La investigación más influyente en las vulnerabilidades y exploits, según lo votado por la comunidad de seguridad. MONSTRUO
SSL / TLS la vulnerabilidad que permitiría a los atacantes para interceptar las conexiones HTTPS y los obligan a utilizar el cifrado debilitada. Investigadores: Karthikeyan Bhargavan en INRIA en París y los miTLS equipo más detalles sobre la investigación: https://freakattack.com
atasco
Otra vulnerabilidad TLS que permite man-in-the-middle por degradar las conexiones TLS vulnerables a la encriptación de 512 bits. Investigadores: David Adrian, Karthikeyan Bhargavan, Zakir Durumeric, Pierrick Gaudry, Matthew Green, J. Alex Halderman, Nadia Heninger, Drew Springall, Emmanuel Thomé, Lucas Valenta, Benjamin VanderSloot, Eric Wustrow, Santiago Zanella-Beguelin, y Paul Zimmermann Información adicional : https://weakdh.org web ataques puntuales Hecho Practi cal
Negro Sombrero charla sobre cómo ajustar la sincronización ataques de canal lateral para que sea más fácil de realizar ataques a distancia contra de temporización modernas aplicaciones web. Los investigadores Timothy Morgan y Jason Morgan Vídeo: https://www.youtube.com/watch?v=KirTCSAvt9M
La investigación puso de manifiesto en Sombrero Negro mirando una colección de patrones de ataque que puede ser utilizado contra las redes de distribución de contenidos para apuntar a una amplia gama de sitios web de alta disponibilidad. Investigadores: Mike Brooks y Matt Bryant de vídeo:
Un patrón de ataque que pueden destruir las garantías de seguridad de la arquitectura de seguridad X.509 PKI mediante el empleo de certificados de CA que incluyen una puerta trasera en secreto incrustado. Investigador: Alfonso De Gregorio Información adicional: http://www.illusorytls.com Explotación XXE en la funcionalidad de análisis de archivos
Una charla Sombrero Negro examinar los métodos de explotación de vulnerabilidades XML de entidad en la funcionalidad de análisis / carga de archivos para los formatos de archivo XML soportado como DOCX, XSLX y PDF. Investigador: Will Vandevanter vídeo: https://www.youtube.com/watch?v=ouBwRZJHmmo Abusar XLST para los ataques prácticos
Investigación y ataques de prueba de concepto de relieve en Sombrero Negro que muestran cómo XSLT se puede aprovechar para socavar la integridad y confidencialidad de la información del usuario. Investigador: Fernando Arnaboldi vídeo: https://www.youtube.com/watch?v=bUcd-yibTCE~~number=plural
hashes mágicas
Se ve en una debilidad en la forma en PHP maneja hash cadenas en ciertos casos, para que sea posible poner en peligro los sistemas de autenticación y otras funciones que utilizan comparaciones de hash en PHP. Investigadores: Robert Hansen y Jeremi M. Gosney información adicional: https://www.whitehatsec.com/blog/magic-hashes/~~number=plural Caza asíncrono vulnerabilidades
La investigación presentada en 44CON profundiza en el uso de métodos de devolución de llamada inducidas por explotar para encontrar vulnerabilidades que se esconden en las funciones de back-end y subprocesos en segundo plano. Investigador: James Hervidor vídeo: https://vimeo.com/ondemand/44conlondon2015
El ransomware se ha convertido en uno de los ataques favoritos de los ciberdelincuentes para afectar a las empresas, pero no todos los intentos de extorsión cibernética se realizan con este tipo de malware.
Desde el comienzo del año, los atacantes han comprometiendo bases de datos, filtrando los datos de las mismas, vaciándolas y pidiendo dinero para devolver los datos. Sus objetivos han sido las bases de datos implementadas en MongoDB, CouchDB y Hadoop, y ahora han puesto en su mira a MySQL.
Según los investigadores de GuardiCore, los primeros ataques comienzan al 12 de febrero. Cientos de ellos fueron detectados y todos fueron rastreados a una dirección IP (109.236.88.20) alojada en la empresa de hosting WorldStream.
“El ataque es mediante un ataque fuerza bruta. Una vez conectado, busca una lista de las bases de datos existentes de MySQL y sus tablas y crea una nueva tabla llamada “WARNING” que incluye una dirección de correo electrónico de contacto, una dirección bitcoin y una demanda de pago”, explicaron.
“En una variante del ataque, la tabla se agrega a una base de datos existente; en otros casos la tabla se agrega a una base de datos recién creada llamada ‘PLEASE_READ’. A continuación, el atacante eliminará las bases de datos almacenadas en el servidor y se desconectará, a veces sin siquiera respaldarlas primero.”
Protección y remediación
Es más que probable que se produzcan ataques similares de nuevo. Afortunadamente, proteger sus servidores contra ellos es fácil: use contraseñas más fuertes.
Minimizar los servicios disponibles desde Internet también es una buena idea, y la creación de un sistema de respaldos de seguridad robusto y automatizado es una necesidad, por lo que no tiene que preocuparse si los atacantes logran afectarlo.
Para aquellos cuyas bases de datos han sido afectadas, los investigadores de GuardiCore tienen el siguiente consejo: antes incluso de considerar pagar el rescate, asegúrese de que los atacantes realmente tienen sus datos.
“En los ataques que revisamos no pudimos encontrar evidencia de ninguna operación de descarga o filtración de datos”, dieron a conocer.
Es interesante notar que las dos direcciones de Bitcoin a las que se supone que las víctimas transferirán dinero han recibido recientemente varios pagos, algunos de ellos aparentemente de víctimas.
Sin embargo, los pagos podrían ser tan fácilmente obtenidos de los propios atacantes y esto podría ser una simple maniobra para convencer a las víctimas de que otros ya han pagado el rescate, por lo que deberían hacerlo.
Parallel SSH (pssh) es una herramienta totalmente gratuita y compatible con todos los sistemas operativos basados en Unix y Linux, que nos va a permitir conectarnos de manera simultánea a varios servidores SSH para ejecutar comandos a la vez, sin necesidad de ir entrando en cada uno de ellos para realizar las mismas acciones.
Cuando una web o empresa tiene varios servidores, normalmente están configurados todos ellos con el mismo sistema operativo y las mismas versiones de los programas. Si por ejemplo queremos modificar algo en un grupo de ellos, o actualizar a las últimas versiones todos los programas, deberíamos entrar uno por uno y ejecutar los mismos comandos, por lo que tendremos una tarea repetitiva.
Gracias a herramientas como pssh, podremos conectarnos de manera remota a varios servidores SSH simultáneamente, y ejecutar una misma orden en todos ellos. Por lo que estaremos automatizando en gran medida todo el proceso de despliegue y actualización de dichos servidores.
Algunas características importantes de pssh es que nos permite introducir las contraseñas de acceso, por lo que no es necesario tener únicamente claves privadas en el sistema.
INSTALACIÓN DE PSSH EN DEBIAN
Esta herramienta está disponible en todos los repositorios de las principales distribuciones, nosotros lo hemos probado en Debian 8 y únicamente tenemos que poner la siguiente orden para instalarlo correctamente:
1
sudo apt-get install pssh
Si usáis FreeBSD o derivados podéis usar el propio pkg para instalarlo y si utilizáis sistemas basados en Red Hat podéis instalarlo a través de yum. En tu sistema es probable que no se pueda ejecutar el comando “pssh” propiamente dicho, sino que es a través del comando “parallel-ssh” tal y como podéis ver a continuación:
CÓMO UTILIZAR PSSH PARA CONECTARNOS SIMULTÁNEAMENTE A VARIOS SSH
Lo más sencillo para utilizar esta herramienta es crear un fichero de texto con todos los hosts a los que queremos conectarnos, la sintaxis es muy sencilla, a continuación podéis verlo:
1
[usuario@]IP_servidor[:puerto]
Un ejemplo de nuestro fichero de texto de pruebas:
1
root@10.10.2.1
2
3
root@10.10.2.2
4
5
root@10.10.2.3
Es recomendable que en la organización o en nuestro hogar hagamos uso de las claves criptográficas de SSH, no solo porque de cara a la seguridad es más seguro, sino porque no tendremos que introducir la contraseña de acceso a cada uno de los servidores SSH a los que queremos conectarnos.
Una vez que hayamos creado el fichero de texto, deberemos poner la siguiente orden:
1
parallel-ssh -i -h nombre_archivo_texto COMANDO
Si por ejemplo queremos mostrar la fecha de todos los servidores a los que nos hemos conectado, bastaría simplemente con hacer:
1
parallel-ssh -i -h nombre_archivo_texto date
Os recomendamos visitar la página MAN de Parallel-ssh o pssh donde encontraréis todas las opciones que tenemos disponibles, entre las que se incluye poder conectarnos a varios servidores sin necesidad de utilizar un fichero de texto como entrada de datos:
1
pssh -i -H "host1 host2" echo "hello, world"
Artículos Recomendados sobre SSH:
Manual para configurar un servidor SSH en Linux
Manual para configurar un servidor SSH en Windows
SSH Tunneling: Conoce cómo configurar y usar un túnel SSH para navegar de manera segura
Los troyanos y el ‘phishing’ no dejan de multiplicarse aunque cada vez sean más las medidas para hacerles frente. Los ciberataques a través de unidades USB son algunos de los métodos utilizados para causar grandes daños porque los antivirus inicialmente no pueden detectar la presencia de ‘malware’, por ello, conviene usar una solución como USG, que funcione como ‘cortafuegos’.
‘BadUSB’ es una vulnerabilidad presente en el ‘firmware’ de los dispositivos con conector USB que permitiría a un tercero infectar un chip para que, posteriormente, ese código malicioso se extendiera al equipo donde ha sido conectado el USB.
Los sistemas de seguridad no pueden detectar si alguien se ha aprovechado de esta vulnerabilidad, por lo que resulta útil emplear un sistema USG. “Forma una barrera cortafuegos que bloquea eficazmente los comandos USB maliciosos que afecten a su computadora”, explica Robert Fisk, el encargado de este proyecto, en GitHub.
El dispositivo está a la venta por 60 dólares, aunque el proyecto compartido en GitHub es de código abierto, para que los más habilidosos puedan construirlo por sí mismos. Se trata además de un proyecto recomendado por un programador veterano de Mozilla o netscape Navigator, Jamie Zawisnki. La solución para acabar con los ataques a través de USB.
Los troyanos y el ‘phishing’ no dejan de multiplicarse aunque cada vez sean más las medidas para hacerles frente. Los ciberataques a través de unidades USB son algunos de los métodos utilizados para causar grandes daños porque los antivirus inicialmente no pueden detectar la presencia de ‘malware’, por ello, conviene usar una solución como USG, que funcione como ‘cortafuegos’.
‘BadUSB’ es una vulnerabilidad presente en el ‘firmware’ de los dispositivos con conector USB que permitiría a un tercero infectar un chip para que, posteriormente, ese código malicioso se extendiera al equipo donde ha sido conectado el USB.
Los sistemas de seguridad no pueden detectar si alguien se ha aprovechado de esta vulnerabilidad, por lo que resulta útil emplear un sistema USG. “Forma una barrera cortafuegos que bloquea eficazmente los comandos USB maliciosos que afecten a su computadora”, explica Robert Fisk, el encargado de este proyecto, en GitHub.
El dispositivo está a la venta por 60 dólares, aunque el proyecto compartido en GitHub es de código abierto, para que los más habilidosos puedan construirlo por sí mismos. Se trata además de un proyecto recomendado por un programador veterano de Mozilla o netscape Navigator, Jamie Zawisnki. La solución para acabar con los ataques a través de USB.
Si metes la mano en el bolsillo y no encuentras tu smartphone, ¡que no cunda el pánico! En esta guía te enseñaremos cómo localizar un móvil perdido o robado.
Nos ha pasado a todos. Metemos la mano en el bolsillo o el bolso y tras unos segundos de búsqueda un sudor frío recorre nuestra espalda. No está, no encuentras tu móvil. ¿Lo habré dejado en otra habitación? ¿Estará en el abrigo? ¿En la guantera del coche? Intentamos hacer memoria pero ya nos vamos anticipando para lo peor. Tranquilo, que no cunda el pánico. Afortunadamente tanto si tu móvil es Android o un iPhone, existen herramientas que te permitirán encontrarlo.
Perder un móvil es una experiencia traumática, no sólo por el valor material del terminal, sino por la importancia personal de la información que contiene y la privacidad de nuestros datos. Tanto si crees que has perdido tu móvil en este momento como si no, éste es uno de los tutoriales que tienes que tener a mano por si un día sucede la desgracia.
Aunque la herramienta para localizar un móvil perdido funciona de forma similar tranto en Android como en iOS, la interfaz y la forma de activación difiere bastante, por lo que explicaremos paso a paso cómo localizar un móvil perdido ya sea Android o si se trata de un iPhone. Es importante recordar que para que esta función sea efectiva se requiere que el dispositivo esté encendido y con batería, de lo contrario la señal que recibiremos será la de su última ubicación disponible.
CÓMO LOCALIZAR UN ANDROID PERDIDO
La herramienta empleada para localizar un smartphone Android se llama Administrador de dispositivos Android y es necesario que lo hayamos activado previamente en nuestro móvil. Se trata de una función incorporada a nuestra cuenta Google, por lo que se vinculará a nuestra dirección de correo electrónico Gmail que empleamos para descargar apps en la Google Store.
Ajustes de ubicación en AndroidLo primero de todo será tener activada la Ubicación. Para ello, en nuestro smartphone Android vamos a la app de Ajustes (es la que tiene el icono de engranaje) y en la pestaña Personal pulsaremos sobre Ubicación, que activaremos en caso de que no esté marcada. Ahora nos dirigimos a Ajustes> Google > Seguridad y marcamos tanto Ubicar este dispositivo de forma remota como Bloquear el dispositivo y borrar los datos de forma remota. Esto nos permitirá tanto localizar el móvil como bloquearlo y borrarlo telemáticamente si se diera el caso.
Y ya está, ya podremos localizar un móvil perdido o robado. En caso de que hayamos extraviado un smartphone Android y queramos conocer su ubicación iremos a un ordenador, smartphone o tablet con conexión a internet y en el navegador (puede ser Internet Explorer, Mozilla, Chrome, Opera, Safari, etc. ) buscaremos Administrador de dispositivos Android.
Administrador dispositivos AndroidPara acceder al Administrador de dispositivos Android deberemos meter nuestra dirección de Gmail y su contraseña correspondiente. En ese momento veremos en un mapa la situación actual de nuestro móvil y aparecerán las posibilidades de que éste emita sonido, de su bloqueo y del borrado de datos. De este modo, con la señal sonora podremos descubrir su ubicación de forma precisa si nos encontramos físicamente próximos y en caso de que no tengamos esperanza, procederemos a bloquearlo y/o borrarlo.
CÓMO LOCALIZAR UN IPHONE PERDIDO
Como en el caso anterior, si queremos localizar un iPhone perdido lo primero de todo será activar la opción Buscar mi iPhone, localizada en Ajustes > iCloud > Buscar mi iPhone y activar las opciones Buscar mi iPhone y Enviar última ubicación, por si el nivel de la batería del iPhone es muy bajo o nulo. Esta opción viene englobada en la nube de Apple iCloud, por lo cual también requeriremos una cuenta de iCloud, un requisito complementario a nuestro ID de Apple que los usuarios de iOS emplean para descargar apps desde la App Store.
Ajustes de Buscar mi iPhoneUna vez realizadas estas premisas, ya podemos localizar un iPhone perdido o robado. Simplemente tendremos que acudir a cualquier ordenador, tablet o smartphone (da igual que sea de Apple o no) con conexión a internet y acceder a la web de iCloud. Entonces introducimos nuestro email y contraseña vinculados a nuestra cuenta iCloud y pulsamos sobre Buscar mi iPhone.
Buscar mi iPhoneEn ese instante veremos la ubicación de nuestro iPhone (y cualquier otro dispositivo Apple vinculado a esa cuenta iCloud) y aparecerán las opciones de que emita sonido, bloquearlo y borrarlo. Con el sonido lo encontraremos fácilmente si por ejemplo estaba debajo del sofá. Si tenemos esperanzas de encontrarlo, lo mejor es bloquearlo de forma que sólo se pueda acceder a él mediante una contraseña propia. Por el contrario, si estamos seguros de que no vamos a recuperar, lo mejor será borrarlo por completo.
Esperamos que este tutorial para localizar un móvil perdido haya sido de tu ayuda. Si tienes cualquier comentario o duda, por favor, háznoslo saber en los comentarios.
El USB Rubber Ducky es una pequeña herramienta increíble puesta en marcha por los expertos de ciberseguridad de HAK5. Básicamente, este pequeño dispositivo USB se registra como un teclado, espera un poco y luego corta la computadora de la víctima con una ráfaga de pulsaciones de teclado a una velocidad super humana y las soluciones tradicionales de seguridad en redes no pueden detectar esto. Esto requiere una sesión activa, aunque obviamente la computadora no necesita ser desatendida.
Los posibles efectos de este ataque son devastadores para ciberseguridad de una empresa. Por lo general, es trivial elevar los privilegios al administrador (ya que está emulando un usuario escribiendo), por lo que puede instalar cualquier tipo de malware que se desee, extraer scripts más grandes desde un servidor remoto, o peor explican consultor de seguridad en redes, Salvador Ruiz de iicybersecurity.
Usted puede protegerse contra USB Rubber Ducky usando Beamgun, una herramienta de ciberseguridad. Beamgun escucha tranquilamente el USB insertado. Se ejecuta como un proceso de fondo. Beamgun bloquea la inyección de golpe de la llave robando continuamente el enfoque y bloqueando la máquina. Todas las teclas de teclado se graban y se puede ver lo que el hacker estaba tratando de hacer según consultor de seguridad en redes.
Según expertos de ciberseguridad de Instituto internacional de seguridad cibernética, Beamgun se muestra en los procesos del sistema cada vez que ejecuta BeamgunApp.exe. Si lo instalas utilizando MSI installer, esto sucederá cada vez que inicie sesión. Puedes hacer clic en el icono correspondiente para ver el estado de la aplicación. Desde aquí, puedes desactivar Beamgun. Si estás a punto de insertar y quitar dispositivos USB con frecuencia, durante los próximos 30 minutos. También puedes hacer “Reset” Beamgun si has sido alertado y, finalmente, puedes forzar a Beamgun para salir haciendo clic en “Exit”.
También puedes configurar los ajustes de seguridad en redes para Beamgun utilizando las dos casillas de verificación. Cuando el beamgun detecta un dispositivo USB, sólo ejecutará las funciones que haya seleccionado. Si selecciona “Attempt to steal”, Beamgun intentará robar todas las teclas de teclado y robando continuamente el enfoque. Si marca “Lock workstation”, Beamgun le dirá a Windows que se bloquee, forzándolo a escribir su contraseña para continuar.
CÓMO FUNCIONA
Según expertos de seguridad en redes y ciberseguridad, hay algunas llamadas importantes de la API de Win32 que nos permiten hacer lo siguiente:
Supervisar las inserciones de dispositivos de teclado para que podamos alertar,
Enganchar teclas para que podamos ver lo que el atacante intentó hacer,
Roba continuamente el enfoque al teclado para evitar que el atacante progrese y, finalmente,
Bloquea la estación de trabajo. Como otra opción (potencialmente más robusta), el usuario puede optar por bloquear la estación de trabajo cada vez que se produce una inserción USB.
CONSIDERACIONES ESPECIALES
Dado que el Rubber Ducky es un dispositivo de teclado, los expertos de seguridad en redes y ciberseguridad tuvieron que ser muy cuidadoso en la implementación de Beamgun para tratar de frustrar algunas contramedidas. El experto de seguridad en redes se aseguró de que algunos fans de Rubber Ducky se esforzarán para subvertir Beamgun, por estsos razones hay más seguridad:
Desactivación de ALT-F4
Usando botones personalizados que no responden a eventos del teclado
Robo de enfoque en un loop con un intervalo muy ajustado
Cada día son más y más los tipos de amenazas que circulan por la red tratando de infectar el mayor número de ordenadores o dispositivos posibles para cumplir con sus objetivos, que en la mayoría de los casos es intentar robar información personal del usuario como datos bancarios o tarjetas de crédito. En este sentido, son muchos los hackers que intentan distribuir su propio software para tratar de engañar a los usuarios redirigiendoles a sitios que aparentemente pueden parecer legítimos pero que lejos de lo que aparentan, son un engaño y lo único que tratan es robar las credenciales de nuestras cuentas bancarias o tarjetas de crédito.
En esta tarea, una de las técnicas más utilizadas es de capturar las pulsaciones del teclado que realizamos y de esta manera obtener las credenciales del sitio al que aparentemente estamos entrando. Sin duda, una manera de protegernos de este tipo de engaños es comprobando muy bien si el sitio donde vamos a identificarnos es legítimo o no, no obstante, en el caso de que caigamos en la trampa, también nos podemos proteger para que no puedan capturar las pulsaciones de teclado.
Algunos antivirus cuentan con esta característica, pero nunca está de más protegerse de esta técnica con un software específicamente desarrollado para este fin. Nos referimos a GhostPress, una aplicación gratuita y portable capaz de ocultar todas las pulsaciones de teclado que hagamos a un bajo nivel para que ningún software con malas intenciones sea capaz de capturarlas.
La herramienta es muy sencilla de utilizar y no necesita de grandes configuraciones. Para comenzar a hacer uso de ella, lo primero que tenemos que hacer es descargar GhostPress, que podemos hacerlo de forma totalmente gratuita desde este mismo enlace. Una vez lanzamos la aplicación, se mostrará una interfaz donde lo primero que veremos es un circulo grande verde que indica que estamos protegidos en ese momento. Al pulsar sobre el circulo podemos desactivarlo si así lo queremos en algún momento en concreto.
Desde las Opciones de GhostPress se pueden personalizar algunas características como si queremos que el programa se actualice automáticamente, queremos que arranque a la vez que Windows, ajustar la configuración de seguridad, habilitar un widget de escritorio o la posibilidad de crear una lista blanca de aplicaciones instaladas en el equipo a las que queremos permitir que capturen las pulsaciones de nuestro teclado. Sin duda, una gran herramienta para protegernos de estas técnicas que tratan de robar nuestros datos capturando las pulsaciones de nuestro teclado.
El nuevo malware bancario para Android que ESET descubrió hace poco en Google Play fue detectado in-the-wild nuevamente, apuntando a más bancos. Una investigación más profunda de esta amenaza demostró que se construyó usando código fuente que se había publicado hace un par de meses.
La versión previa, detectada por ESET como Trojan.Android/Spy.Banker.HU (versión 1.1 según marcaba su autor en el código fuente), se reportó el 6 de febrero. El malware se distribuía a través de Google Play como una versión troyanizada de una aplicación legítima para el pronóstico del tiempo, llamada Good Weather. El troyano tenía como blanco a 22 apps de banca móvil turcas, e intentaba recolectar credenciales usando formularios de login falsos. Además, podía bloquear y desbloquear dispositivos infectados, así como interceptar mensajes.
El domingo pasado descubrimos una nueva versión de este troyano en la tienda, haciéndose pasar por otra app legítima de pronóstico del tiempo; esta vez era World Weather. Este troyano, detectado por ESET como Trojan.Android/Spy.Banker.HW (versión 1.2), estuvo disponible en Google Play desde el 14 de febrero hasta que fue reportada por ESET y eliminada el 20 de febrero.
ARMANDO EL ROMPECABEZAS
El segundo descubrimiento desencadenó otra ronda de investigación, que trajo interesantes revelaciones.
Resulta que ambos troyanos para Android están basados en un código fuente gratuito que se había publicado en línea. La “plantilla” de este malware móvil, supuestamente escrita desde cero, así como el código del servidor de C&C incluyendo un panel de control web, estaban disponibles en un foro ruso desde el 19 de diciembre de 2016.
Imagen 1: Código fuente del malware para Android y del C&C publicados en un foro de Rusia
Cuando buscamos más información llegamos a unos hallazgos de Dr. Web, que analizó una de las variantes anteriores del malware, a la cual nuestros sistemas detectaban desde el 26 de diciembre de 2016 como Android/Spy.Banker.HH.
Sin embargo, esta variante no está directamente conectada con aquellas que encontramos en Google Play, aunque la detectamos bajo el mismo nombre que a la versión 1.0. Pudimos confirmar esto tras lograr acceder al panel de control del servidor de C&C de la botnet, que estaba activo al momento de nuestra investigación. En este lugar pudimos obtener información sobre las versiones de malware en los más de 2800 bots infectados.
Imagen 2: Panel de control web del C&C listando víctimas del malware
Debajo hay un panorama de grupos de usuarios afectados, en base a los datos de la botnet listados en este panel de control:
Un dato interesante es que el servidor de C&C en sí mismo, activo desde el 2 de febrero de 2017, se dejó accesible para cualquiera que tenga la URL, sin que se requieran credenciales.
¿CÓMO OPERA?
La nueva versión detectada tiene, en esencia, las mismas funcionalidades que su predecesora. Además de brindar el pronóstico climático, capacidad que adoptó de la versión legítima, Trojan.Android/Spy.Banker.HW puede bloquear y desbloquear dispositivos infectados remotamente estableciendo una contraseña de bloqueo de pantalla de su elección; a su vez, puede interceptar mensajes de texto.
La única diferencia entre las dos parece ser un mayor grupo de objetivos: el malware afecta ahora a usuarios de 69 aplicaciones de banca móvil de Gran Bretaña, Austria, Alemania y Turquía, y tiene una técnica de ofuscación más avanzada.
Imagen 4: App maliciosa en Google Play
Imagen 5: En verde, el ícono legítimo de World Weather; en rojo, la versión maliciosa.
El troyano tiene también una función integrada de notificación, cuyo propósito solo pudo ser verificado tras haber accedido al servidor de C&C. Resulta ser que el malware puede mostrar notificaciones falsas en los dispositivos infectados, instando al usuario a ejecutar una de las apps de banca que figuran en su lista de objetivos, con el pretexto de tener un “mensaje importante” del respectivo banco. Al hacerlo, se ejecuta actividad maliciosa en forma de una falsa pantalla de login.
Imagen 6: C&C enviando falsa notificación al dispositivo infectado
Imagen 7: Falsa notificación de app de banca enviada desde el C&C
CÓMO LIMPIAR UN DISPOSITIVO INFECTADO
Si hace poco instalaste alguna app de pronóstico del tiempo descargada de Google Play Store, fíjate que no sea una versión maliciosa de Good Weather o Weather World.
Si crees que descargaste alguna app falsa, búscala en Ajustes →Administrador de aplicaciones. Si ves la que figura en la imagen 8, y encuentras a “System update” en Ajustes → Seguridad → Administradores de dispositivo (imagen 9), tu dispositivo fue infectado.
Para limpiarlo, recomendamos que recurras a una solución de seguridad móvil, o puedes eliminar el malware en forma manual. Para ello, primero es necesario desactivar sus derechos de administrador desde Ajustes → Seguridad → System update. Una vez hecho eso, puedes desinstalar la app maliciosa en Ajustes → Administrador de Aplicaciones → Weather.
Imagen 8: El troyano en el Administrador de aplicaciones
Imagen 9: Malware camuflado como System update entre los administradores de dispositivo
CÓMO PROTEGERTE
Si bien el grupo de atacantes detrás de esta botnet eligió propagar el malware a través de aplicaciones de pronóstico del tiempo troyanizadas, y tiene como blanco a los bancos listados al final de este artículo, no hay garantías de que el código no esté siendo o vaya a ser usado en otro lado.
Con eso en mente, es importante que sigas algunos principios básicos para protegerte de malware móvil.
Al descargar desde Play Store, asegúrate de conocer los permisos antes de instalar o actualizar. En vez de otorgarle los que demanda automáticamente, considera lo que significan; si algo parece fuera de lugar, lee lo que otros usuarios escribieron en sus críticas y piensa dos veces la descarga.
Luego de ejecutar algo que hayas instalado en tu dispositivo móvil, sigue prestando atención a los permisos y derechos que solicita. Una app que no funciona sin permisos complejos que no están conectados a su funcionalidad principal podría ser una trampa.
Incluso si todo lo demás falla, una solución de seguridad móvil confiable te protegerá de amenazas activas.
Si quieres saber más sobre malware para Android, accede a nuestras últimas investigaciones sobre el tema. También te será de utilidad seguir estos 8 consejos para determinar si una aplicación para Android es legítima y acceder a nuestra Guía de Seguridad en Dispositivos Móviles.
El auge del ransomware ha ciertamente marcado un antes y un después en la historia del malware, determinando un nuevo rumbo en el modelo económico del cibercrimen. Esta amenaza ha evolucionado en los últimos años, expandiéndose a dispositivos de IoT –adquiriendo el nombre de jackware–, incorporando verdaderos centros de atención a la víctima y mutando lentamente hacia nuevas formas de extorsión masiva.
Los teléfonos y tabletas inteligentes no quedan exentos de contraer este tipo de infecciones. La mayor parte del ransomware para Android funciona simplemente como bloqueador de pantalla, es decir, sin cifrar los archivos del equipo. No obstante, las variantes basadas en algoritmos criptográficos causan grandes estragos.
Quienes vean su teléfono afectado pueden caer en la tentación de efectuar el pago del rescate para recuperar sus datos; sin embargo, corren el riesgo de acabar sin su dinero ni sus archivos. Afortunadamente, para la mayor parte del ransomware móvil existe una tercera opción: obtener las claves a través de ingeniería reversa.
A lo largo de este artículo veremos algunos ejemplos de cómo obtener las claves de descifrado partiendo del APK que infectó el terminal, de modo que cualquiera con sencillos conocimientos de programación pueda recuperar sus datos. ¡Manos a la obra!
RANSOMWARE CON CLAVES DINÁMICAS
El ransomware para Android usualmente cifra los archivos utilizando AES, un sistema de cifrado simétrico que –como tal– usa la misma clave para cifrar y descifrar los archivos. En algunas variantes, esta clave es única para cada equipo y se genera aleatoriamente cuando la aplicación maliciosa se ejecuta por vez primera.
Un ejemplo de este esquema de funcionamiento es Android/Lockerpin.A, sobre el cual basaremos nuestro análisis. Al ejecutar la muestra en un emulador, podremos ver cómo este malware finge ser una actualización del sistema, requiere permisos de administrador, realiza una petición web a un sitio de pornografía e inmediatamente muestra una falsa advertencia al usuario, indicando en nombre del FBI que se han visitado sitios de pornografía infantil y zoofilia. Finalmente, solicita el pago de una multa.
Mientras, los archivos que se encontraban en la unidad de almacenamiento externo han sido cifrados. Por cada archivo se ha creado un fichero extra de extensión .crypted_gaza.
Vemos cómo todas las imágenes del dispositivo ya no pueden ser procesadas por las apps de visualización:
Ahora abriremos el APK en cuestión con jadx. En la barra de herramientas notarás un icono dedicado a la búsqueda de determinadas cadenas de texto entre el código. Al hacer clic se abrirá un cuadro de diálogo. Fíjate de tener activada la casilla de Code.
Esta herramienta tiene una intuitiva interfaz gráfica y te permitirá encontrar rápidamente líneas de código con palabras clave, como nombres de clases o métodos necesarios para operaciones de cifrado –como ser SecretKeySpec, Cipher o doFinal, entre otros–. De este modo, podrás buscar el momento en que la clave es creada y partir desde allí para identificar cómo se construye.
Si escribimos “AES” en el cuadro de texto, notaremos algunas ocurrencias; la segunda de ellas, inicializando la clave.
Al hacer doble clic, serás dirigido al segmento de código en cuestión. Dentro del método aes256Crypt() veremos una llamada a generateKey, donde la clave se inicializa de manera aleatoria e unívoca para cada equipo donde el malware se instala. Luego, el método putString() guardará esa clave en el archivo de Shared Preferences.
Ahora que sabemos dónde está almacenada la clave, podemos dejar el emulador atrás y volver al equipo que ha sufrido la infección para descargar o ver el archivo de preferencias desde /data/data/<package_name>/shared_prefs mediante el comando adb pull <origen> <destino>, adb shell cat <ruta_preferencia_xml> o el Android Device Monitor. Para esto, el terminal deberá estar rooteado.
A continuación vemos la información del archivo, con la clave recientemente generada.
Lo único que resta es copiar al computador todos los archivos que han sido cifrados y correr un script como el siguiente sobre dicha carpeta. Deberemos descifrar los datos utilizando ECB ya que es el modo de cifrado por defecto para AES en Android.
with open('%s%s%s'%(file_path[:-4],'_dec', file_path[-4:]), 'wb') as fo:
fo.write(dec)
if__name__ =='__main__':
"""
Recibe por parámetro la ruta absoluta de la carpeta que contiene los archivos cifrados o un archivo cifrado en particular.
"""
iflen(sys.argv) &lt; 2:
sys.exit('ERROR: No se especificó la ruta absoluta del archivo o directorio de archivos a descifrar.')
param_path =sys.argv[1]
ifnotos.path.exists(param_path):
sys.exit('ERROR: El archivo o directorio especificado no existe.')
ifnotos.path.isdir(param_path):
decrypt_file(param_path, key)
else:
forroot,subdirs, files inos.walk(param_path):
forfilename infiles:
decrypt_file(os.path.join(root, filename), key)
También podría crearse una aplicación para Android que realice el descifrado directamente en el smartphone.
Et voilà! Hemos recuperado nuestros archivos originales.
Claro que, en ocasiones, el análisis del código se ve obstaculizado por técnicas de evasión, como archivos manifiestos malformados, ofuscación, cifrado, reflexión o antiemulación.
RANSOMWARE CON CLAVES HARDCODEADAS
Este tipo de malware criptográfico es aún más sencillo de analizar, dado que la clave de cifrado se genera de manera determinística con base en alguna cadena de texto almacenada en el código de la aplicación. Un ejemplo de este comportamiento es el histórico Android/Simplocker.A, que con el paso del tiempo ha evolucionado para enmascararse tras una variada lista de instituciones gubernamentales o aplicaciones pornográficas, y para el cual ESET desarrolló una herramienta de descifrado.
Para demostrarlo, tomaremos una muestra de esta familia y la dispondremos bajo la lupa. Del mismo modo que antes, abriremos la aplicación con jadx y buscaremos nuevamente la cadena “AES”. Encontraremos la entrada de inicialización de la clave.
Esto nos llevará a la clase AesCrypt, la cual –como vemos en la siguiente imagen– genera la clave sobre el SHA-256 de una cadena de texto pasada por parámetro en el constructor. En ella también veremos el tipo de cifrado, modo y padding utilizado.
Si ahora buscamos el momento en que este constructor es utilizado, veremos un par de entradas con una variable de nombre CIPHER_PASSWORD, perteneciente a la clase Constants.
El ransomware con claves hardcodeadas ofrece mayor facilidad de estudio, no siendo necesario realizar análisis estático y pudiendo obtener las claves mediante el análisis dinámico con herramientas como MobSF.
¡CUIDADO CON ESTOS CÓDIGOS!
Con suerte, a lo largo de este artículo habrás descubierto algunos consejos para obtener las claves de descifrado del ransomware que ha tomado control de tu teléfono. Recuerda que, aunque tener una buena solución de seguridad ayuda a prevenir y desinfectar, los archivos que hayan sido cifrados se perderán a menos que consigas dar con la clave de descifrado o tengas una copia de respaldo actualizada en algún soporte digital.
En este video explicamos más sobre el funcionamiento del ransomware y cómo evitarlo:
Para conocer sobre la evolución de estos códigos para plataformas móviles, puedes acceder a nuestro artículo sobre la evolución del ransomware en Android.
Un patrón de ataque que pueden destruir las garantías de seguridad de la arquitectura de seguridad X.509 PKI mediante el empleo de certificados de CA que incluyen una puerta trasera en secreto incrustado. 
Una charla Sombrero Negro examinar los métodos de explotación de vulnerabilidades XML de entidad en la funcionalidad de análisis / carga de archivos para los formatos de archivo XML soportado como DOCX, XSLX y PDF. 
Investigación y ataques de prueba de concepto de relieve en Sombrero Negro que muestran cómo XSLT se puede aprovechar para socavar la integridad y confidencialidad de la información del usuario. 
Se ve en una debilidad en la forma en PHP maneja hash cadenas en ciertos casos, para que sea posible poner en peligro los sistemas de autenticación y otras funciones que utilizan comparaciones de hash en PHP. 
La investigación presentada en 44CON profundiza en el uso de métodos de devolución de llamada inducidas por explotar para encontrar vulnerabilidades que se esconden en las funciones de back-end y subprocesos en segundo plano. 
