Blog

CIBERGUERRA

Caso: RAGENTEK – tres millones de puertas traseras para China alrededor del mundo. Un fabricante chino ha desarrollado software para celulares con predisposición para puertas traseras y ataques de man-in-the-middle… por segunda vez. Por Tomás Gálvez Imagen tomada de https://androidcommunity.com/security-researcher-finds-backdoor-to-mediatek-processors-open-to-hackers-20160201/ Los teléfonos inteligentes son la norma y la mayoría de usuarios guardan en ellos información…
Leer más

CIBERCRIMEN II

Caso: BlackNurse – Denegación de servicio de bajo presupuesto Por Tomás Gálvez / ERI Cuando el fin es bloquear el servicio de una gigantesca empresa como Dyn la maquiavélica idea de usar millones de relojes, cámaras, celulares y demás dispositivos hoy en día conectados a internet es 100% eficaz. Sin embargo un redimensionamiento y un…
Leer más

CIBERCRIMEN

Caso: Mirai – Cuando Internet of Things se convierte en Internet of Nothing Por: Tomás Gálvez / Equipo de Respuesta a Incidentes Imagen capturada de http://www.digitalattackmap.com el 09 de noviembre de 2016 a las 12:47 P.M. Entre septiembre y octubre de este año han ocurrido ataques distribuidos de denegación de servicio (DDoS) que han hecho…
Leer más

¿CONFIARÍA SU CONTRASEÑA A UN INTERMEDIARIO?

Lea cómo su PC confía en criminales, si Usted se lo permite.
Por Tomás Gálvez

solucion-pacifica-de-conflictos-laborales

WPAD es abreviatura para Web Proxy Auto-Discovery, y es una característica que permite a dispositivos detectar automáticamente el web proxy que deben usar. Un web proxy es un punto en la red que interviene y regula el tráfico de recursos entre computadoras solicitantes y computadoras proveedoras.

En sistemas Windows WPAD está habilitado por defecto, pero se recomienda deshabilitarlo a menos que se use con una buena razón. El motivo para deshabilitarlo es que facilita un ataque con el cual criminales pueden recolectar y ver tráfico a sitios de interés (como bancos), incluyendo tráfico cifrado.

Se ha detectado una campaña de spam/phishing que lleva un documento de Word adjunto con contenido malicioso. El contenido es un elemento similar a una factura, y al hacer click sobre él se ejecuta (con autorización del usuario) código que infecta la máquina. La infección consiste en descargar y ejecutar scripts de Windows PowerShell (una herramienta para automatización de tareas administrativas) que comienzan por instalar en la computadora un certificado para monitorear comunicación cifrada. Para entender esto hablemos un poco sobre PKI.

fvrqtre

La infraestructura PKI (Public Key Interface) consiste, entre otras cosas, de una autoridad de certificación (CA) y de varias partes que desean comunicarse. La CA emite certificados que validan la identidad de un sitio y los certificados de diferentes sitios se instalan en computadoras junto con una clave pública usada para descifrar información enviada exclusivamente por ese sitio. A la vez los usuarios cifran la información que desean enviar al sitio con la clave pública, y sólo el sitio puede descifrar dicha información. El elemento que permite esta exclusividad y autenticidad es la clave privada que el sitio guarda en secreto, y que se asocia o empareja con una o más claves públicas entregadas con los certificados.

El certificado instalado durante el ataque es emitido y firmado por los atacantes para comunicación con un web proxy que les pertenece. Los scripts ejecutados instalan además un cliente (programa local) para conexión a la red Tor, usada por los atacantes para comunicación con su proxy. La red Tor es uno de los elementos que normalmente se asocian a la “Deep/dark web” porque la anonimidad que provee la hace preferida por criminales.

Finalmente se modifica la configuración del proxy en nuestro sistema para que apunte al servidor de los atacantes. El resultado es entonces que nuestras conexiones son monitoreadas por estos criminales y, gracias al certificado instalado que los identifica como punto de comunicación confiable, dicho proxy puede descifrar la comunicación segura (enviada por el puerto 443 usando SSL).

Esta amenaza ha sido identificada por Microsoft como “Certor”, y si Certor ha comprometido nuestro sistema deberíamos encontrar en él archivos con los nombres ps.ps1, psf.ps1 y pstp.ps1. Para proteger nuestras comunicaciones de este elemento malicioso recomendamos lo siguiente:

Es muy importante revisar la configuración de WPAD en cualquier sistema, en especial en sistemas Windows ya que éstos habilitan WPAD por defecto. En cualquier caso, WPAD debe estar deshabilitado. La siguiente imagen tomada de Steemit muestra cómo lograr esto  en Windows:

screen-shot-lan

  • Certor hace su daño cuando el usuario permite la ejecución de código desde un archivo de Word malicioso. No debe estar permitida la ejecución automática de macros ni código en cualquier programa de Microsoft Office, y si un documento pide autorización para estas ejecuciones es preferible negarla a menos que estemos totalmente seguros de lo que hace.
  • Puesto que el archivo de Word llega por medio de campañas de phishing las recomendaciones en este caso son las habituales: verificar el origen de cualquier correo electrónico recibido; no abrir adjuntos ni clickear en hipervínculos si no sabemos qué hacen; y principalmente concientizar a todo miembro de la organización u hogar sobre los peligros en el uso de correo electrónico.
  • Si nuestro sistema ha sido infectado con Certor podemos ejecutar las herramientas gratuitas de Microsoft para su detección y remoción. Estas herramientas son Windows Defender, Microsoft Security Essentials y Microsoft Safety Scanner.

Fuentes:

http://www.pcworld.com/article/3114066/security/attackers-deploy-rogue-proxies-on-computers-to-hijack-https-traffic.html
https://blogs.technet.microsoft.com/mmpc/2016/08/29/double-click-me-not-malicious-proxy-settings-in-ole-embedded-script/
http://www.ibtimes.co.uk/what-wpad-why-you-need-disable-this-windows-feature-immediately-1576150
https://www.microsoft.com/security/portal/threat/encyclopedia/Entry.aspx?Name=Trojan:JS/Certor.A
https://technet.microsoft.com/en-us/library/security/ms16-077.aspx

ESTAFAS ON-LINE PARTE II

BUSINESS EMAIL COMPROMISE – El esquema wire-wire Estafa Nigeriana – otras variantes Por Tomás Gálvez/SISAP Durante años un príncipe en Nigeria ha intentado sacar una enorme cantidad de dinero de su país. Desesperado ha contactado a millones de personas por correo y correo electrónico, dispuesto a compartir su fortuna, buscando una cuenta bancaria como destino…
Leer más

CIBERGUERRA

Caso: IRÁN – Ataque a plantas nucleares Por: Tomás Gálvez / Departamento Forense SISAP Stuxnet es un malware que viene haciendo noticias desde hace casi diez años. Se ha reportado que Stuxnet arruinó un quinto de las centrífugas nucleares de Irán en 2009, supuestamente como parte de un movimiento por Estados Unidos e Israel contra…
Leer más

¡Págueme o… Pierde sus Datos! = ExtortionWare

Ransomware - Los Esquemas Utilizados – Parte III Jorge Utrera – ERI SISAP En el artículo anterior listamos algunas variantes de código malicioso tipo Ransomware, dirigido a las diferentes plataformas de sistemas operativos (Windows, OSX, Android). En el presente documento, revisaremos detalles de algunas de las familias de ransomware existentes. Para utilizar el término moderno…
Leer más

Cosas que esconden los niños online

No es sorprendente que los niños tengan un montón de secretos guardados que no quieren que sepan sus padres. También es obvio que, debido a peculiaridades de la era del Internet, una parte de esos secretos, hasta cierto punto, pertenece al Internet y a las computadoras. Eso está bien, pero no está bien cuando aquellos…
Leer más

CRYPTOWORMS: El Futuro Infierno de los RANSOMWARE

http://www.kcemonuk.com/wp-content/uploads/2016/04/worm_16_04_2016-e1460765524172-800x445.jpg Por: José Miguel Bolaños – Ingeniería SISAP En este artículo se hablará un poco sobre el secuestro de información que se hace a través de los randsomware, sus variantes y evolución de estos a través del tiempo. Los ransomware son hoy por hoy una pesadilla para todo administrador de TI, el futuro de estos…
Leer más

Las Cartas Nigerianas (Estafa 419)

Estafas Online - Parte I Jorge Utrera – ERI SISAP En esta serie de artículos, conversaremos sobre algunos de los diferentes tipos de esquemas que están siendo utilizados por criminales para robar dinero de los incautos que se dejan engañar y créanlo o no, está sucediendo todo el tiempo: Éstos esquemas, con muchas variantes, continúan…
Leer más