30 oct 2020

TLS1.3: ¿Qué hay de nuevo? (Parte I)


En posts anteriores hemos comentado la estructura que tienen las suites de cifrado de TLS con versiones iguales o inferiores a TLS1.2. Por ello en estos posts vamos a comentar los cambios que se han producido con la llegada de TLS1.3, con las suites que lo forman, los algoritmos que las componen, y la nueva estructura de la propia suite. 

Vamos a comenzar por comentar las mejoras que se han adoptado:

  • Algunas de las suites de cifrado que han surgido en esta nueva versión son solamente aceptadas en TLS1.3 (las versiones anteriores no las acepta).
  • La suite de cifrado no especifica el tipo de certificado (es decir, RSA, DSA o ECDSA). A su vez, el certificado DSA deja de ser usado en TLS1.3.
  • La firma digital no se encuentra indicada en la suite de cifrado.
  • Los algoritmos usados en el intercambio de claves no aparecen en la propia suite de cifrado, pero son limitados a los grupos de algoritmos de DHE (como ECDHE), es decir, RSA deja de ser usado como key exchange.
  • Otra característica importante es que no es posible realizar renegociación de claves con TLS1.3.
  • Reduce la latencia y realiza una firma sobre el handshake una vez éste se ha completado.
  • Elimina el uso de los siguientes algoritmos de las suites: RC4, SHA-1, CBC, MD5, grupos de algoritmos Diffie-Hellman “no efímeros”, DES, 3DES, cifrado EXPORT.


Después de conocer los cambios que ha introducido TLS1.3, vamos a conocer la nueva estructura que tienen las suites de cifrado:

Teniendo como referencia esta imagen, las 3 primeras suites se encuentran habilitadas por defecto en el servidor a la hora de negociar TLS1.3.

También, tal y como indicamos anteriormente, hay elementos de la suite de cifrado que ya no se incluyen en esta nueva versión (algoritmo del key exchange y de la firma digital). 

De la misma manera, debido a las diferencias entre TLS1.3 y las versiones anteriores, las suites se encuentran configuradas en OpenSSL también de forma distinta.

En el próximo post de este hilo explicaremos cómo se produce el handshake en TLS1.3.

Muchos maullidos!

M

29 oct 2020

ENISA Threat Landscape - 2020

Hola lectores. 

En el post Enisa... esa gran desconocida, os presenté a ENISA, dado que considero que están haciendo un gran trabajo en el análisis y evaluación de la situación real que existe actualmente en Europa. Por este motivo, hoy os voy a hablar de su último informe publicado hace unos días. Este documento es el ENISA Threat Landscape 2020, al que podéis acceder en el siguiente enlace

Los Threat Landscape se publican de manera anual, siendo este el octavo año en que se lleva a cabo. En él, se trata de recoger cuales están siendo las tendencias de los cibercriminales a lo largo del año, para que las compañías y los usuarios, puedan estar lo más prevenidos posibles. En este caso, el documento se centra en las principales amenazas cibernéticas que han acontecido desde enero de 2019 hasta abril de 2020. 


El documento de este año es distinto al de años anteriores, al dividirse en 22 informes diferentes (disponibles en formato pdf y ebook). En el informe se pueden observar los cambios más importantes del panorama de amenazas de 2018 y cómo la transformación del entorno digital ha sido liderada por la COVID-19. y es que, durante la pandemia, se ha visto a los ciberdelincuentes mejorando sus capacidades, adaptándose rápidamente a la situación y dirigiéndose a los grupos de víctimas relevantes de manera más efectiva. De hecho, hay una interesante infografía de ENISA a vuestra disposición.

Este informe, es en parte estratégico y en parte técnico, por lo que cuenta con información relevante para lectores tanto técnicos, como no técnicos, por lo que es una lectura interesante y recomendable para todo tipo de usuarios. 

¡Espero que haya sido de vuestro interés!

28 oct 2020

Biblioteca de Malware Celebrities: hoy...vx-underground


Buenas a todos/as, en mi primer post en Flu Project os vengo a hablar sobre vx-underground, la mayor biblioteca de muestras de malware que existe actualmente con 3,4 millones (unos 900 GB de material para analizar). Pero no solo de muestras vive el analista, tenemos una extensa biblioteca de artículos sobre el mundo del Virus eXchange, papers, revistas electrónicas (fanzines), traducciones, que pretenden ser, tal como nos anuncian, un "refugio para los autores de malware". Sin duda una delicia para los profesionales que se dedican al mundo del malware, y bueno para nosotros los profanos en este mundillo también. 

Página de vx-underground

Un poco de historia. Vx-underground se fundó en 2019 como el sucesor del famoso VxHeaven, un foro que permitía a creadores de malware intercambiar consejos y trucos, además de ofrecer tutoriales y muestras de virus y malware.  Este foro fue cerrado en 2012 por la policía ucraniana, en una operación contra el  fraude financiero, una historia que sin duda daría para otro post.

Comunicado sobre el cierre en 2012 del foro VX-heavens

Durante años se ha considerado VxHeaven como el estándar de facto para el intercambio de Virus (o Virus eXchange, en adelante VX). Tal como dicen sus autores, VxHeaven se concibió originalmente como un lugar donde las personas podían reunirse, intercambiar muestras de malware, compartir ideas, etc. Fue también muy conocida en la escena underground hacker española. Asimismo, aunque muchos otros sitios convivieron en paralelo, VxHeaven fue el proyecto de más larga duración que ha resistido la prueba del tiempo y ha respaldado la mayor colección de materiales relacionados con VX.  Aún podemos encontrar disponible la biblioteca de vx Heavens, en el siguiente enlace.

https://vx-underground.org/archive/VxHeaven/index.html

Tienen disponible en GitHub dos repositorios, uno es la colección de código fuente de Malware y otro repositorio con multitud de papers sobre VX, podemos acceder a estas dos carpetas diferentes. 

GitHub de vx-underground

Ejemplos de lo que nos podemos encontrar dentro del repositorio de código fuente de Malware:
Contenido del repositorio

En la carpeta de Papers tenemos categorías como las siguientes entre otras:
  • Abusing the Windows Power Management API
  • Infecting Android Applications
  • The Persistence Series
  • Weaponizing Windows Virtualization
Las estadísticas que manejan son el despliegue de 18.000 muestras únicas de malware al día, y aún tienen alrededor de 6 millones de muestras pendientes para desplegar, y lo que queda por llegar es aún mayor: unos 60 TB de muestras de malware, actualizaciones periódicas en GitHub, más de 300 papers sobre APTs, entre otros. 

A destacar: una colección de nuestra conocida APT28, con artículos y muestras, aquí:

Recursos sobre APT28

Vx-underground ha reunido con éxito una colección que es casi una copia perfecta de la colección de su predecesor VxHeaven, además, en las propias palabras de sus creadores, vx-underground ha superado a VxHeaven en términos de contenido, fuentes y muestras de virus.

En definitiva, un sitio esencial para investigadores y analistas de malware, una referencia fundamental para adentrarse en los entresijos del mundo del análisis de malware. 

Enlaces y más información:

Canal de telegram: 

Twitter: 

Recursos en español sobre vx-underground (traducciones):

Más recursos sobre muestras e investigación sobre malware:

¡Saludos!



27 oct 2020

EU Cyber Forum 2020



Para los que no os enterasteis, el pasado mes de Septiembre fue el EU Cyber Forum 2020. Este evento Europeo pretendía poner de manifiesto el compromiso global de la Unión Europea en cuestiones cyber y digitales, demostrando los esfuerzos de la unión y sirviendo de punto de intercambio de buenas prácticas entre los distintos estados miembro. 

El político Josep Borrel, actual Vicepresidente de la Comisión Europea y Alto representante de la Unión para Asuntos Exteriores y Política de Seguridad, fue el encargado de dar el discurso de apertura, en el que se pone de manifiesto la importancia del plano cyber en la geopolítica y la seguridad global.

Os dejamos a continuación su discurso, y la lista de distribución completa del evento:


Lista del evento

Saludos!

26 oct 2020

Estudio sobre el nivel de ciberseguridad en España

Hola lectores. 

Hoy no os voy a hablar de ninguna herramienta o utilidad técnica, sino que os traigo un estudio realizado por ISMS Forum. Y es que tal vez, como a mí, os pueda ser alguna vez de utilidad contar con un reporte que indica en qué nivel de madurez están las empresas de determinados sectores, ya sea para poder compararos con otras entidades, o para usarlo como herramienta cuando es necesario obtener más presupuesto para realizar ejercicios de ciberseguridad.  

El Estudio sobre el nivel de madurez en ciberseguridad de la empresa española, es el primer análisis que establece el Observatorio de la Ciberseguridad de ISMS Forum con la finalidad de generar claridad sobre el estado del arte de la ciberseguridad empresarial nacional, y para facilitar información de utilidad para empresas y profesionales con la generación de un indicador anual que permita interpretar de una mejor manera la evolución interanual de los riesgos cibernéticos y su relación con terceros factores y fenómenos. El indicador de nivel de madurez en ciberseguridad utiliza NIST, que proporciona un marco de políticas de orientación de ciberseguridad no vinculantes, que cada organización deberá adaptar a sus necesidades, regulación aplicable y naturaleza propias.

Aquí tenéis algún ejemplo de los datos obtenidos: 

Grado de madurez
Grado de Madurez




Grado de madurez por sector
Grado de madurez por sector

Grado de madurez por nº de empleados
Grado de madurez por número de empleados

¡Espero que haya sido de vuestro interés!

23 oct 2020

[PoC] Cifrado AES256 mediante audio: AESTube (Parte 2)


¿Y si no sabes cantar?¿Y si no tienes forma de crear el audio?

Esas eran las dudas que me hicieron llegar a lo que se ha convertido. Por si os perdisteis el último artículo, venimos de aquí.

Una vez diseñado el algoritmo que me permitía procesar el audio para obtener las notas, la idea era usarlas como passphrase del algoritmo de cifrado AES. Durante el desarrollo del software me fui dando cuenta de algunas cosas:

  1. Es complicado generar un sonido idéntico, si las fuentes son distintas, y sobre todo si una de ellas es la voz.
  2. Si pensamos en melodías cantadas no sería demasiado útil si la persona que usase el algoritmo no afinase correctamente, aunque más bien debería hacerlo "muy correctamente".
  3. Si agrandamos los márgenes de error para solucionar lo anterior (es viable), estaríamos empeorando  la complejidad de la clave que usaremos en el algoritmo de cifrado.
  4. Es bueno limpiar frecuencias, tanto las que se obtienen por debajo como por encima de lo audible.
  5. No siempre tenemos un dispositivo cerca con entrada de sonido. Puede que un portátil o un smartphone nos solucionen esto, pero si estamos en un sobremesa, o mejor, una máquina en cloud, probablemente no tengamos acceso a ningún tipo de hardware de audio.
Pasé varias horas dándole vueltas porque el software era funcional. Cifraba y descifraba texto, pero la tasa de fallo era demasiado alta como para que fuese algo que pudiera usarse de forma habitual. Sin embargo, hablando sobre lo que estaba investigando con algunas personas con menos habilidades técnicas en ciberseguridad, pero infinitamente más conocimiento que yo en música, me dieron una idea. La respuesta era más sencilla de lo que parecía.

Todo el rato lo había tenido delante. Si es posible descargar audio desde YouTube, !podía usarlo para cifrar cosas!. Así que, me puse delante del VSCode, porque había que hacer bastantes modificaciones. Entre otras cosas, uno de los problemas es que YouTube no almacena la música en WAV, por lo que era necesario compilar, instalar y utilizar FFMpeg para convertir el audio descargado en waveform, ya que si no, no es posible aplicar todo el procesamiento a la onda para extraer las notas.

Mientras intentaba generar las llamadas a FFMpeg desde Python 3, se me ocurrió que sería interesante añadir la posibilidad de cortar el audio. El algoritmo que había programado separaba el audio porcentualmente siempre en las mismas partes a la hora de extraer las notas, por lo que, si cortaba el audio haciéndolo más pequeño, para poder descifrar datos, sería necesario conocer tanto el enlace al audio, como los segundos de inicio y final del corte personalizado en la pista. También consideré la posibilidad de variar la velocidad de reproducción, o cambiar el tono, pero la idea es que fuera algo fácil de usar para todos. Dicho esto, solo quedaba concatenar las notas del audio muestreado, para generar la clave que usaríamos para cifrar con AES.

Con todo esto era capaz de cifrar texto, el problema es que quería que sirviese también para cifrar archivos de forma binaria, y para esto tuve que modificar la forma que había elegido para usar AES256 CBC, porque aparte de tener que usar padding (AES utiliza un cifrado por bloques, así que los datos a cifrar tienen que ser del tamaño del bloque, por defecto 16 bytes), cuando cifras en binario, hay que tener bastante cuidado con el encoding.

Una vez modificada la librería, no sin algún que otro dolor de cabeza, el programa era capaz de cifrar cualquier archivo aportando solamente el link del audio en YouTube, y en caso de querer aumentar la seguridad, añadiendo los parámetros de inicio y final del corte que se desea.

Sin más dilación, os presento a AESTube.
No dudéis en probarlo, eso sí, seguid las instrucciones, porque YouTube últimamente está muy tricky!

22 oct 2020

Microsoft anuncia el desmantelamiento de la botnet Trickbot

¡Buenas!

Microsoft anunció hace unos días en su blog el desmantelamiento de la botnet Trickbot en el marco de las acciones llevadas a cabo para combatir ciberataques con ransomware durante las elecciones de Estados Unidos

Se trata de una gran noticia puesto que, en los últimos tiempos ha sido una de las amenazas que mayor impacto ha causado al tener capacidades para desplegar otro malware, como por ejemplo, el ransomware Ryuk. Una de las vías principales de infección del malware Trickbot ha sido a través de campañas de malspam, empleando temáticas tan actuales como la pandemia por COVID-19 o el movimiento Black Live Matters, en las que, mediante ficheros adjuntos maliciosos con el malware Emotet, se propiciaba la descarga de Trickbot y, mientras que Emotet se aprovechaba movimientos laterales para propagarse y seguir desplegando Trickbot, este último robaba información sensible, realizaba nuevos movimientos laterales para continuar con su propagación y activaba el ransomware Ryuk, como se tuvo constancia en España desde finales de 2019 con afectación en administraciones públicas y en empresas privadas.

Flujo de despliegue de Trickbot a través de Emotet. Fuente: Kryptoslogic.com

Como resultado de esta acción llevada a cabo por Microsoft y operadores de telecomunicaciones, los cibercriminales no van a poder seguir utilizando la infraestructura desactivada para continuar propagando Trickbot ni para activar otros payloads en aquellos equipos que ya estuvieran infectados.

Para ello, se han valido de una investigación que permitió identificar los servidores de comando y control que empleaban los cibercriminales, procediendo a la suspensión y bloqueo de dichas direcciones IP. En este caso, la principal novedad es que se ha contado con una orden judicial del Tribunal del Este de Virginia para detener las operaciones de Trickbot, debido a que se empleó como argumento jurídico en la demanda la infracción de derechos de autor por el uso de software propiedad de Microsoft con fines maliciosos.

Sin embargo, no se descarta que los cibercriminales encuentren nuevas vías para explotar este malware más pronto que tarde, por lo que no se debe bajar la guardia frente a esta y el resto de amenazas que puedan existir o surgir.

¡¡Saludos y hasta el próximo post!!

21 oct 2020

Curso gratuito de actuación ante pérdidas de datos

Hola lectores. 

Desde hace unas semanas, he visto que de manera periódica uno de mis contactos en Linkedin publicaba lecciones sobre actuación ante pérdidas de datos. Una vez finalizó, contacté con José Alberto (el creador del contenido) para ver si me permitía compartirlo con todos vosotros. Creo que el curso que ha generado puede ser de interés ya que, como sabéis, las pérdidas de datos están a la orden del día tanto en entornos domésticos, como en empresariales. Vivimos en un momento en el que el grueso de la información que almacenamos es digital y está almacenada en todo tipo de soportes, por lo que es más que aconsejable tener cierta formación sobre los dispositivos de almacenamiento y, saber cómo actuar ante una situación de pérdida de datos, es clave.


RecuperaData, ha puesto a disposición de todos en LinkedIn una serie de lecciones, así como vídeos resumen adicionales de cada lección, como soporte de las mismas. Además, para todos los que quieran comprobar su nivel de conocimiento, pueden probar a hacer el examen que han publicado y obtener su certificado.

A continuación, os dejo los links: 

La verdad es que se agradecen iniciativas como ésta, espero que sea de vuestro interés.

¡Saludos! 

20 oct 2020

Los correos de Hunter Biden: el debate (electoral y no electoral) está servido

¡Buenas!

Hace unos días que el diario estadounidense New York Post se hacía eco de "los correos electrónicos secretos de Hunter Biden" en los que se publica que supuestamente se habría aprovechado de la posición de su padre Joe Biden, en aquel momento Vicepresidente de los Estados Unidos, para beneficiar a la compañía energética ucraniana Burisma.

Uno de los presuntos correos electrónicos

Según la publicación, estos correos electrónicos provienen del MacBook Pro de Hunter Biden. Este equipo se dejó en una tienda de reparaciones de Delaware en Abril de 2019 por sufrir daños por agua,  el servicio de reparación no fue pagado, ni tampoco se recuperó el disco duro, ni el ordenador, a pesar de los esfuerzos del dueño de la tienda por contactar con el cliente, al que no pudo identificar como Hunter Biden. El FBI confiscó tanto el ordenador como el disco duro en el mes de diciembre de 2019 después de que el dueño de la tienda informara de su existencia, sin embargo, el dueño de la tienda realizó una copia del contenido del disco duro y, al parecer, se la entregó a Robert Costello, abogado del ex alcalde de Nueva York Rudy Giuliani. Este último fue quien entregó la copia al New York Post recientemente, después de que Steve Bannon, ex-asesor de Donald Trump, confirmara la existencia de dicho disco duro a finales de septiembre de este año.

Resumen de los acontecimientos

Pues bien, a raíz de la publicación del New York Post no ha tardado en desatarse el debate en redes sociales sobre la veracidad o la manipulación de dichos correos electrónicos debido a que estos han sido publicados como impresiones en PDF y no mediante los correos electrónicos originales. Diferentes usuarios han compartido capturas de pantalla con los metadatos de los documentos PDF, así como otra información, indicando que estos fueron creados durante el tiempo que el ordenador estuvo en la tienda de reparaciones.

Comentarios en Twitter sobre la fecha de creación de los documentos PDF

La principal duda que se plantean los usuarios es la diferencia entre las fechas de los correos electrónicos, la fecha de creación de los ficheros PDF y el momento en que estos han visto la luz, hecho por el que ponen en tela de juicio la veracidad de dichas publicaciones y sospechan de una posible manipulación de estos. También se comenta el pixelado o la calidad de la imagen de los correos publicados al haber sido exportados a formato PDF. No obstante, también hay opiniones que tratarían de justificar el por qué de estas diferencias.

Encabezado de la impresión PDF del correo electrónico publicado por New York Post

A pesar de las publicaciones anteriores y el espíritu crítico para cuestionar la autenticidad de las publicaciones, no parece que se pueda confirmar o desmentir sin analizar las cabeceras y el contenido de los correos electrónicos originales (siempre y cuando se haya podido garantizar la cadena de custodia) para determinar si estos han sido alterados o creados con alguna intencionalidad determinada, dado que han visto la luz en plena campaña electoral. Sin embargo, se pueden analizar los correos publicados por New York Post (correo 1 y correo 2) con herramientas como Metashield, en las que se pueden verificar si los metadatos difundidos por otros usuarios son correctos o manipulados y, en este caso, coinciden.

Análisis con Metashield de los correos publicados en el New York Post
Nota: la diferencia en la hora de creación con respecto a otras publicaciones se debe a los distintos husos horarios 

Teniendo en cuenta que las elecciones presidenciales de Estados Unidos se encuentran a la vuelta de la esquina (el 3 de noviembre), no es de extrañar que estas publicaciones sean utilizadas como arma arrojadiza en uno y otro sentido, dado que no sería la primera vez que se emplean filtraciones correos electrónicos para tratar de ganar votos o cambiar el sentido de estos, como ocurrió en las elecciones de 2016 con la denominada injerencia rusa y que, a día de hoy, se sigue utilizando como arma electoral.

Además de lo anterior, las elecciones presidenciales de Estados Unidos de 2016 también son recordadas por el escándalo de Cambridge Analytica, en el que se lanzaron campañas publicitarias en Facebook que buscaban influir en las elecciones explotando información personal y contraviniendo las normas de la red social.

Considerando la importancia que tiene un proceso electoral para cualquier Estado democrático, sea cual sea, queda patente una vez más que el buen o el mal uso de la información puede influir y llegar a ser decisivo en los resultados finales.

El debate está servido.

¡¡Saludos y hasta el próximo post!!

19 oct 2020

Women in Cybersecurity (Young, educated and ready to take charge)

Hola lectores. 

Los que me conocéis, sabéis que a mi me gusta la gente con talento (descubierto, o aún por descubrir) y que los equipos con los que trabajo, proporcionen siempre la máxima calidad posible. Por ese motivo, trabajamos con la filosofía de hacer las cosas cómo nos gustaría recibirlas si fuesen para nosotros. Siempre suelo decir, que factores como el género, la raza o la religión, no deberían de intervenir en ninguno de ellos, pero desgraciadamente, todos sabemos que esto no es siempre así. Por este motivo, quiero compartir con vosotros el informe que han elaborado desde ISC2 donde se ve la evolución del papel y la presencia de la mujeres en la ciberseguridad durante 2020. No soy muy fan de los números y las estadísticas en este tema, pero creo que es importante saber que durante 2020 las mujeres entrevistadas ocupan casi el 24% de las posiciones del sector y que es una tendencia en aumento. Sé que falta mucho para que esté equilibrado, pero parece que estamos trabajando en el buen camino, por lo que creo que es importante que todos reflexionemos tras prestarle al informe la atención que se merece y, que nos planteemos cómo podemos poner nuestro granito de arena.


Quiero dar las gracias a womandigital, ya que descubrí el informe a través de su web (desde donde podéis acceder a leerlo).

Espero que os haga reflexionar y nos ayudéis a hacer más fácil llevar la ciberseguridad a la sociedad, con iniciativa como la que planteamos en éste post

16 oct 2020

Microsoft alerta sobre un nuevo ransomware para Android


Buenas a todos,

En el post de hoy vamos a hablar un poco de malware, ya que hace unos días, el equipo de investigación de Microsoft 365 Defender descubrió un ransomware para el Sistema Operativo Android que ha llamado mucho mi atención.

Este nuevo malware parece que es capaz de lograr evadir muchas de las protecciones disponibles, con una tasa de detección muy baja. Aunque inicialmente parecía un nuevo malware, se ha descubierto que este ransomware es realmente una variante de la familia MalLocker. Sobre esta familia de ransomware, trataré de hablar en futuros post, sin embargo, creo que es interesante decir que es conocida por usar la ingeniería social al usar la apariencia de aplicaciones populares, juegos crackeados o reproductores de vídeo, lo que hace que se difunda con mucha facilidad.

Lo que es novedoso y llamó mi atención de esta variación respecto a sus antecesores es la forma en la que muestra al usuario el típico mensaje de rescate. Los antiguos ransomware de Android utilizaban el permiso “SYSTEM_ALERT_WINDOW” para mostrar el mensaje de rescate, fijándolo en una ventana que permanecía delante de cualquier otra pantalla, dejando el terminal inutilizado. En cambio, esta nueva versión hace uso de varios componentes de Android para generar su mensaje:

  • Notificacion.Builder: Clase para la construcción de notificaciones.
  • setCategory(“call”): Método que permite asignar una categoría a la notificación. En este caso como llamada entrante (voz o video).
  •  setFullScreenIntent(): Método que lanza un intento de iniciar la notificación en pantalla completa el lugar de publicarla en la barra de estado. Su uso se debería limitar a notificaciones con prioridad máxima como una llamada telefónica o una alarma.
  • onUserLeaveHint(): Método de la clase Activity que se llama cuando un objeto de dicha clase (una actividad) está a punto de pasar a segundo plano como resultado de la elección del usuario.
    • Una actividad en Android, es una tarea que puede hacer el usuario a través de una pantalla. De manera muy rápida y vaga, pero para que se entienda, cada actividad es una pantalla de la aplicación.

De esta manera, el ransomware primero crea una notificación nueva con la categoría para llamadas entrantes (“call”), conectándola con la futura actividad “ransomActivity” y con el método para el intento de pantalla completa. A continuación, podéis ver el extracto de código:

Creación de la Notificación

Actividad del ransomware

Después, crea una actividad para que se active cuando el usuario interactúe y sobrescriba la función onUserLeaveHint(), consiguiendo que cuando la pantalla vaya a pasar a segundo plano se lleve automáticamente a primer plano. Estas acciones en conjunto consiguen que se active una ventana emergente de forma automática que muestra las instrucciones de pago.

En el siguiente enlace, podéis leer la investigación al completo realizada por el equipo de Microsoft.

En el próximo post hablaremos sobre más detalles técnicos como su ofuscamiento y parte de su funcionamiento.

¡¡Saludos!!


15 oct 2020

Adiós OSCE, ¿hola OSCX?

¡Muy buenas a todos!

Hace un par de meses, el equipo de Offensive Security publicaba que hoy, 15 de octubre de 2020, sería el último día de vigencia del curso CTP y, por consiguiente, de su certificado OSCE.
Fig 1: Nunca te olvidaremos.
Para aquellos que no lo conozcan, el curso CTP (Cracking the Perimeter)  es era el curso introductorio desarrollado por Offensive Security para adquirir conocimientos relacionados con el exploiting, tanto en Linux como en Windows (más este último que el primero). 
Fig 2: Índice de contenido del OSCE.
Como era de esperar, este curso fue desarrollado hace miles de varios años y nunca había sido actualizado (algo común en Offensive Security hasta hace pocos meses), por lo que era cuestión de tiempo que ésta situación se produjera. 
Fig 3: Nuevas versiones; todas han salido en 2020.
Desde mi punto de vista, el contenido del curso solo necesitaba un ligero lavado de cara y una adaptación a los sistemas operativos de la actualidad; no había necesidad de retirarlo, ya que el contenido técnico (casi en su totalidad), era, es y será siempre el mismo para una introducción al exploiting. No obstante, siendo realista, cabe recordar que todas las máquinas del laboratorio eran Windows XP, Windows 7 y Windows Server 2003, junto a una Backtrack para realizar los ataques...tal vez no haya sido tan mala idea.
Fig 4: Mírala que maja, si hasta te instalabas el GUI a mano.
Por último, en este mismo comunicado, destacan que su vacío será ocupado por dos nuevos certificados que se anunciarán antes de fin de año, uno relacionado con exploiting en Windows y otro, relacionado con pentesting avanzado.

¿Mis apuestas? 
  • Pentesting Avanzado: Algo relacionado con Red Team, seguramente simulando el CRTO de Rastamouse (del que ya hablamos hace unos meses), los ProLabs de HTB o los Red Team Labs de Pentester Academy.
  • Windows Exploiting: Un nuevo OSCE actualizado adaptándose a los nuevos entornos Windows y dejando atrás los maravillosos Windows 7, XP y Server 2003 del OSCE.
Y vosotros, ¿qué opináis? ¿Jugada maestra de marketing o golpe de efecto sobre el mundo de las certificaciones de seguridad?
Fig 5: All in.
Happy Juancking!

14 oct 2020

Microsoft Azure Audit Program

Hola lectores.
 
A nadie se le escapa que el cloud computing se ha convertido en "la nueva normalidad" para cualquier empresa que dependa de la tecnología, independientemente de su sector. Esto es gracias a su velocidad, flexibilidad y capacidad de escalado. Pero nosotros nos dedicamos a la seguridad, y por ese motivo sabemos que es muy importante que las empresas sepan cómo mantenerlo de una manera adecuada, y para ello, la auditoría es un elemento clave. 

Un equipo de expertos de ISACA Internacional ha desarrollado un programa de auditoría de Microsoft® Azure (en el siguiente enlace podéis ver nuestro hilo sobre Azure)  para ayudar a los auditores a medida que evalúan la idoneidad y la eficacia de los servicios de Microsoft y para poder garantizar que la implementación de Azure respalde de forma segura los objetivos operativos y de cumplimiento de las organizaciones. 



 El programa de auditoría de Azure (que podéis consultar aquí) cubre las siguientes áreas: 
  • Gobierno
  • Configuración y gestión de redes 
  • Gestión de identidades y accesos 
  • Seguridad de recursos 
  • Registro y seguimiento 
  • Respuesta a incidentes de seguridad 
  • Controles de cifrado de datos 

El documento, conformado por un PDF y un EXCEL, está disponible de forma gratuita para los miembros de Isaca, o por $49 para el resto de interesados.



¡Espero que sea de vuestro interés!

13 oct 2020

Congreso #CiberTodos 2020

Buenos días lectores. 

Desde hace unos años estoy involucrado con el capítulo de Madrid de ISACA, tratando de echar una mano en todo lo que sea necesario. Por este motivo me gustaría apoyarles desde Flu Project con su iniciativa: “La ciberseguridad: una responsabilidad de todos", más conocida como “CiberTodos”.

Para los que no lo sepáis, este mes de octubre es el Mes Europeo de la Ciberseguridad (aunque ya es una iniciativa global), impulsado por ENISA (organización de la que ya os hablé en éste post) y CiberTodos, es la manera que tenemos desde ISACA Madrid para poner nuestro granito de arena. 

Cada año acuden a CiberTodos cerca de 250 profesionales del sector, pero este 2020, debido a la situación de pandemia mundial en la que nos encontramos. se ha decidido optar por un modelo virtual, totalmente gratuito, que se celebrará los días 1, 8, 15, 22 y 29 de octubre, en horario de 18:00 a 20:00 CE. Este modelo está cosechando grandes resultados, tanto de audiencia, con más de 2500 personas conectadas, como de valoración por parte de los asistentes, por lo que os esperamos en la próxima sesión.

Para todos aquellos que no conocíais esta iniciativa, a continuación os compartimos los videos de las dos primeras sesiones:  

Si estáis interesados en conocer más sobre esta iniciativa, en el siguiente enlace tenéis toda la información oficial del mismo.

Espero que os sea de interés, ¡nos vemos en Cibertodos!


12 oct 2020

Luchando contra el ransomware: nomoreransom.org

¡Buenas!

Hoy queremos hablaros de una iniciativa que promueve la lucha contra el ransomware: No More Ransom! A lo largo de este complejo 2020 continúa el auge de las ciberamenazas y, en muchas ocasiones, los cibercriminales se aprovechan situaciones y narrativas relacionadas con la pandemia que estamos viviendo para tratar de infectar nuestros equipos con malware y, en este sentido, el ransomware puede ser uno de los que puede causar un mayor impacto.

https://www.nomoreransom.org/

Como muchos sabréis, el ransomware es un tipo de malware que cifra la información (personal y profesional indistintamente), impidiendo el acceso a esta, pudiendo bloquear el acceso a los usuarios en los sistemas afectados y solicitando el pago de un rescate para poder acceder a ellos. Las consecuencias de este tipo de ataques pueden ser desde pérdidas millonarias por la paralización de los servicios, hasta el cierre de un negocio si no se han tomado medidas de seguridad que puedan mitigar el impacto en el caso de producirse una infección, como por ejemplo, la realización de copias de seguridad. Habitualmente se suele combinar este tipo de malware con otros que permitan exfiltrar la información, de manera que los ciberdelicuentes puedan realizar extorsiones y amenazas de publicar la información extraída en el caso de que no se pague el rescate y filtrando muestras de este contenido para ejercer presión.

El proyecto No More Ransom! fue creado en julio de 2016 como fruto de la colaboración entre la Europol, la policía neerlandesa, y las compañías de seguridad Kaspersky y McAfee, con el objetivo de combatir este tipo de amenazas y proveer a la ciudadanía de herramientas que permitan recuperar y descifrar los ficheros afectados por este tipo de malware sin necesidad de pagar el rescate. Desde su origen hasta el día de hoy se han sumado al proyecto numerosas empresas de ciberseguridad así como Fuerzas y Cuerpos de Seguridad de diferentes Estados, entre ellos España. Es por ello que desde No More Ransom! también se ha habilitado un apartado desde el que interponer una denuncia en el caso de que seamos víctimas de un ciberataque mediante ransomware.

Además, para ayudar a las víctimas, se han puesto a disposición dos herramientas bastante útiles en el caso de que se haya sufrido un ataque con este tipo de malware. La primera de ellas se llama Crypto Sheriff, que es un analizador de evidencias (ficheros cifrados, notas de rescate, direcciones de correo electrónico, carteras de criptomonedas, etc.), mediante el que identificar el tipo de ransomware y mostrar si existe una solución para revertir la situación.

Crypto Sheriff

La otra, se trata de un repositorio de herramientas de descifrado para aquellos tipos de ransomware cuyas claves han sido descubiertas o bien, que se haya encontrado la solución para descifrar los ficheros afectados.

Repositorio de herramientas de descifrado

Para concluir, disponen de un apartado con consejos de prevención que pueden mitigar el impacto de un ciberataque mediante ransomware y que se pueden resumir en los siguientes puntos:

  • No pagar el rescate bajo ningún concepto, pues no suele haber garantía de poder recuperar la información tras realizarse el pago.
  • Realizar copias de seguridad, mantenerlas lo más actualizadas posibles y almacenarlas en una ubicación diferente a la fuente de información original (dispositivo externo, almacenamiento en la nube, etc.)
  • Disponer de las últimas actualizaciones y parches de seguridad en los sistemas y equipos.
  • Contar con un software antivirus actualizado.
  • Mostrar las extensiones de los archivos mediante el menú de configuración de Windows.
  • Desconfiar. Los usuarios finales somos una línea de defensa fundamental identificando ficheros adjuntos potencialmente sospechosos, emails cuya procedencia, aunque confiable, nos pueda hacer dudar, etc.  
¡¡Saludos y hasta el próximo post!!

9 oct 2020

haveibeenEMOTET: Descubre si tu correo electrónico (o dominio) está involucrado en campañas de malspam con EMOTET

¡Buenas!

Hoy queremos hablaros del servicio haveibeenEMOTET, que permite identificar si una dirección de correo electrónico o un dominio se ha visto involucrado en la difusión de malspam conteniendo el troyano Emotet. Este malware es una de las amenazas más peligrosas existentes, no solo por su capacidad para robar información sensible, como pueden ser contactos, credenciales y datos bancarios, sino por sus capacidades de evasión, de instalación de malware adicional, de recibir actualizaciones a través de servidores de C&C o de explotar ciertas vulnerabilidades, entre otras. Esta combinación hace que su detección sea compleja puesto que, adicionalmente, es capaz de enviarse a los contactos robados, por lo que puede propagarse de manera indiscriminada en campañas de malspam a correos electrónicos de organizaciones y de particulares.

haveibeenEMOTET

El servicio, lanzado de manera gratuita por los investigadores de TG Soft contiene un buscador en el que se tiene que introducir el correo electrónico o el dominio sobre el que se quiere averiguar si ha estado de algún modo involucrado en un envío o recepción de malspam con Emotet. Igualmente contiene un ejemplo de malspam con Emotet , así como la fecha de última actualización de la base de datos.

Buscador de correo electrónico o dominio

Si introducimos algunos de los dominios de proveedores de correo electrónico de uso común, se obtienen resultados referentes a que ha habido receptores (Recipient), suplantaciones mediante las que se hace creer que el emisor es de confianza (Fake Sender) y emisor cuya cuenta ha sido comprometida (Real Sender).

Dominios de servicios de correo electrónico de uso común afectados 

Igualmente ocurre si introducimos el dominio de un negocio o empresa cualquiera y hay registros en la base de datos:

Dominio involucrado en envíos de malspam con Emotet

Si una cuenta o dominio no se ha visto involucrada en un en un envío o recepción de correo electrónico con Emotet o no cuenta con registros en la base de datos del servicio, nos indicará que no ha sido encontrado.

Correo electrónico no involucrado en envíos de malspam con Emotet

Por último, el servicio cuenta con un apartado de estadísticas con las extensiones de los dominios más utilizadas como emisor, suplantado y receptor.

Estadísticas sobre malspam con Emotet


¡¡Saludos y hasta el próximo post!!

8 oct 2020

¿Qué dice tu cuenta de Google sobre ti?

¡Buenas a todos!

En el artículo de hoy vengo a mostraros una herramienta que recientemente ha publicado @mxrchreborn y que abusa de "características" ya conocidas sobre las cuentas de Google. La herramienta en cuestión es GHunt, creada principalmente para realizar tareas de OSINT sobre una cuenta de Google a través de los identificadores de cuentas de Google, también llamados Google IDs.

Actualmente la herramienta es capaz de recoger información como el nombre del dueño de la cuenta, la última vez que el perfil ha sido editado, si la cuenta se trata de un bot de Hangouts, servicios de Google activos, así como información pública sobre sus teléfonos móviles, fotos públicas, reseñas u otras muchas características.

En este artículo además de mostraros la eficiencia de la herramienta, quiero mostraros una guía detallada de como "instalarla" en vuestra distribución de preferida y hacer uso de la misma. Así que antes de nada clonemos el repositorio e instalemos las dependencias necesarias. En primer lugar instalaremos Google Chrome (en mi caso en una distribución basada en Debian) ya que la herramienta hace uso de Selenium para realizar sus funciones:

git clone https://github.com/mxrch/GHunt
wget https://dl.google.com/linux/direct/google-chrome-stable_current_amd64.deb
sudo apt install ./google-chrome-stable_current_amd64.deb

Tras realizar la instalación debemos de fijarnos en la versión de Chrome instalada, ya que es necesario que el chromedriver utilizado en Selenium sea de la misma versión que la instalación de Google Chrome que acaba de hacerse. A fecha de escritura del post, la versión que he utilizado es la 85.0.4183, por tanto, continuamos con el resto de dependencias de la herramienta:

cd GHunt/
python3 -m pip install -r requirements.txt
wget https://chromedriver.storage.googleapis.com/85.0.4183.87/chromedriver_linux64.zip
unzip chromedriver_linux64.zip

Tras instalar estas dependencias debemos asegurarnos que el chromedriver se encuentra en la carpeta del proyecto de GHunt. Siguiendo los pasos anteriores, no debería haber ningún problema :)

Seguidamente deberemos configurar la herramienta, preferiblemente con una cuenta de Google que no utilicemos actualmente o que creemos con el propósito en específico de utilizar la herramienta. Acto seguido debemos obtener las cookies asociadas a la cuenta que acabamos de crear. Para ello, realizamos un inicio de sesión en Google Account y obtenemos los valores de las siguientes Cookies a través de las herramientas de desarrollador.

Para acceder a las herramientas de desarrollador, puede hacerse desde la tecla F12 (por defecto) o haciendo cualquier clic derecho en la página y seleccionando la opción de inspeccionar elemento.

Finalmente, para comprobar si la herramienta funcionaba correctamente, probé a introducir mi email personal, y para mi sorpresa, la posible localización que me ofrecía era correcta :)

Si os ha gustado la herramienta no dudeis en echarle un vistazo y, probadla siempre con cuentas de vuestra propiedad para verificar la información que estáis exponiendo "públicamente".

¡Saludos!