ElevenPaths Boletín semanal de ciberseguridad 16-22 enero Actualización del compromiso de SolarWinds Se han dado a conocer nuevos detalles acerca del compromiso a la cadena de suministro de software desvelado en diciembre: Los investigadores de FireEye han publicado...
Amador Aparicio CVE 2020-35710 o cómo tu RAS Gateway Secure revela el espacio de direccionamiento interno de tu organización Parallels RAS (Remote Application Server), es una solución de entrega de aplicaciones e infraestructura de escritorio virtual (VDI) que permite a empleados y clientes de una organización acceder y...
ElevenPaths GSMA IoT Security Champion: Premio a nuestro equipo de Seguridad IoT ¡Estamos de enhorabuena! Nuestro equipo de Seguridad IoT, dedicado a ciberseguridad especializada en el cada vez más relevante mundo del Internet of Things, ha recibido un merecido premio por...
ElevenPaths Cybersecurity Shot_Casos reales sobre bases de datos filtradas en la red Te traemos casos reales sobre bases de datos filtradas en la red. Nuestro equipo de analistas te descubre a través de estos nuevos informes de investigación los ultimos casos...
Gonzalo Álvarez Marañón Criptografía chivata: cómo crackear dispositivos inviolables La llave de seguridad Titan de Google o la YubiKey de Yubico son el último grito en seguridad de autenticación multifactor. Según la propia página de Google: «Las llaves cuentan...
ElevenPaths Boletín semanal de ciberseguridad 16-22 enero Actualización del compromiso de SolarWinds Se han dado a conocer nuevos detalles acerca del compromiso a la cadena de suministro de software desvelado en diciembre: Los investigadores de FireEye han publicado...
ElevenPaths Cybersecurity Shot_Fuga de Información de Comelec Cybersecurity Shot es un tipo de informe de investigación sobre casos de actualidad relacionados con bases de datos filtradas en la red así con algunas recomendaciones que podrían haberlo evitado. Cada entrega trae...
ElevenPaths Un recorrido por el “metasploit” de la NSA y sus exploits para Windows En estos días, una de las noticias que ha generado mucho movimiento en la comunidad de seguridad ha sido la nueva publicación de TheShadowBrokers relacionada con el hackeo que...
Gabriel Bergel Zombis Digitales y la Ingeniería Social Este post trata sobre Zombis e ingeniería social, la imagen de la figura 1 es gratis y libre de derechos de uso, siempre cuando la referencies, y me encantó....
Gonzalo Álvarez Marañón Criptografía chivata: cómo crackear dispositivos inviolables La llave de seguridad Titan de Google o la YubiKey de Yubico son el último grito en seguridad de autenticación multifactor. Según la propia página de Google: «Las llaves cuentan...
Sergio De Los Santos Los métodos para bloquear (si quieres) DoH en la red interna DoH (DNS over HTTPS) es la solución por la que apuesta Firefox pero ¿rompe más de lo que arregla? Cómo deshabilitar DoH en Chrome y Firefox, en este post.
Área de Innovación y Laboratorio de ElevenPaths KORDO, nuestra tecnología para solucionar el registro de jornada (apoyada en Latch) Desde el pasado 12 de mayo, las empresas deben registrar diariamente la jornada de sus trabajadores, tras la aprobación por el Gobierno del Real Decreto-ley de medidas urgentes de...
APTualizador (II): deconstruyendo el rootkit Necurs y herramientas para detectarlo y eliminarloElevenPaths 17 febrero, 2020 Este informe ha sido realizado por Roberto Santos y Javier Rascón del equipo de investigadores del CSIRT-SCC (Security Cyberoperations Center) con la colaboración de ElevenPaths. A finales de junio de 2019, una importante empresa española sufrió un ataque que afectó a miles de sus equipos. Fue tal la magnitud del ataque que nos motivó a comenzar esta investigación, de la que ya escribimos el artículo APTualizador (I) en julio de 2019. En aquel momento nos llamó la atención que en un primer análisis rápido observamos que la muestra descargaba la actualización de seguridad legítima de Windows KB3033929, aunque lo hacía desde un servidor no oficial. En otras palabras: instalaba el archivo legítimo (firmado por Microsoft) desde un servidor no oficial. En este segundo informe nos centraremos en los aspectos técnicos del rootkit encontrado. Como resultado de la investigación identificamos este rootkit como una evolución de Necurs. Esta botnet aparecida en 2012 es una de las más persistentes y grandes del mundo y se estima que está formada por 6 millones de equipos zombi, ordenadores de víctimas repartidos por todo el mundo y que controlan los atacantes de manera remota. En este informe se estudiará a fondo y desde una perspectiva técnica cómo el malware logra ocultarse en el equipo, analizando las herramientas utilizadas y el código que controla este comportamiento. Por otro lado, también se analiza el protocolo de comunicación utilizado, que ha sido modificado desde las primeras versiones y en el que se dejan de utilizar comandos IOCTL. En vez de esto, ahora se basa en lecturas/escrituras sobre el registro de Windows, convirtiendo el registro en un covert channel local. Nuestra investigación finaliza con la publicación de dos herramientas, NeCure y NeCsists, que permiten detectar la presencia del malware y desinfectar la máquina. Estas herramientas han sido desarrolladas tras encontrar la manera de abusar de las técnicas utilizadas por los propios atacantes, gracias al estudio y el análisis mediante técnicas de ingeniería inversa. En este informe hemos contribuido a actualizar el estado del arte sobre la evolución de uno de los rootkits más sofisticados hasta la fecha. Conclusiones y hallazgos Se ha extraído una lista actualizada de todos los comandos funcionales que el rootkit puede recibir. Hasta ahora sólo se conocía un número muy reducido de ellos y, si existían listas completas, no estaban actualizadas. Hemos podido desarrollar herramientas que permiten su detección y desinfección. Además, ponemos a disposición pública tanto el presente análisis como su código fuente. Demostramos como Necurs ha evolucionado a un modelo de negocio del tipo Malware as a Service que sirve como punto de entrada de otro malware y ofrece este servicio a otros actores. Solo así se explica la existencia de las claves que establecían una fecha límite y un número de ejecuciones máximas del malware. Gracias a la comparación entre las blacklists (lista de procesos contra los que se protege el rootkit) de versiones anteriores y las modernas, se extrae un trabajo activo de investigación por parte de los atacantes sobre el estado del arte de las soluciones antimalware. #NoticiasCiberseguridad: Boletín de ciberseguridad semanal 10-14 de febreroYa está aquí la segunda temporada de nuestros podcast sobre ciberseguridad: ElevenPaths Radio
Gabriel Bergel Zombis Digitales y la Ingeniería Social Este post trata sobre Zombis e ingeniería social, la imagen de la figura 1 es gratis y libre de derechos de uso, siempre cuando la referencies, y me encantó....
Gonzalo Álvarez Marañón Criptografía chivata: cómo crackear dispositivos inviolables La llave de seguridad Titan de Google o la YubiKey de Yubico son el último grito en seguridad de autenticación multifactor. Según la propia página de Google: «Las llaves cuentan...
ElevenPaths Boletín semanal de ciberseguridad 16-22 enero Actualización del compromiso de SolarWinds Se han dado a conocer nuevos detalles acerca del compromiso a la cadena de suministro de software desvelado en diciembre: Los investigadores de FireEye han publicado...
Diego Samuel Espitia Detectando los indicadores de un ataque En seguridad siempre optamos por implementar mecanismos de prevención y disuasión, más que de contención. Sin embargo, la implementación de estos mecanismos no siempre son eficaces o sencillos de...
Amador Aparicio CVE 2020-35710 o cómo tu RAS Gateway Secure revela el espacio de direccionamiento interno de tu organización Parallels RAS (Remote Application Server), es una solución de entrega de aplicaciones e infraestructura de escritorio virtual (VDI) que permite a empleados y clientes de una organización acceder y...
Área de Innovación y Laboratorio de ElevenPaths #CyberSecurityReport20H2: Microsoft corrige muchas más vulnerabilidades, pero descubre bastantes menos Existen muchos informes sobre tendencias y resúmenes de seguridad, pero en ElevenPaths queremos marcar una diferencia. Desde el equipo de Innovación y Laboratorio acabamos de lanzar nuestro propio informe...