Saturday, 31 October 2015

La red botnet Dridex vuelve a estar activa tras su desmantelamiento

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/tecnologia/la-red-botnet-dridex-vuelve-a-estar-activa-tras-su-desmantelamiento/
TAGS: botnet Dridex

Parecía un peligro superado. Pero, a pesar de su derribo, la botnet Dridex está funcionando de nuevo. De hecho, ya se han detectado ejemplares de malware que con mucha probabilidad proceden de esta fuente, que se creía cerrada.



Dridex





Según informa PCWorld.com, la botnet Dridex, también conocida como Cridex o Bugat, podría estar activa de nuevo. Esta red se había dado por desmantelada e incluso se había arrestado en agosto a uno de sus promotores clave, un moldavo de 30 años llamado Andrey Ghinkul.

Ahora se ha localizado spam que contiene Dridex, un tipo de malware bancario que recoge datos de acceso financieros y otra información personal, para intentar vaciar cuentas bancarias. Los delincuentes que utilizan Dridex suelen engañar al usuario, mediante el envío de mensajes spam con enlaces o archivos adjuntos infectados, del tipo XML y documentos de Microsoft Office.

Tanto las autoridades de EE.UU. como las del Reino Unido habían asegurado que labotnet (o la legión de ordenadores infectados con el malware), había sido paralizada pero, tras una caída de su actividad, la firma especializada Palo Alto Networks informó de que Dridex podría haber reanudado sus operaciones a principios de este mes. Un investigador de la firma Rackspace también lo confirma.

Este caso podría demostrar que, si bien la aplicación de la ley permite lograr victorias parciales en la lucha contra las redes de ciberdelincuencia, a veces es difícil cerrar totalmente sus operaciones.

Fuente:www.pcworld.es


Noticias de seguridad informática

Friday, 30 October 2015

Cómo desbloquear Android sin contraseña ni patrón

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/seguridad-informatica/como-desbloquear-android-sin-contrasena-ni-patron/
TAGS: desbloquear Android
Que Android tiene sus puntos flacos todos los sabemos. Siempre se le ha echado en cara que es un sistema poco seguro y que tiene muchas fallas que cerrar, y es verdad. Uno de los principales problemas que tiene Android es que burlar su seguridad es relativamente fácil si somos lo suficientemente pícaros y pacientes.

Ante esta “preocupación por la seguridad”, Android cuenta con diferentes sistemas de seguridad que permiten bloquear el acceso a los datos e información del dispositivo. ¡Ay, inocentes criaturas nosotros que nos creemos a salvo! No, hay diferentes formas de saltarse el bloque de Android, y os las vamos a enseñar aquí y ahora –por si se os ha olvidado el patrón de puntos…-.

5 formas de saltarse el bloqueo en Android


Mediante el Android Device Manager


Sí, una herramienta de la propia Google es capaz de ayudarte a saltarte el patrón de puntos o la contraseña de un teléfono. Obviamente, tendremos que tener nuestra cuenta de Google metida en el teléfono para que el método funcione, y por supuesto, conexión a Internet.

Si se nos ha olvidado el código que usamos para desbloquear la pantalla, solo tendremos que irnos a este enlace y meter nuestra cuenta de Google. Entonces nos aparecerán todos los dispositivos en los que hemos metido la cuenta, y es ahí donde veremos nuestro móvil.

Aquí podremos ver los dispositivos en los que tenemos metida nuestra cuentaAquí podremos ver los dispositivos en los que tenemos metida nuestra cuenta

Ahora solo tenemos que darle a “Bloquear” y poner una nueva contraseña. Cuando la aceptemos, nuestro teléfono cambiará automáticamente de bloqueo e, introduciendo la nueva combinación, podremos acceder al teléfono. Fácil y sencillo.

Y aquí podremos cambiar la contraseña por una nueva

 

Y aquí podremos cambiar la contraseña por una nueva

Introduciendo tus propios credenciales de Google


Seguro que os ha pasado más de una vez que un amigo os coge el teléfono e intenta desbloquear la pantalla –sin éxito-. Es ahí cuando tu smartphone se bloquea y te obliga a esperar 30 segundos, un minuto…, pero no es necesario, porque podemos desbloquearlo sin necesidad de esperar -siempre que nuestro dispositivo tenga Android 4.4 o inferior-.

Cuando nos salte el aviso, pulsamos en “Siguiente” y nos ofrecerá dos formas de avanzar: respondiendo a una pregunta de seguridad o introduciendo nuestros credenciales de Google. Esta segunda opción, si recordamos el correo y la contraseña, desbloqueará nuestro dispositivo y nos permitirá cambiar el patrón.

Haciendo un reseteo de fábrica y perdiendo todos los datos


Este método, quizá excesivamente drástico aunque no por ello menos funcional, es válido en la gran mayoría de casos. Para hacer esto debemos acceder al recovery de nuestro teléfono, que salvo excepciones, suele hacerse siguiendo los siguientes pasos:
  1. Apagar el teléfono completamente.

  2. Dejar pulsado el botón de volumen – y el de encendido hasta que aparezca el bootloader.

  3. Una vez ahí pulsar dos veces –o las que sea necesario para acceder al recovery- hacia abajo y luego el botón de encendido para seleccionarlo.

Las ventajas de tener un recovery modificado es que te da muchas más opciones

 

Las ventajas de tener un recovery modificado es que te da muchas más opciones

Una vez en el recovery tendremos que seleccionar, usando los botones de volumen, la opción “wipe data / Factory reset”. Eso formateará nuestro teléfono y, cuando acabe, solo deberemos pulsar “Reboot now” para reiniciarlo y reconfigurarlo de nuevo.
Consejo: hacerle un Factory Reset al teléfono de vez en cuando no viene mal, así consigues limpiarlo por completo y quitarle posibleslags y problemas. Yo se lo hago cada mes.

Crasheando la pantalla de bloqueo


¿Qué? ¿Te creías que tu contraseña era irrompible? Pues no, para nada. Reventar la seguridad de tu teléfono es muy fácil, y las llamadas de emergencia son la única herramienta que necesitamos. Si tienes una contraseña alfanumérica puesta como método de seguridad, puedes provocar un fallo en la pantalla de bloqueo y acceder a todo el contenido de tu teléfono –solo si tenemos Android Lollipop-.

Solo tendremos que abrir las llamadas de emergencia y pegar 10 asteriscos. Luego los copiamos y pegamos sucesivamente hasta que no nos deje hacerlo más. Cuando hayamos terminado, copiamos todos esos caracteres y volvemos a la pantalla de bloqueo.

La pantalla de bloqueo puede fallar si tenemos pacienciaLa pantalla de bloqueo puede fallar si tenemos paciencia

Ahí abrimos la cámara y bajamos la barra de notificaciones. Luego pulsamos sobre la rueda de Ajustes, y nos pedirá la contraseña. Ahora solo tendremos que pegar sucesivamente los caracteres que hemos copiado antes hasta que el bloqueo falle y nos deje acceder. Rebuscado, pero eficaz.

Iniciando el teléfono usando el “arranque seguro”


En Google Play hay cientos de aplicaciones que sustituyen el desbloqueo de fábrica de Android. Funcionan exactamente igual que el normal, solo que dan alguna función nueva. El caso es que si nos olvidamos de qué contraseña o patrón hemos puesto, no podremos acceder al teléfono por más que lo intentemos.

El método que hay para conseguir acceder es usando el “arranque seguro”. Esto nos permitirá reiniciar el teléfono con todas las aplicaciones que hemos descargado deshabilitadas. De esa manera podremos desinstalarla y eliminar el problema.

Una buena forma de eliminar aplicaciones intrusivas es entrando en el modo de arranque seguroUna buena forma de eliminar aplicaciones intrusivas es entrando en el modo de arranque seguro

Para hacer esto, solo debemos dejar pulsado el botón de apagar y, cuando salga la opción “Apagar”, dejar pulsado la opción. Luego pulsamos OK y el teléfono reiniciará en modo seguro. Cuando hayamos desinstalado la app, solo tendremos que reiniciar el teléfono como normalmente y listo, no más problemas.

¿Y tú? ¿Conoces algún otro sistema para saltarse el bloqueo de pantalla en Android?

 

Fuente:www.malavida.com
Noticias de seguridad informática

Thursday, 29 October 2015

Duuzer, una nueva puerta trasera descubierta por Symantec

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/vulnerabilidades/duuzer-una-nueva-puerta-trasera-descubierta-por-symantec/
TAGS: Duuzer, Symantec

Las puertas traseras son un problema importante al que los usuarios deben hacer frente día a día. Para los ciberdelincuentes son algo muy valioso ya que permiten acceder a los datos del equipo y controlarlo de forma remota. Los expertos en seguridad de la compañía Symantec han detectado la distribución en Internet de una nueva puerta trasera conocida con el nombre de Duuzer.




[caption id="attachment_7191" align="alignnone" width="770"]Duuzer, una nueva puerta trasera descubierta por Symantec Duuzer, una nueva puerta trasera descubierta por Symantec[/caption]


Aunque por el momento está afectando a empresas (el 80% de las infecciones son equipos ubicados en oficinas), esto no evita que los usuarios particulares puedan infectarse con esta puerta trasera. Desde la compañía de seguridad han sido capaces de aportar más información relacionada con al amenaza. En lo referido a los sistemas operativos afectados, hay que decir que está diseñada para afectar a equipos con Windows 7, tanto de 32 como de 64 bits. Sin embargo, también han comprobado que Duuzer funciona tanto en 8 como 8.1, por lo que el número de equipos susceptibles a verse afectados es bastante más amplio.


Añaden que han comprobado que puede afectar a Windows Vista y XP, quedando por el momento libres de esta amenaza los usuarios del nuevo sistema operativo de los de Redmond. Esto se ve traducido en que los ciberdelincuentes buscan afectar a aquellos equipos más antiguos que no van a migrar a un sistema operativo reciente por motivos de compatibilidad de determinadas aplicaciones. Sin embargo, estos equipos también son más susceptibles a sufrir fallos de seguridad que nunca serán resueltos.


En lo referido a la puerta trasera, estas son algunas de las acciones que permite realizar de forma remota:



  • Obtener información de las unidades de disco.

  • Crear, pausar y eliminar procesos del sistema.

  • Subir y descargar archivos desde Internet.

  • Modificar y eliminar archivos.

  • Robar información de los usuarios del equipo.

Duuzer se distribuye haciendo uso de campañas spam de correo electrónico


Al igual que sucede con otras amenazas, los ciberdelincuentes han confiado a las campañas que se realizan con correos electrónicos para que los equipos se infecten. No ha trascendido demasiada información respecto al contenido de estos mensajes, pero sí que se sabe que los delincuentes buscan que el usuario crea que el adjunto contenido en este se trata de un documento de texto o PDF. Sin embargo, se trata de un ejecutable comprimido, por lo que una vez se produzca su ejecución la puerta trasera se instalará en el sistema.


Respecto a su detección, desde Symantec han confirmado que la presencia de una herramienta de seguridad podría mitigar los efectos de este, evitando en muchos casos que se llegue a instalar y que por lo tanto el sistema se encuentre bajo el control de los ciberdelincuentes.


Fuente: redeszone.ne


Noticias de seguridad informática

Wednesday, 28 October 2015

El malware Regin de NSA ha vuelto a hacer saltar las alarmas en Alemania

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/seguridad-informatica/el-malware-regin-de-nsa-ha-vuelto-a-hacer-saltar-las-alarmas-en-alemania/
TAGS: NSA
Parece que Angela Merkel no es el único político alemán que ha sido vigilada por la Estados Unidos o por cualquiera sus aliados conocidos. El jefe de una unidad de la Cancillería General supuestamente ha sufrido una infección en su portátil con Regin, un programa de ciberespionaje que se cree que usa la NSA y sus socios de inteligencia más cercanos.

Desde las autoridades alemanas se ha abierto una investigación sobre este ataque, que salió a la luz en 2014, según ha informado la publicación Der Spiegel. Para quienes no lo sepan, la Cancillería es la agencia federal que trabaja para la oficina de nuestra querida amiga Merkel.

A muchos de vosotros probablemente os sonará de poco esto de Regin, así que vamos a intentardefinir este malware con algo de profundidad antes de seguir adelante.

¿Qué es el malware Regin?


Aparte de ser un programa usado en ciberespionaje, Regin es uno de los malwares más sofisticados que existen. Se compone de más de 75 módulos que activan un amplio rango de funcionalidades, que van desde el robo de contraseñas, pasando por capturar tráfico de una red, capacidad de tomar capturas de pantalla, recuperar archivos borrados y terminando con la filtración de datos. Casi nada.

Regin fue descubierto en noviembre de 2014 por Symantec y Kaspersky Lab, y sus blancos son, fundamentalmente, ordenadores que ejecutan Windows —tranquilo, si no tienes un cargo muy alto en la Administración no les interesas—. Kaspersky dijo que sabía de la existencia de Regin desde la primavera de 2012, pero la primera mención de este malware se encontró en 2011 en VirusTotal. Hay otros informes que señalan que la existencia de Regin data de 2003.

También te puede interesar: Regin, el spyware de los servicios secretos de EE.UU. y Reino Unido


De acuerdo con informes elaborados por distintas firmas de seguridad, Regin se usa para espiar a ISPs, operadores de red troncal de telecomunicaciones, empresas energéticas, líneas aéreas, entidades gubernamentales, institutos de investigación y particulares alrededor del mundo.

WARRIORPRIDE, el origen de Regin


Hay indicios que hablan de que Regin utiliza un método de ataque basado en una plataforma de explotación de una red informática conocida como WARRIORPRIDE en los documentos que filtró Edward Snowden, y que se usa por parte de agencias de inteligencia de Estados Unidos, Reino Unido, Canadá, Australia y Nueva Zelanda —que conjuntamente forman la alianza de inteligencia conocida como Five Eyes—.

Snowden también filtró WARRIORPRIDESnowden también filtró WARRIORPRIDE / RJ editada con licencia CC 2.0

El pasado mes de enero, Der Spiegel habló de un keylogger —un malware que lee las pulsaciones que el usuario hace en el teclado— llamado QWERTY de la miríada de archivos que filtró Snowden, y que desde la publicación pensaban que formaba parte de WARRIORPRIDE. Distintos investigadores de Kaspersky Lab analizaron el programa, y concluyeron que es idéntico a un conocido plugin de Regin, y hasta tenía código que hace referencia a un módulo distinto de dicho malware.

El trabajo de Snowden sigue siendo fundamental


Hace ya tiempo las noticias de que la NSA había intentado espiar el teléfono móvil de Angela Merkeltensaron las relaciones entre Alemania y Estados Unidos. Las autoridades teutonas lanzaron una investigación sobre esto que también se basaron en revelaciones hechas por Edward Snowden, pero después la investigación se abandonó por falta de pruebas concluyentes.

Si Regin es WARRIORPRIDE como parecen indicar lo que sabemos —y es el pensamiento de muchos especialistas en seguridad informática—, la presencia del malware en un ordenador de la Cancillería no es ninguna coincidencia. Sin embargo, dado que la herramienta es utilizada por agencias de inteligencia de cinco países diferentes, identificar al responsable va a ser muy difícil.

 

Fuente:www.malavida.com
Noticias de seguridad informática

Tuesday, 27 October 2015

Bitcoin ya cuenta con Blockchain Alliance para combatir el cibercrimen

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/tecnologia/bitcoin-ya-cuenta-con-blockchain-alliance-para-combatir-el-cibercrimen/
TAGS: Bitcoin

Blockchain Alliance es el nuevo grupo que quiere ayudar a las autoridades a combatir el cibercrimen y a que entiendan cómo funciona exactamente el Bitcoin


No es un secreto que la moneda virtual anónima Bitcoin se usa a menudo en asuntos poco claros. El pasado jueves, un grupo de agencias de la ley, las principales bolsas de Bitcoin y distintos académicos formaron un grupo llamado Blockchain Alliance en un intento de combatir crimen relacionado con el blockchain y dotar de más legitimidad a la tecnología.


hacking team bitcoin



Para quienes no lo sepan, el blockchain o cadena de bloques de Bitcoin es una base de datos de transacciones en la red de Bitcoin compartida por todos los ordenadores que participan en la red de un sistema basado en el protocolo Bitcoin. Esta base de datos está totalmente descentralizada, lo que significa que, a diferencia de las transacciones físicas, no existe ningún banco o autoridad que regule los extractos de dichas transacciones. Los estados reales de las cuentas se determinan por el consenso del trabajo computacional de los mineros, y el poder de procesamiento computacional va creando la blockchain.


Las cadenas de bloques de los Bitcoin y su naturaleza descentralizada han dado pábulo a que los cibercriminales puedan usarlas totalmente a su antojo.



Lo que Blockchain Alliance quiere


Según hemos podido leer en Motherboard, las fuerzas de la ley perseguirán a los criminales sin importar la tecnología que usen, y según Jerry Brito, director ejecutivo de un grupo de investigación sobre Bitcoin y parte de una de las empresas que han fundado esta nueva organización, esto “podría afectar a la tecnología abierta”.


Según Brito, es necesario “mantener la tecnología libre y abierta para asegurarse de que las fuerzas de la ley entienden cómo funciona“, y, básicamente, ayudarles a comprender qué se puede hacer, qué no y cuáles son las oportunidades y los límites que presenta para sus investigaciones.


Además de Coin Center, la asociación de comercio Chamber of Digital Commerce de Washington DC es otro de los padres fundadores de Blockchain Alliance. El director de dicha organización, Jason Weinstein, ha trabajado en el área de cibercrimen del Departamento de Justicia estadounidense. Estas son sus opiniones sobre el blockchain aplicado al cibercrimen:



Al igual que Internet y otros avances tecnológicos, la tecnología de las cadenas de bloques está siendo mal usada por los ciberciminales para perpetrar una amplia variedad de delitos.

Weinstein no ha querido entrar en detalles con respecto al tipo de crimen que Blockchain Alliance intentará detener, pero es probable que tenga que ver con los mercados negros de todo tipo, donde el Bitcoin es la moneda preferida para pagar por bienes o servicios.



¿Cómo va a actuar Blockchain Alliance?


El grupo cuenta con el apoyo de actores muy imporantes en el negocio del Bitcoin, como ya se ha comentado. Entre estos actores podemos citar a Blockchain, Circle y Coinbase.


Blockchain Alliance, por su parte, colaborará con el Departamento de Justicia, el FBI, los US Marshals, el Servicio Secreto y con más organismos gubernamentales que están estableciendo un cerco estrecho de vigilancia al uso de las cadenas de bloques de Bitcoin en el cibercrimen.


Esencialmente, el marco de actuación de Blockchain Alliance se va a centrar en ser una fuente de información, un foro en el que las agencias de la ley se puedan informar con respecto a la tecnología. Otra de las áreas en las que actuarán será ofreciendo “asistencia técnica para dar respuesta a desafíos que se presenten durante las investigaciones”, según han dicho en Coin Center.


La idea es que esta información no sólo ayudará a los distintos departamentos policiales con su trabajo, sino a que las autoridades no cataloguen el Bitcoin como algo intrínsecamente criminal.


Fuente: malavida.com


Noticias de seguridad informática

Monday, 26 October 2015

Nuevo martes de parches de Microsoft

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/seguridad-informatica/nuevo-martes-de-parches-de-microsoft/
TAGS: MICROSOFT

Microsoft ha publicado el boletín mensual de seguridad correspondiente al mes de octubre, que incluye seisactualizaciones de software (tres de ellas críticas) para resolver vulnerabilidades y exposiciones comunes en Windows, Internet Explorer, Edge, Office, Office Services, Web Apps y software de Microsoft Server.





[caption id="attachment_7143" align="alignnone" width="718"]Nuevo martes de parches de Microsoft Nuevo martes de parches de Microsoft[/caption]

Las consecuencias potenciales de estas vulnerabilidades van desde la ejecución remota de código a la divulgación de información. Los parches de seguridad pueden descargarse automáticamente desde Windows Update (o mediante instalación individual desde los enlaces), recomendándose actualizar equipos informáticos a la mayor brevedad. Las vulnerabilidades corregidas son:



  • MS15-106 : (CríticaActualización de seguridad acumulativa para Internet Explorer (3096441) – Esta actualización de seguridad resuelve vulnerabilidades en el navegador web de Microsoft, donde la más grave, podría permitir la ejecución remota de código si un usuario visita una página web especialmente diseñada mediante Internet Explorer. Un atacante que aprovechara esta vulnerabilidad podría conseguir el mismo nivel de derechos de usuario que el usuario actual.

  • MS15-107 : (ImportanteActualización de seguridad acumulativa para Microsoft Edge (3096448) – Esta actualización de seguridad resuelve vulnerabilidades en el nuevo navegador de Windows 10. La más grave podría permitir la divulgación de información si un usuario visita una página web especialmente diseñada mediante Microsoft Edge.

  • MS15-108 : (Crítica) Actualización de seguridad para JScript y VBScript para abordar ejecución remota de código (3089659) – Esta actualización de seguridad resuelve vulnerabilidades en los motores de scripting VBScript y JScript en Microsoft Windows. La más grave podría permitir la ejecución remota de código si un atacante emplea un sitio web especialmente o aprovecha un sitio web comprometido y luego convence a un usuario para ver el sitio web. Un atacante también podría incrustar un control ActiveX marcado como “seguro para inicialización” en una aplicación o documento de Microsoft Office que utiliza el motor de renderizado de IE.

  • MS15-109 : (ImportanteActualización de seguridad para Windows Shell para Dirección de ejecución remota de código (3096443) – Esta actualización de seguridad resuelve vulnerabilidades en Microsoft Windows que podrían permitir la ejecución remota de código si un usuario abre un objeto de la barra de herramientas especialmente diseñado en Windows o un atacante convence a un usuario para ver contenido en línea especialmente diseñado.

  • MS15-110 : (ImportanteActualizaciones de seguridad para Microsoft Office para abordar ejecución remota de código (3096440) – Esta actualización de seguridad resuelve vulnerabilidades en Microsoft Office. La más grave de ellas permitiría la ejecución remota de código si un usuario abre un archivo de la suite especialmente diseñado.

  • MS15-111 : (ImportanteActualización de seguridad que aborda la elevación de privilegios en el kernel de Windows (3096447) – Esta actualización de seguridad resuelve vulnerabilidades en Microsoft Windows. La más grave permitiría la elevación de privilegios si un atacante inicia sesión en un sistema afectado y ejecuta una aplicación especialmente diseñada.


Fuente: muyseguridad.net
Noticias de seguridad informática

Saturday, 24 October 2015

Remote Root, un problema subestimado que todavía existe

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/seguridad-informatica/remote-root-un-problema-subestimado-que-todavia-existe/
TAGS: remote root

En el marco de la conferencia de seguridad ekoparty que estamos cubriendo en Argentina, Juliano Rizzo, como ya lo había realizado en ediciones anteriores, deleitó a los espectadores que se quedaron hasta el final de una larga jornada de charlas de alta calidad técnica. Su ponencia no estaba publicada en el cronograma, quizás porque incluyó la exposición de un nuevo 0-day, o quizás porque realmente fue descubierto en las últimas horas.


Lo cierto es que, una vez más, Juliano se llevó la ovación de toda la sala.


Juliano_Rizzo



¿Qué es Remote Root?


Remote root, o el hecho de ser root de forma remota, sin lugar a dudas, es el objetivo de todo proceso de pentesting. En su exposición, Juliano  demostró cómo mediante la explotación de una antigua técnica como es el SSRF (Server Side Request Forgery) pudo tomar el control del servidor, a partir de la modificación de algunas peticiones en Cisco Finesse. Este es un agente y supervisor deescritorio diseñado para mejorar la experiencia de atención al cliente.


Mediante un ataque SSRF a un equipo vulnerable se puede reenviar peticiones maliciosas a la red interna, y esta técnica es muchas veces utilizada para sortear firewalls y sistemas IDS. En este caso, se utilizó como proxy pudiendo acceder a intranet, DMZ o en este caso a LocalHost, es decir, al servidor local, pero como si estuviera dentro de la red.



¿En dónde es común observarlo?


Juliano habló acerca de la seguridad en algunos servicios que venden “enlatados” de servidores preconfigurados, en donde muchas veces, para que todo funcione de forma correcta, corren aplicaciones con privilegios y permisos de root.


No es este el único problema, sino que también en muchos casos vienen con servicios con claves por defecto, demasiados puertos abiertos, sin configuración de firewalls, los módulos no se encuentran actualizados y en ocasiones también se utilizan herramientas de terceros – pero hay veces en las que los desarrolladores no saben realmente de qué manera trabajan a pesar de que las utilizan.



La demostración


Como podemos ver en la siguiente imagen, la plataforma de Cisco Finesse fue la elegida para probar estas vulnerabilidades o bugs.


Cisco_Finesse_vuln


Utilizando una aplicación proxy como Burp, se demostró de qué forma se podía modificar las peticiones, remplazando cookies e interactuando con diversos servicios instalados con configuraciones por defecto. Así, finalmente, se sube una Shell con el fin de tomar el control como root en el servidor en cuestión.


Juliano_Rizzo2Uno de los principales falsos mitos en seguridad informática es que en la actualidad los servidores ya no tienen grandes vulnerabilidades, y que para que un atacante logre su objetivo, el único camino es explotar el vector más débil – que en este caso serían los usuarios finales.


Claramente, esta presentación dejo en jaque estemito, haciendo repensar o reflexionar a los administradores de seguridad informática acerca de los productos de una marca confiable que también pueden tener grandes fallas en la seguridad de sus aplicaciones y servicios.


Dejando a la luz contraseñas por defecto y/o permisos de root a cualquier aplicación, se expone toda la intranet y DMZ de una empresa, evadiendo los controles de firewalls e IDS.


“Los exploits de remote root son todavía posibles. Una vulnerabilidad simple y común puede ser el primer paso para comprometer por completo la red“, anunciaba Juliano en relación a su presentación. Y al parecer, se trata de un problema subestimado que hay que considerar.


Fuente: www.welivesecurity.com


Noticias de seguridad informática

Friday, 23 October 2015

El Tribunal de Justicia de la Unión Europea incluye a Bitcoin en la categoría de divisas tradicionales y otros medios de pago, ¿qué significa?

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/tecnologia/el-tribunal-de-justicia-de-la-union-europea-incluye-a-bitcoin-en-la-categoria-de-divisas-tradicionales-y-otros-medios-de-pago-que-significa/
TAGS: Bitcoin

A pesar de que hace solo un mes la Commodity Futures Trading Commision (la Comisión para el Comercio de Futuros de Mercancías o CFTC por sus siglas en inglés) de los Estados Unidos anunció que empezaría a considerar a Bitcoin como un bien equiparable al petróleo, el oro y/o el café –entre otros- parece que la Unión Europea no se muestra de acuerdo con esta clasificación.


De hecho, el TJUE (Tribunal de Justicia de la Unión Europea) ha decidido equiparar este dinero virtual a las divisas tradicionales, los billetes de banco y las monedas “que sean medios legales de pago”. Una clasificación que no solo se encuentra en el lado opuesto de la americana sino que contrasta con el criterio de otras instituciones como el Banco Central Europeo (BCE) y otros gobiernos de los 27.



Bitcoin, la nueva clasificación




Así, su sentencia, que establece que los servicios de canje de la criptomoneda deben estar exentos de IVA, nace fruto de una cuestión planteada por el Tribunal Supremo de Suecia que, precisamente, preguntaba si el cambio de bitcoins por divisas debía estar sujeta a este impuesto. Justo es esta clasificación citada la que se lo permite.


"Las operaciones de cambio de divisas tradicionales por unidades de la divisa virtual «bitcoin» (y viceversa) son prestaciones de servicios realizadas a título oneroso" determina el dictamen. “Estas actividades están exentas de IVA en virtud de la disposición de la normativa europea sobre las operaciones relativas a las divisas, los billetes de banco y las monedas que sean medios legales de pago”, matiza.




[caption id="attachment_7125" align="alignnone" width="640"]Bitcoin Bitcoin[/caption]

La decisión protagonista de esta noticia, sin embargo, facilitará la puesta en marcha de algunas iniciativas, como la que pretende la nueva alcaldesa de Barcelona, Ada Colau, que quiere llevar la criptomoneda a los comercios de la ciudad. Una idea, por cierto, cuestionable si tenemos en cuenta la lenta adopción de Bitcoin y las previsiones que establece CoinDesk al respecto.


Un crecimiento que también podría verse mermado por esta nueva clasificación que contrasta tremendamente con la estadounidense (como comentábamos) y que genera cierta desconfianza (sobre todo si la sumamos a las advertencias sobre su inestabilidad del BCE) en un momento en el que su precio se ha disparado hasta los 270 dólares.



Fuente: genbeta.com


Noticias de seguridad informática

Fitbit se puede hackear en 10 segundos, según un investigador

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/vulnerabilidades/fitbit-se-puede-hackear-en-10-segundos-segun-un-investigador/
TAGS: fitness, wearable

Axelle Apvriel, investigadora de seguridad de la empresa Fortinet, ha señalado que las pulseras cuantificadoras de fitness Fitbit se pueden hackear por bluetooth en sólo 10 segundos a causa de una vulnerabilidad registrada en el cifrado y descifrado de información.




[caption id="attachment_7103" align="alignnone" width="624"]Fitbit se puede hackear en 10 segundos, según un investigador Fitbit se puede hackear en 10 segundos, según un investigador[/caption]

Según ha informado el portal The Register, los informes que alertan acerca de este agujero de seguridad ponen de manifiesto que un hacker puede inyectar malware en un Fitbit accediendo a través de la conexión bluetooth en 10 segundos.


Para llevar a cabo el ataque es necesario que el usuario malintencionado esté cerca del dispositivo para establecer la conexión, pero dado que la infección se produce tan deprisa no hace falta nada más que una proximidad de una duración fugaz.





Una vez que la pulsera de actividad haya sido infectada con éxito, el software malicioso que haya elegido el hacker se propagará también a los ordenadores con los que se conecte, independientemente de que el dispositivo se reinicie. Además, el virus también tiene la capacidad de extenderse a otros Fitbit.


Según explica The Register, los informes con este fallo de seguridad fueron emitidos el pasado mes de marzo, pero la vulnerabilidad todavía no ha sido corregida. La compañía ha lanzado un comunicado en el que indica que "nos centramos en la protección de la privacidad del consumidor y en mantener seguros sus datos. Creemos que los problemas de seguridad que han sido reportados son falsos y que los dispositivos Fitbit no se pueden emplear para infectar a otros usuarios con malware".


La investigadora Axelle Apvriel, que es respetada en el sector de la seguridad informática y cuenta con reconocido prestigio, ha publicado un vídeo en YouTube que recoge cómo se puedeinyectar el virus en el Fitbit y demuestra que la infección persiste durante varios mensajes. Te lo dejamos a continuación:



Source: Computerhoy.com


Noticias de seguridad informática

Thursday, 22 October 2015

¿Tarjetas que aceptan cualquier PIN? Así se hackean chip-and-PIN tarjetas de crédito

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/hacking-incidentes/tarjetas-que-aceptan-cualquier-pin-asi-se-hackean-chip-and-pin-tarjetas-de-credito/
TAGS: chip-and-PIN tarjetas de crédito, hack de tarjetas de crédito
Hace cuatro años una docena de tarjetas de crédito equipadas con tecnología chip-and-PIN fueron robadas en Francia. En mayo de 2011 un grupo de banca se dio cuenta de que esas mismas tarjetas se usaron en Bélgica, algo que no debería haber sido posible sin los PINs de los propietarios. Aquí la policía decidió intervenir.

Entonces la policía obtuvo el número IMSI de las tarjetas y las localizaciones donde se usaron —así como las veces que se usaron—, y después compararon los IMSI con números de tarjetas SIM. Con esa información se pudo arrestar a una mujer de 25 años portando un gran número de artículos destinados al mercado negro —principalmente tabaco—. Después de su arresto se detuvo a cuatro miembros más de esta red de fraudes, entre ellos el ingeniero que diseñó el sistema de hacking de las tarjetas de crédito y un grupo de investigadores de seguridad franceses considerados como lo más sofisticado de los fraudes con tarjeta de crédito visto hasta ahora por las autoridades.

Además de las 25 tarjetas de crédito robadas, también se incautaron 5.000 euros en efectivo. El resultado total de toda la operación de fraude se sitúa en torno a los 600.000 euros, con más de 7.000 transacciones independientes con 40 tarjetas diferentes.

Esta es la forma de hackear una tarjeta de crédito con un chip FUNEsta es la forma de hackear una tarjeta de crédito con un chip FUN

Parecía que este método de autenticación de tarjetas de crédito era el más seguro, pero está claro que, al menos durante un tiempo, alguien consiguió saltarse las normas. En este artículo vamos a contarte cómo lo hicieron.

Las tarjetas aceptaban cualquier PIN


Otro grupo de investigadores de seguridad franceses, en este caso de la École Normale Supérieure, así como del Centre Microélectronique de Provence, realizaron un análisis forense sobre las pruebas —las tarjetas de los arrestos de 2011— para ver cómo funcionaba el esquema del fraude.

Las tarjetas robadas aún eran pruebas del caso, así que los investigadores no pudieron estudiarlas totalmente mediante un desmontaje de los chips. Lo solucionaron escaneándolas con rayos X, de forma que se pudiera ver con qué se había alterado los chips. También analizaron la forma en que los chips de las tarjetas distribuyen la electricidad cuando se utilizan, y usaron programas de sólo lectura para ver qué información se envía a los terminales del punto de venta o PDV.

Este es el chip FUN usado para hackear las tarjetas soldado al chip original

 

Este es el chip FUN usado para hackear las tarjetas soldado al chip original

Chips FUN, la clave del fraude


De acuerdo con el estudio publicado por los investigadores, los defraudadores podían realizar un ataque man-in-the-middle a través de un segundo chip programado para aceptar cualquier PIN, y después soldaban ese segundo chip —conocido como FUN— al original de la tarjeta. Esto aumentaba en 0,3 milímetros el grosor de la tarjeta, lo que dificultaba introducirla en un PDV ligeramente, pero que seguía siendo perfectamente plausible.

Dicho de otra manera: daba exactamente igual el PIN que se quisiera usar en las tarjetas robadas. Con sólo introducirlas, y gracias al chip FUN, los criminales eran capaces de usarlas con total libertad a pesar del ligero aumento de grosor.

Durante un tiempo fue posible violar las medidas de seguridad de las tarjetas de crédito con autenticación por PIN, y con los nuevos métodos de pago contactless por chip NFC vale la pena preguntarse si no será el momento de reevaluar todas las medidas de seguridad que se han tomado en este tema por si las moscas.

 

Hace cuatro años una docena de trarjetas de crédito equipadas con tecnología chip-and-PIN fueron robadas en Francia. En mayo de 2011 un grupo de banca se dio cuenta de que esas mismas tarjetas se usaron en Bélgica, algo que no debería haber sido posible sin los PINs de los propietarios. Aquí la policía decidió intervenir.

Entonces la policía obtuvo el número IMSI de las tarjetas y las localizaciones donde se usaron —así como las veces que se usaron—, y después compararon los IMSI con números de tarjetas SIM. Con esa información se pudo arrestar a una mujer de 25 años portando un gran número de artículos destinados al mercado negro —principalmente tabaco—. Después de su arresto se detuvo a cuatro miembros más de esta red de fraudes, entre ellos el ingeniero que diseñó el sistema de hacking de las tarjetas de crédito y un grupo de investigadores de seguridad franceses considerados como lo más sofisticado de los fraudes con tarjeta de crédito visto hasta ahora por las autoridades.

Además de las 25 tarjetas de crédito robadas, también se incautaron 5.000 euros en efectivo. El resultado total de toda la operación de fraude se sitúa en torno a los 600.000 euros, con más de 7.000 transacciones independientes con 40 tarjetas diferentes.

Esta es la forma de hackear una tarjeta de crédito con un chip FUNEsta es la forma de hackear una tarjeta de crédito con un chip FUN

Parecía que este método de autenticación de tarjetas de crédito era el más seguro, pero está claro que, al menos durante un tiempo, alguien consiguió saltarse las normas. En este artículo vamos a contarte cómo lo hicieron.

Las tarjetas aceptaban cualquier PIN


Otro grupo de investigadores de seguridad franceses, en este caso de la École Normale Supérieure, así como del Centre Microélectronique de Provence, realizaron un análisis forense sobre las pruebas —las tarjetas de los arrestos de 2011— para ver cómo funcionaba el esquema del fraude.

Las tarjetas robadas aún eran pruebas del caso, así que los investigadores no pudieron estudiarlas totalmente mediante un desmontaje de los chips. Lo solucionaron escaneándolas con rayos X, de forma que se pudiera ver con qué se había alterado los chips. También analizaron la forma en que los chips de las tarjetas distribuyen la electricidad cuando se utilizan, y usaron programas de sólo lectura para ver qué información se envía a los terminales del punto de venta o PDV.

Este es el chip FUN usado para hackear las tarjetas soldado al chip originalEste es el chip FUN usado para hackear las tarjetas soldado al chip original

Chips FUN, la clave del fraude


De acuerdo con el estudio publicado por los investigadores, los defraudadores podían realizar un ataque man-in-the-middle a través de un segundo chip programado para aceptar cualquier PIN, y después soldaban ese segundo chip —conocido como FUN— al original de la tarjeta. Esto aumentaba en 0,3 milímetros el grosor de la tarjeta, lo que dificultaba introducirla en un PDV ligeramente, pero que seguía siendo perfectamente plausible.

Dicho de otra manera: daba exactamente igual el PIN que se quisiera usar en las tarjetas robadas. Con sólo introducirlas, y gracias al chip FUN, los criminales eran capaces de usarlas con total libertad a pesar del ligero aumento de grosor.

Durante un tiempo fue posible violar las medidas de seguridad de las tarjetas de crédito con autenticación por PIN, y con los nuevos métodos de pago contactless por chip NFC vale la pena preguntarse si no será el momento de reevaluar todas las medidas de seguridad que se han tomado en este tema por si las moscas.

 

https://www.scribd.com/doc/285907593/Chip-and-PIN-Card-Hack-Analysis

 

Fuente: www.malavida.com
Noticias de seguridad informática

Wednesday, 21 October 2015

Criminales mejoran PoC de ataque de chip y PIN

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/seguridad-informatica/criminales-mejoran-poc-de-ataque-de-chip-y-pin/
TAGS: chip y PIN, tarjetas EMV

En 2010 un equipo computólogos de la Universidad de Cambridge demostró cómo el sistema de chip y PIN utilizado en muchas tarjetas de pago modernas puede ser anulado debido a que los sistemas POS aceptan cualquier PIN como válido; en ese entonces, la asosciación responsable de tarjetas EMV y la Asociación de Tarjetas del Reino Unido calificaron el ataque como "improbable".


Después de todo, los investigadores utilizaron una tecnología de instalación voluminosa que tuvo que ser transportada en una mochila, pero resultó que un año más tarde, un ingeniero con sede en Francia encontró una manera menos obvia de realizar el ataque.


Esta persona soldó un chip Funcard con uno proveniente de una tarjeta robada, después insertó el ambos en el cuerpo de una segunda tarjeta robada.


El chip Funcard fue programado para interceptar y consultar el PIN de los sistemas de punto de venta y devolver una respuesta que dice que el PIN es correcto.


FUNcard chip


La tarjeta no se veía sospechosa y el chip "doble" aún permite insertar la tarjeta en los sistemas de punto de venta.


De esta manera, las tarjetas modificadas fueron utilizadas en Francia por un grupo de estafadores que fueron arrestados en 2011 y 2012, pues las utilizaban repetidamente en los mismos lugares.


Según la revista Wired, las autoridades francesas estiman que antes de ser arrestados, lograron gastar casi 600 mil euros.


Los aspectos técnicos del éxito de este enfoque fueron compartidos por un grupo de investigadores de la École Normale Supérieure (ENS) y la French Alternative Energies and Atomic Energy Commission (CEA). El grupo fue llamado para hacer el análisis forense de las tarjetas utilizadas por los delincuentes una vez que fueron aprehendidos.


Desde este descubrimiento, la EMVCo ha implementado medidas para impedir la explotación de las vulnerabilidades que llevan a este ataque, pero no lo compartirá con el público para que los delincuentes encuentren mayor dificultad al intentar pasar sobre las medidas aplicadas.


Fuente:http://www.seguridad.unam.mx/


Noticias de seguridad informática

Herramienta para test de penetración y stress test de redes inalámbricas

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/importantes/herramienta-para-test-de-penetracion-y-stress-test-de-redes-inalambricas/
TAGS: test de penetración, WPA / WPA2

Hwk es una herramienta para test de penetración y stress test de redes inalámbricas. Ofrece varios modos de trabajo, además, permite simplemente monitorizar las redes inalámbricas para alinear la antena y mejorar la potencia de la señal. Hwk también trabaja con redes cifradas en WPA/WPA2 , pero su función no es romper el cifrado, simplemente explotar las debilidades del nivel 2, en concreto la subcapa MAC , por ejemplo: paquetes desautenticación no verificados.


Herramienta para test de penetración y stress test de redes inalámbricas


Entre sus características destacan:



  • Técnicas de fuzzing.

  • Inundaciones de paquetes de autenticación.

  • Inundaciones de paquetes de desautenticación.

  • Permite realizar alineación de la antena para una mejor potencia de señal.

  • Stress test.

  • Inyección de balizas.

Modos de trabajo:

El modo escáner (--scan).
Modo de escáner se utiliza para recopilar información de los puntos de acceso activos en la zona. La información que se recopila es: las direcciones MAC, revela las conexiones de datos, quién está enviando solicitudes de sondeo y determinar el canal del  punto de acceso.

Inundacion de paquetes de desautenticación (--deauth).
Envía constantemente paquetes desautenticación con la mac de un cliente específico. Si no se especifica ningún canal, hwk lo intenta detectar automáticamente. Si el número de paquetes enviados es similar a (o mayor que) los ACKs, significa que los paquetes de desautenticación se recibieron correctamente.

Inundación de paquetes de autenticación (--auth).
Lanzar una inundación de autenticación contra un punto de acceso específico. De hecho, este modo es muy similar a la inundación desautenticación pero envía falsos paquetes de autenticación, es un ataque de DoS clásico.

Modo de enfoque (--focus).
Modo de enfoque es útil para la alineación de la antena, mostrando la intensidad de la señal, se pueden probar diferentes posiciones de la antena para determinar cuál es la mejor.

Prueba de inyección (--testinject).
Pruebas de inyecciones de paquetes que ayudan a determinar si la inyección funciona correctamente en el canal, o en todos los canales.

Modo repuesta al Fuzzing.
Se inyectan diferentes paquetes que se han llenado utilizando, al azar, etiquetas como: el canal, código de país... con el objetivo de  encontrar debilidades de implementación.

Modo multi-deautenticación (--9).
Escucha con un retardo por defecto de 25 segundos y va saltando de canal, detectando varias conexiones de datos y después envía paquetes deautenticación a todos los integrantes de la conexión detectados.


Fuente:http://www.gurudelainformatica.es/


Noticias de seguridad informática

Utilizan los sitios web con Magento para distribuir malware

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/vulnerabilidades/utilizan-los-sitios-web-con-magento-para-distribuir-malware/
TAGS: Magento

Aunque la alarma saltó a finales de la semana pasada, ha sido esta cuando ha quedado totalmente confirmado que los sitios web de la aplicación de ecommerce difunden malware entre los usuarios. Aunque desde Magento no han realizado ningún comentario al respecto, expertos en seguridad han confirmado que se está utilizando un exploit Neutrino para realizar la redirección.


En un principio, los expertos en seguridad catalogaron la amenaza como una actividad de un aficionado, ya que no ocultó en ningún instante la actividad del archivo neitrino.php, encargado de realizar las redirecciones a sitios web infectados con virus informáticos. Sin embargo, esto era solo el comienzo, ya que después del fin de semana la oleada se ha recrudecido y se han detectado una gran cantidad de ataques inyectando código en forma de iframes en las páginas del servicio.


Los investigadores han realizado investigaciones por separado y al margen de los responsables de la misma, que hasta el momento han decidido no verter ningún tipo de información. Después de varios días han llegado a la conclusión que debe existir alguna vulnerabilidad en el gestor de contenidos de los portales web o bien en alguna extensión que está propiciando la realización del ataque. Tomando este caso como ejemplo, queda de manifiesto lo importante que resulta mantener actualizado el gestor de contenidos y los plugins para así evitar que ciberdelincuentes se aprovechen de fallos de seguridad existentes. En esta ocasión ha sido una página web pero es igualmente aplicable a los usuarios particulares.


En este momento no se puede cuantificar cuántos sitios web están afectados por estos ataques.


DIV



Relación con una vulnerabilidad zero-day detectada en Magento


Aunque oficialmente no se ha confirmado la vinculación, hace algunas semanas se detectó una vulnerabilidad en un complemento que permitía el volcado instantáneo de los productos con sus datos a la tienda en línea. Conocido como Magmi, si los ciberdelincuentes hacen uso de esta vulnerabilidad podrían alterar el código fuente de la página y así incrustar los iframes detectados.


A partir de ahí, el código de Neutrino hace sus función redirigiendo al usuario a páginas web infectadas con virus informáticos, concretamente Andromeda y Gamerue, dos piezas que se utilizan como puerta de entrada a más malware, concretamente troyanos bancarios. Los dos mencionados con anterioridad incorporan keyloggers y formgrabber, por lo que la peligrosidad de entrada ya resulta bastante elevada.


Fuente:http://www.redeszone.net/


Noticias de seguridad informática

Tuesday, 20 October 2015

Un exploit que instala un troyano en varias etapas: análisis detallado

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/malware-virus/un-exploit-que-instala-un-troyano-en-varias-etapas-analisis-detallado/
TAGS: Exploit, troyano

Los investigadores de ESET reciben y analizan miles de muestras nuevas de malware por día. A principios de este año, una de ellas nos llamó la atención porque no se trataba de un archivo ejecutable común, sino que era un archivo de preferencias específico de un programa. Un análisis más detallado reveló rápidamente que de hecho era un malware que aprovechaba una vulnerabilidad del software para ejecutar código malicioso.


El presente artículo analiza en profundidad el funcionamiento del exploit y luego describe brevemente el payload final.



Información general sobre el exploit


El exploit aprovecha una vulnerabilidad de desbordamiento de búfer (buffer overflow) en la versión de demostración de un programa llamado Uploader!. Este último, desarrollado por ksoft, le permite al usuario subir archivos a Internet a través del protocolo FTP. Las preferencias (como el nombre del host FTP y el nombre de usuario) se guardan en un archivo llamado uploadpref.dat.


Los investigadores de ESET analizaron un archivo de preferencias que se usaba para infectar el sistema cuando se iniciaba el programa Uploader!. Hay un exploit de prueba de conceptodisponible online desde marzo de 2014.



La vulnerabilidad explotada


El archivo de preferencias de Uploader! está compuesto por una serie de cadenas separadas por líneas, que identifican, por ejemplo, el nombre de usuario y el nombre de host del servidor al cual se subirán los archivos. La aplicación utiliza la secuencia de entrada estándar de C++ (std::ifstream) para leer el archivo uploadpref.dat desde el disco.


Mientras lee las cadenas del archivo, verifica que todos los campos tengan un tamañoadecuado; para ello usa in_stream.get(buffer, sizeof(buffer), ‘\n’). Sin embargo, el último campo que contiene las contraseñas cifradas usan la siguiente línea de código:in_stream >> buffer, donde el búfer se encuentra en la pila de ejecución. Si no se especificain_stream.width(…​), entonces in_stream >> buffer copiará el contenido del archivo a la pila de ejecución hasta llegar a un un espacio en blanco o al Fin del archivo.




[caption id="attachment_7068" align="alignnone" width="704"]Llamada problemática a in_stream >> encrypted_password Llamada problemática a in_stream >> encrypted_password[/caption]

Cuando ESET le advirtió a Ksoft sobre este problema, la empresa lanzó una nueva versión deUploader! (3.6) dentro de las 24 horas de haber recibido la notificación.



Cómo se ejecuta el código


En el caso del exploit que analizamos, el contenido del archivo se copia a la pila de ejecución,excediendo la variable del búfer, que tiene un tamaño fijo de 80 bytes. Sobrescribe el mecanismo de Structured Exception Handler (SEH, del inglés, Controlador de Excepciones Estructurado) y copia el primer shellcode.


La copia se detiene cuando se produce una excepción al alcanzar el final de la pila de ejecución, lo que genera un error de página, ya que intenta escribir en una dirección no válida. Luego llama al controlador de excepciones manejado por el atacante. El gadget de instrucciones en el espacio de la dirección de Uploader! es pop ecx; pop ecx; ret. Por último, el gadget permitirá la ejecución del primer shellcode de la pila.




[caption id="attachment_7069" align="alignnone" width="603"]Vista en el depurador una vez que se produce la excepción Vista en el depurador una vez que se produce la excepción[/caption]

Los exploits basados en mecanismos de SEH no son nuevos. Si te interesa conocer los detalles, Corelan Team tiene un muy buen artículo sobre este tema en su sitio web. La protecciónStructured Exception Handling Overwrite Protection (SEHOP) evita que se ejecute este tipo deexploits, pero no está habilitada en la aplicación Uploader! y solo está habilitada para todo el sistema en Windows Server. Se puede cambiar esta configuración en la interfaz del usuario de EMET.


Es probable que el exploit esté basado en el de prueba de concepto mencionado arriba, dado que, aunque hay 178 gadgets pop; pop; ret en el código, este usa exactamente el mismo encontrado en 0x0040bf38. Las otras partes, como el shellcode y las etapas subsiguientes, fueron agregadas por el autor del malware.




[caption id="attachment_7070" align="alignnone" width="615"]Encabezado uploadpref.dat tomado del exploit de prueba de concepto Encabezado uploadpref.dat tomado del exploit de prueba de concepto[/caption]

[caption id="attachment_7071" align="alignnone" width="615"]Encabezado uploadpref.dat tomado del archivo de preferencias malicioso Encabezado uploadpref.dat tomado del archivo de preferencias malicioso[/caption]

Etapas


El exploit pasa por varias etapas antes de ejecutar el payload final. Esta sección describe brevemente cada una de ellas.



Etapa 0


Como ya mencionamos, el controlador SEH apunta a un gadget pop ecx; pop ecx; ret que pasará el flujo del control a nuestro primer shellcode.


Estas primeras instrucciones desempaquetan la siguiente etapa, a la que llamamos shell_code_1. Calcula un valor de un byte a partir de una palabra de dos bytes y lo escribe en la misma ubicación de memoria. Este método permite cifrar la Etapa 1 en el archivo utilizando solamente letras en mayúscula.




[caption id="attachment_7072" align="alignnone" width="941"]Función de desempaquetado para el primer shellcode Función de desempaquetado para el primer shellcode[/caption]

Etapa 1


Cuando termina esta etapa, todo el contenido del archivo uploadpref.dat se lee en memoria. Al principio no es obvio, porque el código busca funciones para la API de Windows en la estructura de datos PEB utilizando los hashes de los nombres y las funciones DLL. Calcula la suma de cada representación hexadecimal individual de los caracteres en minúsculas que forman el nombre de la función y la multiplica por dos.


A continuación mostramos la versión en Python del algoritmo de hash:


def hash_name(name):   result = 0   for c in name:       result = 2 * (result + (ord(c) | 0x60))   return result


Curiosamente, este algoritmo de hash es el mismo que se utiliza como ejemplo en un libro de Chris Anley y John Heasman titulado “The Shellcoder’s Handbook: Discovering and Exploiting Security Holes” (El Manual del programador de shellcode: Cómo descubrir y aprovechar fallas de seguridad). La implementación de C se explica en la página 145 de la Segunda Edición.


Tras resolver las llamadas a las funciones API, shell_code_1 asigna dos búfers del mismo tamaño que el archivo uploadpref.dat. El contenido completo del archivo se copia en el primer búfer, mientras que el segundo se deja intacto. Luego pasa al primer bloque del offset 0x10, donde se encuentra la siguiente etapa. Éste es un resumen en pseudo C:


HANDLE f = CreateFileA(“uploadpref.dat”, GENERIC_READ, FILE_SHARE_READ, 0, OPEN_EXISTING, 0, 0);DWORD uploadpref_size = GetFileSize(f, 0);char * memblock1 = VirtualAlloc(NULL, uploadpref_size, MEM_COMMIT | MEM_RESERVE, PAGE_READWRITE);char * memblock2 = VirtualAlloc(NULL, uploadpref_size, MEM_COMMIT | MEM_RESERVE, PAGE_READWRITE);ReadFile(f, memblock1, uploadpref_size);stage_2 = &memblock1[0x10];stage_2(&memblock1[0x650], memblock2);// también se hace referencia a memblock2 de modo que, al volver de la Etapa 2 (stage_2), vaya al offset 0 de memblock2



Etapa 2


La función descomprime un búfer en 0x650 en el búfer memblock2 asignado anteriormente con un algoritmo un poco ineficiente. Este búfer puede llegar a tener una longitud de 3.632 bytes. A continuación, el flujo del control se redirige al comienzo de memblock2, que ahora contiene la Etapa 3.



Etapa 3


Esta etapa vuelve a abrir uploadpref.dat. Desde allí descomprime un archivo PE, comenzando en el offset 0x1600, y lo coloca en el nuevo búfer asignado. El algoritmo de descompresión es el mismo que se usó en la Etapa 2.


Luego crea un nuevo proceso en modo suspendido, e inyecta y ejecuta el nuevo archivo ejecutable.


El archivo PE extraído de uploadpref.dat tiene una longitud de 56.832 bytes, y su función es descargar y ejecutar una herramienta maliciosa de acceso remoto.



Información general sobre el archivo malicioso uploadpref.dat


Para resumir, a continuación mostramos el contenido completo del archivo malicioso uploadpref.dat para cada una de las distintas etapas de ejecución.
















































OffsetTamaño (en bytes)Descripción
0x011Primer campo
0x0B4"1\n", lo que significa que el archivo contiene una contraseña (para activar la vulnerabilidad)
0x0F1A' (padding)
0x10138Etapa 2
0x9A326Cero bytes (padding)
0x1E012A' (padding)
0x1EC4Salta a la Etapa 0
0x1F04Apunta a un gadget pop pop ret
0x1F466Etapa 0
0x236832Etapa 1 empaquetada con marcador de finalización (0xFFFF)
0x576218Cero bytes (padding)
0x6503952Etapa 3 comprimida
0x15C064Cero bytes (padding)
0x1600870912Archivo PE comprimido


Payload malicioso


Cuando logra infectar el equipo correctamente, se crea un nuevo proceso con el archivo PE integrado en el archivo uploadpref.dat. Este nuevo proceso descarga y ejecuta la etapa final: una herramienta de administración remota (RAT, del inglés) basada en la RAT Gh0st.



Downloader de la primera etapa


Persistencia


Para mantener el nivel de persistencia en el sistema, este módulo copia el archivo exploit original y el Upload 3.5!.exe con el nombre msfeedssync.exe en el directorio Datos de programa del usuario. A continuación, agrega un acceso directo al archivo ejecutable en la carpeta de inicio del menú Inicio. Al reiniciar el equipo, el exploit se volverá a accionar y se repetirán todos los pasos.


Se instalan los siguientes archivos para mantener el nivel de persistencia:















Archivos instaladosRutaHashes
uploadpref.datC:\Documents and Settings\%USER%\Application Data\16d842b8746944cd29cea6237e210be2d185cbe2
msfeedssync.exeC:\Documents and Settings\%USER%\Application Data\e2fc91f82b7db3221502d2582ac3be7a5b663498 (itself)
msfeedssync.lnkC:\Documents and Settings\All Users\Start Menu\Programs\Startup\0fff6640f72115021f0e5d0514921eb856948f30
shortcutTarget

Descarga del payload


Cuando se asegura la persistencia del código, el archivo ejecutable trae el payload malicioso a través de HTTP. Se inician dos subprocesos con un intervalo de 30 minutos. Debido al usuario y al agente HTTP empleados en cada subproceso, llamamos al primer subproceso Alan_function y al segundo, BFunction.


Cada subproceso intenta descargar el payload desde direcciones URL distintas utilizando el mismo nombre de dominio. Cuando se descomprime el archivo descargado, las dos funciones inician el código de una forma diferente:



  • Alan_function espera un archivo PE ejecutable y simplemente lo ejecutará.

  • BFunction espera un archivo DLL que cargará la función exportada TestFunction.













URLUsuario-AgenteContenido de SHA-1 (hasta marzo de 2015)Nombre de detección
http://biless.com/alan/19437192.txtAlan_Functione440eea118d1701ad7886af6c93ef7102326d4c8Win32/Farfli.PZ
http://biless.com/alan/Alan.txtBFunctionDesconocido

 

En marzo de 2015 observamos que solo se empleaba el primer método de distribución. El archivo ejecutable descargado que analizamos estaba estrechamente relacionado con eldownloader de la primera etapa, ya que su método de ofuscación incluye desempaquetar un archivo DLL, cuya función exportada se llama TestFunction. Este archivo DLL podría haberse entregado directamente al subproceso BFunction para obtener los mismos resultados.


El payload final es un troyano basado en la RAT Gh0st.



El troyano


La etapa final consiste en colocar una variante del malware de espionaje remoto basado en laRAT Gh0st. La herramienta Gh0st ya fue analizada con detalle y documentada por varios investigadores en el pasado. Si te interesa conocer más sobre esta herramienta, consulta los vínculos a las investigaciones relevantes incluidos en la sección Referencias al final de este artículo.


El protocolo de red de la RAT Gh0st incluye una cadena de cinco caracteres que identifica la campaña. Esta variante de Gh0st usa el código de campaña A1CEA. No queda claro si la campaña A1CEA le corresponde específicamente a un grupo. Encontramos algunas referencias online relacionadas con A1CEA:



  • Muestra encontrada en diciembre de 2013 con este código de campaña en Malwr

  • Regla de SNORT agregada el 3 de marzo de 2015

  • Análisis de Wins en Corea

El servidor de C&C de la muestra es www.phw2015.com en el puerto TCP 2015. En el momento en que se escribe este artículo, el dominio resuelve a la IP 112.67.10.110.


Otras modificaciones menores a la fuente de la RAT Gh0st incluyen:



  • La presencia de una función que recopila las especificaciones del equipo.

  • La presencia de la función exportada “TestFunction”, que carga los componentes maliciosos.

Todas las funcionalidades de la RAT Gh0st están presentes y confirmamos que el registrador de pulsaciones estaba habilitado.



Conclusión


Este es un exploit extraño porque Uploader! no es una aplicación de uso masivo. Nos faltaría algo de contexto para entender con claridad qué es lo que ocurrió. ¿Habrán utilizado este exploit para engañar a un objetivo específico? El vector de ataque inicial tampoco es claro. ¿Habrán utilizado Ingeniería Social para convencer al usuario de que debía reemplazar el archivo de preferencias original por este otro archivo “especial”? ¿Habrán usado esta técnica solamente para ocultar la persistencia del malware?



Agradecimientos


Agradecemos a Hugo Genese por su contribución a este análisis.



Referencias


Michael G. Spohn (McAfee), Know Your Digital Enemy: Anatomy of a Gh0st RAT (Conoce a tu enemigo digital: Anatomía de una RAT GH0st), http://www.mcafee.com/ca/resources/white-papers/foundstone/wp-know-your-digital-enemy.pdf, 2012


Snorre Fagerland (Norman), The many faces of Gh0st Rat (Las diversas caras de la RAT Gh0st), http://download01.norman.no/documents/ThemanyfacesofGh0stRat.pdf, 2012



Indicadores de sistemas comprometidos


Muestras




















SHA-1TipoNombre de detección de ESET
16d842b8746944cd29cea6237e210be2d185cbe2DAT fileWin32/Exploit.Ksoft
e2fc91f82b7db3221502d2582ac3be7a5b663498Win32 PEWin32/TrojanDownloader.Agent.BGF
e440eea118d1701ad7886af6c93ef7102326d4c8Win32 PEWin32/Farfli.PZ
d7d65d44657af68ddeba821b4adee6285bcdb418Win32 PEWin32/Farfli.PZ
6b5095fcd9b230a34f9e51120c36a19908ef3885Win32 PEWin32/Farfli.PZ

Otros




Mutexwww.phw2015.comwww.phw2015.comwww.phw2015.com

Red











HostPuertoDescripción
www.phw2015.com2015Gh0stRAT C&C server
www.biless.com80Usado para descargar el payload RAT Gh0st

Ver también


  • Emerging Threat’s snort rule

2809928 – ETPRO TROJAN PCRat/Gh0st CnC Beacon Request (A1CEA) (trojan.rules)


Fuente:http://www.welivesecurity.com/


Noticias de seguridad informática

Una vulnerabilidad en LibreSSL permite ataques DoS y ejecución de código

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/vulnerabilidades/una-vulnerabilidad-en-libressl-permite-ataques-dos-y-ejecucion-de-codigo/
TAGS: LibreSSL, OpenSSL

LibreSSL es una de las versiones derivadas de OpenSSL desarrolladas tras la serie de vulnerabilidades críticas detectadas en esta librería. Esta nueva librería pretendía ser mucho más segura y robusta que su predecesora, así como tener un mantenimiento a la altura que permitiera proteger lo mejor posible las conexiones seguras entre clientes y servidores. Estas librerías, al igual que OpenSSL, son de código abierto y garantizan la seguridad y el anonimato de las conexiones frente a las alternativas de código cerrado.


Un grupo de investigadores de seguridad que estudiaban la seguridad de la plataforma OpenSMTPD han descubierto, por error, un fallo de seguridad que afecta a todas las versiones de LibreSSL, incluida la más reciente. Este fallo de seguridad permite una fuga de memoria en los sistemas afectados, lo que puede llegar a facilitar al pirata informático las claves secretas utilizadas durante las conexiones.


Una vulnerabilidad en LibreSSL permite ataques DoS y ejecución de código

Mientras los investigadores de seguridad estudiaban diferentes formas de ejecutar código remoto en OpenSMTPD, empezaron a buscar posibles vulnerabilidades en las librerías implementadas en esta herramienta, dándose cuenta de un fallo que permitía un desbordamiento de búfer en la función OBJ_obj2txt de las librerías LibreSSL.


Este fallo de seguridad no es tan grave como los fallos detectados en OpenSSL hace ya un tiempo, pero sí podría permitir a piratas informáticos realizar ataques de denegación de servicio y, probablemente, ejecutar código aleatorio en los sistemas afectados.


Según los expertos de seguridad, esta vulnerabilidad afecta a todas las versiones de LibreSSL, incluidas la versión 2.0, primera compilación recomendada para uso público, y la 2.3.0, versión más reciente de la librería publicada hace menos de un mes. Por suerte, OpenSSL no se ha visto afectado por esta vulnerabilidad, por lo que solo deben aplicar las medidas de seguridad aquellos usuarios que utilicen conexiones seguras con las librerías afectadas.


Por el momento no hay una solución disponible, aunque el equipo de desarrollo de LibreSSL ha confirmado que ya se encuentra trabajando en solucionarla. El parche de seguridad no tardará en llegar, y una vez lo haga, es de vital importancia que todos los usuarios actualicen sus librerías a la última versión para evitar que esta vulnerabilidad, ahora pública, pueda ser utilizada por los piratas informáticos, sin embargo, tal como ha ocurrido en otras ocasiones, la vulnerabilidad ahora es pública, por lo que es muy probable que piratas informáticos busquen diferentes formas de explotarla hasta que se lance la versión definitiva con este fallo solucionado, por lo que se recomienda estar alerta para evitar caer víctimas de este fallo.


Para comprobar si hay una nueva versión y descargarla debemos acceder a su página web principal.


Fuente:http://www.redeszone.net/


Noticias de seguridad informática

Así es como un joven norteamericano dice haber hackeado el e-mail del director de la CIA

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/hacking-incidentes/asi-es-como-un-joven-norteamericano-dice-haber-hackeado-el-e-mail-del-director-de-la-cia/
TAGS: CIA, CIA John Brennan

En medio del escándalo por la filtración de los papeles con información confidencial sobre las operaciones secretas norteamericanas con drones militares realizadas por 'un segundo Snowden', en las últimas horas un adolescente norteamericano le ha echado más leña al fuego después de asegurar que ha hackeado el correo electrónico del director de la CIA John Brennan.


La noticia saltó a la luz hace día y medio después de ser publicada en exclusiva por el New York Post, el periódico con el que contactó el joven, pero en las últimas horas hemos podido saber más detalles sobre cómo lo consiguió este muchacho primero engañarndo a AOL, que era donde tenía Brennan su correo personal, para después acceder a él directamente.



¿Cómo lo consiguió?


cia

Tal y como este adolescente de menos de 20 años le ha contado a Wired esta madrugada, su primer paso fue el de realizar una búsqueda inversa para averiguar que el número de Brennan pertenecía a la operadora Verizon. A continuación se hizo pasar por un técnico de la operadora y llamó a la central de la compañía para pedir los datos personales del director de la CIA.


El joven dijo que trabajaba para Verizon y que no podía acceder a la base de datos porque las herramientas online estaban caídas, y que necesitaba conocer los de un cliente al que tenía en espera. Fue capaz de utilizar un código único de los que Verizon le asigna a cada empleado, lo que le abrió las puertas a obtener su número de cuenta, su PIN de cuatro dígitos, el número de backup de su cuenta de usuario, su correo electrónico y los últimos cuatro dígitos de su tarjeta de crédito.


Acto seguido llamaron a AOL diciendo que su cuenta había sido bloqueada. En el proveedor de correo les preguntaron por los últimos cuatro dígitos de la cuenta de correo, por su nombre y por el teléfono de correo asociada a la cuenta, y gracias a los datos obtenidos de Verizon fueron capaces de darles todos esos datos, de manera que el 12 de octubre consiguieron entrar en la cuenta de correo.


Una vez en la cuenta, los atacantes consiguieron leer y sustraer docenas de correos electrónicos y material confidencial, reabriendo no sólo el debate sobre la cantidad de información que las operadoras tienen sobre nosotros sino también el de los cargos públicos que utilizan correos privados para realizar su trabajo, algo que en aquel país no está permitido.



Los debates sobre la mesa


En Estados Unidos muchos altos cargos públicos no tienen permitido utilizar cuentas privadas de correo para trabajar. Esto es así no sólo por los evidentes motivos de seguridad que hemos visto hoy, sino porque en aquel país los correos del presidente, el secretario de estado o el director de la CIA no les pertenecen a ellos, y son un bien público que tratan como documentos históricos.


Por esta misma razón la candidata demócrata Hillary Clinton se ha visto envuelta recientemente en un escándalo por haber utilizado un correo privado cuando ejercía de Secretaria de Estado, y es uno de los alicientes que le están añadiendo picante a este último escándalo.


Este joven aseguró no ser musulmán, y que actuó como protesta por la posición de Estados Unidos en el conflicto entre Israel y Palestina. Pero independientemente de sus motivaciones las autoridades norteamericanas ya le están buscando, y hay voces que aseguran que su castigo podría ser ejemplar para tratar de disuadir a los demás para que no vuelvan a darse este tipo de casos.


Fuente:http://www.genbeta.com/


Noticias de seguridad informática