Archivos de Etiqueta: Malware

1988 – Morris – El primer Malware

El gusano Morris fue el primer ejemplar de malware autorreplicable que afectó a Internet (entonces ARPANET). El 2 de noviembre de 1988, aproximadamente 6,000 de los 60,000 servidores conectados a la red fueron infectados por este gusano informático, lo que motivó que se creara el Equipo de Respuesta ante Emergencias Informáticas (CERT, por sus siglas…
Leer más

Jackpotting: Cajeros Automáticos como impresoras de dinero.

Por Jose Bolaños/Ingeniería SISAP Todos usamos cajeros automáticos (ATM’s). Es tan usual el uso de esta tecnología que muchas veces no nos detenemos a pensar en qué tan seguras son nuestras transacciones, y en qué tan confiable es el manejo de nuestro dinero a través de los ATM’s. En 2009 el mundo de los cajeros…
Leer más

MIRAI NO CEDE

Cibercrimen: Secuelas del malware Mirai continúan perturbando servicios de conexión, ahora desde routers caseros. Por:  Tomás Gálvez http://www.geekculture.com/joyoftech/joyarchives/2340.html Si usted tiene contratado servicio de Internet en su hogar hay una alta probabilidad de que su router carezca de configuraciones de seguridad básicas. No es sólo su hogar, ni sólo Guatemala; es común en todo el…
Leer más

CIBERCRIMEN

Caso: Mirai – Cuando Internet of Things se convierte en Internet of Nothing Por: Tomás Gálvez / Equipo de Respuesta a Incidentes Imagen capturada de http://www.digitalattackmap.com el 09 de noviembre de 2016 a las 12:47 P.M. Entre septiembre y octubre de este año han ocurrido ataques distribuidos de denegación de servicio (DDoS) que han hecho…
Leer más

¿CONFIARÍA SU CONTRASEÑA A UN INTERMEDIARIO?

Lea cómo su PC confía en criminales, si Usted se lo permite.
Por Tomás Gálvez

solucion-pacifica-de-conflictos-laborales

WPAD es abreviatura para Web Proxy Auto-Discovery, y es una característica que permite a dispositivos detectar automáticamente el web proxy que deben usar. Un web proxy es un punto en la red que interviene y regula el tráfico de recursos entre computadoras solicitantes y computadoras proveedoras.

En sistemas Windows WPAD está habilitado por defecto, pero se recomienda deshabilitarlo a menos que se use con una buena razón. El motivo para deshabilitarlo es que facilita un ataque con el cual criminales pueden recolectar y ver tráfico a sitios de interés (como bancos), incluyendo tráfico cifrado.

Se ha detectado una campaña de spam/phishing que lleva un documento de Word adjunto con contenido malicioso. El contenido es un elemento similar a una factura, y al hacer click sobre él se ejecuta (con autorización del usuario) código que infecta la máquina. La infección consiste en descargar y ejecutar scripts de Windows PowerShell (una herramienta para automatización de tareas administrativas) que comienzan por instalar en la computadora un certificado para monitorear comunicación cifrada. Para entender esto hablemos un poco sobre PKI.

fvrqtre

La infraestructura PKI (Public Key Interface) consiste, entre otras cosas, de una autoridad de certificación (CA) y de varias partes que desean comunicarse. La CA emite certificados que validan la identidad de un sitio y los certificados de diferentes sitios se instalan en computadoras junto con una clave pública usada para descifrar información enviada exclusivamente por ese sitio. A la vez los usuarios cifran la información que desean enviar al sitio con la clave pública, y sólo el sitio puede descifrar dicha información. El elemento que permite esta exclusividad y autenticidad es la clave privada que el sitio guarda en secreto, y que se asocia o empareja con una o más claves públicas entregadas con los certificados.

El certificado instalado durante el ataque es emitido y firmado por los atacantes para comunicación con un web proxy que les pertenece. Los scripts ejecutados instalan además un cliente (programa local) para conexión a la red Tor, usada por los atacantes para comunicación con su proxy. La red Tor es uno de los elementos que normalmente se asocian a la “Deep/dark web” porque la anonimidad que provee la hace preferida por criminales.

Finalmente se modifica la configuración del proxy en nuestro sistema para que apunte al servidor de los atacantes. El resultado es entonces que nuestras conexiones son monitoreadas por estos criminales y, gracias al certificado instalado que los identifica como punto de comunicación confiable, dicho proxy puede descifrar la comunicación segura (enviada por el puerto 443 usando SSL).

Esta amenaza ha sido identificada por Microsoft como “Certor”, y si Certor ha comprometido nuestro sistema deberíamos encontrar en él archivos con los nombres ps.ps1, psf.ps1 y pstp.ps1. Para proteger nuestras comunicaciones de este elemento malicioso recomendamos lo siguiente:

Es muy importante revisar la configuración de WPAD en cualquier sistema, en especial en sistemas Windows ya que éstos habilitan WPAD por defecto. En cualquier caso, WPAD debe estar deshabilitado. La siguiente imagen tomada de Steemit muestra cómo lograr esto  en Windows:

screen-shot-lan

  • Certor hace su daño cuando el usuario permite la ejecución de código desde un archivo de Word malicioso. No debe estar permitida la ejecución automática de macros ni código en cualquier programa de Microsoft Office, y si un documento pide autorización para estas ejecuciones es preferible negarla a menos que estemos totalmente seguros de lo que hace.
  • Puesto que el archivo de Word llega por medio de campañas de phishing las recomendaciones en este caso son las habituales: verificar el origen de cualquier correo electrónico recibido; no abrir adjuntos ni clickear en hipervínculos si no sabemos qué hacen; y principalmente concientizar a todo miembro de la organización u hogar sobre los peligros en el uso de correo electrónico.
  • Si nuestro sistema ha sido infectado con Certor podemos ejecutar las herramientas gratuitas de Microsoft para su detección y remoción. Estas herramientas son Windows Defender, Microsoft Security Essentials y Microsoft Safety Scanner.

Fuentes:

http://www.pcworld.com/article/3114066/security/attackers-deploy-rogue-proxies-on-computers-to-hijack-https-traffic.html
https://blogs.technet.microsoft.com/mmpc/2016/08/29/double-click-me-not-malicious-proxy-settings-in-ole-embedded-script/
http://www.ibtimes.co.uk/what-wpad-why-you-need-disable-this-windows-feature-immediately-1576150
https://www.microsoft.com/security/portal/threat/encyclopedia/Entry.aspx?Name=Trojan:JS/Certor.A
https://technet.microsoft.com/en-us/library/security/ms16-077.aspx

CIBERGUERRA

Caso: IRÁN – Ataque a plantas nucleares Por: Tomás Gálvez / Departamento Forense SISAP Stuxnet es un malware que viene haciendo noticias desde hace casi diez años. Se ha reportado que Stuxnet arruinó un quinto de las centrífugas nucleares de Irán en 2009, supuestamente como parte de un movimiento por Estados Unidos e Israel contra…
Leer más