Security Art Work

En este artículo vamos a aprender sobre la clusterización de amenazas llevada a cabo por los equipos de Threat Hunting. Pero, antes de nada, vamos a definir algunos términos.

En primer lugar, Threat Hunting se refiere al arte de buscar y detectar de manera proactiva amenazas de ciberseguridad ocultas en un entorno. Es un enfoque dinámico y estratégico que permite a los defensores descubrir y neutralizar posibles peligros antes de que escalen, convirtiéndose en una habilidad esencial en el actual panorama de ciberseguridad.

En segundo lugar, los analistas de Threat Hunting, también llamados Threat Hunters, necesitan técnicas para identificar y rastrear a las APT y sus actividades. APT se refiere a una amenaza avanzada y persistente que opera de manera encubierta y con intenciones maliciosas durante un período prolongado de tiempo. Para llevar a cabo sus objetivos, las APT utilizan técnicas, tácticas y procedimientos (TTP) sofisticados para acceder a redes y sistemas de información de alto valor, como los sistemas gubernamentales, financieros y militares, entre otros.

Preparaos para revivir la era de las camisas de franela y las riñoneras: un grupo de ciberdelincuentes autodenominado APT-HomeAlone, ha anunciado su plan para catapultar al mundo entero de regreso a los años 90 esta Nochevieja.

Mediante una serie de complejas ciberoperaciones, estos piratas informáticos pretenden reprogramar todos los dispositivos electrónicos para que, al sonar las doce campanadas, nos encontremos en el 1 de enero de 1990. Imagínate intentar publicar en Instagram tus fotos de Nochevieja y encontrarte buscando un módem para conectarte a Terra, Infovia, Ya.com, Wanadoo…

Estos hábiles delincuentes utilizan métodos avanzados, incluyendo “Retro-Infiltración de Sistemas” y “Manipulación Temporal de Redes”. Para ello han desarrollado un software llamado “BackToThe90s.exe”, capaz de transformar interfaces modernas a versiones que recuerden a Windows 95, con sus icónicos fondos de escritorio y sonidos de inicio.

Desde Security Art Work queremos desearos unas felices fiestas y lo mejor para este 2024 que está a punto de comenzar. Y en estos tiempos de postales generadas por inteligencia artificial, jerseys tipificados en el Código Penal y comida y bebida por encima de nuestras posibilidades, os enviamos nuestra felicitación navideña. Gracias a las herramientas de los dioses, sencilla y ligera, para que no se os llene el disco duro, ni el de vuestro ordenador ni el del ordenador de otras personas.

begin 644 saw23.awk
M0D5'24X@>PIS<F%N9"@I.PIR97-E=#TB7#`S,ULP;2(["F@],C`[<SUH+3$[
M;#TQ.PIF;W(@*&H@/2`Q.R!J(#P]<SL@:BLK*2!P<FEN=&8H(B`B*3L*<')I
M;G1F*")<,#,S6S$[.31M(BD[(`IP<FEN=&8H(D!<;B(I.PIF;W(@*&D],3MI
M/#UH.VDK*RD@>PH)9F]R*&H],3MJ/#US.VHK*RD@<')I;G1F*"(@(BD["B`@
M("`@("`@<RTM.PH@("`@("`@(&9O<BAJ/3$[:CP];#MJ*RLI('L*("`@("`@
M("`)<')I;G1F*")<,#,S6S$[.3)M(BD["@D)83UI;G0H,3`J<F%N9"@I*3L*
M"0EI9BAA(3TS*7!R:6YT9BAA*3L*"0EE;'-E>PH)"0EP<FEN=&8H(EPP,S-;
M-3LS-&TB*3L@"@D)"7!R:6YT9B@B*B(I.PH)"0EP<FEN=&8H<F5S970I.PH)
M"7T*("`@("`@("!]"B`@("`@("`@;"L],CL*("`@("`@("!P<FEN=&8H<F5S
M970I.PH@("`@("`@('!R:6YT9B@B7&XB*3L*"7T*='<]:"\R.PIT:#UH+S0[
M"G1S/6@M='<O,CL*9F]R("AI/3$[:3P]=&@[:2LK*2!["@EF;W(H:CTQ.VH\
M/71S.VHK*RD@<')I;G1F*"(@(BD["B`@("`@("`@<')I;G1F*")<,#,S6S$[
M,S%M(BD["B`@("`@("`)9F]R("AJ/3$[:CP]='<[:BLK*2!P<FEN=&8H:6YT
M*#$P*G)A;F0H*2DI.PH@("`@("`@('!R:6YT9BAR97-E="D["B`@("`@("`)
M<')I;G1F*")<;B(I.PI]"G!R:6YT9B@B7#`S,ULQ.SDT;2(I.PIP<FEN=&8H
M(D1E<V1E(%-E8W5R:71Y($%R="!7;W)K(&]S(&1E<V5A;6]S($9E;&EZ($YA
M=FED860@>2!P<L.S<W!E<F\@,C`R-%QN(BD["G!R:6YT9BAR97-E="D["GT*
`
end

Por cierto, si sabes abrir el sobre y visualizar la felicitación sin ayuda de Google (o de ChatGPT) eres población de riesgo. Feliz Navidad y cuidado con los excesos de estos días :)

No hay día en el que no veamos alguna noticia relacionada con Inteligencia Artificial (IA) y, aunque existe una posición común respecto a los beneficios que ésta puede generar en diferentes ámbitos como sanidad, educación, medio ambiente, etc., el desarrollo de sistemas basados en IA genera ciertos desafíos éticos que pueden redundar en riesgos de amplio alcance, pues éstos serán usados a nivel mundial.

Nos podríamos preguntar, ¿cómo una tecnología que debería estar diseñada para facilitar el trabajo, la toma de decisiones y colaborar a la mejora de vida de la población, puede repercutir negativamente si no se diseña y monitoriza de forma adecuada?

Tomando como referencia las reflexiones de Coeckelbergh (AI Ethics, 2021): “La IA incrementará progresivamente su capacidad de agencia intencional, replicando y reemplazando a la agencia humana, generando el problema de la ausencia o disolución de la responsabilidad ética en los sistemas tecnológicos”.

En este artículo vamos a tratar de explicar, paso a paso de la forma más sencilla posible, cómo crear un entorno de trabajo para realizar un hacking ético sobre una aplicación de un dispositivo Android, de tal forma que lo pueda realizar cualquier persona independientemente de los conocimientos que tenga.

El primer paso es la creación de un entorno de trabajo para comenzar una auditoria de aplicaciones móviles en Android. Para ello, veremos varios emuladores de dispositivos móviles y elegiremos uno en el cual montaremos nuestro entorno.

Algunos emuladores en el mercado

Empecemos por explicar que es un emulador. Esta palabra procede del vocablo latino aemulātor (emula), es decir, algo que imita el funcionamiento de otra cosa. Wikipedia lo define de la siguiente forma: “En informática, un emulador es un software que permite ejecutar programas o videojuegos en una plataforma (sea una arquitectura de hardware o un sistema operativo) diferente de aquella para la cual fueron escritos originalmente. A diferencia de un simulador, que solo trata de reproducir el comportamiento del programa, un emulador trata de modelar de forma precisa el dispositivo de manera que este funcione como si estuviese siendo usado en el aparato original”.

La herramienta digital de ChatGPT es de sobra conocida a estas alturas. Esta inteligencia artificial (IA) está teniendo un gran impacto en la era de la información y la comunicación. ChatGPT se está utilizando con diferentes objetivos para mejorar algunos sistemas, sin embargo, algunas de las aplicaciones por la que se está usando están generando controversia, y por tanto, una razón más por la que se está haciendo eco de ella.

Si todavía no conoces ChatGPT, debes saber que es una herramienta desarrollada por OpenAI especializada en el diálogo. Es un chatbot. Es decir, tú introduces una entrada de texto y ChatGPT genera un texto coherente que responde a lo que le hayas escrito.

Pues bien, ChatGPT también se puede usar en salud. Pero, ¿a qué nos referimos con “en salud”? “En salud” significa que puede aplicarse en cualquier ámbito que afecte a la salud de las personas, ya sea para desarrollar un nuevo software que mejore la gestión sanitaria de un hospital como para preguntar dudas desde casa sobre nuestro bienestar.

Se han desarrollado varios proyectos utilizando IA enfocados en salud. Algunos de ellos implementan los mismos modelos de ChatGPT y otros se basan en tecnología propia, todos ellos teniendo en cuenta la comunicación con el paciente.

Raspberry Robin fue una amenaza latente durante el año 2022, causando múltiples incidentes en organizaciones de diferente índole. Dicha amenaza posee como vector de entrada un medio extraíble, una tarjeta SD o un USB drive. Raspberry Robin pertenece a un gran ecosistema para desplegar IcedID, BlumbleBee y TrueBot.

Principalmente, es liderado por DEV-0243 (DEV-0206 and DEV-0243: An “evil” partnership), aunque se ha visto usado por actores como DEV-0950 (FIN11/TA505). Este despliega el ransomware Clop en la última etapa. Red Canary (Raspberry Robin gets the worm early) y Microsoft (A new worm hatches: Raspberry Robin’s initial propagation via USB drives) publicaron extensos artículos sobre las técnicas, tácticas y procedimientos ejecutados por Raspberry Robin.

La detección de las amenazas se realiza en buena parte a partir de indicadores de compromiso. Estos indicadores son observables que identificamos en la gestión de un incidente o en una investigación, que nos llegan de terceros en forma de feeds de inteligencia, que descargamos de plataformas como MISP, que compartimos entre grupos de trabajo… En definitiva, los descubrimos o nos los descubren. Pero ¿de dónde vienen estos indicadores? De una u otra forma los indicadores, parte fundamental para la caracterización de una amenaza (actor, operación…) provienen del análisis de inteligencia. En este post vamos a comentar el camino desde la adquisición de información hasta la generación de indicadores de compromiso para la detección de una amenaza. Este camino se resume en la figura siguiente:

Todos sabemos que las diferentes disciplinas de adquisición de inteligencia juegan un papel fundamental en la detección de amenazas en el ciberespacio. En este ámbito ciber cada una de estas disciplinas (simplificando, SIGINT, MASINT, HUMINT, OSINT y GEOINT) tiene un peso específico y aporta un valor determinado, conformando la base de lo que llamamos ciber inteligencia. Por ejemplo, el rol de la inteligencia de señales tiene habitualmente mucho más peso que el de la inteligencia geoespacial, y las fuentes humanas aportan mucha menos inteligencia que las señales, pero bien manejadas, de mucho más valor.