Troyanos bancarios de moda: mekotios y grandoreiros

6 de octubre de 2020 Por

A lo largo de este verano hemos recibido infinidad de correos, entre los cuales existe, por desgracia, un buen número de troyanos bancarios. Estos correos se suelen caracterizar por tener varias cosas en común, que es lo que vamos a explicar en este artículo.

Como elemento común (y básico para que el usuario caiga en la trampa), los correos suelen tener un gancho para que el usuario se vea en la necesidad de abrirlo: una multa de la DGT, una factura impagada de la luz, temas relacionados con la agencia tributaria, etc.

Por norma general, entre todos los correos analizados se pueden identificar dos clases principales: los correos con adjunto (habitualmente un documento doc, con macros maliciosas) y los correos con un enlace. Estos últimos son más peligrosos en cierto sentido ya que, los adjuntos que vienen por correo se suelen tener controlados y analizados, pero es más difícil controlar los ficheros que se descargan vía http por un link en el cuerpo del mensaje. Cuando son correos con enlaces, pueden descargar también un doc con macros, o a veces un fichero comprimido con un archivo .msi en su interior.

Además de esto, se identifican una serie de patrones, que no en todos los enlaces de correo se producen, pero sí en muchos, y que pueden ayudar a prevenir la descarga de estos archivos maliciosos, que se detallarán al final del artículo.

[Read more…]

El sesgo cognitivo en las tareas de Threat Hunting

30 de septiembre de 2020 Por
Imagen por Mohamed Hassan

Como cualquier analista sabe, la misma naturaleza del Threat Hunting conlleva la aplicación de aproximaciones lo más genéricas posible en cuanto a la detección de anomalías. Al contrario que las posiciones reactivas de la seguridad basada en reglas, el análisis proactivo delega en el analista un porcentaje importante de la detección. Esto conlleva que, del mismo modo que le ocurre a un analista de inteligencia convencional, se suela caer en errores de interpretación, debido al gran número de casuísticas que se encuentran en el día a día, y que el cerebro tiende a clasificar como legítimas o maliciosas en cuestión de centésimas de segundos.

Según Richard Heuer define en “Psicology of Intelligence Analysis”, un analista tiene límites en la interpretación de la información, determinados por su personalidad, sus creencias y sus sesgos cognitivos. Y es que, tras la identificación de la anomalía, el analista debe ser capaz de hacer una predicción. Es decir, es la interpretación de una detección y su asociación a una posible amenaza lo que concluye con una alerta de seguridad.

[Read more…]

Threat hunting (III): cazando sin salir de casa. Kibana

29 de septiembre de 2020 Por

Ver primera y segunda parte.

Kibana "Hello World" Example - Part 3 of the ELK Stack Series -

¡Buenas cazadores! ¿Qué tal va la temporada de caza?

Tras lo visto en anteriores posts, en este artículo vamos a continuar entendiendo y mejorando nuestro laboratorio de Threat Hunting.

Ya hemos aprendido a introducir nuestros datos sobre ataques reales y ahora aprenderemos a explotar esos datos. Poder visualizar los datos de una manera cómoda es, junto con la selección de buenas fuentes de datos, la parte más importante de un laboratorio. Todo el tiempo que invirtamos en una visualización intuitiva y agradable será tiempo ahorrado durante el análisis.

Ahora vamos de vuelta al laboratorio, esta vez vamos a aprender a manejar algunas de las funcionalidades de HELK que aún no hemos visto.

El Laboratorio – Visualización de datos

[Read more…]

Cloud: construir desde la seguridad

28 de septiembre de 2020 Por

Continuando esta serie de posts relacionados con el cloud, hoy toca hablar sobre cómo enfrentarse ante el mundo de posibilidades que la nube ofrece. Este artículo busca arrojar un poco de luz ante tan enorme empresa y mostrar diferentes aspectos a tener en cuenta. Es un camino interesante, con múltiples opciones y que puede llegar a aportar un valor enorme, tanto al negocio como a nuestra calidad de vida, siempre y cuando se plantee desde un punto de vista objetivo, realista y crítico. No hay que ser reticentes al cambio, pero tampoco afrontar el cambio por el cambio en sí.

Dejando mantras filosóficos aparte, afirmar que el cloud es la panacea tiene el mismo poco sentido que decir que el cloud no nos aporta valor.

Como siempre, y perdón por la insistencia, dependerá de cada organización y sus necesidades. Lo que es fundamental, dentro del análisis del caso de negocio y en el cálculo del retorno de inversión de la implementación de estos nuevos paradigmas tecnológicos, es que se tengan en cuenta las consecuencias, necesidades y capacidades de la seguridad. Tanto en procesos de migración a la nube, como ante cualquier cambio tecnológico.

Dicho esto, y yendo al grano, no hay ninguna duda de que migrar al cloud tiene un coste significativo. Que este coste sea mayor o menor dependerá de con lo que se compare, pero se puede afirmar que no es una decisión “barata”. Si se hace el ejercicio simple de comparar un servidor físico con un servidor en la nube, obviamente no hay color. Ahora bien, si se pone todo en contexto, y sobre todo, haciendo hincapié en la seguridad, hay muchos costes a valorar.

[Read more…]

Threat hunting (II): cazando sin salir de casa

25 de septiembre de 2020 Por

Los datos

Ahora que, como vimos en la anterior entrada de esta serie, ya disponemos de una plataforma para almacenar los datos, hay que conseguir datos.

Una forma sería instalar máquinas virtuales de Windows con Winlogbeat y Sysmon, pero eso lo haremos más adelante. Ahora quiero hablar de Mordor.

Mordor

Este proyecto, mantenido también por Roberto Rodríguez y José Luis Rodríguez, es un repositorio de eventos pregrabados mientras se ejecutaban técnicas ofensivas en máquinas de laboratorio.

Como es de esperar, Mordor se integra perfectamente con HELK y nos permite disponer de datos muy interesantes para empezar a cazar a nuestras amenazas. Vamos allá.

[Read more…]

¿Qué ha pasado, Tiki-Wiki? Vulnerabilidades XSS, no gracias

23 de septiembre de 2020 Por

La entrada de hoy es una colaboración enviada por el equipo del CSIRT-CV, el Centro de Seguridad TIC de la Comunitat Valenciana, en relación a la detección de una vulnerabilidad en el CMS Tiki-Wiki durante el pasado diciembre.

Hace ya unos meses, concretamente en diciembre de 2019, en el CSIRT-CV descubrimos una vulnerabilidad en el CMS Tiki-Wiki, un sistema de gestión de contenidos del estilo de WordPress, Joomla o Drupal.

Esta vulnerabilidad se publicó meses más tarde, en abril de 2020, con el código CVE-2020-8966, como se puede comprobar en nuestra página de alertas, dando el suficiente margen de tiempo a los desarrolladores para corregir el problema detectado en la aplicación. Todo esto se canalizó a través de INCIBE-CERT, que intermedió con la empresa desarrolladora. Una vez corregida, publicada y tras los problemas derivados de la Covid-19 hemos sacado un rato para contaros los detalles de la misma.

Durante un test de intrusión realizado a una página web interna que usaba este CMS, se detectaron varios fallos de seguridad Cross-Site Scripting (XSS) Reflected sobre la versión 18.3, pero cuya explotación seguía siendo efectiva en la última versión disponible, la v.20.0 por aquel entonces.

[Read more…]

Threat hunting (I): cazando sin salir de casa

21 de septiembre de 2020 Por

Muchas veces, hablando con amigos que se dedican a otras profesiones, les comento la gran suerte que tenemos los que nos dedicamos a la informática. Nosotros, a diferencia del 99% de las profesiones, podemos crear entornos realistas para hacer pruebas, aprender, practicar… y cuando terminamos con esos entornos podemos destruirlos y el gasto de material habrá sido cero. ¡Cuánta suerte tenemos!

A los que nos apasiona la seguridad informática aún tenemos más suerte; desde sus inicios la comunidad de la ciberseguridad se ha caracterizado por su defensa de la libertad de la información, el software libre y el aprendizaje colectivo, lo que ha hecho que estemos en el mejor momento de la historia para aprender sobre ciberseguridad.

En este caso, quiero hacer una guía para poder construir un laboratorio de Threat Hunting desde casa y a coste cero (sin contar en la inversión de nuestro equipo).

Antes de ponernos manos a la obra, vamos a hacer una breve introducción sobre el Threat Hunting, es importante asentar bien los cimientos de nuestro laboratorio.

[Read more…]

La nube conoce a la continuidad del negocio

17 de septiembre de 2020 Por

Aprovechando el post introductorio de hace unos días, y para no perder el impulso, vamos a seguir hablando del cloud, en un ámbito en el que parece especialmente útil: la continuidad del negocio. Entre otras medidas, es cierto que la existencia de datacenters distribuidos por todo el mundo (¿alguien dijo GDPR?), el escalado flexible de los sistemas y el despliegue casi instantáneo hacen una infraestructura en la nube (en igualdad de condiciones) más resiliente que una infraestructura on premise. Claro que la disponibilidad no es el único factor a considerar, pero de eso hablaremos otro día.

Sin embargo, para hablar de las bondades del cloud los proveedores se bastan y se sobran. De lo que quiero hablar es de algunos de los aspectos que deben ser considerados antes de migrar una infraestructura al cloud (aunque algunos de estos puntos también son aplicables al PaaS y al SaaS). Es decir, los problemas.

[Read more…]

There is no cloud, it’s just…

15 de septiembre de 2020 Por

A estas alturas, todo el mundo sabe lo que es cloud. Probablemente, muchos de nuestros lectores tengan servicios alojados en la nube o proyectos en marcha para migrar a ella. Y es que, aunque ha cambiado significativamente desde que Salesforce comenzó en 1999 con su SaaS, es un modelo que, tal y como lo conocemos hoy en día, lleva entre nosotros bastante más de una década.

Sticker by Chris Watterson / http://www.chriswatterston.com/blog/my-there-is-no-cloud-sticker

Es cierto que el número de actores ha crecido de manera importante, los procesos se han consolidado y el número de servicios se ha incrementado (y lo sigue haciendo), y nuevos estándares, organizaciones y certificaciones han ido apareciendo (y lo siguen haciendo) ligados a este nuevo paradigma, pero con mayor o menor nivel de detalle, ya vamos entendiendo de qué va esto de la “nube”.

Y quizá el problema sea ese “vamos entendiendo” o “con mayor o menor nivel de detalle”, porque a nadie se le escapa que, siempre generalizando, aún falta mucho camino en la adopción e integración de prácticas puramente cloud, y por supuesto, en la implementación del cloud seguro. Y esa es precisamente la idea de esta serie: partir de ese “mayor o menor nivel de detalle” para ir ampliando, poco a poco, el grado de profundidad.

[Read more…]

Los IOC han muerto, ¡larga vida a los IOC!

28 de julio de 2020 Por

Un indicador de compromiso (IOC) se define como una pieza de información que puede utilizarse para identificar el posible compromiso de un entorno: desde una simple dirección IP hasta un conjunto de tácticas, técnicas y procedimientos usados por un atacante en una campaña. Aunque cuando hablamos de IOC siempre tendemos a pensar en indicadores como IP o dominios, el concepto va más allá, y en función de su granularidad, podemos encontrar tres tipos de indicadores:

  • Indicadores atómicos: los que no pueden ser descompuestos en partes más pequeñas sin perder su utilidad, como una dirección IP o un nombre de dominio.
  • Indicadores calculados: los que se derivan de datos implicados en un incidente, como el hash de un fichero.
  • Indicadores conductuales: los que a partir del tratamiento de los anteriores, permiten representar el comportamiento de un atacante, sus tácticas, técnicas y procedimientos (TTP).
[Read more…]