domingo, 31 de enero de 2016

Informe Flu - 238

Compartir este artículo:

Buenas a todos, como cada domingo os dejamos con nuestros enlaces de la semana:

    Martes 25 de Enero

    Miércoles 27 de Enero

    Viernes 29 de Enero
    Saludos!

      viernes, 29 de enero de 2016

      Wordpress del pleistoceno vulnerables hasta a la gripe, ¿hasta cuando?

      Compartir este artículo:
      Buenas a todos, en el post de hoy me gustaría realizar una crítica constructiva para todas aquellas empresas que se dedican a cocinar páginas web en Wordpress (aunque es extrapolable a Joomlas, Prestashops, Drupals, y demás gestores de contenido) para sus clientes y que no les explican cómo deben actualizar sus Wordpress, o en su defecto a todos aquellos clientes que desconocen, ignoran o no le dan la importancia suficiente a este sencillo proceso, el cual les evitaría de disgustos futuros innecesarios, cuando llegue un delincuente y en un barrido automático descubra que su Wordpress del pleistoceno "sin actualizar" sufre vulnerabilidades corregidas hace X años, y gracias a las cuales puede modificar sus artículos e incluir enlaces para "campañas de black SEO", links a páginas de viagra, y demás menesteres por los que se suelen sacar un dinerillo en las cantinas más turbias de Internet...

      Ya hemos escuchado mil veces la cantinela de "si actualizo Wordpress se me descolocan los X" (sustituya la X por el texto "widgets", "plantilla", "banners", "anuncios", etc.). Quizás sea que la web no estaba tan bien programada y por ello todos sus contenidos se vayan al traste... pero esa es otra batalla en la que no vamos a entrar.

      No puede ser, que en pleno año 2016, sigamos encontrando Wordpress versión "1.2", con una búsqueda en Google tan simple como la siguiente (he tapado los dominios por respeto):
      • inurl:"readme.html" ext:html intitle:wordpress




      Es importante reseñar que la versión 1.2 es del año 2004, es decir, de hace 12 años:

      • https://wordpress.org/news/2004/10/wp-121/

      Y por tanto, si en un Wordpress desactualizado unos meses con una versión 4.2.3 ya se sufren vulnerabilidades de inyección SQL con las que se puede actuar directamente sobre la base de datos...  (vease este interesante post: http://www.ethanjoachimeldridge.info/tech-blog/compromising-wordpress) ¿qué no podría hacerse en una versión de Wordpress de hace más de 10 años...?

      Programadores, compañías de desarrollo web, clientes y usuarios en general, tened cuidado con vuestros gestores de contenido y actualizadlos, tanto los motores como los plugins... ¡o ateneos a las consecuencias!

      Saludos!

      miércoles, 27 de enero de 2016

      El 11 de Febrero participaremos en el XII Ciclo de Conferencias UPM-TASSI

      Compartir este artículo:
      Buenas a todos, el próximo día 11 de Febrero tenemos el placer de participar en el XII Ciclo de Conferencias UPM-TASSI, que la Universidad Politécnica de Madrid organiza con los objetivos de:
      • Dar a conocer los últimos avances en temas de seguridad y protección de la información desde diversos puntos de vista: las redes, los datos, la gestión, la legislación y los estándares.
      • Dar a conocer avances y nuevos desarrollos en las tecnologías de la información.
      • Fomentar el conocimiento y análisis crítico de la sociedad de la información, con sus aspectos positivos de desarrollo así como sus amenazas.
      • Analizar el impacto social, ambiental y ético del uso de las tecnologías de la información y las comunicaciones, su accesibilidad y los entornos de libertad y privacidad del ser humano.
      • Conocer la realidad empresarial, industrial y de los organismos del Estado, relacionada con la seguridad y la sociedad de la información. 
      Este año inauguraremos el ciclo con una ponencia sobre Malware en dispositivos móviles, que tendrá lugar en la Sala de Grados de la ETSISI, a las 11:00 de la mañana.

      A continuación os dejamos con el listado completo de ponentes de 2016:
      1. D. Juan Antonio Calles García, KPMG Asesores S.L. - Flu Project
      2. D. Rafael Sánchez Gómez, Eleven Paths
      3. D. David Meléndez Cano Albalá, Ingenieros S.A. 
      4. D. Óscar Tébar Serrano, Innotec
      5. D. Pedro Sánchez Cordero, Conexión Inversa
      6. D. Juan Garrido Caballero, Innotec System
      7. D. Carlos García Sánchez
      8. D. Luis Miguel Rosa Nieto, Presidente CIONET 
      Y con la agenda de las conferencias:


      Nos vemos en las jornadas,

      Saludos!

      lunes, 25 de enero de 2016

      3 edición de Hackron: 5 y 6 de Febrero

      Compartir este artículo:


      Buenas a todos, en el post de hoy nos gustaría recomendaros la asistencia a la tercera edición de Hackron. La CON canaria carnavalera con más éxito que en esta ocasión se celebrará 5 y 6 de Febrero en la capital Santa Cruz de Tenerife (Islas Canarias).

      En el evento de este año se darán cita profesionales del campo de la ciberseguridad como Miroslav Stampar (Keynote), Jose Luis Verdeguer, Pedro Sanchez, Pedro Candel, Juan Garrido, Jose Luis Verdeguer, Deepak Daswani, Pedro Laguna,  Igor Lukic, Jose Pico, Josep Albors, Luis Delgado, Lorenzo Martinez, Cecilio Sanz, etc. Por lo que promete buenas dosis de seguridad y juerga a partes iguales :)

      Disponéis de las entradas a la venta en el sitio web de @Hackr0n en http://www.hackron.com, a precios para todos los públicos:


      No dudéis en acercaros a Hackron,

      Saludos!

      domingo, 24 de enero de 2016

      Informe Flu - 237

      Compartir este artículo:

      Buenas a todos, como cada domingo os dejamos con nuestros enlaces de la semana:

        Martes 19 de Enero
        Jueves 21 de Enero
        Viernes 22 de Enero
        Saludos!

          viernes, 22 de enero de 2016

          Certificado Profesional de Análisis Informático Forense

          Compartir este artículo:
          El próximo 29 de Enero The Security Sentinel comienza el curso de Certificado Profesional de Análisis Informático Forense (CPAIF). TSS ha decidido realizar cursos en formato presencial. A continuación os dejamos una serie de datos para los interesados. Para obtener más información contacta con info@flu-project.com o info-nline@thesecuritysentinel.es. Hay que recordar que se realizará una prueba que confirme que el alumno ha superado con aprovechamiento el curso, y por ello obtendrá el certificado.








          jueves, 21 de enero de 2016

          Android Locker Qqmagic, un ransomware para smartphones

          Compartir este artículo:
          Buenas a todos, el pasado año 2015 y este 2016, están siendo años complicados para los usuarios que no disponen de una protección antivirus y antispyware adecuada, ni cuentan con medidas de seguridad actuales que les permitan bloquear las últimas amenazas ransomware. 

          En el mercado Android es cada vez más habitual casos como el que hoy veremos, en el que un ransomware se hace con el control del terminal, cifrando sus contenidos y pidiendo un rescate. Este es el caso de Android Locker Qqmagic, un malware de origen chino reportado por Lukas Stefanko (https://twitter.com/LukasStefanko/status/607823196562276352), que tras realizar la infección presenta una pantalla como la siguiente:


          En el siguiente enlace podréis descargar una muestra del ransomware, para que podáis analizarlo y el cual y como es lógico os recomiendo abrir en una máquina virtual aislada:


          A continuación os dejamos también con el enlace al informe realizado por Virus Total al subir la muestra:


          Y a Contagio Mobile, donde reportaron el link a la muestra (¡gracias!):


          Es interesante ver en el análisis estático realizado por VT, como el sistema accede a las funciones criptográficas para realizar el cifrado de archivos del móvil antes de pedir el rescate.

          Risk summary The studied DEX file makes use of API reflection
          The studied DEX file makes use of cryptographic functions
          Permissions that allow the application to manipulate SMS
          Permissions that allow the application to perform payments
          Permissions that allow the application to access Internet
          Permissions that allow the application to access private information
          Other permissions that could be considered as dangerous in certain scenarios

          Required permissionsandroid.permission.SEND_SMS (send SMS messages)
          android.permission.RECEIVE_BOOT_COMPLETED (automatically start at boot)
          android.permission.SYSTEM_ALERT_WINDOW (display system-level alerts)
          android.permission.ACCESS_NETWORK_STATE (view network status)
          android.permission.RECEIVE_SMS (receive SMS)
          android.permission.INTERNET (full Internet access)

          También os comparto el listado de antivirus que lo detectan a día de hoy:

          AntivirusResultUpdate
          AVGAndroid/Deng.GLY20151222
          AVwareTrojan.AndroidOS.Generic.A20151222
          Ad-AwareAndroid.Trojan.SLocker.EG20151222
          AhnLab-V3Android-Trojan/SmsSpy.ddc020151221
          AlibabaA.H.Rog.LockScreen.A20151208
          ArcabitAndroid.Trojan.SLocker.EG20151222
          AvastAndroid:SMSSend-AEL [Trj]20151222
          Baidu-InternationalTrojan.Android.Jisut.N20151222
          BitDefenderAndroid.Trojan.SLocker.EG20151222
          CAT-QuickHealAndroid.Agent.Ae0d5 (PUP)20151222
          CyrenAndroidOS/GenBl.735B4E78!Olympus20151222
          DrWebAndroid.SmsSend.300320151222
          ESET-NOD32Android/LockScreen.Jisut.N20151222
          EmsisoftAndroid.Trojan.SLocker.EG (B)20151222
          F-SecureAndroid.Trojan.SLocker.EG20151222
          FortinetAndroid/LockScreen_Jisut.N!tr20151222
          GDataAndroid.Trojan.SLocker.EG20151222
          IkarusTrojan.AndroidOS.Locker20151222
          K7GWTrojan ( 004c543a1 )20151222
          KasperskyHEUR:Trojan-SMS.AndroidOS.Agent.us20151222
          McAfeeArtemis!735B4E78B33420151222
          McAfee-GW-EditionArtemis!Trojan20151222
          MicroWorld-eScanAndroid.Trojan.SLocker.EG20151222
          NANO-AntivirusTrojan.Android.SmsForward.dxesnz20151222
          VIPRETrojan.AndroidOS.Generic.A20151219
          ZillyaTrojan.LockScreen..1720151221
          ZonerTrojan.AndroidOS.SimLocker.A20151222
          ALYac
          20151222
          AegisLab
          20151222
          Agnitum
          20151220
          Antiy-AVL
          20151222
          Bkav
          20151221
          ByteHero
          20151222
          CMC
          20151217
          ClamAV
          20151222
          Comodo
          20151222
          F-Prot
          20151222
          Jiangmin
          20151221
          K7AntiVirus
          20151222
          Malwarebytes
          20151222
          Microsoft
          20151222
          Panda
          20151221
          Rising
          20151222
          SUPERAntiSpyware
          20151222
          Sophos
          20151222
          Symantec
          20151221
          TheHacker
          20151222
          TotalDefense
          20151222
          TrendMicro
          20151222
          TrendMicro-HouseCall
          20151222
          VBA32
          20151221
          ViRobot
          20151222
          nProtect
          20151222

          martes, 19 de enero de 2016

          Especialista en Seguridad Informática y de la Información por la UCLM (Online)

          Compartir este artículo:
          Hace unos meses José Luis Martínez se ponía en contacto con Rafa Sánchez y conmigo para llevar a cabo un ambicioso proyecto. Llevar la seguridad informática a un título universitario. En este caso hablamos de un título propio o de especialización que llevará al estudiante por diversos contenidos que harán que pueda entrar en el mundo laboral con los conocimientos necesarios. Hemos trabajado en tener un elenco de profesores diverso y especializado en distintos ámbitos de la seguridad informática. También hemos pensado que las personas dedicadas a la seguridad informática deben tener una mínima base sobre seguridad de la información. Esto se ve reflejado en el contenido del título.

          El título propio se llevará a cabo de forma online a través de un gestor como Moodle, dónde los alumnos contarán con herramientas como Foros y apuntes para realizar el aprendizaje. Además se llevarán a cabo sesiones online de 2 horas dónde los profesores impartirán sus clases con un enfoque eminentemente práctico. La herramienta utilizada para las sesiones será Webex. El objetivo del título propio es formar a profesionales en el ámbito de la seguridad informática. El primer bimestre se dan los siguientes contenidos, los cuales pueden verse en detalle en el sitio web del título propio


          Queríamos que el alumno pueda elegir su especialización, por lo que para el segundo bimestre, el alumno puede elegir su especialización. A continuación, podéis ver qué asignaturas se darán, tanto en la rama de especialización en forense, como la de pentesting en redes y sistemas

          Los profesores con los que contará el título propio son los que se enumeran a continuación. Cómo podéis ver hay gran calidad entre los profesores, y cada uno especializado en la asignatura que impartirán.
          • Juan Garrido (@Silverhack)
          • Pablo González (@pablogonzalezpe)
          • Marc Rivero (@Seifreed)
          • Jordi Serra (@jserrai)
          • Rafa Sánchez (@r_a_ff_a_e_ll_o)
          • Carmen Torrano Giménez
          • David Meléndez Cano
          • Daniel García García (cr0hn)
          • Félix Brezo
          • Yaiza Rubio
          • Miguel Ángel Arroyo
          • Eduardo Sánchez (@edusatoe)
          • Javier Plaza
          • Daniel González
          • Miriam García
          • Eduardo Arriols Nuñez
          • Juan Francisco Bolívar
          • Raúl Fuentes Ferrer
          • Valentín Martín Manzanero
          Los alumnos matriculados en el título propio recibirán 5 libros de la editorial 0xWord como material complementario al que los profesores puedan darles. Los libros que se entregarán son los siguientes:

          domingo, 17 de enero de 2016

          Informe Flu - 236

          Compartir este artículo:

          Buenas a todos, como cada domingo os dejamos con nuestros enlaces de la semana:

          Lunes 11 de Enero
            Martes 12 de Enero


            Miércoles 13 de Enero

            Jueves 14 de Enero
            • El pasado jueves os anunciamos la Primera tarde técnica de Abirtone, que se celebrará en el local +KeCopas (es el mismo local donde se celebran de forma regular las Hack&Beers de Madrid)
            Viernes 15 de Enero
            Saludos!

              viernes, 15 de enero de 2016

              Hacking con Python para Pentesters y Programación Móvil en TAES Valencia

              Compartir este artículo:
              Enero sigue avanzando y el día a día va retomando nuestras vidas. Hoy os traemos un par de cursos que se celebran en el centro de formación TAES en Valencia. Tuve la experiencia de impartir 3 cursos el año pasado y fue una gran experiencia. En muchas ocasiones no tenemos tiempo para hacer los cursos que queremos por temas de horas. TAES lo pone fácil haciendo que el curso sea en Sábado, en horario de 10.30 a 20 horas. Comida incluida. 

              El primer curso que se celebra es el de Programación Móvil: Arquitecturas y Proyectos M2M y de Movilidad. La fecha es el 23 de Enero a las 10.30 en el centro de formación TAES. El profesor es Carlos Arroyo Coronado. Tenéis más información en el link del curso. En este curso se podrá obtener el libro de Desarrollo seguro en Android de la editorial 0xWord.


              El segundo curso es el de Hacking con Python para Pentesters. Este curso se celebrará el día 30 de Enero de 2016 a las 10.30 hasta las 20. El profesor es Daniel Echeveri - @jdaanial, autor de los libros Python para Pentesters y Hacking con Python de la editorial 0xWord. Más información en el link del curso. Además, el alumno podrá conseguir los libros de Daniel en el curso.


              Las formaciones son bonificables por la Fundación Tripartita. No esperes y reserva tu plaza. TÉCNICAS AVANZADAS DE ESTUDIO S.L. - Pasaje Ventura Feliu 10-12. Para inscripciones dirigirse por email a rfuentes@taesformacion.es o al teléfono 963413537.

              jueves, 14 de enero de 2016

              Primera tarde técnica de Abirtone

              Compartir este artículo:
              A los amigos se les ayuda. Sin mirar más allá. Hoy queríamos comentaros que el próximo Martes 19 de Enero a partir de las 19.00 se celebrará una jornada técnica por parte de la empresa de Daniel García, aKa Cr0hn, Abirtone. El cartel de la jornada, simplemente... promete. Es gratis. Se celebrará en el +KeCopas de la calle Infantas 13. Dónde se celebraron algunos Hack & Beers Madrid

              Según indica el propio Daniel en su web: "será una tarde técnica y práctica, impartidas por nuestros profesores, que se han prestado para que paséis una tarde entretenida e interesante aprendiendo. Para nuestro primer evento queríamos algo informal, alejándonos del tradicional evento de traje y corbata así que… ¿qué mejor que hacer las jornadas en un bar, con una cañita en mano?"


              Anímate!

              miércoles, 13 de enero de 2016

              Pentesting con Kali, con Powershell y Forense en Android online para todos. Security Lab ¡Últimos días!

              Compartir este artículo:
              No queda nada para que puedas disfrutar de los cursos que TSS y Flu Project han preparado para ti. No dudes en pasar un gran rato aprendiendo online con Rafa Sánchez, Eduardo Sánchez o un servidor. Webex es la plataforma utilizada para el aprendizaje. El día 20 - 21 - 25 y 26 de Enero, Rafa Sánchez, co-organizador de Navaja Negra, impartirá el curso Pentesting con Kali. El horario es de 18 a 20 en horario español. En el curso se estudiarán diferentes ramas de la seguridad a través de Kali Linux. El precio es de 160 Euros. Para obtener más información contacta con info@flu-project.com o info-online@thesecuritysentinel.es



              El 27 - 28 Enero y 2 Febrero se imparte el curso Pentesting con Powershell. Tendré la suerte de poder estar con vosotros en 3 sesiones de Webex. En este curso descubrirás los secretos de la explotación y post-explotación con la potente línea de comandos de Microsot. El horario es de 18 a 20 horario español. El precio del curso es de 120 Euros. 


              El 29 de Enero y 5 de Febrero Eduardo Sánchez, Fundador de Hack & Beers, impartirá un curso sobre forense en dispositivos Android. En este curso, cuyo enfoque es eminentemente práctico, se llevará a cabo de principio a fin un proceso forense en Android. El coste es de 160 Euros.


              Animaos. Os esperamos en los cusos! En este tipo de cursos se aprovecha su impartición online y se suele tener alumnos de diversos países de América del Sur. Os espermos!

              martes, 12 de enero de 2016

              Listados de contraseñas por defecto. Parte 2.

              Compartir este artículo:
              Buenas a todos, en el post de hoy continuaremos con la cadena sobre listados de contraseñas por defecto presentando 3 nuevos sitios web que os serán de gran utilidad a la hora de localizar las credenciales de root para acceder a Impresoras, Switches, Routers, Cámaras, etc.

              Hoy os recomendamos las siguientes páginas de credenciales:





              Saludos!

              lunes, 11 de enero de 2016

              Experto Profesional en Derecho Tecnológico e Informática Forense. Ancite y Universidad Extremadura

              Compartir este artículo:
              A partir del 1 de Febrero de 2016 se celebra el Curso Universitario de Experto Profesional que se organiza desde la Universidad de Extremadura, en conjunción con ANCITE, denominado “Derecho Tecnológico e Informática Forense” – DTIF (dtif.unex.es) . Se trata de un título universitario de EXPERTO PROFESIONAL, de 20 créditos (200 horas), que se desarrollará totalmente on-line (curso virtual) entre el 1 de febrero y el 20 de mayo de 2016.

              La novedad de DTIF es que los temas se orientan a profesionales del mundo de derecho tecnológico, de la informática forense, así como de las Fuerzas y Cuerpos de Seguridad del Estado, para que conozcan las técnicas y metodologías que se usan en estos sectores, y profundicen en las de su propio campo. En otros cursos se trata el tema del Derecho Tecnológico y de la Informática Forense de forma totalmente separada, destinado a unos u otros profesionales. Sin embargo, en DTIF la perspectiva es que profesionales de muy distintos campos (derecho, informática, fuerzas de seguridad del estado) se formen conjuntamente, profundicen en sus especialidades y, al final, “hablen el mismo idioma”.

              Los temas en cuanto a informática forense tratan aspectos de pericia informática, análisis forense en ordenadores (Windows, Linux, MacOS), análisis forense en redes y móviles (Android e iOS), antiforense, hacking ético, seguridad informática, IoT

              En cuanto a derecho tecnológico, temas de derecho procesal y penal, derecho e informática, jurisprudencia y tecnología, legislación específica… Por su parte, las fuerzas y cuerpos de seguridad del estado (Policía y Guardia Civil) expondrán el procedimiento de investigación tecnológica.

              El curso se imparte 100% on-line en una plataforma virtual donde los profesores dejarán sus materiales, y en la que se atenderán las dudas que puedan surgir. En ella los estudiantes también podrán plantear sus inquietudes e interactuar con profesores y otros estudiantes.

              Los profesores son profesionales reconocidos, de primera línea y máxima formación y preparación. Se pueden consultar temarios, precio, profesorado… en dtif.unex.es donde también se puede realizar el proceso de pre-inscripción y matriculación.

              domingo, 10 de enero de 2016

              Informe Flu - 235

              Compartir este artículo:

              Buenas a todos, como cada domingo os dejamos con nuestros enlaces de la semana:

              Lunes 4 de Enero
                Miércoles 6 de Enero
                Viernes, 8 de Enero
                • El viernes vimos un interesante software para cifrar datos en Dropbox: "Cifrando datos en Dropbox con Boxcryptor"
                • El viernes también organizamos nuestra última Hack&Beers Madrid, antes de pasar el testigo a los nuevos organizadores. Pronto publicaremos los contenidos de las charlas en Flu Project, para que podáis verlas los que no pudisteis acercaros al evento.
                Saludos!

                  viernes, 8 de enero de 2016

                  Cifrando datos en Dropbox con Boxcryptor

                  Compartir este artículo:


                  Buenas a todos, en el post de hoy me gustaría compartir con vosotros una interesante herramienta para cifrar los datos que subimos a Dropbox y protegerlos de posibles intrusiones y accesos no autorizados a nuestras cuentas. La herramienta a la que hoy nos referimos (hay bastantes alternativas) es Boxcryptor.
                  Esta aplicación cifrará mediante AES 256, todo archivo que se almacene en la carpeta de Dropbox y se sincronizará en todos los dispositivos vinculados
                  Boxcryptor tiene una versión gratuita (aunque con bastantes limitaciones), pero aún así es una alternativa free interesante para disponer de una capa básica de seguridad basada en el cifrado de nuestros archivos.
                  Boxcryptor tiene versiones para:
                  • Windows
                  • Mac OS X
                  • Windows Phone
                  • Android
                  • iOS
                  • Chrome
                  • Blackberry
                  Finalmente os compartimos el video oficial del producto para que podáis ver su funcionamiento:


                  Saludos!

                  miércoles, 6 de enero de 2016

                  Bloqueando hack tools con APPLocker

                  Compartir este artículo:
                  Buenas a todos, hace un año y medio publicamos un interesante artículo sobre AppLocker, y su uso con el objetivo de bloquear malware a través de sus hashes. Este uso concreto obviamente iba dirigido al malware conocido, sin embargo, también puede ser utilizado para bloquear las herramientas más utilizadas por los usuarios maliciosos para escalar privilegios en un Windows, dumpear contraseñas, etc.

                  Cuando realizamos una auditoría de seguridad en Windows nos apoyamos en herramientas como Mimikatz, pwdump, psexec, wce.exe, nessus, cain&abel, etc. Pero no solo nosotros como auditores las utilizamos, sino también los potenciales atacantes a los que querremos frenar en un posible ataque hacia nuestras empresas ¿no?

                  Cómo recordatorio, indicaros que AppLocker es una funcionalidad incorporada a los sistemas operativos Windows desde Windows Server 2008 R2 y Windows 7 que permiten crear reglas para permitir o denegar la ejecución de aplicaciones basándose en las identidades de los archivos y especificar qué usuarios o grupos pueden ejecutar esas aplicaciones, por lo que es una funcionalidad ideal para bloquear las hack tools que puedan utilizar los atacantes para prosperar en una intrusión interna a lo largo de nuestra red.

                  Para abrir el menú de AppLocker tendremos que abrir secpol.msc:


                  A continuación con el botón derecho del ratón seleccionaremos la opción "Crear nueva regla":


                  Y pulsaremos en "Denegar":


                  El siguiente paso será marcar "Hash de archivo":


                  Y seleccionaremos una a una todas las hack tools que se suelen utilizar en una auditoría interna, para ir calculando todos sus hashes:




                  Si todo ha ido correctamente, ya tendremos las reglas creadas, y no volverán a ejecutarse estas herramientas en los equipos locales, servidores, etc.:


                  Animaros a bastionar los equipos de vuestra red, es una buena práctica y muy necesaria para evitar futuros disgustos...

                  Saludos!

                  lunes, 4 de enero de 2016

                  El malware para Android NotCompatible

                  Compartir este artículo:
                  Buenas a todos,  en el artículo sobre malware en Android de hoy me gustaría hablaros del malware de tipo Caballo de Troya, NotCompatible, del cual se siguen detectando algunas muestras en la actualidad (aunque cuando pegó más fuerte fue hace un par de años). Este malware fue distribuido de forma principal mediante la infección de páginas web, desde donde los usuarios indefensos lo descargaban sin darse cuenta. Para ello, ocultaban scripts en el código fuente de ciertas páginas, las cuales eran capaces de detectar el User-Agent del navegador web utilizado, y si se trataba de un navegador Android, realizar una petición a un dominio externo donde se encontraba alojado una copia del malware en un archivo “apk” que descargaban.


                  El apk descargado es un archivo comprimido en formato zip, que contiene los siguientes archivos:

                  • AndroidManifest.xml: permisos de la aplicación, así como con el nombre del paquete, componentes, etc.
                  • classes.dex: contiene las clases de Java compiladas en formato DEX
                  • resources.arsc: recursos pre-compilados.
                  • res: carpeta con iconos, gráficos, interfaces, etc.
                  • META-INF: carpeta con metadatos y certificados.
                  • Lib: librerías

                  Mediante la herramienta Acube3 se procedió a decodificar el archivo AndroidManifest.xml donde se pudieron comprobar los siguientes datos del malware:

                  • Nombre del paquete: com.Security.Update
                  • Permisos: Internet, Access_Network_State y Receive_Boot_Completed.
                  • Actividades: no declaradas, por lo que el malware no contaba con interfaz gráfica.
                  A continuación fue infectado un Smartphone Android 4.3 con el fin de verificar de forma dinámica su funcionamiento. Se pudo comprobar como los datos de conexión se encuentran en data.bin dentro del directorio “/data/data/com.Security.Update/files/“, y su contenido se encuentra cifrado.


                  A continuación de decompiló el APK con Acube3 y tras acceder a su código se consultó la clase “config” donde el malware incluía su configuración de seguridad. En esta clase el desarrollador programó un sistema de cifrado basado en AES-ECB con una clave prefijada en la variable passkey “ZTY4MGE5YQo”. Con esta clave se descifraba el archivo de configuración antes referenciado.



                  El caballo de Troya contaba en las muestras más habituales con 2 servidores (notcompatibleeapp.eu y 3na3budet9.ru) a los que intenta conectarse para recibir comandos y descargar otras amenazas. Primero se llama a las rutinas de configuración para luego iniciar las conexiones a los servidores remotos. Una de las secciones de código más importantes de esta amenaza es la sección de cifrado de la información. Tras comenzar la carga de la información se ejecutan las rutinas para descifrar el contenido del archivo data.bin. En este caso en particular la clave para cifrar la información es “ZTY4MGE5YQo“, pero para poder obtener los datos del archivo primero se pasa el contenido de la cadena de texto a un conjunto de bytes, y se calcula la función Hash SHA-256. Más adelante se utiliza un cifrado con AES que se realiza al llamar al método Load() perteneciente a la clase Config() en donde se obtiene la clave (a través del método Decrypt()). Una vez que ya se tiene la clave, se lee el archivo y se obtienen los datos de conexión. Ahora el módulo de conexión se encarga de obtener la información desde una dirección URL remota y no solo descargar otras amenazas (camufladas como actualizaciones de seguridad) sino que además es capaz de entender otros comandos de gestión.

                  Tenéis un completo whitepaper sobre NotCompatible en el siguiente enlace y en el que me he apoyado para escribir esta entrada:


                  Por otro lado, podréis descargar una muestra del malware en el siguiente enlace (vía contagiomobile) para que podáis también practicar con él:

                  DESCARGAR MUESTRA NOTCOMPATIBLE (email para recibir pass)

                  Y finalmente os dejamos con un volcado de un análisis realizado en Virus Total y al cual podréis acceder desde AQUÍ:

                  IDENTIFICACIÓN
                  • MD5 feace958b47c2249c6ab8ddf804cdcb6
                  • SHA1 e32b74baf9d82ad4b7d7b65e7feccf033be42fb3
                  • SHA256 c3e39aa0accae116946ead64339eac1753faf3e39d6df1d8185aae21f6135f37
                  • ssdeep 1536:HsbgLKxe7wuyt6XYyLaFtTAxi+id2ijzotv3:lKxpMXYyL8+Z6zo
                  PERMISOS
                  • android.permission.RECEIVE_BOOT_COMPLETED (automatically start at boot)
                  • android.permission.INTERNET (full Internet access)
                  • android.permission.ACCESS_NETWORK_STATE (view network status)
                  FICHEROS
                  Saludos!