

La matriz ATT&CK para empresas

La Matriz ATT&CK es probablemente el aspecto más ampliamente reconocible de ATT&CK porque se usa comúnmente para mostrar elementos como la cobertura defensiva de un entorno, las capacidades de detección en productos de seguridad y los resultados de un incidente o un compromiso conseguido por el equipo rojo.

Inteligencia de amenaza cibernética

Otro aspecto importante de ATT&CK es cómo integra la inteligencia de amenazas cibernéticas (CTI). A diferencia de las formas anteriores de resumir las CTI que se utilizaron principalmente para indicadores, ATT&CK documenta los perfiles de comportamiento de los grupos adversarios, como el APT29, basado en informes públicos disponibles para mostrar qué grupos usan qué técnicas.

Por lo general, los informes individuales se usan para documentar un incidente o grupo en particular, pero esto hace que sea difícil comparar lo que sucedió en los incidentes o grupos y llegar a una conclusión sobre qué tipos de defensas fueron las más efectivas. Con ATT&CK, los analistas pueden ver grupos de actividades enfocándose en la técnica en sí. Al decidir cómo enfocar los recursos defensivos, los analistas podrían comenzar con las técnicas que tienen el mayor uso de grupo.

Ejemplos de cómo los adversarios particulares usan las técnicas, están documentados en su página de ATT&CK, que representa el procedimiento de ese grupo para usar la técnica. El procedimiento es un caso particular de uso y puede ser muy útil para comprender exactamente cómo se utiliza la técnica y para la reproducción de un incidente con la emulación del adversario y para detalles específicos sobre cómo detectar ese caso en uso.

Donde está ATT&CK hoy

ATT&CK se ha expandido significativamente en los últimos cinco años, desde Windows a otras plataformas y tecnologías. Está en uso por diferentes organizaciones gubernamentales y sectores de la industria, incluidos los sectores financiero, sanitario, minorista y tecnológico. La adopción y el uso públicos han generado importantes contribuciones a ATT&CK para mantenerlo actualizado y útil para la comunidad. Queremos continuar con esta tendencia, por lo que MITRE tiene grandes planes para seguir haciendo crecer ATT&CK para asegurar su futuro como un recurso público valioso.

Continuando esta serie

Ahora que hemos cubierto algunos de los conceptos básicos, uno puede esperar que futuras publicaciones de blog que brinden más detalles sobre los temas tratados en esta publicación. Discutiremos el uso de ATT&CK con inteligencia de amenazas cibernéticas, análisis de detección basados en el comportamiento y emulación de adversarios, así como áreas adicionales.

Traducción: Raúl Batista de la redacción de Segu-Info
Fuente: Mitre

21 abr. 2019

Gaza Cybergang y su campaña de SneakyPastes

En la conferencia Security Analyst Summit (SAS) de Kaspersky, se publicó información sobre la ciberbanda Gaza Cybergang, la cual se se especializa en ciberespionaje y cuya acción se limita al Medio Oriente y países de Asia Central. Su objetivo principal son políticos, diplomáticos, periodistas, activistas y otros ciudadanos políticamente activos de la región.

En cuanto al número de ataques que registramos desde enero del 2018 hasta enero del 2019, los objetivos que encabezan la lista se encuentran dentro del territorio palestino. También hubo intentos de infección en Jordán, Israel y Líbano. La banda empleó métodos y herramientas de distintos grados de complejidad en estos ataques.

Los expertos han identificado tres subgrupos dentro de la ciberbanda y ya habían encontrado información de dos de ellos. El primero fue responsable de la campaña Desert Falcons y el segundo está detrás de los ataques personalizados conocidos como Operation Parliament.

Pues bien, toca turno al tercero, al que llamaron MoleRATs. El grupo cuenta con herramientas relativamente simples, pero de ningún modo su campaña SneakyPastes (nombrado así por usar activamente pastebin.com) resulta inofensiva.

SneakyPastes

La campaña presenta múltiples etapas. Comienza con phishing, enviando correos desde direcciones y dominios de uso único. A veces, los correos contienen enlaces hacia malware o archivos adjuntos infectados. Si la víctima ejecuta el archivo adjunto (o si sigue el enlace), su dispositivo contraerá el malware Stage One, el cual está programado para echar a andar la cadena de infección.

Los correos, destinados a apaciguar la desconfianza del lector, versan casi siempre sobre política: son registros de las negociaciones políticas o discursos provenientes de organizaciones creíbles.

Una vez que el malware Stage se encuentra alojado en la computadora, intenta afianzar su posición, esconde su presencia frente a cualquier solución de antivirus y oculta el servidor de mando.

Los atacantes utilizan servicios públicos (pastebin.com, github.com, mailimg.com, upload.cat, dev-point.com y pomf.cat) para etapas posteriores del ataque (incluyendo el envío de malware) y, sobre todo, para comunicarse con el servidor de mando. Normalmente, usan métodos diversos al mismo tiempo para enviar la información extraída.

Finalmente, el dispositivo se ve infectado con el malware RAT, el cual ofrece poderosas capacidades; entre otras, la de descargar y cargar libremente archivos, ejecutar aplicaciones, buscar documentos y cifrar información.
El malware analiza la computadora de la víctima a fin de localizar todos los archivos PDF, DOC, DOCX y XLSX, los guarda en carpetas temporales; los clasifica, archiva y cifra y, finalmente, los envía a un servidor de mando mediante una cadena de dominios. .

Si quieres conocer más acerca de ellas y obtener información más técnica en esta publicación en Securelist.

Fuente: Kaspersky | SecureList