Gonzalo Álvarez Marañón En Internet nadie sabe que eres un perro ni aunque uses certificados TLS Te habrás fijado en que la mayoría de las páginas web llevan un candadito. Si haces clic en él, aparecerá una ventana que afirma que “la conexión es segura”....
ElevenPaths Boletín semanal de ciberseguridad 13-19 febrero Vulnerabilidad de elevación de privilegios en Windows Defender El investigador de SentinelLabs Kasif Dekel ha descubierto una nueva vulnerabilidad en Windows Defender que podría llevar activa más de doce años....
Área de Innovación y Laboratorio de ElevenPaths ChainLock, nuestra herramienta para bloquear archivos importantes en Linux Con esta herramienta ponemos a disposición de la comunidad una forma de asegurar archivos en Linux.
ElevenPaths ElevenPaths Radio – 1×03 Entrevista a Miguel Rego Ya disponible un nuevo capítulo de ElevenPaths Radio, nuestra serie de podcast en el que, a través de entrevistas a los actores más relevantes de la ciberseguridad, damos una...
Gonzalo Álvarez Marañón En Internet nadie sabe que eres un perro ni aunque uses certificados TLS Te habrás fijado en que la mayoría de las páginas web llevan un candadito. Si haces clic en él, aparecerá una ventana que afirma que “la conexión es segura”....
ElevenPaths Boletín semanal de ciberseguridad 13-19 febrero Vulnerabilidad de elevación de privilegios en Windows Defender El investigador de SentinelLabs Kasif Dekel ha descubierto una nueva vulnerabilidad en Windows Defender que podría llevar activa más de doce años....
Javier Provecho CNCF’s Harbor (cloud native registry) corrige una fuga de información descubierta por ElevenPaths (CVE-2020-29662) El pasado 2 de diciembre, el equipo de CTO SRE de ElevenPaths descubrió una API sin acceso autenticado en Harbor, un registro cloud native parte de la CNCF. Es...
ElevenPaths Cómo se usa la aleatoriedad en la seguridad La aleatoriedad es un factor importante en muchos elementos de la informática, sobre todo a la hora de generar claves criptográficas seguras para protocolos criptográficos. Un elemento criptográfico generado...
Área de Innovación y Laboratorio de ElevenPaths ElevenPaths pasa a formar parte del Atlas de Ciberseguridad de la Comisión Europea El Área de Innovación y Laboratorio de ElevenPaths ha sido incluida como como parte del Atlas de Ciberseguridad de la Comisión Europea, una plataforma de gestión del conocimiento que...
Gonzalo Álvarez Marañón En Internet nadie sabe que eres un perro ni aunque uses certificados TLS Te habrás fijado en que la mayoría de las páginas web llevan un candadito. Si haces clic en él, aparecerá una ventana que afirma que “la conexión es segura”....
ElevenPaths ElevenPaths Radio #11 – Malware en librerías de desarrollo Programas de ordenador, juegos, aplicaciones… todo ello y mucho más software está realizado por desarrolladores y desarrolladoras gracias a las librerías de desarrollo, desde donde se descargan miles de...
ElevenPaths ElevenPaths Radio – 2×05 Entrevista a Ofelia Tejerina En este episodio hablamos con Ofelia Tejerina, abogada especializada en derechos digitales y presidenta de la Asociación de Internautas.
Mayhem: malware para *nix, “como si fuera un Windows”ElevenPaths 21 julio, 2014 Mayhem es un malware para servidores Linux. Al margen de las discusiones estériles sobre fanáticos y escépticos que siempre levantarán este tipo de noticias, su tecnología es interesante (comparable a los bots habituales para Windows). Aunque al final, al menos desde cierto punto de vista, decepcionan sus aparentes objetivos. Veamos por qué. Ocasionalmente se encuentra un malware más o menos sofisticado que está destinado a infectar a sistemas *nix. Normalmente orientados a servidores, ejemplos recientes son Forkitor, Effusion… Veamos ahora Mayhem (encontrado en abril de 2014 con unos 1400 bots manejados), y sus principales características a alto nivel. Infectando y actuando En el informe no aclara explícitamente cómo llega el malware a los servidores, pero suponemos que lo están haciendo a través de vulnerabilidades que permitan la ejecución de código en PHP. De hecho, el primer “enlace” en la cadena de malware es un script en PHP que descarga un script y lanza todo el proceso de infección. Este es el método clásico en servidores *nix. Cualquier despiste o falta de actualización en la configuración de una página PHP puede terminar en la ejecución de código PHP. Si normalmente los atacantes culminan su tarea de “conquista” del servidor subiendo una shell en PHP para controlar el sistema dentro de sus posibilidades, la diferencia es que Mayhem va mucho más allá. Script PHP de infección de Mayhem El código PHP se encarga fundamentalmente de ejecutar un script llamado 1.sh con el comando “at now -f 1.sh”. Este script fundamentalmente abusa de LD_PRELOAD para conseguir que una librería (shared object, los .so en Linux comparables con una DLL) se cargue antes que un programa y por tanto “enganche” funciones. Es una técnica conocida desde hace años. Mayhem en concreto reescribe la función “exit” para que sea invocada cuando se lanza el comando “/usr/bin host”. Este nuevo “exit” lo que hace es “situarse” en el sistema (buscando la dirección de memoria base en memoria a partir de “ELF”, y desde ahí deducir el path real) y además descargar un binario. Ese binario por último se encargará, a través de un “fork” de procesos, de comprobar que tiene conexión, borrar el ELF descargado y leer la configuración cifrada del C&C para poder empezar a trabajar. Como detalle, la configuración se encuentra cifrada en el segmento .data del objeto compartido. Una vez leída, se borra el .so y comienza la infección. Hasta aquí, lo cierto es que es similar a ciertos modelos estándar de infección de Windows, pero relativamente interesante en Linux. Luego, Mayhem utiliza un sistema de colas más o menos complejo para poder ponerse en contacto con el C&C, enviarle la información relevante, recoger nuevos plugins, controlar el sistema, etc. Un resumen de los comandos con los que se comunica con el C&C es: Comandos que envía: R (llamar al C&C y enviar información), F (requerir fichero), Q (envía datos), P (reporta su estado). Comandos que recibe: F (ejecutar nueva tarea) , L (Cargar plugin), Q (enviar datos), S (parar tarea). El disco invisible Una característica interesante es la capacidad de crear, haciendo gala de incluso trucos antidebugging, un archivo (llamado “.sd0”) oculto en memoria como un sistema de ficheros. Para comunicarse con él se usa una librería FAT16/32 libre modificada por los atacantes para poder trabajar con código cifrado. Este disco virtual oculto cifra la información con 32 rondas del algoritmo XTEA en modo ECB. La clave de cifrado varía de bloque a bloque. En este sistema de ficheros se guarda el botín, los plugins, urls, etc. Un sistema de plugins… ¿decepcionante? El malware utiliza plugins. Hasta ocho se han encontrado, en forma de ficheros .so, y ninguno detectado por ningún motor antivirus (algo hasta cierto punto normal). Si analizamos para qué sirve cada uno, fundamentalmente se encuentran: Plugins para encontrar páginas que sean vulnerables a problemas de RFI (Remote File Inclusion). Plugins para atacar a WordPress, encontrando usuarios válidos, páginas de login, aplicar fuerza bruta sobre páginas de login (también de Joomla)… Un plugin más genérico para aplicar fuerza bruta sobre casi cualquier página y otro para cuentas FTP. Otro para “crawlear” páginas o IPs (las que le dice el C&C) y extraer información. Esta serie de posibilidades no resulta excesivamente espectacular. Ya existen miles de scripts y sitios desde donde (atacantes mucho menos sofisticados) realizan este tipo de búsquedas cuyo objetivo son sistemas muy populares como WordPress, por ejemplo. Decenas de guías de “hacking” no hacen más que apuntar a scripts “listos para usar” que explotan fallos y listas de “dorks” para Google que devolverán páginas potencialmente vulnerables a esos fallos. Por otro lado, además, el uso de fuerza bruta es muy ruidoso y poco efectivo en general, si hablamos de objetivos jugosos. Quizás reporte cierto éxito entre páginas de usuarios comunes, pero resultaría de poco interés desde el punto de vista de un atacante de un perfil alto, a no ser que esto forme parte de una primera fase de un ataque más sofisticado que requiera de muchas máquinas “base” para conseguirlo. Conclusiones El sistema de infección y almacenamiento de información en disco virtual es interesante y efectivo, y hace lo que puede sin intentar elevar privilegios. Por supuesto, si el sistema se encuentra que corre como root, el sistema de comunicación con el C&C dará mucho más juego. Pero en principio el diseño de los plugins, que parecen las “tareas comunes” para las que ha sido diseñado el malware, tienen como misión encontrar páginas comunes con una configuración débil, algo que nos aleja de la idea de que fue creado con algún objetivo interesante en mente, sino que sus expectativas resultaban mucho más modestas. ¿El primer paso para reclutar agentes necesarios para otro ataque? Quién sabe. Aunque la botnet puede ser muy potente y no se sabe cuál es su fin último, da la sensación de que el método de infección está muy trabajado, pero el botín que puede encontrar una vez funcionando desde un sistema bajo su control, no es de “buena calidad”. Este botín (paginas en PHP mal configuradas, servidores FTP con contraseñas que pueden ser deducidas por fuerza bruta) es el que esperan los atacantes de un perfil mucho más bajo, que solo necesitan comprometer una página en PHP atacando un CMS desactualizado, subir una shell común y desde ahí lanzar dorks y plugins ya existentes… al alcance de cualquier atacante adolescente. De hecho no se necesitan grandes conocimientos para hacerse con un buen puñado de páginas de este tipo y controlarlas para que sirvan de lanzadera de spam, alojar phishings, etc. Son el “low hanging fruit” de los atacantes. Sin embargo Mayhem sirve, como siempre, para recordar que es necesario asegurar los servidores (y aquí no podemos más que recomendar Faast), y que no solo existen ataques personalizados que puedan estar buscando una empresa como objetivo, sino que, como servidor basado en *nix, se puede ser víctima hasta de malware más o menos automatizado. Sergio de los Santos ssantos@11paths.com @ssantosv Latch in Node.js… too mainstream?Faast: Nuevo diseño (I)
Área de Innovación y Laboratorio de ElevenPaths ElevenPaths pasa a formar parte del Atlas de Ciberseguridad de la Comisión Europea El Área de Innovación y Laboratorio de ElevenPaths ha sido incluida como como parte del Atlas de Ciberseguridad de la Comisión Europea, una plataforma de gestión del conocimiento que...
Gonzalo Álvarez Marañón En Internet nadie sabe que eres un perro ni aunque uses certificados TLS Te habrás fijado en que la mayoría de las páginas web llevan un candadito. Si haces clic en él, aparecerá una ventana que afirma que “la conexión es segura”....
ElevenPaths Boletín semanal de ciberseguridad 13-19 febrero Vulnerabilidad de elevación de privilegios en Windows Defender El investigador de SentinelLabs Kasif Dekel ha descubierto una nueva vulnerabilidad en Windows Defender que podría llevar activa más de doce años....
Martiniano Mallavibarrena La nueva fuerza de trabajo digital y los riesgos alrededor de la robótica de procesos (RPA) En estos últimos años, son muchas las empresas de distintos sectores que han optado por basar su transformación digital en la automatización de procesos (RPA – Robot Process Automation),...
ElevenPaths ¿Qué es la VPN y para qué sirve? Las conexiones VPN no son nada nuevo, llevan con nosotros mucho tiempo, siempre unidas al ámbito empresarial. La gran versatilidad y sus diferentes usos ha hecho que cada vez...
Juan Elosua Tomé Nueva versión de FARO: crea tu propio plugin y contribuye a su evolución Hoy venimos a presentaros una nueva versión de FARO, nuestra herramienta open source de detección de información sensible de la que ya os hemos hablado en este mismo blog...