Fátima Martínez Cómo descargar un listado de nuestros contactos de LinkedIn Si hay algo que nos aportan las redes sociales son los miles de valiosos contactos que hemos ido haciendo a lo largo de los años. Unos porque han trabajado...
Telefónica Ecuador ¿Cuál es la plataforma virtual más adecuada para tu formación profesional? Cada día son más y más las personas que eligen tomar una formación académica a través de una plataforma virtual. Ya sea por tiempo, comodidad o por cuestiones personales, las...
Raúl Salgado Claves del lenguaje para ser un líder Sonia es una mujer que atrae, no por su belleza, que tampoco deslumbra. Ni por su físico, que a falta de dietas y de idas y venidas al gimnasio...
David Ballester ¡No busques, encuentra! Recursos para pymes Si sigues el blog Con Tu Negocio y ahora estás leyendo este post, probablemente eres dueño de una pequeña empresa que está luchando a brazo partido para poder seguir...
ElevenPaths Telefónica invierte en Nozomi Networks, compañía líder en seguridad y sistemas de control industrial La inversión refuerza el acuerdo que mantienen ElevenPaths, la compañía de ciberseguridad de Telefónica Tech, y Nozomi Networks.
ElevenPaths #NoticiasCiberseguridad: Boletín de ciberseguridad semanal 2-6 de marzo Let's Encrypt, Ghostcat y Google son algunos de los protagonistas del boletín de noticias de ciberseguridad de esta semana, de nuestros expertos del SCC.
ElevenPaths Qué hemos presentado en el Security Innovation Day 2019: Open Innovation Village, Start-ups y centros de innovación (II) Seguimos contando lo que ocurrió el pasado 13 de noviembre en nuestro evento anual de innovación Security Innovation Day 2019: Guards for Digital Lives. Es el turno del equipo...
Ángel María Herrera Cómo las devoluciones gratuitas salvaron a Zappos No deja de ser curioso que muchas de las grandes decisiones empresariales no se toman tras grandes jornadas de análisis o planificación estratégica, sino sobre la marcha, porque a...
DIARIO ya detecta las macros “stomped” pero, ¿qué son exactamente?Área de Innovación y Laboratorio de ElevenPaths 15 septiembre, 2020 Hace pocas semanas presentamos DIARIO, el detector de malware que respeta la privacidad de los usuarios, y seguimos mejorándolo para que detecte más y mejor. Recientemente añadimos la capacidad de detectar malware en documentos ofimáticos cuyas macros usan la técnica conocida como VBA stomping. ¿En qué consiste esta técnica y por qué es tan importante? Ya sabemos que el correo electrónico con adjuntos es una de las vías de entrada de malware más populares, concretamente los adjuntos de tipo ofimático. Esto es posible, en gran medida, gracias a la capacidad de programar código en las macros de los documentos ofimáticos. Las razones por la que esta técnica sigue funcionando dos décadas después de que se comenzase a utilizar son diversas: Las macros son fáciles de esconder.Las macros son legítimas. Aun deshabilitadas por defecto, es fácil que el usuario las habilite.Es más complejo el sandboxing para emularlas.Se envían por correo electrónico, por lo que habitualmente solo se analizan estáticamente.El usuario no piensa que un documento u hoja de cálculo pueda llegar a ser peligroso.Sigue siendo una vía muy lucrativa para los ciberatacantes. Y aunque haya pasado tanto tiempo, todavía se sigue innovando sobre esta técnica. La técnica del stomping es una prueba. Veamos primero de qué se compone una macro “reciente”. Encontraremos un archivo binario, de extensión .bin dentro del archivo .zip que hoy por hoy son los documentos. Al menos en las versiones más recientes de Office. Lo primero que hay que tener en cuenta es que en ese fichero .bin no se encuentran “las macros” como tal, sino todo un sistema listo para ser compilado y ejecutado por el propio Office. Sí, puede compararse a un proyecto cualquiera realizado con Visual Studio, donde tenemos el código fuente, las definiciones, el código compilado… El sistema Office de turno, como puede ser Word o Excel, disponen de un motor de compilación y ejecución de ese código. De hecho, dentro de este fichero .bin, encontramos (si lo analizamos con las herramientas adecuadas): PROJECT: flujo (fichero): es como el fichero de configuración.VBA_PROJECT: flujo con las instrucciones para el motor VBA. Sin documentar.Dir: comprimido y tiene el layout del proyecto.Module streams del tipo VBA/ThisDocument/NewMacros/…/__SPR_1/Module1, que contiene el código que se ejecutará. Cada módulo del código se compone a su vez de PerformanceCache y el CompressedSourceCode, que es el código fuente de la macro comprimido. ¿Para qué sirve todo esto? Esto sirve para la obsesiva retrocompatibilidad de Microsoft. Imaginemos que creamos un documento con macros en una versión de Office reciente, por ejemplo Word 2016. Creamos la macro y queda compilada en el sistema, pero también se almacena el código fuente con ella. La persona que recibe el documento puede disponer de un Office 2016, en cuyo caso para ir más rápido, se ejecutará la macro compilada directamente. Pero, ¿y si quiere abrir el documento con un Word 2003? Entonces, por compatibilidad, deberá tomar el código fuente VBA de la macro, compilarlo en su motor y ejecutarlo. Y esta es la razón por la que encontramos “en claro” el código fuente de las macros en los documentos. Esto ha supuesto históricamente una ventaja para quienes analizan este tipo de malware: pueden acceder al código fácilmente, analizarlo de forma más sencilla, etc. Los antivirus han confiado en este código fuente incluso para clasificar muestras. Pero a alguien se le ocurrió que el documento podía infectar igual si se mantenía el código compilado pero se borraba el código fuente. Y así fue. Esta técnica de borrado del código fuente es el VBA stomping, y permite pasar más desapercibido al malware sin apenas tener impacto en su capacidad de infección. Solo se librarían de la infección aquellos usuarios con versiones de motor VBA (versiones de Office al fin y al cabo) no compatibles o muy antiguas. Ya existe la herramienta Evil Clippy, capaz de facilitar el VBA stomping y automatizar todos los procesos necesarios. Como se puede ver, DIARIO ya detecta este tipo de documentos y muestra el código aunque se haya usado esta técnica: Nueva versión de TheTHE con plugins de URLScan y MalwareBazaarArchivos en la nube como la mejor forma de seguridad en la red
Cristina del Carmen Arroyo Siruela ¿Qué distingue a una Mujer Hacker? Qué tiene de especial una Mujer Hacker es algo que he ido descubriendo a lo largo de mi vida, a lo largo de mis distintas vivencias con la tecnología. Mi primera experiencia, como muchas de...
ElevenPaths #MujeresHacker: apuesta por tu pasión #MujeresHacker, la iniciativa global de Telefónica que persigue visibilizar el papel de la mujer dentro del sector tecnológico y concienciar a nuestras niñas sobre su potencial para estudiar carreras...
ElevenPaths Entrevista: hablamos de libros y #MujeresHacker con Javier Padilla Hace unos días tuvimos la oportunidad de hablar con Javier Padilla, emprendedor en Internet y escritor de los libros protagonizados por la joven hacker Mara Turing, una charla muy...
ElevenPaths Boletín semanal de ciberseguridad 27 de febrero – 5 de marzo HAFNIUM ataca servidores de Microsoft Exchange con exploits 0-day Microsoft ha detectado el uso de múltiples exploits 0-day para llevar a cabo ataques dirigidos contra las versiones on premise de...
ElevenPaths Todo lo que necesitas saber sobre los certificados SSL/TLS ¿Qué es un certificado digital? Un Certificado digital SSL/TLS (Secure Sockets Layer/Transport Layer Security) es el protocolo de seguridad más utilizado que permite realizar una transferencia de datos de manera cifrada...
Carlos Ávila Tu sistema macOS también es objetivo del cibercrimen, ¡fortalécelo! Según statcounter, el sistema operativo de Apple, en concreto macOS (OSX anteriormente), tiene una cuota de mercado de alrededor del 17%, siendo el segundo sistema operativo de escritorio más...
