Un año más, uno más Defcon completado.

Defcon es la conferencia de seguridad de más larga duración y a la que he asistido desde Defcon 18. Es una oportunidad para ver e interactuar en la vida real con colegas de la industria que de otra manera seguirían siendo una persona digital. Es el lugar donde escuchas sobre las técnicas de ataque más nuevas, los hacks más geniales y los fallos de seguridad más espectaculares. Un gigantesco crisol de hackers, profesionales de seguridad, varios empleados de agencias de tres letras, abogados, estudiantes, sombreros negros, sombreros grises, sombreros blancos, administradores de TI, guerreros del servicio de ayuda, periodistas, activistas, reversores, cypherpunks, equipo de vudú penitente rojo vudú expertos y estoicos defensores del equipo azul.

Defcon es la conferencia de conferencias. Incluso hay un LineCon, que consiste en las discusiones improvisadas que se llevan a cabo mientras se espera para registrarse o esperar para entrar a una sala para ver una presentación. Y no nos olvidemos de HallCon, donde inicias una conversación con extraños al azar y nunca, ni una vez, haces que ponga los ojos en blanco cuando empiezas a hablar de seguridad.

Las aldeas, como la aldea LockPick, existen donde los voluntarios demuestran cuán ilusoria es la protección que proporciona una cerradura física. Luego, hay varias comunidades de piratería de hardware, donde los enrutadores, los repetidores de Wi-Fi o cualquier otra cosa que contenga una computadora pequeña se separan. Los soldadores abundan y se fomenta el desmontaje. Las garantías se rompen alegremente y los mecanismos de sabotaje son ignorados o derrotados de una manera indetectable. Está el pueblo de hackeo de coches, hackeo de drones, los eventos de ingeniería social. La lista sigue y sigue en una cornucopia de frescura.

Y no olvidemos el botín. ¡Oh, el más elegante de los swag! Camisetas épicas, calcomanías geniales y extrañas, mochilas del ejército con bolsillos bajillones, tarjetas de hotel personalizadas,  monedas de desafío y la joya de la corona de todos ellos … Las codiciadas insignias electrónicas no oficiales.

Defcon tiene las mejores insignias, en parte por necesidad, teorizo. ¿Cómo se combaten los distintivos falsificados cuando la gran mayoría de los asistentes conocen las impresoras de tarjetas de plástico,  se familiarizan con el software de edición de fotografías y tal vez tengan un código moral flexible?

Mejoras tu juego. Los primeros ejemplos fueron en relieve, luego hechos de plexiglás cortado con láser, ¡e incluso de metal! Muy pronto, la funcionalidad fue arrojada a la mezcla. Comenzó lentamente, con LED parpadeando, y progresó rápidamente. A medida que las insignias comenzaron a incluir desafíos de cifrado, se agregó una funcionalidad cada vez mayor. El fundamento de esta mejora fue fomentar la colaboración entre los asistentes con diferentes conjuntos de habilidades al intentar resolver los acertijos que contiene.

A medida que la funcionalidad de la credencial creció, los asistentes emprendedores de la conferencia comenzaron a modificarlos. La insignia Defcon 16 incluía una función » TV-B-GONE «, para gran disgusto de los propietarios de bares y restaurantes de Las Vegas. Un asistente de Defcon 17 incluso agregó un alcoholímetro a su insignia.

Finalmente, los organizadores de Defcon se establecieron en una cadencia. Un año fue un desafío criptográfico con un estilo artístico de insignia; el año alterno es electrónico. Esta fue probablemente una decisión logística, ya que las insignias electrónicas se hicieron cada vez más intrincadas, requiriendo un tiempo de desarrollo cada vez más largo debido a su complejidad.

Alrededor de este tiempo, los asistentes a Defcon fueron testigos del nacimiento y aumento de insignias Defcon no oficiales. Construidos por los asistentes, estos distintivos no oficiales se convirtieron en el objeto más buscado para llevar colgado al cuello: un prestigioso símbolo de estatus que confirma su «leet-ness». Una confirmación visual que tenía la astucia necesaria para adquirirlos. Conocía a las personas adecuadas o tenía las habilidades para crear las suyas propias.

Defcon 26 vio una verdadera explosión de distintivos no oficiales, a medida que un número cada vez mayor de grupos de asistentes empresariales emprendedores comenzaron a crear sus propias insignias con una vertiginosa serie de características. Aquí hay una selección de insignias extraoficiales adquiridas este año.

Con la explosión de insignias no oficiales, se desarrolló un estándar conocido como » SAO » . «Este estándar permitió mini insignias complementarias que eran mucho más fáciles de hacer y les dio la oportunidad a los creadores de insignias menos experimentados de mojarse los pies. Estas mini insignias también permitieron una mayor comercialización de la insignia brisker, ya que tendían a ser más simples en cuanto a diseño y alcance.

Todos estos son solo una pequeña muestra de lo que estaba disponible. El proyecto en el que participé fue la insignia de Defcon Drone (¡Hola Bl1n7!) Y nuestro equipo mostró frenéticamente sistemas operativos de placas y montó kits hasta altas horas de la noche. Tengo que aprender sobre el IDE de Arduino,  ya que mostré el firmware base en los paquetes de credencial prometida de Kickstarter. También aproveché la oportunidad para perfeccionar mis habilidades de soldadura y reparar componentes electrónicos. La suite donde se llevaron a cabo todas estas actividades estaba completamente equipada con microscopios, estaciones de soldadura, películas clásicas de ciencia ficción en el fondo, ¡y una gran cantidad de deliciosos bocadillos!

Defcon es lo que haces de él, y este año elegí hacer todo sobre la vida de la insignia. Puede encontrar más información sobre badgelife aquí , cortesía de Hackaday.

La semana pasada, di una charla en BSides Manchester basada en una serie de blogs previa para Malwarebytes Labs llamada «La entropía digital de la muerte».

¿Qué haces cuando un pariente o amigo cercano muere, dejando todas sus cuentas digitales por ahí para que cualquiera las saque y use? ¿Qué empresas tienen disposiciones vigentes para poder «reclamar» dichas cuentas, ofreciendo la posibilidad de bloquearlas, descargar datos seleccionados o simplemente purgar los perfiles de sus sistemas? ¿Tiene un sistema establecido para que los parientes tomen el control de su presencia en línea si ocurriera lo peor? ¿Están al tanto de todas las micro transacciones y débitos directos que salen de su cuenta?

El seguimiento de mi blog sobre qué hacer con sus cuentas en línea cuando muere cubría las arenas interminablemente cambiantes de la red, explorando el mundo de la podredumbre de enlaces .

Es muy fácil imaginar un futuro en el que todo el contenido real se haya desvanecido de la red, y todo lo que queda son cuentas de perfiles latentes. Incluso tenemos un ecosistema peculiar que surge alrededor de los sitios que se desconectan o que eliminan contenido antiguo para dejar espacio para nuevos artículos. Incluso los enlaces aún en línea pueden cambiar el contenido esperado y causar dolores de cabeza a las personas que intentan acceder a ellos. ¿Qué acecha en el otro extremo de una URL en la que creía que podía confiar?

Todo esto y más fue cubierto en la presentación, y usted puede ver la grabación completa a continuación.

Las diversas secciones de la presentación (aproximadamente 45 minutos de duración) son las siguientes:

* Estadísticas : ¿Cuántas muertes ocurren por año y cuántas cuentas en línea tenemos? 
* Rezzing : las tres formas principales de recuperar una cuenta inactiva. 
* Activos y déficits digitales : explorar los tipos de testamentos disponibles, conservar la propiedad de las cuentas después de la muerte y la noción de temporizadores DRM incorporados en función de la esperanza de vida. 
* El enfoque de bricolaje : cómo las personas intentan mantener el control de las cuentas que pertenecen a sus seres queridos. 
* Empresas que se enfrentan a la muerte : ¿cómo se enfrentan los grandes jugadores en el espacio web con este problema? 
* Link rot : ¿Qué sucede cuando la web comienza a caer en pedazos? ¿Qué empresas buscan ganar algo de dinero y cómo?

Este es un tema cubierto en línea con bastante frecuencia , pero tal vez el conocimiento de dichos artículos no esté tan extendido como podría ser. Desde que di la charla, tuve muchos comentarios positivos junto con muchos ejemplos de «esta cosa horrible le pasó a nuestra familia». Definitivamente es algo que puede surgir sin previo aviso, y nos corresponde a nosotros asegurarnos de que la increíble el impacto estresante  de la muerte se reduce lo más posible.

Nadie quiere estar atascado jugando con cuentas en línea, mucho menos buscándolos, cuando alguien ha muerto, pero se está convirtiendo cada vez más en algo en lo que debemos pensar. Afortunadamente, cuando existe un abismo entre los deseos y las necesidades digitales de una familia afligida y las leyes específicas en su región del mundo que no (o no) pueden dar cuenta de acertijos digitales, cada vez más empresas se suman para ofrecer sus propias soluciones a este problema increíblemente difícil.

Pueden pasar desapercibidos durante años. Hacen sus acciones cuestionables en el fondo. Y, a veces, uno se pregunta si están haciendo más daño que bien.

Aunque parece que estamos describiendo un PUP sofisticado del que no has oído hablar, no lo estamos.

Estos son los atributos conocidos de las amenazas internas.

Las amenazas internas son una de las pocas amenazas no digitales que afectan a las organizaciones de todos los tamaños hasta la fecha. Y, para golpear con la publicidad, el peligro que representan es real.

Cuando una vez las compañías pensaron que los riesgos para sus activos de alto valor solo podían provenir de actores externos, lentamente se dieron cuenta de que también enfrentaban peligros potenciales desde adentro. La peor parte es que nadie puede decir quiénes son los culpables hasta que el daño esté hecho.

En el libro blanco Osterman Research titulado White Hat, Black Hat y el surgimiento del sombrero gris: Los verdaderos costos del cibercrimen , se encuentra que las amenazas internas representan una cuarta parte de los ocho riesgos graves de ciberseguridad que afectan significativamente a los sectores público y privado. Para decirlo de otra manera, los empleados actuales y anteriores de una organización, terceros proveedores, contratistas, socios comerciales, personal de limpieza de oficinas y otras entidades que tienen acceso físico o digital a recursos de la compañía, sistemas críticos y redes se clasifican colectivamente en el la misma lista que ransomware , spear phishing y ataques de estado nación .

La mayoría de los conocedores que han causado dolor de cabeza a sus empleadores no necesariamente tienen antecedentes técnicos. De hecho, para empezar, no tenían el deseo o la inclinación de hacer algo malicioso en contra de su compañía. En el 2016 Cost of Insider Threats [PDF] , un estudio de referencia realizado por el Ponemon Institute, un porcentaje significativo de incidentes internos dentro de las empresas en los Estados Unidos no fue causado por personas delictivas, sino por personal negligente.

Este hallazgo sigue siendo coherente con el costo de las amenazas internas de 2018 [PDF] , donde la cobertura también incluye organizaciones de la región de Asia y el Pacífico, Europa, África y Oriente Medio. Falta general de la información privilegiada de la atención y el mal uso de los privilegios de acceso, junto con poca o ninguna conciencia de seguridad cibernética y la formación, son algunas de las razones por las que son peligrosos.

Entender las amenazas internas

Muchos ya se han descrito lo que es una amenaza interna es, pero ninguno tan inclusivo y abarca como el significado presentado por el Centro de amenazas CERT Insider , un brazo de investigación del Instituto de Ingeniería de Software de la Universidad Carnegie Mellon (SEI). Han definido una  amenaza interna como:

… el potencial de las personas que tienen o han autorizado el acceso a los activos de una organización para utilizar su acceso, maliciosa o involuntariamente, para actuar de una manera que pueda afectar negativamente a la organización.

A partir de esta definición, podemos clasificar a los iniciados en dos categorías principales: intencional y no intencional. Dentro de esas categorías, hemos descrito los cinco tipos conocidos de amenazas internas hasta la fecha. Los son los siguientes:

Personas internas intencionales

A sabiendas, perjudican a la organización, sus activos, recursos, propiedades y personas.

La información privilegiada maliciosa 

Este tipo tiene varios nombres, incluidos el agente deshonesto y el renegado. Tal vez su principal diferenciación de la información privilegiada profesional (como verá más adelante) es que ninguna persona de este tipo comenzó con intenciones maliciosas. Algunos empleados descontentos, por ejemplo, pueden decidir comprometer la red de la compañía si perciben que su compañía los ha hecho mal plantando malware, eliminando archivos de la compañía, robando propiedad intelectual patentada para vender, o incluso reteniendo cuentas y datos esenciales para obtener un rescate .

En ciertas circunstancias, los empleados se vuelven pícaros porque quieren ayudar a su país de origen. Tal es el caso de Greg Chung , quien fue declarado culpable de suministrar a China inteligencia militar y espacial durante su mandato en Rockwell y Boeing al robar casi tres décadas de documentos ultrasecretos. El número de cajas de archivos recuperados de su casa no fue revelado, pero podemos suponer que será de cientos.

Los empleados que son forzados u obligados a realizar actos maliciosos en nombre de una o más entidades también se incluyen en este tipo.

La información privilegiada profesional

Este tipo generalmente se conoce como espía o topo en una organización. Ingresan a una organización generalmente como empleados o contratistas con la intención de robar, comprometer, sabotear y / o dañar activos y la integridad de la compañía. Pueden ser financiados y dirigidos por estados nacionales u organizaciones privadas, generalmente un competidor de la empresa objetivo.

Cuando la Carta de Jacobs se hizo pública, un alegato de 37 páginas escrito por el ex empleado de Uber Ric Jacobs, parecía que la demanda civil entre Google y Uber ya no era su caso habitual de robo de propiedad intelectual. En esta carta, Jacobs afirmó que el ex CEO de Uber Travis Kalanick era el cerebro detrás del robo, con Anthony Levandowski como actor. Aunque esta acusación aún no se ha fundamentado, Levandowski se ajustaría a este tipo si se encuentra cierto.

La información privilegiada violenta

Los actos que tienen un impacto negativo en las organizaciones no comienzan ni terminan en el abuso, mal uso y robo de activos no físicos. También pueden incluir amenazas de naturaleza violenta. Peopleware es tan esencial como el software y el hardware que utiliza una organización, incluso más crucial. Entonces, lo que afecta negativamente a los empleados también afecta a la organización.

Por lo tanto, es imperativo que las organizaciones también identifiquen, mitiguen y protejan a su personal de amenazas físicas potenciales, especialmente aquellas que nacen desde adentro. El CERT Insider Threat Center reconoce la violencia en el lugar de trabajo (WPV, por sus siglas en inglés) como otro tipo de amenaza interna , y la clasificamos como personas internas intencionadas.

WPV se define como violencia o amenaza de violencia contra empleados y / o ellos mismos. Esto puede manifestarse en forma de ataques físicos, comportamiento o lenguaje amenazante o intimidatorio (por escrito, verbal o transmitido electrónicamente), acoso u otros actos que pueden poner en riesgo a las personas.

Este autor espera que el CERT y otras organizaciones que investigan las amenazas internas amplíen su definición para incluir intimidación en el lugar de trabajo, violencia doméstica (por ejemplo, cuando un compañero abusivo viene detrás de su compañero abusado en el lugar de trabajo) y otras acciones que arriesgar o afectar negativamente su bienestar emocional y psicológico.

---

Leer: De las comadrejas, las serpientes y las abejas reinas

---

Insider Threat La investigadora Tracy Cassidy del CERT ha identificado [PDF] los siguientes indicadores que permiten a un empleado pertenecer a este tipo:

• Historia de la violencia
• Problemas legales
• Pérdida de otro significativo
• Conflicto con el supervisor
• Posible pérdida de empleo
• Mayor consumo
• Con respecto a las búsquedas web

En 2015, Vester L. Flanagan II (alias Bryce Williams) mató a tiros a dos de sus antiguos colegas en WDBJ7, una estación de televisión local en Roanoke, Virginia, durante una entrevista en vivo. Posteriormente, Flanagan publicó un video del tiroteo en Facebook y en Twitter, afirmando que sus víctimas lo perjudicaron.

Dos años después del incidente de Flanagan, Randy Stair estaba publicando videos y mensajes preocupantes en Twitter sobre su plan para matar a sus compañeros de trabajo en el supermercado Weis en Pennsylvania. Nadie estaba completamente seguro de su motivo, pero las investigaciones revelaron que no le gustaba su gerente y mostraba signos de extrema soledad días antes del incidente.

Informantes no intencionales

No tienen mala intención o malicia hacia su empleador, pero sus acciones, inacciones y comportamiento a veces causan daño a la organización, sus activos, recursos, propiedades y personas.

La información privilegiada accidental

También se les conoce como personas ignorantes, ingenuas o descuidadas. Este tipo es quizás el más pasado por alto y subestimado con respecto a su posible riesgo y daño a las organizaciones. Sin embargo, múltiples estudios confirman que los iniciados accidentales representan la mayoría de las brechas significativas que aparecen en los titulares. Los iniciados de este tipo son relativamente comunes.

Incidentes, como ignorar o inadvertidamente hacer clic en un enlace en un mensaje de correo electrónico de dudosa procedencia, publicar o filtrar información en línea, desechar indebidamente documentos confidenciales y extraviar los activos propiedad de la compañía (por ejemplo, teléfonos inteligentes, CD, USB, laptops), incluso si solo sucede una vez, puede no parecer un gran problema. Pero estas acciones aumentan la exposición de una organización al riesgo que podría llevar a su compromiso.

A continuación, se incluye un ejemplo del potencial de daño de un iniciado interno: los secuestradores utilizaron una cuenta de Amazon Web Service (AWS) de acceso público para extraer criptomonedas. Los investigadores de seguridad de Redlock investigaron el asunto y encontraron configuraciones incorrectas en el servidor de AWS. Esto le dio a los secuestradores acceso a las credenciales que podrían permitir a cualquiera abrir los contenedores S3 donde se almacenaba información confidencial. Resultó que la cuenta pertenecía a alguien en Tesla, por lo que los investigadores les alertaron de la violación.

La persona interna negligente

Los empleados de este tipo generalmente están familiarizados con las políticas de seguridad de la organización y los riesgos involucrados si se ignoran. Sin embargo, buscan maneras de evitarlos de todos modos, especialmente si sienten que tales políticas limitan su capacidad de hacer su trabajo.

Un analista de datos que trabaja para el Departamento de Asuntos de Veteranos descargó y se llevó a casa los datos personales de 26.5 millones de veteranos del ejército de EE. UU. Esto no solo era una violación de las políticas del departamento, sino que el analista tampoco estaba autorizado a hacerlo. La casa del analista fue robada y la computadora portátil fue robada. Los datos incluyen nombres, números de seguridad social y fechas de nacimiento.

Pasos para controlar los incidentes internos

Si bien la educación y la concientización sobre seguridad cibernética son iniciativas en las que todas las organizaciones deben invertir, hay momentos en que simplemente no son suficientes. Tales iniciativas pueden disminuir la probabilidad de incidentes internos accidentales, pero no de incidentes basados ​​en negligencia, información privilegiada profesional u otras campañas de ataque sofisticadas. Las organizaciones deben implementar controles y usar software para minimizar los incidentes de amenazas internas. Dicho esto, las organizaciones también deben continuar impulsando la educación y la conciencia, así como proporcionar apoyo profesional y emocional a los empleados para mitigar el daño potencial de personas internas accidentales, malintencionadas o violentas.

Obtenga soporte ejecutivo A medida que más y más organizaciones se dan cuenta de los riesgos que representan las amenazas internas, también es más fácil obtener la aprobación ejecutiva sobre la idea de disminuir los incidentes de amenazas internas que ocurren en el lugar de trabajo. Reúna y use información sobre incidentes que ocurrieron dentro de la organización (especialmente aquellos de los que el C-suite podría no estar al tanto) antes de lanzar la idea de crear un programa de amenazas internas.

Construye un equipo Si una organización emplea miles, sería ideal contar con un equipo que maneje exclusivamente el programa de amenazas interno. Los miembros deben rastrear, supervisar, investigar y documentar casos o incidentes de amenazas internas. Este equipo debe formar parte de una membresía multidisciplinaria de los departamentos de seguridad, seguridad informática, recursos humanos, legal, comunicación y otros. Si es posible, la organización también debe traer ayuda externa, como un consultor de violencia en el lugar de trabajo, un profesional de salud mental e incluso alguien de la policía para actuar como asesores externos del equipo.

Identificar riesgos. Las amenazas de los iniciados varían de una industria a otra. Es vital que las organizaciones identifiquen las amenazas a las que están expuestas dentro de su industria antes de que puedan llegar a un plan sobre cómo detectarlas y mitigarlas.

Actualice las políticas existentes. Esto supone que la organización ya tiene establecida una política deseguridad o ciberseguridad . Si no, crear uno ahora es esencial. También es importante que el equipo cree un plan o proceso de cómo deben responder a incidentes de amenazas internas, especialmente en informes de violencia en el lugar de trabajo. El equipo siempre debe recordar que no existe un enfoque único para abordar los incidentes de amenazas internas de naturaleza similar.

Implementar controles Una organización que tiene poco o ningún control no es segura en absoluto. De hecho, son fruto fácil para actores externos e internos. Los controles mantienen seguro el sistema, la red y los activos de una organización. También minimizan el riesgo de amenazas internas. A continuación hay algunos controles que las organizaciones pueden considerar adoptar. (De nuevo, hacerlo debe basarse en su evaluación de riesgos):

• Bloquear actividad dañina. Esto incluye el acceso a sitios web particulares o la descarga e instalación de ciertos programas.
• Aplicaciones de lista blanca. Esto incluye los tipos de archivos adjuntos de correo electrónico que los empleados pueden abrir.
• Deshabilite unidades USB, unidades de CD y programas de correo electrónico basados ​​en seguimiento.
• Minimiza el acceso a ciertos datos. Las organizaciones también deberían centrarse en esto cuando se trata de teletrabajo o de trabajadores remotos.

---

Lea: Cómo proteger a sus trabajadores remotos

---

• Proporcione el menor nivel de acceso a los usuarios con privilegios.
• Coloque banderas en credenciales antiguas. Los ex empleados pueden intentar usar las credenciales que usaron cuando aún estaban empleados.
• Crear un proceso de terminación de empleado.

Instalar software. Muchas organizaciones pueden no darse cuenta de que el software ayuda a eliminar las amenazas internas de raíz. A continuación hay una lista de algunos programas que la organización puede considerar usar:

• Software de monitoreo de la actividad del usuario
• Predictivo / software de análisis de datos (para buscar patrones recogidos de las interacciones de los empleados dentro de la red de la organización)
• Software de gestión de eventos e información de seguridad (SIEM)
• Software de gestión de registros
• Software de detección de intrusiones (IDS) y prevención (IDP)
• Máquinas virtuales (para un entorno seguro para detonar o abrir archivos potencialmente dañinos)

Es importante tener en cuenta que, si bien existen programas, controles y políticas diseñados para ayudar a las organizaciones a detener los riesgos internos, es posible que nunca se erradiquen por completo los incidentes de amenazas internas. Además, predecir amenazas internas no es fácil.

«Para poder predecir cuándo un interno maliciosamente quiere dañar a una organización, defraudarla, robar algo de ella, es realmente difícil con la tecnología identificar a alguien que está haciendo algo con intenciones maliciosas», dijo Randy Trzeciak, director del programa CERT de la Universidad Carnegie Mellon, en una entrevista con SearchSecurity.Com.  «Realmente necesita combinar los aspectos conductuales de lo que podría motivar a alguien a defraudar a una organización, o robar propiedad intelectual, o sabotear una red o sistema, que generalmente está fuera del control de lo que es un departamento de TI tradicional y qué lo hacen para prevenir o detectar actividad maliciosa por parte de los iniciados «.

Lectura adicional:

• Cuatro tipos de empleados que son potenciales amenazas internas
• «Violencia en el lugar de trabajo: problemas en respuesta» por el Grupo de Respuesta a Incidentes Críticos del FBI

El equipo de Malwarebytes estuvo en el evento anual Black Hat USA que se realizó en Las Vegas en el Mandalay Bay Hotel del 4 al 9 de agosto. Grandes multitudes caminaban por el piso de la exposición, asistían a charlas y participaban en capacitaciones.

Entre los muchos temas discutidos, el ransomware surgió como uno de los principales problemas que enfrentan tanto los consumidores como las empresas. Si bien se ha estado desacelerando con respecto a años anteriores, el ransomware sigue siendo una amenaza, en particular para los usuarios empresariales con ataques más selectivos y costosos. Por ejemplo, el ransomware SamSam, que presentamos en nuestro stand de Black Hat, sigue golpeando objetivos grandes y causando un gran daño financiero.

Helge Husemann presenta sobre el impacto del ransomware SamSam

La amenaza número uno que se ha hecho cargo, y que fue un tema recurrente durante Black Hat, fue cryptominers maliciosos. Si bien no son tan paralizantes como el ransomware, los mineros juegan el juego largo y pueden afectar a las empresas de diferentes maneras, incluido el desgaste de las máquinas más rápido y la productividad de los trabajadores. Los mineros, junto con otras amenazas como los troyanos bancarios, se propagan a través de muchos posibles vectores de ataque, incluidos el phishing, puertas traseras, malspam, publicidad maliciosa, minería drive-by, y más.

Principales vectores de ataque para el paisaje de amenazas 2018

Tanto Helge Husemann como Dana Torgersen, nuestros gerentes de mercadotecnia de productos, mantuvieron informados a los visitantes de nuestro stand sobre las últimas amenazas, mientras nuestros ingenieros de ventas realizaban demostraciones que mostraban nuestros productos.

Cameron Naghdi haciendo una demostración de nuestras soluciones

Finalmente, participamos en un panel con otros investigadores de seguridad, discutiendo algunos de los temas más candentes del momento, incluidas nuestras mayores preocupaciones sobre el panorama de las amenazas y qué tecnologías creemos que son más vulnerables.

Para ver el video completo, mira nuestro video de Facebook en vivo aquí .

Otros temas acalorados que mantuvieron animadas a las personas fueron los cambios recientes en materia de privacidad, por ejemplo, con GDPR en Europa y el impacto en los datos whois. Al mismo tiempo, la inteligencia de amenazas como disciplina demostró que puede recurrir a otros indicadores de compromiso para conectar los puntos.

A pesar de las multitudes y el excesivo calor en Las Vegas, Black Hat fue un evento exitoso en el que conocimos a muchos de nuestros clientes actuales y nuevos. ¡Te veo el próximo año!

Supongamos que desea iniciar su propio blog o configurar un sitio web donde pueda administrar fácilmente su contenido, su apariencia y la frecuencia con la que cambia. Lo que necesita es un sistema de gestión de contenido (CMS).

WordPress, Drupal y Joomla son algunos de los sistemas de administración de contenido más populares utilizados tanto por profesionales como por aficionados. Los tres que mencioné son CMS de fuente abierta, lo que significa que son software con código fuente que cualquiera puede inspeccionar, modificar y mejorar.

El software de código abierto nos da una espada de doble filo. Por un lado, el software de código abierto permite a las personas la opción de adaptarlo a sus necesidades y preferencias específicas, y todos pueden ver lo que hace detrás de la cortina. Pero, por otro lado, aquellos con malas intenciones pueden estudiar y probar el código fuente disponible públicamente hasta que encuentren un error, una debilidad, un defecto o una característica que puedan abusar.

¿Quién usa los sistemas de gestión de contenido?

Los CMS no solo son utilizados por individuos, sino también por empresas. Muchas compañías, desde pequeños grupos hasta grandes empresas, usan un CMS de alguna forma. Son ideales para blogs u otros medios de publicación que cambian y actualizan el contenido a menudo, pero también se pueden usar para cualquier sitio que necesite agregar nueva información regularmente. Básicamente, se utilizan para la creación y gestión de sitios web.

Las ventajas de utilizar un CMS bien conocido de código abierto son claras. Incluyen:

• Un sistema bien documentado que es fácil de instalar y adaptar
• Un diseño UI / UX simple para una fácil administración
• Idoneidad para diferentes tipos de contenido
• Actualizaciones regulares
• Registro integrado (de visitantes, usuarios y enlaces de enlace)

Además, la disponibilidad de muchos complementos y temas con una amplia variedad de funcionalidades adicionales, apariencia y diseños para el CMS puede considerarse una ventaja, la mayoría de las veces. Siempre que no introduzcan vulnerabilidades o incluso puertas traseras en el sistema, pueden ser una buena adición.

Actualiza, actualiza rápidamente y no olvides parchar

Al usar un CMS, y especialmente uno popular, tendrá que estar atento a las actualizaciones. Aplíquelos lo antes posible y asegúrese de hacerlo rápidamente si las actualizaciones están destinadas a corregir una vulnerabilidad que se ha publicado. Los secuestradores del sitio web se asegurarán de que estén al tanto de las últimas vulnerabilidades e ir tras cualquier sitio que no haya sido parcheado.

---

Lea también: Una mirada a los ataques del lado del cliente de Drupalgeddon

---

Un problema con las versiones personalizadas de CMS es que debe tener cuidado durante el proceso de actualización. Según las personalizaciones que haya realizado, las actualizaciones pueden interrumpir la funcionalidad que agregó al sistema. También deberá asegurarse de que sus cambios no mantengan viva la vulnerabilidad que se suponía que estaba aplicando. Lo que ayuda a prevenir estos problemas es hacer los cambios en módulos de programas separados y no en los módulos principales del CMS, ya que estos se actualizarán regularmente.

Copias de seguridad

Si bien es habitual crear una copia de seguridad antes de aplicar actualizaciones u otros cambios importantes, también se recomienda crear copias de seguridad periódicas, semanalmente o incluso diariamente, según la frecuencia con la que publique en el CMS.

Una copia de seguridad semanal es adecuada para muchos sitios web.

Si descubres que algún intruso realizó cambios en tu sitio web, es una buena idea tener una copia de seguridad reciente que puedas restaurar sin perder demasiado trabajo, y sin tener que revisar cada parte del código para comprobar si algo más tiene sido manipulado Elimine los archivos del CMS comprometido antes de restaurar la actualización para asegurarse de que ninguno de los archivos del atacante quede atrás. Recuerde que cuando el atacante obtuvo acceso, también obtuvo la capacidad de cambiar su CMS y ejecutar su código en su servidor.

Seguridad por oscuridad

No estamos diciendo que usar un CMS menos popular sea mejor. Tratar de mantener la seguridad manteniendo un bajo perfil nunca debe ser un objetivo en sí mismo. Si a las empresas les gusta un CMS menos popular, deben asegurarse de que sea seguro y se mantenga de una manera que sea aceptable para su organización.

Si tiene los recursos y el conocimiento interno para construir su propio sistema y mantenerlo seguro, es bueno para usted. Si a su empresa le conviene tener un CMS personalizado, tendrá un socio especializado que podrá mantener todo bajo control y podrá resolver cualquier problema que encuentre con él. Aun mejor. Pero para la mayoría de las compañías, es mucho más fácil usar uno de los sistemas de administración de contenido populares. Si esto es cierto para usted, también será responsable de mantenerlo actualizado y seguro.

Seguridad de CMS en pocas palabras

Hay algunas reglas obvias y fáciles de recordar que debe tener en cuenta si desea usar un CMS sin comprometer su seguridad. Ellos son los siguientes:

• Elija su CMS teniendo en cuenta tanto la funcionalidad como la seguridad.
• Elija sus plug-ins sabiamente.
• Actualiza con urgencia.
• Mantenga un registro de los cambios en su sitio y su código fuente.
• Use contraseñas seguras (o 2FA ).
• Dale a los permisos de los usuarios (y sus niveles de acceso) mucho pensamiento.
• Estate cansado de la inyección de SQL .
• Si permite cargas, limite el tipo de archivos a archivos no ejecutables y vigílelos de cerca.

Para los sitios web que requieren aún más seguridad, existen escáneres de vulnerabilidades especializados y firewalls de aplicaciones que es posible que desee examinar. Esto es especialmente cierto si usted es un objetivo popular para las personas a quienes les encantaría desfigurar o abusar de su sitio web.

Si el CMS está alojado en sus propios servidores, tenga en cuenta los peligros que conlleva esta configuración. Recuerde que confía en el código de código abierto. Ejecutarlo en sus propios servidores debe cumplirse con precauciones especiales para mantenerlo separado de otros servidores de trabajo.

Asegure sus CMS y proteja su hogar o negocio de introducir vulnerabilidades en el corazón de sus redes. ¡Al hacer esto, haces que la web sea un lugar más seguro!

Hemos visto unos pocos correos electrónicos no deseados en circulación esta semana, que van desde phishing hasta manipulación de dinero y sexploitation. ¿Vamos a echar un vistazo?

El FBI quiere devolverte tu dinero

Primero fuera de la puerta, tenemos una misiva que dice ser del FBI. Resulta que perdió una gran suma de dinero de la que de alguna manera no tiene ningún recuerdo, y ahora el FBI quiere devolvérselo a través de Western Union.

Suena 100 por ciento legítimo, ¿verdad? Aquí está el correo electrónico. Mira lo que piensas:

Attn: Beneficiario

Después de varias investigaciones e investigaciones en Western 
Union y Money Gram Office, encontramos su nombre en la 
base de datos de Western Union entre quienes enviaron dinero a través de Western Union 
y esto prueba que usted ha sido estafado por esas 
personas sin escrúpulos al enviarle dinero. a través de Western 
Union / Money Gram en el transcurso de obtener un fondo u otro 
que no sea real.

A este respecto, se celebró una reunión entre la Junta Directiva 
de WESTERN UNION, MONEYGRAM, el FBI junto con el Ministerio 
de Finanzas. Como consecuencia de nuestras investigaciones, se acordó 
que la suma de Un Millón Quinientos Mil 
Dólares de los Estados Unidos (US1) , 500,000.00) debe transferirse de 
los fondos que el Departamento del Tesoro de los Estados Unidos ha 
separado como pago de compensación para las víctimas de estafa.

Este caso sería manejado y supervisado por el FBI. Les hemos 
enviado sus datos para que puedan 
transferirse sus fondos . Póngase en contacto con la oficina del agente de Western Union a 
través de la siguiente información:

Persona de contacto: Graham Collins 
Dirección: Western Union Post Office, California 
Correo electrónico: westernunionofficemail0012 @ [redacted]

Atentamente, 
Christopher A. Wray 
Director del FBI

Lamentablemente, el FBI no va a descubrir que le deben millones de dólares y luego lo enviará a un representante de Western Union para reclamarlo. Además, una búsqueda rápida en varias partes del texto revelará partes del mensaje anterior que datan de hace muchos años. Es una táctica común de estafa agarrar tranquilamente cualquier texto que esté disponible, luego reformularlo un poco para obtener un brillo nuevo. Por ejemplo, este es uno de 2013  que viene con un archivo ejecutable malicioso.

Este no tiene tales perversidades al acecho, pero alguien aún podría estar en riesgo de caer en una estafa de mulas de dinero, o perder una tonelada de dinero de involucrarse. La buena noticia es que la reutilización de texto antigua tiende a enviar las banderas de filtro de correo no deseado para la mayoría de los clientes de correo electrónico, por lo que si encuentra esto, hay una buena probabilidad de que se rellene dentro de su bandeja de correo no deseado, donde pertenece. Si está ahí, martillee el botón Eliminar y olvídese de eso.

Vamos a Apple phishing

A continuación, un par de phishing de Apple:

Click para agrandar

Los primeros enlaces a un sitio que está actualmente fuera de línea, pero trata de atraer a posibles víctimas con una transacción falsa para un conjunto de auriculares de $ 299:

Click para agrandar

Al igual que con la mayoría de estas estafas, esperan que veas la cantidad supuestamente pagada, luego corran al sitio vinculado y completan el formulario de phishing.

El texto del segundo dice lo siguiente:

Su ID de Apple ha sido bloqueada. 
Esta ID de Apple [CORREO ELECTRÓNICO] ha sido bloqueada por razones de seguridad.

Parece que su cuenta está desactualizada y requiere información actualizada sobre la propiedad de la cuenta para que podamos proteger su cuenta y mejorar nuestros servicios para mantener su privacidad.

Para continuar utilizando el servicio de ID de Apple, le recomendamos que actualice la información sobre la propiedad de su cuenta.

Actualizar cuenta ID de Apple 
Por la seguridad de su cuenta, le recomendamos no notificar la contraseña de su cuenta a nadie. Si tiene problemas para actualizar su cuenta, visite Apple Support.

Un enlace en el que se puede hacer clic conduce al siguiente sitio de phishing ubicado en appelid (dot) idnotice (dot) info-account-update-limited (dot) com:

Click para agrandar

Al ingresar un nombre de usuario y una contraseña, el sitio afirma que la cuenta se ha bloqueado y debe restablecerse a su estado de salud completo.

Click para agrandar

Las víctimas potenciales son dirigidas a una página que le pide el nombre, la dirección, fecha de nacimiento, información de pago y una variedad de preguntas de seguridad seleccionables.

Click para agrandar

No queremos que nadie entregue información personal para estafar correos como los anteriores, y mucho menos los falsos portales de inicio de sesión más adelante en la cadena. Siempre tenga cuidado al ver reclamos de pago y órdenes misteriosas que no recuerda; el nombre del juego no se trata tanto de pánico como de pánico, y eso puede llevar a una sola cosa: horas dedicadas a la sección de atención al cliente de los portales de compras o a su banco.

Sexploitation, Bitcoin y contraseñas antiguas

Hablando de un comportamiento misterioso del que no recuerdas haber participado, un reciente y masivo  correo phish primero engancha a los usuarios al divulgar su contraseña anterior en el asunto y luego les dice a los destinatarios que han sido captados por la cámara mirando pornografía y um, haciendo otras cosas.

Ahora, la caída de una contraseña, incluso una antigua, es suficiente para que muchos lectores levanten una ceja y abran el correo electrónico. Una vez abierto, sin embargo, una de dos cosas puede suceder. Aquellos que no han visto pornografía en su computadora pueden respirar aliviados. Para los millones de otros que lo han hecho, sin embargo, puede surgir un poco de pánico, especialmente cuando los estafadores piden $ 7,000 en Bitcoin por dinero de silencio.

El correo electrónico dice lo siguiente:

Soy consciente de que [redacted] es tu contraseña. Vamos a llegar directamente a un propósito. Usted no me conoce y probablemente esté pensando por qué está recibiendo este correo electrónico. Ni una sola persona me ha compensado para que lo revise.

Déjame que te cuente, configuré un malware en el sitio web de videos xxx (material pornográfico) y sabes qué, visitaste este sitio web para experimentar diversión (ya sabes a qué me refiero). Cuando miraba videoclips, su navegador web comenzó a funcionar como un RDP que tiene un registrador de teclas que me proporcionó acceso a su pantalla y a su cámara web. Inmediatamente después, mi software recolectó todos sus contactos de su Messenger, Facebook, así como de su cuenta electrónica. Después de eso, hice un video doble. La primera parte muestra el video que estabas viendo (tienes un buen sabor de ojos), y la siguiente parte muestra la vista de tu cámara web y de ti.

En realidad tienes dos posibilidades diferentes. Deberíamos revisar cada una de estas soluciones en aspectos:

La primera opción es ignorar este correo electrónico. En tal caso, enviaré su material grabado real a cada uno de sus contactos personales y, por lo tanto, pensaré en la vergüenza que verá. Además, si estás en una relación romántica, ¿cómo afectaría?

La segunda solución es darme $ 7000. Lo llamaré una donación. Entonces, con toda seguridad descartaré inmediatamente su video. Continuarás con tu forma de vida como nunca ocurrió y nunca volverás a escuchar de mí.

Realizará el pago con Bitcoin (si no lo sabe, busque «cómo comprar bitcoin» en Google).

Dirección de BTC: 14Fg5D24cxseFXQXv89PJCHmsTM74iGyDb

[CASE-SENSITIVE copia y pega]

Si te estás preguntando acerca de ir a las autoridades, bueno, este correo electrónico no se puede rastrear a mí. Cubrí mis acciones Simplemente no estoy intentando cobrarle demasiado, solo quiero que me compensen. Tengo un píxel especial dentro de este correo electrónico, y ahora sé que ha leído este correo electrónico. Tienes un día para pagar. Si no obtengo los BitCoins, definitivamente enviaré su grabación de video a todos sus contactos, incluidos amigos, familiares, colegas y muchos otros. Sin embargo, si me pagan, destruiré la grabación de inmediato. Es una oferta no negociable, por lo tanto, no pierdas el tiempo y el tuyo respondiendo a este mensaje. Si quieres tener evidencia, responde con Yup!y definitivamente enviaré tu video a tus 9 contactos.

Esta estafa de sextorsión ha existido por bastante tiempo; el nuevo giro es el uso de contraseñas reales. De acuerdo con Krebs on Security, los estafadores probablemente recolectaron estas contraseñas y correos electrónicos de un vertedero de datos posiblemente de 10 años o más. Nuestros propios investigadores de Malwarebytes han estado rastreando varios vertederos de datos en busca de la fuente de la brecha, pero hasta ahora no han encontrado la pistola humeante. El problema es que la mayoría de las credenciales de los usuarios se han pasado de una brecha u otra, sino múltiples, si no docenas. Por lo tanto, es difícil triangular y rastrear a una sola fuente.

La buena noticia es que si recibió uno de estos correos electrónicos, simplemente necesita marcarlo como correo no deseado y eliminarlo. Y si repentinamente te preocupa que alguien pueda ver tus actividades nocturnas, puedes comprar una cubierta de cámara web por entre $ US5 y $ 10.

De acuerdo con el desarrollador de Android  , Visión general del programa, la próxima versión principal de Android, Android 9.0 o P, llegará pronto. Sus planes muestran una versión final dentro de los próximos tres meses (Q3 2018).

Se acerca el final del programa Android P beta, con la primera versión del candidato creada y lanzada en julio. Como compañía de seguridad, simplemente no podemos evitar observar de cerca qué tipo de actualizaciones de seguridad se incluirán en la última versión de Android.

No vamos a escribir sobre las nuevas funciones  de Android P, sino que centraremos nuestra atención en las mejoras de seguridad. Android P presenta una serie de actualizaciones que mejoran la seguridad de sus aplicaciones y los dispositivos que las ejecutan.

Autenticación de huella digital mejorada

Por nuestra propia seguridad, la mayoría de los dispositivos (y muchas aplicaciones) tienen un mecanismo de autenticación. El nuevo sistema operativo Android P proporciona una mejor autenticación basada en datos biométricos . En Android 8.1, hubo  dos nuevas métricas  que ayudaron a su sistema biométrico a repeler ataques: Índice de aceptación de paro (SAR) y Tasa de aceptación de impostores (IAR). Junto con un nuevo modelo que divide la seguridad biométrica en débil y fuerte, la autenticación biométrica se vuelve más confiable y confiable en Android P.

Android P también promete ofrecer una apariencia, sensación y ubicación estandarizadas para el diálogo que solicita una huella digital. Esto aumenta la confianza del usuario de que están interactuando con una fuente confiable. Los desarrolladores de aplicaciones pueden activar el nuevo diálogo de huellas digitales del sistema utilizando una nueva API BiometricPrompt , y se recomienda cambiar al nuevo diálogo del sistema lo antes posible. La propia plataforma selecciona un biométrico apropiado para autenticarse; por lo tanto, los desarrolladores no necesitan implementar esta lógica por sí mismos.

Los mecanismos de autenticación biométrica son cada vez más populares y tienen mucho potencial, pero solo si se diseñan de forma segura, se miden con precisión y se implementan correctamente.

Signature Scheme v3

Android P impulsa el soporte para APK Signature Scheme v3. La principal diferencia con v2 es el soporte de rotación de teclas. La rotación de claves será útil para los desarrolladores, ya que este esquema tiene ApkSignerLineage incluido. Como dice el comité de revisión :

«El linaje del firmante contiene un historial de firmas de certificados con cada antepasado que certifica la validez de su descendiente. Cada descendiente adicional representa una nueva identidad que puede firmar un APK. De esta manera, el linaje contiene una prueba de rotación mediante la cual el APK que lo contiene puede demostrar, a otras partes, su capacidad para confiar en su certificado de firma actual, como si estuviera firmado por uno de los anteriores.Cada certificado de firma también mantiene indicadores que describen cómo el propio APK desea confiar en los certificados antiguos, si es que lo hace, cuando se encuentra «.

Esto le da la oportunidad de firmar fácilmente con un nuevo certificado. Simplemente vincula los archivos APK a aquellos con los que ahora están firmados.

Aunque el Esquema v3 se enciende por defecto, tenga en cuenta que aún puede usar un certificado de firma anterior.

HTTP Secure ( HTTPS ) por defecto

Hoy en día, muchas aplicaciones aún transmiten información de los usuarios sin encriptar, lo que hace que los datos personales sean vulnerables a los piratas informáticos. Las personas afectadas por el potencial de incumplimiento o invasión a la privacidad pueden sentirse más seguras al saber que sus transmisiones en Android P estarán seguras por defecto.

En Android P, los desarrolladores de terceros deberán habilitar HTTPS (era opcional en Android 8.0) para sus aplicaciones. Sin embargo, aún pueden ignorar los consejos y especificar ciertos dominios que generarán tráfico no encriptado.

Confirmación protegida

Existe una API de confirmación protegida en todos los dispositivos lanzados con Android P. Con esta API, las aplicaciones pueden usar la   clase ConfirmationPrompt para mostrar las solicitudes de confirmación al usuario y pedirles que aprueben una breve declaración. Esta declaración permite que la aplicación confirme que el usuario desea completar una transacción delicada, como hacer un pago de factura.

Inmediatamente después de la aceptación de la declaración, su aplicación recibe una firma criptográfica, protegida por un código de autenticación de mensaje hash con clave (HMAC). La firma es producida por el entorno de ejecución de confianza (TEE). Esto protege la visualización del diálogo de confirmación, así como la entrada del usuario. La firma indica, con alta confianza, que el usuario ha visto la declaración y la ha aceptado.

Módulo de seguridad de hardware

Aquí hay una actualización adicional que beneficia a todos: los dispositivos con Android P soportarán un StrongBox Keymaster. El módulo contiene su propia CPU, almacenamiento seguro y un verdadero generador de números aleatorios. También protege contra la manipulación indebida de paquetes y la descarga no autorizada de aplicaciones.

Para soportar las implementaciones de StrongBox, Android P usa un subconjunto de algoritmos y tamaños de clave, tales como:

• RSA 2048
• AES 128 y 256
• ECDSA P-256
• HMAC-SHA256 (admite tamaños de clave entre 8 bytes y 64 bytes, inclusive)
• Triple DES 168

Política de antecedentes de periféricos

Con Android P, las aplicaciones no podrán acceder al micrófono, la cámara o los sensores de su teléfono inteligente. Los usuarios reciben una notificación cuando las aplicaciones intentan acceder a estos en segundo plano. Al intentarlo, el micrófono informará el audio vacío, las cámaras se desconectarán (causando un error si la aplicación intenta usarlas), y todos los sensores detendrán los eventos.

Actualización de cifrado de datos de respaldo

No es un secreto que Android hace copias de seguridad de los datos de su dispositivo. Los usuarios pueden restaurar los datos después de iniciar sesión en su cuenta de Google desde otro dispositivo. Comenzando con Android P, comenzará a usar un   método secreto del lado del cliente para su encriptación. Esto significa que el cifrado se realizará localmente en el dispositivo, mientras que antes, una copia de seguridad de su dispositivo se cifraba directamente en el servidor.

Debido a esta nueva medida de privacidad, los usuarios necesitarán el PIN, patrón o contraseña del dispositivo para restaurar los datos de las copias de seguridad realizadas por su dispositivo.

Envolviendo cosas

Todas estas mejoras significan una sola cosa: a los delincuentes les resultará mucho más difícil acceder a sus datos cuando no deberían poder hacerlo. Con las cantidades masivas de violaciones en los últimos dos años, esto debería ser un alivio para los consumidores, que simplemente quieren usar sus teléfonos sin temor a que la privacidad se vea comprometida.

Esta publicación del blog fue escrita por  @hasherezade  y  Jérôme Segura .

Recientemente detectamos un ataque de descarga drive-by tratando de explotar CVE-2018-4878 , una vulnerabilidad en Flash Player, en una secuencia que no coincidía con ninguno de los patrones de kits de exploits que actualmente rastreamos. Tras la investigación, descubrimos algo nuevo para nosotros, pero es parte de un marco de explotación existente mencionado a fines de 2017 por la empresa china de seguridad Qihoo360. En ese momento, la carga útil parecía ser un troyano que empujaba adware. ( Nota: el 26 de julio, nuestros colegas de TrendMicro publicaron una publicación de blog que lo llamó el kit de explotación de Underminer ).

Desde la última documentación, ha habido cambios en los exploits que se utilizan, aunque el método de distribución es similar. Un aspecto interesante que no vemos mucho en estos días es el uso del cifrado para empaquetar exploits sobre la marcha, que requiere una clave del servidor backend para descifrarlos y ejecutarlos.

La carga útil servida en esta campaña también es fuera de lo común porque no es un archivo PE estándar. En cambio, se trata de un formato ejecutable personalizado de varias etapas, que actúa también como un descargador para recuperar los scripts LUA utilizados por los actores de la amenaza que están detrás de la   botnet minera Hidden Bee . Este fue quizás el primer caso de un bootkit que se usa para esclavizar máquinas que extraen criptomonedas.

Visión general de la campaña

Los atacantes están aprovechando la publicidad maliciosa en sitios para adultos para redirigir a sus víctimas a la página de inicio del kit de explotación. Creemos que esta campaña se dirige principalmente a los países asiáticos en función de los anuncios que se sirven y nuestros propios datos de telemetría. Un servidor que pretende ser un servicio de citas en línea contiene un iframe malicioso responsable de las fases de explotación e infección.

Tráfico play-by-play

IE explotar

Con algunas excepciones, los kits de exploits suelen ofuscar su página de destino y sus exploits. Pero aquí los actores de la amenaza van más allá usando cifrado y requiriendo un intercambio de claves con el servidor back-end para descifrar y ejecutar el exploit. En el pasado, los kits de exploits Angler , Nuclear y Astrum han abusado del protocolo de intercambio de claves Diffie-Hellman de forma similar para evitar que los analistas vuelvan a reproducir el tráfico malicioso.

La ejecución del código malicioso comienza desde una página web con un bloque encriptado incrustado. Este bloque está codificado y cifrado en Base64 con uno de dos algoritmos: RC4 o Rabbit .

Después de ser descifrado, el bloque se ejecuta. Puede encontrar la versión decodificada de Java Script que se está ejecutando aquí . Como puede ver en el script, genera una clave de sesión aleatoria y luego la encripta con la clave RSA pública del atacante:

La clave cifrada se transfiere a la siguiente función y se convierte a formato JSON para realizar una solicitud POST a la URL codificada:

Esto es lo que podemos ver si observamos el tráfico entre el cliente y el servidor (el cliente envía la «clave» encriptada y el servidor responde con el «valor»):

Lado del servidor

• Con la clave RSA privada de los atacantes, el servidor descifra la clave de sesión aprobada.
• Lo usa para encriptar el contenido del exploit con un algoritmo simétrico elegido (Rabbit o RC4).
• Devuelve el contenido cifrado al cliente.

Gracias al hecho de que el cliente todavía tiene una versión no encriptada de la clave en la memoria, puede descifrar y ejecutar el exploit. Sin embargo, los investigadores que solo tienen capturado el tráfico no pueden recuperar la clave de sesión original y es imposible reproducir el exploit. Afortunadamente, logramos capturar el exploit durante el análisis dinámico.

Creemos que el exploit descifrado es CVE-2018-8174,  ya que una de nuestras máquinas de prueba parcheadas contra CVE-2016-0189 fue explotada con éxito.

Flash exploit

Este nuevo exploit de Flash ( CVE-2018-4878 ) no formaba parte del kit de herramientas de exploit en el momento en que Qihoo lo documentó, y parece ser una adición más reciente para mejorar sus capacidades. El Shellcode incrustado en el exploit es un descargador para la próxima etapa.

Tras una explotación exitosa, recuperará su carga útil en la siguiente URL:

Este archivo, dado el .wasm de extensión, pretende ser un módulo de Web Assembler. Pero, de hecho, es algo completamente diferente, que parece ser un formato ejecutable personalizado o un archivo PE modificado y sin encabezado.

Comienza a partir de los nombres de las DLL que se necesitarán durante la ejecución:

Como puede ver, carga Cabinet.dll que se utiliza para desempaquetar archivos contenedores. En secciones posteriores, vimos las API y cadenas que se utilizan para la comunicación a través del protocolo HTTP. También encontramos referencias a «dllhost.exe» y «bin / i386 / core.sdb».

Es fácil adivinar que este módulo descargará algo y se ejecutará a través de dllhost.exe.

Otra cadena interesante es un contenido codificado en Base64:

El contenido decodificado apunta a más URL:

http://103.35.72.223/git/wiki.asp?id=530475f52527a9ae1813d529653e9501
http://103.35.72.223/git/glfw.wasm
http://103.35.72.223/rt/lsv3i06rrmcu491c3tv82uf228.wasm

Al observar el tráfico capturado por Fiddler, descubrimos que, de hecho, esas URL están siendo consultadas:

Las solicitudes provienen de dllhost.exe, por lo que significa que el ejecutable anterior se inyectó allí.

El archivo glfw.wasm  no tiene nada en común con Web Assembly. Es, de hecho, un archivo Cabinet, que contiene contenido empaquetado en la ruta interna bin / i386 / core.sdb. Mirando hacia adentro, encontramos el mismo formato ejecutable personalizado, comenzando desde nombres de DLL:

Entonces, el tráfico HTTP se detiene. Este fue otro aspecto interesante de esta amenaza, porque los actores de la amenaza quizás intenten ocultar el tráfico pretendiendo usar el protocolo SLTP para recuperar la carga real, que se puede ver en las cadenas extraídas del archivo del gabinete dentro del núcleo. sdb :

INSTALL_SOURCE
& sid =% u
INSTALL_SID
INSTALL_CID
sltp: //setup.gohub [.] en línea: 1108 / setup.bin? id = 128
ntdll.dll
ZwQueryInformationProcess
Numero de volumen
SCSIDISK
os =% d & ar =% d
kernel32.dll
IsWow64Process
RtlGetNtVersionNumbers
% 02x
& sz =
sltp

Ese nombre de host se resuelve en 67.198.208 [.] 110:

Pinging setup.gohub.online [67.198.208.110] con 32 bytes de datos:
Respuesta de 67.198.208.110: bytes = 32 tiempo = 76ms TTL = 51

El tráfico de red TCP encriptado de nuestra máquina de espacio aislado muestra cómo se recupera la carga binaria:

Todo este proceso de recuperación y recuperación de cargas útiles es bastante complejo, especialmente a la luz del propósito de esta campaña drive-by. Los hosts infectados reciben instrucciones para extraer criptomonedas:

Lo que es único de este minero es que logra la persistencia mediante el uso de un bootkit, como se describe aquí . Los hosts infectados tendrán su registro de arranque maestro modificado para iniciar el minero cada vez que arranque el sistema operativo.

Un ataque sofisticado para una simple carga útil

Este ataque es interesante en muchos niveles por su uso de diferentes tecnologías tanto en la parte de entrega de exploits como en la forma en que se empaqueta la carga útil. De acuerdo con nuestra telemetría, creemos que también se enfoca en unos pocos países asiáticos seleccionados, lo que tiene sentido al considerar su carga útil.

También muestra que los actores de amenazas no han renunciado completamente a los kits de exploits, a pesar de una tendencia a la baja notoria en los últimos años.

Proteccion

Malwarebytes detecta los exploits de IE y Flash, lo que provoca que la cadena de infección se detenga desde el principio.

Indicadores de compromiso

Sitio de citas inyectado

144.202.87 [.] 106

Kit de herramientas de explotación

103.35.72 [.] 223

52he3kf2g2rr6l5s1as2u0198k.wasm

087FD1F1932CDC1949B6BBBD56C7689636DD47043C2F0B6002C9AFB979D0C1DD

glfw.wasm

CCD77AC6FE0C49B4F71552274764CCDDCBA9994DF33CC1240174BCAB11B52313

Payload URL e IP

setup.gohub [.] en línea: 1108 / setup.bin? id = 128
67.198.208 [.] 110

Miner Proxy

133.130.101 [.] 254

¿Estás cansado de todo el contenido no deseado que ofrece la red mundial, te guste o no? Es nuestro privilegio presentarle la Extensión del navegador Malwarebytes (BETA). O mejor dicho, las extensiones del navegador Malwarebytes, porque tenemos una para Firefox y otra para Chrome.

Introducción

Malwarebytes Browser Extension ofrece una experiencia de navegación web más segura y rápida. Bloquea sitios web maliciosos y filtra el contenido no deseado (lo que da como resultado tiempos de carga de la página web hasta tres veces más rápidos). El filtrado no se basa en las definiciones, por lo que las extensiones pueden bloquear las estafas de soporte técnico falsas previamente no identificadas y sus tácticas.

¿Qué hará por tu experiencia de navegación? Evita que las ventanas emergentes, los secuestradores del navegador y los casilleros del navegador lo acosen e interrumpan su navegación. También bloquea los enlaces clickbait y el contenido de noticias falsas, detiene a los mineros de criptomonedas en el navegador y le da otro contenido malicioso al inicio. Todo esto al tiempo que se basan en patrones de comportamiento de amenaza en lugar de en investigadores que tienen que rastrear, identificar el malware y agregarlo a una base de datos de amenazas conocidas. (Todavía necesitamos que esos investigadores mejoren nuestros productos. Se trata de un método diferente y más rápido).

Hablando de patrones de comportamiento, nuestra extensión de navegador es la primera que identifica de manera heurística y bloquea las páginas de «navegador-locker» de estafas de soporte técnico , lo que asusta a los usuarios a llamar a estafadores de soporte de tecnología falsa. Por lo tanto, también lo protege de las tácticas de ingeniería social no deseadas .

¿Por qué debería usarlo?

Aquí es donde Malwarebytes Browser Extension puede ayudarlo:

• Protección contra estafadores de soporte técnico: Bloquea los secuestradores del navegador y los casilleros del navegador, que son utilizados por estafadores para llevar a las víctimas a llamar a los centros que usan tácticas intimidatorias para vender soporte técnico costoso (que no necesitas).
• Tiempos de carga de la página web más rápidos: los sitios web populares descargan una gran cantidad de contenido no deseado en segundo plano. Al filtrar los clickbait y los anuncios, Malwarebytes Browser Extension BETA puede acelerar el tiempo de carga de su página web, lo que le permite ahorrar cordura y ancho de banda.
• Evita las visitas a páginas maliciosas: lo protege de visitas inadvertidas a sitios web maliciosos que alojan contenido malicioso, roban su identidad (phishing), cargan mineros de Bitcoin en segundo plano, lo que ralentiza su computadora, y una larga lista de otros comportamientos desagradables que pueden experiencia en línea menos que estelar.
• Mantiene su privacidad en privado: Bloquea los rastreadores de anuncios de terceros que lo siguen a través de Internet y lo dirigen a usted con los mismos anuncios una y otra vez.

Y estas son las características que tiene para ofrecer:

• Protección contra malware: bloquea programas maliciosos o códigos que pueden dañar su sistema.
• Protección contra estafas: bloquea las estafas en línea, incluidas las estafas de asistencia técnica, los casilleros del navegador y el phishing.
• Protección de publicidad / seguimiento: bloquea los anuncios de terceros y los rastreadores de anuncios de terceros que supervisan su actividad en línea. La cantidad de anuncios / rastreadores bloqueados para un sitio web aparecerá junto al logotipo de Malwarebytes en su navegador.
• Protección Clickbait: bloquea contenido y sitios web que a menudo muestran un comportamiento de valor cuestionable.
• Protección de programa potencialmente no deseado (PUP): bloquea la descarga de programas potencialmente no deseados, incluidas barras de herramientas y ventanas emergentes.

Descargar e instalar

Cromo

La extensión de Chrome se puede descargar desde la tienda web de Google  .

Instalar la extensión es bastante fácil. Simplemente siga las instrucciones cuando haga clic en «AGREGAR A CROMO» en la tienda web.

 

Para verificar dos veces si la instalación fue exitosa, puede verificar en Configuración (use el icono que se parece a tres puntos verticales)> Más Herramientas> Extensiones. Usted debe encontrar esta entrada:

Firefox

La extensión de Firefox se puede descargar de la página oficial de Complementos de Firefox . En la página Complementos, haga clic en el botón «+ Añadir a Firefox» y siga las instrucciones.

Y deberías ver esta confirmación:

Para verificar dos veces si la instalación fue exitosa, puede marcar debajo del ícono Menú (también conocido como hamburguesa, que se ve como tres barras horizontales). Busque «Complementos» y debería encontrar esta entrada:

Sintonia FINA

Tanto en Chrome como en Firefox, puede realizar ajustes en la configuración de Malwarebytes Browser Extension para obtener un control más detallado. Para llegar al menú de configuración, haga clic en el logotipo azul de Malwarebytes en la barra de menú de los navegadores. Esto le mostrará el estado de protección actual y dos enlaces adicionales.

Para habilitar o deshabilitar características de protección individuales, haga clic en el enlace «Configuración» en ese aviso. Esto le mostrará un menú:

Aquí, también puede encontrar información acerca de qué protege cada modo de protección.

En la pestaña «Permitir lista», puede permitir dominios individuales e IP manualmente (en caso de que bloqueemos algo que no desea que se bloquee). Puede eliminarlos de la lista también, si cambia de opinión.

En la pestaña «Acerca de», puede verificar la información de la versión y, lo que es más importante, permitir que la telemetría de la Extensión del navegador se nos envíe de forma anónima. Esto ayudará a los investigadores que mencioné anteriormente a evaluar si un dominio o IP debería estar bloqueado permanentemente.

Funcionalidad

Cuando las extensiones del navegador bloquean un sitio, le mostrarán una advertencia similar a esta:

Los peligros se clasifican de acuerdo con los principales riesgos con los que se puede encontrar un navegador web:

Adware 
Comprometida 
Exploit 
Fraude 
Secuestro 
Malvertising 
malware 
PUP 
Pharma 
phishing 
ransomware 
Riskware 
spam 
spyware 
troyano 
gusano

La página «bloqueada» ofrecerá una breve explicación de estos riesgos en el menú desplegable superior.

Pero, es un BETA

Por qué, sí, lo es! Entonces, lo estás usando bajo tu propio riesgo. Baste decir que ambas extensiones se han descargado miles de veces, y la mayoría de las quejas hasta ahora han sido sobre falsos positivos . Todos estos han sido analizados, y algunos han llevado a cambios en el software. A nivel personal, los falsos positivos son fáciles de resolver, ya que las extensiones le ofrecen la opción de visitar el sitio bloqueado de todos modos. En comparación con los daños potenciales que se producen al visitar un sitio malicioso, esto parece una patata pequeña. También es posible desactivar algunas de las características si las encuentra demasiado agresivas para su gusto.

¡Esperamos poder anunciar pronto la versión oficial completa de Malwarebytes Browser Extension!

¡Dale un giro a las extensiones del navegador Malwarebytes y mantente a salvo allí!

Los griegos ficticios que se esconden en su legendario caballo de Troya probablemente se emocionarán al saber que la página Wiki predeterminada para Troyano es, de hecho, su gran cosa del caballo de madera (frente a infecciones informáticas o negocios dudosos).

Lo siento, ficticios guerreros griegos antiguos. No es que no creemos que seas un gran problema, esa película con Brad Pitt fue al menos un 6 sobre 10. Es solo que en este punto en el tiempo, los troyanos que más nos preocupan son los pequeños que se cuelan en tu PC al amparo de la oscuridad y luego arrasan con Troy.

Y por Troy me refiero a nuestras PC.

El término «troyano», tal como lo entendemos, cobró vida en la década de 1970, utilizado en un informe de la USAF sobre vulnerabilidades en computadoras  [PDF]. La aplicación de dicho caballo de Troya digital es bastante sencilla: un programa de computadora, que pretende ser algo que no es, se instala y ejecuta en el sistema de destino. Por ejemplo, una víctima podría abrir un archivo llamado dolphin.exe y cree que está viendo un juego divertido llamado Dolphin. Pero en realidad, toda su información personal se está recolectando de forma encubierta y se envía de vuelta a la base.

La sala de la vergüenza troyana

Los primeros troyanos de gran nombre que muchos de nosotros en el área de TI podemos recordar datan de finales de la década de 1990 y principios de la de 2000. Eso incluye a  Netbus , Bifrost y Sub7 , aunque la mayor parte del botín de cibercrimen fue para el notorio Zeus en 2007. Después de eso, los troyanos estaban en el negocio, con DarkComet , el  kit de exploits de Blackhole , que (por ejemplo) empujaría Java o Carberp. Trojans y Koobface (un anagrama de Facebook), que normalmente pretenden ser un video como cebo para instalar un gusano.

La mayoría de estos han ido hace mucho tiempo al gran potrero de madera en el cielo, pero Zeus continúa perdurando en virtud de tener su código filtrado en 2011 , formando los bloques de construcción para muchos, muchos ataques de troyanos desde entonces .

Ingeniería social en su máxima expresión

Adecuadamente, la ingeniería social juega un papel importante en los procedimientos de Troya. Un chasquido de presión social, o incluso simplemente un «¡eh, esto es genial!» Es a menudo suficiente para hacer que alguien comprometa su computadora personal con sus propias manos.

¡Has ganado esta cosa gratis! ¡Haga clic aquí y eche un vistazo!

Espera, ¿los hackers llevan regalos ahora? Aunque no hay antiguos guerreros troyanos que ofrezcan estructuras de madera imponentes, puedes apostar que habrá una gran variedad de trucos de confianza en exhibición. Es posible que obtenga una calcomanía portátil fresca o un par de calcetines con la marca de la novedad en un evento. O bien, puede obtener esto:

Correo electrónico : Hola, ¡mira este adorable delfín! Ejecute este archivo dolphin.exe, ¡es genial! 
Redes sociales : ¡Participa en nuestros sorteos para ganar un adorable delfín! Asegúrese de ejecutar dolphin.exe para tener una oportunidad de ganar. 
Mensajería instantánea : adorables webcams de delfines. ¡Solo $ 4.99 por mes! Descargue este dolphincam.exe para comenzar. 
Memoria USB sospechosamente abandonada : Wow, has encontrado mi memoria USB sospechosamente abandonada. ¡Camino a seguir! Si quieres devolver mis adorables fotos de delfines, ejecuta adorabledolphinphotos.exe para ver mi dirección.

A pesar de la variación en los métodos de ataque descritos anteriormente, todos usan ejecutables disfrazados de archivos inofensivos (troyanos). Los tipos de troyanos varían enormemente y abarcan todo, desde archivos desarrollados por el gobierno hasta personas en foros que elaboran sus propias versiones especiales de elaboración casera. A continuación, enumeramos las principales categorías de troyanos.

Tipos de troyanos

Financiero

Existe una gran cantidad de troyanos con motivación financiera, que por lo general se duplican con los registradores de pulsaciones para tratar de filtrar la información bancaria en línea . Algunos pueden tratar de fisgonear conexiones mediante la realización de ataques man-in-the-middle , o eliminar una página de inicio de sesión de banco falso en la PC para que la víctima entregue sus credenciales. Otros toman un enfoque alternativo y simplemente escanean la PC en busca de cualquier cosa que se parezca a los datos de inicio de sesión almacenados en un archivo de texto, o las contraseñas inseguras guardadas en un navegador.

Botnets

Backdoor el sistema, y ​​el cielo es el límite. Sin embargo, las botnets son un viejo favorito de los autores de malware, y eliminar algunos archivos que pueden tomar comandos de un servidor Command & Control es justo lo que ordenó el médico. Una vez etiquetado en una red de bots, la potencia de su máquina como un nodo rebelde se amplifica muchas veces, junto con sus hermanos comprometidos. En situaciones en las que los atacantes no están particularmente interesados ​​en su información personal, pueden usarlo para unirse al ataque de Denegación de Servicio Distribuido (DDoS) .

Ransomware

El omnipresente ransomware a menudo se sirve a las posibles víctimas disfrazadas como algo más para encerrar a la PC objetivo y luego exigir un rescate. Podría ser entregado a través de malspam o campañas de phishing y spearphishing , que engañó a los usuarios para que abrieran correos electrónicos de fuentes poco confiables.

Recopilación de datos generales / manipulación del sistema

La intención detrás del uso de un troyano puede ser intentar obtener detalles de la tarjeta, o información personal, o descargar archivos de malware adicionales, o incluso simplemente sentarse silenciosamente en segundo plano y monitorear toda la actividad por razones que solo conocen los atacantes. Realmente depende del atacante, y como resultado, la definición de «Troyano» a veces puede ser turbia.

Por ejemplo, los cuentagotas y los descargadores son dos tipos de troyanos que hacen exactamente lo que sugieren sus nombres: agregar archivos incorrectos adicionales al sistema. ¿Pero cuál es la motivación para agregar más archivos malos? Tal vez solo quieran vigilar las cosas para una fecha posterior, instalando una herramienta de administración remota que mantenga abierta una puerta trasera y recopile datos nuevos a medida que avanza en su negocio. Tal vez algunos de sus hábitos de navegación activen otro ataque de ingeniería social, que los atacantes ahora pueden hacer fácilmente con el acceso a su sistema. O tal vez los datos recopilados en usted se venden a otras organizaciones con fines de comercialización, y ahora no puede dejar de recibir correo no deseado.

Esto no es en absoluto una lista exhaustiva, sino solo un ejemplo del tipo de travesuras que los troyanos pueden causar y crear.

Caballo de regalo, boca, no mires

Independientemente de la intención, convertir tu PC en una puerta de acceso de acceso abierto para delfines troyanos, por ejemplo, caballos, es una mala idea. Incluso si el troyano inicial se elimina de la computadora (suponiendo que no se haya eliminado automáticamente), a menudo no hay forma de saber qué más se ha colocado a bordo.

A diferencia de otras formas de ataque, los troyanos  nunca pasan de moda . Hace solo unas semanas, los archivos falsos de Fortnite estaban causando olas en Androidland, prometiendo puntos de juego gratuitos pero ofreciendo descargas no relacionadas en su lugar. La ingeniería social nunca desaparecerá, y vestir un archivo deshonesto en un envase atractivo contribuye en gran medida a comprometer un sistema.

Siéntase libre de leer nuestras numerosas publicaciones de ingeniería social, ya que eso le dará una gran ventaja contra su adversario. Y si los antiguos griegos hubieran practicado una mejor deducción y uso del sentido común, estás en medio de la guerra. ¿Por qué invitar a una estructura de madera gigante dentro de tus paredes? – seguramente habrían vencido a los astutos troyanos.