Estudiar los hábitos de navegación de
los usuarios de una red, en las estadísticas del servidor DNS, puede
ayudar a detectar amenazas como: malware, ordenadores zombie
pertenecientes botnets, phishing, pharming... En este post tratare de
dos herramientas ideales para este cometido, una para generar
estadísticas gráficas y otra para investigar a fondo los resultados
sospechosos de estas estadísticas.
Para generar estadísticas gráficas DSC, es un sistema para la recogida y
exploración de las estadísticas de los servidores DNS en
funcionamiento. Actualmente cuenta con dos componentes principales:
Colector, el proceso colector utiliza libpcap para recibir
mensajes DNS enviados y recibidos en una interfaz de red. Se puede
ejecutar en la misma máquina que el servidor DNS, o en otro sistema
conectado a un conmutador de red configurado para realizar puerto
espejo. Un archivo de configuración define un número de conjuntos de
datos y otras... Continuar leyendo
Como muchos ya sabéis, Hacking Team (en adelante HT), la empresa italiana conocida por vender herramientas de hacking a muchos gobiernos (incluidos a aquellos que no respetan los derechos humanos, los que persiguen a activistas e incluso a sus propios ciudadanos) fue comprometida y el pasado domingo se filtraron más de 400 gigas de datos confidenciales. El resultado fue que muchos
países y agencias gubernamentales se han visto señalados por contratar
sus servicios, entre ellos la Policía y el Centro Nacional de
Inteligencia (CNI).
Estas son las principales preguntas que nos habéis hecho al respecto y nuestras ... Continuar leyendo
David Reguera de Buguroo está trabajando en el desarrollo de anticuckoo, una herramienta escrita en C/C++ para detectar y crashear el sandbox de Cuckoo: - se ha probado en la versión oficial y la de Accuvant - detecta toda clase de hooks de Cuckoo - busca datos sospechosos en memoria, sin APIs, escaneando página por página -
con el argumento "-c1" provoca un crash del sandbox. Lo hace
modificando el valor de la instrucción RET N de una API hookeada (el
HookHandler de Cuckoo sólo pasa los argumentos reales de la API y la
intrucción RET N modificada corrompe su stack)
TODO - agente y proceso de detección en python (al 70%) -
mejorar la detección comprobando los bytes correctos en los sitios
conocidos (por ejemplo las APIs nativas siempre tienen las mismas
firmas, etc.). - detección de las entradas TLS de Cuckoo
En este informe sobre amenazas McAfee Labs explora por primera vez los ataques basados en fimware. Se ofrece nuevos detalles sobre el malware de un misterioso grupo de hackers llamado Equation Group. Esta amenaza es capaz de reprogramar el fimware de los discos duros.
El análisis demuestra que el fimware reprogramado puede recargar
malware asociado cada vez que se reinicia el sistema infectado y que
persiste incluso tras reformatear el disco duro o reinstalar el sistema
operativo. Este tipo de amenaza será uno de los temas destacados durante
las conferencias Black Hat y DefCon de este año.
McAfee Labs observó durante el primer trimestre casi el doble de muestras de ransomware que en cualquier otro trimestre.
También se centra en dos caras familiares —el ransomware y los ataques a
Adobe Flash— ya que se ha observado un aumento enorme en el número de
muestras este trimestre de ambos tipos de... Continuar leyendo
Victor Eduardo Deutsch, gerente de la unidad global de servicios de seguridad en Telefónica – Movistar, explica el papel que juegan los empleados dentro de la organización a la hora de proteger la información en las grandes empresas.
Para Deutsch, el mayor número de vulnerabilidades o de ataques de ciberdelincuentes en las organizaciones se deben a errores humanos, específicamente por falta de conocimiento. Es por eso que este experto considera vital en las compañías los procesos de educación interna.
Trustwave publicó un informe [PDF] donde revela los números del cibercrimen.
Se reunieron los datos de las investigaciones de 574 violaciones de
seguridad en 2014 en 15 países, así como los resultados de análisis de
seguridad y pruebas de penetración y telemetría de investigación en
seguridad y tecnologías de seguridad.
Clave a destacar
Retorno de la inversión: los atacantes reciben un 1.425% retorno de la inversión utilizando kit de exploits y ransomware (ingreso neto promedio de U$S84.100 sobre una inversión inicial de U$S5.900). Los costos de un ransomware, el uso de un vector de la infección (por ejemplo exploit kit),
el camuflaje de servicios (cifrado) y el logro de tráfico (20.000
visitantes) ascendieron a $5.900 al mes. El ingreso para una campaña de
30 días, suponiendo una tasa de infección de 10 por ciento, una tasa de
ganancias de 0,5% y un rescate de U$S300, dá un total $90.000. Esto es
un beneficio final de $84.100... Continuar leyendo
Ilustración gracias a la cortesía de Alejandro Cuenca.
El Ransomware es una amenaza digital que está en pleno apogeo, causando estragos por todo el mundo.
En Agosto de 2014 se dio a conocer un portal: https://www.decryptcryptolocker.com/ puesto
a disposición del público gracias a investigadores de compañías de
seguridad como Fox-IT y FireEye, donde se podían recuperar los datos
cifrados por CryptoLocker, tal y como podemos leer en la siguiente
noticia de la BBC:
http://www.bbc.com/news/technology-28661463
La información obtenida de la operación llevada a cabo por los
investigadores dio a conocer que, en menos de un año, estos
ciber-criminales habían llegado a infectar a unos 500.000 usuarios con
esta variante de ransomware, siendo aproximadamente el 1,3% de los
afectados los que habrían pagado los 400$ (USD) solicitados como
rescate, para recuperar los ficheros cifrados. Se estimaron sus
beneficios por ese periodo y para esa única ... Continuar leyendo
La búsqueda de un nuevo empleo puede ser una ardua tarea, que puede incluir entre otras cosas, enviar curriculums vitae, coordinar entrevistas y postularse a través de distintas webs laborales.
Los aspirantes suelen hacer sus búsquedas en sitios especializados
reconocidos, pero en alguna búsqueda en particular pueden encontrarse
con un sitio con un nombre de dominio tentador como buscaempleointernacional[.]com, que desde hace unos días figura entre los sitios reportados como maliciosos , pero aun con una baja tasa de detección.
Tienen entre su arsenal de malware supuestas actualizaciones de Java,
como así también falsos seriales de Office, que no son otra cosa que
troyanos con una tasa de detección actual de media a alta:
Poweliks apareció en 2014 y llamó la atención por ser la primera amenaza basada totalmente en registro de Windows. Poweliks es fileless,
no se almacena como archivo en el sistema infectado y tiene un
mecanismo de persistencia que le permite permanecer en el equipo
comprometido, incluso después de reiniciar el sistema.
Este troyano además utiliza otros trucos del registro, como un método
especial de nombres, para que sea difícil para los usuarios encontrar el
CLSID relacionado y aprovecha una vulnerabilidad de escalamiento de privilegios (CVE-2015-0016)0-Day (MS15-004, parcheado en enero)
para tomar el control de la computadora comprometida. Además, esta
amenaza agrega al sistema infectado una botnet de fraude de clicks y lo
obliga a descargar anuncios sin el conocimiento de la víctima.
... Continuar leyendo
Los
Laboratorios Kaspersky han publicado un aviso en el que reconocen
haber sufrido un ataque dirigido, de igual forma confirman que ninguno de
sus productos, servicios o clientes se han visto afectados. Sin embargo, los
datos detrás del ataque resultan de lo más interesantes.
Las empresas de seguridad siempre
están (estamos) en el punto de mira de los atacantes. Bien por el prestigio que
puede dar la publicidad del ataque, la información obtenida, o conocer
debilidades de otros posibles objetivos; el ataque a una empresa de seguridad
resulta ser un objetivo muy suculento para un atacante.