TrustedInstaller, parando Windows Defender

27 de septiembre de 2021 Por

A menudo, durante un proceso de intrusión puede sernos de utilidad disponer de la capacidad de deshabilitar las medidas de defensa del equipo objetivo. Para aquellos pentesters que ya hayan probado las mieles de la solución de seguridad embarcada por defecto en los sistemas operativos de Microsoft, Windows Defender, estarán de acuerdo conmigo que ha mejorado sustancialmente desde sus primeras releases, en especial las últimas versiones con capacidad en nube para Windows 10. Por lo tanto, es muy probable que nos enfrentemos a este antivirus durante un proceso de intrusión, más pronto o más tarde.

De forma muy resumida, el componente principal de Windows Defender es el servicio “WinDefend”, encargado de lanzar el proceso de monitorización continua “MsMpEng.exe” y cargar su motor “mpengine.dll”, por lo tanto si somos capaces de parar ese servicio, estaremos deteniendo su ejecución en gran medida.

[Read more…]

Riesgos y Resiliencia de Internet ante una Tormenta Solar

22 de septiembre de 2021 Por
Fuente Goddard Space Flight Center Scientific Visualization Studio y el Solar Dynamics Observatory.

Imaginemos. Hace dos años un amigo flipao te pregunta; “tú (como trabajador, como empresario, como ciudadano o como simple “persona humana”),  ¿si viene una pandemia mundial y nos encierran en casa y no podemos ir  a la oficina, ni viajar, ni dar un abrazo a nuestros amigos,  que harías? ¿Qué harías ahora (hace dos años) para minimizar este riesgo?”

Sigamos imaginando. ¿Y si en vez de un amigo, esa pregunta te la hace un consultor en un análisis de riesgos o de impacto?

No hace falta que sigamos imaginando. Si es un amigo seguramente te hubieras atragantado de la risa, le hubieras dado una palmadita en la espalda y le hubieras dicho “eres un flipao”.

Si eres un empresario (Responsable de TI, de infraestructuras, de CPD, CISO, CIO, CEO, etc.) “sufriendo” un análisis de riesgos, habrías levantado los ojos al cielo y pensado “con la de cosas urgentes e importantes que tengo que hacer… “.

Y así nos ha ido.

[Read more…]

Omnium contra omnes (I): Foucault en la ciberguerra

17 de septiembre de 2021 Por

No cabe duda de que, durante los últimos años, el número de operaciones en el ciberespacio con una motivación política ha ido en aumento. Bajo el análisis del contexto geopolítico, podemos encontrar una de las causas del auge de este nuevo modelo de guerra.

Desde la II Guerra Mundial no ha habido un conflicto bélico entre dos naciones del primer mundo. Esto evidencia cómo las grandes naciones han trasladado el choque de intereses a metodologías menos clásicas, como puede ser la utilización de guerras subsidiarias, la guerra comercial y, desde hace algunos años, la ciberguerra.

Sin embargo, es la utilización de la ciberguerra lo que permite interpretar el contexto geopolítico actual, pues ofrece una serie de particularidades como conflicto que permiten adecuarse de manera acorde a las relaciones internaciones contemporáneas.

[Read more…]

Sincronización de navegadores en equipos corporativos… that is the question!

8 de julio de 2021 Por

La lucha por la cuota de mercado de los navegadores web es un relato tan viejo como la propia internet. A lo largo de esta crónica, distintos protagonistas han pugnado por atraer a los usuarios con nuevas y diferenciadoras funcionalidades que, cuando han resultado exitosas, han sido posteriormente adoptadas también por los competidores.

La publicidad, la privacidad, la explotación de los datos del usuario, la incorporación de nuevas extensiones, el consumo de recursos, vienen siendo, entre otros, algunos de los diferentes argumentos en esa confrontación.

En los últimos tiempos una nueva funcionalidad ha emergido en el terreno de los navegadores web: la sincronización de datos. De manera genérica, esta función permite acceder a los mismos favoritos, contraseñas, historial, extensiones,… desde cualquier dispositivo del usuario; es decir, estará disponible la misma información independientemente del dispositivo utilizado.

Así pues, por ejemplo, si usted sincronizara los “Favoritos” de su navegador entre el ordenador de casa y el de la empresa, accedería a los mismos “Favoritos” en ambos equipos.

[Read more…]

La cadena de suministro y el elefante en la habitación

6 de julio de 2021 Por

Hace unos días, a raíz de los ataques de ransomware “relacionados” con el producto Kaseya de gestión remota de TI, publiqué en LinkedIn una breve publicación en la que decía lo siguiente:

La cadena de suministro es el elefante en la habitación y tenemos que hablar más de ello.

Sí, hablemos un poco de prevención y dejemos la detección y gestión para otro momento. Como dice el dicho, mejor prevenir que curar. Para desarrollarlo un poco más, añadí que:

 

deberíamos empezar a pensar que el software y el hardware de terceros son inseguros por defecto y que se debería imponer la obligación a los fabricantes de software de realizar y publicar, hasta cierto punto, pentestings serios, regulares y profundos para las aplicaciones críticas que venden (y sus actualizaciones). E incluso entonces, cualquier software o dispositivo de terceros debería considerarse inseguro por defecto, a menos que se demuestre lo contrario.

 

En un comentario, Andrew (David) Worley hizo referencia a los informes SOC 2, que deberían ser capaces de prevenir mínimamente este tipo de “problemas”, y comentó un par de iniciativas que yo desconocía: el Software Bill of Materials (SBoMs) y el Digital Bill of Materials (DBoMs).

Me comprometo a hablar de ello en otro post, pero de momento sigamos.

[Read more…]

La certificación OSEP (Offensive Security Experienced Penetration Tester)

29 de junio de 2021 Por
PEN-300 and the OSEP Certification | Offensive Security

En esta entrada vamos a hablar de una de las nuevas certificaciones ofrecidas por Offensive Security, en concreto de OSEP (Offensive Security Experienced Penetration Tester).

Esta certificación forma parte del nuevo OSCE junto con las, también nuevas, OSED (Offensive Security Exploit Developer) y OSWE (Offensive Security Web Expert).

Como todas las certificaciones de Offensive Security, es obligatorio realizar el curso asociado a la certificación, denominado “Evasion techniques and breaching defenses” del que hablaremos más adelante también.

A día de hoy, el precio del curso es de 1299$, el cual incluye 2 meses de acceso al laboratorio y la convocatoria del examen (de 48 fantásticas horas :P).

Supongo que, si estás leyendo esta entrada, todo lo anterior ya lo conocías, así que ¡vamos a profundizar en lo que probablemente no sabes!

[Read more…]

La operación Escudo de Troya: cómo las fuerzas y cuerpos de seguridad están a la caza de los delincuentes en el ciberespacio.

23 de junio de 2021 Por
Operación encubierta de ANOM - Wikipedia, la enciclopedia libre
Fuente: FBI

En un mundo altamente hiperconectado, la tecnología avanza con una rapidez sin precedentes, que obliga tanto a policía como investigadores a innovar constantemente. Los ataques resultan ser cada vez más agresivos, al igual que la propia ciberdelincuencia evoluciona a un ritmo que puede resultar muy difícil seguir.

La guerra digital ha llegado para quedarse, y las nostálgicas persecuciones de película entre delincuentes y policías por las calles de la ciudad se han trasladado al ciberespacio. Esto hace que “los buenos” deban ser creativos a la hora de perseguir el crimen y establecer nuevos métodos de investigación.

Por todo ello, las trampas tecnológicas son ahora una realidad, especialmente dirigidas a identificar y capturar a miembros del crimen organizado, cibercriminales y terroristas, convirtiéndose esto en una nueva táctica de represión muy presente en la actualidad.

La Operación Escudo de Troya ejemplifica bien esta nueva modalidad de lucha contra el crimen en la red. Esta ofensiva policial ha contado con la colaboración de más de una decena de países, donde miembros de las fuerzas del orden se han infiltrado en bandas delictivas que operan online. Así, aquellos individuos interceptados resultaron ser usuarios de una aplicación concreta de comunicaciones cifradas, la cual había sido pinchada por el FBI, interceptando así todos los mensajes que los cibercriminales circulaban a través de la aplicación.

[Read more…]

Do Math or Windows Dies! Personalizando un ransomware escrito en .NET

21 de junio de 2021 Por
NOTA: El contenido de este artículo es educativo e informativo. El objetivo es aprender cómo funciona el malware y cómo identificar sus capacidades. El autor no se hace responsable de una mala utilización de la información aquí expuesta. El autor NO RECOMIENDA bajo NINGÚN CONCEPTO la ejecución de la muestra en una máquina fuera de laboratorio aislado.

En este artículo vamos a analizar, destripar y personalizar un pequeño malware de tipo screenlocker (una variante de Ransomware que bloquea el equipo pero no cifra los ficheros). Se trata de una muestra torpe pero efectiva que vamos a manipular para crear nuestro propio screenLocker.

SSHBOT, el ScreenLocker chapuza

SSHBOT, también conocido como P4YME, es un malware antiguo y poco sofisticado que pertenece a la familia de los ransomwares.

La muestra utilizada en este artículo es pública y está subida a VirusTotal, donde cuenta con 54 detecciones:

Cuando se ejecuta, reinicia el equipo y muestra este mensaje:

[Read more…]

Análisis campaña Emotet

16 de junio de 2021 Por
El post de hoy viene de la mano del CSIRT-CV, el Centro de Seguridad TIC de la Comunitat Valenciana. Nacido en junio del año 2007, como una apuesta de la Generalitat Valenciana por la seguridad en la red, fue una iniciativa pionera al ser el primer centro de estas características que se creó en España para un ámbito autonómico.

A pesar de tratarse de un malware que se comenzó a identificar en 2014, Emotet todavía sigue siendo una de las amenazas más activas hasta la fecha, evolucionado desde las versiones iniciales, en las que se centraba en el robo de credenciales bancarias, hasta la actualidad, dónde se ha ampliado el arsenal de técnicas entre las que se encuentran sniffing de tráfico de red, explotación de vulnerabilidades para conseguir movimiento lateral, etc.

Indicar que EMOTET fue interrumpido la última semana de Enero de 2021 mediante una acción global entre autoridades de los Países Bajos, Alemania, Estados Unidos, Reino Unido, Francia, Lituania, Canadá y Ucrania, con una actividad internacional coordinada por Europol y Eurojust. Esta acción permitió que los investigadores tomaran el control de su infraestructura.

Durante estos 6 años hemos visto cómo nuevas campañas de Emotet aparecían durante unas semanas, y una vez las muestras y los ficheros maliciosos utilizados ya eran bloqueados por las principales casas de Antivirus se detenían unos días hasta las siguiente oleada.

En CSIRT-CV hemos recibido varias de estas campañas, las cuales hemos tratado de analizar y remediar en nuestros sistemas. Vamos a detallar algunos aspectos importantes de este malware, que aunque desactivado, puede enseñarnos muchas cosas de las amenazas que vengan en el futuro.

[Read more…]

La dislexia, una aliada de los cibercriminales

9 de junio de 2021 Por
File:Dyslexia.jpg
Imagen por http://www.scientificanimations.com · Creative Commons Attribution-Share Alike 4.0 International

No voy a decir mucho sobre el phishing y cómo funciona porque… en serio… no soy el más indicado.

En su lugar, me quiero centrar en uno de los consejos de prevención que le damos a todo el mundo que puede ser objetivo de un ataque de este tipo (a todo el mundo, vaya): presta atención a la ortografía y la gramática o si se dirigen a ti de forma genérica.

Como persona que ha recibido innumerables emails que comienzan con “Querido Bien-amado” (y que los ha borrado de inmediato), o “Querido señor” (¿Señor? ¿Pero por qué querría nadie llamarme eso a mí?) esa parte la tengo bastante controlada.

La de la gramática, bueno. No me voy a quejar de gramática, aunque tampoco soy un Camilo José Cela (ni quiero, ¡gracias!). Pero la ortografía. Esa es harina de otro costal.

Veréis, tengo dislexia. Y discalculia.

[Read more…]