IPFS, un nuevo playground para los desarrolladores de malwareElevenPaths 21 noviembre, 2017 No son pocos los proyectos diseñados tanto por organismos o empresas para la compartición de inteligencia sobre amenazas. Sin ir más lejos, ElevenPaths dispone de una plataforma de IoC para la detección temprana de amenazas sofisticadas. Sin embargo, cada vez es más frecuente identificar entre este tipo de amenazas, el uso de tecnologías descentralizadas con el objetivo de que un tercero no pueda bloquear cualquier comunicación con el C2C, la distribución de los payloads o de binarios para que siempre se encuentren accesibles. Un ejemplo de plataformas descentralizadas que han sido muy recurridas a lo largo del tiempo por determinados threat actors han sido las siguientes: La red Tor como opción para ocultar la localización de los servidores C&C. Vemos en el siguiente gráfico que esta práctica está siendo una tendencia durante este año. Figura 1. Muestras asociadas que utilizan la red Tor Para acceder a los hidden services de Tor se requiere una configuración específica del navegador, la utilización del Tor Browser Bundle o el enrutamiento de las peticiones a nivel de sistema operativo. Para facilitar el acceso a dichas plataformas sin necesidad de configurar ningún software existen los conocidos como Tor gateways que hacen de proxy entre un usuario que intenta acceder a un recurso .onion y el propio recurso, recogiendo el resultado y sirviéndoselo de nuevo. De esta manera, la comunicación con los C2C albergados en Tor puede ser llevada a cabo por gateaways, como es el caso de Tor2Web. Figura 2. Muestras que utilizan el gateaway Tor2Web. Más frecuente es la utilización de archivos torrent para la distribución de malware. Figura 3. Muestras vinculadas a archivos torrent. También es sonado el uso de ZeroNet y Freenet, pero ya menos frecuente en la actualidad. Figura 4. Uso de ZeroNet por parte de muestras de malware. Figura 5. Uso de FreeNet por parte de muestras de malware. Sin embargo, recientemente se han identificado en las bases de datos de inteligencia de amenazas de ElevenPaths, muestras de malware que estarían utilizando un protocolo relativamente nuevo como es el de InterPlanetary File System (IPFS, por sus siglas en inglés). El malware encontrado realiza resoluciones al dominio gateway.ipfs.io y ipfs.io, utilizado para el acceso a recursos de IPFS. No obstante, no se han observado descargas, motivado probablemente por el propio diseño de la muestra, la cual se construye de diferentes elementos y que las capacidades de descarga o comunicación tipo C2C mediante el uso de IPFS no hayan sido accionadas. En primer lugar, para su instalación utiliza diferentes tipos de instaladores de forma encadenada como Setup Factory Runtime, InstallCapital, Install Core o InstallCube. Con el objetivo de conseguir persistencia, utiliza diferentes técnicas como, por ejemplo, las tareas programadas del sistema. Asimismo, para evitar ser detectado realiza modificaciones en la configuración de seguridad del sistema mediante la desactivación del UAC, deshabilitando WindowsDefender y modificando el firewall de Windows. Y, además, otro tipo de técnicas comúnmente utilizadas es la utilización de DNS dinámicos o la inyección de procesos. Finalmente señalar que en los casos detectados se han encontrado muestras que incorporaban malware como en el gusano común Sality, el cual utiliza como método de propagación las unidades extraíbles y con capacidades de descargar malware adicional. Y, en otra de las piezas identificadas asociadas a IPFS, incorporaba Glupteba, un troyano que genera ingresos haciendo clic en publicidad en un sistema comprometido. El uso generalizado de este protocolo podría llevarse a cabo en el futuro debido a las características técnicas que ofrece. Al igual que se ha realizado con los torrents por su amplia utilización por diferentes tipos de muestras maliciosas, es probable que en el futuro sea necesario proteger los sistemas evitando conexiones a IPFS, con la consiguiente pérdida de fiabilidad en este sistema. Miguel Ángel de Castro Simón Senior Cybersecurity Analyst at ElevenPaths miguelangel.decastro@telefonica.com Yaiza Rubio Intelligence Analyst at ElevenPaths’ Innovation Lab @yrubiosec yaiza.rubiovinuela@telefonica.com Funcionamiento de OCSP con Certificate TransparencyDorothy Vaughan: matemática y primera manager afroamericana de la NASA
Telefónica Tech Qué es el Esquema Nacional de Seguridad (ENS 2.0) La Ciberseguridad, la privacidad y la protección de los datos y de la información sensible son aspectos cada vez más importantes en la sociedad actual. Tanto para empresas y...
Nacho Palou 5G: cuatro casos de uso reales y prácticos El último informe “La Sociedad Digital en España 2022” [1] de Fundación Telefónica confirma la consolidación de los procesos de digitalización en la sociedad española. En este sentido, cabe...
Susana Alwasity Ciberseguridad: eventos “cisne negro” en un mundo conectado En la sociedad actual, la tecnología ha transformado la forma en que vivimos, trabajamos y nos relacionamos. Con el aumento del uso de dispositivos y redes conectados a internet,...
Telefónica Tech Boletín semanal de Ciberseguridad, 11 – 17 de marzo Nueva versión del troyano bancario Xenomorph Investigadores de ThreatFabric han detectado una nueva variante del troyano bancario para Android Xenomorph. Esta familia de malware fue detectada por primera vez en febrero...
Gonzalo Álvarez Marañón Matemáticas contra el cibercrimen: cómo detectar fraude, manipulaciones y ataques aplicando la Ley de Benford Cómo aplicar la ley de Benford para luchar contra el cibercrimen. La respuesta, en este post que utiliza las matemáticas para ayudar a la ciberseguridad.
Javier Herrero Mi experiencia como voluntario en la iniciativa AulaCibersegura para proteger a los menores en internet La iniciativa AulaCibersegura Desde hace mucho tiempo tenía la inquietud y necesidad personal de contribuir de alguna forma real y directa al programa de voluntariado que promueve Telefónica. Antes me...
