Miners, miners everywhere!

17 de noviembre de 2017 Por

Es evidente que las criptomonedas están de moda. El incremento del precio de, por ejemplo, el Bitcoin con respecto al año pasado es exponencial, tal y como se aprecia en la siguiente gráfica de Coinbase:

Todo el mundo, incluidos los ciberdelincuentes, quieren sacar tajada de este hype, y hemos detectado que, así como el incremento del precio del Bitcoin o de Monero (muy utilizada en el cibercrimen) ha sido exponencial, también lo ha sido la actividad de ataques en relación a la distribución de miners que pretenden comprometer equipos y hacerse con nuestra electricidad gratis.

En lo que va de año hemos detectado una tendencia en alza de distribuir miners. A través de una técnica concreta, utilizan vulnerabilidades en los procesos inseguros de “deserialización” de objetos Java para, tras explotarlas, descargar y ejecutar el miner en el equipo o servidor comprometido. Estas vulnerabilidades, a pesar de no ser nuevas, están intentando ser explotadas por numerosos grupos de delincuentes. [Read more…]

Tendencias de malware. Octubre 2017. Destacado: Necurs Botnet y JS CoinMiner

10 de noviembre de 2017 Por

Un mes más, desde el laboratorio de malware queremos compartir con vosotros lo que se está cociendo en el mundo del malware. Recordar que en este tipo de entradas encontraremos amenazas conocidas, vistas en otras fuentes o analizadas directamente en nuestro laboratorio, pero el objetivo del post es conocer qué tipo de amenazas están activas. A continuación, mostramos un diagrama con la información recopilada este mes desde el laboratorio (pinchar en la imagen para ampliar):

Para poder observar de un modo más visual determinadas tendencias relativas a la infraestructura de algunas amenazas actuales, una vez más queremos mostraros unas gráficas que consideramos interesantes. La idea es sencilla y consiste en recopilar de diferentes fuentes abiertas y de fuentes propias, direcciones IP de command&control (C2 a partir de ahora). Después esta información recopilada la representamos de diferentes maneras como veremos a continuación. [Read more…]

Análisis de Linux.IotReaper

6 de noviembre de 2017 Por

Hace un par de días conocimos la existencia de una nueva amenaza IoT considerablemente más elaborada que cualquiera de las detectadas hasta la fecha (http://blog.netlab.360.com/iot_reaper-a-rappid-spreading-new-iot-botnet-en/), dicha botnet ha sido bautizada por Netlab 360 como IotReaper. Así pues, desde el laboratorio de malware de S2 Grupo hemos obtenido y analizado algunas de las muestras relacionadas.

Infraestructura

La infraestructura de la red es bastante similar a la de la botnet Mirai, siendo formada ésta por cuatro elementos:

  • Servidor Report: Encargado de recolectar la información remitida por los bots.
  • Servidor Downloader: Encargado de proporcionar las samples del malware vía HTTP. La presencia de elemento permite la continua incorporación de actualizaciones sin necesidad de dejar en desuso versiones anteriores del malware.
  • Servidor C2: Encargado de remitir las órdenes de denegación de servicio.
  • Bot: Dispositivo IoT infectado por la botnet IotReaper.

[Read more…]

JAFF Ransomware via adjunto PDF con Docm

26 de octubre de 2017 Por

Continuamente recibimos correos de phishing provenientes de los orígenes más diversos, muchas veces incluyendo adjuntos con contenido malicioso. En este caso el adjunto resultaba un poco más interesante, ya que se trataba de un fichero PDF que incluía en su interior un documento DOCM, un documento Word con macros.

El correo electrónico que llegó a nuestros servidores incluía el asunto “Order”, y el contenido del mensaje estaba en blanco, realmente incluía contenido HTML definiendo una entidad tipo párrafo (<p>) con un espacio en blanco (&nbsp;), pero la diversión estaba en el adjunto.

Etapas de ataque

El adjunto era un fichero PDF correctamente formado que incluía en su interior un objeto OLE de tipo DOCM. Estaba diseñado para que una vez se abriera el documento PDF, se extrajera el fichero docm y ejecutara las macros que contiene en su interior. Estas macros descargaban un fichero de datos desde Internet que sería decodificado para posteriormente ejecutarse en el sistema.
[Read more…]

Análisis de Linux.Helios

23 de octubre de 2017 Por

Desde hace varias semanas venimos detectando desde el laboratorio de malware de S2 Grupo una nueva variante de malware para arquitecturas Linux e IoT, registrado por primera vez en la plataforma VirusTotal el pasado día 18 de Octubre, y al cual hemos denominado Linux.Helios, debido al nombre de ciertas funciones presentes en la muestra.

Destacamos que las principales firmas de antivirus no clasifican de forma unánime esta muestra: van desde ELF.DDoS hasta Tsunami, pasando por Gafgyt o Mirai. [Read more…]

Tendencias de malware. Septiembre 2017. Destacado: CVE- 2017-11826

16 de octubre de 2017 Por

Un mes más, desde el laboratorio de malware de S2 Grupo queremos compartir con vosotros lo que se está cociendo en el mundo del malware. Recordad que en este tipo de entradas encontraremos amenazas conocidas, vistas en otras fuentes o analizadas directamente en nuestro laboratorio, pero el objetivo del post es conocer qué tipo de amenazas están activas.

A continuación, mostramos un diagrama con la información recopilada este mes desde el laboratorio:

Para poder observar de un modo más visual determinadas tendencias relativas a la infraestructura de algunas amenazas actuales, una vez más queremos mostraros unas gráficas que consideramos interesantes. La idea es sencilla y consiste en recopilar de diferentes fuentes abiertas y de fuentes propias, direcciones IP de Command and Controls (C2 a partir de ahora). Después esta información recopilada la representamos de diferentes maneras como veremos a continuación: [Read more…]

Mirai Año Uno: Evolución y adaptación de una botnet

5 de octubre de 2017 Por

Desde el laboratorio de malware de S2 Grupo llevamos más de un año siguiendo los pasos del malware Mirai. El 1 de agosto de 2016 se registró la primera petición de un dispositivo infectado por esta botnet, que a pesar de no ser la primera de su especie ya que, entre otras, Gafgyt o Remaiten habían llegado antes, ha marcado un antes y un después en cuanto al conocimiento por el gran público de la dimensión que supone la amenaza de los dispositivos IoT.

Mirai provocó los dos ataques de denegación de servicio más grandes hasta la fecha; el ataque a la web de hosting OVH con más de 1 Tbps de carga (el mayor ataque registrado hasta el momento), y el ataque a Dyn, que provocó la caída de portales como Twitter, Facebook o Paypal.

A continuación se adjunta un informe que tiene como objetivo exponer muchas de las características que hemos podido registrar en la botnet y la evolución sufrida durante su año de existencia.

Para la redacción del siguiente análisis nos hemos basado en las 342 muestras pertenecientes a diferentes variantes de Mirai recolectadas a través de nuestros sistemas honeypot, así como también en la extracción de muestras y/o análisis estáticos de las plataformas detux.org, linux.huntingmalware.com y VirusTotal. En total se ha hecho uso de una población de más de 1200 muestras. Esperamos que el informe os resulte de interés.

– Descargar informe –

[Read more…]

Crónica RootedCON Valencia 2017

4 de octubre de 2017 Por

El pasado 16 de septiembre volvió a celebrarse un año más una de las jornadas de seguridad más esperadas en Valencia, la RootedCON Valencia. Se trata de un evento que comenzó como satélite del congreso celebrado anualmente en Madrid y que, tras tener una gran acogida entre el público, goza de entidad propia desde hace ya dos ediciones.

Varios compañeros de S2 Grupo y autores de Security Art Work asistimos al evento como oyentes e incluso uno de nosotros, nuestro compañero Jaume Martín, participó como ponente este año. A continuación compartimos con vosotros un breve resumen de las distintas charlas que tuvieron cabida a lo largo de la jornada.
[Read more…]

Informe del proyecto de investigación iHoney

2 de octubre de 2017 Por

El pasado día 14 de septiembre, S2 Grupo presentó en sus oficinas de Madrid ante la prensa el informe del proyecto de investigación iHoney.

Este proyecto, que comenzó en 2014, está orientado al desarrollo de herramientas específicas para la protección de sistemas de control industrial financiado por el Ministerio de Industria, Energía y Turismo, dentro del Plan Nacional de Investigación Científica, Desarrollo e Innovación Tecnológica 2013-2016. En el desarrollo del iHoney ha trabajado un equipo multidisciplinar formado por ingenieros industriales, de telecomunicaciones e informáticos.

Uno de los elementos esenciales del proyecto ha sido la creación de un honeypot que simula una planta de tratamiento de aguas, con todos los procesos que se llevarían a cabo en una infraestructura real. De este modo se consigue una fuente de información fiable sobre la tipología de ataques que cabría esperar en una infraestructura industrial, de forma que, junto al conocimiento procedente de la experiencia del equipo de S2 Grupo, se disponga de información valiosa para el diseño de herramientas de seguridad específicas para los entornos industriales, así como la creación de estrategias de defensa de estos entornos.

Otro aspecto importante de este proyecto ha sido conocer la tipología de ataques que cabría esperar en un entorno industrial, descubrir qué individuos están interesados en realizar ataques a infraestructuras industriales, de qué conocimientos disponen y cuáles son sus objetivos.
[Read more…]

Phishing: mejorando nuestras campañas

22 de septiembre de 2017 Por

Una de las cosas más importantes a la hora de realizar una campaña de phishing [N.d.E. como es obvio, siempre desde la legalidad] es asegurarse de que nuestro correo consigue evadir los filtros anti-spam y así poder llegar a la bandeja de entrada de nuestra víctima.

En este post no se va a explicar cómo se utiliza Gophish, que ya hemos mencionado en algún post, simplemente se van a explicar una serie de pasos a seguir para que nuestros correos sean más confiables. No está de más añadir que siguiendo estos pasos no asegura un éxito del 100%, cada gestor de correos tiene sus propias reglas de filtrado.

Partimos de la base de que Gophish ya está instalado, por lo cual el siguiente paso sería obtener un dominio y realizar una serie de cambios en la administración de DNS.

[Read more…]