ElevenPaths ElevenPaths Radio 3×12 – Entrevista a Andrea G. Rodríguez La transformación digital es una realidad a la que cada vez se suman más organizaciones en todo el mundo. En este proceso, la ciberseguridad es una necesidad global, ya...
ElevenPaths Boletín semanal de ciberseguridad 3-9 de abril Campaña de distribución de malware mediante LinkedIn El equipo de investigadores de eSentire ha publicado detalles sobre el análisis de una nueva campaña de distribución de malware a través de...
ElevenPaths ElevenPaths y Enigmasec nos asociamos para ayudar a las pymes y medianas organizaciones ante la intrusión en sus sistemas Esta semana estamos encantados de anunciar nuestra última asociación con Enigmasec, la compañía especializada en la respuesta de incidentes de ciberseguridad, con el objetivo de mejorar las capacidades de...
Gabriel Bergel Lazarus, levántate y camina… Haciendo alusión a la frase celebre que le dice Jesús a Lázaro cuando lo resucita quiero partir este post, pero en este caso el protagonista no es el personaje bíblico,...
ElevenPaths ElevenPaths Radio 3×12 – Entrevista a Andrea G. Rodríguez La transformación digital es una realidad a la que cada vez se suman más organizaciones en todo el mundo. En este proceso, la ciberseguridad es una necesidad global, ya...
ElevenPaths Boletín semanal de ciberseguridad 3-9 de abril Campaña de distribución de malware mediante LinkedIn El equipo de investigadores de eSentire ha publicado detalles sobre el análisis de una nueva campaña de distribución de malware a través de...
Gonzalo Álvarez Marañón El Sesgo de Confirmación: buscamos la información que nos reasegura en nuestras decisiones descartando la evidencia en contra Imagínate que estás en un laboratorio durante un experimento. Te piden que examines esta serie numérica: 2, 4, 6 La serie obedece una cierta regla. ¿Cuál crees que es?...
ElevenPaths Qué hemos presentado en el Security Innovation Day 2019: Open Innovation Village, Start-ups y centros de innovación (II) Seguimos contando lo que ocurrió el pasado 13 de noviembre en nuestro evento anual de innovación Security Innovation Day 2019: Guards for Digital Lives. Es el turno del equipo...
ElevenPaths ElevenPaths Radio 3×12 – Entrevista a Andrea G. Rodríguez La transformación digital es una realidad a la que cada vez se suman más organizaciones en todo el mundo. En este proceso, la ciberseguridad es una necesidad global, ya...
ElevenPaths Boletín semanal de ciberseguridad 3-9 de abril Campaña de distribución de malware mediante LinkedIn El equipo de investigadores de eSentire ha publicado detalles sobre el análisis de una nueva campaña de distribución de malware a través de...
ElevenPaths Noticias de Ciberseguridad: Boletín semanal 25-31 de julio BootHole: vulnerabilidad en GRUB2 Investigadores de Eclypsium han descubierto una vulnerabilidad de desbordamiento de búfer en el gestor de arranque GRUB2 que podría utilizarse para ejecutar código arbitrario durante el...
ElevenPaths Girls Inspire Tech #GIT2017: el laboratorio tecnológico de CDO para hijas de empleados de Telefónica Desde Telefónica creemos que para crear tecnología hay que tener pasión por hacerlo, y no debe existir ninguna correlación entre género y ocupación. Por eso, el sábado 16 de diciembre...
Investigando los discos duros de Bin Laden: malware, contraseñas, warez y metadatos (II)ElevenPaths 28 noviembre, 2017 ¿Qué esperarías encontrar en los equipos que pertenecen a grupos terroristas? ¿Material super cifrado? ¿contraseñas especiales? La Agencia Central de Inteligencia (CIA) hizo públicos el pasado 1 de noviembre de 2017 materiales adicionales recuperados durante la redada del 2 de mayo de 2011 en el complejo de Bin Laden en Abbottabad, Pakistán. Ya hemos visto noticias sobre el tipo de material que alojaban (en concreto, pornografía, juegos…) pero nosotros nos centraremos en los aspectos de seguridad de los 360 GB comprimidos. Por ejemplo, contraseñas, proxies, infecciones, o algún software especial. Horas después de hacer pública la información en bruto de los discos duros de al menos tres equipos encontrados allí, la CIA eliminó el contenido debido a “problemas técnicos”. Ocho días después, volvieron a publicar la información, pero en esta ocasión todos los documentos Office se convirtieron a PDF y los archivos EXE fueron “desactivados” eliminando sus cabeceras por “razones de seguridad”. Analizando archivos de registro Además de los ficheros de memoria, nos encontramos con los archivos de registro. Pudimos analizar todo tipo de archivos de sistema, incluidos no solo los ficheros HIVE, sino también SAM y SYSTEM. Su análisis nos puede proporcionar las contraseñas para Windows, cuándo se usan para iniciar sesión o en servicios instalados, programas, licencias de Microsoft y mucho más. Lo que hicimos fue recuperar todos los archivos de registro e intentamos que volvieran a la vida. Estas son algunas de las conclusiones. Todos los sistemas (ALNSER-81089E22, SHAED-PC y MASOOD-A4065887 (de Masood Khan)) usaron las mismas dos licencias “públicas” de Windows XP (QW4HD-DQCRG-HM64M-6GJRK-8K83T y RHKG3-8YW4W-4RHJG-83M4Y-7X9GW). Uno de los equipos vivo desde 2002 Como teníamos los archivos SAM, podíamos tratar de recuperar las contraseñas. Ya lo hicimos con los hiberfil.sys, pero por si acaso repetimos el ejercicio con otra perspectiva. Los archivos SAM, por defecto, están cifrados con SYSKEY… pero no hay problema aquí. Los archivos de registro necesarios para calcular el SYSKEY también los teníamos, pero mezclados. No sabíamos qué archivo SAM estaba en qué equipo o qué archivo SYSTEM vino con qué archivo SAM. Así que tuvimos que hacer un pequeño ataque de “fuerza bruta” mezclando todas las evidencias encontradas. Después de usar Bkhive, hemos utilizado Cain solo para verificarlo Algunas de las claves SYSKEY obtenidas que cifraban la SAM son 9e11eec3a1bdfa93caaa4691b08a372c, 09c6b06c839bb4bbda3d3d267f0316e4, d776321d44b86563039ae83db9becbea… Desciframos todos los archivos SAM encontrados con ellos… Pero tampoco se encontraron contraseñas, con lo que concluimos (de nuevo) que no protegían sus cuentas de usuario local. Con algunos ficheros de registro (HIVEs) y SYSTEM, podemos saber qué programas se encontraban programados al arrancar el sistema (la localización típica del malware HKLM o HKCU y CurrentVersionRun). Algunas muestras de los programas que arrancaban dos de los equipos Podemos ver dos ejemplos de dos equipos diferentes. Por supuesto, “Msn Messsenger” (con tres “s”) no existe y regsvr.exe probablemente sea malware. SCVhost.exe no es svchost.exe y en winlogon (Userinit) solo debe aparecer el explorador (no regsvr.exe)… Todos al final son síntomas comunes de infección de malware, como ya constatamos en la entrada anterior. Con esta información y mirando en los lugares adecuados, podemos conocer no solo sus contraseñas sino también sus hábitos. Incluso podemos llegar a saber cuándo generalmente inician sesión (principalmente durante la tarde) o los usuarios de los equipos, así como cuándo se realizó el último login en el equipo. Respondiendo a esto último, fue el 1 de mayo de madrugada… justo un día antes de la redada de la CIA fechada el 2. Contraseñas y… contraseñas Por otro lado, también buscamos algunas ubicaciones más probables donde encontrar contraseñas. Intentamos localizarlas, por ejemplo, en la base de datos de Firefox, llamada key3.db (más algunos otros archivos JavaScript y sqlite). Pero no tuvimos suerte. Base de datos de preferencia de Firefox… sin contraseñas También lo intentamos con las contraseñas de Outlook Express, puesto que están almacenadas en el registro. A pesar de que encontramos una contraseña, no era real y parecía haberse configurado al azar durante el momento de la instalación. La cuenta de Outlook Express de Masoud, que parece falsa Tampoco había signos de gestores de contraseñas en las unidades. De hecho, encontramos una contraseña escrita en un archivo .txt y sin contexto. Y otras con algún contexto. Investigando un poco, conocemos que esta contraseña no es para ningún servicio, sino que representa algún tipo de código de activación de Office. Contraseñas para comunicación entre terroristas Pero, una de los objetivos más interesantes, suponía encontrar contraseñas usadas para las comunicaciones entre terroristas. Gracias a Metashield Protector, encontramos una dirección de correo electrónico fidaa22@yahoo.com insertada en un documento Word. Pero el contexto del archivo era mucho más interesante que el propio archivo o el correo electrónico en sí. En estas carta se envían las instrucciones para una comunicación “segura” En esta carta, el remitente recomienda que, debido a que Internet es tan inseguro, su comunicación debe ser comprimida con contraseñas en los archivos enviados entre ellos. La contraseña significa en inglés algo similar a: “No tengo objeción a lo que di, y él es de mente abierta”. La carta es para Mukhtar Abi Al-Zubayr, el líder del grupo militante somalí Harakat al-Shabab al-Mujahidin, que se fusionó con al-Qaeida después de la muerte de Bin Laden. La carta alerta al receptor sobre la extensión de los archivos cifrados que se intercambien, y recomienda cambiar de ZIP a alguna extensión de archivo multimedia, como MP3 o similar. Metadatos Gracias a algunos metadatos, pudimos encontrar uno de los últimos documentos escritos desde esos equipos. La fecha se establece en el “futuro” de enero de 2012 (o incluso más adelante) para algunos de los documentos encontrados. Suponemos que la fecha de algunos equipos se encontraba configurada incorrectamente. Metashield Forensics mostrando el ciclo de vida de algunos documentos Esta carta en particular fue escrita un domingo e impresa un jueves. Pero antes de eso, fue editada de alguna manera. Primera versión de la carta de arriba. Última versión a continuación “Le había enviado una carta anterior a través del jeque Mahmoud. Le pido su número de teléfono para organizar con usted mi boda solicitada por parte del honorable jeque Abu Abd al-Rahman…”. Un tiempo después añade a la carta una recomendación de seguridad sobre cómo transmitir la información: “Para el número de teléfono [con el que nos pondremos en contacto], sepárelo en el mensaje organizándolo en varias partes como fondos u objetos“. Leían libros de hacking A pesar del malware, el warez y la falta de medidas de seguridad encontradas, guardaban en su disco duro un libro de hacking. Uno de los libros de hacking encontrado en uno de los ordenadores de Bin Laden Este libro, creado por el conocido “Terrorista 007 “, estaba en algún lugar de los discos duros. Es una guía básica bastante simple sobre seguridad ofensiva, creada probablemente en 2006, con trucos tradicionales y hacks “habituales”. También te puede interesar: » Investigando los discos duros de Bin Laden: malware, contraseñas, warez y metadatos (I) Innovación y laboratorio innovationlab@11paths.com ElevenPaths Investigando los discos duros de Bin Laden: malware, contraseñas, warez y metadatos (I)Jude Milhon: defensora pionera de los ciberderechos
ElevenPaths ElevenPaths Radio 3×12 – Entrevista a Andrea G. Rodríguez La transformación digital es una realidad a la que cada vez se suman más organizaciones en todo el mundo. En este proceso, la ciberseguridad es una necesidad global, ya...
ElevenPaths Boletín semanal de ciberseguridad 3-9 de abril Campaña de distribución de malware mediante LinkedIn El equipo de investigadores de eSentire ha publicado detalles sobre el análisis de una nueva campaña de distribución de malware a través de...
Mónica Rentero Alonso de Linaje Sí, los cerebros femeninos están programados para la tecnología ¿Está la mente femenina programada para la tecnología? Sí, así, como suena. Esa fue la primera gran pregunta que sonó en mi cabeza en el primer año de carrera....
ElevenPaths ¿De verdad necesito un antivirus? La ciberseguridad es uno de los temas más en boga por su imparable crecimiento y desarrollo, cada vez es más frecuente su presencia en los medios de información, principalmente...
Gonzalo Álvarez Marañón La fiebre por los NFT: la última criptolocura que está arrasando Internet En mayo de 2007, el artista digital conocido como Beeple se propuso crear y publicar una nueva obra de arte en Internet cada día. Fiel a su palabra, produjo...
ElevenPaths Ciberseguridad en tiempos de pandemia, ¿cómo ha afectado el confinamiento a nuestra seguridad digital? La pandemia ha acelerado la transición a una vida digital, y con ello se han disparado los ciberataques contra usuarios y empresas. El ataque más frecuente, y que corresponde...
