tag:blogger.com,1999:blog-38263040955501936482024-02-19T04:40:51.768-08:00CAUTIO de CSIETEGiovanni Cruz Forerohttp://www.blogger.com/profile/14753019907377409633noreply@blogger.comBlogger53125tag:blogger.com,1999:blog-3826304095550193648.post-58367687921145185922020-06-26T14:27:00.000-07:002020-06-26T14:44:52.371-07:00Recolección de evidencia, super timelines y Cacería de amenazas: Un aproximación a la identificación de amenazasEl procedimiento de recolectar evidencia suficiente enfocándose específicamente en artefactos forenses de valor (evidencia) y preferiblemente automatizando la recolección con la menor interacción posible sobre el sistema (interrogar los sistemas con agilidad y precisión), es un proceso de mucha relevancia especialmente para el <a href="https://blog.csiete.org/2015/01/triage-basico-de-malware-con-pestudio.html?q=triage" target="_blank">triage </a>en la respuesta a incidentes. Pero el proceso de recolectar, aunque permitiría ejecutar módulos o procedimientos adicionales, debe ser lo más sencillo posible, prefiriendo que <b>el análisis se desarrolle sobre evidencia recolectada en un entorno específico para tal fin</b>.<br />
<br />
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhxDduPV9mqIpzvQvAlWl3ePhuwyuPubw8nErzFQtl1LlQQeUzV0zuBDqEYEiogt7Cmhmdfgsl5c3QN_KBfrL1A-NqHNLO26bEUtTIANsWtzuTqFams1xesPyGck3jKFE9d8cfzSHl-V3Yg/s1600/Velociraptor_Plaso_Sigma.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" data-original-height="317" data-original-width="810" height="125" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhxDduPV9mqIpzvQvAlWl3ePhuwyuPubw8nErzFQtl1LlQQeUzV0zuBDqEYEiogt7Cmhmdfgsl5c3QN_KBfrL1A-NqHNLO26bEUtTIANsWtzuTqFams1xesPyGck3jKFE9d8cfzSHl-V3Yg/s320/Velociraptor_Plaso_Sigma.png" width="320" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Velociraptor + Plaso + Sigma</td></tr>
</tbody></table>
Una vez recolectada la evidencia, cada analista sigue un procedimiento general pero emplea técnicas propias o específicas para encontrar lo que necesita, parseando/analizando artefactos, correlacionando eventos, creando líneas de tiempo, identificando elementos maliciosos para su análisis, etc.; en fin, <b>es una tarea titánica que además debe hacerse lo antes posible</b>, garantizando que no queden fuera de las detecciones elementos que podría aumentar el impacto de los atacantes o garanticen su persistencia en los sistemas.<br />
<br />
<a name='more'></a><br />
<br />
<a href="https://blog.csiete.org/2019/02/kape-facilitando-la-tarea-de-recolectar.html?" target="_blank">KAPE fue una de las primeras herramientas exploradas</a> que permite recolectar evidencia de forma modular, dirigiendo los esfuerzos de recolección en artefactos específicos para cada caso; sin embargo, su necesidad de algunas dependencias especialmente en <a href="https://es.wikipedia.org/wiki/Sistema_heredado#:~:text=Un%20sistema%20heredado%20(o%20sistema,o%20actualizar%20de%20forma%20sencilla." target="_blank">sistemas legacy</a> llevaron a explorar otras opciones, encontrando <a href="https://www.velocidex.com/" target="_blank">Velociraptor</a>, un framework compatible con KAPE, que permite automatizar la recolección de evidencia en diferentes sistemas operativos y que además permite ser compilado para facilitar la "<i>recolección en un click</i>", especialmente para trabajos de "<i>manos remotas</i>". Además, <a href="https://dvirus.training/2020/06/09/introduccion-a-velociraptor/" target="_blank">Velociraptor también puede ser configurado como un entorno forense de monitoreo permanente</a> como lo expone Daniel Rodriguez.<br />
<br />
Al igual que KAPE, velociraptor recolecta los artefactos usando la estructura de directorios, de tal forma que aplicaciones forenses podran navegar por las rutas estandar para consultarlos y manipularlos.<br />
<br />
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjIHJHiiFdaYckNWLNagDL3f1kIbZqURMX9AizNRR6v9orUd_NofeeDKH1I_F19RGS_v33bPZoybyDnY_p0f1b_UadjNPaI34MP-fxhRQXFTlKvt06YO_V136X_KWhtef2crWDGJKboOFSp/s1600/estructura_directorios.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" data-original-height="269" data-original-width="397" height="216" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjIHJHiiFdaYckNWLNagDL3f1kIbZqURMX9AizNRR6v9orUd_NofeeDKH1I_F19RGS_v33bPZoybyDnY_p0f1b_UadjNPaI34MP-fxhRQXFTlKvt06YO_V136X_KWhtef2crWDGJKboOFSp/s320/estructura_directorios.png" width="320" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Estructura de directorios de la evidencia recolectada</td></tr>
</tbody></table>
<br />
<b>Tenemos evidencia, ahora por donde empezamos</b><br />
<br />
Podemos empezar por generar líneas de tiempo mediante <a href="https://github.com/log2timeline/plaso" target="_blank">Plaso</a>, conjunto de herramientas enfocados en analizar los artefactos recolectados para construir una base de datos enfocada en <b>el artefacto, los detalles y sus respectivas marcas de tiempo</b>, de tal forma que es posible reconocer la cronología de eventos en los sistemas incluyendo actividad de eventos del sistema, registro, sistema de archivos, entre muchos otros, pero concentrados en un solo contenedor para su consulta. Plaso esta basado en python y tiene requerimientos simples; sin embargo, si se requiere tener una mejor opción para su ejecución, es posible usar su versión <a href="https://hub.docker.com/r/log2timeline/plaso/" target="_blank"><i>dockerizada</i></a>. Una vez instalado, es solo cuestion de crear el contenedor, para este caso se llamará <b>evidences.plaso</b>:<br />
<br />
<pre style="box-sizing: border-box; color: #404040; font-family: SFMono-Regular, Menlo, Monaco, Consolas, "Liberation Mono", "Courier New", Courier, monospace; font-size: 12px; line-height: 1.4; overflow: auto; padding: 12px;">docker run -v <ruta a mi evidencia>:/data log2timeline/plaso log2timeline /data/evidences.plaso /data/<C si fue recolectado con velociraptor></pre>
<br />
El anterior comando ejecutará el comando <b>log2timeline </b>del contenedor log2timeline/plaso generando el resultado en la ruta definida en el comando como <<i>ruta a mi evidencia</i>>.<br />
<br />
Posteriormente se ejecuta el comando <b>psort </b>para analizar el contenido del archivo evidences.plaso, el resultado nuevamente será almacenado en la ruta de la evidencia, con el nombre <b>timeline.log</b>:<br />
<br />
<pre style="box-sizing: border-box; color: #404040; font-family: SFMono-Regular, Menlo, Monaco, Consolas, "Liberation Mono", "Courier New", Courier, monospace; font-size: 12px; line-height: 1.4; overflow: auto; padding: 12px;">docker run -v <ruta a mi evidencia>:/data log2timeline/plaso psort -w /data/timeline.log /data/evidences.plaso</pre>
<br />
Este proceso tomará tiempo dependiendo de la cantidad de la evidencia y los archivos (momento prepara café ;) ), pero como resultado, el archivo timeline.log tendrá un una estructura cronológicamente organizada concentrando los resultados de análisis de todos los artefactos y fácilmente manejable basado en cadenas de texto.<br />
<br />
<br />
<b>¿Qué y Cómo buscar en la línea de tiempo?</b><br />
<br />
Aquí inicia la tarea del analista, no existe un comando mágico que, <i>"de la respuesta"</i>, es necesario conocer el incidente, entender su comportamiento, anticipar los procedimientos y entender las técnicas y tácticas de los adversarios; pero más importante, entender el alcance y objetivo del análisis.<br />
<br />
Es posible identificar elementos asociados al incidente: borrado de archivos, conexiones remotas o peticiones a servicios en Internet, alertas de plataformas de seguridad, etc., y a partir de sus marcas de tiempo, buscar sobre la línea de tiempo eventos cercanos.<br />
<br />
También es posible iniciar por buscar elementos generales que pueden asociarse al evento de seguridad: errores de autenticación, uso de aplicaciones conocidas (sysinternals suite, aplicaciones para escaneo de redes, utilitarios para acceso o volcado de memoria, frameworks conocidos de seguridad o auditoría), instalación de servicios, sesiones remotas, en fín, todo lo que pueda ser usado como indicio que direccione la investigación y busqueda de evidencia.<br />
<br />
Dado que la línea de tiempo es un documento de texto, será posible consultar mediante palabras clave o expresiones regulares haciendo uso del comando <a href="https://man7.org/linux/man-pages/man1/grep.1.html" target="_blank">grep </a>(Sistemas *Nix) o los cmdlets <a href="https://docs.microsoft.com/en-us/powershell/module/microsoft.powershell.utility/select-string?view=powershell-7" target="_blank">select-string</a> y <a href="https://docs.microsoft.com/en-us/powershell/module/microsoft.powershell.management/get-content?view=powershell-7" target="_blank">get-content</a> en powershell.<br />
<br />
<br />
<b>Sigma Rules y la Cacería de Amenazas</b><br />
<br />
El procedimiento forense implica conocimiento y creatividad para encontrar los eventos clave, pero es posible aprovechar el conocimiento general para realizar la búsqueda de elementos, basado en reglas específicas que marcan el comportamiento de los adversarios. Para tal fin, una de las mejores herramientas abiertas es <a href="https://github.com/Neo23x0/sigma/" target="_blank">Sigma desarrollada por Florian Roth</a>. En palabras del autor, Sigma es a los logs lo que Snort es al tráfico de red o Yara es para los archivos. Sigma contiene una serie de reglas que pueden ser transformadas en diferentes lenguajes o modulos de tal forma que puedan ser integrados y aplicados en la búsqueda de actividad maliciosa o desarrollada por adversarios.<br />
<br />
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="https://raw.githubusercontent.com/Neo23x0/sigma/master/images/Sigma_rule_example3.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" data-original-height="338" data-original-width="800" height="135" src="https://raw.githubusercontent.com/Neo23x0/sigma/master/images/Sigma_rule_example3.png" width="320" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Regla para detectar webshell en servidores web</td></tr>
</tbody></table>
<br />
Sigma es de código abierto y aunque existen reglas privadas, contiene un <a href="https://github.com/Neo23x0/sigma/tree/master/rules" target="_blank">grupo importante de reglas</a> que permiten detectar entre otras cosas actividad maliciosa usando powershell, malware conocido, creción de procesos, actividad recolectada con sysmon.<br />
<br />
Para instalar Sigma, es necesario clonar el repositorio:<br />
<br />
<pre style="box-sizing: border-box; color: #404040; font-family: SFMono-Regular, Menlo, Monaco, Consolas, "Liberation Mono", "Courier New", Courier, monospace; font-size: 12px; line-height: 1.4; overflow: auto; padding: 12px;">git clone <a href="https://github.com/Neo23x0/sigma/">https://github.com/Neo23x0/sigma/</a></pre>
<br />
Una vez descargado, ingresar a la carpeta sigma, desde aquí es posible acceder a cada regla en la carpeta rules o emplear la herramienta <b>sigmac </b>para ejecutar los procesos de transformación con el objetivo de integrarlos de acuerdo a las necesidades. Sigma cuenta con un amplio número de transformaciones o targets, para el siguiente ejemplo usaremos el target grep con la regla av_exploiting.yml:<br />
<br />
<pre style="box-sizing: border-box; line-height: 1.4; overflow: auto; padding: 12px;"><span style="color: #404040; font-family: , "menlo" , "monaco" , "consolas" , "liberation mono" , "courier new" , "courier" , monospace;"><span style="font-size: 12px;">Threat Hunting/sigma$ python3 tools/sigmac -t grep rules/windows/malware/av_exploiting.yml
grep -P '^(?:.*.*MeteTool.*|.*.*MPreter.*|.*.*Meterpreter.*|.*.*Metasploit.*|.*.*PowerSploit.*|.*.*CobaltSrike.*|.*.*Swrort.*|.*.*Rozena.*|.*.*Backdoor\.Cobalt.*)'</span></span></pre>
<br />
El resultado es un comando grep que permite buscar palabras clave relacionadas con los frameworks <a href="https://www.metasploit.com/" target="_blank">Metasploit</a>, <a href="https://github.com/PowerShellMafia/PowerSploit" target="_blank">Powersploit</a>, <a href="https://www.cobaltstrike.com/" target="_blank">Cobaltstrike</a>, entre otros. Esta sentencia será utilziada para consultar la regla en el recurso adecuado.<br />
<br />
<br />
<b>Usando Sigma para verificar la evidencia analizada (Logs de eventos evtx)</b><br />
<br />
Sigma también cuenta con un target basado en powershell, aplicando este target, obtendremos las sentencias powershell para consultar el log de eventos del sistema con los valores descritor en la regla:<br />
<br />
<pre style="box-sizing: border-box; line-height: 1.4; overflow: auto; padding: 12px;"><span style="color: #404040; font-family: , "menlo" , "monaco" , "consolas" , "liberation mono" , "courier new" , "courier" , monospace;"><span style="font-size: 12px;">Threat Hunting/sigma$ python3 tools/sigmac -t powershell rules/windows/malware/win_mal_ursnif.yml
Get-WinEvent -LogName Microsoft-Windows-Sysmon/Operational | where {($_.ID -eq "13" -and $_.message -match "TargetObject.*.*\\Software\\AppDataLow\\Software\\Microsoft\\.*") } | select TimeCreated,Id,RecordId,ProcessId,MachineName,Message</span></span></pre>
<br />
Este comando puede ser copiado y ejecutado directamente en la consola powershell del sistema; sin embargo, la busqueda se genera sobre los eventos del sistema donde es ejecutada (host) y no sobre la evidencia recolectada.<br />
<br />
Para consultar sobre los logs recolectados como evidencia, es necesario modicar la sentencia y dirigirla a la ruta correspondiente del archivo de evidencia:<br />
<br />
<strike><span style="color: red;">eliminado</span></strike><br />
<span style="color: #38761d;">adicionado</span><br />
<pre style="box-sizing: border-box; line-height: 1.4; overflow: auto; padding: 12px;"><span style="font-family: , "menlo" , "monaco" , "consolas" , "liberation mono" , "courier new" , "courier" , monospace;"><span style="font-size: 12px;">Get-WinEvent<span style="color: #38761d;"> </span><strike><span style="color: red;">-LogName Microsoft-Windows-Sysmon/Operational</span></strike><span style="color: #404040;"> </span></span></span><span style="color: #38761d; font-family: , "menlo" , "monaco" , "consolas" , "liberation mono" , "courier new" , "courier" , monospace;"><span style="font-size: 12px;">-FilterHashtable @{path="Microsoft-Windows-Sysmon%4Operational.evtx"}</span></span>| where {($_.ID -eq "13" -and $_.message -match "TargetObject.*.*\\Software\\AppDataLow\\Software\\Microsoft\\.*") } | select TimeCreated,Id,RecordId,ProcessId,MachineName,Message</pre>
<br />
Con esta modificación, los comandos estan listos para ser ejecutados sobre la evidencia analizada.<br />
<br />
Esta es una forma sencilla de buscar elementos maliciosos/sospechosos generales como parte del análisis preliminar.<br />
<br />
<br />
<b>Usando sigma para consultar en timeline.log</b><br />
<br />
Ya contamos con un archivo de texto que contiene la línea de tiempo de actividad presentada en el sistema analizado, es posible aprovechar el target <b>grep </b>de Sigma para crear las consultas necesarias y ejecutarlas sobre el archivo timeline.log.<br />
<br />
Es posible crear los comandos de todas las reglas en una carpeta en un solo paso, adicionando el parámetro -r. También es posible evitar errores incluyendo el parámetro -I:<br />
<br />
<pre style="box-sizing: border-box; line-height: 1.4; overflow: auto; padding: 12px;"><span style="color: #404040; font-family: , "menlo" , "monaco" , "consolas" , "liberation mono" , "courier new" , "courier" , monospace;"><span style="font-size: 12px;">Threat Hunting/sigma$ python3 tools/sigmac -t grep -rI rules/windows/malware/
grep -P '^(?:.*.*MeteTool.*|.*.*MPreter.*|.*.*Meterpreter.*|.*.*Metasploit.*|.*.*PowerSploit.*|.*.*CobaltSrike.*|.*.*Swrort.*|.*.*Rozena.*|.*.*Backdoor\.Cobalt.*)'
grep -P '^(?:.*.*DumpCreds.*|.*.*Mimikatz.*|.*.*PWCrack.*|.*HTool/WCE|.*.*PSWtool.*|.*.*PWDump.*|.*.*SecurityTool.*|.*.*PShlSpy.*)'
grep -P '^(?:.*C:\Windows\Temp\\.*|.*C:\Temp\\.*|.*.*\\Client\\.*|.*C:\PerfLogs\\.*|.*C:\Users\Public\\.*|.*C:\Users\Default\\.*|.*.*\.ps1|.*.*\.vbs|.*.*\.bat|.*.*\.chm|.*.*\.xml|.*.*\.txt|.*.*\.jsp|.*.*\.jspx|.*.*\.asp|.*.*\.aspx|.*.*\.php|.*.*\.war|.*.*\.hta|.*.*\.lnk|.*.*\.scf|.*.*\.sct|.*.*\.vbe|.*.*\.wsf|.*.*\.wsh)'
grep -P '^(?:.*PHP/Backdoor.*|.*JSP/Backdoor.*|.*ASP/Backdoor.*|.*Backdoor\.PHP.*|.*Backdoor\.JSP.*|.*Backdoor\.ASP.*|.*.*Webshell.*)'
grep -P '^(?:.*(?=.*(?:.*12|.*13))(?=.*(?:.*.*SYSTEM\\.*\services\localNETService)))'
grep -P '^(?:.*(?=.*.*\cmd\.exe)(?=.*.*sc config.*)(?=.*.*wercplsupporte\.dll.*))'
grep -P '^(?:.*(?=.*.*\wmic\.exe)(?=.*.*COR_PROFILER))'
grep -P '^(?:.*(?=.*13)(?=.*(?:.*.*\CurrentControlSet\Services\wercplsupport\Parameters\ServiceDll)))'
grep -P '^(?:.*(?=.*(?:.*12|.*13))(?=.*(?:.*HKLM\HARDWARE\\{804423C2-F490-4ac3-BFA5-13DEDE63A71A\}|.*HKLM\HARDWARE\\{A5124AF5-DF23-49bf-B0ED-A18ED3DEA027\}|.*HKLM\HARDWARE\\{2DB80286-1784-48b5-A751-B6ED1F490303\}|.*HKLM\SYSTEM\Setup\PrintResponsor\\.*)))'
grep -P '^(?:.*(?=.*11)(?=.*(?:.*.*\AppData\Local\Microsoft\Cache134\.dat|.*.*\AppData\Local\Microsoft\ExplorerSync\.db)))'
grep -P '^(?:.*.*\net\.exe stop "samss" .*|.*.*\net\.exe stop "audioendpointbuilder" .*|.*.*\net\.exe stop "unistoresvc_?????" .*)'
grep -P '^(?:.*(?=.*13)(?=.*.*\Software\AppDataLow\Software\Microsoft\\.*))'</span></span></pre>
<br />
Una vez creados, estos comandos son ejecutados contral el archivo timeline.log y si se generan detecciones, será necesario investigarlas, además, son un buen punto de partida cuando no se cuenta con inforamción del incidente.<br />
<br />
<br />
<b>Consideraciones</b><br />
<br />
Los comandos generados por Sigma para el <b>target grep </b>corresponden a expresiones regulares compatibles con PERL (grep -P), de esta forma es más sencillo construirlas con la menor cantidad de caracteres, pero cuando el archivo objeto de busqueda (timeline.log) es muy grande o la expresión regular es muy compleja, pueden generarse errores de capacidad o también se generar errores cuando se construyen reglas basadas en rutas del sistema debido al uso del caracter \ en la construcción de caracteres especiales:<br />
<br />
<pre style="box-sizing: border-box; line-height: 1.4; overflow: auto; padding: 12px;"><span style="font-family: , "menlo" , "monaco" , "consolas" , "liberation mono" , "courier new" , "courier" , monospace;"><span style="font-size: 12px;"><span style="color: #404040;">evidence$ grep -P '^(?:.*(?=.*11)(?=.*(?:.*.*\AppData\Local\Microsoft\Cache134\.dat|.*.*\AppData\Local\Microsoft\ExplorerSync\.db)))' timeline.log
</span><span style="color: red;">grep: PCRE does not support \L, \l, \N{name}, \U, or \u</span></span></span></pre>
<br />
Para estos casos, será necesario escapar el caracter duplicándolo (<b>\\</b>) y en caso de contar con sentencias muy complejas, evitar el uso del parámetro -P y modificar la consulta, para ejecutarla directamente.<br />
<br />
Realizar la búsqueda frente a la línea de tiempo tomará menos tiempo que ejecutar las sentencias Powershell contra los archivos <i>evtx</i>, por lo que es recomendable usar el <b>target grep</b>.<br />
<br />
<a href="https://docs.microsoft.com/en-us/windows/wsl/install-win10" target="_blank">Los sistemas Linux pueden ser usados en Windows</a>, así como <a href="https://docs.microsoft.com/en-us/powershell/scripting/install/installing-powershell-core-on-linux?view=powershell-7" target="_blank">Powershell puede ser usado en sistemas Linux</a>, de tal forma que cualquier método de búsqueda podrá ser utilizado sin mayores restricciones.<br />
<br />
Aunque puedes tratar la búsqueda de evidencia basada en experiencia y conocimiento, siempre será mejor contar con elementos que apoyen y garanticen la búsqueda apropiada de elementos de riesgo, con ese objetivo se define esta propuesta que se basa en tres soluciones <i>open source</i> fácilmente implementables y complementarias.<br />
<br />
También puedes incluir un servicio <a href="https://www.elastic.co/es/elasticsearch/" target="_blank">Elasticsearch </a>que reciba los datos desde <b>Plaso </b>y en el que se integre <b>Sigma </b>directamente, pero esto será parte de una proxima publicación.Eduardo Chavarro Ovallehttp://www.blogger.com/profile/11537520679484769400noreply@blogger.com0tag:blogger.com,1999:blog-3826304095550193648.post-10436405020213761182020-05-28T16:11:00.000-07:002020-05-29T09:51:54.100-07:00CSIETE Podcast: Apps para Coronavirus y Divulgación responsableEn 2020 el mundo reconoció un nuevo tipo de <a href="https://www.minsalud.gov.co/Paginas/CoronApp.aspx" target="_blank">aplicación para proteger la salud general de las personas debido al COVID19 o Coronavirus</a>. Estas aplicaciones, aunque apalancadas en un objetivo de protección y monitoreo para la toma de decisiones por parte de gobiernos y autoridades, han demostrado presentar <a href="https://www.ft.com/content/d2609e26-8875-11ea-a01c-a28a3e3fbd33" target="_blank">riesgos de alto impacto</a>, afectando la confidencialidad y la privacidad de los usuarios no solo en Colombia sino en general a nivel mundial. Con el apoyo de Giovanni Cruz CEO de <a href="http://www.csiete.org/" target="_blank">CSIETE </a>y la doctora Ana María Mesa de <a href="https://www.lawtic.com.co/" target="_blank">Law TIC Grupo jurídico</a> discutimos los riesgos técnicos y legales de este tipo de aplicaciones<br />
<div wfd-id="10">
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://anchor.fm/eduardo-chavarro-ovalle/episodes/Apps-para-Coronavirus-y-Divulgacin-responsable-edn8f7" target="_blank"><img alt="CSIETE Podcast: Apps para Coronavirus y Divulgación responsable" border="0" data-original-height="347" data-original-width="514" height="216" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh_lm-2Pq4ZEYcrcAfsf8yLHCa-aglb8xUBN2i4fsr1Wl8b6liN-6aM5h6K4onoX8kpFOtFT6OcVbB2yDINmUqN-4o8YOULf5MDES6050_dPd5pMyuzqdvTIBmKrRK82yTRb3mLGx6O6mGC/s320/GioAna.png" width="320" /></a>
<iframe frameborder="0" height="102px" scrolling="no" src="https://anchor.fm/eduardo-chavarro-ovalle/embed/episodes/Apps-para-Coronavirus-y-Divulgacin-responsable-edn8f7" width="400px"></iframe>
</div>
<div class="separator" style="clear: both; text-align: center;">
<br /></div>
<a name='more'></a><br />
Como un esfuerzo autónomo desde la corporación CSIETE verificamos algunas de las aplicaciones desplegadas a nivel nacional y reportamos a las entidades correspondientes para su validación e implementación de controles. Para tal fin, aplicamos un procedimiento de divulgación responsable <a href="https://latam.kaspersky.com/blog/vulnerability-disclosure-ethics/18812/?es_p=11849421" target="_blank">como lo desarrollan diferentes organizaciones</a>, que garantice la debida divulgación de las debilidades; pero con el objetivo de que sean cubiertas en pro de los usuarios y todos los interesados.</div>
<div wfd-id="6">
<br /></div>
<div wfd-id="3">
Fruto de este trabajo, recibimos por parte de la "<a href="https://and.gov.co/" target="_blank">Corporación Agencia Nacional de Gobierno Digital</a>" respuesta al informe de CoronApp, así como el agradecimiento por el trabajo desarrollado. Agradecemos su respuesta pero más importante, el trabajo que desarrollaron para cerrar las brechas reportadas, mostrando compromiso y resaltando el trabajo de divulgación responsable:</div>
<div wfd-id="3">
<br /></div>
<div wfd-id="3">
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjUSF9i5KHIc8G7w4DYT3-fbiKDpSuD8_Wm7jJm8x-1OgkghPnxpcZWnojJBL2WPrtOPT1wzy94ibX0aQB38OnU6zeST85O5ImyRXxITSINo1iONDYOWhJ1X0b6z681FkA6y5WOnJSmL91w/s1600/andgov.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" data-original-height="635" data-original-width="1600" height="126" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjUSF9i5KHIc8G7w4DYT3-fbiKDpSuD8_Wm7jJm8x-1OgkghPnxpcZWnojJBL2WPrtOPT1wzy94ibX0aQB38OnU6zeST85O5ImyRXxITSINo1iONDYOWhJ1X0b6z681FkA6y5WOnJSmL91w/s320/andgov.png" width="320" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">AND-EXT-00163: Respuesta de la Agencia Nacional Digital</td></tr>
</tbody></table>
<br /></div>
<div wfd-id="3">
Desde <a href="https://www.csiete.org/" target="_blank">CSIETE</a>, queremos compartir los resultados de nuestro trabajo. Aún continuamos atentos a otros ajustes por parte de aplicaciones para el monitoreo de la pandemia, pero una vez se tomen las medidas correspondientes se harán públicos los reportes de resultados completos.</div>
<div wfd-id="0">
<div wfd-id="1">
<br />
<div class="separator" style="clear: both; text-align: center;">
</div>
<br />
<table>
<tbody>
<tr><td><table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiaDXCkexSH3oIokmcrvAMZz_EAN9lsGoUNndAI6zfOPtOBP8RF7Ryev9wntEvUsMRFKFlsM5l5Cby3nMF4io-Gl0jAsjOi-ue6acdnma7eSlLnTOTgwjc8Nf2HOeyy_awZFkVBppjt3CaO/s1600/WhatsApp+Image+2020-05-08+at+11.46.09.jpeg" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" data-original-height="740" data-original-width="735" height="320" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiaDXCkexSH3oIokmcrvAMZz_EAN9lsGoUNndAI6zfOPtOBP8RF7Ryev9wntEvUsMRFKFlsM5l5Cby3nMF4io-Gl0jAsjOi-ue6acdnma7eSlLnTOTgwjc8Nf2HOeyy_awZFkVBppjt3CaO/s320/WhatsApp+Image+2020-05-08+at+11.46.09.jpeg" width="317" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Reporte CoronApp</td></tr>
</tbody></table>
</td><td><div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg1VEtSaC7dgm59oOdWpaWiXO-pKWklvfSKDND0c-X0ZpSnKCW8mlfKGSlVp0OEk0lF_ZWYDWI63f8vjQGL9kaIagdPfECuH1pFt5Jx28giYxF2GYY1bX8FwWq6pdhGqFGu2Bbl3LhXNFze/s1600/WhatsApp+Image+2020-05-08+at+11.47.30.jpeg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="734" data-original-width="953" height="246" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg1VEtSaC7dgm59oOdWpaWiXO-pKWklvfSKDND0c-X0ZpSnKCW8mlfKGSlVp0OEk0lF_ZWYDWI63f8vjQGL9kaIagdPfECuH1pFt5Jx28giYxF2GYY1bX8FwWq6pdhGqFGu2Bbl3LhXNFze/s320/WhatsApp+Image+2020-05-08+at+11.47.30.jpeg" width="320" /></a></div>
<br /></td></tr>
<tr><td><table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi7BlLUDhDlBiiKsimZ21JRCDk8lopu2FQIhI8u3utwVoCGksA2fCo8DSUTWLfMGVLDvaU4y9n7TWjTsHezgR046XlhbU6Uz8eNXkWNZsaa55megWWWd2MkFIybaDNs3uKUvo1M4IFAmaj9/s1600/WhatsApp+Image+2020-05-08+at+11.46.35.jpeg" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" data-original-height="851" data-original-width="805" height="320" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi7BlLUDhDlBiiKsimZ21JRCDk8lopu2FQIhI8u3utwVoCGksA2fCo8DSUTWLfMGVLDvaU4y9n7TWjTsHezgR046XlhbU6Uz8eNXkWNZsaa55megWWWd2MkFIybaDNs3uKUvo1M4IFAmaj9/s320/WhatsApp+Image+2020-05-08+at+11.46.35.jpeg" width="302" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Reporte CaliValle Corona</td></tr>
</tbody></table>
<br /></td><td><div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh-sENkg7MHGxPBI7UL3PTYR3oZALuEwMAUxmINiJiAj-ky2TFCeVD39Ke2hHpUDcw_B3CVvGXTZiER7tEh7Tc3OA9PVSjdlI4-bIKPm0sBKjAtEeWH1NEHrMbixTgdj6WSf3i5Q9Me7Njp/s1600/WhatsApp+Image+2020-05-08+at+11.47.56.jpeg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="723" data-original-width="842" height="274" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh-sENkg7MHGxPBI7UL3PTYR3oZALuEwMAUxmINiJiAj-ky2TFCeVD39Ke2hHpUDcw_B3CVvGXTZiER7tEh7Tc3OA9PVSjdlI4-bIKPm0sBKjAtEeWH1NEHrMbixTgdj6WSf3i5Q9Me7Njp/s320/WhatsApp+Image+2020-05-08+at+11.47.56.jpeg" width="320" /></a></div>
<br /></td></tr>
</tbody></table>
</div>
<div wfd-id="1">
<br /></div>
</div>
Eduardo Chavarro Ovallehttp://www.blogger.com/profile/11537520679484769400noreply@blogger.com1tag:blogger.com,1999:blog-3826304095550193648.post-85855313444629131622020-05-13T12:03:00.002-07:002020-05-14T08:50:13.720-07:00Vulnerabilidades, Shodan y Colombia<div style="text-align: justify;" wfd-id="57">
Desde el <a href="https://www.csirt711.com/" target="_blank"><b>CSIRT 711</b></a> trabajamos en la identificación de vulnerabilidades en fuentes abiertas, que permitan "mapear" la situación actual de diferentes infraestructuras en el país y que sirvan para localizar posibles plataformas o vulnerabilidades que puedan afectar de manera masiva la información que se almacena, procesa o transmite en infraestructuras dentro de Colombia. Un recurso que resulta interesante para este fin es realizar una consulta por medio de <b>Shodan del Top 10</b> de vulnerabilidades indexadas en dicha plataforma para direcciones IP colombianas.</div>
<br />
<div class="separator" style="clear: both; text-align: center;" wfd-id="38">
<a href="https://upload.wikimedia.org/wikipedia/commons/f/ff/Shodan_logo.png" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="170" data-original-width="300" height="226" src="https://upload.wikimedia.org/wikipedia/commons/f/ff/Shodan_logo.png" width="400" /></a></div>
<div style="text-align: justify;" wfd-id="55">
La búsqueda se hace básicamente aprovechando un filtro de Shodan llamado <i>facets</i>, con el cuál se pueden aplicar filtros adicionales,los cuales se pueden definir de manera básica como propiedades de un elemento de búsqueda. Para este caso el uso de dichos filtros en las búsquedas fueron realizados desde la CLI de Shodan en vez de hacer una búsqueda en la interfaz web de esta excelente herramienta.</div>
<div style="text-align: justify;" wfd-id="54">
<br /></div>
<div style="text-align: justify;" wfd-id="53">
Ya hace un buen tiempo <a href="https://twitter.com/achillean" target="_blank">@achillean</a>, creador de esta plataforma, viene <a href="https://asciinema.org/a/167522" target="_blank">documentando </a>funcionalidades de dichas capacidades; algunos de los <i>facets </i>que pueden incluirse en una búsqueda realizada desde la CLI son:</div>
<br />
<ul wfd-id="39">
<li wfd-id="52">asn</li>
<li wfd-id="51">city</li>
<li wfd-id="50">country</li>
<li wfd-id="49">cpe</li>
<li wfd-id="48">vuln</li>
<li wfd-id="47">vuln.verified</li>
<li wfd-id="46">domain</li>
<li wfd-id="45">hash</li>
<li wfd-id="44">isp</li>
<li wfd-id="43">ip</li>
<li wfd-id="42">link</li>
<li wfd-id="41">uptime</li>
<li wfd-id="40">version, entre otras...</li>
</ul>
<div style="text-align: justify;" wfd-id="38">
<br /></div>
<div style="text-align: justify;" wfd-id="37">
Estos filtros adicionales permiten obtener información muy enfocada a necesidades puntuales de identificación en Shodan. Acerca de esta característica es posible encontrar información en la <a href="https://shodan.readthedocs.io/en/latest/examples/query-summary.html" target="_blank">documentación</a> oficial, para la configuración de los filtros por medio de la API.</div>
<div style="text-align: justify;" wfd-id="36">
<br /></div>
<div style="text-align: justify;" wfd-id="35">
Por medio del uso de <i>facets</i> de vulnerabilidades obtuvimos un <b>Top 10 </b>de direcciones IP indexadas en Shodan para Colombia.</div>
<div style="text-align: justify;" wfd-id="34">
<br /></div>
<div style="text-align: justify;" wfd-id="32">
<span style="color: #d52c1f;" wfd-id="33">
Los resultados son muy interesantes, en este momento se encuentran indexadas cerca de <b>380.000</b> direcciones IP individuales. Realizando un análisis de los resultados se pudo identificar que estas direcciones IP se presentan de manera individual y relacionadas a un CVE, pero la afectación se genera por una aplicación vulnerable instalada, de la cual derivan dichos CVEs.</span></div>
<div wfd-id="40">
<b><br /></b></div>
<div wfd-id="19">
<b>No es un Kraken caído, es un squid Vulnerable</b>
<br />
<b><br /></b>
<br />
<div class="separator" style="clear: both; text-align: center;" wfd-id="37">
<a href="https://upload.wikimedia.org/wikipedia/commons/a/ab/Squid-cache.png" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="421" data-original-width="570" height="295" src="https://upload.wikimedia.org/wikipedia/commons/a/ab/Squid-cache.png" width="400" /></a></div>
<div style="text-align: center;" wfd-id="36">
<span style="font-size: xx-small;" wfd-id="29">De squid-cache - http://www.squid-cache.org/, CC BY-SA 3.0, https://commons.wikimedia.org/w/index.php?curid=20037834</span></div>
<br />
En el <b>Top 6</b> hay más de <b>50.000</b> implementaciones de Squid, detectadas como vulnerables y asociadas a CVEs que permiten la explotación de diferentes elementos:<br />
<ul wfd-id="30">
<li wfd-id="35"><b>CVE-2019-12529</b> - permite el acceso a información sensible haciendo uso de un paquete HTTP especialmente manipulado. Si el Squid se encuentra configurado para no permitir peticiones de fuentes no confiables, la vulnerabilidad no puede ser directamente explotada.<br /> </li>
<li wfd-id="34"><b>CVE-2018-19132</b> - Afecta implementaciones de Squid realizadas con el servicio SNMP habilitado, permitiendo generar negación de servicio en los sistemas vulnerables.<br /></li>
<li wfd-id="33"><b>CVE-2018-1000027</b> - Por mal manejo de memoria es posible realizar un ataque de negación de servicio haciendo uso de paquetes especialmente manipulados via HTTP.<br /></li>
<li wfd-id="32"><b>CVE-2018-19131</b> - Explotación de un Cross Site Scripting (XSS) por medio de certificados X.509<br /></li>
<li wfd-id="31"><b>CVE-2019-12525</b> - Documenta una vulnerabilidad en el manejo de memoria bajo ciertas versiones de SQUID configuradas para el uso de Digest Authentication.</li>
</ul>
<br /></div>
<div wfd-id="39">
<b>SSH, manteniendo comunicaciones ¿In?Seguras</b>
<br />
<b><br /></b>
<br />
<div class="separator" style="clear: both; text-align: center;" wfd-id="29">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhI20O7cMZs8YB7xfRGl5vTY3qSKv-M5NqSnAUN5tJKa3DEsuJ_80uV6npQX1OisviXMyP8ty7Ciq3usmurs6AytoOWoVqMPHgl6IqE3kYlQhoWMb2Op5OLUb_N4RgB9dQ820BjThYX_D4/s1600/23758702793_d0e9952f1f_z.jpg"><img border="0" data-original-height="191" data-original-width="578" height="131" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhI20O7cMZs8YB7xfRGl5vTY3qSKv-M5NqSnAUN5tJKa3DEsuJ_80uV6npQX1OisviXMyP8ty7Ciq3usmurs6AytoOWoVqMPHgl6IqE3kYlQhoWMb2Op5OLUb_N4RgB9dQ820BjThYX_D4/s320/23758702793_d0e9952f1f_z.jpg" width="400" /></a></div>
<br />
<div style="text-align: justify;" wfd-id="19">
Para las versiones de OpenSSH identificadas como vulnerables encontramos las siguientes vulnerabilidades. La primera vulnerabilidad se encuentra descritra en el <b>CVE-2017-15906</b>, una vulnerabilidad asociada a librerias de OpenSSH que en sus versiones inferiores a la 7.6 permite operaciones de escritura en configuraciones de solo lectura, permitiendo a un atacante crear archivos con un tamaño de 0 bytes.</div>
<div style="text-align: justify;" wfd-id="18">
<br /></div>
<div style="text-align: justify;" wfd-id="17">
En este análisis, también se registra una debilidad definida como un <i>Remotely Observable Behavior</i> en OpenSSH en versiones menores a la 7.8 cuando GSS2 se encuentra en uso e identificada con el <b>CVE-2018-15919</b>. Dicha vulnerabilidad, aunque es vista como una característica, permite a un atacante realizar una <b>enumeración de usuarios válidos</b> en el sistema, facilitando gran parte de la fase de reconocimiento.</div>
<b><br /></b></div>
<div wfd-id="39">
<b>Apache, top 3 de servidores web y top 10 de vulnerabilidades en Colombia</b><br />
<div class="separator" style="clear: both; text-align: center;" wfd-id="28">
<a href="https://www.apache.org/foundation/press/kit/img/20th-anniversary-logo/APACHE-20th-logo.png" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="373" data-original-width="800" height="186" src="https://www.apache.org/foundation/press/kit/img/20th-anniversary-logo/APACHE-20th-logo.png" width="400" /></a></div>
<div style="text-align: justify;" wfd-id="14">
Cerramos este Top 10 con 2 vulnerabilidades que afectan instalaciones del servidor Apache identificadas con los <b>CVE 2018-1312 y 2017-7679</b>. La primera vulnerabilidad corresponde a una semilla pseudo aleatoria que no es correctamente generada y permite un ataque de <i>Replay </i>en una configuración del servidor, que busca la protección de dicho tipo de ataque. </div>
<div style="text-align: justify;" wfd-id="13">
<br /></div>
<div style="text-align: justify;" wfd-id="12">
La segunda vulnerabilidad corresponde a una manipulación de memoria de nivel crítico cuando se envía un <i>Content-Type</i> malicioso en la cabecera de respuesta de una petición, dicha vulnerabilidad cuenta con un <a href="https://github.com/gottburgm/Exploits/tree/master/CVE-2017-7679" target="_blank">PoC</a> disponible de manera pública.</div>
<br />
<b>Y con este resultado concluimos que...</b><br />
<div wfd-id="19">
<ul wfd-id="3">
<li style="text-align: justify;" wfd-id="11">Existe un patrón en la <b>falta de actualización en aplicaciones</b>, sobre todo en implementaciones de productos<b> Open Source</b>, haciéndolas vulnerables especialmente cuando se encuentran expuestas hacia Internet. Este es un patrón que también hemos identificado en las pruebas ejecutadas por nuestro equipo de Red Team en <b>7WS</b>.<br /></li>
<li style="text-align: justify;" wfd-id="10">Con la explotación de estas vulnerabilidades es posible materializar riesgos interesantes en las direcciones IP expuestas a Internet como los son:<br /> </li>
<ul style="text-align: justify;" wfd-id="5">
<li wfd-id="9"><b>Recolección de usuarios y hábitos de navegación</b>, especialmente con aquellas vulnerabilidades presentes en los dispositivos Squid.</li>
<li wfd-id="8"><b>Enumeración de usuarios</b> en servicios SSH expuestos y vulnerables.</li>
<li wfd-id="7">Explotación de vulnerabilidades a nivel de autenticación con <b>ataques de Replay</b> en los servidores Apache vulnerables. </li>
<li wfd-id="6">Mediante la CVE-2018-1312 se identifica la posibilidad de <b>ejecución de código arbitrario</b> en los servidores Apache, donde se identifiquen también elementos asociados a CVE-2017-7679.<br /></li>
</ul>
<li style="text-align: justify;" wfd-id="4">Las vulnerabilidades identificadas y asociadas a los resultados obtenidos en Shodan no se encuentran relacionadas a boletines de este año o boletines de seguridad muy recientes, algunas de las vulnerabilidades ya llevan publicadas hasta 3 años. Es posible que el modelo de actualización de alguna de estas aplicaciones sea complejo y no se encuentre directamente relacionado con el de sistema operativo. </li>
</ul>
</div>
<div style="text-align: justify;" wfd-id="20">
Este es el primer resultado de un análisis general de estado de la seguridad en el país, estaremos publicando nueva información relacionada con los hallazgos de este ejercicio y continuaremos reportando a los directamente afectados como ya lo hemos hecho hasta el momento. <br />
<br />
Si requiere información adicional puede escribir a <b>reportes [at] csirt711.org</b></div>
<br /></div>
Giovanni Cruz Forerohttp://www.blogger.com/profile/14753019907377409633noreply@blogger.com0tag:blogger.com,1999:blog-3826304095550193648.post-23512133347283553952020-04-20T04:48:00.000-07:002020-04-20T04:48:23.596-07:00Recolectores de datos mediante ofertas irresistibles en WhatsappDurante el período de cuarentena que se vive en la gran mayoría de países del mundo, algunos han aprovechado el creciente consumo de redes sociales para distribuir ofertas, haciendo uso no autorizado de marcas y productos a nivel mundial, regional y local en cada país.<br />
<br />
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhLdiIC41JapxxAJWFZRX6KFGXpFNmpK3LFGq7lJMOo5zIQ9ZLfF5vVyHdH9cBuIabn7FlqnGyTLLdVmRXIEUfcY7Fi5Zn9XwyuQ8xqI4UacAOdBpujwYQp1Cv3SnhqPn5xMbJxT2qZVqzE/s1600/portada.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" data-original-height="585" data-original-width="1019" height="228" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhLdiIC41JapxxAJWFZRX6KFGXpFNmpK3LFGq7lJMOo5zIQ9ZLfF5vVyHdH9cBuIabn7FlqnGyTLLdVmRXIEUfcY7Fi5Zn9XwyuQ8xqI4UacAOdBpujwYQp1Cv3SnhqPn5xMbJxT2qZVqzE/s400/portada.png" width="400" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Recoleccióin de datos mediante cadenas de WhatsApp</td></tr>
</tbody></table>
<div class="separator" style="clear: both; text-align: center;">
</div>
<br />
Muchos de estos elaborados timos o fraudes han llegado incluso a <a href="https://www.elcolombiano.com/antioquia/venezolanos-fueron-enganados-por-cadena-falsa-de-whatsapp-sobre-supuesto-subsidio-de-alcaldia-de-medellin-DN12681064">movilizar personas a las calles en busca de supuestos subsidios</a>, bonos o ayudas representadas en bienes para uso personal o familiar, los cuales se hacen más necesarios durante la <a href="https://www.minsalud.gov.co/salud/publica/PET/Paginas/Covid-19_copia.aspx">actual crisis del COVID-19</a>.<br />
<a name='more'></a><br />
Aunque la estafa no es exclusiva de <b>WhatsApp</b>, si está siendo ampliamente desplegada desde esta red social, incluyendo solicitudes específicas para compartir y multiplicar su alcance, incluyendo además código HTML encargado de que sólo sea posible compartir desde dispositivos móviles, controlando el valor de <a href="https://es.wikipedia.org/wiki/Agente_de_usuario" target="_blank">user-agent</a> de los dispositivos, permitiendo el re-envío a sus contactos.<br />
<br />
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiALaU-1mX9Cy7NaZFVxSNJAycAS5Uup8xceII7EttXLFTwqshOrJPALa9k0_eqrAFTW1EbwrPdI1S2uEsdLqTMPkdQUcj5PNWJUSNUxJ0hWA5KXls7BMVJzfwv94hoQxK-ChQIxZmBC9q4/s1600/Reenviar.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" data-original-height="348" data-original-width="1139" height="121" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiALaU-1mX9Cy7NaZFVxSNJAycAS5Uup8xceII7EttXLFTwqshOrJPALa9k0_eqrAFTW1EbwrPdI1S2uEsdLqTMPkdQUcj5PNWJUSNUxJ0hWA5KXls7BMVJzfwv94hoQxK-ChQIxZmBC9q4/s400/Reenviar.png" width="400" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Pasos para "conseguir el premio ofrecido".</td></tr>
</tbody></table>
En nuestro análisis y cómo lo <a href="https://twitter.com/dimitribest/status/1242534271564341248">han compartido diferentes analistas</a>, se ha identificado la recolección de información de versiones de sistemas operativos, distribución regional, tipos de dispositivos y en algunos casos datos personales básicos o números de contacto.<br />
<br />
Además, se identifica el <a href="https://twitter.com/colCERT/status/1248743162438471680">uso no autorizado de Marcas reconocidas</a> para engañar a los usuarios de redes sociales con encuestas sencillas y la redistribución de los mensajes entre sus contactos.<br />
<br />
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhZviC-oy2U8XEfeaMMqdJ85fWquHaawWUqHfVuP4vfdCymxe3w00SvcI7SeGr1BoLMhINevm_C4wJZGMMoAl6pR9x863AXwUHzjugzwPRkpBhIJEIRk1OianeyqSFHIucNrHxBcEu7m3_F/s1600/fake_offer.JPG" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" data-original-height="512" data-original-width="724" height="282" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhZviC-oy2U8XEfeaMMqdJ85fWquHaawWUqHfVuP4vfdCymxe3w00SvcI7SeGr1BoLMhINevm_C4wJZGMMoAl6pR9x863AXwUHzjugzwPRkpBhIJEIRk1OianeyqSFHIucNrHxBcEu7m3_F/s400/fake_offer.JPG" width="400" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Falsa oferta reportadas por el ColCERT.</td></tr>
</tbody></table>
<br />
<b>¿Cuántas marcas han suplantado?</b><br />
<br />
Haciendo una búsqueda básica con cadenas de texto identificadas en algunos de los formularios investigados, es posible encontrar los nombres de algunas marcas que se han suplantado durante los últimos dos años. Sin embargo, la cadena de estafas se sigue ampliando no solo a marcas sino a necesidades básicas de ciudadanos durante el periodo de cuarentena.<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
</div>
<br />
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgVeKNAe14EA1CtaMOsVij5TBx6AWj0xIs4D7i-FUNN4fyjrhXSIZMOChndDQRtbk-RrsoJe8JBPcVDk-bY4HSdHNngr-jdnUCi2qZSfiEZ1VUZtA1BT6ovGI9ztXvNTV_Fo41TO6KQvyNo/s1600/marcas1.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" data-original-height="678" data-original-width="1438" height="187" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgVeKNAe14EA1CtaMOsVij5TBx6AWj0xIs4D7i-FUNN4fyjrhXSIZMOChndDQRtbk-RrsoJe8JBPcVDk-bY4HSdHNngr-jdnUCi2qZSfiEZ1VUZtA1BT6ovGI9ztXvNTV_Fo41TO6KQvyNo/s400/marcas1.png" width="400" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;"><br /></td></tr>
</tbody></table>
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj7VPy_CSv2_lj9SntOaKK4FOyRte8prgIuo7FmggMQWVxQg7SwRcFRdkJrHB8ABrT9ZzI_sd__rZOi_UF5D00THZoamPpyocJ7792iSWXKNL5j6P22Z-26IryQrXwEYv3VFjGT-pntGuKt/s1600/marcas2.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" data-original-height="591" data-original-width="1453" height="162" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj7VPy_CSv2_lj9SntOaKK4FOyRte8prgIuo7FmggMQWVxQg7SwRcFRdkJrHB8ABrT9ZzI_sd__rZOi_UF5D00THZoamPpyocJ7792iSWXKNL5j6P22Z-26IryQrXwEYv3VFjGT-pntGuKt/s400/marcas2.png" width="400" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Resultados relacionados con las falsas ofertas</td></tr>
</tbody></table>
<br />
Además, una vez configurado o comprometido un <a href="https://es.wikipedia.org/wiki/Alojamiento_web" target="_blank">hosting </a>para alojar la estafa, los atacantes pueden crear tantas como les sea posible dentro del mismo espacio, ampliando su alcance con los mínimos recursos. Esto les ha permitido mantener campañas durante más de un año haciendo uso de <a href="https://en.wikipedia.org/wiki/Bulletproof_hosting" target="_blank">servicios "anti balas"</a> que complican el dar de baja los servicios una vez son reportados.<br />
<br />
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgx9Cb8h1xNU6WZIsdgqJqEPWW4NKV2pbtK6X44TynMsT_vlzWFV9FP8_GVGD0O1AIwi1ut2iZbOsOE0REew7ZgU53AtbLm7-6wYedMezZaAyyEFYZLIQQ-dGRgIp_bgOJWJurGknms6NQL/s1600/mismohost.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" data-original-height="379" data-original-width="567" height="266" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgx9Cb8h1xNU6WZIsdgqJqEPWW4NKV2pbtK6X44TynMsT_vlzWFV9FP8_GVGD0O1AIwi1ut2iZbOsOE0REew7ZgU53AtbLm7-6wYedMezZaAyyEFYZLIQQ-dGRgIp_bgOJWJurGknms6NQL/s400/mismohost.png" width="400" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Diferentes estafas alojadas en un mismo dominio</td></tr>
</tbody></table>
<br />
<br />
<b>Aprovechando el temor al COVID19</b><br />
<br />
Entre tantas diferentes cadenas - <i>todas ellas usando el mismo esquema de implementación y despliegue</i> -, llama la atención aquellas dedicadas al virus COVID19, implementando sistemas de información o de auto-diagnóstico.<br />
<br />
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi7y4ug5lcCqOumdtmfghIc9gBaFgAjuQKEIE5iDsr2_k_Owez709C8f0ohuEsIXdM9Aie1wJE6Cjct2hygeWBUlAFvmZXIQl-DJskS-LQ-0NhJbgunRnDe5nKC3_AgXQyFCkGsjgjk1XxX/s1600/autotest.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" data-original-height="755" data-original-width="1246" height="241" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi7y4ug5lcCqOumdtmfghIc9gBaFgAjuQKEIE5iDsr2_k_Owez709C8f0ohuEsIXdM9Aie1wJE6Cjct2hygeWBUlAFvmZXIQl-DJskS-LQ-0NhJbgunRnDe5nKC3_AgXQyFCkGsjgjk1XxX/s400/autotest.png" width="400" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Cadena para auto test de COVID19</td></tr>
</tbody></table>
<div class="separator" style="clear: both; text-align: center;">
</div>
<br />
Aunque los datos solicitados en el formulario solo están relacionados con las mismas preguntas que se realizan en el <a href="https://coronaviruscolombia.gov.co/Covid19/auto-diagnostico.html">test de auto diagnóstico</a> y no se evidencia la recolección de otros datos, internamente estos formularios tienen dos objetivos principales: esperar unos segundos para redirigir al usuario a una nueva cuenta de otro producto y recolectar otra serie de datos que serán de valor para los atacantes.<br />
<br />
En abril de 2019 <a href="https://twitter.com/EChavarro/status/1121492346217086976">ya habíamos dado un primer vistazo a este tipo de campañas</a>, encontrando que utilizaban <a href="https://www.w3schools.com/tags/att_meta_http_equiv.asp">etiquetas html </a>para dar una espera de 240 segundos y seguir cargando otras diferentes estafas de forma automática. En este caso aún mantienen el mismo esquema, esperando 4 minutos para saltar entre otras múltiples estafas diferentes.<br />
<br />
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjvudyGifG6ZHsR6zKEVUVpVVojqM2aSYYrgKB64hRcwWIEEDi58dtXXsT2ZI47rcSck57X6G9bfWX-8Pc71sjVSxRR0WMFw7JF0ZjuMfTOWVty6p5c4yKsCdV8iO0Jc43jofgIsUK1uFsc/s1600/autotest_source.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" data-original-height="336" data-original-width="1207" height="111" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjvudyGifG6ZHsR6zKEVUVpVVojqM2aSYYrgKB64hRcwWIEEDi58dtXXsT2ZI47rcSck57X6G9bfWX-8Pc71sjVSxRR0WMFw7JF0ZjuMfTOWVty6p5c4yKsCdV8iO0Jc43jofgIsUK1uFsc/s400/autotest_source.png" width="400" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Piezas de código en las páginas fraudulentas</td></tr>
</tbody></table>
<div class="separator" style="clear: both; text-align: center;">
</div>
<br />
Como se describe en la imagen, también se evidencia la inclusión de un <a href="https://whos.amung.us/getstarted/">script encargado de generar estadísticas en tiempo real </a>de los usuarios que acceden a los diferentes formularios.<br />
<br />
<br />
<b>Lo que dicen las estadísticas</b><br />
<br />
El script recolecta datos basados en los parámetros enviados por cada dispositivo al servicio web, esto le permite identificar origen geográfico, sistema operativo o versiones de navegador.<br />
<br />
Esta información esta siendo recolectada mediante un sistema gratuito público, por lo que podemos consultar los datos si conocemos el nombre que los atacantes dan a cada campaña, esto es fácilmente detectable en la construcción del script para el envío de los datos:<br />
<blockquote class="tr_bq">
<i>...<br /><script id="_waupfa">var _wau = _wau || []; _wau.push(["dynamic", "<span style="background-color: yellow;">********</span>", "pfa", "c4302bffffff", "small"]);</script><script async src="//waust.at/d.js"></script> ...</i></blockquote>
<div>
Podemos identificar que la campaña relacionada con el auto-test de coronavirus ha sido ampliamente accedida en Centro América y el norte de América Latina, principalmente dirigida a Colombia, México y Ecuador.</div>
<div>
<br /></div>
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh35diXNWmHhMEe7kDmj403jzdb6hrDup4DvcR8o2Ej93nROoLeWt9wxoSwNV7jRuiqFl7512f7lgVE89QxVl5HMG2ZqlgGYKKK7r1LrG3olBhQVM_HoA97GVzbz4Hm0t6rO_NHKr_14yCn/s1600/mapa.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" data-original-height="750" data-original-width="1314" height="227" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh35diXNWmHhMEe7kDmj403jzdb6hrDup4DvcR8o2Ej93nROoLeWt9wxoSwNV7jRuiqFl7512f7lgVE89QxVl5HMG2ZqlgGYKKK7r1LrG3olBhQVM_HoA97GVzbz4Hm0t6rO_NHKr_14yCn/s400/mapa.png" width="400" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Mapa de estadísticas de acceso para el falso formulario de auto-test</td></tr>
</tbody></table>
<div>
<br /></div>
<div>
Además, los atacantes han podido determinar las versiones de navegadores web y sistema operativos -principalmente móviles- que los usuarios que accedieron a estos falsos servicios u ofertas están utilizando, esto permitirá definir una estadística de reconocimiento para desplegar otros ataques basado en el mismo esquema pero usado para la difusión de <a href="https://es.malwarebytes.com/malware/" target="_blank">malware</a>, <a href="https://es.malwarebytes.com/adware/" target="_blank">adware</a>, distribución masiva de <a href="https://www.enticconfio.gov.co/spam-que-es-y-como-evitarlo" target="_blank">SPAM </a>u otro tipo de amenazas.</div>
<div>
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
</div>
<div>
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjzEiM3U1YJXjEtscNki28Gx2irMnUUHXV3GLrQLyITUskvVD23o9OFm8aYjnvPS2y-FJQcM4sM_K657UmJA9ZTfcRtNSg3lGCNEJieGwmSKlR6jJhVjpWlvfpH5C5DibepBv5JFIKP56P5/s1600/estadisticas.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" data-original-height="727" data-original-width="1453" height="200" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjzEiM3U1YJXjEtscNki28Gx2irMnUUHXV3GLrQLyITUskvVD23o9OFm8aYjnvPS2y-FJQcM4sM_K657UmJA9ZTfcRtNSg3lGCNEJieGwmSKlR6jJhVjpWlvfpH5C5DibepBv5JFIKP56P5/s400/estadisticas.png" width="400" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Estadísticas de acceso basadas en versión de navegador web y sistema operativo</td></tr>
</tbody></table>
<br />
Además, el portal permite identificar los periodos durante el día, en los que el formulario o falsa publicidad tiene el mayor nivel de audiencia, haciendo más certeras sus próximas campañas, claramente en este caso, el mejor momento para distribuir nuevas campañas esta entre las 10 A.M. y las 2 P.M.</div>
<div>
<br /></div>
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiwMDPmcUvy9ptgSq4GmTK0U4k1BGFMjS5I60bkHtLMKvZmamBwADSAMxQjsKNJe69XiOyOkSaOcXGck-fLNDlUv_UzE5CXKQm4JY3CMxafeBY0ujYstQ5uHOesmC9f6XpI6oOJ6tWzcHLo/s1600/views.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" data-original-height="738" data-original-width="1423" height="206" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiwMDPmcUvy9ptgSq4GmTK0U4k1BGFMjS5I60bkHtLMKvZmamBwADSAMxQjsKNJe69XiOyOkSaOcXGck-fLNDlUv_UzE5CXKQm4JY3CMxafeBY0ujYstQ5uHOesmC9f6XpI6oOJ6tWzcHLo/s400/views.png" width="400" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Vistas por horas durante el día</td></tr>
</tbody></table>
<div class="separator" style="clear: both; text-align: center;">
</div>
<div>
<br />
<b>Otros elementos de riesgo</b><br />
<br />
Hemos identificado que este tipo de estafas, da la oportunidad a los atacantes para las siguientes actividades:<br />
<br />
<br />
<ul>
<li>Re-direccionamiento a servicios que alojan y distribuyen malware.</li>
<li>Uso de <a href="https://www.europafm.com/noticias/viral/granjas-clicks-asi-falsifican-gustas_201903215c93a0560cf224e9d7eafd7c.html" target="_blank">clickers </a>o servicios que permiten a los atacantes monetizar los accesos al formulario de los usuarios comprometidos, automatizando el hacer clic en diferentes redes sociales o páginas de marketing.</li>
<li><a href="https://es.wikipedia.org/wiki/Black_hat_SEO" target="_blank">Black SEO</a> o puntuación de las estafas en los motores de búsqueda, garantizando que las ofertas o falsos servicios aparezcan en las primeras posiciones de los motores de búsqueda, redirigiendo a los usuarios a sitios fraudulentos antes que a los legítimos. Incluso, hemos identificado que han comentado portales donde los servicios han sido catalogados como estafas, usando sistemas automatizados que siguen posicionando la estafa como algo legítimo.</li>
</ul>
<br />
<br /></div>
<div>
<b>Recomendaciones de seguridad</b></div>
<div>
<br /></div>
<div>
El tema de las cadenas de WhatsApp es un riesgo que desde el punto de vista técnico puede recolectar información de interés para un atacante, pero desde el punto de vista psicológico demuestra que puedes ser fácilmente accionado a tomar decisiones.<br />
<br />
Es importante no participar en este tipo de actividades y denunciarlas cuando estén asociadas a comercios o especialmente a servicio de Gobierno, es nuestro deber hacer eco de cualquier tipo de estafa frente a las debidas autoridades.</div>
<div>
<br /></div>
<div>
En estos momentos críticos de epidemia, muchos delincuentes están aprovechando el temor de las personas para motivar este tipo de fraudes o campañas de recolección de información; es necesario tener presente que siempre hay sitios oficiales donde puedes tener toda la información clara y pertinente que te ayudará a protegerte y proteger a las personas con quienes te relacionas.</div>
<div>
<br /></div>
<div>
<b>No compartir noticias ni información la cual no se pueda confirmar o garantizar su fuente, no multiplicar la desinformación.</b></div>
Eduardo Chavarro Ovallehttp://www.blogger.com/profile/11537520679484769400noreply@blogger.com0tag:blogger.com,1999:blog-3826304095550193648.post-53921607210980562852020-04-13T09:53:00.000-07:002020-04-13T09:53:44.055-07:00DNS Extorsion: No sé si te diste cuenta, pero tus DNS ahora son míos!<div style="text-align: justify;">
Cuando se estableció mediante el <a href="https://blog.csiete.org/2016/06/csiete-en-bsides-latam.html">Ransomware </a>que el secuestro como método extorsivo para recuperar un bien de valor, era una estrategia que -<i>apalancada en recursos y servicios difícilmente rastreables</i>- permitiría a grupos criminales generar una industria millonaria, otros delincuentes quisieron "<i>extenderlo a nuevas formas de negocio</i>". Fue así como hace algunos años, América Latina vió como mediante la explotación de <a href="https://blog.csiete.org/2015/01/secuestro-dns-debilidad-inteligencia.html">DNS Hijack </a>reconfigurando <i>routers </i>(ej. <i>BGP</i>) y <i>CPEs (cable modems) </i>inseguros, <b>toda la navegación era dirigida a un portal donde les informaban que si no se pagaban una suma de dinero, nunca volverían a ver la Web</b>.</div>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiIxW-nzvnsCtoW4xafyqov10gWWD9QNzR3CM0apGUUBJHLpg4cGqImqTxn74EdPL1O_v2RVcoLyzEw36dPNrgMeIKrp65p6XOzucvlwt1AOWl44x9ou8DUasDgRwqR6Sr4euCUczD9MIlk/s1600/SecuestroDNS.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="445" data-original-width="525" height="271" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiIxW-nzvnsCtoW4xafyqov10gWWD9QNzR3CM0apGUUBJHLpg4cGqImqTxn74EdPL1O_v2RVcoLyzEw36dPNrgMeIKrp65p6XOzucvlwt1AOWl44x9ou8DUasDgRwqR6Sr4euCUczD9MIlk/s320/SecuestroDNS.png" width="320" /></a></div>
<br />
<br />
Durante el ultimo Q de 2019 y el primer Q de 2020, desde <b>CSIETE </b>se ha identificado una nueva modalidad basada en el secuestro o transferencia de los registros <a href="https://es.wikipedia.org/wiki/Sistema_de_nombres_de_dominio">DNS</a>, dirigiendo toda la navegación a un "<a href="https://en.wikipedia.org/wiki/Black_hole_(networking)">hoyo negro</a>" o a un portal con la intención de afectar grandes marcas, pero <b>¿cómo lo han podido hacer?</b>.<br />
<a name='more'></a><br />
<br />
Dentro del actuar de los criminales detrás de esta extorsión, se identifica:<br />
<ul>
<li>Apuntamiento (mediante <a href="https://es.wikipedia.org/wiki/Sistema_de_nombres_de_dominio#Tipos_de_registros_DNS">registros A y CNAME</a>) del dominio legítimo de varias compañías a un servicio de <a href="https://es.wikipedia.org/wiki/Alojamiento_web">hosting </a>manejado por los ciber-delincuentes.</li>
<li style="text-align: justify;">Una vez confirmada la transferencia del dominio y cuando gracias a la des-configuración de los registros <a href="https://es.wikipedia.org/wiki/MX_(registro)">MX </a>encargados de soportar el envío y recepción de correos electrónicos la compañía deja de recibir y enviar mensajes, los delincuentes contactan los servicios de soporte de las compañías, indicándoles que sus servicios han dejado de funcionar.</li>
<li style="text-align: justify;">Cuando la compañía confirma que los servicios no están bajo su control inicia el proceso de extorsión, solicitando un pago para evitar que su página sea <b>dirigida a un contenido inapropiado, afectando su marca</b> o quizá buscando <b>otras implicaciones a nivel jurídico, </b>un patrón similar al <a href="https://domaininvesting.com/escrow-com-statement-on-security-incident/">reportado en marzo de 2020 por la compañia Scrow.com</a>.</li>
</ul>
<br />
<br />
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhfF596o_ewTlTiEtMwYbgsPLwyrh2IvNQbc6GYOT0O-ZN4WfHbx3WeKMuWZq4j-8vQOlKw6x4KY45-khuy6tAqAB41FyNW_t-yBa6Ix2DFBkaeCZyonog-t0dlwSe6HIvNYpFiMRIB075k/s1600/escrow-sec-incident-20200331.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" data-original-height="78" data-original-width="982" height="31" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhfF596o_ewTlTiEtMwYbgsPLwyrh2IvNQbc6GYOT0O-ZN4WfHbx3WeKMuWZq4j-8vQOlKw6x4KY45-khuy6tAqAB41FyNW_t-yBa6Ix2DFBkaeCZyonog-t0dlwSe6HIvNYpFiMRIB075k/s400/escrow-sec-incident-20200331.png" width="400" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Modificación de la página principal en scrow.com durante marzo de 2020.</td></tr>
</tbody></table>
<br />
Para comprender como funciona esta técnica que ya se ha visto en América Latina, es necesario tener claros los conceptos del funcionamiento de la navegación web.<br />
<br />
<b>¿Cómo se llega a un sitio web cuando se abre el navegador?</b><br />
<br />
<div style="text-align: justify;">
Cuando se crea una página web, además del contenido que se quiere compartir a los visitantes, se requiere un servicio de alojamiento o de hosting que esté asociado a la dirección IP del proveedor mediante la configuración de registros <a href="https://es.wikipedia.org/wiki/Sistema_de_nombres_de_dominio">DNS</a>. Estos registros le hacen saber al navegador web que el tráfico deberá ser dirigido a la IP del proveedor y luego el contenido estará en un espacio específico alojado allí. Pero, <b>¿Qué pasa si alguien consigue modificar ese registro DNS y le indica a todos los navegadores que la dirección IP se encuentra en otro lado y por supuesto el contenido también?</b></div>
<br />
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi8F9S7eIdMnyEvGr93PNGkhWdhs-VZy3cDB1mxi_NBPxGd5n9wj-MahwwEgmq4VsSRjND_f2vX47o9PBPvOk7t_DpztCQSmAFziT0dBmq5yvtuyKReKM_AaMy6KZ2DRzHf9u65GcHsgvFf/s1600/DNS-Hijacking.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" data-original-height="421" data-original-width="572" height="235" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi8F9S7eIdMnyEvGr93PNGkhWdhs-VZy3cDB1mxi_NBPxGd5n9wj-MahwwEgmq4VsSRjND_f2vX47o9PBPvOk7t_DpztCQSmAFziT0dBmq5yvtuyKReKM_AaMy6KZ2DRzHf9u65GcHsgvFf/s320/DNS-Hijacking.png" width="320" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Imagen tomada de www.imperva.com/learn/application-security/dns-hijacking-redirection/</td></tr>
</tbody></table>
<br />
<div style="text-align: justify;">
Una vez el atacante consigue redirigir la navegación puede hacer que la victima visite sitios que almacenen <a href="https://es.wikipedia.org/wiki/Malware">Malware</a>, o robar credenciales mediante campañas de <a href="https://es.wikipedia.org/wiki/Phishing">Phishing </a>o <a href="https://blog.csiete.org/2018/10/2fa-historia-de-un-indicente-de-spam.html">SPAM</a>, o como en los casos analizados, desaparecer el sitio original de la compañía y pedir un pago para volver a restaurarla.</div>
<br />
<div style="text-align: justify;">
Dentro de los elementos más interesantes que se han identificado como conexión en los casos analizados por <b>CSIETE</b>, se encuentra el uso de <b>GoDaddy </b>como servicio de <i>hosting </i>original de los dominios, transfiriendo el dominio secuestrado al proveedor <b>Hostinger</b> en un servicio controlado por los atacantes.</div>
<br />
<br />
<b>¿Qué pasa con GoDaddy?</b><br />
<br />
<div style="text-align: justify;">
En los últimos meses varios investigadores han identificado a <b>GoDaddy </b>como uno de los proveedores más atacados[<a href="https://krebsonsecurity.com/2019/01/bomb-threat-sextortion-spammers-abused-weakness-at-godaddy-com/">1</a>][<a href="https://arstechnica.com/information-technology/2019/01/godaddy-weakness-let-bomb-threat-scammers-hijack-thousands-of-big-name-domains/">2</a>][<a href="https://krebsonsecurity.com/2020/03/phish-of-godaddy-employee-jeopardized-escrow-com-among-others/">3</a>], confirmando incluso una <a href="https://krebsonsecurity.com/2019/01/bomb-threat-sextortion-spammers-abused-weakness-at-godaddy-com/">debilidad que permitía tomar el control de los registros DNS de otros usuarios</a>, simplemente creando múltiples cuentas gratuitas hasta conseguir alguna donde se asignaran los mismos registros <a href="https://support.google.com/a/answer/48090?hl=es-419">NS </a>del dominio a controlar.</div>
<br />
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiLRUmR2nxfL2VF9umuNx4dRq5WwU_GRR7bVtrNANz44y8l_uEpFsiS9zafMFfKjzZzKtBZTUBjtaEj2dcGPkft6067zVn9XJFJiWQNe0yyyd3vvDaZX3wD7af8jtCdrhMMJQDh2GAlcA40/s1600/transferir.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" data-original-height="686" data-original-width="1252" height="218" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiLRUmR2nxfL2VF9umuNx4dRq5WwU_GRR7bVtrNANz44y8l_uEpFsiS9zafMFfKjzZzKtBZTUBjtaEj2dcGPkft6067zVn9XJFJiWQNe0yyyd3vvDaZX3wD7af8jtCdrhMMJQDh2GAlcA40/s400/transferir.png" width="400" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Confirmación de los registros NS que deberían configurarse para tomar control de los DNS sin requerimientos adicionales.</td></tr>
</tbody></table>
<div style="text-align: justify;">
Una vez el atacante identificaba los registros NS asignados a su cuenta gratuita, solo era necesario verificar en recursos disponibles en línea, qué dominios hacen uso de los mismos registrosd NS y añadirlos a su hosting DNS.</div>
<br />
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEijWLwnInuUKYAayrIUW3n_LSNzSmkbDTeB5Rr8jECI0jIVsDSiqo2otDNbxlIkeUeN4ZmnvRcAVq5LF4DWRAnGSSaUj07zS3e3JxOnUuchiLEZnWHi0gV55nsp6vbkNwoqqyRxuLx4luZK/s1600/nsrecords.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" data-original-height="446" data-original-width="1469" height="121" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEijWLwnInuUKYAayrIUW3n_LSNzSmkbDTeB5Rr8jECI0jIVsDSiqo2otDNbxlIkeUeN4ZmnvRcAVq5LF4DWRAnGSSaUj07zS3e3JxOnUuchiLEZnWHi0gV55nsp6vbkNwoqqyRxuLx4luZK/s400/nsrecords.png" width="400" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Otros dominios con el mismo valor NS asignado. Más de 1 millón de resultados.</td></tr>
</tbody></table>
<br />
<div style="text-align: justify;">
Aunque esta debilidad ha sido principalmente utilizada para crear <a href="https://docs.google.com/spreadsheets/d/1p_Eq_LW2zjNopntTGipzn9mOLMeyBqYLA4J0WEM8yVc/edit#gid=1571571244">registros MX, permitiendo a los atacantes usar la reputación de dominios legítimos para el envío de mensajes de SPAM</a>, no se descarta que una vez obtenido el dominio, se hayan podido generar los códigos necesarios (EPP/PIN) para transferir el dominio a otros servicios de <i>hosting </i>diferente, tomando control total y evitando que el usuario legítimo pudieran restaurarlos sin la intermediación del atacante.</div>
<br />
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjzKeBF2UvYapRW3GP3KAiScLKMfipNjI6UmGPxP9OtO5r61mNYLYBnLcUI6wtbHnG-AJ5ldaCoBEZn777kOmOJS_Qtm8U8028Gc5oIrMNKL64eEZ8rJn9Q-10mfGOJPNqw1QPlWOWJ3Rch/s1600/permisos.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" data-original-height="800" data-original-width="1153" height="277" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjzKeBF2UvYapRW3GP3KAiScLKMfipNjI6UmGPxP9OtO5r61mNYLYBnLcUI6wtbHnG-AJ5ldaCoBEZn777kOmOJS_Qtm8U8028Gc5oIrMNKL64eEZ8rJn9Q-10mfGOJPNqw1QPlWOWJ3Rch/s400/permisos.png" width="400" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Permisos obtenidos una vez se añade el hosting DNS: permite crear diferentes registros, incluso MX para envío de SPAM.</td></tr>
</tbody></table>
<div style="text-align: justify;">
Al parecer, <b>GoDaddy </b>ha tomado medidas para evitar que estas transferencias sean solicitadas por personas diferentes al propietario del dominio:</div>
<br />
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjOIviPAtQlbSErUZF7biohobsCF8L8Cm00hgGvIpH1gq_VP5NTkhoxQP-_dvqnNVwt3_88-Srn6AeHXJB8GwClNQWSEGAa5pjraopCcVjWWG8fBv7su5UMhFMK1znQMIVW4TDVZLSc9Xdn/s1600/protegido.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" data-original-height="116" data-original-width="1150" height="40" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjOIviPAtQlbSErUZF7biohobsCF8L8Cm00hgGvIpH1gq_VP5NTkhoxQP-_dvqnNVwt3_88-Srn6AeHXJB8GwClNQWSEGAa5pjraopCcVjWWG8fBv7su5UMhFMK1znQMIVW4TDVZLSc9Xdn/s400/protegido.png" width="400" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Restricciones para transferir DNS de dominio de los cuales no es propietario.</td></tr>
</tbody></table>
<br />
<b>¿Cómo se transfiere un dominio de GoDaddy a otro proveedor de Hosting?</b><br />
<br />
Es necesario identificar los posibles vectores de ataque que permitirían a un tercero hacerse con los DNS de un dominio específico, de esta forma se podrán establecer los controles necesarios. El procedimiento de transferencia <a href="https://www.hostinger.com/how-to/how-to-get-epp-code-from-godaddy">desde <b>GoDaddy </b>a otro proveedor </a>va a requerir varias cosas:<br />
<ol>
<li>Antes de transferir es necesario desbloquear el dominio de acuerdo a las recomendaciones de cada proveedor. Si el dominio esta bloqueado, este procedimiento requiere acceder a la gestión de <b>GoDaddy</b>.</li>
<li>Pedir un código <a href="https://en.wikipedia.org/wiki/Transfer_secret">EPP</a> para la transferencia, solicitado desde el portal de Gestión en <b>GoDaddy</b>. EL código será enviado al correo electrónico del propietario del dominio. Esto indica que tanto la plataforma de gestión como el correo electrónico de contacto deberán ser accedidos por el atacante.</li>
<li>Una vez recibido, podrás usar ese código en el nuevo proveedor para autorizar la transferencia del dominio.</li>
<li>Al finalizar la transferencia, el control total de los registros DNS estará a cargo del nuevo proveedor.</li>
</ol>
<div style="text-align: justify;">
Otra de las formas es la asociada a la vinculación directa mediante otros servicios como <a href="https://co.godaddy.com/help/como-vincular-su-nombre-de-dominio-a-su-sitio-wix-6433">WIX</a>, los cuales no van a requerir el código de transferencia, pero si requieren el acceso a la gestión de <b>GoDaddy</b>.</div>
<br />
<div style="text-align: justify;">
Otro de los elementos importantes que se han identificado es que en <b>GoDaddy cada solicitud del código de transferencia (EPP) para un mismo dominio, siempre genera el mismo código </b>independientemente del momento en que sea solicitada. Esto permitiría re-usar información una vez se comprometa la seguridad del correo electrónico asociado, sin requerir acceder a la consola de gestión en el proveedor de <i>hosting</i>.</div>
<br />
<b>¿Mi dominio puede haber sido comprometido?</b><br />
<br />
<div style="text-align: justify;">
De acuerdo al análisis realizado, el atacante toma control del dominio pero mantiene conectado al contenido original de la compañía. Una vez decide iniciar el proceso de extorsión, modifica los valores de registro DNS y de esta forma la compañía pierde el acceso a su correo electrónico y el contenido de su página web es modificado. Esto indica que actualmente existen dominios comprometidos que no han sido alertados. La forma de validar esto es revisar que la configuración de los registros DNS del dominio sea la apropiada y corresponda con la adquirida originalmente. Se puede lograr usando el comando <a href="https://es.wikipedia.org/wiki/Nslookup">nslookup</a> o el servico online <a href="https://network-tools.com/">https://network-tools.com/</a>:</div>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiu8XxqdSpev-mUMM7MQON6bjSs0zjneRrz1s3-jgHvDV8BTchEyRf-jtd9bHQISKnF_7tMNi_-bYWo2OgyuaPkiNE9A4CrgWzip1j4ZDn6pmD5gLnnGxVW0V37SvNCja27O6xoI5dYdFm4/s1600/DNScsiet.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="304" data-original-width="561" height="173" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiu8XxqdSpev-mUMM7MQON6bjSs0zjneRrz1s3-jgHvDV8BTchEyRf-jtd9bHQISKnF_7tMNi_-bYWo2OgyuaPkiNE9A4CrgWzip1j4ZDn6pmD5gLnnGxVW0V37SvNCja27O6xoI5dYdFm4/s320/DNScsiet.png" width="320" /></a></div>
<br />
<br />
<b>Recomendaciones Importantes</b><br />
<br />
<div style="text-align: justify;">
Dentro de los principales controles de seguridad a implementar, es importan garantizar que tanto el servicio de gestión del proveedor de <i>Hosting </i>como los correos electrónicos asociados solo puedan ser accedidos por su legítimo propietario, para esto será importante habilitar los siguientes controles de protección:</div>
<br />
1. Habilitar el <a href="https://es.godaddy.com/help/enable-two-step-verification-7502">doble factor de autenticación en GoDaddy</a> o en servicio de hosting correspondiente.<br />
<br />
2. Bloquear el dominio para evitar su transferencia.<br />
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiC1nye-H4DflTN_DEMetrF1DoPf1yYwgZX03LeT_jRDmn-Y_qRSPXzBTYzLelglfcFiciv5GblENKGJA0yiMj8KZuwLKXYlt5swr3xwE6D5auXghaHS_1wtynSybZSfxEO80I7bIOrZADc/s1600/godaddy-domains-toggle-lock-01.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" data-original-height="129" data-original-width="450" height="91" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiC1nye-H4DflTN_DEMetrF1DoPf1yYwgZX03LeT_jRDmn-Y_qRSPXzBTYzLelglfcFiciv5GblENKGJA0yiMj8KZuwLKXYlt5swr3xwE6D5auXghaHS_1wtynSybZSfxEO80I7bIOrZADc/s320/godaddy-domains-toggle-lock-01.png" width="320" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Control de bloqueo de dominios en GoDaddy</td></tr>
</tbody></table>
<br />
3. Cambiar el correo administrativo asociado al dominio garantizando que se implementan las debidas medidas de seguridad para dicho correo.<br />
<br />
4. En caso de estar afectado, contactar con el servicio de soporte de <b>GoDaddy </b>adjuntado la evidencia necesaria para confirmar que se trata de una transferencia no autorizada.<br />
<br />
Si tiene alguna duda o has sido afectado por este tipo de incidente pude escribir: a info [@] csiete.org para más información.<br />
<br />
<br />
<br />
<br />Eduardo Chavarro Ovallehttp://www.blogger.com/profile/11537520679484769400noreply@blogger.com0tag:blogger.com,1999:blog-3826304095550193648.post-59906131362564884792019-10-05T07:07:00.000-07:002019-10-05T07:07:42.781-07:00Herramientas homologadas por CVE ???En nuestro mercado se ha vuelto popular un requerimiento de "herramientas CVE homologadas", lo cuál originalmente es un requerimiento de un anexo de la Circular 042 (ya retirada) de la superbancaria y como se puede comprobar en las imagenes presentadas a continuación en una búsqueda rápida del término indexado en internet se usa de manera constante en licitaciones relacionadas con Pruebas de Seguridad, Pruebas de Ethical Hacking, Pentesting o como se quiera llamar a un proceso de evaluación de seguridad de vulnerabilidades; este post busca aclarar un poco la confusión existente en dicho requerimiento.<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgRKkp0P_Bx1I6SyM5tFmKoz2AOOHhv69R_WTWqkxihvFbFC-UGHUQ7xHPLfGO49T2SbbDNBObFEzbU_fxjQBE1AI2CRpblnliVLU0imPuF8yj88OYZMa1MyMwxhWsN5mzOZXIExh30Ln8/s1600/Screenshot+%252810%2529.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="601" data-original-width="1207" height="159" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgRKkp0P_Bx1I6SyM5tFmKoz2AOOHhv69R_WTWqkxihvFbFC-UGHUQ7xHPLfGO49T2SbbDNBObFEzbU_fxjQBE1AI2CRpblnliVLU0imPuF8yj88OYZMa1MyMwxhWsN5mzOZXIExh30Ln8/s320/Screenshot+%252810%2529.png" width="320" /></a></div>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEimiWkh1WJDU6kQTKs8BHKktdklGNiTvaf4eCdRJVVcm1iVUpKXxUs3dEZUUJ1IdY-llUDZCyamQBkkOoFC3sIWd-h2C0C2fxBsi2REnAkMCrbZ9DOi1go2MeNDX1HI5yqs4iYDKXnUHdI/s1600/Screenshot+%252811%2529.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="398" data-original-width="669" height="190" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEimiWkh1WJDU6kQTKs8BHKktdklGNiTvaf4eCdRJVVcm1iVUpKXxUs3dEZUUJ1IdY-llUDZCyamQBkkOoFC3sIWd-h2C0C2fxBsi2REnAkMCrbZ9DOi1go2MeNDX1HI5yqs4iYDKXnUHdI/s320/Screenshot+%252811%2529.png" width="320" /></a></div>
<a name='more'></a><br />
El término más que homologado era compatible y dicho programa realizado por CVE ahora se encuentra archivado como se puede observar en este <a href="https://cve.mitre.org/compatible/compatible.html" target="_blank">link</a>, donde se encuentra la documentación oficial de MITRE al respecto y se puede observar la evaluación del requerimiento hacia una <a href="https://cve.mitre.org/compatible/guidelines.html" target="_blank">guía de compatibilidad</a> que permite la alineación de productos y servicios bajo ciertos requerimientos como son:<br />
<ul>
<li>Una guía de alto nivel que define los pre requisitos y funcionalidades que debe cumplir un producto o servicio para ser compatible con CVE.</li>
<li>Los requerimientos de exactitud necesarios para ser compatible con CVE.</li>
<li>Documentación que se debe relacionar con las capacidades del producto o servicio</li>
<li>Uso de los datos de CVE</li>
<li>La sintaxis de los estilos de identificadores de CVE</li>
<li>2 Anexos, el primero es una guía especifica por tipo (herramienta, servicio o plataforma en línea) y el segundo la guía de medios.</li>
</ul>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhpoLUSDrXKiPMY9Lzatk1CjI_izqO4zKy0RjAxk-j_ajWzRCyfVy1TE3L35VGyHxSrCh9o0UxcnUj1eOluB8px45aQBy-4owN1i4yCbNHWFAgcp9TbU6HWS9Sw8KKRPNpX7fBT970oGAE/s1600/Screenshot+%252812%2529.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="475" data-original-width="1338" height="113" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhpoLUSDrXKiPMY9Lzatk1CjI_izqO4zKy0RjAxk-j_ajWzRCyfVy1TE3L35VGyHxSrCh9o0UxcnUj1eOluB8px45aQBy-4owN1i4yCbNHWFAgcp9TbU6HWS9Sw8KKRPNpX7fBT970oGAE/s320/Screenshot+%252812%2529.png" width="320" /></a></div>
<div>
En este caso, el anexo A contiene información realmente relevante relacionada con los requerimientos que en realidad deberían tenerse en cuenta para herramientas y servicios compatibles con CVE si en realidad son importantes dentro de un proceso de contratación, como son:</div>
<div>
<br /></div>
<div>
<ul>
<li>Sea una herramienta o un servicio, que la información entregada se pueda buscar por medio de CVEs para tener la referencia completa de los hallazgos enumerados</li>
<li>Relación entre cualquier hallazgo de seguridad y un ID CVE</li>
<li>En las herramientas es importante que la taza de falsos positivos y negativos sea menor al 100%</li>
</ul>
<div>
Y lo más importante es que si se hacen requerimientos relacionados con CVEs, es para que las personas que vayan a prestar un servicio con una herramienta determinada o hacer uso de dicha herramienta comprendan el valor que puede entregar la identificación de un elementos de seguridad con un CVE dentro de un modelo de seguridad, permitiendo la búsqueda estandarizada relacionada a una vulnerabilidad o exposición y fuentes relacionadas con esta base de datos que permitan tomar acciones frente a un hallazgo determinado, en muy importante destacar que este recurso <b>no contiene información de mitigación del hallazgo</b>. </div>
</div>
<div>
<br /></div>
<div>
Este post es un llamado de atención a tener en cuenta los requerimientos que se hacen a la hora de solicitar un servicio o producto de seguridad, el valor de dichos requerimientos es el valor que pueda entregar al negocio frente a las necesidades claras de seguridad. Sin necesidades claras seguiremos haciendo solicitudes copiadas y pegadas en pliegos que no tienen sentido o no muestran un diferencial real.</div>
Giovanni Cruz Forerohttp://www.blogger.com/profile/14753019907377409633noreply@blogger.com0tag:blogger.com,1999:blog-3826304095550193648.post-46320798034308871832019-07-24T10:36:00.000-07:002019-07-24T10:36:53.320-07:00Privacidad y motores de búsqueda<div class="separator" style="clear: both; text-align: center;">
</div>
<div style="margin-left: 1em; margin-right: 1em;">
</div>
<br />
<br />
<br />
<div style="clear: right; float: right; margin-bottom: 1em; margin-left: 1em;">
</div>
<br />
<br />
<div style="clear: right; float: right; margin-bottom: 1em; margin-left: 1em;">
<img alt="Swisscows" height="68" src="https://swisscows.com/images/logo-results.png" width="200" /></div>
<br />
<br />
<div style="clear: right; float: right; margin-bottom: 1em; margin-left: 1em;">
<div class="separator" style="clear: both; text-align: center;">
<a href="https://www.blogger.com/u/1/blogger.g?blogID=3826304095550193648" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img alt="Startpage.com" border="0" height="39" src="data:image/svg+xml;base64,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" style="cursor: move;" width="200" /></a></div>
<img alt="DuckDuckGo (@DuckDuckGo) | Twitter" height="200" src="https://proxy.duckduckgo.com/iu/?u=https%3A%2F%2Fpbs.twimg.com%2Fprofile_images%2F467502291415617536%2FSP8_ylk9.png&f=1" width="200" /></div>
En el pasado Campus Party Colombia tuve la oportunidad de dar una charla en el Women Community Fest donde pude compartir diferentes herramientas, pensando en la protección de la privacidad en entornos digitales.<br />
<br />
Una de las recomendaciones que presenté fue buscar <b>alternativas a los motores de búsqueda tradicionales</b>, con el fin de poder generar una capa adicional de protección a nuestra información frente a estas herramientas que usamos a diario y que en muchas de sus implementaciones simplemente buscan estrategias para monetizar la información que estamos consultando.<br />
<br />
<b>Duck Duck Go </b><br />
<b><br /></b>
Fue el primer motor con un enfoque de protección de la información que tuve la oportunidad de conocer, es muy interesante la posibilidad de buscar con Bangs (<a href="https://duckduckgo.com/bang" target="_blank">!</a>) de manera privada en otros sitios desde la plataforma, tiene diferentes elementos de <a href="https://help.duckduckgo.com/duckduckgo-help-pages/results/syntax/" target="_blank">sintaxis</a> de búsqueda y una <b>gran documentación</b> de las características de la plataforma, junto a plugins para navegador y una aplicación para proteger las búsquedas realizadas en dispositivos móviles, sin duda es una excelente alternativa.<br />
<br />
<b>StartPage</b><br />
<b><br /></b>
Aunque en los resultados se pueden identificar Ads (anuncios (una forma de poder monetizar el proyecto)) basados en las palabras que se usan para la búsqueda, este buscador tiene una característica muy interesante que es la Vista Anónima (<a href="https://support.startpage.com/index.php?/Knowledgebase/Article/View/1185/0/the-anonymous-view-proxy---technical-details=undefined" target="_blank">Anonymous View</a>) de los resultados generados, lo cuál permite cargar una vista dentro del motor de búsqueda evitando algunas de las herramientas de tracking generalmente usadas por las páginas. Adicionalmente realizar búsquedas con gran velocidad y presenta excelentes resultados haciendo <b>uso de proxys</b>, que no permiten de ninguna forma que las peticiones de alguna manera sean redireccionadas para obtener información que la persona que genera las peticiones originales.<br />
<br />
<blockquote class="tr_bq">
<i>"Los trackers o herramientas de tracking son un tipo de software que vigila todo el tráfico entrante y saliente de un equipo conectado a una red" </i>Avast</blockquote>
<br />
<b>Swisscows</b><br />
<br />
Una muy interesante solución, principalmente por el uso de sus <b>propios servidores</b> directamente en Suiza (con una legislación muy fuerte de protección de datos) y características como; búsquedas regionales si se requieren, mapas semánticos relacionados a la búsqueda realizada y una política muy clara donde se encuentra que ningún tipo de información se almacena en su infraestructura.<br />
<br />
<b>Metager</b><br />
<b><br /></b>
Otro <b>metabuscador</b> (como la mayoría de opciones que hemos visto), que permite identificar información interesante en sus resultados como; fuente de donde proviene el resultado (bing o scopia), opciones similares a las de startpage que generan total protección de las búsquedas, filtros estilo google para los resultados y la posibilidad de abrir de manera anónima las páginas de resultados. Su código fuente es <a href="https://gitlab.metager3.de/open-source/MetaGer" target="_blank">totalmente abierto</a>, adicionalmente tiene un sitio .onion y opciones de plugin y aplicaciones.<br />
<br />
<center>
<img alt="Mojeek" height="50" src="https://www.mojeek.com/logos/logo_bc2_120x30.png" width="200" /></center>
<b><br /></b>
<b>mojeek</b><br />
<br />
Mojeek ha creado su <b>propio crawler</b> lo que lo hace totalmente diferente a todas las opciones anteriormente expuestas, permite en una interfaz gráfica generar búsquedas avanzadas, junto a una política clara de privacidad en la que no buscan almacenar ningún tipo de información en su infraestructura. Si uno quiere definir ciertas funciones de búsqueda por defecto, mojeek solicita permiso para colocar una cookie en el equipo con el fin de guardar dichas preferencias de manera local.<br />
<br />
<center>
<img alt="YaCy - Wikipedia" src="https://proxy.duckduckgo.com/iu/?u=https%3A%2F%2Fupload.wikimedia.org%2Fwikipedia%2Fcommons%2F9%2F99%2FYaCy_logo.png&f=1" /></center>
<br />
<br />
<b>yacy</b><br />
<br />
Totalmente diferente a cualquier otra de las alternativas propuesta, yacy ofrece una s<b>olución descentralizada </b>que corre en una red peer-to-peer, donde con el software disponible para los diferentes sistemas operativos es posible ejecutar un nodo que permite ayudar en la tarea de indexar internet. Una aproximación muy interesante al no existir un servidor central donde llegan las peticiones.<br />
<br />
<b>qwant</b><br />
<br />
Con una de las <b>políticas de privacidad</b> más extensas y más claras de las soluciones presentadas, Quant ofrece una solución que permite la autenticación de ser necesaria si se quiere guardar información relacionada a las búsquedas, pero con una promesa básica definida, no guardar ni una cookie en el equipo de un usuario. La interfaz gráfica de la aplicación es muy agradable, tiene un plugin para la instalación del motor en cualquier navegador.<br />
<b><br /></b>
<b>yippy</b><br />
<br />
Algo llamativo de este motor es su Powered by IBM Watson en su página principal, un elemento que vale la pena leer en su página principal es su p<a href="https://yippy.com/privacy-policy-tos.php" target="_blank">olítica de privacidad</a> que de manera clara define que hace con la información que se maneja en el sitio y da claridad a los términos de uso que pueden ser usados en la página, esta página cuenta con un <b>preview</b> que permite ver dentro de la plataforma una vista previa de la página que fue indexada por el motor de búsqueda. Este motor no tiene suficiente documentación relacionada a las búsquedas, pero tiene un componente interesante que permite identificar desde que fuentes fue obtenida la información de la búsqueda.<br />
<br />
<b><strike>Discrete Search y Search Encrypt</strike></b><br />
<br />
Dos plataformas ofrecidas por Eightpoint Technologies Ltd., que a nivel de tecnología y características ofrecidas simplemente ofrecen una conexión SSL y la promesa que el historial desaparece en media hora, se vuelve una plataforma que aunque como slogan ofrece primero la privacidad, no muestra un acercamiento real a una solución que pueda generar una total tranquilidad, adicionalmente en su política de privacidad acepta que <b>almacena cierta información</b> aclarando que no se guarda información personal en los servidores. Incluyo estas dos plataformas en la lista con el fin de resaltar que aunque una plataforma prometa ciertas características es bueno realizar una revisión profunda de la forma en la que se ofrece la solución ya que muchas veces no cumplen con las expectativas que se pueden esperar.<br />
<br />
<b>Givero</b>, <b>Gibiru</b>, <b>Lukol</b>, <b>Ecosia</b>, <b>Peekier</b> son otras soluciones de búsqueda segura que vale la pena revisar, no puedo decir que existe una mejor que otra, el uso de las plataformas permite identificar sus mejores características y funcionalidades para las necesidades de cada persona, <b>la geolocalización de los servidores y la regulación existente en cada país que ofrece estas soluciones es un tema que vale la pena analizar</b>, en la Unión Europea existen regulaciones mucho más fuertes para la protección de información personal aunque en Estados Unidos el tema se encuentra en <a href="https://spreadprivacy.com/do-not-track-act-2019/" target="_blank">discusión</a>, aún existe solo una propuesta, la cuál no asegura que los datos sean totalmente protegidos y el gobierno no pueda acceder a ellos.<br />
<br />
El uso de <b>diferentes capas de protección </b>es lo único que en realidad puede proteger nuestra privacidad en Internet y definitivamente la búsqueda segura es un elemento que debe ser parte de nuestra protección digital.Giovanni Cruz Forerohttp://www.blogger.com/profile/14753019907377409633noreply@blogger.com0tag:blogger.com,1999:blog-3826304095550193648.post-7921316066536694592019-07-11T08:44:00.000-07:002019-07-11T08:44:11.682-07:00HackLabCO, la invitación a un nuevo comienzo<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjNuNHWcchY-6h73WPhXhrfhtIUBxC4gFirjKpSGxNJRrkF6zEewpqZRnWDLq6nDoV58VwPuG0bl5ogFdtHpW7yvlgV5-_g34kjDM1tfBUabTyXjbJyMp8n0d5bk_edsyozgYxbniUBSy8/s1600/photo4985962388318693370.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="676" data-original-width="1200" height="225" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjNuNHWcchY-6h73WPhXhrfhtIUBxC4gFirjKpSGxNJRrkF6zEewpqZRnWDLq6nDoV58VwPuG0bl5ogFdtHpW7yvlgV5-_g34kjDM1tfBUabTyXjbJyMp8n0d5bk_edsyozgYxbniUBSy8/s400/photo4985962388318693370.jpg" width="400" /></a></div>
<br />
<div style="text-align: justify;">
Partiendo de la gran cantidad de entusiastas de seguridad de la información y la necesidad de contar con espacios que permitieran la interacción y el trabajo en conjunto de los mismos de una manera más frecuente, hace más de 8 años se tomó como referencia los hackerspace que reune comunidades en otras latitudes y se dio apertura en la ciudad de Medellín a una iniciativa llamada “<b><i>ElHackLab</i></b>”.</div>
<br />
<div style="text-align: justify;">
Dicha iniciativa como muchas otras ha sufrido cambios, transiciones y evoluciones, hoy en día se ha transformado en HackLab Medellín, el cual, más que un evento frecuente, es percibido por sus asistentes como una comunidad que ha influenciado de manera positiva sobre sus conocimientos actualizando o introduciendo nuevos conceptos en la materia, mejorando así las capacidades de cada uno de sus integrantes, llamando la atención de profesionales y entusiastas de otros puntos del país, tanto que actualmente podemos hablar de HackLab Bogotá, el cual no es más que la expansión de esta comunidad y que hoy en día cuenta con más de 1500 miembros en su cuenta de meetup.</div>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjThHBp3Bh3a86URUxUs7p3NnbxyT71oV8jYT3RanjUqz1Sfc2z-ZfN1bIWyAEupdsXOBgxaoSNIemO72eZcLk90Dn3B-WmQo9MD3nLQAALblvP5GJszTndEjXVM46Cs9mfTnXayXbNFw4/s1600/hacklab+Sesion2.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="449" data-original-width="800" height="221" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjThHBp3Bh3a86URUxUs7p3NnbxyT71oV8jYT3RanjUqz1Sfc2z-ZfN1bIWyAEupdsXOBgxaoSNIemO72eZcLk90Dn3B-WmQo9MD3nLQAALblvP5GJszTndEjXVM46Cs9mfTnXayXbNFw4/s400/hacklab+Sesion2.jpg" width="400" /></a></div>
<br />
<div style="text-align: justify;">
¿Pero que son los HackLab?, son sesiones presenciales que se realizan de manera frecuente, en las cuales se busca abrir un espacio en el que se pueda compartir, analizar, trabajar, discutir y sobre todo aprender sobre diferentes temas asociados a seguridad digital y ciberseguridad, lo interesante de la dinámica del evento es que todos pueden participar y opinar durante la sesión, lo cual permite que las diferentes personas sin importar su nivel de conocimiento puedan trabajar y/o analizar un tema de manera conjunta generando una interacción que finalmente lleva a conocerse entre sí, fortaleciendo aún más el tema de comunidad, logrando tener en algunas las sesiones la presencia de representantes de reconocidos proyectos internacionales, como lo son <b><i>Tor Project, EFF, Elastic, OWASP y Rappi</i></b> entre otros. Entonces ¿Qué necesitas para asistir a un <b><i>HackLab</i></b>?, simplemente afinidad hacia la seguridad de la información, seguridad digital, ciberseguridad y muchas ganas de ir a aprender y a compartir conocimientos!!!</div>
<br />
<div class="separator" style="clear: both; text-align: center;">
</div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEixhi8N71JtIdsjx5iBUWBz3fsUgPFee3gUXOtELRDQC7aCPUAY_isDrt5ydLdDWCtA_BfOlM1MzFREd_Tom_zsV-QX-G2iDz1_11vELy3GYsmnhbAvsQOlQ9XxcTkHLpIOzo5lcif9D7M/s1600/hacklab+Sesion.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="449" data-original-width="800" height="223" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEixhi8N71JtIdsjx5iBUWBz3fsUgPFee3gUXOtELRDQC7aCPUAY_isDrt5ydLdDWCtA_BfOlM1MzFREd_Tom_zsV-QX-G2iDz1_11vELy3GYsmnhbAvsQOlQ9XxcTkHLpIOzo5lcif9D7M/s400/hacklab+Sesion.jpg" width="400" /></a></div>
<br />
<div style="text-align: justify;">
En La Corporación para la investigación en Seguridad de la Información y En Tecnologías Emergentes, CSIETE, somos conscientes de la importancia y la influencia que tienen sobre los profesionales del país las comunidades de conocimiento, así que durante los últimos años de manera activa hemos brindado un apoyo especial a estas iniciativas y es por eso que en esta ocasión tenemos el privilegio de presentar el proyecto <b>HackLabCo</b>, el cual busca acoger, unificar o gestionar de manera centralizada HackLab Medellín, HackLab Bogotá y otros HackLabs en diferentes ciudades que se tienen proyectados y porque no, HackLabs o hackerspaces existentes que deseen vincularse al mismo.</div>
<br />
<div>
<div style="text-align: justify;">
Es por esto que a partir de Julio de 2019, HackLab Medellín y HackLab Bogotá dejarán a un lado sus logos personalizados y harán uso de la imagen/logo oficial de <b>HackLabCO </b>y tendrá un nuevo eslogan <i style="font-weight: bold;">"Comunidades: la fuerza que transforma el mundo"</i>. Adicionalmente en el meetup del próximo 17 de Julio tendremos sorpresas para los asistentes por motivo del lanzamiento de esta nueva imagen.</div>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjTRyVcpLgE7A9Kjo2sh_cgNnOZY4mmAn9CLgR-SllYH9q8-JsShJWg0D0AWACSIeg_-ypdBHVeee5rRM8EgagXV8neYKfaTjKl-DQC2YWfIQRDkeuD_XZ21Qok37xEyL_4Nb4lIQY3D4c/s1600/hacklabMedellin.jpeg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="600" data-original-width="476" height="200" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjTRyVcpLgE7A9Kjo2sh_cgNnOZY4mmAn9CLgR-SllYH9q8-JsShJWg0D0AWACSIeg_-ypdBHVeee5rRM8EgagXV8neYKfaTjKl-DQC2YWfIQRDkeuD_XZ21Qok37xEyL_4Nb4lIQY3D4c/s200/hacklabMedellin.jpeg" width="158" /></a><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEitoeBW9sOoa6s_SREft8QufTocqXTluFAg0vtSIO8uOUq1i7O4Yuzo5C0Yn09tS6RvfilcNNNIqH1xY6KfiLXNULh4MVWRGl0_rsEhoXV45AsS8DNK2u274zkE9nY2fEx5ImzU51UyBr0/s1600/hacklabBogota.jpeg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="600" data-original-width="475" height="200" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEitoeBW9sOoa6s_SREft8QufTocqXTluFAg0vtSIO8uOUq1i7O4Yuzo5C0Yn09tS6RvfilcNNNIqH1xY6KfiLXNULh4MVWRGl0_rsEhoXV45AsS8DNK2u274zkE9nY2fEx5ImzU51UyBr0/s200/hacklabBogota.jpeg" width="158" /></a></div>
<div class="separator" style="clear: both; text-align: center;">
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgkg1TthlBPCMJm-omGZ3stBfLJON2ruJiJGIMpIPW8GLoqthxRdHdiT_bUQojFnpYsz8rPsJJeQ2D0TzLMLJpOjYsAdzhN5-rEkpdEk8x96EQAl9GHxgI2qz670tVjuOigg2c6xIMc_74/s1600/hacklabco.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="800" data-original-width="800" height="200" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgkg1TthlBPCMJm-omGZ3stBfLJON2ruJiJGIMpIPW8GLoqthxRdHdiT_bUQojFnpYsz8rPsJJeQ2D0TzLMLJpOjYsAdzhN5-rEkpdEk8x96EQAl9GHxgI2qz670tVjuOigg2c6xIMc_74/s200/hacklabco.jpg" width="200" /></a></div>
<div style="text-align: justify;">
Finalmente, te invitamos a hacer parte de <b>HackLabCo </b>ya sea como asistente, ponente o líder de estos espacios o en las sesiones a realizarse en las ciudades de Medellín, Bogotá y muy pronto en nuevas ciudades, te invitamos a ser parte de una comunidad para transformar el mundo con su conocimiento.</div>
<br />
<div style="text-align: justify;">
Además recuerda seguirnos a través de los canales oficiales en redes sociales e inscribirte en los meetup</div>
</div>
<div>
<div>
<br />
Twitter: <a href="https://twitter.com/Hacklab_Co">https://twitter.com/Hacklab_Co</a> </div>
<div>
Meetup: <a href="https://www.meetup.com/es/HackLab-Medellin/">Medellín</a>, <a href="https://www.meetup.com/es-ES/HackLab-Bogota/">Bogotá</a><br />
Únete a los grupos en Telegram aquí: <a href="https://t.me/hacklabco">Medellín</a>, <a href="https://t.me/joinchat/BsLRPkwTQMpcS-hbziAEWg">Bogotá </a></div>
</div>
Carlos Andrés Rodallegahttp://www.blogger.com/profile/15297411281829401032noreply@blogger.com1tag:blogger.com,1999:blog-3826304095550193648.post-35830799192263394082019-06-01T09:07:00.000-07:002019-06-12T07:27:39.394-07:00Experiencia CyberWomen Challenge<div class="separator" style="clear: both; text-align: center;">
</div>
<div class="separator" style="clear: both; text-align: center;">
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
<iframe allowfullscreen="" class="YOUTUBE-iframe-video" data-thumbnail-src="https://i.ytimg.com/vi/dFStp6T_EGY/0.jpg" frameborder="0" height="266" src="https://www.youtube.com/embed/dFStp6T_EGY?feature=player_embedded" width="320"></iframe></div>
<div>
<br /></div>
<div style="text-align: justify;">
En el mundo de la ciberseguridad es común encontrar los CTF, un estilo de competencia en el que se deben desarrollar diversas pruebas, cada una con un puntaje asignado según la dificultad en la que estén enmarcadas.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
El objetivo de los CTF es lograr resolver la mayor cantidad de retos posibles, obteniendo una <i>flag </i>(Solución a un reto), entre los cuáles, se suelen encontrar retos de criptografía, ingeniería inversa, explotación web, forense, entre otros.<br />
<br />
Desde que conocí los CTF, sentí curiosidad y quise participar. En la empresa CSIETE, donde trabajo actualmente, hay conformado un grupo que participa en los CTF que están programados alrededor del mundo, por tal razón, desde mi ingreso solicité formar parte del grupo, pues me parece interesante y una buena manera de fortalecer mis conocimientos y de adquirir experiencia. </div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Estas competencias buscan fortalecer conocimientos y desarrollar habilidades en diferentes áreas y temáticas de ciberseguridad, también son usadas como entrenamiento para fortalecer los conocimientos y responder de una mejor manera ante un incidente de ciberseguridad.</div>
<div class="MsoNormal" style="text-align: justify;">
<a name='more'></a><span style="background: white; font-family: "arial" , "helvetica" , sans-serif; font-size: 12.0pt; line-height: 107%;"> <o:p></o:p></span></div>
<div class="MsoNormal" style="text-align: justify;">
<br />
La primera vez que jugué pensé: “En qué me he metido”, había retos en diferentes categorías, empecé a leerlos y no entendía de qué me hablaban, qué me pedían, qué era lo que debía hacer. Al buscar ayuda entre mis compañeros descubrí un sin número de herramientas, técnicas y formas de solucionar estos retos, pero así mismo, me di cuenta de que para poder jugar y ganar un CTF se requiere un alto nivel que no se logra de la noche a la mañana, y que no es tan fácil como decir: “voy a jugar, quiero hacerlo”. </div>
<div style="text-align: justify;">
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiRAKU4TwSYxa6NT0CYnTpQsDaa4ZnIeXo64mXKEkbGEvPiYx7lPwUITvfJvAfSoshmISKDLids2INW9SoNm0AqZsM1OmCLwg9_TkPuzey0mFDtSgEmZlpZJAVUVMiCBPQ9EGD70tjjes0/s1600/WhatsApp+Image+2019-05-30+at+12.10.58+PM.jpeg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="720" data-original-width="1280" height="225" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiRAKU4TwSYxa6NT0CYnTpQsDaa4ZnIeXo64mXKEkbGEvPiYx7lPwUITvfJvAfSoshmISKDLids2INW9SoNm0AqZsM1OmCLwg9_TkPuzey0mFDtSgEmZlpZJAVUVMiCBPQ9EGD70tjjes0/s400/WhatsApp+Image+2019-05-30+at+12.10.58+PM.jpeg" width="400" /></a></div>
<br />
<div class="separator" style="clear: both; text-align: center;">
</div>
La primer vez que participé en un CTF tuve que aceptar que aún no tenía la experiencia ni el conocimiento necesario para poder conseguir una <i>flag</i>. Unos días después, jugamos otro, esta vez estaba mucho más animada y dispuesta a conseguir por lo menos una <i>flag </i>que le diera un buen puntaje a mi equipo, pero al igual que la primera vez <i>me estrellé </i>y me di cuenta de que para empezar debe entenderse el problema planteado, qué me están preguntando, y ahí sí, buscar una solución por medio de alguna herramienta, técnica o metodología.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Para jugar un CTF, en primer lugar, es importante tener mucha tolerancia a la frustración, pues por lo regular los CTF tienen un tiempo de duración limitado, casi siempre de 24 a 48 horas, lo cual, muchas veces, dificulta más solucionar satisfactoriamente algunos de los retos.<br />
<br />
<span style="font-family: inherit; line-height: 107%;">El sábado 25 de mayo estuve participando en la ciudad de Bogotá
en el “Cyber Woman challenge 2019”, un CTF creado por <a href="http://webapp.mintic.gov.co/607/w3-propertyvalue-49161.html">MinTIC</a> y la <a href="https://twitter.com/OEA_Cyber">OEA</a>, con el
apoyo del Gobierno de Canadá, .CO y </span><a href="https://resources.trendmicro.com/2018-LAR-CyberWomen-Challenge-ES-About.html?ClickID=bzysvsqqnqgszymlsnulvyskqylsn1eqfvq#requisitos" style="font-family: inherit;">Trend Micro</a><span style="font-family: inherit;">.</span></div>
<div class="MsoNormal">
<div style="text-align: justify;">
<span style="font-family: inherit;"><br /></span></div>
<div style="text-align: justify;">
<span style="font-family: inherit;">Este <i>challenge</i> hace parte de la iniciativa “Hacker Girls”, dirigida a mujeres con conocimientos básicos en sistemas operativos, redes, amenazas cibernéticas, configuración de firewall y Sistema de Prevención de Intrusiones (IPS).</span></div>
<div style="text-align: justify;">
<br /></div>
</div>
<div class="MsoNormal" style="text-align: justify;">
La actividad consistía en jugar un CTF planteado en la plataforma de <a href="https://github.com/facebook/fbctf">Facebook</a><br />
<br /></div>
<div class="MsoNormal">
<div style="text-align: justify;">
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj-o8stUEHAgORFx-j7FJKJNEeyECvmAuw2WPwZ2-Xhtr7j0tdbt5sKUhkR1YzJc7pY3uyawfVBiXxOTO3X7DrLgAVYNW1ivBcy1DBThNNz8IoGFr1CFeK8gLkkRtuDDLlHJRPTTDn5DkI/s1600/WhatsApp+Image+2019-06-04+at+1.02.14+PM.jpeg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="656" data-original-width="1174" height="222" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj-o8stUEHAgORFx-j7FJKJNEeyECvmAuw2WPwZ2-Xhtr7j0tdbt5sKUhkR1YzJc7pY3uyawfVBiXxOTO3X7DrLgAVYNW1ivBcy1DBThNNz8IoGFr1CFeK8gLkkRtuDDLlHJRPTTDn5DkI/s400/WhatsApp+Image+2019-06-04+at+1.02.14+PM.jpeg" width="400" /></a></div>
<div class="separator" style="clear: both;">
<span style="text-align: justify;"><br /></span></div>
<div class="separator" style="clear: both;">
<span style="text-align: justify;">Cada país era una pregunta, para ganar había que obtener la mayor cantidad de puntos posibles, con cada pregunta resuelta, entre más complicada era la pregunta, mayor era el puntaje que se obtenía.</span></div>
<div class="separator" style="clear: both;">
<span style="text-align: justify;"><br /></span></div>
<div class="separator" style="clear: both;">
<span style="text-align: justify;">Para dar solución a ellas debía hacerse uso de la herramienta de Trend Micro "Deep Security", según la pregunta debía navegarse por cada uno de sus módulos, hacer una lectura del registro de las afectaciones de los archivos indicados y cuando se identificaba que había cambiado, se obtenía la respuesta al problema planteado. </span></div>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiIOP0rbBxeQkgwOaNlb_HtXAvdHksHwdR0lfYWyF4fWqZ6oSX9Q4SmMTi6Ge9pysDu2gTCK9fc5Zyh5fA5F0U1Ga7CHtLjT7INjLApiCZwZY2NwXoQ7Dgl10NJIeGjtoYJ6YyfsNjOPBU/s1600/WhatsApp+Image+2019-06-04+at+12.56.34+PM.jpeg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="638" data-original-width="805" height="316" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiIOP0rbBxeQkgwOaNlb_HtXAvdHksHwdR0lfYWyF4fWqZ6oSX9Q4SmMTi6Ge9pysDu2gTCK9fc5Zyh5fA5F0U1Ga7CHtLjT7INjLApiCZwZY2NwXoQ7Dgl10NJIeGjtoYJ6YyfsNjOPBU/s400/WhatsApp+Image+2019-06-04+at+12.56.34+PM.jpeg" width="400" /></a></div>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhfl_v2FDr5XQl1XalH7Z3vKnDRqT7ifXcgI1gzwFQHQiPegl6JCA1qTrcYF599f9oznBJd5nCQW9UEOdnX91f_VnmJgu2oRFHyxE7ftFsPIDD9CsUjLGdwa-HHcqvhEQnLwh9ycjf0Fh8/s1600/WhatsApp+Image+2019-06-04+at+12.55.38+PM.jpeg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="628" data-original-width="1177" height="212" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhfl_v2FDr5XQl1XalH7Z3vKnDRqT7ifXcgI1gzwFQHQiPegl6JCA1qTrcYF599f9oznBJd5nCQW9UEOdnX91f_VnmJgu2oRFHyxE7ftFsPIDD9CsUjLGdwa-HHcqvhEQnLwh9ycjf0Fh8/s400/WhatsApp+Image+2019-06-04+at+12.55.38+PM.jpeg" width="400" /></a></div>
<i><br /></i></div>
</div>
<div class="separator" style="clear: both; text-align: justify;">
</div>
<div style="text-align: justify;">
Mi grupo era el equipo n.°17, estaba conformado por mi y otras 3 mujeres, Alexandra, Camila y Karen. No nos conocíamos, por esto debíamos identificar de manera rápida nuestras habilidades y aptitudes para asignar las tareas y así lograr conseguir las <i>flags</i> y mantenernos arriba en el marcador.<br />
<br />
Identificamos estas fortalezas rápidamente, nos organizamos y al final del día pudimos ser premiadas con un cupo para la participación en la <b><i>"Certificación Ejecutiva en Liderazgo y Estrategia de Ciberseguridad" </i></b>impartida por la FIU - Universidad Internacional de Florida y además de eso ser bautizadas como “Las cuatro fantásticas de la seguridad informática”, pues logramos mantenernos en el primer lugar.<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiHpI5SDAPMsuvShN0WaQ0Qzjwl4-cqwlyYhIHOnePo_Roy0HIw222fVBDbimh_NaeG5pl8RszeIyibTnk3hOqRUzKVeyaIPEf8Z_SnjLCCNNvWLGfA_viPD1ZHGRsIo2zg7Iq2SD9Gl2k/s1600/WhatsApp+Image+2019-05-25+at+4.43.50+PM.jpeg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="640" data-original-width="772" height="331" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiHpI5SDAPMsuvShN0WaQ0Qzjwl4-cqwlyYhIHOnePo_Roy0HIw222fVBDbimh_NaeG5pl8RszeIyibTnk3hOqRUzKVeyaIPEf8Z_SnjLCCNNvWLGfA_viPD1ZHGRsIo2zg7Iq2SD9Gl2k/s400/WhatsApp+Image+2019-05-25+at+4.43.50+PM.jpeg" width="400" /></a></div>
<br />
<br /></div>
<div class="MsoNormal" style="text-align: justify;">
<span style="font-size: 12.0pt; line-height: 107%;"><br /></span></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj8KMrBN2bMgAYBQrbNDezro2JyIPSZ-zVYzxk3D6awkUw10YH4SBMQRyKJitJnYt3tofKIDtLJFQXjG34v1MdH2EiMjrXxt1tWW7gFWODXbMbKxgZ0EosLNDzGo5I1KNXhgo3ZGk8s5Z0/s1600/foto+%25283%2529.jpeg" imageanchor="1" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em; text-align: justify;"><img border="0" data-original-height="720" data-original-width="1280" height="180" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj8KMrBN2bMgAYBQrbNDezro2JyIPSZ-zVYzxk3D6awkUw10YH4SBMQRyKJitJnYt3tofKIDtLJFQXjG34v1MdH2EiMjrXxt1tWW7gFWODXbMbKxgZ0EosLNDzGo5I1KNXhgo3ZGk8s5Z0/s320/foto+%25283%2529.jpeg" width="320" /></a></div>
<div style="text-align: justify;">
Antes de finalizar la competencia hubo un momento donde descendimos en la tabla de posiciones, esto le da más emoción al juego y su desarrollo, pero debe manejarse la calma y el orden, pues juegan un papel de vital importancia, ya que hay que mantenerse al margen de algunas presiones para poder dar por finalizados los retos y conseguir las <i>flags.</i></div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
El participar en una competencia que se desarrolla en vivo con las contrincantes, genera un poco más de ansiedad y presión. En esta oportunidad participamos mujeres de diferentes ciudades del país, de diferentes edades y con diferentes conocimientos.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Para mí es muy gratificante haber tenido la oportunidad de participar en este <i>challenge</i>, pues pude compartir con otras mujeres conocimientos y experiencias en ciberseguridad, campo por el cual me interesé desde que estaba en el colegio, pues, allí el bachillerato es con énfasis en sistemas, lo cual me permitió descubrir el apasionante mundo de la ciberseguridad.</div>
<div class="MsoNormal" style="text-align: justify;">
<span style="font-size: 12.0pt; line-height: 107%;"><br /></span></div>
<div class="MsoNormal" style="text-align: justify;">
<span style="font-size: 12.0pt; line-height: 107%;"><br /></span></div>
<div style="text-align: justify;">
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg6bw9VJ5rjBcp1yC_OohImTwS2wY5DQb57fChfsihK-sZ8rcoKcoWUDWKztqfsJ6tOzQJfmmHcOHuS3CybJL9dFKEDuXcKqLMq5Bp6_2YdOO-f7QaL4MueNvwo1mp5xqG3vfkUPpwXkY8/s1600/foto+%25282%2529.jpeg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="720" data-original-width="1280" height="225" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg6bw9VJ5rjBcp1yC_OohImTwS2wY5DQb57fChfsihK-sZ8rcoKcoWUDWKztqfsJ6tOzQJfmmHcOHuS3CybJL9dFKEDuXcKqLMq5Bp6_2YdOO-f7QaL4MueNvwo1mp5xqG3vfkUPpwXkY8/s400/foto+%25282%2529.jpeg" width="400" /></a></div>
<br />
Es alentador ver cómo más mujeres estamos incursionando y haciendo parte del mundo de la ciberseguridad, en el cual hay muchas cosas por explorar, estudiar y aprender; ya que encontrar otras mujeres interesadas por la ciberseguridad es algo complejo, pues somos muy pocas las que nos atrevemos a estudiar una carrera en la que tienen tanta participación los hombres. También me alegra mucho ver como el Estado Colombiano se preocupa por fomentar estos espacios, donde podemos reunirnos e intercambiar conocimientos, y donde las mujeres responden masivamente.</div>
<div style="text-align: start;">
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEixN8X88AXvbQSftYCzi-j8sObyvyrn86uWIcGuQ-KOj0ZREAnhv_GyddmdgQq7-sM435CuFMdld07ABtQToAhMJa3gybuSbc3gwuwLWWd17VvYYFv7LzyjG6i3oAMTxjaBNvm-gRyQu38/s1600/foto+%25287%2529.jpeg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="960" data-original-width="1280" height="300" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEixN8X88AXvbQSftYCzi-j8sObyvyrn86uWIcGuQ-KOj0ZREAnhv_GyddmdgQq7-sM435CuFMdld07ABtQToAhMJa3gybuSbc3gwuwLWWd17VvYYFv7LzyjG6i3oAMTxjaBNvm-gRyQu38/s400/foto+%25287%2529.jpeg" width="400" /></a></div>
<br />
En conclusión En el momento en que se decide jugar un CTF, la mayoría de las veces, se tiene una idea de lo que uno se puede encontrar, pero esto no quiere decir que siempre se va a saber por dónde empezar.<br />
<br />
<div style="text-align: justify;">
<span style="font-family: inherit;">Para tener un buen nivel se requiere intentarlo muchas veces, no darse por vencido al primer intento cuando no se logra dar solución a un reto, para ello es de mucho valor buscar ayuda y compartir experiencias y aprendizajes con las demás personas interesadas en los retos. Es muy importante persistir, una vez que un CTF logra captar tú atención es difícil abandonarlo, el tiempo vuela y cuando uno menos piensa son las 3:00 o 4:00 de la mañana, pero es tanta la emoción y las ganas de lograrlo que el sueño o el cansancio no se sienten.</span></div>
<br />
En el <a href="http://hacklab_co/">HackLab</a> del 19 de junio <a href="https://www.meetup.com/es-ES/HackLab-Medellin/events/260486678/">"Jugando a ser Hacker"</a>, podremos conocer las anécdotas y experiencias de uno de los grandes jugadores de <a href="https://www.hackthebox.eu/">Hack the box</a> una plataforma web gamificada que permite probar nuestras habilidades en pruebas de penetración. </div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Así mismo en el <a href="http://hacklab_co/">HackLab</a> del 17 de julio<a href="https://www.meetup.com/es-ES/HackLab-Medellin/events/260487894/"> aprenderemos como resolver retos de explotación (PWN) en los CTF.</a> ¡No me los pienso perder!</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Mi nombre es Ariana Dalila Marín Sánchez <a href="https://twitter.com/Ar1_Mar1n">@Ar1_Mar1n</a>, soy ingeniera de sistemas de la universidad Salazar y Herrera. Actualmente hago parte del equipo de trabajo de CSIETE, estoy allí como analista junior en seguridad de la información. </div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
<br /></div>
</div>
Ariana Marínhttp://www.blogger.com/profile/15850530741917393512noreply@blogger.com1tag:blogger.com,1999:blog-3826304095550193648.post-40454400999314229522019-05-21T11:36:00.003-07:002019-05-22T10:36:39.494-07:00Otra vez RDP, y esta vez con mucho más riesgo.En el último <a href="https://blog.csiete.org/2019/04/tendencias-en-ataques-servicios-rdp.html" target="_blank">post</a> de nuestro blog, Eduardo nos explicaba de infecciones de Ransomware por medio de RDP. El pasado 14 de Mayo, durante la publicación de los parches y actualizaciones de sistemas operativos Microsoft, recibiamos información de un nuevo <a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-0708" target="_blank">CVE </a>con posibilidades de explotación y ejecución de código remoto; además, una alta probabilidad de generar distribuciones tipo gusanos con el fin de explotar la vulnerabilidad, un tema que siempre es crítico ante este tipo de servicios tan usados.<br />
<br />
A la fecha, el <a href="https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708" target="_blank">boletín</a> original de Microsoft en su "Exploitability Assesment" es bastante optimista ante lo que en realidad se puede lograr con esta vulnerabilidad: <b>Acceder sin credenciales y obtener los mayores privilegios en el sistema para ejecutar comandos en el servidor</b>.<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgSa12VLB3bPMLHFdfiftDFjsYfRIShUh7NB66cNzo_EK-6jsgKkXbM_-rJpeTE5KeL1jJICK8EJqCLtK3Ku7qw8YRtb5hD6nhlbmjikOsN048-RB536c4o7O8rfzyZAZr86XbJmZxnElI/s1600/Screen+Shot+2019-05-21+at+11.32.20+AM.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="79" data-original-width="1255" height="25" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgSa12VLB3bPMLHFdfiftDFjsYfRIShUh7NB66cNzo_EK-6jsgKkXbM_-rJpeTE5KeL1jJICK8EJqCLtK3Ku7qw8YRtb5hD6nhlbmjikOsN048-RB536c4o7O8rfzyZAZr86XbJmZxnElI/s400/Screen+Shot+2019-05-21+at+11.32.20+AM.png" width="400" /></a></div>
<br />
<a name='more'></a><br />
<br />
Los sistemas afectados corresponden a Windows XP, Windows 7, Server 2003, Server 2008 de 32 y 64 bits y Microsoft ha lanzado en su boletín <a href="https://support.microsoft.com/en-us/help/4500705/customer-guidance-for-cve-2019-0708" target="_blank">parches</a> disponibles para las diferentes versiones afectadas incluyendo Sistemas Operativos que perdieron el soporte hace ya bastante tiempo.<br />
<br />
A nivel de exposición podemos identificar casi 4 millones de servicios expuestos, indexadas en Shodan. No hemos realizado una revisión de los Sistemas Operativos relacionado por Shodan; sin embargo, Windows 7 y XP se encuentra en el top de sistemas operativos identificados en las máquinas expuestas; en el caso de Colombia se encuentran indexadas cerca de 10 mil máquinas, lo que puede generar un alto impacto para una vulnerabilidad de este tipo.<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjlBiaJN1vMxK5rZ6ojSyy0zw-KHCGh8QO5wZ6HBDIbbGfDta0qHQ8S5WG3-OQKu3TL1C6lpWFfLdukFpV9AsSH3nLpk_PmkzIEYL1vPaamm-xS4b8GdN2DMHzHopkC1fDc5EUdrto_03M/s1600/Screen+Shot+2019-05-21+at+11.37.15+AM.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="525" data-original-width="1112" height="188" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjlBiaJN1vMxK5rZ6ojSyy0zw-KHCGh8QO5wZ6HBDIbbGfDta0qHQ8S5WG3-OQKu3TL1C6lpWFfLdukFpV9AsSH3nLpk_PmkzIEYL1vPaamm-xS4b8GdN2DMHzHopkC1fDc5EUdrto_03M/s400/Screen+Shot+2019-05-21+at+11.37.15+AM.png" width="400" /></a></div>
<br />
Nuestro equipo de monitoreo de amenazas, identificó código público en Internet para la explotación de esta vulnerabilidad, lo cual nos motivó a producir este post. Aunque en un principio detectamos la publicación de un mecanismo de explotación de la vulnerabilidad donde se esta cobrando por el acceso al binario encargado de la explotación y un valor adicional para tener acceso al código fuente, en las pasadas 24 horas identificamos un código funcional que hemos probado en laboratorio y permite la explotación remota de la vulnerabilidad, en este caso produciendo una Denegación en el servicio.<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgkavBoEBrO0G29kt_gYa1MaNvMXNm37XsoRd3roFSZMb8u2ixm9JHTXYqRMbB96ADWm5-93DIuejb6OxJ0WK3yJlx9W2VAjjT6Ay5qhJbN6Di3kCqBoh0BIOxgYtFJ5-MLsMqoGVKh4Yw/s1600/Screen+Shot+2019-05-21+at+11.57.31+AM.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="614" data-original-width="1112" height="220" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgkavBoEBrO0G29kt_gYa1MaNvMXNm37XsoRd3roFSZMb8u2ixm9JHTXYqRMbB96ADWm5-93DIuejb6OxJ0WK3yJlx9W2VAjjT6Ay5qhJbN6Di3kCqBoh0BIOxgYtFJ5-MLsMqoGVKh4Yw/s400/Screen+Shot+2019-05-21+at+11.57.31+AM.png" width="400" /></a></div>
<br />
<br />
<b>Solución y habilitación de Controles complementarios</b><br />
<b><br /></b>
<br />
<ul>
<li>Realizar de inmediato la <a href="https://support.microsoft.com/es-co/help/4500705/customer-guidance-for-cve-2019-0708">actualización recomendada por Microsoft </a></li>
<li>Deshabilitar RDP en los servidores que se puedan ver afectados por esta vulnerabilidad y no se puedan actualizar por algún motivo, o implementar protección perimetral para el servicio RDP junto a la configuración de direcciones IP permitidas para su acceso remoto preferiblemente mediante VPN.</li>
<li>Habilitar la autenticación a Nivel de red (NLA: Network Lever Authentication) en los sistemas afectados como mecanismo de mitigación parcial, par prevenir la distribución de Malware, como le reporto el <a href="https://cyber.gc.ca/en/alerts/critical-microsoft-remote-desktop-vulnerability">Centro Canadiense de Ciber-Segurida</a>d.</li>
</ul>
<br />
Esta es una vulnerabilidad para estar atentos por su criticidad, las posibilidades que puede ofrecer a un atacante y los antecedentes conocidos para este servicio demuestran que de no aplicarse las medidas de forma urgente, estaremos ante el despliegue de una nueva pandemia en el ciber-espacio, similar a la producida por <a href="https://es.wikipedia.org/wiki/WannaCry">WannaCry </a>al infectar máquinas sin parches para MS17-010.<br />
<br />
Adicionalmente, WannaCry no solo afectó equipos expuestos en Internet, sino que su despliegue de tipo gusano le permitió esparcirse por redes corporativas y de hogar una vez accedió a equipos vulnerables. Por esta razón, es necesario tener en cuenta en las acciones de mitigación todos los equipos qde la infraestructura con este servicio activo, la exposición a máquinas vulnerables y posiblemente infectadas pondrá en riesgo cualquier activo conectado en una red privada.Giovanni Cruz Forerohttp://www.blogger.com/profile/14753019907377409633noreply@blogger.com0tag:blogger.com,1999:blog-3826304095550193648.post-7954496377297476972019-04-25T14:11:00.000-07:002019-04-25T14:16:13.274-07:00Tendencias en ataques a servicios RDP para infectar con RansomwareDurante 2018 y el primer trimestre de 2019 tuve que enfrentar varios incidentes de Ransomware en LATAM y otras regiones del mundo que permitieron confirmar malas prácticas en el uso del protocolo RDP para la gestión remota de servidores y habilitaron la entrada de atacantes a las organizaciones para ejecutar los archivos maliciosos.<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://sophosnews.files.wordpress.com/2017/11/rdp-12001.png?w=1024&h=536&crop=1" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="419" data-original-width="800" height="167" src="https://sophosnews.files.wordpress.com/2017/11/rdp-12001.png?w=1024&h=536&crop=1" width="320" /></a></div>
<br />
<br />
Aunque el mejor control para hacer uso de servicios de acceso remoto es habilitarlo mediante servicios como VPN (Virtual Private Network) que permitan el acceso únicamente a usuarios autorizados, muchas organizaciones siguen publicando servicios como RDP (Remote Desktop Protol) en Internet sin tener en cuenta los riesgos de seguridad.<br />
<a name='more'></a><br />
<br />
<b>Amenazas</b><br />
<br />
El Ransomware es definido como un Malware de secuestro de información, que cifra información o recursos y solicita el pago de dinero (generalmente en cripto-divisas) para restaurar la el acceso a la información.<br />
<br />
Como lo confirmó el <a href="https://www.cert.gov.py/index.php/noticias/distribucion-de-ransomware-mediante-ataques-de-fuerza-bruta-rdp">CERT de Paraguay</a>, los ataques de fuerza bruta dirigidos a servicios RDP, se han incrementado en América Latina. países como Perú, Chile y Paraguay han sido blanco permanente durante los últimos años, e incidentes de Ransomware en toda la región confirman la amenaza.<br />
<br />
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjVyuXRV26nKkIMFW5Ql4zUCz4lG_KFmeKITQbw-RbDGEDJXmAVJ3JHtXZ1sT-kjDKcYPAppKsXl14-C8937RaPKUanhHPCMAthyphenhyphenn-nwYXNCz1VANq37pYI3Ihsccd_oMdOkjSpMYx1VYKm/s1600/dharma.JPG" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" data-original-height="598" data-original-width="848" height="281" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjVyuXRV26nKkIMFW5Ql4zUCz4lG_KFmeKITQbw-RbDGEDJXmAVJ3JHtXZ1sT-kjDKcYPAppKsXl14-C8937RaPKUanhHPCMAthyphenhyphenn-nwYXNCz1VANq37pYI3Ihsccd_oMdOkjSpMYx1VYKm/s400/dharma.JPG" width="400" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Alerta de Kaspersky Lab para 2018 sobre la amenaza en LATAM</td></tr>
</tbody></table>
<br />
<br />
Familias de Ransomware como <b>Dharma\Crysis, CryptoMix o Mr.Dec</b> se distribuyen una vez comprometen cuentas de acceso a servicios RDP en organizaciones. Este procedimiento es ejecutado de forma interactiva, es decir, con un factor humano en el procedimiento de acceso e instalación, permitiendo a los atacantes tomar medidas contra plataformas de seguridad que eviten la ejecución del malware. Mientras más tiempo demore la organización afectada en detectar el acceso no autorizado, más tiempo tendrán los atacantes acceder a nuevos servidores, escalar privilegios, desactivar plataformas de seguridad y desplegar la amenaza.<br />
<br />
<blockquote class="tr_bq">
Otras familias de Ransomware han visto la efectividad de la estrategia de difusión mediante RDP y están adoptando esta alternativa.</blockquote>
<br />
<br />
<b>Estado de servicios RDP en LATAM</b><br />
<br />
Servicios como <a href="https://www.shodan.io/">shodan.io</a> o <a href="https://censys.io/">censys.io</a> confirman altas cifras de puertos expuestos en América Latina, aunque se cuentan por miles, el acceso a uno de estos servicios por parte de atacantes que consigan identificar las credenciales de acceso, podrá comprometer todos los servidores a su alcance; hemos atendido casos con infecciones de grupos de servidores entre 10 y más de 100. Además, ya en el pasado hemos podido confirmar la <a href="https://blog.csiete.org/2016/04/screenshots-en-shodan-y-la-importancia.html">información que podría obtener un atacante al buscar servicios RDP usando plataformas como shodan</a>.<br />
<br />
En américa del sur, Brasil es el país con más servicios expuestos, seguido por Colombia, Argentina y Chile.<br />
<br />
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi_a6HmQtg6TJxwBGn3PHJIlRn3SQ0K3JMg6spFpLxb8ErsQNs6YRdZGkPIdxxGf0_FtHmkFEfgB63dQ5Vov8Pm5qqm8NDFwWuUmEH4R3OvsLPgraevexjvkc8cY4Xe3M62tY5dZ1HBRJAO/s1600/rdp_south_america.JPG" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" data-original-height="478" data-original-width="1457" height="130" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi_a6HmQtg6TJxwBGn3PHJIlRn3SQ0K3JMg6spFpLxb8ErsQNs6YRdZGkPIdxxGf0_FtHmkFEfgB63dQ5Vov8Pm5qqm8NDFwWuUmEH4R3OvsLPgraevexjvkc8cY4Xe3M62tY5dZ1HBRJAO/s400/rdp_south_america.JPG" width="400" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Puertos RDP expuestos en países de América del Sur</td></tr>
</tbody></table>
<br />
<br />
Para América del Norte, Estados Unidos y Canadá se llevan el mayor porcentaje; pero México, Costa Rica, Panamá y República Dominicana también están presentes con altos números.<br />
<br />
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg3ZoekBj-TKwtRaNI4JnNVGfFd0avs-Me1WHhgu3-WyOBaYPtU08e9s1RbfonWIvtHoaEowjVdD2lHGxrjjlsvygigjq_B0PAb_exL83IyjsAfR7aYlK8sH6MdQjoEHieaqRSwaSH3Wqlt/s1600/rdp_north_america.JPG" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" data-original-height="481" data-original-width="1449" height="132" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg3ZoekBj-TKwtRaNI4JnNVGfFd0avs-Me1WHhgu3-WyOBaYPtU08e9s1RbfonWIvtHoaEowjVdD2lHGxrjjlsvygigjq_B0PAb_exL83IyjsAfR7aYlK8sH6MdQjoEHieaqRSwaSH3Wqlt/s400/rdp_north_america.JPG" width="400" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Puertos RDP expuestos en América del Norte</td></tr>
</tbody></table>
<br />
<b>Controles débiles en la gestión de usuarios</b><br />
<br />
Aunque el principal inconveniente se centra en la exposición descontrolada de los servicios, permitiendo a atacantes consultarlos y atacarlos de forma masiva, hemos identificando otros graves problemas en la gestión de usuarios, que facilitan la actividad de los atacantes:<br />
<br />
<br />
<ul>
<li>Falencias en procedimientos de In-activación de usuarios por novedades administrativas</li>
<li>Re-activación con contraseñas por defecto, contraseñas débiles.</li>
<li>Parámetro de “cambio obligatorio en primer inicio de sesión” desactivado</li>
<li>Ausencia de políticas de bloqueo por máximo de intentos de acceso.</li>
<li>Usuarios de dominio con altos privilegios autorizados para acceso mediante RDP.</li>
</ul>
<br />
Estas ausencias de controles, sumados a problemas de gestión de parches y actualizaciones, hacen de este escenario un caldo de cultivo para atacantes preparados y dispuestos a infectar todo a lo que tengan alcance.<br />
<br />
<br />
<b>Ataques a RDP en la región</b><br />
<br />
A la fecha, el <a href="https://cybermap.kaspersky.com/stats/">portal de monitoreo de amenazas de Kaspersky Lab</a> confirma el incremento de ataques de red haciendo uso de fuerza bruta a puertos RDP, registrando cuatro (4) ataques diferentes dirigidos a RDP en el TOP10 de amenazas globales.<br />
<br />
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhNds0r0wgEpg6gORr8q2qE5zmfC0vp0_uqPVe3kt6kNWHxU2arDujd3yRkwxnUbu1OQkCkE2gc2II6T9uwZsGdFO0Kp3aqhifRriwN_0nf5F7cytXNm4N4zpX64pYOs51zweGOFo_kBnuk/s1600/rdp_stats.jpg" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" data-original-height="383" data-original-width="1600" height="95" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhNds0r0wgEpg6gORr8q2qE5zmfC0vp0_uqPVe3kt6kNWHxU2arDujd3yRkwxnUbu1OQkCkE2gc2II6T9uwZsGdFO0Kp3aqhifRriwN_0nf5F7cytXNm4N4zpX64pYOs51zweGOFo_kBnuk/s400/rdp_stats.jpg" width="400" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Top10 de ataques de red a nivel Global</td></tr>
</tbody></table>
<br />
<br />
Además, países como Suriname, Chile, Perú y Paraguay se encuentran en el TOP20 de países más a atacados a nivel mundial<br />
<br />
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh3ZGxUkNHPHXbiLestej9mckm7MjdUyFI_PC1gROyaoa9dyA6DdUEevD13JHBqmAqm2eDMhqcUbrhu6xr1jSiipqiA1lYhRD5zmSvIgYBqo_vruP4tjTiiR8vVqyaltqhNnO4J27SKnhtp/s1600/stats.jpg" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" data-original-height="685" data-original-width="1600" height="171" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh3ZGxUkNHPHXbiLestej9mckm7MjdUyFI_PC1gROyaoa9dyA6DdUEevD13JHBqmAqm2eDMhqcUbrhu6xr1jSiipqiA1lYhRD5zmSvIgYBqo_vruP4tjTiiR8vVqyaltqhNnO4J27SKnhtp/s400/stats.jpg" width="400" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Top20 países atacados a nivel Global.</td></tr>
</tbody></table>
<br />
<b>Conclusiones</b><br />
<br />
<br />
<ul>
<li>La amenaza ha sido confirmada, diferentes <a href="https://nakedsecurity.sophos.com/2017/11/15/ransomware-spreading-hackers-sneak-in-through-rdp/">compañías de seguridad</a> y organismos de control en la región lo han advertido y es necesario evaluar los servicios expuestos en Internet en busca de debilidades que abran puertas a atacantes enfocados en comprometer los activos digitales.</li>
<li>La amenaza de Ransomware se esta recuperando y los grupos detrás de estos ataques siguen mejorando su accionar, para tener un mayor impacto y garantizar el pago del rescate.</li>
<li>Es importante tener en cuenta que el Ransomware no es la única amenaza que se despliega mediante este tipo de ataques. Un atacante con motivaciones suficientes, desplegará otras amenazas silenciosas con el fin de robar información o acceder a recursos críticos de la compañía.</li>
<li><b>Es momento de tomar acción, evalúa tus servicios expuestos y asegúrate de que solamente quienes deban acceder puedan llegar a ellos. No esperes a ser una víctima más de la "crónica de una infección anunciada"</b>.</li>
</ul>
<br />
<br />
<br />
<br />
<br />Eduardo Chavarro Ovallehttp://www.blogger.com/profile/11537520679484769400noreply@blogger.com0tag:blogger.com,1999:blog-3826304095550193648.post-12575206206048003592019-02-25T11:23:00.002-08:002019-02-25T11:38:05.083-08:00Deep Learning - Identificando APKs maliciosasUno de los libros más interesantes que leí en 2018 fue <a href="https://nostarch.com/malwaredatascience">Malware Data Science</a> de Joshua Saxe y Hillary Sanders, un interesante recorrido por la aplicación de modelos de <a href="https://es.wikipedia.org/wiki/Aprendizaje_autom%C3%A1tico">Machine Learning</a> y <a href="https://es.wikipedia.org/wiki/Aprendizaje_profundo">Deep Learning</a> para construir un sistema capaz de identificar binarios maliciosos y clasificarlos de acuerdo al tipo de APT al que corresponden. EL libro se concentra en archivo <a href="https://es.wikipedia.org/wiki/Portable_Executable">Portables Ejecutables</a>, es decir, archivos ejecutables de Microsoft Windows, así que decidí empezar a evaluar habilidades creando un modelo básico de detección de aplicaciones maliciosas para sistemas Android.<br />
<br />
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjfZ1ro53W4uF7fkVLGCWxtYXWGOjtmjpsqv-08bkjVPJUyPqM92OlP6w-v2n4B31qKNAp7fTLFtzs4sdUqFvKpTyvpgD0MMXS0XV9-jd2YB76N3CVI3ufjmvvJbgtUNOE8F1pn3oG6Jr3D/s1600/evaluation_ML.jpg" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" data-original-height="168" data-original-width="1261" height="52" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjfZ1ro53W4uF7fkVLGCWxtYXWGOjtmjpsqv-08bkjVPJUyPqM92OlP6w-v2n4B31qKNAp7fTLFtzs4sdUqFvKpTyvpgD0MMXS0XV9-jd2YB76N3CVI3ufjmvvJbgtUNOE8F1pn3oG6Jr3D/s400/evaluation_ML.jpg" width="400" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Usando DL para detectar archivos (APK) maliciosos de Android</td></tr>
</tbody></table>
<br />
<a name='more'></a><br />
<b>Determinando las entradas y salidas</b><br />
<br />
Empezamos por crear un set de datos con la información que utilizaríamos como entradas y salidas para el modelo que implementaremos. Por tratarse de un primer intento, vamos a realizar los siguientes pasos para construir nuestro set de datos:<br />
<br />
1. Obtener muestras de archivos APK que sean identificados como maliciosos y benignos para que nuestro sistema tenga la habilidad de analizarlos y aprender de ellos. Para esto usamos <a href="https://www.virustotal.com/gui/">VirusTotal </a>y un <a href="https://github.com/edchavarro/MaliciousAPK/blob/master/APK_Analyzer/vt_request.py">script </a>de automatización que obtiene los siguientes datos de cada muestra: hash MD5, Número de motores que lo detectan, veredicto para el <a href="http://free.kaspersky.com/">antivirus Kaspersky</a> (<i>Podríamos usar otros, pero este es suficientemente confiable para mi</i> ;) ) y la última fecha de análisis. Este último dato no es muy importante en este momento, pero tal vez a futuro sea importante.<br />
<div>
<br /></div>
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjtg3VFyQRyseHji3WCIOfrm2Tibc9uOZgYaYCO9XNKmBhucuSSWQDbw0GSWokL_mmlLYQyVUZhim8UQKYV7pCDJVVSNwAdnCyq2hsTX1mFn2bBMml6p0oqgQ03pEY9UdFf3-YmD5ssgmaX/s1600/python_script.jpg" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" data-original-height="68" data-original-width="1073" height="25" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjtg3VFyQRyseHji3WCIOfrm2Tibc9uOZgYaYCO9XNKmBhucuSSWQDbw0GSWokL_mmlLYQyVUZhim8UQKYV7pCDJVVSNwAdnCyq2hsTX1mFn2bBMml6p0oqgQ03pEY9UdFf3-YmD5ssgmaX/s400/python_script.jpg" width="400" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Recolectando información desde VT</td></tr>
</tbody></table>
<div>
<br /></div>
2. Desarrollar un <a href="https://github.com/edchavarro/MaliciousAPK/blob/master/APK_Analyzer/apk_analyzer.sh">script </a>que extraiga de cada APK datos como el nombre del paquete y los permisos requeridos para funcionar en Android, esto, haciendo uso de <a href="https://elinux.org/Android_aapt#permissions">aapt</a>. Además, junto con la información obtenida de VT, almacene los resultados en un recurso específico, para este caso usamos una base de datos sqlite.<br />
<div>
<br /></div>
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiYURxXjGlBv9DTf4FdrAlh4-wuvR-FFbeV1jRczJK2teohYhjOwg8GWChIZl_K3xGqkBshD96Nq5hXHMeCesvPDjthjqRsI5F8cMx_B80XUtYOqB65y3C0X3BsA-6lcsYZXB_wpFzGubBc/s1600/apk_analyzer.jpg" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" data-original-height="87" data-original-width="876" height="38" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiYURxXjGlBv9DTf4FdrAlh4-wuvR-FFbeV1jRczJK2teohYhjOwg8GWChIZl_K3xGqkBshD96Nq5hXHMeCesvPDjthjqRsI5F8cMx_B80XUtYOqB65y3C0X3BsA-6lcsYZXB_wpFzGubBc/s400/apk_analyzer.jpg" width="400" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Analizando la información usando un script en bash</td></tr>
</tbody></table>
<div>
<br />
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi9P4EYBjusjuGlH8dknQtljOdETEBL1nZ-BykiIzIfWAv1jEZuBZ5o8HUbR696MjkKua1rZ7gYQIYa18pRP23UhXnqYs5V7Xuu-QOLVCbqUqhKEs_AyXX6dy_XX9MscaoAjZUjsXEmXJt1/s1600/sqlite_results.jpg" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" data-original-height="560" data-original-width="871" height="256" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi9P4EYBjusjuGlH8dknQtljOdETEBL1nZ-BykiIzIfWAv1jEZuBZ5o8HUbR696MjkKua1rZ7gYQIYa18pRP23UhXnqYs5V7Xuu-QOLVCbqUqhKEs_AyXX6dy_XX9MscaoAjZUjsXEmXJt1/s400/sqlite_results.jpg" width="400" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Información recolectada de cada APK, almacenada en sqlite. </td></tr>
</tbody></table>
<br /></div>
<div>
3. Finalmente, concentrar toda la información en un formato fácil de manejar y que pueda alimentar nuestro sistema, en este caso usaremos CSV como formato. Dado que la información se encontraba almacenada en un archivo sqlite, se extrajeron a un archivo csv usando los siguientes comandos:<br />
<blockquote class="tr_bq">
sqlite3 androsamples.db<br />
sqlite>.output androsamples.csv<br />
sqlite>.mode csv<br />
sqlite>select * from androsamples;<br />
sqlite>.quit</blockquote>
<div>
Una vez obtenida y concentrada la información, obtenemos nuestro <a href="https://github.com/edchavarro/MaliciousAPK/blob/master/DataSet_AndroSamples.csv">dataset</a>, conformado por 7 campos y 1403 registros. Es un valor muy bajo para tratar de entrenar un sistema altamente efectivo, pero es suficiente para entender las necesidades del modelo a entrenar. </div>
<div>
<br /></div>
<div>
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhtFXTR_1HC5O5GJS5SxHr4UJx7fBW0T20IHsdnW-4wiqyH3uIag96dQBFxrnlrPOBQfymUW9p41O78FOivZG4-BXYo-kQ1mbquCvJVlJ4NFLa5J6Du6LXlzmzMrcx4aE4f_LVB4JY1I_7I/s1600/dataset_csv.jpg" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" data-original-height="541" data-original-width="1600" height="135" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhtFXTR_1HC5O5GJS5SxHr4UJx7fBW0T20IHsdnW-4wiqyH3uIag96dQBFxrnlrPOBQfymUW9p41O78FOivZG4-BXYo-kQ1mbquCvJVlJ4NFLa5J6Du6LXlzmzMrcx4aE4f_LVB4JY1I_7I/s400/dataset_csv.jpg" width="400" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Dataset configurado con 1403 archivos APK descargados de VT</td></tr>
</tbody></table>
<br />
<br /></div>
<div>
<b>ETL - Extraer, Transformar y Cargar</b></div>
<div>
<br />
Una vez creado y verificado el <a href="https://github.com/edchavarro/MaliciousAPK/blob/master/DataSet_AndroSamples.csv">dataset</a>, confirmando que todos los registros cuentan con un valor para el campo permissions y un valor para el campo positive, es momento de cargarlo en nuestro sistema, definir un lenguaje y almacenar la información para que sea fácilmente accedida por cada una de las funciones y modelos propuestos. Para esto, aprovechamos el acceso <a href="https://www.ibm.com/communities/analytics/watson-analytics-blog/important-information-about-watson-analytics-freemium-edition/">gratuito de <span id="goog_1234377941"></span>IBM Watson</a><a href="https://www.blogger.com/"><span id="goog_1234377942"></span></a> ya que nos permite cargar información, compilar el o los modelos con lenguajes como python, R, Scala y C.<br />
<br />
Para este caso he escogido python ya que cuenta con el mayor número de librerías para DL y ML, además es uno de los que mejor sé manejar.<br />
<br />
Empezamos por crear un <a href="https://dataplatform.cloud.ibm.com/docs/content/analyze-data/creating-notebooks.html">Notebook de Jupyter dentro de Watson</a>, esto nos permitirá incluir código, compilarlo y adicionalmente agregar comentarios entre cada pieza de código.<br />
<br />
Primero cargamos el archivo csv para poder accederlo desde nuestro notebook, tratarlo y convertirlo en un formato más fácil de usar dentro de la plataforma, en este caso creamos un <a href="https://arrow.apache.org/docs/python/parquet.html">parquet</a>, formato de Apache que nos facilita cargar rápidamente los datos dentro de un dataframe para tener un acceso más ágil con las librerías pandas y numpy.<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
</div>
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgZTqD46w3LFjpOVK_ydF3GjzGgYkyCTHJeYeN5K56HwH3GPi1mfb7uVTe2HHHyBW7mzG4prJ0iZSLMP5LgW-NVMWlkhAp9AJAeTRTJoZvtJwBdjKSEGsjPp4kenq0QpC8TH0SlcqEikEcQ/s1600/parquet.jpg" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" data-original-height="806" data-original-width="1266" height="253" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgZTqD46w3LFjpOVK_ydF3GjzGgYkyCTHJeYeN5K56HwH3GPi1mfb7uVTe2HHHyBW7mzG4prJ0iZSLMP5LgW-NVMWlkhAp9AJAeTRTJoZvtJwBdjKSEGsjPp4kenq0QpC8TH0SlcqEikEcQ/s400/parquet.jpg" width="400" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">creando un elemento parquet para acceso a la información</td></tr>
</tbody></table>
<div class="separator" style="clear: both; text-align: center;">
</div>
<div class="separator" style="clear: both; text-align: center;">
</div>
<br />
El código simplemente usa el archivo csv de nuestro dataset, se conecta a su contenido usando unas credenciales creadas por el mismo Watson, guarda el contenido en formato parquet con el nombre apk_malicious.parquet y finalmente lo carga en el Dataframe df_apk para empezar a trabajarlo de acuerdo a las necesidades. Este dataframe contiene la información y podemos verificar su estructura y contenido con los comandos printschema y lcon sentencias select o groupby:<br />
<br />
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgMYyvOSSV4jNeSX7JIHO9YfVpVa6t3FJOpfAU7om3Hk0vseGLzIL1up_FLY1fOosCEj-cz4l3tFTM-xdlGAbyd_HLGpsSlqsSqOryvIyWmCWBmquUIsknp2Dy6j6z-gbD6XGH3pM5pV37g/s1600/df_info.jpg" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" data-original-height="605" data-original-width="874" height="276" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgMYyvOSSV4jNeSX7JIHO9YfVpVa6t3FJOpfAU7om3Hk0vseGLzIL1up_FLY1fOosCEj-cz4l3tFTM-xdlGAbyd_HLGpsSlqsSqOryvIyWmCWBmquUIsknp2Dy6j6z-gbD6XGH3pM5pV37g/s400/df_info.jpg" width="400" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Estructura y contenido del dataframe</td></tr>
</tbody></table>
<br />
Podemos confirmar la distribución de la información de acuerdo a diferentes campos, por ejemplo, validamos que los datos contenidos se distribuyen entre los valores 0 y 1 para el campo positive (0: benigno, 1: malicioso):<br />
<br />
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjBILoVFZhj7ZglQCl8TuBXCc2NAQ73DXSMB47lb9pBjKPLg-PI7z_hs0e3zZSb64dwXjiP6lJMVGBB2JN2dhmiKe57GHTiGIZDmeyeaEUabb68IW-1WiIC5aUsTf0nweqBQNZjJojjvLiA/s1600/positives.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" data-original-height="259" data-original-width="389" height="266" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjBILoVFZhj7ZglQCl8TuBXCc2NAQ73DXSMB47lb9pBjKPLg-PI7z_hs0e3zZSb64dwXjiP6lJMVGBB2JN2dhmiKe57GHTiGIZDmeyeaEUabb68IW-1WiIC5aUsTf0nweqBQNZjJojjvLiA/s400/positives.png" width="400" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Dsitribución de las muestras de acuerdo al tipo de archivo benigno/malicioso</td></tr>
</tbody></table>
También podemos verificar otra de las distribuciones basados en el resultados verdict correspondiente al tipo de malware clasificado por Kaspersky Lab:<br />
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjV1Vxe1WuVlEj0wR9NvJ6pnCbM8nbXjU_SNSAP_JHCj4uCvka5sl1YKx9FSi37aht7IwcqoTlyhSS6Qs8XNFKjpFNKzdcf3aikRC4m28V0dew1XI-qCqFbQT5Ej_f1cqD1oCpnJP1WMKie/s1600/verdicts.png" imageanchor="1" style="margin-left: auto; margin-right: auto; text-align: center;"><img border="0" data-original-height="1163" data-original-width="589" height="400" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjV1Vxe1WuVlEj0wR9NvJ6pnCbM8nbXjU_SNSAP_JHCj4uCvka5sl1YKx9FSi37aht7IwcqoTlyhSS6Qs8XNFKjpFNKzdcf3aikRC4m28V0dew1XI-qCqFbQT5Ej_f1cqD1oCpnJP1WMKie/s400/verdicts.png" width="202" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Distribución de muestras de acuerdo al veredicto.</td></tr>
</tbody></table>
Es momento de crear nuevos campos que ayuden a nuestro modelo en el procedimiento. En primer lugar el campo verdict, de tipo string y con valores finitos puede ser usado como un campo numérico que contenga un indice par cada valor de verdict, para esto usamos la función StringIndexer que se encarga de crear un indice por cada valor y luego creamos un nuevo campo (label) que contenga el valor del indice para cada registro:<br />
<br />
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiYr0QBCmJX-L4RCZ4RDVKWlAd9JV5hjuCScitW55ofh6KRXunWD8pKSHZgk7UuEzL9stN9sL_RxdDyfzPJcJHTHhvvPsooJ7oXoaBKya3cSI6j9lsuSS9iKyNjWbeTqPy6bUoTWLq5RFz8/s1600/verdict_label.jpg" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" data-original-height="616" data-original-width="792" height="310" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiYr0QBCmJX-L4RCZ4RDVKWlAd9JV5hjuCScitW55ofh6KRXunWD8pKSHZgk7UuEzL9stN9sL_RxdDyfzPJcJHTHhvvPsooJ7oXoaBKya3cSI6j9lsuSS9iKyNjWbeTqPy6bUoTWLq5RFz8/s400/verdict_label.jpg" width="400" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Nuevo campo label creado a partir del campo verdict</td></tr>
</tbody></table>
<br />
<br />
<b>Entradas y salidas</b><br />
<br />
Es momento de tomar decisiones, cuáles serán las entradas y las salidas de nuestro sistema. Para el primer intento, vamos a utilizar los permisos de cada aplicación como entrada y el valor de positivo para las salidas.<br />
<blockquote class="tr_bq" style="background-color: #f7f7f7; border-radius: 2px; border: none; box-sizing: border-box; color: #333333; font-size: 14px; line-height: inherit; overflow-wrap: break-word; overflow: auto; padding: 0px; white-space: pre-wrap; word-break: break-all;">
<span class="n" style="box-sizing: border-box;">X</span> <span class="o" style="box-sizing: border-box; color: #666666;">=</span> <span class="n" style="box-sizing: border-box;">indexed</span><span class="o" style="box-sizing: border-box; color: #666666;">.</span><span class="n" style="box-sizing: border-box;">select</span><span class="p" style="box-sizing: border-box;">(</span><span class="s1" style="box-sizing: border-box; color: #ba2121;">'permissions'</span><span class="p" style="box-sizing: border-box;">)</span><span class="o" style="box-sizing: border-box; color: #666666;">.</span><span class="n" style="box-sizing: border-box;">toPandas</span><span class="p" style="box-sizing: border-box;">()</span><span class="n" style="box-sizing: border-box;">y</span> <span class="o" style="box-sizing: border-box; color: #666666;">=</span> <span class="n" style="box-sizing: border-box;">indexed</span><span class="o" style="box-sizing: border-box; color: #666666;">.</span><span class="n" style="box-sizing: border-box;">select</span><span class="p" style="box-sizing: border-box;">(</span><span class="s1" style="box-sizing: border-box; color: #ba2121;">'positives'</span><span class="p" style="box-sizing: border-box;">)</span><span class="o" style="box-sizing: border-box; color: #666666;">.</span><span class="n" style="box-sizing: border-box;">toPandas</span><span class="p" style="box-sizing: border-box;">()</span></blockquote>
<br />
X contiene un dataframe únicamente con los valores de la columna permissions y y los valores de positives. X contiene nuevamente valores finitos de tipo string, así que debemos convertirlos a un formato numérico que facilite el proceso a nuestro modelo, para esto usamos CountVectorizer que se encargará de crear una matriz con tantas columnas como permisos existan en todo el dataset y asignará un valor 1 a aquellos permisos que están habilitados en cada registro. Por su parte para y, contamos con dos valores 0 y 1 (benigno y malicioso), par este dataframe haremos uso de la función to_categorical de tal forma que se convierta en un vector bi dimensional que almacenará la probabilidad de que los permisos sean identificados como 0 o 1. Finalmente usaremos la función train_test_split para los valores de X y y, creando 4 nuevos conjuntos de datos, X_train y X_test, valroes de entrada con los que entrenaremos y probaremos el modelo y y_train, y_test, valores de salida para cada conjunto de entrada. Contaremos entonces con 4 dataframes con las siguientes formas para el dataset:<br />
<br />
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjYzzm54L6-EW9LV0fPqjx2_d6mVWdFrHDMIxnjqczlzcDGdQO6gq7SCi6cCzCtQMVuIV8gYMKzYvIX9rMXP3kEVFYnQmV0Z7YCllkE414xeY-c8-MPLEfVKE6mnJ60410OR57_zGlwnd0z/s1600/train_test.jpg" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" data-original-height="198" data-original-width="214" height="185" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjYzzm54L6-EW9LV0fPqjx2_d6mVWdFrHDMIxnjqczlzcDGdQO6gq7SCi6cCzCtQMVuIV8gYMKzYvIX9rMXP3kEVFYnQmV0Z7YCllkE414xeY-c8-MPLEfVKE6mnJ60410OR57_zGlwnd0z/s200/train_test.jpg" width="200" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Configuración de los datos de entrenamiento y prueba (X,y)</td></tr>
</tbody></table>
<br />
<b>Creando nuestro modelo</b><br />
<br />
Para este caso seleccione un modelo <a href="https://keras.io/models/sequential/">Sequential</a>, existen muchos otros modelos, pero tratándose de una salida con dos clases, este es uno de los modelos más sencillos y con buenos resultados.<br />
<br />
Nuestro modelo recibirá 1955 entradas que corresponden al número de permisos identificados en el dataset y tendrá solo 2 salidas que corresponden a los valores de benigno o malicioso y contará con 6 capaz diferentes encargadas de definir diferentes caminos para llegar a los valores de salida y.<br />
<br />
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgZqEZPQRsRD77LTBPAsT8ItZgY2nN6ChjyhGTToBbAme2tjGd-KRMIqmWMzpra0AFRwOnFWwABN_8apGr3YIl-Mm-WWe_QihuU7EdmNOpPL_eX-QAFxMZLJH6xEQo6UVbi_8k66ieqOIZc/s1600/model_layers.jpg" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" data-original-height="586" data-original-width="993" height="235" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgZqEZPQRsRD77LTBPAsT8ItZgY2nN6ChjyhGTToBbAme2tjGd-KRMIqmWMzpra0AFRwOnFWwABN_8apGr3YIl-Mm-WWe_QihuU7EdmNOpPL_eX-QAFxMZLJH6xEQo6UVbi_8k66ieqOIZc/s400/model_layers.jpg" width="400" /></a></td></tr>
<tr><td class="tr-caption" style="font-size: 12.8px;">Definición del modelo sequential</td></tr>
</tbody></table>
Una vez creado el modelo es momento de validar los valores de exactitud (accuracy) y perdida (loss). Entre mayor sea nuestra exactitud, nuestro sistema dará mejores resultados. Al entrenar nuestro modelo verificamos que la exactitud esta por encima del 90%, un buen resultado para nuestro primer intento:<br />
<br />
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjAELUUdrXsLcxjK9zwhfIx4gIW64pkxZ61JDD3mgeisXIuB4onfeGEQwDxOd52M8xn_wCuUtw9OcbBIf_IaKK4aogAC-aNM0sm4nf2bDa2on1SvKjsB27-LZQsP_sUIwfZbA_dtdVcYpyq/s1600/accuracy.jpg" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" data-original-height="239" data-original-width="1215" height="77" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjAELUUdrXsLcxjK9zwhfIx4gIW64pkxZ61JDD3mgeisXIuB4onfeGEQwDxOd52M8xn_wCuUtw9OcbBIf_IaKK4aogAC-aNM0sm4nf2bDa2on1SvKjsB27-LZQsP_sUIwfZbA_dtdVcYpyq/s400/accuracy.jpg" width="400" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Accuracy superior a 90%</td></tr>
</tbody></table>
<br />
Ahora es cuestión de verificar y predecir los resultados con X_test como entrada. Llamamos la función predict de nuestro modelo enviando como parámetros X_test:<br />
<br />
<blockquote class="tr_bq" style="background-color: #f7f7f7; border-radius: 2px; border: none; box-sizing: border-box; color: #333333; font-size: 14px; line-height: inherit; overflow-wrap: break-word; overflow: auto; padding: 0px; white-space: pre-wrap; word-break: break-all;">
<span class="n" style="box-sizing: border-box;">y_pred_class</span> <span class="o" style="box-sizing: border-box; color: #666666;">=</span> <span class="n" style="box-sizing: border-box;">model_sv</span><span class="o" style="box-sizing: border-box; color: #666666;">.</span><span class="n" style="box-sizing: border-box;">predict</span><span class="p" style="box-sizing: border-box;">(</span><span class="n" style="box-sizing: border-box;">X_test</span><span class="p" style="box-sizing: border-box;">)</span></blockquote>
Ahora validamos las gráficas correspondientes a y_test y la comparamos con los resultados de y_pred_class:<br />
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjl1xZOd0DgzjIfqEue5unxWufYJBzy64Ktq7B-W6_pqU25LYkj7o_cAN_fpweruqvS6yLraaovm3r0oZ5ZiJuFtbo09H1gcYnK52lqE5_RZdvqn2mKNuRd_ykBNNRqRVwqkEFqlTP7CLTf/s1600/y_test1.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" data-original-height="259" data-original-width="383" height="216" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjl1xZOd0DgzjIfqEue5unxWufYJBzy64Ktq7B-W6_pqU25LYkj7o_cAN_fpweruqvS6yLraaovm3r0oZ5ZiJuFtbo09H1gcYnK52lqE5_RZdvqn2mKNuRd_ykBNNRqRVwqkEFqlTP7CLTf/s320/y_test1.png" width="320" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Distribución de y_test (Valores obtenidos desde el dataset original)</td></tr>
</tbody></table>
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhao-Q1imehTFe10lIRuSWdkLmhGaXYxD6ekHVjaKvkt391hJt-_RUkKxLXxSEFXFiA49naTX-igvAhv9KIk0o3N1O3Ry-x-OI6QZiJQhx29uOIbdKEjEaStrBf7nJA_NReVY9rUSJHeMpP/s1600/y_pred_class1.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" data-original-height="259" data-original-width="383" height="216" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhao-Q1imehTFe10lIRuSWdkLmhGaXYxD6ekHVjaKvkt391hJt-_RUkKxLXxSEFXFiA49naTX-igvAhv9KIk0o3N1O3Ry-x-OI6QZiJQhx29uOIbdKEjEaStrBf7nJA_NReVY9rUSJHeMpP/s320/y_pred_class1.png" width="320" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Distribución de y_pred_class (Valores obtenidos al aplicar la función predict)</td></tr>
</tbody></table>
<div class="separator" style="clear: both; text-align: justify;">
<span style="text-align: left;">Podemos ver en la distribución que las gráficas son similares para ambos casos; sin embargo, para los datos resultado de la predicción, se identifican distribuciones con valores entre 0 y 1. SI clasificamos esto valores como </span><b style="text-align: left;">0 >= benigno <= 0.5</b><span style="text-align: left;"> y </span><b style="text-align: left;">0.5 > malicioso <=1</b><span style="text-align: left;">, encontramos que la distribución es muy similar, esto confirma que contamos con un sistema bastante efectivo para detectar archivos maliciosos basado en los permisos de cada APK.</span></div>
<div style="text-align: justify;">
<br /></div>
Construimos un función y probamos con diferentes valores del dataset para confirmar la respuesta:<br />
<br />
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgEBmApKnJTTsKGyiRz_9puIyh5d_5QgccJFu13dM-fu7ndDDYB54XrBb7m5J9HFCydpPw7mrv8rFT0aBOp4XpaEWQM2PxNtv8kQCWvHFg1RecQeBGs6J0s1COJissqJsNWww5R2ruavyr8/s1600/my_evaluate_positives.jpg" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" data-original-height="399" data-original-width="1268" height="100" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgEBmApKnJTTsKGyiRz_9puIyh5d_5QgccJFu13dM-fu7ndDDYB54XrBb7m5J9HFCydpPw7mrv8rFT0aBOp4XpaEWQM2PxNtv8kQCWvHFg1RecQeBGs6J0s1COJissqJsNWww5R2ruavyr8/s320/my_evaluate_positives.jpg" width="320" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Evaluación del modelo basado en el valor de positivo</td></tr>
</tbody></table>
<div class="separator" style="clear: both; text-align: center;">
<br /></div>
<b>Cambiando de salidas</b><br />
<br />
Ya confirmamos que podemos crear un modelo que nos confirme si es malicioso o beningno, ahora tratemos de modificar el valor de y para algo más complicado. El objetivo es que nuestra salida ahora trate de confirmar el tipo de verdict o veredicto de acuerdo a los permisos habilitados para cada apk.<br />
<br />
Para este segundo caso, usaremos el campo label correspondiente a los indices por cada valor de verdict para el dataframe y, lo llamaremos yv (y basado en verdict). Seguimos la misma estructura del ejercicio anterior y confirmamos que ahora contamos con los vectores yv_test y yv_train con un valor de 138 para la segunda dimensión.<br />
<br />
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhCQg2cPh0HWk-hHL7KLA764LmaXeYkYNNHQvueb93g8QknWIkOnbDZgspZTIxgXke2ay-L2_YGyq9aoTh27Ly0q7dshTVFyespHFlCN5ycjwM_VWi2K5lOO4YVVOvP6DGcfYbnFhsHlGBo/s1600/new_y.jpg" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" data-original-height="473" data-original-width="1260" height="150" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhCQg2cPh0HWk-hHL7KLA764LmaXeYkYNNHQvueb93g8QknWIkOnbDZgspZTIxgXke2ay-L2_YGyq9aoTh27Ly0q7dshTVFyespHFlCN5ycjwM_VWi2K5lOO4YVVOvP6DGcfYbnFhsHlGBo/s400/new_y.jpg" width="400" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Nueva salida y basada en el campo verdict</td></tr>
</tbody></table>
<br />
Con nuestros nuevos valores de salida, entrenamos el mismo sistema. Vemos que el valor de accuracy se decremento a menos de 80%:<br />
<blockquote class="tr_bq" style="background-color: #f7f7f7; border-radius: 2px; border: none; box-sizing: border-box; color: #333333; font-size: 14px; line-height: inherit; overflow-wrap: break-word; overflow: auto; padding: 0px; white-space: pre-wrap; word-break: break-all;">
<span class="n" style="box-sizing: border-box;">yv_pred_class</span> <span class="o" style="box-sizing: border-box; color: #666666;">=</span> <span class="n" style="box-sizing: border-box;">model_svv</span><span class="o" style="box-sizing: border-box; color: #666666;">.</span><span class="n" style="box-sizing: border-box;">predict</span><span class="p" style="box-sizing: border-box;">(</span><span class="n" style="box-sizing: border-box;">Xv_test</span><span class="p" style="box-sizing: border-box;">)</span></blockquote>
<br />
Es momento de predecir los resultados haciendo uso de los valores en X_test, para este segundo caso Xv_test y compara los resultados de yv_pred_class y yv_test:<br />
<br />
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjcnxWjjjL5oCegcoMF1SoHd5x3NqdHsWAdDue7LuX6iU-fVE5YyhQJqbc8ytt0mKpdy9qgWEXigkc6rZYUp2sw62sQSHsDvTCDQupFKtvlhaGvPdisqi3FIQ8CHi-DmTgAQIl_2FbPPh8J/s1600/y_test2.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" data-original-height="259" data-original-width="383" height="216" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjcnxWjjjL5oCegcoMF1SoHd5x3NqdHsWAdDue7LuX6iU-fVE5YyhQJqbc8ytt0mKpdy9qgWEXigkc6rZYUp2sw62sQSHsDvTCDQupFKtvlhaGvPdisqi3FIQ8CHi-DmTgAQIl_2FbPPh8J/s320/y_test2.png" width="320" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Distribución de yv_test (Valores originales tomados del dataset)</td></tr>
</tbody></table>
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><img border="0" data-original-height="259" data-original-width="383" height="216" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhu9hv2aATqGPwn_iJhuCCi9IQYHIrOlG1CxaqTiDxpufW5-rEucbG2Og3bFwuT-bSUvI2no5qfErQwLg8ZB2mfSD8e6OgTtlbmHcY7wq6z_T7aRD7uwhsyIppzTxS1q_ABHSKgExDD7O__/s320/y_pred_class2.png" style="margin-left: auto; margin-right: auto;" width="320" /></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Distribución de yv_pred_class (Valores obtenidos al utilizar la función predict)</td></tr>
</tbody></table>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhu9hv2aATqGPwn_iJhuCCi9IQYHIrOlG1CxaqTiDxpufW5-rEucbG2Og3bFwuT-bSUvI2no5qfErQwLg8ZB2mfSD8e6OgTtlbmHcY7wq6z_T7aRD7uwhsyIppzTxS1q_ABHSKgExDD7O__/s1600/y_pred_class2.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"></a><br /></div>
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhu9hv2aATqGPwn_iJhuCCi9IQYHIrOlG1CxaqTiDxpufW5-rEucbG2Og3bFwuT-bSUvI2no5qfErQwLg8ZB2mfSD8e6OgTtlbmHcY7wq6z_T7aRD7uwhsyIppzTxS1q_ABHSKgExDD7O__/s1600/y_pred_class2.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"></a><br />
<br />
Nuevamente vemos que se mantiene la distribución y aparecen algunos valores intermedios.<br />
<div class="separator" style="clear: both; text-align: center;">
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
</div>
Finalmente, creamos una función encargada de evaluar el valor de veredicto dados unos permisos, mediante la prueba de valores existentes en el dataset nos damos cuenta que presenta resultados muy ajustados.<br />
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgtsSaIWttCn2_68cXWrjxY8wK5G20sZ9DNvfmhJIrSm0t_69ScRinKcW-VC1dDywHnRYuWYcC7wVnrBfVNV7_j-tcR65ckFjeRI6LeDJJH1sRuvaHpUycm8nAmS7s4T0gJtqMfdiQjjR99/s1600/evaluate_verdict.jpg" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" data-original-height="529" data-original-width="1295" height="162" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgtsSaIWttCn2_68cXWrjxY8wK5G20sZ9DNvfmhJIrSm0t_69ScRinKcW-VC1dDywHnRYuWYcC7wVnrBfVNV7_j-tcR65ckFjeRI6LeDJJH1sRuvaHpUycm8nAmS7s4T0gJtqMfdiQjjR99/s400/evaluate_verdict.jpg" width="400" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Evaluando el sistema basado en el veredicto</td></tr>
</tbody></table>
<div class="separator" style="clear: both; text-align: center;">
<br /></div>
<b>Estrategias DL/ML para analizar muestras</b><br />
<br />
Si cuentas con una plataforma de seguridad EndPoint no tiene mucho sentido generar este tipo de mecanismos para analizar archivos en un equipo de escritorio. Como lo describen los autores en el libro Malware Data Science, su análisis fue desarrollado debido a que cuentan con plataformas que analizan miles de archivos que se mueven por diferentes protocolos. Este podría ser el enfoque de este tipo de propuestas, en aquellas organizaciones dedicadas a prestar servicios de seguridad, manejando amplios números de muestras para analizar y que quieren enfocar sus búsquedas no solamente en los resultados del EndPoint o servicios en la nube, sino en su propia detección y clasificación.<br />
<br />
<br />
<b>Conclusiones</b><br />
<br />
<ul>
<li>Una vez analizados los dos escenarios, podemos indicar que el uso de técnicas de Machine Learning y Deep Learming nos pueden ayudar a generar sistemas que, basados en datos conocidos, nos ayuden a definir modelos capaces de clasificar aplicaciones maliciosas de acuerdo al tipo de archivo o aún más específico, el tipo de malware al que corresponde.</li>
<li>Este sistema fue entrenado con valores de prueba y una muestra muy pequeña de elementos, los resultados, a pesar de contar con una exactitud superior al 79%, no entregarán muy buenos resultados con pruebas por fuera de las analizadas en el dataset. Para mejorar estos resultados, será necesario hacer uso de universos más amplios de entrenamiento, el libro Malware Data Science usan cientos de miles de muestras tanto para entrenamiento como para prueba, garantizando mejores resultados en nuevas pruebas desconocidas.</li>
<li>De igual forma, el análisis basado únicamente en los permisos requeridos para ejecutar las aplicaciones puede no ser realmente contundente. Es importante agregar otros insumos que permitan definir más detalles basados también en archivos dex contenidos en la aplicación y que brinden más información al sistema. El script apk_<a href="http://analyzer.sh/">analyzer.sh</a> cuenta con varias líneas que están siendo exploradas para dar más información al sistema basado en las cadenas de texto (strings) contenidos en los archivos dex, también podrían incluirse <a href="https://github.com/pxb1988/dex2jar">procedimientos de de-compilación</a> para basar el análisis en el código de la aplicación, en fin, posibilidades infinitas para analizar.</li>
</ul>
<div>
Finalmente pueden consultar el Notebook completo en <a href="https://github.com/edchavarro/MaliciousAPK/blob/master/APK_Malicious.ipynb">mi repositorio de GitHub</a>. Allí, podrán ver el código y resultados completos de cada uno de los pasos generados para construir estos modelos básicos de predicción. Te animas a mejorarlos?<br />
<br />
Dejo un video donde pueden validar las funciones de evaluación para ambos modelos y ver los resultados obtenidos pasando como parámetro los permisos de las aplicaciones:<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<iframe allowfullscreen="" class="YOUTUBE-iframe-video" data-thumbnail-src="https://i.ytimg.com/vi/BWqCTgGNx-0/0.jpg" frameborder="0" height="266" src="https://www.youtube.com/embed/BWqCTgGNx-0?feature=player_embedded" width="320"></iframe></div>
<br />
<br /></div>
</div>
</div>
Eduardo Chavarro Ovallehttp://www.blogger.com/profile/11537520679484769400noreply@blogger.com0tag:blogger.com,1999:blog-3826304095550193648.post-52035789392982619392019-02-19T15:57:00.004-08:002019-02-20T08:05:00.073-08:00KAPE: Facilitando la tarea de recolectar evidenciaHace un par de días <a href="https://www.sans.org/instructors/eric-zimmerman">Erick Zimmerman, instructor certificado de SANS</a>, publicó <a href="https://binaryforay.blogspot.com/2019/02/introducing-kape.html">KAPE</a>, una herramienta para automatizar y facilitar la recolección de evidencia en sistemas operativos de Microsoft. Aunque <a href="https://ericzimmerman.github.io/#!index.md">no es la primera herramienta</a> que publica el especialista para obtener y analizar evidencia, se trata de<b> un framework dedicado a buscar artefactos forenses</b> que ayudan en el procedimiento de triage y facilitan la definición de elementos a recolectar dentro de las cada vez más amplias Teras de información contenidas en equipos y servidores. Además, esta herramienta facilita la recolección por parte de terceros no especializados en temas de análisis digital forense o en manejo de evidencia digital.<br />
<br />
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgAVh5KRmjoMA63xygIafW18I2iLmMtLZGmKXhQbbAAAwE0qzC8zaFnnh2QwJTw5OrzMsFP-q2b7yWkTjde7AmzWaOH55v0bMPFDdfMZuuNTcSqmy3oKbBfcxMOm_0ImbTrtKlEOXtCrl1J/s1600/2019-02-13_13-35-43.jpg" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" data-original-height="987" data-original-width="1600" height="197" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgAVh5KRmjoMA63xygIafW18I2iLmMtLZGmKXhQbbAAAwE0qzC8zaFnnh2QwJTw5OrzMsFP-q2b7yWkTjde7AmzWaOH55v0bMPFDdfMZuuNTcSqmy3oKbBfcxMOm_0ImbTrtKlEOXtCrl1J/s320/2019-02-13_13-35-43.jpg" width="320" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">KAPE - Una herramietna de triage para DFIR</td></tr>
</tbody></table>
<br /><br />
<a name='more'></a><b>¿Qué es KAPE?</b><br />
<br />
Como lo define el autor en <a href="https://binaryforay.blogspot.com/2019/02/introducing-kape.html">su página</a>, corresponde al acrónico de Kroll Artifact <a href="https://techterms.com/definition/parse">Parser </a>and Extractor (Extractor y parser de artefactos de la empresa Kroll) y es básicamente un programa para el <a href="https://blog.csiete.org/2015/01/triage-basico-de-malware-con-pestudio.html?q=triage">triage </a>de sistemas, requiriendo una unida de almacenamiento (Donde se identifique la raíz del sistema operativo Windows) para recolectar los artefactos forenses más relevantes para una investigación, parseandolos en pocos minutos y almacenándolos en un destino indicado -como siempre al hablar de análisis digital forense, preferiblemente un almacenamiento externo-.<br />
<br />
<br />
<b>¿Cómo usar KAPE?</b><br />
<br />
Kape cuenta con una interfaz de comandos y una interfaz gráfica, no requiere de instalación y se ejecuta en sistemas operativos Windows. Requiere de la configuración de parámetros básicos de ejecución y la selección de un módulo relacionado con el tipo de información a recolectar:<br />
<div class="separator" style="clear: both; text-align: center;">
<br /></div>
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjzhsfSJ86ttSPqPkzSfW9_E77XDWDSHr0L5PFpL_lctmVAe9azQXlkJVTjHGbMZXuPEYXhBGFJEFuqf0lsRO5QpPnk33LhnO_RK6_no2U9T1F9AVpjewRTokpWd-Kpz5nZfUl-DlNY8DO2/s1600/kape_parameters.jpg" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" data-original-height="607" data-original-width="1376" height="176" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjzhsfSJ86ttSPqPkzSfW9_E77XDWDSHr0L5PFpL_lctmVAe9azQXlkJVTjHGbMZXuPEYXhBGFJEFuqf0lsRO5QpPnk33LhnO_RK6_no2U9T1F9AVpjewRTokpWd-Kpz5nZfUl-DlNY8DO2/s400/kape_parameters.jpg" width="400" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Parámetros de la interfaz de comandos de KAPE</td></tr>
</tbody></table>
<br />
Los parámetros obligatorios requeridos para la recolección de evidencia son:<br />
<br />
<blockquote class="tr_bq">
<b>--tsource <source>:</b> Corresponde al repositorio que será analizado, puede ser el disco local C, una unidad remota donde se encuentre el sistema operativo, una unida montada a partir de una imagen E01, entre muchas otras opciones. El requisito principal es KAPE pueda encontrar la raíz del sistema para explorar y recolectar los artefactos forenses correspondientes.<br />
<b>--tdest <destination>:</b> Un recurso de almacenamiento donde se almacenará la información recolectada. Es importante recolectar la información en un recurso externo (Un dispositivo USB o un recurso de red designado para la recolección de evidencia.)<br />
<b>--target <target>:</b> El target u objetivo de configuración a usar. </blockquote>
Afortunadamente (para algunos), existe una interfaz amigable que se encarga de construir y ejecutar los comandos automáticamente, GKAPE. Esta interfaz gráfica, facilita la ejecución y recolección de evidencia, especialmente en aquellos casos donde los analistas no podemos acceder a las máquinas y requerimos el apoyo de terceros.<br />
<br />
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhte2rSr6aIpbUhaqWqODP0UKBaFOeUM7zk-m81PK6TfQzK7-F51GAytTDLfO1tikgbY8psq0rAnHHvDEVltJ_9ZXQRBhtlFjlnEdadPXh4-4PNngdBM0cpIdIZiInscQJCliufXmoPqtiw/s1600/gkape.jpg" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" data-original-height="834" data-original-width="1103" height="301" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhte2rSr6aIpbUhaqWqODP0UKBaFOeUM7zk-m81PK6TfQzK7-F51GAytTDLfO1tikgbY8psq0rAnHHvDEVltJ_9ZXQRBhtlFjlnEdadPXh4-4PNngdBM0cpIdIZiInscQJCliufXmoPqtiw/s400/gkape.jpg" width="400" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">GKAPE - Interfaz gráfica de KAPE</td></tr>
</tbody></table>
<br />
<br />
<b>Targets & Modules</b><br />
<br />
Los targets definen el tipo de información que será recolectada y pueden agrupar diferentes elementos forenses en un solo objetivo, por ejemplo, el target EvidenceOfExecution recolecta archivos relacionados con ejecución en el sistema como los elementos <a href="https://www.magnetforensics.com/computer-forensics/forensic-analysis-of-prefetch-files-in-windows/">prefetch </a>y los <a href="https://docs.microsoft.com/en-us/windows/desktop/sysinfo/registry-hives">hives </a>de registro que contienen las entradas <a href="https://forensicswiki.org/wiki/Windows_Application_Compatibility">APPCompat</a>.<br />
<br />
Por otro lado, los módulos ejecutan programas que permiten recolectar evidencia adicional, como los correspondientes a la suite de SysInternals, PSExec y sus derivados, programas para validación y obtención de evidencia en Bitlocker, entre otros, recolectando los resultados en el formato de KAPE (un log de resultados, dos logs con información de la evidencia recolectada, su fuente, fecha y firma hash, en formatos txt y csv y una carpeta que contiene los artefactos manteniendo la misma estructura donde se encontraron los archivos recolectados).<br />
<br />
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi85XzyXd3rcrIM4HiOQYwTpBGCd6nGFGXFf5G_Dm2H6cAVkcECFjXD1d7q3W_KPbVWYh15bb1jLWwQk0jSmGGHLELKTW0eFNrAtQ53vIHLgbzxeI5pOuh06y5ikrUsoBnVtPiXBgrzmJJx/s1600/File_path.jpg" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" data-original-height="444" data-original-width="932" height="190" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi85XzyXd3rcrIM4HiOQYwTpBGCd6nGFGXFf5G_Dm2H6cAVkcECFjXD1d7q3W_KPbVWYh15bb1jLWwQk0jSmGGHLELKTW0eFNrAtQ53vIHLgbzxeI5pOuh06y5ikrUsoBnVtPiXBgrzmJJx/s400/File_path.jpg" width="400" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Estructura de directorios de la evidencia recolectada</td></tr>
</tbody></table>
<br />
Al momento de escribir este blog, KAPE cuenta con 24 targets y 25 módulos, pero el autor ha confirmado que ya cuenta con más de 40 módulos que otros desarrolladores <a href="https://github.com/EricZimmerman/KapeFiles">han implementado e integrado a la herramienta</a>:<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjJPRemSumzcg86Tmq1OzlmuHim4jL3Gk76PtdPebiFfkA-bk6WUaiwf6Crc3wV77fUf-f5nkbZ5tThdpvZtWTnDAZyP9wYUhuEuUlynVoEmMlo-jxsnhmy860axF2IT22dYKl4ZYGPHQXR/s1600/modulos.JPG" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="713" data-original-width="740" height="308" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjJPRemSumzcg86Tmq1OzlmuHim4jL3Gk76PtdPebiFfkA-bk6WUaiwf6Crc3wV77fUf-f5nkbZ5tThdpvZtWTnDAZyP9wYUhuEuUlynVoEmMlo-jxsnhmy860axF2IT22dYKl4ZYGPHQXR/s320/modulos.JPG" width="320" /></a></div>
<br />
<br />
Incluso, el autor implemento un parámetro --sync, encargado de actualizar los nuevos módulos y targets desde el repositorio original en Github:<br />
<br />
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="https://pbs.twimg.com/media/DzzFWnkV4AEQHmf.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" data-original-height="753" data-original-width="792" height="304" src="https://pbs.twimg.com/media/DzzFWnkV4AEQHmf.png" width="320" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Sincronización automática de nuevos módulos de KAPE</td></tr>
</tbody></table>
<br />
<b>Importancia de KAPE para el análisis digital Forense</b><br />
<br />
El <a href="https://blog.csiete.org/2015/01/triage-basico-de-malware-con-pestudio.html?q=triage">triage </a>de evidencia es uno de los pasos más importantes en el análisis forense y la respuesta a Incidentes. La recolección de elementos básicos que brinden bastante información, agilizará la definición de la evidencia a recolectar, pasando de esperar el envío de Teras de información para desmenuzarla y posiblemente determinar que no era necesaria, a determinar mediante el análisis de unas cuantas megas de artefactos forenses si es necesario recolectar la información de un determinado dispositivo de almacenamiento, la memoria RAM o cualquier otro elemento donde se contenga evidencia digital. Es por esto que KAPE se convierte en una herramienta importante en los primeros pasos de la investigación.<br />
<br />
Mediante la ejecución de KAPE y sin requerir de la instalación de elementos adicionalas*, será posible recolectar elementos importantes en el primer análisis como los hives del registro, archivos importantes del <a href="https://docs.microsoft.com/en-us/windows/desktop/fileio/master-file-table">filesystem </a>y los logs de eventos del sistema operativo; elementos suficientes para determinar el origen de un incidente, determinar el vector de ataque y trazar las estrategias de identificación, recolección, contención y recuperación.<br />
<br />
KAPE se alínea a otras herramientas como<a href="https://accessdata.com/product-download"> FTK Imager</a>, ya que cuenta con procedimientos lo suficientemente robustos para recolectar evidencia asociada a archivos protegidos del sistema que de forma tradicional no pueden ser recolectados, esto facilita la extracción de archivos como el hive del registro de Windows, el archivo SAM entre otros.<br />
<br />
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjm0ZY_EyB1YZgTvh07voOBasuFDhA-8rSO5tDL-tUzRpRFXgAaQyK4_d6jmLkT-Tckk5xVmPq2CcFbCni5OCcJRnimqouGqirKuqCBGywnz8eV8ErclMGlgR0N-sxVdJ-FUreb6DiQ0PNN/s1600/Kape_results.jpg" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" data-original-height="900" data-original-width="1600" height="225" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjm0ZY_EyB1YZgTvh07voOBasuFDhA-8rSO5tDL-tUzRpRFXgAaQyK4_d6jmLkT-Tckk5xVmPq2CcFbCni5OCcJRnimqouGqirKuqCBGywnz8eV8ErclMGlgR0N-sxVdJ-FUreb6DiQ0PNN/s400/Kape_results.jpg" width="400" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">KAPE en acción desde la línea de comandos</td></tr>
</tbody></table>
<br />
No creas solamente lo que aquí te contamos, <a href="https://learn.duffandphelps.com/kape">puedes obtener KAPE desde el portal de KROLL</a> y verificarlo en tu propio sistema. Anímate, abre tu consola de PowerShell y ejecuta los siguientes comandos:<br />
<br />
<br />
<ul>
<li><i>get-host </i></li>
<li><i>write-host "Mi laboratorio de Forense"</i></li>
<li><i>Get-ExecutionPolicy</i></li>
</ul>
<br />
<br />
Cierra la consola de powershell y verifica si el target <b>PowerShellConsole </b>te da resultados interesantes o intenta probar con el target <b>EvidenceOfExecution, </b>recuerda que los resultados serán almacenados en la carpeta definida en el campo "Target Destination":<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj1EW7Yhdb56YS5BF0YMD_AjQZdVdAUyKmeDXT6tlfV0C4tkNk0m6fAyye2I4qG4i7_sLm3HjCuMtcZGwFkaLl3rXc_qdNQu37RcZ3h3oQsZUvADmC2MytvAhjtg9k2eOKAVxMwKRSQsO2q/s1600/KAPE_PSConsole.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="636" data-original-width="507" height="320" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj1EW7Yhdb56YS5BF0YMD_AjQZdVdAUyKmeDXT6tlfV0C4tkNk0m6fAyye2I4qG4i7_sLm3HjCuMtcZGwFkaLl3rXc_qdNQu37RcZ3h3oQsZUvADmC2MytvAhjtg9k2eOKAVxMwKRSQsO2q/s320/KAPE_PSConsole.jpg" width="255" /></a></div>
<br />
<i>* Hemos identificado que KAPE requiere Microsooft .NET 4.6 o superior, generalmente instalado en sistemas operativos de Microsoft superiores a Windows 2008, pero puede no estar habilitado y limitar la ejecución de la aplicación.</i>Eduardo Chavarro Ovallehttp://www.blogger.com/profile/11537520679484769400noreply@blogger.com0tag:blogger.com,1999:blog-3826304095550193648.post-4092354995709062212019-01-30T05:56:00.003-08:002019-01-30T08:38:22.052-08:00Dumps de memoria de PowerShell, en busca de lineas de comando y scripts<div style="text-align: justify;">
Empezando el 2019, <a href="https://www.leeholmes.com/">Lee Holmes</a> publicó dos posts muy interesantes sobre la estructura de memoria de los objetos tipo <a href="https://github.com/PowerShell/PowerShell/blob/7207db6360d1527238975526e299d7bacde0d9d8/src/System.Management.Automation/engine/hostifaces/History.cs" target="_blank">HistoryInfo </a>de PowerShell y se tomó el trabajo de identificarlos y definir un procedimiento para llegar fácilmente a ellos, para <b>obtener datos que son muy importantes al momento de realizar actividades de análisis forense </b><b>digital</b>, o cuando estamos respondiendo a incidentes y buscamos facilitar la identificación de la amenaza. Gracias a este trabajo, <b>proponemos 2 scripts</b> que facilitan el análisis de estos elementos <b>y aquí te indicamos como puedes usarlos</b>.</div>
<br />
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgXsQnId2-QCEYHB968f603PJt57cvgB_oILj26FRLW2LZyid9CjIk0zTHLbT0fKZzPo_iJZ8JsPOwRTzuTB20TVAgYlVMaXuslwyIQIqpi9U_EKZMUSlWzhIrUKQq-xv40kKrnnS8bogL2/s1600/get-CmdlineBlockCache.jpg" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" data-original-height="636" data-original-width="1600" height="252" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgXsQnId2-QCEYHB968f603PJt57cvgB_oILj26FRLW2LZyid9CjIk0zTHLbT0fKZzPo_iJZ8JsPOwRTzuTB20TVAgYlVMaXuslwyIQIqpi9U_EKZMUSlWzhIrUKQq-xv40kKrnnS8bogL2/s640/get-CmdlineBlockCache.jpg" width="640" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Obteniendo scripts y comandos de dumps de memoria de PowerShell.</td></tr>
</tbody></table>
<br />
<a name='more'></a><div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Los artículos indican que si nos enfrentamos al análisis de un sistema donde los logs de PowerShell no se encuentran habilitados, pero tenemos la oportunidad de obtener una captura de la memoria del proceso, será posible obtener las líneas de comando ejecutadas [<a href="https://www.leeholmes.com/blog/2019/01/04/extracting-activity-history-from-powershell-process-dumps/" target="_blank">1</a>] y también será posible obtener los nombres de los scripts ejecutados y su contenido [<a href="https://www.leeholmes.com/blog/2019/01/17/extracting-forensic-script-content-from-powershell-process-dumps/" target="_blank">2</a>].</div>
<div style="text-align: justify;">
<br /></div>
<br />
<b>Obteniendo líneas de comando</b><br />
<br />
<div style="text-align: justify;">
El procedimiento es sencillo y esta completamente descrito en el artículo <a href="https://www.leeholmes.com/blog/2019/01/04/extracting-activity-history-from-powershell-process-dumps/" target="_blank">"Extracting Activity History from PowerShell Process Dumps"</a>, dependerá de hacer una extracción de la memoria del proceso en ejecución, preferiblemente con la herramienta <a href="https://docs.microsoft.com/en-us/sysinternals/downloads/process-explorer" target="_blank">procexp de la suite de Sysinternals</a>, haciendo un dump completo. El blog, además relaciona al final uno de los <a href="https://www.powershellgallery.com/packages/WinDbg/1.0" target="_blank">módulos desarrollados por Lee Holmes </a>para conectarse a WinDBG directamente desde PowerShell facilitando la integración de las dos plataformas.</div>
<div style="text-align: justify;">
<br /></div>
La instalación del módulo es sencilla y solo requiere tener privilegios para la instalación de nuevos módulos en PowerShell:<br />
<blockquote class="tr_bq">
<b>Install-Module WinDbg -Scope CurrentUser</b></blockquote>
<div style="text-align: justify;">
Una vez instalado el módulo, podremos usar el método Connect-DbgSession para crear la sesión con el dump de memoria obtenido, similar a llamar la opción "Open Crash Dump" desde WinDBG, solamente que teniendo una consola PowerShell conectada a la sesión.</div>
<blockquote class="tr_bq">
<b>Connect-DbgSession -ArgumentList '-z "powershell.dmp"'</b></blockquote>
<div style="text-align: justify;">
Ahora que contamos con nuestra sesión activa, podemos empezar a ejecutar los comandos propuestos en el post para extraer la información requerida:</div>
<blockquote class="tr_bq">
<div style="text-align: justify;">
<b>dbg !dumpheap -type HistoryInfo</b></div>
</blockquote>
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjUWDZnUUu7w1Ec6-SGDu8x6X2YMlCsFRYCqVzGvKDZ0o86LsQZb9MEP6LVu_mFB9k4iJIVGrWqyEwqj9NE5AYE93qG7QI8CgLetGZJwCj01Hw9DXvLkAi7pu4zGOEcxlNEewf9sBRlH_gK/s1600/ps_dump1.jpg" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" data-original-height="480" data-original-width="1600" height="192" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjUWDZnUUu7w1Ec6-SGDu8x6X2YMlCsFRYCqVzGvKDZ0o86LsQZb9MEP6LVu_mFB9k4iJIVGrWqyEwqj9NE5AYE93qG7QI8CgLetGZJwCj01Hw9DXvLkAi7pu4zGOEcxlNEewf9sBRlH_gK/s640/ps_dump1.jpg" width="640" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Ejecución de comandos dbg desde powershell</td></tr>
</tbody></table>
<div style="text-align: justify;">
Con el fin de agilizar un poco la extracción de los comandos, desarrollé el script <a href="https://github.com/edchavarro/DFIRMA_Script/blob/master/Get-CmdlineBlockCache.ps1">Get-CmdlineBlockCache.ps1</a> encargado de realizar todos los procedimientos necesarios para identificar los elementos asociados a los objetos tipo HistoryInfo, identificar aquellos que cuentan con información, extraer los elementos MT (objetos que corresponden a la estructura <b>MethodTable</b> específica de cada objeto), identificar los elementos asociados a <i>cmdline</i> y finalmente extraer las líneas de comando para cada objeto identificado. El script mantiene la dependencia de la sesión con DbgSession, pero extrae automáticamente los elementos buscados:</div>
<br />
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh-jvn5M27TFpilsfSD6AGrsagUVMXBTRLK3HeB4oDt8ehE-C3A2MFSZu1S2m0Do7BDQYiIZO0HkRHaogXcwbca3xnxOcrVz1ybXhoq1n4J6ZWIkaO0QEgWwWpnHVKFjeMpraOa6-kgr1X0/s1600/ps_dump_codecmdl.jpg" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" data-original-height="317" data-original-width="1463" height="137" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh-jvn5M27TFpilsfSD6AGrsagUVMXBTRLK3HeB4oDt8ehE-C3A2MFSZu1S2m0Do7BDQYiIZO0HkRHaogXcwbca3xnxOcrVz1ybXhoq1n4J6ZWIkaO0QEgWwWpnHVKFjeMpraOa6-kgr1X0/s640/ps_dump_codecmdl.jpg" width="640" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Get-CmdlineBlockCache</td></tr>
</tbody></table>
<br />
El resultado presenta las líneas de comando encontrados por cada objeto HistoryInfo de PowerShell:<br />
<br />
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEihvggcYgwskMEYUcFk-9fGL8sdzhmB5g3CKcWQ8IP-QpwnnkioJK7NME4IKVG7qPFy9XE3Z34cRYXoVbqodBg9uKluhL3EXC7u6_J0SInOdjwv2rjYxUhISExxoOZFSWI92imvxfEKZeCM/s1600/ps_dump_cmdl.jpg" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" data-original-height="491" data-original-width="1600" height="195" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEihvggcYgwskMEYUcFk-9fGL8sdzhmB5g3CKcWQ8IP-QpwnnkioJK7NME4IKVG7qPFy9XE3Z34cRYXoVbqodBg9uKluhL3EXC7u6_J0SInOdjwv2rjYxUhISExxoOZFSWI92imvxfEKZeCM/s640/ps_dump_cmdl.jpg" width="640" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Resultado de ejecutar el script Get-CmdlineBlockCache.ps1 en la sesión</td></tr>
</tbody></table>
<br />
<b>Obteniendo Scripts</b><br />
<br />
<div style="text-align: justify;">
Para la extracción del contenido de los scripts ejecutados en un sesión de powershell, Lee Holmes facilitó las cosas y creó la función <span style="background-color: #fcfcfc; color: blueviolet; font-family: "consolas" , "lucida console"; font-size: 13.3333px; white-space: nowrap;">Get-ScriptBlockCache </span>que pueden encontrar en el post <a href="https://www.leeholmes.com/blog/2019/01/17/extracting-forensic-script-content-from-powershell-process-dumps/">"Extracting Forensic Script Content from PowerShell Process Dumps"</a>. Esta función, ejecutará otra serie de comandos, pero enfocada en los objetos <span style="background-color: #fcfcfc; color: blueviolet; font-family: "consolas" , "lucida console"; font-size: 13.3333px; white-space: nowrap;">ConcurrentDictionary </span>que contiene los elementos MT donde están contenidas las tuplas (nombre script, contenidos script).</div>
<div style="text-align: justify;">
<br /></div>
Una simple implementación de la función puede obtenerse con el script <a href="https://github.com/edchavarro/DFIRMA_Script/blob/master/Get-ScriptBlockCache.ps1">Get-ScriptBlockCache.ps1</a>, una vez creada la sesión WinDBG:<br />
<br />
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhARUnSJuPrdVxbdczBVDBRMORrxwUABc_hMNqOCLKJThKTf6jghH0JEeWunbDNatZKxYepkoXL1tW4onmXMEopfdqSFI5j8t2-jU3y6ahuyP3kKVZfxSWhw6d8Ogib61wPyW4gAnvZ_V2U/s1600/ps_dump_script.jpg" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" data-original-height="330" data-original-width="1600" height="129" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhARUnSJuPrdVxbdczBVDBRMORrxwUABc_hMNqOCLKJThKTf6jghH0JEeWunbDNatZKxYepkoXL1tW4onmXMEopfdqSFI5j8t2-jU3y6ahuyP3kKVZfxSWhw6d8Ogib61wPyW4gAnvZ_V2U/s640/ps_dump_script.jpg" width="640" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Resultado de ejecutar Get-ScriptBlockCache.ps1 en la sesión </td></tr>
</tbody></table>
<br />
<b>Cuando usar este procedimiento</b><br />
<br />
<div style="text-align: justify;">
Como lo describe<i> Lee Holmes</i> en su artículo, una máquina donde no se encuentren activos los logs de PowerShell y donde se identifique un procedimiento en ejecución, será el escenario adecuado para aprovechar estas funciones. También, será posible usarlos en eventos de análisis de malware, donde no se identifiquen los comandos ejecutados o se encuentren ofuscados mediante otro lenguaje o creados por otros procesos; además, en aquellos eventos donde se realice un volcado total de la memoria para realizar actividades de análisis digital forense y por supuesto, contengan procesos relacionados con PowerShell.</div>
<br />
<br />
<b>Algunos Problemas </b><br />
<br />
<ul>
<li style="text-align: justify;">Cuando el script contiene múltiples líneas, la función para la obtención de Scripts puede colgarse o dar resultados incorrectos. Es importante seguir el procedimiento indicado por Lee Holmes para estar seguro de extraer la información correcta y completa.</li>
</ul>
<table cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjgoQOGUVGYRWffubhFbIbXlXvwLg_e8qXlMTz4rAwcIcjGpRAfsBiqfJh5VRPcfpk9JoiuSKuHgL5k9keuMnEVkbOs2WSNt5osCIcKAk1uvXAN1P1yCzB2tiVJJVL0XXh8jw1tzz5XWVEB/s1600/ps_dump_script_manually.jpg" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" data-original-height="595" data-original-width="1319" height="288" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjgoQOGUVGYRWffubhFbIbXlXvwLg_e8qXlMTz4rAwcIcjGpRAfsBiqfJh5VRPcfpk9JoiuSKuHgL5k9keuMnEVkbOs2WSNt5osCIcKAk1uvXAN1P1yCzB2tiVJJVL0XXh8jw1tzz5XWVEB/s640/ps_dump_script_manually.jpg" width="640" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Ejecutando las sentencias manualmente para estar seguro de la respuesta</td></tr>
</tbody></table>
<ul>
<li style="text-align: justify;">Este procedimiento no permite cargar dumps de memoria extraídos con <a href="https://www.volatilityfoundation.org/">Volatility</a>; sin embargo, conociendo las estructuras de memoria de PowerShell, podemos usar procedimientos diferentes para tratar de extraer los comandos y scripts usando Volatility, esto será tema de un nuevo post.</li>
</ul>
<ul>
<li style="text-align: justify;">Finalmente, es importante desconectar la sesión con WinDBG antes de analizar un nuevo dump, para evitar confusiones y garantizar que los resultados obtenidos correspondan al nuevo dump analizado. Para esto no olvides usar siempre el comando <b>Disconnect-DbgSession </b>al finalizar un análisis. </li>
</ul>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Ahora a explorar las posibilidades y seguir verificando los objetos de memoria en busca de otras oportunidades que favorezcan las investigaciones, te dejo una inquietud</div>
<div style="text-align: justify;">
<b><br /></b></div>
<div style="text-align: center;">
<b>¿Será posible encontrar el contenido de funciones ofuscadas en memoria?</b></div>
<div style="text-align: left;">
<b><br /></b></div>
<div style="text-align: left;">
<b>Gracias por leer!</b></div>
Eduardo Chavarro Ovallehttp://www.blogger.com/profile/11537520679484769400noreply@blogger.com0tag:blogger.com,1999:blog-3826304095550193648.post-54180297864567461962018-10-23T10:51:00.000-07:002018-10-26T12:03:42.002-07:002FA: Historia de un incidente de SPAM<div style="text-align: justify;">
Al momento de desplegar servicios, especialmente aquellos en los que delegas la seguridad en las manos de un tercero encargado de la gestión completa de tu nueva plataforma, es muy importante contar con un segundo factor de autenticación (<a href="https://ssd.eff.org/es/module/c%C3%B3mo-habilitar-la-autenticaci%C3%B3n-de-dos-factores" target="_blank">2FA</a>); especialmente en sistemas de correo electrónico y otras plataformas que requieran autenticación. El 2FA no debería ser opcional, tendría que ser una obligación para cada usuario de una organización, más allá de las necesidades de inversión. Nuestra recomendación: siempre pregunta si puedes activarlo sin costo adicional, y si la respuesta es afirmativa, no pierdas tiempo y protégete de los ataques masivos que tocan a la puerta de tus servicios hasta 33 veces por segundo.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Durante las últimas semanas tuve la oportunidad de apoyar un incidente de seguridad relacionado con el envío masivo de <a href="https://www.spamhaus.org/consumer/definition/" target="_blank">SPAM </a>desde cuentas de correo corporativas basadas en Office365. En primera instancia se consideró que la infección provenía de componentes en el navegador web con el fin de extraer contraseñas almacenadas por la mayoría de los usuarios. Sin embargo, en la validación de las máquinas posiblemente infectadas no se identificaron elementos asociados a este tipo de amenaza. </div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Posteriormente se consideró una vulnerabilidad en los servidores de Office365; sin embargo, el número de cuentas comprometidas y el tipo de mensajes <a href="https://www.spamhaus.org/consumer/definition/" target="_blank">SPAM </a>hizo que la investigación se enfocara de forma diferente.</div>
<br />
<div style="text-align: justify;">
El SPAM se encontraba alojado en la carpeta de mensajes enviados de algunos de los buzones de correo, todos los mensajes contaban con la misma estructura, pero con datos pseudo aleatorios que permitieron evadir en primera instancia los controles antispam.</div>
<br />
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiFpx-WEKW1tLbiseBr7xjfXON4NBh1E7N80A12C3vuiL37NeoqB1CLrP3l0hUevfN07O8IDJO4q1Nn_-fL8lkNqaranKkvW-MucGldSc9VIGedRw3opzo1VjPuSNy4sh-vuaXrRpX92BcO/s1600/Spam_1.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" data-original-height="149" data-original-width="551" height="172" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiFpx-WEKW1tLbiseBr7xjfXON4NBh1E7N80A12C3vuiL37NeoqB1CLrP3l0hUevfN07O8IDJO4q1Nn_-fL8lkNqaranKkvW-MucGldSc9VIGedRw3opzo1VjPuSNy4sh-vuaXrRpX92BcO/s640/Spam_1.png" width="640" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Image 1: Mensajes de SPAM enviados</td></tr>
</tbody></table>
<a name='more'></a>Todos los mensajes enviados mantenían la misma estructura de mensaje, SPAM con contenido para adultos en idioma ingles y algunos con contenidos asiáticos.<br />
<br />
<div class="MsoNormal" style="margin-left: 35.4pt;">
<i><b>Asunto </b>-> relacionado con contenido para adultos</i></div>
<div class="MsoNormal" style="margin-left: 35.4pt;">
<i><b>Título del mensaje</b> ->
relacionado con contenido para adultos (enlazado a la URL en la parte inferior) </i></div>
<div class="MsoNormal" style="margin-left: 35.4pt;">
<i><b>Cuerpo </b>-> Dos frases separados por coma relacionados con citas y
contenidos para adultos. </i></div>
<div class="MsoNormal" style="margin-left: 35.4pt;">
<i><b>URL</b></i></div>
<div class="MsoNormal" style="margin-left: 35.4pt;">
<i><b>Firma </b>-> un nombre aleatorio.</i></div>
<br />
<div style="text-align: justify;">
Los mensajes de SPAM fueron enviados desde diferentes buzones de correo comprometidos, haciendo uso de SMTP como se confirma en la cabecera <i><a href="https://social.technet.microsoft.com/Forums/en-US/4775f066-4734-4ccd-a998-0ea43fad7069/" target="_blank">X-MS-Exchange-Organization-AuthMechanism</a></i>:</div>
<div style="text-align: justify;">
<br /></div>
<blockquote class="tr_bq">
<i><b>X-MS-Exchange-Organization-AuthMechanism</b>: 06</i></blockquote>
<div style="text-align: justify;">
Algunos de los buzones que conseguí analizar, enviaron un primer mensajes con asunto <b>Test o Hello</b>, dirigido al correo <b>avtostandartus@gmail.com</b> con el valor <b>smtp.office365.com </b>como cuerpo del mensajes.</div>
<br />
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhG6YS_H0_p4_bSvSqREMudFcYLfWd-A8UNl3ArmZ-BzPLhCw1obCwTjxHpydh-BxWK2cLt3iGzqnl-jAS52VF67ckM44tF-EMA5xCV1cWw_LGEcUOij2jv_3l179Gd_O9rmHSC1T7h7-IB/s1600/TEST_MAIL.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" data-original-height="230" data-original-width="869" height="168" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhG6YS_H0_p4_bSvSqREMudFcYLfWd-A8UNl3ArmZ-BzPLhCw1obCwTjxHpydh-BxWK2cLt3iGzqnl-jAS52VF67ckM44tF-EMA5xCV1cWw_LGEcUOij2jv_3l179Gd_O9rmHSC1T7h7-IB/s640/TEST_MAIL.png" width="640" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Imagen 2. Primer mensaje enviado una vez comprometida la cuenta de correo</td></tr>
</tbody></table>
<br />
<div style="text-align: justify;">
Validando en medios abiertos la cuenta de correo identificada, se estableció que para la misma fecha del incidente, <a href="https://www.reddit.com/r/msp/comments/9leh3p/directed_o365_attack_against_our_clients/" target="_blank">se creó una discusión en Reddit</a>, donde se identifican elementos convergentes con el incidente: <i>correo destino, asunto, cuerpo del mensaje, servidores de correo Office365 y el tipo y contenido del SPAM enviado</i>.</div>
<br />
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgclDB604dvLqSHDj-u06cq-0OxGYfiJzuTkjI6a0GqSs4UDaF-699swaT_jvbc_mJvxqSH4cY1Hut0ojqvyl5PUdqv_gSGAEJNXZgWI22qoxtbYNrGqwtA-umHNAcPOaBTDpbCzC7eZRG-/s1600/reddit.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" data-original-height="889" data-original-width="1091" height="520" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgclDB604dvLqSHDj-u06cq-0OxGYfiJzuTkjI6a0GqSs4UDaF-699swaT_jvbc_mJvxqSH4cY1Hut0ojqvyl5PUdqv_gSGAEJNXZgWI22qoxtbYNrGqwtA-umHNAcPOaBTDpbCzC7eZRG-/s640/reddit.png" width="640" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Imagen 3. Discusión en reddit relacionada con el incidente de SPAM.</td></tr>
</tbody></table>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
La discusión además resalta elementos importantes respecto a los servicios vulnerados. Se trata de servicios de correo sobre Office365, donde <b>no se activó el segundo factor de autenticación</b>, y, de acuerdo a los comentarios expuestos en la publicación, se vulneraron buzones de correo con contraseñas fáciles de obtener o mediante ataques de fuerza bruta. una vez obtenida la contraseña de un buzón, los atacantes descargaron la GAL (Global Address List) y probaron la misma contraseña contra toda la lista de direcciones para identificar cuentas haciendo uso de la misma clave.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
De esta forma, y haciendo uso de una campaña completa para la difusión de mensajes no solicitados, los atacantes vulneraron buzones de correo de diferentes organizaciones basadas en Office365 aprovechando la ausencia del segundo factor de autenticación y usaron el servicio SMTP para desplegar miles de correos relacionados con contenido para adultos y citas en Internet.</div>
<br />
<b>Análisis de los mensajes</b><br />
<br />
<div style="text-align: justify;">
los mensajes enviados hicieron uso de miles de enlaces existentes en miles de dominios. En un análisis básico de 3 buzones de correo vulnerados, se identificaron los siguientes elementos:</div>
<div style="text-align: justify;">
<br /></div>
<blockquote class="tr_bq">
<div style="text-align: justify;">
<b>Orígenes de los mensajes: </b> 4 Direcciones IP comunes a los tres casos, en total 38 orígenes diferentes para el envío de los mensajes, la mayoría de las direcciones IP detrás del servicio cloud.scaleway.com.</div>
</blockquote>
<br />
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjNhCsz6UIN_uwIdVNjEJSLfX4eoe_kkELkOW9gEGtaKlY1KcCTi5guiPMiwyCkt00iFCg7YI-DPoTiveGk6NOVdGCjR6dM2jdxM-9uKXKYyoiwzShlw09fN2elyyFXSfMZ3wBC2a1gAckY/s1600/origitaing-ip.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" data-original-height="481" data-original-width="642" height="478" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjNhCsz6UIN_uwIdVNjEJSLfX4eoe_kkELkOW9gEGtaKlY1KcCTi5guiPMiwyCkt00iFCg7YI-DPoTiveGk6NOVdGCjR6dM2jdxM-9uKXKYyoiwzShlw09fN2elyyFXSfMZ3wBC2a1gAckY/s640/origitaing-ip.png" width="640" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Imagen 4. Direcciones Ip origen de los mensajes enviados.</td></tr>
</tbody></table>
<blockquote class="tr_bq">
<br />
<div style="text-align: justify;">
<b>Destinos: </b>No se encuentran destinos comunes entre los tres buzones analizados. En total 1371 correos destino, dirigidos principalmente a servicios públicos de correo. A continuación, se registra el top 10 de los dominios destino de los mensajes:</div>
</blockquote>
<div style="text-align: justify;">
<br /></div>
<table border="0" cellpadding="0" cellspacing="0" class="MsoTable15Plain3" style="border-collapse: collapse; margin-left: 30pt; text-align: justify; width: 233px;">
<tbody>
<tr style="height: .2in; mso-yfti-firstrow: yes; mso-yfti-irow: -1; mso-yfti-lastfirstrow: yes;">
<td nowrap="" style="border-bottom: solid #7F7F7F 1.0pt; border: none; height: .2in; mso-border-bottom-alt: solid #7F7F7F .5pt; mso-border-bottom-themecolor: text1; mso-border-bottom-themecolor: text1; mso-border-bottom-themetint: 128; mso-border-bottom-themetint: 128; padding: 0in 5.4pt 0in 5.4pt; width: 113.0pt;" valign="top" width="151"><div class="MsoNormal" style="text-align: center;">
<b><span style="text-transform: uppercase;">Domain<o:p></o:p></span></b></div>
</td>
<td nowrap="" style="border-bottom: solid #7F7F7F 1.0pt; border: none; height: .2in; mso-border-bottom-alt: solid #7F7F7F .5pt; mso-border-bottom-themecolor: text1; mso-border-bottom-themecolor: text1; mso-border-bottom-themetint: 128; mso-border-bottom-themetint: 128; padding: 0in 5.4pt 0in 5.4pt; width: 62.0pt;" valign="top" width="83"><div class="MsoNormal">
<b><span style="text-transform: uppercase;">Count<o:p></o:p></span></b></div>
</td>
</tr>
<tr style="height: .2in; mso-yfti-irow: 0;">
<td nowrap="" style="background: #F2F2F2; border-right: solid #7F7F7F 1.0pt; border: none; height: .2in; mso-background-themecolor: background1; mso-background-themeshade: 242; mso-border-right-alt: solid #7F7F7F .5pt; mso-border-right-themecolor: text1; mso-border-right-themecolor: text1; mso-border-right-themetint: 128; mso-border-right-themetint: 128; padding: 0in 5.4pt 0in 5.4pt; width: 113.0pt;" valign="top" width="151"><div class="MsoNormal">
<b><span style="text-transform: uppercase;">gmail.com<o:p></o:p></span></b></div>
</td>
<td nowrap="" style="background: #F2F2F2; height: .2in; mso-background-themecolor: background1; mso-background-themeshade: 242; padding: 0in 5.4pt 0in 5.4pt; width: 62.0pt;" valign="top" width="83"><div class="MsoNormal" style="mso-yfti-cnfc: 64; text-align: right;">
896<o:p></o:p></div>
</td>
</tr>
<tr style="height: .2in; mso-yfti-irow: 1;">
<td nowrap="" style="border-right: solid #7F7F7F 1.0pt; border: none; height: .2in; mso-border-right-alt: solid #7F7F7F .5pt; mso-border-right-themecolor: text1; mso-border-right-themecolor: text1; mso-border-right-themetint: 128; mso-border-right-themetint: 128; padding: 0in 5.4pt 0in 5.4pt; width: 113.0pt;" valign="top" width="151"><div class="MsoNormal">
<b><span style="text-transform: uppercase;">yahoo.com<o:p></o:p></span></b></div>
</td>
<td nowrap="" style="height: .2in; padding: 0in 5.4pt 0in 5.4pt; width: 62.0pt;" valign="top" width="83"><div class="MsoNormal" style="text-align: right;">
191<o:p></o:p></div>
</td>
</tr>
<tr style="height: .2in; mso-yfti-irow: 2;">
<td nowrap="" style="background: #F2F2F2; border-right: solid #7F7F7F 1.0pt; border: none; height: .2in; mso-background-themecolor: background1; mso-background-themeshade: 242; mso-border-right-alt: solid #7F7F7F .5pt; mso-border-right-themecolor: text1; mso-border-right-themecolor: text1; mso-border-right-themetint: 128; mso-border-right-themetint: 128; padding: 0in 5.4pt 0in 5.4pt; width: 113.0pt;" valign="top" width="151"><div class="MsoNormal">
<b><span style="text-transform: uppercase;">hotmail.com<o:p></o:p></span></b></div>
</td>
<td nowrap="" style="background: #F2F2F2; height: .2in; mso-background-themecolor: background1; mso-background-themeshade: 242; padding: 0in 5.4pt 0in 5.4pt; width: 62.0pt;" valign="top" width="83"><div class="MsoNormal" style="mso-yfti-cnfc: 64; text-align: right;">
84<o:p></o:p></div>
</td>
</tr>
<tr style="height: .2in; mso-yfti-irow: 3;">
<td nowrap="" style="border-right: solid #7F7F7F 1.0pt; border: none; height: .2in; mso-border-right-alt: solid #7F7F7F .5pt; mso-border-right-themecolor: text1; mso-border-right-themecolor: text1; mso-border-right-themetint: 128; mso-border-right-themetint: 128; padding: 0in 5.4pt 0in 5.4pt; width: 113.0pt;" valign="top" width="151"><div class="MsoNormal">
<b><span style="text-transform: uppercase;">icloud.com<o:p></o:p></span></b></div>
</td>
<td nowrap="" style="height: .2in; padding: 0in 5.4pt 0in 5.4pt; width: 62.0pt;" valign="top" width="83"><div class="MsoNormal" style="text-align: right;">
21<o:p></o:p></div>
</td>
</tr>
<tr style="height: .2in; mso-yfti-irow: 4;">
<td nowrap="" style="background: #F2F2F2; border-right: solid #7F7F7F 1.0pt; border: none; height: .2in; mso-background-themecolor: background1; mso-background-themeshade: 242; mso-border-right-alt: solid #7F7F7F .5pt; mso-border-right-themecolor: text1; mso-border-right-themecolor: text1; mso-border-right-themetint: 128; mso-border-right-themetint: 128; padding: 0in 5.4pt 0in 5.4pt; width: 113.0pt;" valign="top" width="151"><div class="MsoNormal">
<b><span style="text-transform: uppercase;">outlook.com<o:p></o:p></span></b></div>
</td>
<td nowrap="" style="background: #F2F2F2; height: .2in; mso-background-themecolor: background1; mso-background-themeshade: 242; padding: 0in 5.4pt 0in 5.4pt; width: 62.0pt;" valign="top" width="83"><div class="MsoNormal" style="mso-yfti-cnfc: 64; text-align: right;">
21<o:p></o:p></div>
</td>
</tr>
<tr style="height: .2in; mso-yfti-irow: 5;">
<td nowrap="" style="border-right: solid #7F7F7F 1.0pt; border: none; height: .2in; mso-border-right-alt: solid #7F7F7F .5pt; mso-border-right-themecolor: text1; mso-border-right-themecolor: text1; mso-border-right-themetint: 128; mso-border-right-themetint: 128; padding: 0in 5.4pt 0in 5.4pt; width: 113.0pt;" valign="top" width="151"><div class="MsoNormal">
<b><span style="text-transform: uppercase;">aol.com<o:p></o:p></span></b></div>
</td>
<td nowrap="" style="height: .2in; padding: 0in 5.4pt 0in 5.4pt; width: 62.0pt;" valign="top" width="83"><div class="MsoNormal" style="text-align: right;">
20<o:p></o:p></div>
</td>
</tr>
<tr style="height: .2in; mso-yfti-irow: 6;">
<td nowrap="" style="background: #F2F2F2; border-right: solid #7F7F7F 1.0pt; border: none; height: .2in; mso-background-themecolor: background1; mso-background-themeshade: 242; mso-border-right-alt: solid #7F7F7F .5pt; mso-border-right-themecolor: text1; mso-border-right-themecolor: text1; mso-border-right-themetint: 128; mso-border-right-themetint: 128; padding: 0in 5.4pt 0in 5.4pt; width: 113.0pt;" valign="top" width="151"><div class="MsoNormal">
<b><span style="text-transform: uppercase;">mail.com<o:p></o:p></span></b></div>
</td>
<td nowrap="" style="background: #F2F2F2; height: .2in; mso-background-themecolor: background1; mso-background-themeshade: 242; padding: 0in 5.4pt 0in 5.4pt; width: 62.0pt;" valign="top" width="83"><div class="MsoNormal" style="mso-yfti-cnfc: 64; text-align: right;">
8<o:p></o:p></div>
</td>
</tr>
<tr style="height: .2in; mso-yfti-irow: 7;">
<td nowrap="" style="border-right: solid #7F7F7F 1.0pt; border: none; height: .2in; mso-border-right-alt: solid #7F7F7F .5pt; mso-border-right-themecolor: text1; mso-border-right-themecolor: text1; mso-border-right-themetint: 128; mso-border-right-themetint: 128; padding: 0in 5.4pt 0in 5.4pt; width: 113.0pt;" valign="top" width="151"><div class="MsoNormal">
<b><span style="text-transform: uppercase;">yahoo.co.uk<o:p></o:p></span></b></div>
</td>
<td nowrap="" style="height: .2in; padding: 0in 5.4pt 0in 5.4pt; width: 62.0pt;" valign="top" width="83"><div class="MsoNormal" style="text-align: right;">
6<o:p></o:p></div>
</td>
</tr>
<tr style="height: .2in; mso-yfti-irow: 8; mso-yfti-lastrow: yes;">
<td nowrap="" style="background: #F2F2F2; border-right: solid #7F7F7F 1.0pt; border: none; height: .2in; mso-background-themecolor: background1; mso-background-themeshade: 242; mso-border-right-alt: solid #7F7F7F .5pt; mso-border-right-themecolor: text1; mso-border-right-themecolor: text1; mso-border-right-themetint: 128; mso-border-right-themetint: 128; padding: 0in 5.4pt 0in 5.4pt; width: 113.0pt;" valign="top" width="151"><div class="MsoNormal">
<b><span style="text-transform: uppercase;">hotmail.co.uk<o:p></o:p></span></b></div>
</td>
<td nowrap="" style="background: #F2F2F2; height: .2in; mso-background-themecolor: background1; mso-background-themeshade: 242; padding: 0in 5.4pt 0in 5.4pt; width: 62.0pt;" valign="top" width="83"><div class="MsoNormal" style="mso-yfti-cnfc: 64; text-align: right;">
5<o:p></o:p></div>
</td>
</tr>
</tbody></table>
<br />
<div style="text-align: justify;">
<br /></div>
<blockquote class="tr_bq">
<b>Cuerpo del mensaje:</b></blockquote>
<blockquote class="tr_bq">
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
<b>Asuntos: </b>No se identifican asuntos comunes, 1331 asuntos diferentes.</div>
<div style="text-align: justify;">
<b>Título del mensaje:</b> 15 valores comunes, en total 242 títulos diferentes.</div>
<div style="text-align: justify;">
<b>URL:</b> No se identifican enlaces comunes entre los tres buzones, <i>603 enlaces diferentes. 16 dominios comunes, en total 587 dominios</i>.</div>
</blockquote>
<div style="text-align: justify;">
El uso de valores aleatorios para la construcción de cada nuevo correo, junto al uso de múltiples direcciones IP origen y diferentes enlaces construidos para cada buzón vulnerado, permitieron a los atacantes evadir en primera instancia los mecanismos de protección antiSPAM existentes en Office365.</div>
<div style="text-align: justify;">
<br /></div>
<br />
<b>Análisis de los enlaces</b><br />
<br />
<div style="text-align: justify;">
Para los tres casos analizados se identificaron 603 enlaces diferentes, alojados en 587 dominios distintos.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Cada URL presentaba el patrón <b>http://<dominio>/multimedia/<nombre aleatorio>.html</b>, el análisis de las URL permitió identificar archivos html con redirección al sitio http[://]hook-up-dates[.]com, principalmente dos tipos de archivos de acuerdo al contenido:</div>
<br />
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiI4MaOVz9EhmnXTYKnzktqB_Ob81MrYdtDOKPbvJrCgI9aZ0r9Jj-597cI0l5O3HElTkqGqugZEn_zKWus6U9G7EVanQgmJL4E-RvsAFhNohBCHGjlCbrLHkklg3vC1thyphenhyphenCDjZu1rA1d2o/s1600/html_redirect.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" data-original-height="334" data-original-width="1485" height="142" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiI4MaOVz9EhmnXTYKnzktqB_Ob81MrYdtDOKPbvJrCgI9aZ0r9Jj-597cI0l5O3HElTkqGqugZEn_zKWus6U9G7EVanQgmJL4E-RvsAFhNohBCHGjlCbrLHkklg3vC1thyphenhyphenCDjZu1rA1d2o/s640/html_redirect.png" width="640" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Imagen 5. Contenido de los archivos html identificados.</td></tr>
</tbody></table>
<br />
<div style="text-align: justify;">
El sitio corresponde a un servicios de citas que construye y redirecciona a los usuarios a un contenido diferente en cada nuevo acceso, mediante un javascript cifrado:</div>
<br />
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhXd_LuvgaHjjSFYx_R3eOQ3l5Qx9wjWNnEoAZB7YGVEg5OLPTVmhe0H02fOlh7gfV3ApVCJoukUzkHZCMER0T4-AwgJeS7fVnXrSpbzreSCRVB58ZhNe59G65u2RQVJEKA7cVNhbdSvcFB/s1600/redirect_hud.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" data-original-height="681" data-original-width="1081" height="251" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhXd_LuvgaHjjSFYx_R3eOQ3l5Qx9wjWNnEoAZB7YGVEg5OLPTVmhe0H02fOlh7gfV3ApVCJoukUzkHZCMER0T4-AwgJeS7fVnXrSpbzreSCRVB58ZhNe59G65u2RQVJEKA7cVNhbdSvcFB/s400/redirect_hud.png" width="400" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Imagen 5. Script cifrado en página principal de hook-up-dates[.]com</td></tr>
</tbody></table>
<br />
<div class="separator" style="clear: both; text-align: center;">
</div>
<br />
El dominio fue creado en septiembre de 2018 y a la fecha se mantiene activo.<br />
<br />
<br />
<pre style="font-family: Arial, Helvetica, sans-serif; font-size: 12px; overflow-wrap: break-word; white-space: pre-wrap;"><span style="background-color: white;"> Domain Name: HOOK-UP-DATES.COM
Registry Domain ID: 2307052214_DOMAIN_COM-VRSN
Registrar URL: http://www.publicdomainregistry.com
</span><span style="background-color: orange;"> Updated Date: 2018-09-06T20:13:10Z
Creation Date: 2018-09-06T20:13:09Z</span></pre>
<br />
<div style="text-align: justify;">
Los sitios vulnerados o usados por los atacantes para crear los enlaces que fueron remitidos en los mensajes de SPAM fueron identificados en su mayoría como servicios con <b>CMS Wordpress</b>; sin embargo, al momento del análisis muchos de estos sitios ya habían sido bloqueados o cancelados. A continuación se registran unas estadísticas relacionadas con los tipos de servidores, versión de servicio PHP, país y CMS identificados:</div>
<br />
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjOvIEa_qOZGAWyteUsli672F8iVW0H_dFunL7ZyZG8GxIFPiOPHN0vO1kK0lsE86-K3FIjSTI4bvbScXP0quA6CffBH2lglBtZRqhCWQIyrnUQB56WOHv5QIuiwlN3amgFjr_aumuOSuHM/s1600/powered-by.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" data-original-height="363" data-original-width="420" height="552" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjOvIEa_qOZGAWyteUsli672F8iVW0H_dFunL7ZyZG8GxIFPiOPHN0vO1kK0lsE86-K3FIjSTI4bvbScXP0quA6CffBH2lglBtZRqhCWQIyrnUQB56WOHv5QIuiwlN3amgFjr_aumuOSuHM/s640/powered-by.png" width="640" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Imagen 6. Etiquetas powered-By en los enlaces identificados en los correos de SPAM.</td></tr>
</tbody></table>
<br />
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEijJDxapsWWzSzadbZHUKOG1kM442jrcZPgEPdc61pFeoeFNNVwZ1vObl3LVKaSQoAQvU1S1sNLjC69Dp7T6FmZF1kEljoOKROtE1eTdAZ23OP0P6q-ckU2sy7ofnUE-32Cfh_3XKe-ba1V/s1600/cms.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" data-original-height="289" data-original-width="357" height="518" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEijJDxapsWWzSzadbZHUKOG1kM442jrcZPgEPdc61pFeoeFNNVwZ1vObl3LVKaSQoAQvU1S1sNLjC69Dp7T6FmZF1kEljoOKROtE1eTdAZ23OP0P6q-ckU2sy7ofnUE-32Cfh_3XKe-ba1V/s640/cms.png" width="640" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Imagen 7. CMS o Paneles identificados.</td></tr>
</tbody></table>
<br />
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEht2SpLlzOCaKN3eAFYTXAQFt-v3DsTcQbSUEWnHvkFGayEGB1gYswYxkzdUofz4Q_97SJaBx2K9RgvTLS-y5obh7m4NdmfnHxQBTw2sUiZI2Lqw11vNTsErp7onRFNPKRQ2TnBKO92bfTp/s1600/httpserver.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" data-original-height="466" data-original-width="542" height="550" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEht2SpLlzOCaKN3eAFYTXAQFt-v3DsTcQbSUEWnHvkFGayEGB1gYswYxkzdUofz4Q_97SJaBx2K9RgvTLS-y5obh7m4NdmfnHxQBTw2sUiZI2Lqw11vNTsErp7onRFNPKRQ2TnBKO92bfTp/s640/httpserver.png" width="640" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Image 8. Servidores HTTP identificados.</td></tr>
</tbody></table>
<br />
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhWJA9IZCzRoRKf4d5mLO1wxKLhshVGLDd58GBmqgjpioL-pxHYrWsT0_pHXPXGcOCB557-k684fHzApvTs_UeAkQRGDsueb5LxOIEuExgCG0nCWGnVOvJ5S-QAwGj9U8IAJNyxf8GlOnh8/s1600/country.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" data-original-height="410" data-original-width="428" height="612" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhWJA9IZCzRoRKf4d5mLO1wxKLhshVGLDd58GBmqgjpioL-pxHYrWsT0_pHXPXGcOCB557-k684fHzApvTs_UeAkQRGDsueb5LxOIEuExgCG0nCWGnVOvJ5S-QAwGj9U8IAJNyxf8GlOnh8/s640/country.png" width="640" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Imagen 9. País donde se alojan los dominios posiblemente vulnerados.</td></tr>
</tbody></table>
<br />
<b>Indicadores de compromiso</b><br />
<br />
Dominios:<br />
<br />
<br />
<ul>
<li>hook-up-dates.com</li>
<li>datedreamon.com</li>
<li>localsensuals.com</li>
</ul>
<br />
<br />
Validar la existencia de archivos en sitios web comprometidos con los siguientes valores MD5:<br />
<br />
<br />
<ul>
<li>389b6349207a5371bab251e6305a6b8b</li>
<li>01bb5d021f9c15adf79799efc8d41fb2</li>
</ul>
<br />
<br />
<b>Conclusiones</b><br />
<br />
<br />
<ul>
<li>El segundo factor de autenticación (2FA) no puede ser una elección, es importante entender que servicios como el correo electrónico son constantemente atacados y que la vulneración de una contraseña débil o mediante otras técnicas como phishing, permitiría a un atacante desplegar un mayor ataque y tomar control de otras cuentas o acceder a recursos protegidos de las organizaciones haciendo uso de otras técnicas adicionales.</li>
<li>El principal contendor del 2FA es el usuario, su falta de conocimiento y confort para acceder a servicios corporativos desde cualquier ubicación, los pone en riesgo constante. Es importante ayudarlo para entender el riesgo de no hacer uso y manejar los nuevos controles de seguridad de forma amena sin contratiempos.</li>
<li>El principal vector de ataque corresponde a cuentas de correo en Office365 donde no se tuvieron en cuenta las características de complejidad de contraseñas, se evidencia la ausencia del segundo factor de autenticación (2FA) y el re-uso de contraseñas por diferentes buzones de correo.</li>
<li>El presente reporte se basa en tres buzones de correo analizados. No se analizó la totalidad de los buzones de correo.</li>
<li>Los atacantes implementaron diferentes medidas para evadir en primera instancia los controles antiSPAM, haciendo uso de múltiples direcciones origen, asuntos, correos destino, enlaces y en los dos buzones analizados se pudo comprobar que no se generaron correos exactamente iguales respecto al spam enviado.</li>
<li>Posiblemente los atacantes aprovecharon debilidades en servicios web y administradores de contenido externos para contar con un amplio número de sitios legítimos donde cargaron el archivo de redireccionamiento al portal de contenido para adultos. Esto les permitió generar miles de enlaces aleatorios que no fueron en primera instancia detectados por los servicios antiSPAM.</li>
<li>Los destinos de los mensajes de SPAM corresponden a cuentas de servicios públicos de correo electrónico, no se identificaron mensajes enviados a buzones privados.</li>
<li>No todas las cuentas de correo fueron utilizadas para el envío de mensajes tipo SPAM lo que descarta vulnerabilidades de acceso en el servicio de Office365; además, mediante la información expuesta en medios abiertos y la evidencia analizada hasta el momento se confirmar el acceso a cuentas de correo que hacían uso de contraseñas genéricas sin un segundo factor de autenticación.</li>
</ul>
Eduardo Chavarro Ovallehttp://www.blogger.com/profile/11537520679484769400noreply@blogger.com0tag:blogger.com,1999:blog-3826304095550193648.post-77387554208726643422018-10-12T12:27:00.002-07:002018-10-12T12:27:31.572-07:00Una reflexión sobre la Circular 007 de la Superintendencia Financiera de Colombia<div style="text-align: justify;">
Durante conversaciones con algunos de nuestros clientes en el sector financiero, hemos tocado el tema de las circulares y cómo estas apoyan la gestión de seguridad que se hace al interior de las organizaciones. Algunos de ellos me han pedido opiniones sobre la <a href="https://www.superfinanciera.gov.co/descargas/institucional/pubFile1031729/ance007_18.docx" target="_blank">Circular 007</a> año 2018 de la Superintendencia Financiera de Colombia (SFC) y quiero hacer unas reflexiones sobre algunos apartados que me parecen muy valiosos.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Un primer elemento muy interesante es la solicitud de evaluación constante del riesgo de ciberseguridad y seguridad de la información en todas las entidades sometidas a la inspección y vigilancia por la SFC, y vale la pena revisar las definiciones entregadas en el mismo documento para estos conceptos.</div>
<br />
<blockquote class="tr_bq">
<div style="text-align: justify;">
<b>Ciberseguridad</b> Es el desarrollo de capacidades empresariales para defender y anticipar las amenazas cibernéticas con el fin de proteger y asegurar los datos, sistemas y aplicaciones en el ciberespacio que son esenciales para la operación de la entidad.</div>
</blockquote>
<blockquote class="tr_bq">
<div style="text-align: justify;">
<b>Seguridad de la información </b> Es el conjunto de políticas, estrategias, metodologías, recursos, soluciones informáticas, prácticas y competencias para proteger, asegurar y preservar la confidencialidad, integridad y disponibilidad de la información que se almacene, reproduzca o procese en los sistemas informáticos de la entidad. </div>
</blockquote>
<div style="text-align: justify;">
Sin duda, dos definiciones complementarias que permiten ver desde un todo los elementos que deben ser evaluados a nivel de riesgo desde cualquier entidad para poder lograr un sistema de seguridad funcional y que cubra las necesidades de cualquier empresa a todo nivel.</div>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhPqjaaJsey4Bck55EuzLIW0GyA5nXzHFXZ1Yw0mBspfhNhJ3MGOSudWHDy_Qrs5maLPSWwg1oOA6HmJLetfZZQKHDnP5QyCwrbtJyoMbZsy7Xbv_LLp_UvR-TwAMLk8ZUs7Xz_gzcb3ac/s1600/26789846047_1e9245bc8c_k.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="1067" data-original-width="1600" height="426" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhPqjaaJsey4Bck55EuzLIW0GyA5nXzHFXZ1Yw0mBspfhNhJ3MGOSudWHDy_Qrs5maLPSWwg1oOA6HmJLetfZZQKHDnP5QyCwrbtJyoMbZsy7Xbv_LLp_UvR-TwAMLk8ZUs7Xz_gzcb3ac/s640/26789846047_1e9245bc8c_k.jpg" width="640" /></a></div>
<br />
<div style="text-align: justify;">
Un eje fundamental de todo el documento se centra en la necesidad de capacitación y sensibilización del personal en áreas relacionadas a la ciberseguridad, lo que sin duda es una aproximación muy acertada a la protección de la información con un apoyo completo generado al interior de cada entidad para asegurar que las personas que manejan la información con sus actividades diarias, cuenten con las habilidades necesarias para generar una protección adecuada a cada dato que pueda pasar por sus manos.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Un tema que me parece fundamental y que puede ser tema de discusión para otro artículo, es la necesidad de realizar un análisis de riesgo para determinar la pertinencia de contratar o implementar un <a href="https://en.wikipedia.org/wiki/Security_operations_center" target="_blank">servicio de SOC</a>, que permita identificar las características del proveedor y herramientas y servicios que se contratarán. Sin duda en el mercado se ofrecen múltiples servicios de SOC, sin embargo, es muy importante realizar una evaluación a conciencia de a quién contratar, antes de entregar la gestión de la seguridad a un tercero que en muchas ocasiones no cuenta con las habilidades necesarias para entregar valor a un negocio, o generar una protección real con este tipo de servicios.</div>
<br />
<div style="text-align: justify;">
Un punto para mejorar es la identificación precisa de los <i>frameworks</i> de referencia sugeridos en el documento, ya que algunos de ellos no son relevantes para los temas tratados en la circular y resaltar de manera interesante la inclusión de los <a href="https://www.cisecurity.org/controls/" target="_blank">CIS Controls</a> como parte de las recomendaciones realizadas.</div>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh_66iuSyxR4LuAT6uw_h7aHSnP2QsVM4hR47DfTFdOF05xXMndG0gZXUBKFm7MwFxNkmATFx8HFvMh5bK0IZ5XiFY7hIegalyvDQ_hvEjsfSncEI2aG7WiPutbraTBqlp6BMZrz0iI0_w/s1600/savings-2789112_1920.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="1067" data-original-width="1600" height="426" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh_66iuSyxR4LuAT6uw_h7aHSnP2QsVM4hR47DfTFdOF05xXMndG0gZXUBKFm7MwFxNkmATFx8HFvMh5bK0IZ5XiFY7hIegalyvDQ_hvEjsfSncEI2aG7WiPutbraTBqlp6BMZrz0iI0_w/s640/savings-2789112_1920.jpg" width="640" /></a></div>
<br />
<div style="text-align: justify;">
Otros aspectos que valen la pena resaltar son la necesidad de contar con un presupuesto exclusivo dedicado a la <i>seguridad de la información</i> y generar los indicadores que permitan medir la inversión, la eficiencia y eficacia de la gestión de la seguridad de la información y la ciberseguridad.<br />
<br />
El reporte de gestión y evaluación debe ser directamente informado a las alta gerencia y la alta dirección con una periodicidad semestral, sin duda el involucramiento de los tomadores de decisiones de las entidades y la generación de información directa para ellos, puede permitir la obtención de resultados que apoyen de manera estratégica al negocio y las necesidades de ciberseguridad. Adicionalmente obliga el cambio de la forma en que los profesionales de seguridad deben expresar sus preocupaciones y resultados, para generar una comunicación que pueda ser clara y fluida con la alta gerencia y la dirección.<br />
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgGE9NT-4hK1Q495I1p9KS0PxYq_WNAjpRLviaWFunaVPTkmwNi6mp4XWQ5MWz0KBZ8jShqqDxUleX-04vT9AM2l4EZOjZeiZJgQDfx8ES9sLWskFe52nrHUlYTeGV0Di9Red4ibFxW-9o/s1600/imagemeeting.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="799" data-original-width="1200" height="426" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgGE9NT-4hK1Q495I1p9KS0PxYq_WNAjpRLviaWFunaVPTkmwNi6mp4XWQ5MWz0KBZ8jShqqDxUleX-04vT9AM2l4EZOjZeiZJgQDfx8ES9sLWskFe52nrHUlYTeGV0Di9Red4ibFxW-9o/s640/imagemeeting.jpg" width="640" /></a></div>
<br />
<div style="text-align: justify;">
Un elemento dentro de todos los requerimientos exigidos que desde mi perspectiva se debe definir a profundidad es el tipo de información que se deberá transmitir en los boletines relacionados con incidentes a los diferentes <i>stakeholders</i> involucrados, cabe resaltar que los procedimientos y protección de dicha información no se encuentran contemplados de manera explicita en la circular y son un elemento fundamental en este punto específico.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Los controles planteados en las etapas de prevención, protección y detección, respuesta y comunicación, recuperación y aprendizaje, son claros y concisos para las necesidades iniciales de un esquema de seguridad que involucra procesos, tecnologías y personas.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
<a href="https://www.csiete.org/" target="_blank">CSIETE</a> puede acompañarlo en el proceso de definición, montaje y seguimiento de los requerimientos de la <b>Circular 007 del 2018 de la SFC</b>, no dude en escribirnos sus necesidades a nuestro correo corporativo <i>info@csiete.org</i>.</div>
<br />Giovanni Cruz Forerohttp://www.blogger.com/profile/14753019907377409633noreply@blogger.com0tag:blogger.com,1999:blog-3826304095550193648.post-78306546779001609772018-10-03T20:30:00.000-07:002018-10-04T11:14:49.840-07:00Detección de firmas en Honeypot SSH Cowrie<div class="MsoNormal" style="text-align: justify;">
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgv8TXA2isPctRgLfv5-ZtndOT3A3Xs-q_a63XQpFaXAwqe3se_JVlJ4w3w4X6CUlEvM2ZlntGl6IX0VgqKRRJ6cs61959c9uPmQv_SQYPPoOljI35e30hZg_engQwBvk6O5it68FqRzF9S/s1600/Captura+de+pantalla+2018-10-02+a+la%2528s%2529+22.12.17.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="457" data-original-width="1274" height="227" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgv8TXA2isPctRgLfv5-ZtndOT3A3Xs-q_a63XQpFaXAwqe3se_JVlJ4w3w4X6CUlEvM2ZlntGl6IX0VgqKRRJ6cs61959c9uPmQv_SQYPPoOljI35e30hZg_engQwBvk6O5it68FqRzF9S/s640/Captura+de+pantalla+2018-10-02+a+la%2528s%2529+22.12.17.png" width="640" /></a></div>
<span lang="ES" style="line-height: 107%;"><span style="font-family: inherit;"><br /></span></span>
<span lang="ES" style="line-height: 107%;"><span style="font-family: inherit;">En un trabajo continuo desde <b><a href="https://www.csiete.org/">CSIETE</a></b> para conocer el
estado actual de las nuevas amenazas en Internet abordamos diferentes estrategias para identificar los atacantes, motivaciones y herramientas. </span></span><br />
<span lang="ES" style="line-height: 107%;"><span style="font-family: inherit;"><br /></span></span>
<span lang="ES" style="line-height: 107%;"><span style="font-family: inherit;">En esta ocasión
mostraremos algunas contribuciones al proyecto <b><a href="https://github.com/cowrie/cowrie" target="_blank">Cowrie</a></b>, una Honeypot de mediana
interacción desarrollada en Python con la que hemos trabajado para emular
servicios SSH que buscan recolectar datos como credenciales, comandos
y muestras de <i>malware</i> que luego serán analizadas.</span></span></div>
<div class="separator" style="clear: both; text-align: center;">
<br /></div>
<div class="MsoNormal" style="text-align: justify;">
<span lang="ES" style="line-height: 107%;"><span style="font-family: inherit;">Algunas características de Cowrie son:<o:p></o:p></span></span></div>
<div class="MsoNormal" style="text-align: justify;">
<br /></div>
<div class="MsoNormal" style="text-align: justify;">
<span lang="ES" style="line-height: 107%;"><span style="font-family: inherit;">-<span style="mso-spacerun: yes;"> Permite la r</span>ecolección de Credenciales (Usuarios/Contraseñas).<o:p></o:p></span></span></div>
<div class="MsoNormal" style="text-align: justify;">
<span lang="ES" style="line-height: 107%;"><span style="font-family: inherit;">-<span style="mso-spacerun: yes;"> </span>Permite al atacante utilizar diversos comandos (wget,curl) para descargar archivos.<o:p></o:p></span></span></div>
<div class="MsoNormal" style="text-align: justify;">
<span lang="ES" style="line-height: 107%;"><span style="font-family: inherit;">-<span style="mso-spacerun: yes;"> </span>Captura
de los comandos ejecutados (CMD - Console).<o:p></o:p></span></span></div>
<div class="MsoNormal" style="text-align: justify;">
<span lang="ES" style="line-height: 107%;"><span style="font-family: inherit;">-<span style="mso-spacerun: yes;"> </span>Creación
de directorios para el file/system del Honeypot.<o:p></o:p></span></span></div>
<div class="MsoNormal" style="text-align: justify;">
<br /></div>
<div class="MsoNormal" style="text-align: justify;">
<span lang="ES" style="line-height: 107%;"><span style="font-family: inherit;">Cowrie trabaja con tecnologías de
contenedores de software como <i>docker</i>; Esto facilita desplegar fácilmente mediante un
<a href="https://github.com/cowrie/cowrie/blob/master/Dockerfile" target="_blank">Dockerfile</a> o clonando del proyecto desde <a href="https://hub.docker.com/">Docker Hub</a> con el siguiente comando.</span></span><br />
<blockquote class="tr_bq">
<span lang="ES" style="line-height: 107%;"><span style="font-family: inherit;">$docker pull cowrie/cowrie</span></span></blockquote>
<span lang="ES" style="line-height: 107%;"><span style="font-family: inherit;">Esta característica nos permitirá de manera sencilla exponer estos servicios que simulan ser vulnerables hacia
Internet buscando recolectar la mayor cantidad de datos posibles sobre los chicos malos.</span></span><br />
<span lang="ES" style="line-height: 107%;"><span style="font-family: inherit;"><br /></span></span>
<span lang="ES" style="line-height: 107%;"><span style="font-family: inherit;"><a href="https://2.bp.blogspot.com/-V8wcryMMX8o/W5vZD-ijWuI/AAAAAAAAAAg/lP7JFQmLf1YdYRuJ9Rd_9LwAs_muFVYOQCEwYBhgL/s1600/cowrie.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em; text-align: center;"><img border="0" data-original-height="258" data-original-width="733" height="224" src="https://2.bp.blogspot.com/-V8wcryMMX8o/W5vZD-ijWuI/AAAAAAAAAAg/lP7JFQmLf1YdYRuJ9Rd_9LwAs_muFVYOQCEwYBhgL/s640/cowrie.jpg" width="640" /></a></span></span><br />
<span lang="ES" style="line-height: 107%;"><br /></span>
<span lang="ES" style="line-height: 107%;"><i style="text-align: center;"><u><br /></u></i></span>
<span lang="ES" style="line-height: 107%;"><span style="text-align: center;"> </span></span></div>
<div class="MsoNormal" style="text-align: justify;">
<span lang="ES" style="line-height: 107%;"><span style="font-family: inherit;"><b>Detección de firmas en honeypots</b><o:p></o:p></span></span></div>
<div class="MsoNormal" style="text-align: justify;">
<span lang="ES" style="line-height: 107%;"><span style="font-family: inherit;"><br /></span></span></div>
<div class="MsoNormal" style="text-align: justify;">
<div class="MsoNormal">
<span lang="ES">Entremos en
materia, al utilizar soluciones como Cowrie se sufre de un problema sistémico
que es la posible detección por los atacantes que esperamos lleguen a
interactuar con el sensor trampa, es decir, es posible que los atacantes
identifiquen que se encuentran interactuando con una honeypot. Esto lo
confirmamos durante las pruebas a nuestros sensores, y gracias a ello hemos
identificado algunos aspectos de mejora en el funcionamiento del cowrie. <o:p></o:p></span></div>
<span lang="ES" style="line-height: 107%;"><span style="font-family: inherit;"><br /></span></span></div>
<div class="MsoNormal" style="text-align: justify;">
<div class="MsoNormal">
<span lang="ES">La detección de
firmas se puede presentar a nivel de código o en la lógica de funcionamiento,
por esto se decidió construir y aplicar algunos parches al Cowrie, y así
esperar una mayor interacción del atacante con la <a href="https://es.wikipedia.org/wiki/Honeypot" target="_blank">Honeypot</a>. Es por ello que
surgió la necesidad de aportar al proyecto correcciones a estas posibles firmas que pueden estar
siendo utilizadas para identificar este honeypot.</span><br />
<span lang="ES"><br /></span></div>
</div>
<div class="MsoNormal" style="text-align: justify;">
<div class="MsoNormal">
<span lang="ES">La recolección de
métodos de prueba que utilizamos contra esta Honeypot va desde pruebas públicas
en Internet ya conocidas (publicadas en foros y confirmadas en pots de
control), hasta verificaciones de nuestro equipo de trabajo, lo que nos llevó a
determinar algunos elementos de análisis interesante, por ejemplo, si un
atacante establece una conexión SSH podría utilizar múltiples comandos de
administración, pero al ser un entorno simulado a veces no responde como
funcionaría un servicio SSH real.<o:p></o:p></span></div>
<span lang="ES" style="line-height: 107%;"><span style="font-family: inherit;"><br /></span></span></div>
<div class="MsoNormal" style="text-align: justify;">
<span lang="ES" style="line-height: 107%;"><span style="font-family: inherit;"><i>Un ejemplo sencillo es el siguiente</i>: cuando estamos dentro una conexión SSH podemos utilizar
múltiples comandos de administración como lo es el comando <b>ping</b>. </span></span><span lang="ES" style="line-height: 107%;"><span style="font-family: inherit;">Si se realiza un ping a
la dirección 999.999.999.999 y obtenemos que los paquetes ICMP fueron enviados
correctamente le permite al atacante descubrir un posible entorno <i>honeypot</i> esto debido a que no deberíamos recibir una respuesta positiva de esta dirección, <o:p></o:p></span></span>es por ello que compartimos algunos de nuestros hallazgos.<br />
<br />
<div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi4a59WZXU25KM-8fivxBApn7II7wiB0cJuHFA8Sp90WRudnWdHCWVFysWB-d4MjtCiPOUF6GB9bvTi2n95-zXTMG_jQh0IcTtiHH1eeqkqKbLKLCPomNHugA98ulq64TTtppG-LdJTT7LR/s1600/Captura+de+pantalla+2018-10-02+a+la%2528s%2529+22.27.15.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="646" data-original-width="1258" height="328" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi4a59WZXU25KM-8fivxBApn7II7wiB0cJuHFA8Sp90WRudnWdHCWVFysWB-d4MjtCiPOUF6GB9bvTi2n95-zXTMG_jQh0IcTtiHH1eeqkqKbLKLCPomNHugA98ulq64TTtppG-LdJTT7LR/s640/Captura+de+pantalla+2018-10-02+a+la%2528s%2529+22.27.15.png" width="640" /></a></div>
<br /></div>
</div>
<div class="MsoNormal" style="text-align: justify;">
<div style="margin: 0cm 0cm 0.0001pt;">
<b>Comando du:</b><br />
Determinamos que si era solicitado espacio disponible en el directorio actual con el comando “du” no obtenemos respuesta en un comando, el cual se encuentra disponible por defecto para servidores Unix/Linux con servicios SSH legítimos, evidenciando un posible entorno honeypot.<br />
<br />
<b>Comando ifconfig y hwaddr:</b><br />
Al ejecutar <i>ifconfig</i> dentro del cowrie se identificó que siempre se ofrece una respuesta igual, incluso en varias honeypots en la misma red; Así mismo sucedía con la dirección física (hwaddr) que muestra el cowrie utilizando la misma dirección física para varios sensores en la misma red.<br />
<br />
<b>Inicio de sesión:</b><br />
El último hallazgo en estas pruebas permitió determinar que cuando un usuario inicia sesión en el cowrie este no arrojaba fecha del ultimo ingreso, lo cual por defecto siempre esta presente en un servidor típico, con un servicio SSH legítimo y permitiría con un poco de análisis determinar que era una honeypot.</div>
<div style="margin: 0cm 0cm 0.0001pt;">
<br /></div>
</div>
<div class="MsoNormal" style="text-align: justify;">
<span lang="ES" style="line-height: 107%;"><span style="font-family: inherit;"><b>Correcciones y aportes al proyecto</b></span></span></div>
<div class="MsoNormal" style="text-align: justify;">
<span lang="ES" style="line-height: 107%;"><span style="font-family: inherit;"><br /></span></span>
<span lang="ES" style="line-height: 107%;"><span style="font-family: inherit;"><span lang="ES" style="line-height: 17.12px;"><span style="font-family: inherit;">Los diferentes hallazgos fueron enviados al director del proyecto con las respectivas </span></span><span lang="ES" style="line-height: 17.12px;"><span style="font-family: inherit;">correcciones; f</span></span></span></span><span lang="ES" style="line-height: 107%;"><span style="font-family: inherit;">rente al fallo utilizando el comando ifconfig optimizamos el código <a href="https://github.com/cowrie/cowrie/pull/823/commits/5018c44095ae4b2dbc164cb8e4cab5b8b561e61b" target="_blank">agregando</a> que esta funcionalidad trabaje de forma dinámica como se debería comportar. La <a href="https://github.com/cowrie/cowrie/pull/819/commits/f67130295e2cc9e660eb079cb188e20c742d68c6" target="_blank">mejora</a> para la función <b>hw</b></span></span><b>addr</b> permite arrojar de manera dinámica la dirección física de la Honeypot; Así mismo agregamos el comando <a href="https://github.com/cowrie/cowrie/pull/824/commits/62dd6a59f16252320b2640ca5533672275ac0ef9" target="_blank">"du"</a> mejorando la posible interacción del atacante.<br />
Por ultimo se realizo la mejora dentro del código del cowrie permitiendo que cuando un usuario ingrese a la consola del cowrie visualice una <a href="https://github.com/cowrie/cowrie/pull/901" target="_blank">fecha</a> que indica el último ingreso a la plataforma.</div>
<div class="MsoNormal" style="text-align: justify;">
<br /></div>
<div class="MsoNormal" style="text-align: justify;">
<span lang="ES" style="line-height: 107%;"><span style="font-family: inherit;">Esto es todo, por ahora continuaremos desde CSIETE
mejorando estas herramientas que ayudan a la comunidad de seguridad informática
en la lucha contra el ciber crimen. </span><span style="font-family: "calibri light" , sans-serif; font-size: 14pt;"><o:p></o:p></span></span><br />
<span lang="ES" style="line-height: 107%;"><span style="font-family: inherit;"><br /></span></span>
<br />
<div style="text-align: center;">
<span lang="ES" style="line-height: 107%;"><span style="font-family: inherit;"><span style="font-family: inherit;">Si estás interesado en todos los temas de honeypots, no te pierdas las próximas dos publicaciones relacionadas con la exposición de un Honeypot SSH durante una semana, en un ISP Colombiano.</span></span></span></div>
<div style="text-align: center;">
<span lang="ES" style="line-height: 107%;"><span style="font-family: inherit;"><span style="font-family: inherit;"><b><br /></b></span></span></span></div>
<div style="text-align: center;">
<span lang="ES" style="line-height: 107%;"><span style="font-family: inherit;"><span style="font-family: inherit;"><b>¿Cuál crees que es el resultado?</b></span></span></span></div>
<br />
<span lang="ES" style="line-height: 107%;"><span style="font-family: inherit;"><br /></span></span>Un agradecimiento a <a href="https://github.com/dasouch" target="_blank">Danilo</a> Vargas (<a href="https://twitter.com/dasouch?lang=es" target="_blank">@dasouch</a>), Fernando Quintero (<a href="https://www.twitter.com/nonroot">@nonroot</a>) y en general a todo el equipo BLUE, por su apoyo en esta, mi primera investigación.<br />
<br /></div>
Unknownnoreply@blogger.com0tag:blogger.com,1999:blog-3826304095550193648.post-71960257153026615932018-10-03T09:21:00.001-07:002018-10-03T10:10:00.006-07:00Rooteando cualquier dispositivo Samsung Android<div style="text-align: center;">
<br />
<img alt="Resultado de imagen para imagenes creative commons android" height="340" src="https://www.sevell.com/sites/default/files/android-logo.png" width="640" /></div>
<div style="text-align: center;">
<i><span style="color: red;"><br /></span></i></div>
<div>
<div style="text-align: justify;">
En el siguiente artículo, realizaremos paso a paso el proceso de adquirir permisos de root (<i><b>rooteo</b></i>) de nuestro dispositivo Android. Este procedimiento se encuentra enfocado en dejar el equipo listo para realizar nuestras pruebas de seguridad (auditoria, <i>pentesting</i>, ethical hacking) sobre una aplicación Android (APK) para la cual tengamos autorización de analizar.</div>
<br />
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Hay que tener presente que realizar <a href="https://es.wikipedia.org/wiki/Ingenier%C3%ADa_inversa" target="_blank">ingeniería inversa</a> o realizar pruebas de seguridad a una aplicación móvil <b>es ilegal a menos que se tenga el consentimiento de los dueños de la aplicación</b>. Y esto por lo general solo ocurre cuando trabajas en una organización como <a href="https://www.csiete.org/" target="_blank">CSIETE</a> que se dedica a realizar este tipo de pruebas y se tienen acuerdos firmados con clientes que requieren identificar los riesgos de sus activos (<i>plataformas, backend, app móvil, etc</i>).</div>
<br />
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
También en algunos casos, de acuerdo al contrato con el proveedor de telefonía celular y las leyes del país, realizar un proceso de <i>rooteo</i> como el que se menciona a continuación, puede anular totalmente la garantía de los dispositivos, tenga esto presente antes de proceder con la parte técnica.</div>
<div style="text-align: justify;">
<br /></div>
<a name='more'></a><br />
<div style="text-align: center;">
<b><span style="color: red; font-size: small;">Es recomendable realizar un <i>backup completo</i> del dispositivo antes de realizar este proceso</span></b></div>
<b><span style="font-size: large;"><br /></span>A tener en cuenta:</b><br />
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
1. Durante cualquier proceso de pruebas de seguridad en aplicaciones móviles, nuestro dispositivo debe tener privilegios de ROOT, sea Android o iOS, teniendo así 2 procesos, <a href="https://es.wikipedia.org/wiki/Android_rooting" target="_blank"><i>rooteo</i> en Android</a> y <i><a href="https://es.wikipedia.org/wiki/Jailbreak_(iOS)" target="_blank">JailBreak</a></i> en iOS, durante este artículo se explicará únicamente como <i>rootear</i> un dispositivo Android del fabricante <i>Samsung</i>, hay que tener claridad en que si no tenemos la posibilidad de interactuar en el sistema como usuario <b>root</b> nuestras pruebas se van a ver muy limitadas y es por eso que este proceso se vuelve tan necesario.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
2. Al momento de tomar la decisión de <i>rootear</i> nuestro dispositivo debemos saber que automáticamente pierde la garantía del dispositivo, debido a la modificación del <i>firmware</i>, ademas de dejar nuestro dispositivo expuesto a un virus o ataques externos, es por eso que se debe hacer con un dispositivo de pruebas y solo para pruebas legítimas, teniendo conocimiento pleno de lo que se va hacer y suma autorización, ya que fácilmente el dispositivo puede quedar de <i>pisa-papel</i>.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Todo este proceso lo haremos con <a href="https://odindownload.com/download/Odin3_v3.13.1.zip" target="_blank">ODIN 3</a>, este software nos sirve para personalizar nuestros dispositivos con ROMs diferentes a la del fabricante, ¿Porqué ODIN3?, por que funciona muy bien en dispositivos <i>samsung</i>, <i>tablets</i> o <i>smartphones</i> y como verán a continuación es realmente muy fácil.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Primero que todo descargamos ODIN 3, desde su pagina oficial.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
<a href="https://odindownload.com/download/Odin3_v3.13.1.zip">https://odindownload.com/download/Odin3_v3.13.1.zip</a></div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Y buscamos en la siguiente pagina la referencia de nuestro dispositivo, esta la podemos encontrar en el apartado de configuraciones e información del dispositivo.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
<a href="https://autoroot.chainfire.eu/" target="_blank">CF Auto Root -- ROMs</a></div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Después de descargar estos ficheros, vamos a descargar los drivers de los dispositivos Samsung.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
<a href="https://developer.samsung.com/common/download/check.do?actId=698" target="_blank">Drivers Samsung</a></div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Con todos los ficheros necesarios para realizar el proceso, procedemos a activar el modo desarrollador en nuestro dispositivo, cabe recalcar que algunos dispositivos muestran este apartado sin necesidad de activarlo, pero para algunos hay que realizar este procedimiento:</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
<b>Ir a Ajustes > Información del dispositivo</b> y pulsar siete veces sobre el número de compilación. Una vez hecho nos saldrá el mensaje <i>¡Ahora eres un desarrollador!</i> y nos mostrará en los Ajustes ese apartado, ya estando aquí, activamos la depuración USB y ya esta.</div>
</div>
<div>
<div style="text-align: justify;">
<br /></div>
</div>
<div>
<div style="text-align: justify;">
Ahora si pasamos a <i>ODIN 3</i> y pulsamos en AP, esto nos abrirá un explorador de archivos donde buscaremos el <i>CF Auto Root</i> de nuestro dispositivo anteriormente descargado, apagamos nuestro dispositivo y lo encendemos en modo <i><a href="https://es.wikipedia.org/wiki/Gestor_de_arranque" target="_blank">bootloader</a></i>, presionando el botón <i>home</i>, botón power y botón de volumen arriba hasta que nos aparezca lo siguiente.</div>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiix3ZqzP63IvZB6dPaph-4wTVzBt_PFccKaLRbYGvg5dQ5adjFxX7p91OAM0KRvXTYU7E0fhMAvSFpFr7mgIzwsq8anfPOco46wFW64Bl_ead-7fM-a-9opvbKZgMZFnPliaTzFYyT0lQm/s1600/IMG_20180924_162352866.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="1600" data-original-width="900" height="640" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiix3ZqzP63IvZB6dPaph-4wTVzBt_PFccKaLRbYGvg5dQ5adjFxX7p91OAM0KRvXTYU7E0fhMAvSFpFr7mgIzwsq8anfPOco46wFW64Bl_ead-7fM-a-9opvbKZgMZFnPliaTzFYyT0lQm/s640/IMG_20180924_162352866.jpg" width="360" /></a></div>
<div class="separator" style="clear: both; text-align: center;">
<b>Imagen 1.</b> Iniciando nuestro dispositivo en modo <i>bootloader</i> ODIN</div>
<div class="separator" style="clear: both; text-align: center;">
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgVU0T9AZBTGipiPxla_dgIXKi2F4rHR9ahEVlttLFq9TmF7VdPMSEHsqfAz4VUGEtRy4LRkkZB486ul_T-HUQOcmM9FkBweDqtwWX1lvzz12aYilmoFti4Ckh5waBp-D5eStfHpBhLjC8u/s1600/IMG_20180924_162405780.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="1600" data-original-width="900" height="640" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgVU0T9AZBTGipiPxla_dgIXKi2F4rHR9ahEVlttLFq9TmF7VdPMSEHsqfAz4VUGEtRy4LRkkZB486ul_T-HUQOcmM9FkBweDqtwWX1lvzz12aYilmoFti4Ckh5waBp-D5eStfHpBhLjC8u/s640/IMG_20180924_162405780.jpg" width="360" /></a></div>
<div class="separator" style="clear: both; text-align: center;">
<b>Imagen 2.</b> Dispositivo en modo ODIN (perdón por la mala fotografía)</div>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhr5nSE80O0MTYObQGjAtBMZuoPawd2ygXjcJMABO_ONq6uLFl3S8NiwdN3-xbo87wZNdv14WKoAd9xifTo-_sEmcjlh_Y028tGzaCE6XqZ6Vyltyr0IepJLe_zgyVm92CfVnokXGi1hI6T/s1600/2018-09-24_162635.gif" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="632" data-original-width="878" height="459" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhr5nSE80O0MTYObQGjAtBMZuoPawd2ygXjcJMABO_ONq6uLFl3S8NiwdN3-xbo87wZNdv14WKoAd9xifTo-_sEmcjlh_Y028tGzaCE6XqZ6Vyltyr0IepJLe_zgyVm92CfVnokXGi1hI6T/s640/2018-09-24_162635.gif" width="640" /></a></div>
</div>
<div>
<div style="text-align: center;">
<b>Imagen 3.</b> ODIN sincronizado con el dispositivo y su ROM cargada.</div>
</div>
<div>
<div style="text-align: justify;">
<br /></div>
</div>
<div>
<div style="text-align: justify;">
Estando ahí, en nuestro <i>ODIN 3,</i> nos aparecerá el dispositivo y podremos iniciar el proceso de <i>rooteo</i>.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Nos cargará una barra durante el proceso que realmente es muy rápido y luego iniciará nuestro dispositivo, ya con la aplicación <i>SuperSU</i> funcionando.</div>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgwjrSY6ilafdsWH4F0NbuY8wO-YEu3yYDVWEDX_ULsukBzwpnLpjmU-0OWz9hq8o7bX2YvzG5JWQTysyGoM53UINjAAx3yJiMubMMbPQaUH1r6H3uMtND2vwOxpKO_-rZcqCflhyphenhyphenXH7mZ-/s1600/IMG_20180924_163406.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="1600" data-original-width="900" height="640" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgwjrSY6ilafdsWH4F0NbuY8wO-YEu3yYDVWEDX_ULsukBzwpnLpjmU-0OWz9hq8o7bX2YvzG5JWQTysyGoM53UINjAAx3yJiMubMMbPQaUH1r6H3uMtND2vwOxpKO_-rZcqCflhyphenhyphenXH7mZ-/s640/IMG_20180924_163406.jpg" width="360" /></a></div>
<div class="separator" style="clear: both; text-align: center;">
<b>Imagen 4.</b> SuperSU en nuestro dispositivo.</div>
<div class="separator" style="clear: both; text-align: center;">
<br /></div>
<div class="separator" style="clear: both; text-align: justify;">
Con el dispositivo en modo ROOT, ahora es posible conectarnos mediante la interfaz ADB (el <i>debugguer</i>), acceder a carpetas privilegiadas del sistema, cargar y descargas archivos al dispositivo si restricciones y realizar las pruebas necesarias sobre el, de aquí en adelante las posibilidades son muchas.</div>
<div class="separator" style="clear: both; text-align: justify;">
<br /></div>
<div class="separator" style="clear: both; text-align: justify;">
Para verificar y dar un ejemplo claro del uso que podemos darle a nuestros nuevos poderes, conectamos el dispositivo vía USB y abrimos <a href="https://dl.google.com/android/repository/platform-tools-latest-windows.zip" target="_blank">ADB</a>, abrimos CMD y tecleamos:</div>
<div class="separator" style="clear: both; text-align: justify;">
<br /></div>
<blockquote class="tr_bq" style="clear: both; text-align: left;">
>adb.exe devices</blockquote>
<div class="separator" style="clear: both; text-align: left;">
<br /></div>
<div class="separator" style="clear: both; text-align: left;">
Con este comando podemos observar los dispositivos conectados a los cuales podemos acceder, luego ejecutamos:</div>
<div class="separator" style="clear: both; text-align: left;">
<br /></div>
<blockquote class="tr_bq" style="clear: both; text-align: left;">
>adb.exe shell </blockquote>
<div class="separator" style="clear: both; text-align: left;">
<br /></div>
<div class="separator" style="clear: both; text-align: left;">
Con este comando obtendremos una terminal directa con nuestro dispositivo.</div>
<div class="separator" style="clear: both; text-align: left;">
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh9PWt6yOX9lPNj6t9LaRTf7skG7Z077yueiw4BU5WNydGaziULya5Blu3hmIJYwb3b6t4zFFnwUaHoNT5_sXnwqE3TgacQDjtYtssA1skbAGQQ1yRLUZJkNfsHVikyEAze27OSCnyWlFiF/s1600/2018-09-24_162635.gif" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="422" data-original-width="680" height="395" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh9PWt6yOX9lPNj6t9LaRTf7skG7Z077yueiw4BU5WNydGaziULya5Blu3hmIJYwb3b6t4zFFnwUaHoNT5_sXnwqE3TgacQDjtYtssA1skbAGQQ1yRLUZJkNfsHVikyEAze27OSCnyWlFiF/s640/2018-09-24_162635.gif" width="640" /></a></div>
<div class="separator" style="clear: both; text-align: center;">
<b>Imagen 5.</b> Shell directa nuestro dispositivo.</div>
<div class="separator" style="clear: both; text-align: center;">
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh0RtvSTq9ZeQ5m-HjjQ-aQzOQD9SPPT8IY3MTO0fZaAJdJDmH9HGqPr6n3iH3skcz1C87EvO08NBGe4u906SB9fMcJVxcdTIA-Azri7zKz2Ry0FH39cDghEMHaeIdLXQI4dknBXSePENHt/s1600/IMG_20180924_174501787.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="900" data-original-width="1600" height="360" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh0RtvSTq9ZeQ5m-HjjQ-aQzOQD9SPPT8IY3MTO0fZaAJdJDmH9HGqPr6n3iH3skcz1C87EvO08NBGe4u906SB9fMcJVxcdTIA-Azri7zKz2Ry0FH39cDghEMHaeIdLXQI4dknBXSePENHt/s640/IMG_20180924_174501787.jpg" width="640" /></a></div>
<div class="separator" style="clear: both; text-align: center;">
<b>Imagen 6.</b> ADB Shell obteniendo permisos de Root.</div>
<div class="separator" style="clear: both; text-align: center;">
<br /></div>
<div class="separator" style="clear: both; text-align: justify;">
Como podemos observar, al momento de ejecutar el comando <b>su</b>, dentro de la terminal, en nuestro dispositivo nos preguntará si deseamos darle esos permisos a ese proceso. Debemos aceptarlo.</div>
<div class="separator" style="clear: both; text-align: justify;">
<br /></div>
<div class="separator" style="clear: both; text-align: justify;">
Hay muchas opciones a la hora de entrar a analizar nuestras aplicaciones, encontrándose entre las mas populares, <b><a href="https://github.com/MobSF/Mobile-Security-Framework-MobSF" target="_blank">MoBSF</a> y <a href="https://www.frida.re/" target="_blank">Frida</a></b>, lo cual es tema para un artículo futuro, pero les dejo un ejemplo para que se hagan una idea.</div>
<div class="separator" style="clear: both; text-align: left;">
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhcJnn8OnJqeBzUWsh6bnvzALMbi_cdGBR_Wg5a77Tq4CPuSyhu20sC-E_FKNM5_ymV3S3aRFyabQlB6N2U8qLSVcCTXfFjy0XCSxKf2rLvegqfwhZj0Nxb7g6pCNe2zVW1lGGAJWfkiqih/s1600/2018-09-24_162635.gif" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="303" data-original-width="799" height="241" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhcJnn8OnJqeBzUWsh6bnvzALMbi_cdGBR_Wg5a77Tq4CPuSyhu20sC-E_FKNM5_ymV3S3aRFyabQlB6N2U8qLSVcCTXfFjy0XCSxKf2rLvegqfwhZj0Nxb7g6pCNe2zVW1lGGAJWfkiqih/s640/2018-09-24_162635.gif" width="640" /></a></div>
<div class="separator" style="clear: both; text-align: center;">
<b>Imagen 7.</b> Teniendo previamente Frida en nuestra maquina y en nuestro dispositivo, podemos listar todas las aplicaciones y sus identificadores de proceso para luego realizar las pruebas que queramos.</div>
<div class="separator" style="clear: both; text-align: center;">
<br /></div>
<div class="separator" style="clear: both; text-align: justify;">
En este artículo logramos conseguir <i>root</i> en nuestro dispositivo, enseñamos como conectarnos por medio de <b>ADB</b> y usamos <i>frida</i> para listar las aplicaciones que contiene el dispositivo.</div>
<div class="separator" style="clear: both; text-align: justify;">
<br /></div>
<div class="separator" style="clear: both; text-align: justify;">
Este procedimiento también es usado en entornos forense, donde es necesario ingresar a todos los componentes del dispositivo y extraer la mayor cantidad de artefactos posibles para un posterior análisis. En artículos posteriores vamos a enfocar los esfuerzos a entender las herramientas que usamos día a día en <a href="https://www.csiete.org/" target="_blank">CSIETE</a>, tanto para el <b>análisis forense digital</b>, como para pruebas de intrusión autorizadas o <b>ethical hacking a las aplicaciones móviles</b>, no se los pierdan.</div>
<div class="separator" style="clear: both; text-align: justify;">
<br /></div>
<div class="separator" style="clear: both; text-align: justify;">
<br /></div>
</div>
Unknownnoreply@blogger.com17tag:blogger.com,1999:blog-3826304095550193648.post-54007305335332968652017-12-22T10:04:00.000-08:002017-12-22T10:04:07.414-08:00Buscando datos Colombianos en el Leak de 1.4 billones de contraseñas<div style="text-align: justify;">
El pasado 11 de dicembre de 2017, se <a href="https://thehackernews.com/2017/12/data-breach-password-list.html" target="_blank">conoció la noticia de la publicación de 1.4 billones de contraseñas en texto claro</a> en un archivo de 9 Gb. Nuestro estimado amigo<a href="https://twitter.com/4v4t4r/status/943171641261084672" target="_blank"> 4v4t4r publicó</a> en google drive el archivo para quienes quisieramos analizarlo y hacerlo parte de nuestras investigaciones (4.2 Gb en formato 7z), cabe aclarar que él no es la única persona que publicó este archivo y que puede ser encontrado en muchos otros repositorios:</div>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjJH_nfxvxNEWCQgUx7wtTz-F2hTwxTrM8noOUKE5BIKtNlLuOEvuic0sXGy2QzeJ6kE_LPR1zg3IV3XucukEUL9qvKVgP6UugWF4UGevKPcItvaNEmKKkhjuyp53F0DTknPNZJ24YEX_sh/s1600/4v4t4r_z7.JPG" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="697" data-original-width="889" height="250" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjJH_nfxvxNEWCQgUx7wtTz-F2hTwxTrM8noOUKE5BIKtNlLuOEvuic0sXGy2QzeJ6kE_LPR1zg3IV3XucukEUL9qvKVgP6UugWF4UGevKPcItvaNEmKKkhjuyp53F0DTknPNZJ24YEX_sh/s320/4v4t4r_z7.JPG" width="320" /></a></div>
<br />
<div style="text-align: justify;">
Ya que <a href="https://twitter.com/4v4t4r" target="_blank">4v4t4r </a>nos invitó ha realizar laboratorios con esta información, me dí a la tarea de buscar posibles contraseñas Colombianas en el leak, basados en temas locales como el futbol colombiano, números de identificación nacionales, platos típicos entre otros.</div>
<div style="text-align: justify;">
</div>
<a name='more'></a><br />
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
El listado cuenta con 1.012'024.700 líneas. La contraseña de mayor longitud esta compuesta por la cadena v0d0laz seguida de una serie de caracteres hexadecilames y la menor contraseña corresponde a un espacio (" ").</div>
<div style="text-align: justify;">
<br /></div>
<blockquote class="tr_bq" style="text-align: justify;">
<i>wc -l breachcompilation.txt<br />1012024699 </i></blockquote>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhZ5cU2wwCLbm7jDNcPXlHZiBdofzuZoPZTsfy6vMo9Tdi9lqxRWUPkc9qPScUqniXLR545qYEbs5tNZgZlfTtvan8k-uenoXDeyYTOA86HB21Dog6I4Zer-loVdId0K2P50hOAyZxiXLWl/s1600/analisis_general.JPG" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="391" data-original-width="1007" height="124" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhZ5cU2wwCLbm7jDNcPXlHZiBdofzuZoPZTsfy6vMo9Tdi9lqxRWUPkc9qPScUqniXLR545qYEbs5tNZgZlfTtvan8k-uenoXDeyYTOA86HB21Dog6I4Zer-loVdId0K2P50hOAyZxiXLWl/s320/analisis_general.JPG" width="320" /></a></div>
<br />
<div style="text-align: justify;">
El listado no esta compuesto por contraseñas únicas, es decir, una misma palabra o línea puede aparecer muchas veces. De acuerdo a algunas publicaciones relacionadas con el archivo, se indica que muchas contraseñas fueron obtenidas mediante ataques a algoritmos de hash que permitieron obtener palabras claves muy sencillas de "rompor" o descifrar, de leaks a servicios online que se han presentado en los últimos años.</div>
<br />
<br />
<b>Colombianos hinchas del futbol pero no de la segurida</b><br />
<br />
<div style="text-align: justify;">
Colombia cuenta con <a href="http://www.colombia.com/futbol/equipos/" target="_blank">20 equipos profesionales de primera división y 16 en segunda división</a>, cada equipo tiene nombres locales que identifican a sus seguidores. Mediante una búsqueda por los nombres más comunes, podemos encontrar contraseñas claramente de usuarios colombianos:</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
</div>
<ul>
<li>Los seguidores del club deportivo los Millonarios que usaron simplemente las palabras millos, millonarios o embajador como contraseña corresponden a 13.022, esto sin contar aquellos que usaron estas palabras en contraseñas compuestas (una o más palabras o el uso de otros caracteres para mejorar la segurida de la contraseña):</li>
</ul>
<br />
<blockquote class="tr_bq">
<i>grep -Eo 'embajador|millos|millonarios' breachcompilation.txt |wc -l<br />13022</i></blockquote>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhSw2MCvp87EAanvYB6Vr-FHP5FtR_U2RwUdGtRSsqFgqYg-8IeOrWzR6GcxHb-yp-lpnzD_n1AyJXG3O70clZuySUfvTmQLe40aC5W0WIuDyxEHIX9Ywmc4bfnbK0xPRCZZDjCP_MoMmjE/s1600/millos_password.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="335" data-original-width="381" height="175" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhSw2MCvp87EAanvYB6Vr-FHP5FtR_U2RwUdGtRSsqFgqYg-8IeOrWzR6GcxHb-yp-lpnzD_n1AyJXG3O70clZuySUfvTmQLe40aC5W0WIuDyxEHIX9Ywmc4bfnbK0xPRCZZDjCP_MoMmjE/s200/millos_password.jpg" width="200" /></a></div>
<br />
<br />
<ul style="text-align: justify;">
<li>Los seguidores del club Atletico Nacional que usaron simplemente las palabras sdvsf, soydelverde, verdolaga o atlnacional como contraseña corresponden a 1.265. Por supuesto, también las usaron en otras contraseñas un poco mejor elaboradas:</li>
</ul>
<blockquote class="tr_bq">
<i>grep -Eo 'soydelverde|verdolaga|sdvsf|atlnacional' breachcompilation.txt |wc -l<br />1256</i></blockquote>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjcg4hJ1OvQF5xFbeor8AA1I9YB6MPrMMfsrI1ncr7HZjegXYSrCmIoZuyQaVBgkYpzUwpcmEZpn0yyF25dPW5pQi4lIR2RVe9OVpQO871u6-tkOHw7u51_xvEzjLPezk7q-iplnydc5Oqd/s1600/nacional_password.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="340" data-original-width="323" height="200" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjcg4hJ1OvQF5xFbeor8AA1I9YB6MPrMMfsrI1ncr7HZjegXYSrCmIoZuyQaVBgkYpzUwpcmEZpn0yyF25dPW5pQi4lIR2RVe9OVpQO871u6-tkOHw7u51_xvEzjLPezk7q-iplnydc5Oqd/s200/nacional_password.jpg" width="190" /></a></div>
<div class="separator" style="clear: both; text-align: center;">
<br /></div>
<br />
<ul>
<li style="text-align: justify;">Los seguidores del America de Cali que usaron simplemente las palabras diablosrojos, mechita o americadecali como contraseña corresponden a 2.013, esto sin contar aquellos que usaron estas palabras en contraseñas compuestas:</li>
</ul>
<blockquote class="tr_bq">
<i>grep -Eo 'mechita|diablosrojos|americadecali' breachcompilation.txt |wc -l<br />2013</i></blockquote>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjyFNEQoQkDB81bX-aeNHmrWdMC_Sb-G3yYwyOmd9G14E8nXgcV4azKQEDP4BQtI-KPydcd-uz51KaDCKKWcciMPJTrqbXkfdgOu1Yej_8vNNyE3iCFloJIHfnewpmelIeCdXLpibU2MVia/s1600/america_password.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="339" data-original-width="325" height="200" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjyFNEQoQkDB81bX-aeNHmrWdMC_Sb-G3yYwyOmd9G14E8nXgcV4azKQEDP4BQtI-KPydcd-uz51KaDCKKWcciMPJTrqbXkfdgOu1Yej_8vNNyE3iCFloJIHfnewpmelIeCdXLpibU2MVia/s200/america_password.jpg" width="191" /></a></div>
<br />
<br />
Podemos seguir haciendo el análisis por cada equipo y seguiremos encontrando datos interesantes:<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg-pWDveQAKJuQTxRT__3LCiDKbAZZgglSaFL0_25FK7L_-nZZ62xl1_aveXvqrPAjZkdodzHTnRMhSung2ij8UmV7t4RJmeTCugngmqpL-9Xxha-2zHW6vfDvN3eUGKGEEbkN5kNiM-UBp/s1600/futbol_password.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="360" data-original-width="305" height="200" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg-pWDveQAKJuQTxRT__3LCiDKbAZZgglSaFL0_25FK7L_-nZZ62xl1_aveXvqrPAjZkdodzHTnRMhSung2ij8UmV7t4RJmeTCugngmqpL-9Xxha-2zHW6vfDvN3eUGKGEEbkN5kNiM-UBp/s200/futbol_password.jpg" width="169" /></a></div>
<br />
<br />
<br />
<b>Insegura hora de comer</b><br />
<br />
La cocina típica colombiana es famosa por los nombres de sus platos y por supuesto por sus sabores. Una búsqueda de platos comunes nos permite ver que además de plato fuerte, son una gran elección a la hora de proteger servicios:<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEivd_uwYPus_uss5vCwQvPHYM_ysg0XzG5kuHO9z_Ec6qBUUi-K1PrQ50qnb87ck_uPxyEfwioAOB8xsk4Rv47g-tHMao08ARt3nZq8qHJgLBNPaTQ0dNxXfQYt8P7SIBreKkqauBinxsj7/s1600/comida_password.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="361" data-original-width="304" height="200" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEivd_uwYPus_uss5vCwQvPHYM_ysg0XzG5kuHO9z_Ec6qBUUi-K1PrQ50qnb87ck_uPxyEfwioAOB8xsk4Rv47g-tHMao08ARt3nZq8qHJgLBNPaTQ0dNxXfQYt8P7SIBreKkqauBinxsj7/s200/comida_password.jpg" width="168" /></a></div>
<br />
<br />
Las contraseñas que usaron platos tipicos como palabra clave sin hacer uso de combinaciones son bastantes, con una alta dosis de arepa:<br />
<br />
<blockquote class="tr_bq">
<i>grep -Eo 'bandejapaisa|sancocho|ajiaco|arepa|arepadehuevo|pepitoria' breachcompilation.txt |wc -l<br />8205<br />grep -Eo 'arepa' breachcompilation.txt |wc -l<br />7642</i></blockquote>
<br />
<b>Tu banco tu password</b><br />
<br />
<div style="text-align: justify;">
Algunos usuarios tienden a usar el nombre de su banco como contraseña (espero que no sea la contraseña de los servicios de su banco). Haciendo una búsqueda por nombres de bancos locales se identifican 193 contraseñas correspondientes a nombres de bancos sin hacer uso de caracteres adicionales:</div>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhPP0Ei0_f-zUhOwzSJ5fKOHABPywliYKFQsVurtKMctgB6mozlwLetlTMU2aOdqgolcYP5no4Xk-dw0JjSqhiQOsWECW8US8fA6wGCRz2a1zWYhg7q-WmTz-9yIBMAUpFEZrWLO-Tg29gt/s1600/banca_password.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="502" data-original-width="349" height="320" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhPP0Ei0_f-zUhOwzSJ5fKOHABPywliYKFQsVurtKMctgB6mozlwLetlTMU2aOdqgolcYP5no4Xk-dw0JjSqhiQOsWECW8US8fA6wGCRz2a1zWYhg7q-WmTz-9yIBMAUpFEZrWLO-Tg29gt/s320/banca_password.jpg" width="222" /></a></div>
<br />
<br />
<b>Tu documento de identidad como contraseña</b><br />
<br />
<div style="text-align: justify;">
Los documentos de identidad en Colombia y en cualquier lugar del mundo siguen un patron de configuración. Cada país decide como hacerlo, pero debe seguir un patron para reconocer a sus residentes y asignar la identificaicón a cada nuevo habitante. </div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Por razones de seguridad no se puede publicar la sentencia de busqueda de contraseñas que cumplen los patrones de los números de identificación en Colombia, pero, una busque sencilla permitió encontrar 18'836.423 de contraseñas que se asemejan a los números de identificación colombianos, un dato realmente crítco una vez publicada esta lista de contraseñas en Internet.</div>
<br />
<br />
<b>Mucho hacker</b><br />
<b><br /></b>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi2DY9lrc7bf7RhmttpmEw7FGO0o9QLVBUckdvyynELOS6ficB-hulODbpfTEOk-26IokG9agRlT-K9ts7ZvJeTeGJqW8fJSyQ338WFFxXNWNTvCwd4aUSTvY9nibkm45VLgKcrXX-GygoC/s1600/hacker_RAE.JPG" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="312" data-original-width="1003" height="99" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi2DY9lrc7bf7RhmttpmEw7FGO0o9QLVBUckdvyynELOS6ficB-hulODbpfTEOk-26IokG9agRlT-K9ts7ZvJeTeGJqW8fJSyQ338WFFxXNWNTvCwd4aUSTvY9nibkm45VLgKcrXX-GygoC/s320/hacker_RAE.JPG" width="320" /></a></div>
<b><br /></b>
<br />
<div style="text-align: justify;">
Los hackers se toman el mundo, más aún depués de que la RAE deciciera relacionarlos no solamente con piratas informáticos sino <a href="http://dle.rae.es/?id=JxlUKkm" target="_blank">expertos en el manejo de las computadoras</a>. El número de contraseñas relacionadas con la palabra <i>hacker </i>es interesantemente alto. Espero que todos ellos hagan parte del grupo de piaratas informaticos porque no seria muy experto usar esta contraseña y hacerse llamar experto informático:</div>
<br />
<blockquote class="tr_bq">
<i>grep -Eo 'hacker' breachcompilation.txt|wc -l<br />84903</i></blockquote>
<br />
<b>No solo Colombia</b><br />
<br />
<div style="text-align: justify;">
El listado es muy amplio, cuenta con caracteres latinos, así como chinos y de muchos otros alfabetos. El análisis que desarrollamos para Colombia puede hacerse en cualquier otro país y con otros patrones de búsqueda (nombres, apellidos, animales, colores, etc.), incluso, los resultados expuestos para Colombia pueden verse truncados con tendencias en otros países donde las sentencias utilizadas son también usadas localmente, por ejemplo, la sentencia <i>diablosrojos </i>usada con el <i>América de Cali </i>también puede ser usada en Argentina, México y otros países.</div>
<br />
<br />
<b>Año nuevo contraseña nueva y un poco más seguros</b><br />
<br />
<div style="text-align: justify;">
El listado completo de contraseñas ya esta en manos de muchos, algunos como los miembros de nuestro equipo haciendo uso de él para validar tendencias y proponer controles de segurida en el país y la región, pero muchos otros ya deben estar probando como acceder a servicios sin autorización probando las diferentes palabras contenidas en este leak.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Es momento de verificar si mi contraseña es realmente segura y aprovechar el nuevo año para empezar con una nueva, talvez compuesta por palabras que recuerdo y que siempre me acompañan, pero unidas con caratares o número y haciendo uso de mayúsculas y minúsculas.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
También es importan aprovechar los controles adicionales de autenticación proveídos por servicios como <a href="https://www.google.com/landing/2step/" target="_blank">Google</a>, <a href="https://www.facebook.com/help/148233965247823" target="_blank">Facebook</a>, <a href="https://help.twitter.com/en/managing-your-account/two-factor-authentication" target="_blank">Twitter</a>, <a href="https://support.microsoft.com/en-us/help/12408/microsoft-account-about-two-step-verification" target="_blank">Microsoft</a>, entre muchos otros y exigir a aquellos servicios que un no cuentan con un segundo factor de autenticación que piensen en su seguridad y la de sus usuarios.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
También es claro que debes contar con herramientas de seguridad locales en tu máquina que protejan tus aplicaciones y te ayuden a identificar cuando alguien quiere apoderarse de tus datos. Si aún no cuentas con un antivirus no dejes de pasar por <a href="http://free.kaspersky.com/">http://free.kaspersky.com/</a> y ver cuál es la herramienta gratuita que mejor se ajusta a tus necesidades. </div>
Eduardo Chavarro Ovallehttp://www.blogger.com/profile/11537520679484769400noreply@blogger.com0tag:blogger.com,1999:blog-3826304095550193648.post-39076995480655023542017-07-17T21:07:00.000-07:002017-07-17T21:07:47.390-07:00Resumen de Alertas del ICS-CERT - JunioEl mes de Junio de nuevo se vio marcado por un ransomware como un posible riesgo para las infraestructuras de ICS, pero adicionalmente con variadas nuevas vulnerabilidades en diferentes plataformas de grandes fabricantes altamente usados en infraestructuras industriales y soluciones de automatización, a continuación queremos compartir con ustedes un resumen de lo que nos trae el mes de Junio.<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh3_Zb0ZmHaBz68omUaKOtB4kBBoMbd0rZj7aKAkuY2yASpInL3kcor6YWRZLyxwxus6mUVrwyNDhRc1q6fETiqb3zxqjb4fVqSpIeRgRr13YVumccYRGqAzBApNF2yYRTwB7n5sYZivHE/s1600/ciberseguridad+%25281%2529.jpeg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="1067" data-original-width="1600" height="213" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh3_Zb0ZmHaBz68omUaKOtB4kBBoMbd0rZj7aKAkuY2yASpInL3kcor6YWRZLyxwxus6mUVrwyNDhRc1q6fETiqb3zxqjb4fVqSpIeRgRr13YVumccYRGqAzBApNF2yYRTwB7n5sYZivHE/s320/ciberseguridad+%25281%2529.jpeg" width="320" /></a></div>
<ul>
<li><a href="https://ics-cert.us-cert.gov/advisories/ICSA-17-152-01">Phoenix Broadband Technologies LLC PowerAgent SC3 Site Controller</a> - El uso de <b>contraseñas quemadas</b> en el software, permite el acceso al mismo y a la revisión completa al sistema de monitoreo de baterias. La versión <b>6.87</b> de firmware del dispositivo mitiga esta vulnerabilidad.</li>
<li><a href="https://ics-cert.us-cert.gov/advisories/ICSA-17-157-01" target="_blank">Rockwell Automation PanelView Plus 6 700-1500</a> - Por fallas en el <b>esquema de autorización</b> es posible realizar una conexión en el dipositivo que permite acceso de manera remota. El fabricante ha dispuesto actualizaciones en su <b><a href="https://compatibility.rockwellautomation.com/Pages/MultiProductDownload.aspx?Keyword=2711P&crumb=112">página</a></b> para mitigar la vulnerabilidad en el producto.</li>
<li><a href="https://ics-cert.us-cert.gov/advisories/ICSA-17-164-01" target="_blank">Trihedral VTScada</a> - Se ha identificado en este software HMI la posibilidad de realizar ataques que permiten el <b>consumo no controlado de recursos</b>, <b>ataques de XSS</b> y <b>exposición de información sensible</b> sin necesidad de autenticación. El fabricante ha publicado una <b><a href="ftp://ftp.trihedral.com/VTS/VTScada%2011.2%20Versions/VTScada%2011.2.26.zip">actualización</a></b> para dichas vulnerabilidades.</li>
</ul>
<div class="separator" style="clear: both; text-align: center;">
</div>
<div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://www.trihedral.com/images/Water-industry/VTScada_LakeMajor.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="450" data-original-width="800" height="180" src="https://www.trihedral.com/images/Water-industry/VTScada_LakeMajor.png" width="320" /></a></div>
<div class="separator" style="clear: both; text-align: center;">
</div>
<div class="separator" style="clear: both; text-align: center;">
</div>
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
</div>
<div>
<ul>
<li><a href="https://ics-cert.us-cert.gov/advisories/ICSA-17-171-01" target="_blank">Ecava IntegraXor</a> - En esta solución SCADA web es posible realizar un ataque de <b>inyección sql</b> que permite la ejecución de código arbitrario. El fabricante ha mitigado en la vulnerabilidad en la versión 6.0.522.1 la cuál puede ser obtenida <a href="https://www.integraxor.com/download-scada/"><b>aquí</b></a>.</li>
<li><a href="https://ics-cert.us-cert.gov/advisories/ICSA-17-173-01" target="_blank">Siemens SIMATIC CP 44x-1 Redundant Network Access Modules</a> - Un usuario remoto <b>sin autenticación</b> tiene la posibilidad de realizar tareas administrativas en el proceso de comunicación de los módulos RNA (Redundant Network Access) si el acceso por el puerto 102/TCP se encuentra habilitado y el archivo de configuración del proceso de comunicación se encuentra almacenado en la CPU del RNA. El fabricante dispone de actualizaciones para la mitigación de la vulnerabilidad que se encuentran disponibles <a href="https://support.industry.siemens.com/cs/ww/en/view/109748227">aquí</a>.</li>
<li><a href="https://ics-cert.us-cert.gov/advisories/ICSA-17-173-02" target="_blank">Siemens XHQ</a> - Es posible que un usuario con bajos privilegios pueda acceder a datos en la solución XHQ, <b>excediendo sus permisos</b>. Existe una <a href="https://w3.siemens.com/aspa_app/%20(link%20is%20external)">actualización</a> del producto que mitiga la vulnerabilidad.</li>
<li><a href="https://ics-cert.us-cert.gov/advisories/ICSA-17-178-01" target="_blank">Newport XPS-Cx, XPS-Qx</a> - Por medio del acceso a URLs especificas es posible <b>saltar la autenticación</b> definida por el dispositivo. Al momento <b>no existen actualizaciones</b> pero el fabricante asegura que en la próxima generación de controladores la vulnerabilidad va a ser mitigada.</li>
<li><a href="https://ics-cert.us-cert.gov/advisories/ICSA-17-180-03" target="_blank">Siemens Viewport for Web Office Portal</a> - Con el uso de paquetes manipulados es posible subir <b>código arbitrario</b> a los puertos 80 o 443 TCP y realizar una ejecución del código con los permisos del usuarios del sistema operativo. Para obtener la <b>actualización </b>es necesario enviar un correo electrónico a la dirección support.energy@siemens.com.</li>
</ul>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://www.siemens.com/press/pool/de/pressebilder/2009/energy/300dpi/SOE200910-05_300dpi.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="800" data-original-width="800" height="320" src="https://www.siemens.com/press/pool/de/pressebilder/2009/energy/300dpi/SOE200910-05_300dpi.jpg" width="320" /></a></div>
<div>
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
</div>
<div>
<div class="separator" style="clear: both; text-align: center;">
</div>
</div>
<div>
<div>
Con el desarrollo de <a href="http://www.csiete.org/podemos-ayudarle/"><b>servicios profesionales</b></a> de CSIETE en este tipo de infraestructuras, y nuestro constante estudio al respecto, vemos el impacto que pueden generar estos fabricantes, tecnologías y vulnerabilidades en una infraestructura ICS, si necesita realizar una evaluación de su infraestructura puede <b><a href="http://www.csiete.org/contacto/">comunicarse</a></b> con nosotros.</div>
</div>
</div>
Giovanni Cruz Forerohttp://www.blogger.com/profile/14753019907377409633noreply@blogger.com0tag:blogger.com,1999:blog-3826304095550193648.post-31553060632799360602017-06-12T09:56:00.003-07:002017-06-12T09:56:29.482-07:00Resumen de Alertas del ICS-CERT - MayoMayo trajo entre la documentación entregada información relacionada a WannaCry por el impacto que puede generar en infraestructuras de ICS, pero adicionalmente información interesante sobre marcas como Siemens, Rockwell, Schneider entre otros, a continuación presentamos el resumen de vulnerabilidades de Mayo del ICS-CERT. Hay una alta exposición de cámaras vulnerables para nuestro país, de las marcas HikVision y Dahua, lo cual puede afectar directamente infraestructuras de telecomunicaciones, dicho tipo de dispositivos pueden generar un alto impacto si son atacados.<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh3_Zb0ZmHaBz68omUaKOtB4kBBoMbd0rZj7aKAkuY2yASpInL3kcor6YWRZLyxwxus6mUVrwyNDhRc1q6fETiqb3zxqjb4fVqSpIeRgRr13YVumccYRGqAzBApNF2yYRTwB7n5sYZivHE/s1600/ciberseguridad+%25281%2529.jpeg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="1067" data-original-width="1600" height="213" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh3_Zb0ZmHaBz68omUaKOtB4kBBoMbd0rZj7aKAkuY2yASpInL3kcor6YWRZLyxwxus6mUVrwyNDhRc1q6fETiqb3zxqjb4fVqSpIeRgRr13YVumccYRGqAzBApNF2yYRTwB7n5sYZivHE/s320/ciberseguridad+%25281%2529.jpeg" width="320" /></a></div>
<ul>
<li><a href="https://ics-cert.us-cert.gov/advisories/ICSA-17-122-03">Advantech B+B SmartWorx MESR901</a> - La versión de firmware 1.5.2 y anteriores del Gateway Modbus MESR901 son vulnerables a la intercepción de peticiones en la interfaz web de autenticación, permitiendo a un usuario no autenticado el <b>acceso a paginas restringidas</b>. El fabricante ha confirmado que <b>no puede mitigar la vulnerabilidad</b> pero trabaja en un nuevo modelo del producto para reemplazarlo.</li>
<li><a href="https://ics-cert.us-cert.gov/advisories/ICSA-17-122-01" target="_blank">Schneider Electric Wonderware Historian Client</a><span id="goog_323442691"></span><span id="goog_323442692"></span><a href="https://www.blogger.com/"></a> - El cliente del historian Wonderware es vulnerable a ataques de <b>negación de servicio</b> o <b>fuga de información arbitraria</b>, por medio de un ataque que afecta al parser XML de la aplicación. La actualización para la mitigación de la vulnerablidad se encuentra en este <a href="https://gcsresource.invensys.com/tracking/ConfirmDownload.aspx?id=22409%20(link%20is%20external)">link</a>.</li>
<li><a href="https://ics-cert.us-cert.gov/advisories/ICSA-17-094-05" target="_blank">Rockwell Automation ControlLogix 5580 and CompactLogix 5380</a> - Es posible de manera remota explotar una vulnerabilidad en los controladores ControlLogix 5580 versiones V28.011, V28.012, and V28.013,V29.011 y CompactLogix 5380 versiones V28.011 y V29.011, la cual genera un <b>agotamiento de recursos</b> en el equipo atacado haciendo el envío de comandos CIP al controlador. Las <b>actualizaciones</b> para cada una de las series de controladores se encuentra disponibles <a href="http://compatibility.rockwellautomation.com/Pages/MultiProductDownload.aspx?Keyword=1756-L8&crumb=112">aquí</a> y <a href="http://compatibility.rockwellautomation.com/Pages/MultiProductDownload.aspx?Keyword=5069-L&crumb=112">aquí</a>.</li>
<li><a href="https://ics-cert.us-cert.gov/advisories/ICSA-17-124-02" target="_blank">Dahua Technology Co., Ltd Digital Video Recorders and IP Cameras</a> - Se han documentado 12 versiones de cámaras y 3 DVRs de esta marca afectados por vulnerabilidades referentes al uso del <b>hash del password</b> en vez de la contraseña para autenticación y <b>contraseñas en los archivos de configuración</b>. Las actualizaciones existentes deben ser solicitadas directamente al fabricante o al vendedor de la solución. En este momento en Colombia se encuentran casi <b>16000</b> equipos del fabricante expuestos a internet.</li>
</ul>
<div class="separator" style="clear: both; text-align: center;">
</div>
<div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhWBRKkOhtVYUgcGS7ItbtEgLNfG4wxjBtmqkIuT33iiVMTKjXUu_JI_AXoo1WFL2143Y85U1SdngfkqwgHQ9ooLHR21XTA1ZxZcI4vKH8hfCeUcadORGTQR-UfX_fbS6BCV0C2YIRenzQ/s1600/dahua.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="561" data-original-width="1244" height="144" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhWBRKkOhtVYUgcGS7ItbtEgLNfG4wxjBtmqkIuT33iiVMTKjXUu_JI_AXoo1WFL2143Y85U1SdngfkqwgHQ9ooLHR21XTA1ZxZcI4vKH8hfCeUcadORGTQR-UfX_fbS6BCV0C2YIRenzQ/s320/dahua.png" width="320" /></a></div>
<div class="separator" style="clear: both; text-align: center;">
</div>
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
</div>
<div>
<ul>
<li><a href="https://ics-cert.us-cert.gov/advisories/ICSA-17-124-01" target="_blank">Hikvision Cameras</a> - Son reportadas 7 versiones de cámaras vulnerables a ataques relacionados con <b>mala configuración de autenticación</b> y <b>contraseñas en los archivos de configuración</b>, la mitigación actual existente <b>no cubre una actualización</b> que solucione la vulnerabilidad en los archivos de configuración. En Colombia en este momento hay <b>20000</b> cámaras de este fabricante indexadas en shodan.</li>
<li><a href="https://ics-cert.us-cert.gov/advisories/ICSA-17-124-03" target="_blank">Advantech WebAccess</a> - El dashboard de inteligencia de negocios para control de dispositivos IIoT y protocolos industriales es vulnerable a ataques de <b>Path Traversal</b>. La actualización de la versión vulnerable se encuentra disponible en el <a href="http://www.advantech.com/industrial-automation/webaccess/download">sitio</a> del fabricante.</li>
<li><a href="https://ics-cert.us-cert.gov/advisories/ICSA-17-129-03" target="_blank">Siemens SIMATIC WinCC and SIMATIC WinCC Runtime Professional</a> - Las estaciones SIMANTIC de Siemens en 6 de sus versiones de WinCC, WinCC Runtime Professional y WinCC (TIA Portal), son vulnerables a una <b>validación inadecuada de entradas</b>, donde un usuario autenticado del grupo de administradores, puede por medio de la interfaz DCOM hacer que los servicios se detengan. El fabricante ha generado <b><a href="https://www.siemens.com/cert/en/cert-security-advisories.htm">actualizaciones</a></b> para las versiones vulnerables.</li>
<li><a href="https://ics-cert.us-cert.gov/advisories/ICSA-17-129-01" target="_blank">Siemens devices using the PROFINET Discovery and Configuration Protocol</a> - 17 equipos Siemens que si se encuentran configurados para el uso del PROFINET DCP son vulnerables a que paquetes de broadcast PROFINET DCP en un segmento Ethernet en capa 2 pueden generar una <b>negación de servicio</b>. Hasta el momento se encuentran <b>mitigados 4 de los equipos vulnerables</b>, el fabricante aún se encuentra preparando actualizaciones para los equipos faltantes.</li>
<li><a href="https://ics-cert.us-cert.gov/advisories/ICSA-17-094-04" target="_blank">Rockwell Automation Stratix 5900</a> - Han sido reportadas 40 diferentes vulnerabilidades en estos routers en las versiones 15.6.3 e inferiores. El impacto de dichas vulnerabilidades puede permitir a un atacante la realización de ataques de <b>hombre en el medio</b>, crear condiciones de <b>negación de servicio</b> o la <b>ejecución remota de código</b>. La versión 15.6.3 del firmware mitiga las vulnerabilidades y se encuentra disponible en <b><a href="http://compatibility.rockwellautomation.com/Pages/MultiProductDownload.aspx?famID=15">esta</a></b> página.</li>
</ul>
<div class="separator" style="clear: both; text-align: center;">
</div>
<div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEioiSOjbATTQlNEqg4xFFsE3MXEd_TZPcctgBwfhVFJ4qjBvaXBEHwbCJv3oPz8hCwkuUijoBeIx8qc3yMySu8JAbirprZDv6qZziiJkqQm8ZtINtBPteDt5fB-KqS9CtP12vlhRuzXZiA/s1600/hikvision.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="564" data-original-width="1248" height="144" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEioiSOjbATTQlNEqg4xFFsE3MXEd_TZPcctgBwfhVFJ4qjBvaXBEHwbCJv3oPz8hCwkuUijoBeIx8qc3yMySu8JAbirprZDv6qZziiJkqQm8ZtINtBPteDt5fB-KqS9CtP12vlhRuzXZiA/s320/hikvision.png" width="320" /></a></div>
<div class="separator" style="clear: both; text-align: center;">
</div>
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
</div>
<div>
<ul>
<li><a href="https://ics-cert.us-cert.gov/advisories/ICSA-17-131-01" target="_blank">Phoenix Contact GmbH mGuard</a> - Los dispositivos de red mGuard en las versiones 8.3.0 a 8.4.2 son vulnerables a ataques que generan el <b>agotamiento de recursos</b> por medio de multiples peticiones de inicio de VPN y ataques que permitan <b>acceso al equipo</b> cuando los servidores RADIUS no se encuentran disponibles. Se encuentran disponibles versiones de firmware actualizadas que solucionan las vulnerabilidades.</li>
<li><a href="https://ics-cert.us-cert.gov/advisories/ICSA-17-136-01" target="_blank">Detcon SiteWatch Gateway</a> - Todas las versiones del Gateway SiteWatch son vulnerables a que un atacante realice <b>modificaciones del dispositivo </b>haciendo uso de URLs manipuladas y encontrar información de autenticación almacenada en <b>texto plano sin autenticación</b>. El fabricante <b>no presta mas soporte</b> para estos dispositivos.</li>
<li><a href="https://ics-cert.us-cert.gov/advisories/ICSA-17-143-01" target="_blank">Moxa OnCell</a> - Fueron encontradas 3 vulnerabildiades en los gateways celulares para redes de control las cuales incluyen un <b>CSRF</b>, el <b>almacenamiento en texto plano de contraseñas</b> y la <b>falta de restricción</b> de intentos de autenticación. Existen <b>actualizaciones</b> para algunos de los equipos vulnerables, para otros casos se recomienda activar el acceso por <b>HTTPS</b> a las consolas de los equipos.</li>
<li><a href="https://ics-cert.us-cert.gov/advisories/ICSA-17-115-04" target="_blank">Rockwell Automation Allen-Bradley MicroLogix 1100 and 1400</a> - 4 Versiones de los PLC MicroLogix 1100 y 6 versiones de los MicroLogix 1400 son vulnerables a <b>predicción de secuencias de inicialización TCP</b>, <b>reuso de nonces</b> en peticiones cifradas a los equipos, envío de credenciales de autenticación por medio del <b>método GET</b>, <b>falta de restricción</b> de intentos de autenticación y equipos protegidos con <b>contraseñas numéricas</b>. Solo las series B de los PLC MicroLogix 1400 tienen disponible una <b><a href="http://compatibility.rockwellautomation.com/Pages/MultiProductDownload.aspx?Keyword=1766-Lxx&crumb=112%20(link%20is%20external)">actualización</a></b>, Los PLC MicroLogix 1100 y las versiones A de los MicroLogix 1400 no tienen actualizaciones.</li>
</ul>
<div>
El desarrollo de <a href="http://www.csiete.org/podemos-ayudarle/"><b>servicios profesionales</b></a> de CSIETE en este tipo de infraestructuras, nos permite generar un resumen con los equipos encontrados en el país, que pueden generar un impacto negativo en infraestructuras críticas del país. Para más información acerca de nuestros servicios, puede <b><a href="http://www.csiete.org/contacto/">comunicarse</a></b> con nosotros.</div>
</div>
</div>
Giovanni Cruz Forerohttp://www.blogger.com/profile/14753019907377409633noreply@blogger.com0tag:blogger.com,1999:blog-3826304095550193648.post-90824805357364142722017-05-08T10:09:00.000-07:002017-05-08T10:09:25.808-07:00Resumen de Alerta del ICS-CERT - AbrilUn nuevo mes e interesantes boletines han sido generados desde el ICS CERT, incluyendo diferentes tips de tecnologías afectadas, a continuación realizamos un resumen de las principales vulnerabilidades del mes de Abril. Este mes algunos de los equipos informados pertenecen al sector manufactura, comidas, agricultura, así como al sector eléctrico y sistemas de transporte.<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgyxN_JBjoihyphenhyphenpmNGurfR4dCkx_yKjVYcvAD2poqPC9vl8WTX13IPHwJ1DVbNJZlutcf4jDbSY24mQ_h1R4Ds67JtwtIK2Y6_IJ8iDnFR_u0NmLTYUQA0oyBHgaT6nV_w-qZqn-qXGueyY/s1600/logos22.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="252" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgyxN_JBjoihyphenhyphenpmNGurfR4dCkx_yKjVYcvAD2poqPC9vl8WTX13IPHwJ1DVbNJZlutcf4jDbSY24mQ_h1R4Ds67JtwtIK2Y6_IJ8iDnFR_u0NmLTYUQA0oyBHgaT6nV_w-qZqn-qXGueyY/s320/logos22.png" width="320" /></a></div>
<br />
<br />
<ul>
<li><a href="https://ics-cert.us-cert.gov/advisories/ICSA-17-094-02" target="_blank">Marel Food Processing Systems</a> - En multiples equipos del fabricante se ha identificado <b>contraseñas quemadas </b>dentro de los dispositivos que no pueden ser cambiadas por los usuarios finales y se ha identificado que es posible subir <b>nuevas versiones de firmware</b> sin detección alguna. Al momento el fabricante no ha desarrollado ninguna solución para las vulnerabilidades identificadas.</li>
<li><a href="https://ics-cert.us-cert.gov/advisories/ICSA-17-094-01" target="_blank">Schneider Electric Interactive Graphical SCADA System Software</a><span id="goog_323442691"></span><span id="goog_323442692"></span><a href="https://www.blogger.com/"></a> - Es posible realizar un <b>secuestro de DLLs </b>en la aplicación de escritorio IGSS HMI, la explotación exitosa de la vulnerabilidad puede permitir la ejecución de código arbitrario. El fabricante recomienda la actualización de las estaciones de trabajo a <b>Windows 10</b>, ya que dicho sistema operativo obliga a que existan rutas fijas para los DLL.</li>
<li><a href="https://ics-cert.us-cert.gov/advisories/ICSA-17-094-03" target="_blank">Rockwell Automation Allen-Bradley Stratix and Allen-Bradley ArmorStratix</a> - Al igual que la vulnerabilidad recientemente publicada para vulnerar equipos CISCO, debido a la <b>mala validación de entradas</b> es posible establecer una sesión telnet con los equipos vulnerables. La afectación del equipo puede llevar a su reinicio o la ejecución de código arbitrario. La vulnerabilidad en los switches afectados no ha sido mitigada, por lo tanto se recomienda <b>deshabilitar el protocolo telnet</b> en los equipos vulnerables.</li>
<li><a href="https://ics-cert.us-cert.gov/advisories/ICSA-17-101-01" target="_blank">Schneider Electric Modicon Modbus Protocol</a> - Se han identificado vulnerabilidades en todos los equipos Schneider que usan el protocolo Modicon Modbus, con los cuales es posible realizar <b>ataques de replay con los comandos: run, stop, upload y download</b>, adicionalmente el <b>manejo de sesiones</b> permite que el protocolo sea susceptible a ataques de fuerza bruta. Se han establecido controles compensatorios para algunos equipos, sin embargo aún no existe una mitigación definitiva para la vulnerabilidad.</li>
</ul>
<div class="separator" style="clear: both; text-align: center;">
</div>
<div>
<div class="separator" style="clear: both; text-align: center;">
<a href="http://www.elec-intro.com/EX/05-14-02/installation.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="http://www.elec-intro.com/EX/05-14-02/installation.jpg" height="250" width="320" /></a></div>
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
</div>
<div>
<ul>
<li><a href="https://ics-cert.us-cert.gov/advisories/ICSA-17-103-02" target="_blank">Schneider Electric Modicon M221 PLCs and SoMachine Basic</a> - Es posible enviar paquetes especialmente manipulados por el puerto 502 a los PLC Modicon 221 los cuales permiten la <b>obtención de contraseñas de protección de la aplicación</b>. La protección de proyectos del software SoMachine Basic incluyendo las contraseñas de usuarios son protegidas con <b>contraseñas quemadas en el software</b>. Las vulnerabilidades del software serán mitigadas el 15 de Junio del 2017.</li>
<li><a href="https://ics-cert.us-cert.gov/advisories/ICSA-17-103-01" target="_blank">Wecon Technologies LEVI Studio HMI Editor</a> - Han sido detectadas vulnerabilidades de Buffer Overflow pasadas en HEAP y Stack en el software en cuestión. Se recomienda realizar una actualización del software disponible <a href="http://www.we-con.com.cn/en/download/softwares/levi-series-hmi/">aquí</a>.</li>
<li><a href="https://ics-cert.us-cert.gov/advisories/ICSA-17-026-02A" target="_blank">Belden Hirschmann GECKO</a> - Han sido identificadas y documentadas múltiples vulnerabilidades en los switches GECKO entre las que se incluyen: <b>Cross Site Request Forgery</b>, <b>Server Side Request Forgery</b>, donde el servidor recibe la petición pero no confirma que la petición sea enviada al destino esperado y <b>exposición de información</b>, donde información sensible puede ser obtenida sin credenciales. Las consecuencias de la explotación de las vulnerabilidades permite acceder a una <b>copia de los archivos de configuración</b> del equipo sin autenticación. El fabricante ha publicado una <b><a href="https://www.e-catalog.beldensolutions.com/link/57078-24455-402707-402708/en/conf/0">actualización</a></b> para mitigar las vulnerabilidades.</li>
<li><a href="https://ics-cert.us-cert.gov/advisories/ICSA-17-115-02" target="_blank">Sierra Wireless AirLink Raven XE and XT</a> - Los equipos Airlink Raven XE y XT pueden ser accedidos para realizar manipulación de funciones sensitivas, por medio de ataques de <b>falta de autenticación</b> a recursos privilegiados, ataques de <b>CSRF</b> y <b>falta de protección de información sensible</b> a nivel de transporte. El fabricante ha publicado <b><a href="https://source.sierrawireless.com/resources/airlink/software_reference_docs/raven-ics-alert-16-182-01/">actualizaciones</a></b> para el firmware de los dispositivos vulnerables.</li>
<li><a href="https://ics-cert.us-cert.gov/advisories/ICSA-17-115-01" target="_blank">BLF-Tech LLC VisualView HMI</a> - El software en cuestión es vulnerable a la búsqueda no controlada de elementos en la ruta, la cual puede generar la <b>ejecución de archivos DLL</b> que pueden llevar a la <b>ejecución arbitraria de código</b>. Existe una <b><a href="http://www.hmisys.com/downloads/VisualViewTrialInstaller.exe">actualización</a></b> que mitiga la vulnerabilidad.</li>
</ul>
<div class="separator" style="clear: both; text-align: center;">
</div>
<div>
<div class="separator" style="clear: both; text-align: center;">
<a href="http://www.beldensolutions.com/res/Media/hirschmann.com/Media/Bilder/GECKO_Secomea_Webpic_KV_INIT_HIR_0315_EMEA_450x280px/GECKO_Secomea_Webpic_KV_INIT_HIR_0315_EMEA_450x280px.jpg.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="http://www.beldensolutions.com/res/Media/hirschmann.com/Media/Bilder/GECKO_Secomea_Webpic_KV_INIT_HIR_0315_EMEA_450x280px/GECKO_Secomea_Webpic_KV_INIT_HIR_0315_EMEA_450x280px.jpg.jpg" /></a></div>
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
</div>
<div>
<ul>
<li><a href="https://ics-cert.us-cert.gov/advisories/ICSA-17-117-01" target="_blank">GE Multilin SR Protective Relays</a> - Las contraseñas de usuarios de estos relays son creados <b>sin vectores de inicialización aleatorios</b>, lo cual permite que los mismos sean atacados con diccionarios. Los textos cifrados pueden ser obtenidos por medio de las pantallas de los relays o por medio del protocolo modbus. GE ha planeado una actualización para Junio.</li>
<li><a href="https://ics-cert.us-cert.gov/advisories/ICSA-17-096-01A" target="_blank">Certec EDV GmbH atvise scada</a> - El software Atvise SCADA sin los mecanismos de protección que se incluyen en el software es vulnerable a ataques de <b>XSS</b> e <b>inyección en las cabeceras web</b>, lo que puede permitir la ejecución arbitraria de código. Aunque existen elementos de protección en el software que mitigan las vulnerabilidades, es posible realizar una actualización de la solución <b><a href="http://www.atvise.com/en/component/phocadownload/category/65-patches">disponible</a></b> en el sitio del fabricante.</li>
</ul>
<div>
<br /></div>
</div>
</div>
<div>
De primera mano el equipo de <a href="http://www.csiete.org/podemos-ayudarle/"><b>servicios profesionales</b></a> de CSIETE ha realizado pruebas de vulnerabilidad y análisis de riesgos en infraestructuras que tienen estas tecnologías, muchas de las vulnerabilidades publicadas son relevantes para nuestro país. Para información adicional de como mitigar estas vulnerabilidades en infraestructuras críticas y de automatización no dude en <b><a href="http://www.csiete.org/contacto/">comunicarse</a></b> con nosotros.</div>
Giovanni Cruz Forerohttp://www.blogger.com/profile/14753019907377409633noreply@blogger.com1tag:blogger.com,1999:blog-3826304095550193648.post-1658428069742943192017-04-05T14:59:00.001-07:002017-04-05T14:59:48.216-07:00Resumen de Alerta del ICS-CERT - MarzoMarzo fue un mes lleno de vulnerabilidades reportadas desde el ICS-CERT, algunos de los equipos reportados son ampliamente instalados en infraestructuras críticas locales, gracias a la gran penetración comercial que tienen en nuestro país, a continuación un resumen de las vulnerabilidades del mes de Marzo.<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgyxN_JBjoihyphenhyphenpmNGurfR4dCkx_yKjVYcvAD2poqPC9vl8WTX13IPHwJ1DVbNJZlutcf4jDbSY24mQ_h1R4Ds67JtwtIK2Y6_IJ8iDnFR_u0NmLTYUQA0oyBHgaT6nV_w-qZqn-qXGueyY/s1600/logos22.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="252" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgyxN_JBjoihyphenhyphenpmNGurfR4dCkx_yKjVYcvAD2poqPC9vl8WTX13IPHwJ1DVbNJZlutcf4jDbSY24mQ_h1R4Ds67JtwtIK2Y6_IJ8iDnFR_u0NmLTYUQA0oyBHgaT6nV_w-qZqn-qXGueyY/s320/logos22.png" width="320" /></a></div>
<br />
<br />
<ul>
<li><a href="https://ics-cert.us-cert.gov/advisories/ICSA-17-059-01" target="_blank">Siemens RUGGEDCOM NMS</a> - Las versiones anteriores a la 2.1.0 del Network Manager System de RUGGEDCOM de Siemens son vulnerables a ataques de <b>CSRF</b> y <b>XSS</b> que pueden permitir a un atacante afectar una cuenta de administración. Siemens ha lanzado una <a href="https://support.industry.siemens.com/cs/document/109745179/delivery-release-for-ruggedcom-nms-2-1-0?lc=en-ww" target="_blank"><b>actualización</b></a> para dichas vulnerabilidades.</li>
<li><a href="https://ics-cert.us-cert.gov/advisories/ICSA-16-103-03" target="_blank">Siemens Industrial Products DROWN Vulnerability (Update A)</a><span id="goog_323442691"></span><span id="goog_323442692"></span><a href="https://www.blogger.com/"></a> - Ha sido publicada una actualización de una alerta generada en el mes de Abirl del 2016 de equipos en ambientes ICS de la marca Siemens que son vulnerables al ataque <b>DROWN</b> (Decrypting RSA with Obsolete and Weakened eNcryption).</li>
<li><a href="https://ics-cert.us-cert.gov/advisories/ICSA-17-061-02" target="_blank">Schneider Electric Conext ComBox</a> - Es posible realizar un ataque que permite el <b>agotamiento de recursos</b> por medio de peticiones multiples, que genera un <b>reinicio del equipo</b>, generando una indisponibilidad en estos equipos de monitoreo de paneles solares. El fabricante ha publicado la versión <b>V3.03 BN 830</b> del firmware para mitigar dicha vulnerabilidad.</li>
<li><a href="https://ics-cert.us-cert.gov/advisories/ICSA-17-061-03" target="_blank">Siemens SINUMERIK Integrate and SINUMERIK Operate</a> - La vulnerabilidad identificada para estos equipos, permite a un atacante en una red privilegiada realizar ataques de intercepción y modificación de tráfico (<b>Man-in-the-Middle</b>), para tráfico que se encuentra protegido a nivel de transporte. Simens ofrece actualizaciones por medio de distribuidores locales.</li>
</ul>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://images.duckduckgo.com/iu/?u=http%3A%2F%2Fw3.siemens.com%2Fmcms%2Findustrial-communication%2Fen%2Frugged-communication%2Fproducts%2Fnetwork-management%2FPublishingImages%2FSiemens_NMS_screenshot2-lg.jpg&f=1" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="229" src="https://images.duckduckgo.com/iu/?u=http%3A%2F%2Fw3.siemens.com%2Fmcms%2Findustrial-communication%2Fen%2Frugged-communication%2Fproducts%2Fnetwork-management%2FPublishingImages%2FSiemens_NMS_screenshot2-lg.jpg&f=1" width="320" /></a></div>
<div>
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
</div>
<div>
<ul>
<li><a href="https://ics-cert.us-cert.gov/advisories/ICSA-17-061-01" target="_blank">Eaton xComfort Ethernet Communication Interface</a> - Haciendo uso de ciertas URLs un usuario <b>sin autenticación</b> puede <b>acceder a información sensible</b> como, archivos de backup y logs. El fabricante a publicado <a href="http://www.eaton.eu/Europe/Electrical/ProductsServices/Residential/xComfort-RFSmartHomeSolutions/index.htm?wtredirect=www.eaton.eu/xcomfort#tabs-11" target="_blank">actualizaciones</a> para la mitigación de la vulnerabilidad.</li>
<li><a href="https://ics-cert.us-cert.gov/advisories/ICSA-16-313-02" target="_blank">Siemens Industrial Products Local Privilege Escalation Vulnerability (Update D)</a> - Este boletín es una actualización de una vulnerabilidad de <b>escalamiento de privilegios</b> para un usario local en dispositivos SIMATIC. Información acerca de la mitigación de la vulnerabilidad y actualizaciones puede ser encontrada en el sitio oficila de <a href="https://support.industry.siemens.com/cs/document/109740929/security-mitigation-for-simatic-products-with-user-defined-installation-path?dti=0&lc=en-WW" target="_blank">Siemens</a>.</li>
<li><a href="https://ics-cert.us-cert.gov/advisories/ICSA-17-066-01" target="_blank">Schneider Electric Wonderware Intelligence</a> - El servidor Tableu que se encuentra dentro de la solución Schneider Electric Wonderware Intelligence en su instalación tiene <b>contraseñas por defecto</b> que no se pueden cambiar y permite realizar ataques de <b>escalamiento de privilegios</b> con dichas credenciales. Schneider ha publicado un <a href="http://software.schneider-electric.com/support/cyber-security-updates/" target="_blank"><b>boletín</b></a> con información relacionada con la vulnerabilidad, junto a actualizaciones para la mitigación de la vulnerabilidad.</li>
<li><a href="https://ics-cert.us-cert.gov/advisories/ICSA-17-068-01" target="_blank">Schneider Electric ClearSCADA</a> - Un atacante con acceso a la red donde se encuentra la solución ClearSCADA puede enviar una <b>secuencia de comandos</b> que hace que los <b>procesos de red y del servidor terminen</b>. El fabricante ha publicado <a href="http://resourcecenter.controlmicrosystems.com/display/public/CS/SCADA+Expert+ClearSCADA+Downloads;jsessionid=F26384D1A5D032D182D3001F0E9D1114" target="_blank"><b>actualizaciones y hotfixes</b></a> para la mitigación de esta vulnerabilidad.</li>
<li><a href="https://ics-cert.us-cert.gov/advisories/ICSA-16-327-02" target="_blank">Siemens SIMATIC CP 343-1/CP 443-1 Modules and SIMATIC S7-300/S7-400 CPUs Vulnerabilities (Update A)</a> - En Noviembre del año pasado se publicó una vulnerabilidad que permite <b>manipular las sesiones</b> por puerto 80 y 443 de la interfaz de administración de estos dispositivos y t<b>omar acceso de dichas sesiones de manera remota</b>. Esta actualización incluye la lista actualizada de dispositivos vulnerables e información relacionada a la <a href="https://support.industry.siemens.com/cs/document/109742236/download-for-firmware-update-v3-0-53-of-cp-343-1-advanced-(6gk7343-1gx31-0xe0)-?dti=0&lc=en-WW" target="_blank"><b>mitigación</b></a> de dichas vulnerabilidades.</li>
</ul>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://images.duckduckgo.com/iu/?u=http%3A%2F%2Fw3.siemens.com%2Fmcms%2Fpc-based-automation%2Fen%2Findustrial-pc%2FDocuments%2Fwebfeature%2Fimg%2Fipc827d.png&f=1" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="320" src="https://images.duckduckgo.com/iu/?u=http%3A%2F%2Fw3.siemens.com%2Fmcms%2Fpc-based-automation%2Fen%2Findustrial-pc%2FDocuments%2Fwebfeature%2Fimg%2Fipc827d.png&f=1" width="320" /></a></div>
<div>
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
</div>
<div>
<ul>
<li><a href="https://ics-cert.us-cert.gov/advisories/ICSA-17-047-02" target="_blank">Rockwell Automation FactoryTalk Activation</a> - FactoryTalk Activation es un producto usado en diferentes productos de automatización de Rockwell entre los que se encuentran entre otros el RSLogix, RDFieldBus, FactoryTalk, SoftLogix entre otros, puede permitir a un usuario autenticado pero sin privilegios, <b>ejecutar o realizar un link</b> a un ejecutable malicioso. El fabricante sugiere la actualización de los productos a su última versión con el software disponible en este <a href="http://compatibility.rockwellautomation.com/Pages/MultiProductFindDownloads.aspx?crumb=112&mode=3&refSoft=1&versions=54269%20" target="_blank"><b>link</b></a>.</li>
<li><a href="https://ics-cert.us-cert.gov/advisories/ICSA-16-336-02" target="_blank">Moxa NPort Device Vulnerabilities (Update A)</a> - Una actualización de una vulnerabilidad publicada en Diciembre del año pasado entrega información adicional de equipos vulnerables y nuevas versiones de firmwares disponibles para la mitigación de vulnerabilidades de los servidores NPort de la marca Moxa que incluyen <b>mal manejo de credenciales</b>, <b>ejecución de código remoto</b>, <b>buffer overflow</b>, <b>XSS</b>, <b>CSRF</b>, <b>falta de restricción de intentos de autenticación</b>, <b>almacenamiento en texto plano de contraseñas </b>y a<b>taques de negación de servicio</b>. El fabricante ha generado actualizaciones para los diferentes productos y sus diferentes versiones.</li>
<li><a href="https://ics-cert.us-cert.gov/advisories/ICSA-17-087-01" target="_blank">Siemens RUGGEDCOM ROX I</a> - Se han encontrado vulnerabilidades el los equipos RUGGEDCOM que pueden permitir a <b>usuarios sin autenticación el acceso a archivos de manera arbitraria</b> por el puerto 10000/TCP, adicionalmente vulnerabilidades de <b>XSS</b> y <b>CSRF</b>. El fabricante recomienda usar la <a href="https://support.industry.siemens.com/cs/document/109746106/how-to-update-security-for-ruggedcom-rox-%E2%80%93-security-advisory-ssa-327980?lc=en-ww" target="_blank"><b>herramienta de mitigación</b></a> que ha publicado y deshabilitar la interfaz web y las cuentas de operator y guest.</li>
<li><a href="https://ics-cert.us-cert.gov/advisories/ICSA-17-089-02" target="_blank">Schneider Electric Modicon PLCs</a> - Vulnerabilidades en la capa de transporte para la <b>transmisión de credenciales</b> y en la <b>generación de valores aleatorios</b> para las secuencias de TCP permiten que tráfico sensible a estos dispositivos sea interceptado y posiblemente manipulado. El fabricante ha dispuesto actualizaciones de firmware a través de su <b><a href="http://www.schneider-electric.fr/fr/download/document/SOMBASAP15SOFT/" target="_blank">herramienta</a> </b>de actualización y algunos controles compensatorios.</li>
</ul>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiMyPAtF5fhr-2P3yiiQHEXer5ZLN00uztE4pFXtj4ARIP_0UaK_jAwwGoPOkTmRxeUhpjAxul1okYjW8e24VtZyRi-fwNQuJ7eNjdIiT-U462x1-U11sTvAOQ-eK_AWFUEVhQJumxittg/s1600/Nport.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="207" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiMyPAtF5fhr-2P3yiiQHEXer5ZLN00uztE4pFXtj4ARIP_0UaK_jAwwGoPOkTmRxeUhpjAxul1okYjW8e24VtZyRi-fwNQuJ7eNjdIiT-U462x1-U11sTvAOQ-eK_AWFUEVhQJumxittg/s320/Nport.png" width="320" /></a></div>
<div>
<br /></div>
</div>
</div>
<div>
Algunas de las vulnerabilidades publicadas este mes no se encuentran en el resumen debido a su baja implementación en la región y en nuestro país, sin embargo los equipos aquí documentados se encuentran en diferentes infraestructuras críticas y de automatización.</div>
Giovanni Cruz Forerohttp://www.blogger.com/profile/14753019907377409633noreply@blogger.com1tag:blogger.com,1999:blog-3826304095550193648.post-45127206750741645402017-04-01T07:05:00.000-07:002017-04-01T07:05:17.034-07:00Abril, tiempo de OWASP Latam TourLlego abril y con él, el paso por Bogotá del <a href="https://www.owasp.org/index.php/LatamTour2017" target="_blank">OWASP LATAM TOUR 2017</a>, evento realizado en todo América Latina que promueve la seguridad de software con el objetivo de crear conciencia sobre los riesgos a los que nos enfrentamos actualmente. Está enfocado a instituciones educativas, organismos gubernamentales, empresas de TI, entidades financieras y en general a todos aquellos interesados en aumentar su seguridad digital y la de su entorno.<br />
<br />
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><span style="margin-left: auto; margin-right: auto;"><a href="https://www.eventbrite.com/e/owasp-latam-tour-bogota-tickets-32162099706?aff=OWASPLATAMWIKI" target="_blank"><img border="0" height="203" src="https://www.owasp.org/images/d/dc/Latam_logo_2017.jpg" width="320" /></a></span></td></tr>
<tr><td class="tr-caption" style="text-align: center;"><a href="https://www.eventbrite.com/e/owasp-latam-tour-bogota-tickets-32162099706?aff=OWASPLATAMWIKI" target="_blank">OWASP Latam 2017</a></td></tr>
</tbody></table>
<blockquote class="tr_bq" style="text-align: justify;">
En 2017 volvemos al Latam Tour, con la idea de tener un día para compartir todos los proyectos que tiene OWASP, discutir como los usamos, que hemos aprendido de ellos, la forma en que podemos seguir fortaleciendo nuestra seguridad digital con dichos proyectos en un ambiente de aprendizaje, junto a los miembros del Capítulo Bogotá y todos los asistentes que quieran aprender y compartir en este evento.</blockquote>
<div class="separator" style="clear: both; text-align: justify;">
</div>
<a name='more'></a><br />
<div class="separator" style="clear: both; text-align: justify;">
Latinoamérica ya se mueve con eventos en todos los países y <a href="https://www.owasp.org/index.php/LatamTour2017#tab=BOGOT_C3_81" target="_blank">Bogotá</a> no podía quedarse atrás, este año con el patrocinio de <a href="http://www.cseite.org/" target="_blank">CSIETE</a>, la <a href="http://www.unipiloto.edu.co/" target="_blank">universidad Piloto de Colombia</a> y el evento de seguridad <a href="https://www.bsidesco.org/" target="_blank">BSides Colombia</a>.</div>
<div class="separator" style="clear: both; text-align: justify;">
<br /></div>
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjjQRuz1YtWu4-BgDSFyb6DGxtqouYWwj9pcW3APTb4y8vFlVKlXsfDji0CjDWhFGtMmHewg7PzlZwzdNu8aMWZUkFg8A3k-ZR0eFbYATVWfFX1EhJVNwH1t8slxbNsN5tRr7530DtPZr1V/s1600/owasp_latam_2017.jpg" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" height="269" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjjQRuz1YtWu4-BgDSFyb6DGxtqouYWwj9pcW3APTb4y8vFlVKlXsfDji0CjDWhFGtMmHewg7PzlZwzdNu8aMWZUkFg8A3k-ZR0eFbYATVWfFX1EhJVNwH1t8slxbNsN5tRr7530DtPZr1V/s320/owasp_latam_2017.jpg" width="320" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Actividad en latinoamérica del OWASP LatamTour</td></tr>
</tbody></table>
<br />
<div style="text-align: justify;">
Los esperamos este lunes 3 de abril, desde las 7:50 a.m. para aprender, compartir, debatir en torno a la seguridad de la información en un espacio totalmente abierto donde se tratarán los siguientes temas:</div>
<br />
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi1fdoFprZubGX9YlmNeA3zk2R6GsJeZ254iJr8g-HM8J2ye7eNAAeG-iEz6hfbbOlaaeoFqfVhoX_mrTXcBthSjQqwR5UIhyphenhyphenAiQCtEOpt77zTcLbFjB7SBaBKbjl17ZEX4NyTZzFGfOik2/s1600/OLT17_agenda.jpg" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" height="310" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi1fdoFprZubGX9YlmNeA3zk2R6GsJeZ254iJr8g-HM8J2ye7eNAAeG-iEz6hfbbOlaaeoFqfVhoX_mrTXcBthSjQqwR5UIhyphenhyphenAiQCtEOpt77zTcLbFjB7SBaBKbjl17ZEX4NyTZzFGfOik2/s400/OLT17_agenda.jpg" width="400" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Agenda Bogotá</td></tr>
</tbody></table>
<br />
No olviden <a href="https://www.eventbrite.com/e/owasp-latam-tour-bogota-tickets-32162099706?aff=OWASPLATAMWIKI" target="_blank">registrarse para ingresar al evento, en el servicio dispuesto online con Eventbrite</a>. Los esperamos, recuerden que la seguridad de la información la hacemos todos<span style="text-align: justify;">.</span><br />
Eduardo Chavarro Ovallehttp://www.blogger.com/profile/11537520679484769400noreply@blogger.com0tag:blogger.com,1999:blog-3826304095550193648.post-11620184042555732542017-03-30T19:50:00.000-07:002017-03-30T19:58:22.556-07:00Coctel vulnerable WebDav/IIS 6/Windows 2003, pone en riesgo miles de máquinas sin soporte<div style="text-align: justify;">
El 15 de junio de 2015, Microsoft <a href="https://support.microsoft.com/es-us/lifecycle/search?alpha=Windows%20Server%202003%20R2" target="_blank">dio por finalizado</a> cualquier tipo de soporte en su sistema operativo Windows Server 2003, esto incluía la versión 6 de su servidor web Microsoft IIS.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Después de haberse conocido <a href="https://www.cvedetails.com/version/13492/Microsoft-IIS-6.0.html" target="_blank">al menos 11 vulnerabilidades importantes de la versión del servidor web IIS 6 hasta 2010</a> -dando tiempo a Microsoft para proponer los debidos controles de aseguramiento-, el pasado 22 de marzo los investigadores <i>Zhiniang Peng</i> y <i>Chen Wu</i> presentaron una prueba de concepto de la vulnerabilidad identificada con el <i><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-7269" target="_blank">CVE-2017-7269</a></i>, demostrando un <i>overflow</i> en el servidor web Microsoft IIS 6, permitiendo la ejecución remota de comandos.</div>
<br />
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjYij2jYMS6dH8tWH5Cso9aSuhKOm3aChAWVQvzt6IdNrwwBrmwxXWdIAS8TVAUQrhWKhvcNA68bmvObJse3VvPd6Ph2VW5AmOo3ZYM_0pejp_3rkBUzjmfOiB9NARCxuXPrsZCLqxgjGz_/s1600/cvedetails_iis6_w2003.jpeg" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjYij2jYMS6dH8tWH5Cso9aSuhKOm3aChAWVQvzt6IdNrwwBrmwxXWdIAS8TVAUQrhWKhvcNA68bmvObJse3VvPd6Ph2VW5AmOo3ZYM_0pejp_3rkBUzjmfOiB9NARCxuXPrsZCLqxgjGz_/s1600/cvedetails_iis6_w2003.jpeg" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Vulnerabilidades de Microsoft IIS 6</td></tr>
</tbody></table>
<br />
<br />
<br />
<div style="text-align: justify;">
La <a href="https://github.com/edwardz246003/IIS_exploit/blob/master/exploit.py" target="_blank">prueba de concepto</a> afecta servidores IIS 6, con el servicio WebDav habilitado en servidores Windows 2003 R2, ejecutando, de acuerdo al comentario de los investigadores, el procesos <i>calc.exe</i> en el servidor al hacer una petición POST usando el método PROPFIND al servidor vulnerable.</div>
<a name='more'></a><br />
<blockquote class="tr_bq">
<span style="color: #666666;"><b>PROPFIND</b> - Método usado para recuperar propiedades, almacenadas como XML, desde un recurso. También está sobrecargado para permitir recuperar la estructura de colección (alias jerarquía de directorios) de un sistema. Tomado de Wikipedia. </span></blockquote>
<div style="text-align: justify;">
Antes de ejecutar el exploit publicado por los investigadores de la <i>South China University of Technology</i>, modificamos la variable <i>shellcode</i>, para tratar de identificar detalles del método invocado donde se produce el <i>overflow</i>:</div>
<blockquote class="tr_bq">
<i><span style="font-family: "courier new" , "courier" , monospace;"><span style="background-color: white; color: #24292e; font-size: 14px;">pay='PROPFIND / HTTP/1.1\r\nHost: localhost\r\nContent-Length: 0\r\n'</span><span style="background-color: white; color: #24292e; font-size: 14px;"></span></span></i></blockquote>
<blockquote class="tr_bq">
<i><span style="font-family: "courier new" , "courier" , monospace;"><span style="background-color: white; color: #24292e; font-size: 14px;">pay+='If: <http://localhost/aaaaaaa'</span><span style="background-color: white; color: #24292e; font-size: 14px;"></span></span></i></blockquote>
<blockquote class="tr_bq">
<i><span style="background-color: white; color: #24292e; font-size: 14px;"><span style="font-family: "courier new" , "courier" , monospace;">...</span></span></i></blockquote>
<blockquote class="tr_bq">
<i><span style="font-family: "courier new" , "courier" , monospace;"><span style="background-color: white; color: #24292e; font-size: 14px;"><b>shellcode='A'*600</b></span><span style="background-color: white; color: #24292e; font-size: 14px;"></span></span></i></blockquote>
<blockquote class="tr_bq">
<i><span style="background-color: white; color: #24292e; font-size: 14px;"><span style="font-family: "courier new" , "courier" , monospace;">pay+=shellcode</span></span></i></blockquote>
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjyIUZJ-eogRzzs39t0souH5m8OfdihLRrLO6nZqUosH_Qfa5RbZg6Ki8Y9tSen-yv6gz2_AXvbeZjtAfZTmGw7hFd7UDeb2y_VXU_2e5cBBfpiZZ_5ukwXKlh3I7VtkVzaKKoMrebtTJ23/s1600/exploit_modificado.jpg" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" height="209" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjyIUZJ-eogRzzs39t0souH5m8OfdihLRrLO6nZqUosH_Qfa5RbZg6Ki8Y9tSen-yv6gz2_AXvbeZjtAfZTmGw7hFd7UDeb2y_VXU_2e5cBBfpiZZ_5ukwXKlh3I7VtkVzaKKoMrebtTJ23/s320/exploit_modificado.jpg" width="320" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Exploit modificado para identificar mensajes de error en el servidor.</td></tr>
</tbody></table>
<br />
<div style="text-align: justify;">
Aunque no se identificaron mensajes de error o <i>crash</i> en el sistema, si se identificó la ejecución del servicio <i>w3wp.exe</i> con PID 2180, generando un evento de seguridad cuya descripción indicaba que se produjo un error fatal de comunicación con el servicio de publicación WWW.</div>
<br />
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj_LNzZ9sQVeFc75pehDgw_jtUFerzJdMjUn0IDGye_efl4BHQ7CyyHjJ4dIr_fUT7qcBQBimM4UYpa1QvsmHYPbGIOv95c75NdCD4-iv_YT3ukRD1ij_rG3TUQJ44VQmKT3wUUZ0J7tE5l/s1600/exploit_fallido.jpg" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" height="72" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj_LNzZ9sQVeFc75pehDgw_jtUFerzJdMjUn0IDGye_efl4BHQ7CyyHjJ4dIr_fUT7qcBQBimM4UYpa1QvsmHYPbGIOv95c75NdCD4-iv_YT3ukRD1ij_rG3TUQJ44VQmKT3wUUZ0J7tE5l/s400/exploit_fallido.jpg" width="400" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Proceso w3wp "IIS Worker Process" ejecutado en el servidor al invocar el exploit</td></tr>
</tbody></table>
<br />
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgpuR5h-SoYaUYggTaQfuDKeH50Nw1PjcoEiPN5fNGC-L9DgJnxiVlXen8m1q_4EuYZK8JSEHQKy9PIkS6TQW1EjjQmBl01vht_L1MgNoZ5WA-u23CYLv847nde2irXMLvhWV_F_l4eU3gB/s1600/evento.jpg" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" height="320" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgpuR5h-SoYaUYggTaQfuDKeH50Nw1PjcoEiPN5fNGC-L9DgJnxiVlXen8m1q_4EuYZK8JSEHQKy9PIkS6TQW1EjjQmBl01vht_L1MgNoZ5WA-u23CYLv847nde2irXMLvhWV_F_l4eU3gB/s320/evento.jpg" width="295" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Evento de seguridad generado por el exploit en el sistema operativo.</td></tr>
</tbody></table>
<div style="text-align: justify;">
Una vez determinado que se produce un <i>error fatal</i> en el servidor, restauramos la prueba de concepto y lo ejecutamos contra el servidor actualizado. El monitoreo de los procesos en el servidor permitió identificar el proceso <i>calc.exe </i>"Windows Calculator application" ejecutado por el proceso <i>w3wp.exe</i> "IIS Worker Process", sin cerrar o bloquear el servicio web. </div>
<br />
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEirSWXOTzvcouaOWj3M2goS3CSt5WCoQUhFo3qgj7pkvt-iHJPeG8IBAq0jASP1o0E1YPbDzs5IgAXHg1-SKIACJmSPECjIqEe5CtrrKOsRejQTuEB336y9TW3Pry-xDl1N3w6MtIWc33Wo/s1600/exploit_conseguido.jpg" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" height="283" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEirSWXOTzvcouaOWj3M2goS3CSt5WCoQUhFo3qgj7pkvt-iHJPeG8IBAq0jASP1o0E1YPbDzs5IgAXHg1-SKIACJmSPECjIqEe5CtrrKOsRejQTuEB336y9TW3Pry-xDl1N3w6MtIWc33Wo/s400/exploit_conseguido.jpg" width="400" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Proceso calc.exe ejecutado en el servidor al explotar la vulnerabilidad de RCE</td></tr>
</tbody></table>
<br />
<b>Hora de Parchar</b><br />
<br />
<div style="text-align: justify;">
Desafortunadamente no es tan fácil, estos producto ya no tienen ningún soporte del proveedor y la habilitación de controles estará ligada a las plataformas de seguridad que protegen el servidor (IPS o servicios de Antivirus) o la des habilitación del servicio WebDAV en el servidor. </div>
<br />
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiq_oGjmEi7_9Avd_SVytx2fX-eWAD4V947NP1K0zwwBPkbIx8rrAA4VkORlp-mGmhsXYUryUnopE5t5xJwtKCswTE-JJUJ3Q85_m35z1FXbrkAgQfGm-ziOWdz8UfqMLUh3_foUt0KdWf_/s1600/shodan_iis6.jpeg" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" height="322" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiq_oGjmEi7_9Avd_SVytx2fX-eWAD4V947NP1K0zwwBPkbIx8rrAA4VkORlp-mGmhsXYUryUnopE5t5xJwtKCswTE-JJUJ3Q85_m35z1FXbrkAgQfGm-ziOWdz8UfqMLUh3_foUt0KdWf_/s400/shodan_iis6.jpeg" width="400" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Servidores Microsoft IIS 6 identificados por el motor de búsqueda Shodan.io</td></tr>
</tbody></table>
<br />
<br />
<br />
<div style="text-align: justify;">
Toma aún mayor importancia esta vulnerabilidad al consultar a Shodan por las sentencias <i>"Microsoft-IIS/6.0" product:"Microsoft IIS httpd" version:"6.0"</i> y encontrar que más de 600.000 servicios publicados en Internet aún cuentan con esta versión de servidor web. Solo es cuestión de identificar cuales de ellos cuentan con WebDav y modificar la <i>shellcode</i> por algo un poco más ... "elaborado" ;).</div>
<br />Eduardo Chavarro Ovallehttp://www.blogger.com/profile/11537520679484769400noreply@blogger.com0