ElevenPaths Noticias de Ciberseguridad: Boletín semanal 21-27 de noviembre Qbot como preludio a infecciones del ransomware Egregor Investigadores de la compañía de seguridad Group-IB han emitido un comunicado donde afirman haber encontrado actividad que relaciona al troyano bancario Qbot...
ElevenPaths De MSS a MDR y más allá La ciberseguridad continúa evolucionando y, desde ElevenPaths, nos adaptamos a estos cambios. En nuestra opinión, la ciberseguridad hoy en día está en una encrucijada, a pesar del aumento de...
ElevenPaths Qué hemos presentado en el Security Innovation Day 2017 (III): Partnership: Delivery Mode! Los festivales de música nos permiten ver desfilar por un mismo escenario a lo mejor del panorama musical nacional e internacional. Detrás de esta maravillosa experiencia está el trabajo...
ElevenPaths Así fue nuestra participación en CELAES 2016 CELAES 2016 es la Principal Conferencia de Seguridad Financiera en Latinoamérica, este año fue hospedada y organizada por FIBA (una asociación gremial sin fines de lucro y un centro...
ElevenPaths Noticias de Ciberseguridad: Boletín semanal 21-27 de noviembre Qbot como preludio a infecciones del ransomware Egregor Investigadores de la compañía de seguridad Group-IB han emitido un comunicado donde afirman haber encontrado actividad que relaciona al troyano bancario Qbot...
ElevenPaths De MSS a MDR y más allá La ciberseguridad continúa evolucionando y, desde ElevenPaths, nos adaptamos a estos cambios. En nuestra opinión, la ciberseguridad hoy en día está en una encrucijada, a pesar del aumento de...
Área de Innovación y Laboratorio de ElevenPaths SignatureMiner, nuestra herramienta de análisis y la homogeneización de firmas de antivirus (recibe el premio al mejor póster en Pekín) Los antivirus han sido (y siguen siendo) una de las herramientas más prácticas a nivel de usuario para combatir las amenazas de ciberseguridad. Aunque resulte difícil mantenerse completamente actualizado...
ElevenPaths Telefónica and ElevenPaths announce new market leading security offering following key sector agreements In the context of the Company’s III Security Innovation Day Telefónica and ElevenPaths announce new market leading security offering following key sector agreements Telefónica signs agreements with partners including...
ElevenPaths Noticias de Ciberseguridad: Boletín semanal 21-27 de noviembre Qbot como preludio a infecciones del ransomware Egregor Investigadores de la compañía de seguridad Group-IB han emitido un comunicado donde afirman haber encontrado actividad que relaciona al troyano bancario Qbot...
ElevenPaths De MSS a MDR y más allá La ciberseguridad continúa evolucionando y, desde ElevenPaths, nos adaptamos a estos cambios. En nuestra opinión, la ciberseguridad hoy en día está en una encrucijada, a pesar del aumento de...
Andrés Naranjo Análisis de APPs relacionadas con COVID19 usando Tacyt (I) Aprovechando toda la atención que acapara este asunto, los markets oficiales de APPs, Google Play y Apple Store, han recibido un aluvión de aplicaciones diariamente. Ambas plataformas, sobre todo...
ElevenPaths ¿Qué tipo de profesionales trabajan en el Security Operations Center (SOC)? Descubre en este post los diferentes perfiles de los profesionales del SOC, que trabajan día y noche para proporcionar seguridad a nuestros clientes.
Investigando los discos duros de Bin Laden: malware, contraseñas, warez y metadatos (I)ElevenPaths 27 noviembre, 2017 ¿Qué esperarías encontrar en los equipos que pertenecen a grupos terroristas? ¿Material súper cifrado? ¿contraseñas especiales? La Agencia Central de Inteligencia (CIA) hizo públicos el pasado 1 de noviembre de 2017 materiales adicionales recuperados durante la redada del 2 de mayo de 2011 en el complejo de Bin Laden en Abbottabad, Pakistán. Ya hemos visto noticias sobre el tipo de material que alojaban (en concreto, pornografía, juegos…) pero nosotros nos centraremos en los aspectos de seguridad de los 360 GB comprimidos. Por ejemplo, contraseñas, proxies, infecciones, o algún software especial. Horas después de hacer pública la información en bruto de los discos duros de, al menos, tres equipos encontrados allí, la CIA eliminó el contenido debido a “problemas técnicos”. Ocho días más tarde volvieron a publicar la información pero, en esta ocasión, todos los documentos Office se convirtieron a PDF y los archivos EXE fueron “desactivados”, eliminando sus cabeceras por “razones de seguridad”. El extraño movimiento de la CIA ¿Se arrepintieron en menos de 24 horas y por eso publicaron una versión modificada? No lo sabemos, pero lo que sí sucedió es que, al volver a publicar todo, agregaron sus propios metadatos. Por ejemplo, ahora sabemos que utilizaron LibreOffice 5.2 (no es la última versión y presenta algunos problemas de seguridad) para convertir documentos de Office a PDF y LibreOffice 5.0 para convertir RTF. ¿LibreOffice tiene una herramienta para convertir a PDF algunos miles de archivos? Sí, la hay. Probablemente usaron lowrite, que es capaz de convertir archivos a PDF desde línea de comandos. Usamos nuestro https://metashieldclean-up.elevenpaths.com para analizar los datos Por alguna razón, la CIA no convirtió correctamente todos los archivos .DOCX a PDF. Aquí hay un ejemplo del contenido de algunos de los ficheros. Datos un poco mezclados a la hora de convertir un PDF Estos archivos fueron incautados hace cinco años. Pero, ¿por qué tanta prisa? Ni siquiera comprobaron que los archivos se hubieran convertido correctamente antes de volver a publicarlos. En cualquier caso, según informan, durante la segunda versión eliminaron algún “malware“. En concreto 815 muestras diferentes. De esas 815 muestras de “malware“, verificamos contra Virustotal y obtuvimos el siguiente resultado: No encontrados: 524 Encontrados con 0 positivos: 146 Encontrados con algún positivo: 145 Al menos 146 muestras no han sido consideradas como malware por los antivirus, pero para la CIA sí. Eso no está mal, los AVs no siempre tienen la razón, ya lo sabemos… pero, al analizar algunas muestras manualmente, no vemos ninguna evidencia de malware en ellas. ¿Por qué eliminarlos? Algunos son documentos, algunos ejecutables… ¿Realizará la CIA un análisis más profundo? Eso es lo que parece. Tomamos algunas muestras aleatorias como 903A80A6E8C6457E51A00179F10A8FA8, no detectadas por ningún antivirus hasta el día de hoy, y encontramos lo que parecería material malicioso. Bien por la CIA, ¿o no? Si bien esta es la excepción (porque el archivo no parece malware si se analiza más a fondo). En realidad, hay muchos otros documentos que parecen no estar infectados de ninguna manera o que supongan un riesgo. Sin embargo, por algún motivo, han sido eliminados por ser clasificados específicamente como “malware” o peligrosos, aunque no parezca que lo sean. ¿Por qué eliminarlos entonces? Como vemos, algunos ficheros incluso .log (solo texto) han sido marcados como malware por la CIA Analizando la memoria (aunque los equipos estuvieran apagados) Hemos podido analizar la primera publicación en donde (intencionalmente o no), había archivos críticos del sistema como pagefil.sys, hiberfil.sys, registros y montones de gigas de información interesante que podían analizarse más allá de los metadatos. Al margen del tratamiento de datos publicados de nuevo por la propia CIA, una vez que tuvimos todo el material original, la primera acción “no obvia” fue analizar los pagefile.sys y los hiberfil.sys. Estos archivos son especialmente interesantes porque, literalmente, podemos encontrar cualquier cosa en ellos. En concreto, un fichero hiberfil.sys en Windows es un volcado de la memoria en sí y el pagefile.sys es el archivo de “swap“, por lo que habrá trozos de “recuerdos” en memoria de diferentes procesos donde se pueden encontrar direcciones URL, contraseñas… Encontramos dos archivos hiberfil.sys y siete pagefile.sys de, al menos, tres equipos. Lo primero a lo que nos dirigimos fue a las direcciones URL. Los vídeos siempre son interesantes. Principalmente, vídeos para niños. También encontramos sus proxies preferidos para navegar de “incógnito”, como http://tproxy.guardster.com. De estas direcciones se pueden deducir las URL que estarían visitando. Foros principalmente islámicos. Pero además se han detectado algunos IOC como evidencia de malware en memoria. Por ejemplo: 20080311cPxl31 (que nos lleva a un downloader de Flash, popular durante 2011), http://jL.chura.pl/rc/, http://218.25.11.147/download (un distribuidor de malware chino bastante anticuado, o eso parece), http://59.106.145.58 (relacionado con MS08-067), http://85.17.138.60/traf/fgaX, 29x67629n689 (no es un string muy común…). Estas son algunas muestras de las cadenas encontradas en memoria. Dos de ellos son especialmente interesantes. La cadena ftp://ggss:xsw2xsw2@ que se encuentra en uno de los pagefile.sys, que obviamente es un nombre de usuario y contraseña de un FTP, pertenece a esta muestra 4742ae6404fa227623192998e79f1bc6 que no parece malware popular. En ella hay algo que nos llama la atención: si la redada tuvo lugar en mayo de 2011, ¿por qué esta muestra se vio por primera vez en VirusTotal en 2015? ¿No estuvo en ninguna base de datos durante cuatro años? ¿Solo en un equipo en Abbottabad? Algo posible es que se trate de un malware genérico que cree su propio usuario y contraseña según la víctima, pero no parece el caso. Además de estro, hay otras referencias a malware en los pagefile.sys o hiberfil.sys. Este, en concreto, se ve especialmente interesante. Algunos trozos de memoria Siempre existe la posibilidad de que estos fragmentos de información en memoria no indiquen un compromiso, como por ejemplo que el usuario buscaba información sobre ese malware, firmas de AV… pero a partir del fragmento en sí, creemos que ese equipo estaba infectado. El fragmento “password sender trojan by:spyder” es realmente una pieza antigua de malware de al menos el año 2000. Un viejo fichero PDF creado por SANS que hace referencia a este keylogger Por lo tanto, aparte de los 815 posibles archivos de malware etiquetados como tales por la CIA, algunas evidencias encontradas en memoria vinculadas a otras muestras de malware (además de las evidencias que mostraremos en la siguiente entrega) nos hacen pensar que esos equipos estaban completamente infectados. Por cierto, el antivirus que mantenían instalados todos era una versión pirateada de ESET32, puesto que ejecutaban el servicio. Aunque algunos sistemas parecen contener archivos pertenecientes a AVG e incluso se han identificado algunas claves de software de Kasperksy pirateado. Pero, aparte de eso, los ficheros hiberfil.sys son interesantes por otra razón. El proceso LSASS, si se trata de la manera correcta, se puede “montar” a partir del hiberfil.sys y verificar las credenciales. Eso es lo que hemos hecho. Intentar dar con las contraseñas de los usuarios registrados justo cuando se creó el archivo. Hemos probado con el hiberfil.sys de SHAED-PC, uno de los equipos de las instalaciones de Bin Laden. Utilizando herramientas de depuración para Windows (WinDbg), Windows Memory toolkit Free Edition y Mimikatz, para encontrar contraseñas de Windows. El proceso consiste en convertir el hiberfil.sys en un formato que WindDbg entiende, encontrar el proceso LSASS, ejecutar mimikatz. El resultado fue que no había contraseñas. Sacando las contraseñas del fichero hiberfil.sys NTLM y LM son claramente nulos, por lo que podemos deducir que las contraseñas estaban en blanco. Estos ficheros contienen mucha más información, esto parece solo una pincelada de todo lo que se podría encontrar. En la siguiente entrada de blog profundizaremos en los archivos de registro, las contraseñas utilizadas para la comunicación, qué programas se ejecutan cuando los equipos se inician…Y otras revelaciones interesantes. También te puede interesar: » Investigando los discos duros de Bin Laden: malware, contraseñas, warez y metadatos (II) Innovación y laboratorio innovationlab@11paths.com ElevenPaths Seguridad web en aplicaciones DICOM ViewersInvestigando los discos duros de Bin Laden: malware, contraseñas, warez y metadatos (II)
ElevenPaths Noticias de Ciberseguridad: Boletín semanal 21-27 de noviembre Qbot como preludio a infecciones del ransomware Egregor Investigadores de la compañía de seguridad Group-IB han emitido un comunicado donde afirman haber encontrado actividad que relaciona al troyano bancario Qbot...
ElevenPaths De MSS a MDR y más allá La ciberseguridad continúa evolucionando y, desde ElevenPaths, nos adaptamos a estos cambios. En nuestra opinión, la ciberseguridad hoy en día está en una encrucijada, a pesar del aumento de...
Área de Innovación y Laboratorio de ElevenPaths ¿Quieres realizar tu TFG o TFM sobre un reto tecnológico tutorizado nuestros expertos? II Edición del Programa TUTORÍA Un año más lanzamos nuestro programa TUTORÍA: Tutorización Universitaria para la Transferencia y Observatorio de Retos de Innovación Avanzada. Coordinado por ElevenPaths y destinado al asesoramiento, ayuda y orientación...
ElevenPaths ElevenPaths Radio 3×03 – Entrevista a María Campos La seguridad informática estuvo ligada en sus inicios al PC. Luego, se extendió a los servidores; después, a los dispositivos móviles; ahora, todo está conectado con todo. Nuevos escenarios...
Sergio De Los Santos Dime qué datos solicitas a Apple y te diré qué tipo de gobierno eres (II) Hace poco hemos sabido que España envió 1.353 solicitudes gubernamentales para acceder a datos de usuarios de Facebook en la primera mitad de 2020. Gracias al informe de transparencia...
ElevenPaths Noticias de Ciberseguridad: Boletín semanal 14-20 de noviembre Campaña de distribución de malware suplanta la identidad de ministerios españoles Investigadores de ESET alertan de la existencia de una campaña de distribución de malware en la que se estaría...
