Gonzalo Álvarez Marañón En Internet nadie sabe que eres un perro ni aunque uses certificados TLS Te habrás fijado en que la mayoría de las páginas web llevan un candadito. Si haces clic en él, aparecerá una ventana que afirma que “la conexión es segura”....
ElevenPaths Boletín semanal de ciberseguridad 13-19 febrero Vulnerabilidad de elevación de privilegios en Windows Defender El investigador de SentinelLabs Kasif Dekel ha descubierto una nueva vulnerabilidad en Windows Defender que podría llevar activa más de doce años....
ElevenPaths Eventos en los que participa ElevenPaths en febrero de 2020 Un resumen de los eventos y conferencias en las que van a participar los expertos de ElevenPaths durante el mes de febrero de 2020.
Área de Innovación y Laboratorio de ElevenPaths Una investigación de ElevenPaths en la Digital Crimes Consortium y DIARIO en la RootedCON La Unidad de Delitos Digitales de Microsoft invita a las fuerzas del orden a unirse con expertos y profesionales de la seguridad en el encuentro privado anual “Digital Crimes...
Gonzalo Álvarez Marañón En Internet nadie sabe que eres un perro ni aunque uses certificados TLS Te habrás fijado en que la mayoría de las páginas web llevan un candadito. Si haces clic en él, aparecerá una ventana que afirma que “la conexión es segura”....
ElevenPaths Boletín semanal de ciberseguridad 13-19 febrero Vulnerabilidad de elevación de privilegios en Windows Defender El investigador de SentinelLabs Kasif Dekel ha descubierto una nueva vulnerabilidad en Windows Defender que podría llevar activa más de doce años....
ElevenPaths Latch y el Internet de las Cosas: Integración con Arduino (III) En la entrada anterior quedamos pendientes de conocer los detalles técnicos de la conexión entre el Arduino y el módulo WiFi. Veamos cómo. Conexión del módulo ESP8266 con Arduino Una...
ElevenPaths New “Insecurity in the Internet of Things” report New Insecurity in the IoT report You can now download the full report about Insecurity in the Internet of Things carried out by ElevenPaths’ Analyst Team. It`s available at ElevenPaths web. Summary In...
Área de Innovación y Laboratorio de ElevenPaths ElevenPaths pasa a formar parte del Atlas de Ciberseguridad de la Comisión Europea El Área de Innovación y Laboratorio de ElevenPaths ha sido incluida como como parte del Atlas de Ciberseguridad de la Comisión Europea, una plataforma de gestión del conocimiento que...
Gonzalo Álvarez Marañón En Internet nadie sabe que eres un perro ni aunque uses certificados TLS Te habrás fijado en que la mayoría de las páginas web llevan un candadito. Si haces clic en él, aparecerá una ventana que afirma que “la conexión es segura”....
ElevenPaths Noticias de Ciberseguridad: Boletín semanal 10-16 de octubre Coalición de compañías del sector IT tratan de eliminar la botnet TrickBot Un conglomerado de compañías del sector tecnológico conformado por Microsoft, FS-ISAC, ESET, Lumen’s Black Lotus Labs, NTT, y...
ElevenPaths Historias de #MujeresHacker: Paula López, Data Scientist en la 4ª Plataforma de Telefónica Esta semana os presentamos a Paula López, experta en Data Science que disfruta el día a día diseñando y desarrollando modelos analíticos y algoritmos basados en Machine Learning e...
El ataque a SolarWinds finalmente desvela dos pesadillas: qué se ha hecho bien y qué malSergio De Los Santos 22 diciembre, 2020 A estas alturas, todos los profesionales de la ciberseguridad saben al menos una parte de lo que, en principio, se creía “solo” un ataque a SolarWinds, pero que ha desembocado en una de las operaciones más interesantes de los últimos años. Nos detendremos en los detalles más curiosos del incidente pero también vamos a poner en foco en la gestión de esta crisis. Qué se ha hecho bien y qué mal para calibrar la madurez de una industria que sufrirá más y peores golpes que este en el futuro. FireEye levanta la voz de alarma el martes 8 de diciembre. Han sido atacados. Pero la industria no culpa a FireEye por ello, sino que los respalda y apoya en general, su respuesta es ejemplar. A muchos les ha pasado y a todos nos puede pasar, así que lo importante es cómo se responda y ser resiliente. Puesto que los atacantes tienen acceso a herramientas delicadas internas de su compañía, FireEye hace algo que les honra por la industria: publican las reglas Yara necesarias para detectar si alguien está usando esas herramientas robadas del equipo ofensivo de FireEye contra una compañía. Un buen gesto que de nuevo es reconocido públicamente. No se sabe mucho más del incidente y se sigue investigando. Pero luego todo se complica, y de qué manera. Comienzan las noticias: el departamento del Tesoro de EEUU y otros muchos departamentos gubernamentales también reconocen un ataque. El mismo día 13, FireEye ofrece un detalle muy importante: el problema radica en la troyanización del software Orion de SolarWinds. Un paquete de actualización, firmado por la propia SolarWinds, contenía una puerta trasera. Se calcula que unas 18.000 compañías utilizan este sistema. Se destapa la caja de Pandora por las características propias del ataque y porque es un software usado en muchas grandes empresas y gobiernos. Y puesto que a problemas globales hacen falta reacciones globales y coordinadas, aquí es donde parece que algo no funcionó. ¿Falló la coordinación? El día siguiente, 14 de diciembre, con la información necesaria para apuntar a la “zona cero” del ataque, todavía los métodos reactivos no funcionaron. En concreto: El paquete troyanizado seguía disponible en el repositorio de SolarWinds aun cuando el día 14 ya hacía al menos una semana (aunque muy probablemente más) que se conocía que ese paquete estaba troyanizado y tenía que ser retirado. Los motores antivirus seguían sin detectar el malware (que se ha dado a conocer como SUNBURST). El mismo lunes no se encontraba en las firmas estáticas de los motores populares.El certificado con el que los atacantes firmaron el software, seguía sin estar revocado. Independientemente de que consiguieran acceso a la clave privada o no (no se sabe), ese certificado debía ser revocado por si el atacante era capaz de firmar otro software en nombre de SolarWinds. Aquí solo podemos elucubrar por qué falló este elemento “reactivo” en cadena. ¿Llegó tarde SolarWinds al ataque? ¿Publicó FireEye los detalles para ejercer presión sobre SolarWindws cuando ya se comenzaba a vislumbrar que el ataque escondía una ofensiva mucho más compleja? Desde luego, la bolsa ha “castigado” de forma diferente a ambas compañías, si es que se puede usar como un método rápido de valoración del mercado de las reacciones ante un compromiso grave. FireEye ha resultado ser el héroe. SolarWinds, el malo de la película. Sin embargo, ha habido reacciones que sí han funcionado, como Microsoft secuestrando el dominio bajo el que se fundamenta todo el ataque (avsavmcloud.com). Que por cierto, fue enviado desde España a urlscan.io de forma manual el 8 de julio. Alguien quizás se percató de algo extraño. La campaña llevaba activa desde marzo. Fuente: https://twitter.com/sshell_/status/1339745377759576065 El malware en sí y la comunidad Lo “bueno” de SUNBURST es que está creado en lenguaje .NET, con lo que resulta relativamente sencillo decompilar y conocer qué ha programado el atacante. Y así, la comunidad comenzó a analizar el software de arriba a abajo y programar herramientas para entenderlo mejor. El malware es extremadamente discreto. No se ponía en marcha hasta más o menos dos semanas después de encontrarse en la víctima. Modificaba tareas programadas del sistema para lanzarse y luego las devolvía a su estado original. Pero una de las características más interesantes del malware es la capacidad para ocultar los dominios que utiliza y que requerían fuerza bruta para desvelarlos (eran hashes). Además, contenía el hash de otros dominios a los que no quería infectar. ¿Cuáles? Costin Riau de Kasperksy los expone: Todos, muy probablemente, internos de la red de SolarWinds, para pasar desapercibidos en su red interna. Un indicio de que la víctima inicial era SolarWinds y que para conseguirlo, los atacantes tenían que conocer bien a su víctima. Se publicó un código para sacar toda lista de herramientas (cuyos nombres estaban también hasheados) para saber qué es lo que no quería ver el troyano en la máquina. Se consiguió desvelar muchas de las herramientas y dominios hasheados en tiempo récord y reconocer qué tenían en mente estos atacantes. Se ha publicado otra una herramienta para descifrar los DGA (Domain Generator Algorithm) donde intentaba contactar el malware. Uno de los puntos fuertes del algoritmo era el DGA precisamente, pero también su punto débil (el dominio de primer nivel era siempre el mismo). Fuente: https://www.microsoft.com/security/blog/2020/12/18/analyzing-solorigate-the-compromised-dll-file-that-started-a-sophisticated-cyberattack-and-how-microsoft-defender-helps-protect/ Al final, el malware acababa componiendo URLs como esta: hxxps://3mu76044hgf7shjf[.]appsync-api[.]eu-west-1[.]avsvmcloud[.]com /swip/upd/Orion[.]Wireless[.]xml Donde “exfiltraba” la información y se comunicaba con el Command and Control. Bien pensado desde el punto de vista del atacante porque pasa desapercibido a la vista por su “normalidad”, pero mal pensado desde el punto la perspectiva de la persistencia. Otro punto muy interesante que parece que ha pasado desapercibido, es que los atacantes parecieron “inflar” durante 2019 el módulo troyanizado de 500 a 900k, sin inyectar código relevante pero aumentando el tamaño de la DLL. En febrero 2020 introdujeron en esa misma DLL la carga que realizaba el espionaje, con lo que consiguieron un extra de invisibilidad sin levantar sospechas por el aumento de tamaño. No se vayan todavía, aún hay más Más recientemente, parece que Orion de SolarWinds no solo estaba troyanizado con SUNBURST sino también con lo que se ha dado en llamar SUPERNOVA. Quizás otro actor también tuvo la posibilidad de entrar en la red y desplegó un troyano diferente en la herramienta. Aunque todavía no se tienen muchos detalles de su funcionamiento, esta es la segunda pesadilla que todavía puede dar que hablar. Conclusiones Nos encontramos ante uno de los ataques más sofisticados de los últimos tiempos que no solo ha puesto en jaque a una compañía que se dedica a defender a otras compañías, sino a gobiernos, grandes como Microsoft y otros que ni podemos imaginar. Han dado un paso más allá con una campaña casi perfecta por su impacto y ejecución. En otras ocasiones (la RSA, Kaspersky, Bit9, Operación Aurora…), grandes compañías han sido atacadas y también a veces solo como efecto secundario para conseguir llegar hasta a un tercero, pero en esta ocasión se ha dado un paso más allá en la discreción, precisión y “buen hacer” de los atacantes. Y todos gracias a un solo fallo, cómo no: al punto más débil que han sabido detectar en la cadena de suministro de la que dependen grandes actores. Y sí, SolarWinds parecía un eslabón muy débil. En su web recomendaban desactivar el antivirus (aunque esto lamentablemente es habitual para cierto tipo de herramientas) y han demostrado utilizar contraseñas débiles en su operativa, además de que existen indicios de que llevaban más de un año comprometidos… por dos veces. ¿Nos debemos sorprender ante eslabones tan débiles en la cadena de ciberseguridad de la que depende tanto? Dependemos de un panorama ciertamente irregular en cuestión de habilidades en ciberseguridad. Asimétrico en capacidades de respuesta, defensa y prevención, tanto de las víctimas como de atacantes… pero muy democrático en la importancia de cada pieza en la industria. No queda más remedio que responder coordinados y en conjunto para mitigar el riesgo. No es difícil encontrar similitudes fuera del ámbito de la ciberseguridad. En cualquier caso, y afortunadamente, de nuevo, la industria se ha mostrado madura y con capacidad de respuesta conjunta, no solo de la comunidad, sino de los grandes actores. Quizás es el mensaje positivo que podemos llevarnos de una historia que todavía parece no haber acabado del todo. ElevenPaths Radio 3×05 – Entrevista a Gonzalo AsensioTeletrabajo: equilibrio entre control empresarial y privacidad de los trabajadores (II)
Área de Innovación y Laboratorio de ElevenPaths ElevenPaths pasa a formar parte del Atlas de Ciberseguridad de la Comisión Europea El Área de Innovación y Laboratorio de ElevenPaths ha sido incluida como como parte del Atlas de Ciberseguridad de la Comisión Europea, una plataforma de gestión del conocimiento que...
Gonzalo Álvarez Marañón En Internet nadie sabe que eres un perro ni aunque uses certificados TLS Te habrás fijado en que la mayoría de las páginas web llevan un candadito. Si haces clic en él, aparecerá una ventana que afirma que “la conexión es segura”....
ElevenPaths Boletín semanal de ciberseguridad 13-19 febrero Vulnerabilidad de elevación de privilegios en Windows Defender El investigador de SentinelLabs Kasif Dekel ha descubierto una nueva vulnerabilidad en Windows Defender que podría llevar activa más de doce años....
Martiniano Mallavibarrena La nueva fuerza de trabajo digital y los riesgos alrededor de la robótica de procesos (RPA) En estos últimos años, son muchas las empresas de distintos sectores que han optado por basar su transformación digital en la automatización de procesos (RPA – Robot Process Automation),...
ElevenPaths ¿Qué es la VPN y para qué sirve? Las conexiones VPN no son nada nuevo, llevan con nosotros mucho tiempo, siempre unidas al ámbito empresarial. La gran versatilidad y sus diferentes usos ha hecho que cada vez...
Juan Elosua Tomé Nueva versión de FARO: crea tu propio plugin y contribuye a su evolución Hoy venimos a presentaros una nueva versión de FARO, nuestra herramienta open source de detección de información sensible de la que ya os hemos hablado en este mismo blog...