Security Art Work

En la entrada de hoy quiero dar a conocer una herramienta que he probado recientemente cuyo objetivo es analizar Exploit Kits: Exploit Kit Analyzer – EKAnalyzer, que ha desarrollado Jose Ramón Palanco (fundador de Drainware) y que me parece bastante útil para la gestión de incidentes de seguridad en tiempo real.

EKAnalyzer es una herramienta que realiza las mismas peticiones HTTP registradas en una captura de tráfico (en formato pcap), para comprobar si en el momento de la ejecución se sirven artefactos maliciosos (como Exploit Kits). No es una herramienta para análisis forense, es decir, puede que un pcap en un instante determinado dé como positivo (malicioso) pero por ejemplo, una hora después, si el Exploit Kit ha sido desmantelado, dará como resultado negativo.

Para la identificación de exploits, EKAnalyzer realiza todas las peticiones varias veces, usando diferentes User-Agents en cada iteración y además realiza una copia de todos los ficheros descargados en cada análisis. Actualmente se integra con diferentes herramientas/utilidades como:

• Filemagic.
• Virustotal API.
• Yara.
• Análisis de ficheros swf.
• Clamav.

La puesta en marcha es muy sencilla siguiendo los pasos que se indican el fichero de instalación. Tras levantar el servicio llegamos a una interfaz Web muy sencilla (la cual le he prometido a Palanco mejorar y ponerle algo de colorines que está muy sosaina :) a la que poder subir el pcap a analizar:

Para probar un ejemplo de funcionamiento, en el laboratorio dispongo de una serie de pcaps preparados que realizan peticiones contra Exploit Kits que actualmente están activos. A continuación un ejemplo de uno de esos pcaps que como vemos contiene ciertas peticiones hacia algunos recursos de www.drainware.com:

Si subimos uno de estos pcap a EKAnalyzer lo que veremos será lo siguiente de forma secuencial:

Una vez el análisis ha concluido podemos ver los detalles del mismo para cada uno de los User-Agents. Destacar que el User-Agent que aparece en negrita es el original del pcap. Podemos ver unas capturas a continuación:

Como vemos, esta herramienta nos puede ayudar bastante agilizando algunos procesos de comprobación que normalmente se llevan a cabo en la gestión de un incidente de seguridad, reduciendo un trabajo que podría llevarnos horas a unos poco minutos. Nos ahorramos el coste de tener que abrir cada pcap, obtener las URL, mirar las cabeceras, replicar peticiones con diferentes User-Agents, analizar las respuestas, etc., que habitualmente se suele hacer de forma manual.

EKAnalyzer está bajo licencia GNU AGPL y disponible para su descarga y contribución en GitHub.

Casi diariamente nos topamos con notificaciones de phishing que llegan a la oficina, algunas llegan con un adjunto, generalmente en formato pdf o en algún formato de la suite Office (doc,xls,ppt ) y sus derivados. Este caso despertó mi interés y decidí investigar un poco más allá de la simple detección y bloqueo de URLs o adjuntos.
Esta vez el correo electrónico llegaba escrito en inglés, y diciendo algo sobre un recibo no devuelto, que amablemente nos remitían para que lo pudiéramos abonar.

El email en cuestión era éste:

origen: 	billing@logmein.com
asunto: 	Automatic payment failed - Credit Card rejected
adjunto: 	invoice_723961.doc

Dear customer,
 
Your subscription for LogMeIn Central Plus service will end within 72 hours.
You are receiving this notification because the automatic payment has failed.(Credit card: declined)
For more information, please find the payment invoice attached to this letter.
Payment must be submitted before 21/02/2015, in order to avoid delays and service interruptions.

Thank you for using LogMeIn
Copyright © 2003-2015 LogMeIn, Inc. All rights reserved.

[Read more…]

La semana pasada tuve la oportunidad de participar, junto con mi compañero Sergio Zamarripa, en la conferencia final del proyecto CYSM. La jornada se desarrolló en un muy buen clima de colaboración donde pudimos compartir resultados, experiencias y opiniones sobre la seguridad en los puertos, los procesos logísticos y la cadena de suministro en general, tanto desde un punto de vista de la seguridad física como de la ciberseguridad. Nos gustaría dedicar la presente entrada para hablaros del citado proyecto y trasladaros algunas conclusiones, notas y comentarios sobre el evento.

¿Qué es el proyecto CYSM?

CYSM (Collaborative Cyber/Physical Security Management System) es un proyecto europeo cuyo objetivo principal es la mejora de la seguridad de la cadena de suministro a través del análisis de los riesgos físicos y relativos a la seguridad de la información. Para lograr este objetivo se ha trabajado en tres líneas principalmente:

[Read more…]

(N.d.E.: Con esta entrada nos despedimos hasta el próximo martes. Pasen ustedes unas muy felices vacaciones, los que las tengan, y un ambiente tranquilo en el trabajo, los que no :)

Mi primer amor fue McGiver. Esa habilidad para escapar de los peligros con chicles, clips y un mechero, ese pelazo de rebelde… Vamos, todo un hacker en potencia… Una pena que fuese como 30 años mayor que yo, pero bueno.

No, ahora en serio. Mi primer amor de verdad fue un Pentium 100 Mhz que por aquella época pesaba más que yo y que era la pera limonera, más que nada porque era solo mío y por fin podía hacer maldades aprender desde casa y no tener que ir a hacerlas aprender al ordenador de la Biblioteca del pueblo, un Amstrad PC1512 si no recuerdo mal, que hacía mucho ruido por cierto.

El caso es que el otro día, desde @securityartwork os propusimos que nos contaseis cual había sido vuestro primer PC con el hashtag #miprimeramor, y nos quedamos gratamente sorprendidos de ver cómo la mayoría lo recordaba con muchísimo detalle y cariño.

@JoanEMarti nos contaba que su primer PC fue un Bondwell 38, CPU 8088@4,7Mhz, 640k RAM, 1 disquetera 5,25″ sin HD, MS-DOS y BASIC. @EnderXenocida recordaba su Fujitsu / Secoinsa FM-7 con monitor de fósforo verde.

@The_Great_Mega confesaba que su primer amor fue un Sinclair ZX Spectrum (como @jestrada1978)+ 48K, y su primer PC un IBM PS/1 – 286 10 MHz – 1 MiB RAM. @jesusgallego69 iba un poco más allá, y nos compartía una foto de su Sinclair ZX Spectrum 48K el cual lleva operativo más de 30 años, y lo que le queda, nos comentaba Jesús:

Alex perdió la cabeza por un Spectrum, con el que “programó una carta de ajuste para un canal de TV que montó en su finca” (que friki) y @lawwait descubrió el amor con un 486 DX33 4MB RAM 250MB HD. Julian Vilas nos contaba lo “bien que se lo pasó“ (y todos sabemos lo que eso significa) con su Amstrad CPC 6128plus. @DarkSh4m4n por su parte nos comentaba que él era de Amstrad CPC 6128, de disco y monitor fósforo verde con el pack de ‘juegacos’ de Dinámics, que aún conserva.

@_stmartin también tenía otro igual y tuiteó:

@ITmorsant confesó su amor por un Amstrad CPC464 64k ,unidad de cassette con monitor de fósforo verde incluyendo el juego Game Over. @daviddelgadogc también nos comentó que era de Amstrad y tuvo un PC1512 para posteriormente dar paso a un Pentium MMX 233MHZ. Otro Pentium MMX pero de 200 MHz, 256 Mb de RAM, 3 Gb de disco duro y por supuesto con Windows 95 tenía como primer amor Nian506.

@LionSwansec también comenzó (después de ahorrar la paga durante más de un año, lo que tiene su mérito) con otro Pentium, éste 90 con 16 Mb de RAM y 850 Mb de HD. @BlackDrgI2P por otro lado nos contaba literalmente : “Amstrand pc 1512 #miprimeramor un pedazo 8086, con solo una disquetera de 5’4”. Siguiendo con los Pentium, @karl0z rememoraba su Pentium 200Mhz MMX con un “increíble” disco de 2GB. Wow. Quién te ha visto y quién te ve :)

@murgiland seguro que se emocionó recordando su IBM 80386 2MB RAM DOS6.22 ISA-SVGA Monochrome Display 40MB HDD Win3.1 WordPerfect5.1 DriveSpace TurboC, ahí es nada. @callerom recordaba su Spectravideo SVI-328, Screen 0. Para @AGrimaltos el primero fue un Spectrum z80, pero el amor surgió realmente con un Amstrad128 con la cinta de casette al lado y el monitor verde…

@freemagnum nos habló de un Hyundai Pc XT con 640 kb de RAM, HD de 30 mb. y disquetera de 5 1/4. Luego le puso un módem de 2400 baudios. @ctomasio nos hablaba de sus comienzos con un PC de 4.5 Mhz con dos disqueteras y 640 de RAM, procesador 8088 y @dsecuma su Ciryx P200 heredado :) (¿de su hermano mayor, quizá?). Por último, Javier nos tuiteaba su Dragon 32, y nuestro amigo @albert0r nos mencionaba su Sony HitBit HB-75P,un bonito MSX 32Kb de RAM.

Cómo veis, el primer amor no se olvida nunca ;) ¿Nos contáis el vuestro?

Pasadlo genial estos días :)

Mi primera contribución a este blog hablaba de la “falta de cultura en seguridad”, que es a todas luces es uno de los motivos por los que los usuarios no cambiamos las contraseñas, usamos contraseñas fáciles de “cazar”, etc.

He de decir en descargo de los usuarios que en este tipo de actitudes no es justo cargar toda la culpa en el “pobre” usuario final, sino que algo tendrá que ver que nuestra “sociedad de la información / sociedad TI” parece demasiado a menudo la “sociedad del cachondeo informático”, lo que yo llamo “Sociedad CHI”. Pero si hay cachondeo no hay seriedad ni mucho menos SEGURIDAD, y vamos a ver porqué.

Empecemos por algo básico y casi trivial: obtener una entrada de cine, descargar la factura de la luz de casa, una cita con el médico, buscar un hotel, etc. Para todo esto (y mucho más), hace falta que nos demos de alta en una web, generemos una contraseña y no se cuántas cosas más, sin dejar de lado que la contraseña ha de ser alfanumérica y chiripitiflaútica. Si además de eso eres una empresa que pretendes vender a alguien, has de darte de alta en SU web (todo el mundo tiene una), te asignan SU numerito, te generan SU clave, has de confirmar que no eres una máquina con un texto ilegible que cuesta, ya no leer, sino interpretar, y además hazlo rápido o simplemente te “tira” de la web y vuelta a empezar.

A la vista de esto ¿suena o no a cachondeo? Muy serio (o profesional o “ingenieril”) no parece.

Los que nos movemos en el mundo de la seguridad queremos que la gente “se culturice”, que cambie sus contraseñas y utilice claves “seguras”. Pero, con lo que cuestan los procesos de alta y autenticación, y toda la parafernalia existente alrededor de la informática y la seguridad, lo que más se hace en ocasiones es “desincentivar” la SEGURIDAD. Veamos algunos ejemplos de la “Sociedad CHI”:

• Cada web es distinta. En unas para identificarte te denominan “usuario”, en otras “empresa”, en otras te denominan “identificación”, en unas el campo está a la derecha, en otras a la izquierda y en otras donde les da la gana.
• Cada web funciona con el navegador que su padre o su madre les dio a entender y no te informan de cuál utilizar (adivina adivinanza: prueba con este y si no va con este, y si con esos dos no va, prueba con este). Puedes perder una hora intentando que el maldito formulario funcione y para resolver dudas se ofrece un 902 que te cuesta dinero y no ofrecen (como exige la ley) un teléfono “normal”, en el que se pasan cinco minutos diciéndote que te van a grabar, que puedes reclamar por lo de la LOPD y por no se cuántas chorradas más… ¿es o no es cachondeo?
• Hay bancos que te piden usuario y contraseña para entrar. Si haces una transferencia has de añadir una clave de firma, generan una clave de una tarjeta (que te dieron en su día) y (además) te envían un SMS con otra clave a introducir… ¡por Tutatis! Solo faltaría que nos hiciesen rezar el “Yo Pecador”.
• ¿Y qué me dicen de las firmas digitales? En unos casos se admiten solo las de la FNMT, en otros solo las de Camerfirma, en otros solo las de entidades de firma locales como Generalitat Valenciana. ¿Existe alguna razón que no sea la de reírse del usuario? Y si a esto le añadimos la exigencia de enviar facturación electrónica a un cliente, apaga y vámonos. Por ejemplo, grandes compañías españolas, algunas administraciones incluidas, han hecho “su propia factura electrónica” que no es compatible con el formato de la Facturae del Ministerio de Hacienda (¿existe mayor disparate?). Incluso te exigen que para poder introducir la factura en “su portal” delegues la firma digital DE TU FACTURA en otra empresa (totalmente verídico). Lo mejor viene cuando estas grandes compañías te exigen que “introduzcas” tu factura en su plataforma y ésta comienza a dar errores de Java, momento en el que sabes que puedes dar la mañana por perdida.

Sigamos. ¿Y cuando los Ministerios, Dios los guarde, piden (más bien exigen bajo pena de excomunión y sanción económica) que cumplimentes una encuesta (cada una de las cuales funciona o no en un navegador distinto y en una versión distinta)? Has de introducir numerosos datos que son públicos (que la Administración podría perfectamente “recolectar sin molestar”) y te piden opiniones sobre algo tan heterogéneo como si tu producto es o no de series de televisión o de morcillas de arroz… ¿Para qué les sirve tener tu CNAE?

Luego están las webs oficiales donde depositas tus datos para que sean de dominio público y que luego tienes que documentar “físicamente” en un despacho para que se valide. ¿Pero, no habíamos entrado con certificado digital? ¿Pero, no habíamos introducido la clave que ellos nos habían dado? ¿Pero, pero, pero?

Si esto estuviese pasando (p.ej.) en la industria del automóvil tendríamos coches con todas las ruedas a la izquierda, otros con volante en el portamaletas, algunos con retrovisores mirando al cielo (por si los drones), pero sin embargo todas las marcas tienden a “normalizar”: ruedas redondas, volantes donde toca, estándares de seguridad que hay que cumplir, estándares de producción de gases a respetar, estándares de residuos a eliminar en su reciclaje, etc. Sin embargo, ya sea porque no se quiere, no se sabe, el mercado no está suficientemente maduro, no hay un organismo regulador que “obligue” (como sucede en la industria del automóvil) o sencillamente, alguien se está riendo de nosotros, el caso es que hoy por hoy nuestra “Sociedad TI” es más “Sociedad CHI” y demasiado a menudo un completo despropósito.

El problema de esto es que cuando tenemos esa sensación de que “todo vale” no es posible tomar nada en serio y eso incluye la seguridad. Los responsables somos todos: usuarios, diseñadores, administración, informáticos, etc. ¿Cómo vamos a querer que un cachondeo sea seguro? Primero hagamos de esto un tema serio, ya que no puedo exigir a un niño que me tome en serio si le estoy haciendo cosquillas o llevo nariz de payaso.

Ahí van unas cuantas modestas propuestas de mi cosecha, basadas en mi experiencia personal:

• todas las identificaciones estarán en el centro (para no herir susceptibilidades) y tendrán dos identificadores o siete me da igual, pero TODAS igual. Normalicemos, por favor.
• Como parece imposible conseguir que todos los navegadores funcionen igual o al menos que interpreten igual el código HTML, las webs indicarán en su publicidad con que navegador funcionan.
• Java. Sin comentarios.
• Las contraseñas no pueden caducar sin avisar. Deben caducar, pero no está mal que nos informen de ello previamente.
• Incorporemos un comando universal para la web, tan sencillo como “adelante-atrás”. Os garantizo que en muchas no existe.
• Esto es una cruzada personal. Las encuestas pedirán solo datos que no puedan obtener de fuentes públicas (Registro Mercantil o similar).
• La firma digital ha de ser universal. Si tenemos algo llamado Fábrica Nacional de Moneda y Timbre, será para algo.
• De la factura electrónica mejor no hablar porque está escrito en el BOE. Así que sólo hace que se ponga en marcha.

Los pasos siguientes os los dejo a vuestra imaginación. Seguro que se os ocurren unos cuantos.

Yara es una iniciativa que cada vez va consiguiendo un mayor uso en el ámbito de la gestión de incidentes, en especial este último año. Este proyecto ha sido ampliamente comentado en artículos de este y otros blogs.

En esta ocasión voy a mostrar un ejemplo práctico del uso de yara para la gestión de incidentes provocados por ransomware. Estos últimos meses ha habido un aumento de actividad de este tipo de malware que, a pesar de las numerosas advertencias realizadas por aquellos que nos dedicamos a la seguridad y la gestión de incidentes, sigue teniendo un impacto bastante grande. Afortunadamente, los últimos incidentes de ransomware en los que he participado, el compromiso únicamente ha afectado a un usuario en cada caso, lo que ha permitido centrarnos más en el alcance de los archivos cifrados que en la identificación de posibles equipos comprometidos.

Identificación de extensión

Uno de los primeros casos en los que tuvimos que participar fue un incidente con CTB-Locker. En esta ocasión, un usuario reporta un mensaje que le aparece en su escritorio informando que sus archivos han sido cifrados y se solicita un rescate para su recuperación. Una vez contenido parte del incidente desconectándolo de la red e identificando que es el único equipo afectado (no vamos a extendernos en este punto) pasamos a determinar qué archivos han sido cifrados y cuáles pueden recuperarse (nunca recomendamos pagar por su rescate).

[Read more…]

Este domingo pasado se dieron dos factores interesantes: el primero, una tarde-noche tirando a bastante aburrida y el segundo, que tenía materiales que me habían llegado el sábado. Así que decidí probar algo que había leído. Una técnica de la que había oído hablar mucho pero que no había tenido la oportunidad de probar personalmente: un “cold boot attack”.

Para aquellos que no sepan de que va, se trata de una técnica en la cual se aprovecha que la información de la memoria RAM no se borra instantáneamente, sino que se degrada poco a poco durante un breve tiempo. Ese tiempo parece ser de unos segundos, pero si se reduce la temperatura de la memoria RAM, se puede conseguir que este tiempo se incremente sustancialmente.

Una vez introducida brevemente la teoría es hora de pasar a la práctica, que es lo interesante. En este caso vamos a hacer un montaje casero, en un escenario en el que no se cuenta con demasiados recursos: un ordenador con Windows 7 y 2 GB RAM DDR3 y otro con Windows 7 y 4 GB de RAM DDR3. El primero será el sistema atacado y en el segundo se montará el modulo de RAM, que además contará con memoria extra (los otros 4GB) con la esperanza de que al cargar el sistema operativo (otro Windows 7) no se sobrescriban los datos alojados en la RAM “congelada”.

Aunque esta forma no es la más óptima, el objetivo es realizar una prueba de concepto simple y fácil de montar, ya habrá tiempo más adelante de probar en detalle.

El proceso llevado a cabo consistió en arrancar el PC con el modulo de 2 GB de RAM con sistema operativo Windows 7, en el que se abren diversos procesos: navegador firefox, imagen descargada de Google, un cliente de VoIP y otros programas. Con esto se busca dejar trazas en la RAM que puedan ser identificadas en un posterior análisis forense: se busca un punto conocido por el que poder buscar después.

Una vez hecho, botonazo y a empezar el lío. Con el PC previamente abierto, sacamos el módulo de RAM y se mete en un recipiente especializado (también conocido como tupper viejo de la cocina), se empieza a rociar la RAM para enfriarla y cuando han pasado unos segundos (a decir verdad no probé la temperatura, pero había cristales de hielo) la coges con el dedo y consigues el primer objetivo del post: dedo congelado.

Acto seguido, se conecta el modulo de RAM “congelado” y se enciende el PC. Cuando ha terminado de arrancar se lanza DumpIt la utilidad de volcado de RAM, una herramienta que crea una imagen en RAW del contenido de la memoria, que es lo que posteriormente será analizado.

Una vez hecho esto ya se puede pasar al siguiente paso, al cual me ayudó mi compañero David García (que tuvo la genial idea de utilizar foremost): análisis de la RAM. Para ello utilizamos dos herramientas clásicas: volatility y foremost. Con el primero encontramos diferentes procesos abiertos y demás, pero nada que nos pareciera una prueba concluyente. Con el segundo, foremost, encontramos esto:

Aunque como puede apreciarse, la imagen no está completa, pero se recupera gran parte y se ve claramente que es la imagen que se tenía en memoria.

No esta mal para un primer intento, ¿verdad? En otro post analizaremos soluciones a este tipo de ataques y formas de enfocar el forense, pero como resumen ya sabéis que a) no estáis a salvo solo con apagar el PC y b) debéis llevar un spray congelante si trabajáis para la NSA.

(Nota: el autor no se hace responsable de módulos de RAM rotos ni dedos congelados ;-) )

(La entrada de hoy corre a cargo de Mª José Montes)

Dentro de poco menos de tres semanas, se celebrará el primer congreso de Seguridad Informática de Córdoba, QurtubaCon.

Hasta ahora, en Córdoba, se venían celebrando dos eventos periódicos, que son Hack&Beer y HackLab. Dada la buena acogida de estos eventos y, con la ilusión de poder reunir a grandes figuras del sector de la seguridad, se gesta este congreso, organizado por la Comisión de Eventos de la Asociación Nacional de Profesionales del Hacking Ético (ANPhacket), lo forman Miguel Arroyo, Eduardo Sánchez, Enrique Palacios y una servidora, entre otros.

[Read more…]