IOC_Emotet: nuestra nueva herramienta de análisis para formatos Microsoft Office XMLElevenPaths 27 marzo, 2019 Emotet sigue siendo una de las amenazas más persistentes en el mundo, pero particularmente en Latinoamérica está golpeando con cierta insistencia. Hace algunas semanas aconsejábamos una fórmula para mitigar el acceso a un cierto tipo de formato de archivo Office que está siendo utilizado por atacantes, además de explicar cómo funcionaba internamente. Ahora mostraremos una pequeña herramienta que automatiza el proceso de análisis. Esta herramienta de línea de comandos, creada por nuestro compañero, perteneciente al equipo de ElevenPaths Chile,Ricardo Monreal, extrae los Indicadores de Compromiso (IOC) de este formato concreto de archivo Office, usado por atacantes. Este script en bash se apoya en otras herramientas que se pueden encontrar en sus respectivos repositorios oficiales: Olevba: analiza el código de macros (es parte de oletools) XMLStarlet: analiza archivos XML como el Microsoft Office XML (más info) Con estas herramientas instaladas, simplemente es necesario ejecutar el script de la siguiente forma: Algunos ejemplos de análisis de un archivo Microsoft Office XML se pueden observar en las siguientes capturas, con diferentes casos de ofuscación. Donde se pueden observar dominios y código de la macro, dado el caso. En el caso de que se realice el análisis de un archivo .doc con macros y, además, con payload comprimido con DEFLATE, también se mostrarían los IOC en claro. Incluso lo mostraría si se ofuscasen de maneras más complejas las cargas maliciosas y dominios, recuperando la información. La herramienta se encuentra disponible aquí.Recordamos que también disponemos de nuestra herramienta DIARIO para analizar documentos maliciosos respetando La privacidad del contenido. Ricardo Monreal Malware Intelligence en ElevenPaths Chile@joy_dragonricardo.monreal@telefonica.com Carrier Level Immutable Protection (CLIP): nuestra tecnología segura y confiable para el empoderamiento de operadoresTelefónica Empresas ya es Socio Platino de RSA
José Vicente Catalán Tú te vas de vacaciones, pero tu ciberseguridad no: 5 consejos para protegerte este verano Las vacaciones son una necesidad, está claro. Todo el mundo necesita relajarse, pasar tiempo de calidad con la familia y amigos, desconectar. Pero, irónicamente, para desconectar acabamos conectando (el...
Jennifer González Qué es la huella digital y por qué es importante conocerla para proteger a los menores en internet Como explicaba en mi anterior artículo sobre las cibervictimizaciones en los menores y el aumento que cada año se registra, hoy querría hablar sobre la importancia de concienciarnos sobre...
Telefónica Tech Boletín semanal de ciberseguridad, 16 — 22 de julio Lightning Framework: nuevo malware dirigido a entornos Linux El equipo de investigadores de Intezer ha publicado información relativa a un nuevo tipo de malware que afecta a entornos Linux y...
Telefónica Tech España necesita 83.000 profesionales en ciberseguridad en los próximos dos años Universidad Loyola y Telefónica Tech han puesto en marcha el nuevo Máster en Ciberseguridad para CISO
Roberto García Esteban Cloud computing: abierto por vacaciones Llegan las vacaciones de verano y con ellas el merecido descanso para casi todos nosotros. La actividad de la mayoría de las empresas se reduce drásticamente, aunque también hay...
Diego Samuel Espitia Qué son los “Martes de parches” de seguridad para tecnología operativa (OT) En el mundo de la ciberseguridad estamos acostumbrados a la publicación de paquetes que corrigen las vulnerabilidades detectadas en software para empresas, los conocidos como actualizaciones o «parches» de...
