Área de Innovación y Laboratorio de Telefónica Tech

Existen muchos informes sobre tendencias y resúmenes de seguridad, pero en Telefónica Tech queremos marcar una diferencia. El equipo de Innovación y Laboratorio de Telefónica Tech acabamos de lanzar nuestro propio informe sobre Ciberseguridad que sintetiza lo más destacado de la segunda mitad de 2022. La filosofía de este informe es ofrecer una visión global, concreta y útil sobre los datos y hechos más relevantes sobre Ciberseguridad. Está pensado para ser consumido tanto por profesionales como aficionados de una manera sencilla y atractiva visualmente. El Informe sobre el estado de la Ciberseguridad 2022 H2 abarca la mayoría de los aspectos de esta disciplina para ayudar al lector a comprender los riesgos del panorama actual La información recogida se basa, en buena parte, en la recopilación y síntesis de datos internos, contrastados con información pública de fuentes que consideramos de calidad. Extraemos a continuación algunos puntos que nos resultan importantes. Noticias destacadas Este segundo semestre de 2022 se ha caracterizado por varios ataques a grandes compañías que han dado mucho que hablar. Por ejemplo, a Uber, en el que se usó una forma muy humana de eludir el segundo factor de autenticación: la “fatiga” del administrador al recibir decenas de mensajes pidiendo confirmación de acceso, en un corto periodo de tiempo y además en horas poco adecuadas. Otro ataque sonado en LastPass ha puesto en duda, de nuevo, la seguridad del uso de gestores de contraseñas en la nube. Otras muchas empresas e incluso países han sufrido ataques, aunque solo los hemos visto reflejados en sus consecuencias: los leaks. En este último semestre de 2022. Cisco, Microsoft, Toyota, Revolut... E incluso se han filtrado datos personales de la población China. CYBER SECURITY Inteligencia Artificial, ChatGPT y Ciberseguridad 15 de febrero de 2023 Seguridad Móvil Con respecto a Android, publica un conjunto de parches cada mes, generalmente durante la primera semana. En total, se han publicado 256 parches para corregir diversas vulnerabilidades repartidos en los seis boletines. De esos 256 parches, 14 corrigen vulnerabilidades que han sido calificadas de críticas y podrían facilitar la ejecución remota de código arbitrario. Esto sitúa en casi 500 las vulnerabilidades corregidas en 2022. Parecido al año pasado aunque menos graves en general. Con respecto a iOS, el segundo semestre de 2022 se ha cerrado con 167 vulnerabilidades únicas parcheadas, alrededor de la treintena consideradas de alto riesgo, con posibilidad de ejecutar código arbitrario. Algunas de ellas afectando al propio núcleo del sistema operativo. Se cierra así 2022 con 261 fallos corregidos. El número de fallos anual no deja de crecer desde el pico de 2017. En ocasiones, los gobiernos necesitan apoyarse en las grandes corporaciones para poder llevar a cabo su trabajo. Cuando una amenaza pasa por conocer la identidad o tener acceso a los datos de un potencial atacante o de una víctima en peligro, la información digital que almacenan estas empresas puede resultar vital para la investigación y evitar una catástrofe. Apple publica semestralmente un completo informe sobre qué datos le piden los gobiernos, cuáles y en qué medida las peticiones se satisfacen. Actualizamos aquí algunos datos que hemos extraído de la información publicada por Apple para el primer semestre del año 2021 (el último publicado por Apple) sobre las actividades y peticiones de los gobiernos a la compañía. Este semestre, el gobierno alemán es el que más solicitudes ha generado para obtener información sobre dispositivos. Estudio de amenazas por indicador En colaboración con Maltiverse, hemos realizado un estudio clasificatorio de los indicadores de compromiso detectados en su plataforma. Esto es, indicar atributos interesantes sobre maliciosidad detectada en direcciones IP, nombres de dominio y URLs de los últimos seis meses. Hemos estudiados 650.000 urls catalogadas como maliciosas. Un 20% de las IP ha sido vista realizando algún tipo de fuerza bruta contra sistemas de autenticación. Esto es, por ejemplo, realizando miles de peticiones con combinaciones de usuario y password contra un servidor SSH. 🔵 Descarga el informe completo aquí (PDF) —Puedes acceder y descargar el informe completo en formato PDF libremente, sin necesidad de registro. También tienes disponible el Informe sobre el estado de la seguridad 2022 H1, correspondiente al primer semestre. Foto de apertura: True Agency / Unsplash

Existen muchos informes sobre tendencias y resúmenes de seguridad, pero en Telefónica Tech queremos marcar una diferencia. Desde el equipo de Innovación y Laboratorio lanzamos nuestro informe sobre ciberseguridad que sintetiza lo más destacado de la primera mitad de 2022 (PDF, 700 KB.) Su filosofía es ofrecer una visión global, concreta y útil sobre los datos y hechos más relevantes sobre ciberseguridad, y está pensado para ser consumido tanto por profesionales como aficionados de una manera sencilla y visualmente atractiva. El objetivo de este informe es resumir la información sobre ciberseguridad de la primera mitad de 2022 tomando un punto de vista que abarque la mayoría de los aspectos de esta disciplina, para así ayudar al lector a comprender los riesgos del panorama actual. La información recogida se basa, en buena parte, en la recopilación y síntesis de datos internos, contrastados con información pública de fuentes que consideramos de calidad. Extraemos a continuación algunos puntos que nos resultan importantes. Noticias destacadas Este primer semestre de 2022 se ha caracterizado por noticias interesantes relacionadas, cómo no, con vulnerabilidades destacadas y ataques importantes. Dos de los fallos más importantes se han dado en Office, y está relacionados con fórmulas novedosas de ejecutar código en Word o Excel. La manipulación de las llamadas a protocolos incrustados permite la ejecución de código fuera del contexto de las macros. En enero teníamos todavía problemas con CVE-2021-40444 (protocolo MSHTML) y en mayo con el denominado Follina (protocolo MSDT) que de nuevo permitía la ejecución de código. Con respecto a los ataques importantes, llama la atención que este semestre se hayan encontrado dos fallos importantes (abril y julio) en coches de la marca Honda. Los analista pudieron arrancar y desbloquear ciertos modelos de forma remota. Esto ha vuelto a abrir el debate sobre la ciberseguridad en entornos críticos donde un ataque permitiría arriesgar la vida de los pasajeros. Seguridad móvil Típicamente, Google libera un grupo de parches se seguridad cada mes. Por lo que han sido publicados seis boletines que suman un total de 230 CVEs o vulnerabilidades corregidas ese semestre. 21 de ellas críticas. Cifras muy similares al conjunto del semestre pasado. En la gráfica se observa lo acumulado hasta 2022, primer semestre. Gráfico de vulnerabilidades encontradas en Android, H1 2022 El primer semestre de 2022 se ha cerrado con 94 vulnerabilidades parcheadas, de las cuales, 36 son consideradas de alto riesgo, con posibilidad de ejecutar código arbitrario. Algunas de ellas afectan al propio núcleo del sistema Gráfico de vulnerabilidades encontradas en Apple iOS, H1 de 2022 Seguridad OT Desde Telefónica Tech creemos fundamental una visión holística de la seguridad que incorpore los entornos industriales. Por ello, hemos desarrollado internamente el proyecto Aristeo: una red de señuelos industriales (honeypotting) que emplean dispositivos OT reales para confundir a los atacantes y extraer la información necesaria para generar inteligencia que fortalezca las defensas de nuestros clientes. La herramienta de ciberseguridad Aristeo, de Telefónica Tech Ahora vamos a ver el Top-10 de las direcciones IP con más interacción con el sistema de Aristeo. Del TOP-10, el 30% pertenecen al mismo proveedor de servicios de un país de Europa del este, y tiene delegada la administración de esas IP, un /24, en una entidad radicada a casi 10.000 km de ese país. 🔵 Descarga el informe completo aquí (PDF) —Puedes acceder y descargar el informe completo en formato PDF libremente, sin necesidad de registro. También tienes disponible el Informe sobre el estado de la seguridad 2022 H2, correspondiente al segundo semestre. Foto de apertura: Kelly Sikkema / Unsplash

Existen muchos informes sobre tendencias y resúmenes de seguridad, pero en Telefónica Tech queremos marcar una diferencia. Desde el equipo de Innovación y Laboratorio acabamos de lanzar nuestro propio informe sobre ciberseguridad que sintetiza lo más destacado de la segunda mitad de 2021. Su filosofía es ofrecer una visión global, concreta y útil sobre los datos y hechos más relevantes sobre ciberseguridad, y está pensado para ser consumido tanto por profesionales como aficionados de una manera sencilla y visualmente atractiva. El objetivo de este informe es resumir la información sobre ciberseguridad de los últimos meses tomando un punto de vista que abarque la mayoría de los aspectos de esta disciplina, para así ayudar al lector a comprender los riesgos del panorama actual. La información recogida se basa, en buena parte, en la recopilación y síntesis de datos internos, contrastados con información pública de fuentes que consideramos de calidad. Extraemos a continuación algunos puntos que nos resultan importantes. Noticias destacadas Una de las noticias más destacables no solo del semestre sino del año, se dio en diciembre. El fallo en el software de procesamiento de logs en Java, log4j sufría una vulnerabilidad crítica que no disponía de parche. A partir de aquí, una búsqueda incesante de proyectos que contenían esta librería, nuevas formas de explotación, parches que no eran completos, nuevas vulnerabilidades encontradas... Toda una carrera de obstáculos mientras los atacantes incorporaban estas vulnerabilidades a su conjunto de herramientas de ataque. Este fallo abrió un debate interesante. ¿Hasta qué punto puede un software tan usado, ubicuo y relevante estar mantenido en el tiempo libre de una sola persona? Este incidente hizo recapacitar sobre el papel del software de código abierto en la industria, de cómo los grandes fabricantes lo usan libremente pero no todos aportan a cambio soporte a sus creadores, lo que crea una dependencia muy desequilibrada pero que más tarde puede volverse en su contra: el software heredará los potenciales fallos que introduzca el programador. Fuente: https://xkcd.com/2347/ Seguridad Móvil Para Android, el segundo semestre de 2021 se ha cerrado con 250 CVEs o vulnerabilidades corregidas, 29 de ellas críticas, cifras muy similares a semestres anteriores. No obstante, muchos de estos fallos afectan a software o firmware de ciertos fabricantes en particular, lo que significa que una misma vulnerabilidad no tiene por qué afectar a todo el parque de dispositivos Android, sino tan solo a aquellos con lo componentes afectados. Para Apple iOS, el segundo semestre de 2021 se ha cerrado con 120 vulnerabilidades parcheadas, de las cuales, 40 son consideradas de alto riesgo, con posibilidad de ejecutar código arbitrario. Algunas de ellas afectan al propio núcleo del sistema. Hemos incluido en este informe un resumen de las principales conclusiones que se pueden extraer del informe que Apple publica sobre los datos que le piden los gobiernos, cuáles y en qué medida las peticiones se satisfacen para el año 2020. Podemos destacar que España es el país que más solicitudes de información de cuentas por fraude ha realizado en 2020. Seguridad OT Desde Telefónica Tech creemos fundamental una visión holística de la seguridad que incorpore los entornos industriales. Por ello, hemos desarrollado internamente el proyecto Aristeo: una red de señuelos industriales que emplean dispositivos OT reales para confundir a los atacantes y extraer la información necesaria para generar inteligencia que fortalezca las defensas de nuestros clientes. Más información en: https://aristeo.elevenlabs.tech En nuestro análisis de amenazas OT, hemos podido comprobar que es cierto eso que se dice sobre que los delincuentes son los que mejor conocen la legislación y la realidad de la sociedad. Como un ejemplo que evidencia esta realidad, podemos ver en la siguiente gráfica como en cuanto apareció la variante ómicron, se dispararon ciertos tipos de ataques en el ámbito OT relacionados con el aumento del teletrabajo. Accede al informe completo aquí

Emotet vuelve a la actividad Investigadores de seguridad de Cryptolaemus han identificado la reactivación del conocido malware Emotet, cuya infraestructura se encontraba inactiva desde el pasado mes de enero de este año tras la acción conjunta de distintas autoridades a nivel global. Las nuevas muestras utilizan los mismos mecanismos de propagación típicamente asociados a esta botnet: malspam con adjuntos de excel y word o archivos zip protegidos con contraseña; remitentes manipulados (spoofed) e información robada de hilos de correo de antiguas víctimas. La única diferencia reseñable estriba en el uso de comunicaciones cifradas con el servidor C2 mediante HTTPS. Cabe señalar que, tan solo un día antes de localizarse esta oleada de spam, otros investigadores advertían de la identificación de muestras de Emotet siendo distribuidas como segundo payload por parte del malware Trickbot. Precisamente los operadores de Trickbot, conocidos por el alias ITG23, han sido vistos en recientes campañas aunado fuerzas con el actor amenaza Shathak (aka TA551) para conseguir la entrega del malware con el objetivo final del despliegue del ransomware Conti. Todos los detalles: https://isc.sans.edu/diary/28044 Actores amenaza explotan vulnerabilidad 0-day en FatPipe VPN El FBI ha emitido un comunicado alertando sobre la explotación activa de una vulnerabilidad 0-day en dispositivos FatPipe VPN por parte de un grupo APT desde al menos el pasado mes de mayo. En concreto, los análisis forenses del FBI afirman que los atacantes podrían haber accedido a las funciones de carga de archivos en el firmware del dispositivo para instalar una webshell con acceso root, consiguiendo así acceso con altos privilegios a las redes internas de las organizaciones objetivo. La vulnerabilidad 0-day utilizada afecta a los dispositivos de redes virtuales privadas (VPN) FatPipe MPVPN, IPVPN y WARP y por el momento no dispone de CVE asignado ni criticidad asociada. No obstante, la compañía FatPipe ya ha publicado parches e información relacionada mediante un aviso de seguridad (FPSA006). Asimismo, el comunicado del FBI contiene indicadores y reglas YARA con el fin de verificar posibles intrusiones en los sistemas o detectar webshells no autorizadas en los mismos. Más info: https://media.telefonicatech.com/telefonicatech/uploads/2021/1/146982_211117-2.pdf Chainjacking: nuevo tipo de ataque a la cadena de suministro de software La compañía de seguridad Intezer en colaboración con Checkmarx ha publicado una investigación sobre un nuevo tipo de ataque centrado en la cadena de suministro de software que podría poner en riesgo herramientas de administración de uso común. Denominado como “Chainjacking”, el ataque consiste en la modificación o corrupción de los paquetes “open source” de GitHub, Go Package Manager o NPM que se encuentran incluidos por defecto en herramientas de administración de uso extendido. En el caso de GitHub, un atacante podría reclamar fácilmente un nombre de usuario abandonado y comenzar a entregar código malicioso a cualquiera que descargue el paquete, confiando en la credibilidad ganada por su antiguo propietario. Hacerlo en un repositorio de paquetes Go podría resultar en una reacción en cadena que amplíe sustancialmente la distribución del código e infecte una gran cantidad de productos posteriores llegando a causar daños severos comparables con los ataques sufridos por las empresas Solarwinds a finales del pasado año y Kaseya durante este 2021, según menciona la investigación. Hasta la fecha no se conocen reportes sobre la posible explotación activa de Chainjacking en la red, pero se debe tener en cuenta que existe una tendencia al alza en los ataques a la cadena de suministro de software ya que suelen ser difíciles de detectar, tienen un impacto generalizado y proporciona a los actores amenaza nuevas oportunidades de infección. Descubre más: https://www.intezer.com/blog/malware-analysis/chainjacking-supply-chain-attack-puts-popular-admin-tools-at-risk/ 0-day en ManageEngine ServiceDesk Investigadores de IBM han descubierto un 0-day en la plataforma ManageEngine ServiceDesk. Se trata de una plataforma de administración de help desk ampliamente utilizada, que incluye aplicaciones de administración de proyectos y de IT. La vulnerabilidad descubierta, catalogada como CVE-2021-37415, podría explotarse para dar acceso a un atacante no autenticado a un subconjunto de las API REST de la aplicación, que son las responsables de recuperar información detallada de los tickets que existen en la aplicación. Asimismo, de ser explotada activamente, un actor malicioso podría acceder a datos confidenciales a través de Internet, incluyendo información sobre parches que faltan por aplicar o información sobre la estructura de red interna de una organización, entre otras. Del mismo modo, podría conducir a un impacto generalizado similar al de los ataques a la cadena de suministro, debido al uso generalizado de este producto y la naturaleza de la vulnerabilidad. ManageEngine ha lanzado la versión 11302 corrigiendo dicha vulnerabilidad, por lo que se recomienda actualizar a la misma sin demora. Todos los detalles: https://securityintelligence.com/posts/zero-day-discovered-enterprise-help-desk/

Incidente contra el software Kaseya VSA El pasado viernes 2 de julio, se conocía el compromiso por parte del grupo de ransomware Revil de la explotación de una vulnerabilidad 0day en Kaseya VSA para el compromiso de terceras empresas. Kaseya VSA es una solución para la monitorización y gestión remota de sistemas ampliamente utilizada por Managed Service Providers (MSP). El compromiso de esta solución permitía a los atacantes acceder a las estaciones de trabajo y redes corporativas de centenares de empresas clientes de estos MSP para instalar su payload y cifrar sus archivos. Según el seguimiento del incidente realizado por la empresa Huntress, el vector de ataque sería un fallo de evasión de autenticación en la interfaz web de Kaseya VSA, que permitiría una inyección de SQL para la ejecución de código no autorizado. El grupo de ransomware Revil habría solicitado 70 millones de dólares americanos para descifrar los sistemas afectados. En cuanto al impacto del incidente, se confirmaba que éste se centraría en los servidores VSA en instalaciones de cliente (on-premise), por lo que el impacto quedaba reducido según citaba la empresa a unos 40 clientes. Por lo tanto, el resto de las soluciones VSA en la nube y servicios SaaS asociados no estarían afectados, a pesar de que inicialmente cuando se conocía el incidente, se solicitaba la desconexión de todos los servidores SaaS. A pesar de estar ante un número más limitado de potenciales afectados, el riesgo viene derivado de que algunos de estos clientes son proveedores de servicios gestionados (MSPs) por lo que a su vez podían verse afectados los clientes de éstos. Según la telemetría de la firma ESET, que aplicó reglas de detección para la variante de ransomware Win32/Filecoder.Sodinokibi.N el dos de julio, el grueso de los compromisos parece estar teniendo lugar en Reino Unido, Sudáfrica, Canadá, Alemania, Estados Unidos y Colombia. Por el momento, se mantiene la recomendación de desconectar los servidores VSA para aquellos clientes que hagan uso de Kaseya VSA on-premise y hacer uso de la herramienta proporcionada por Kaseya para localizar IoCs en servidores VSA y equipos gestionados por esta para descartar una posible afectación. Más información: https://www.kaseya.com/potential-attack-on-kaseya-vsa/ Distribución de Cobalt Strike con el señuelo el incidente de Kaseya VSA Investigadores de Malwarebytes han detectado una campaña de malspam que estaría aprovechando la repercusión del incidente de Kaseya como pretexto para distribuir Cobalt Strike a posibles víctimas, haciéndose pasar por actualizaciones de seguridad de Microsoft. En esta campaña, los atacantes adjuntan un archivo malicioso con el nombre “SecurityUpdates.exe” así como un enlace cuya redirección final sería a una URL (hxxp://45.153.241[.]113/download/pload.exe) desde la que se descargaría una supuesta actualización de Microsoft que ayudaría a protegerse contra las amenazas de ransomware. Cabe destacar que esta misma metodología fue utilizada para por agentes amenaza para distribuir también Cobalt Strike tras el incidente de Colonial Pipeline. Todos los detalles: https://twitter.com/MBThreatIntel/status/1412518446013812737 Actualización de urgencia contra PrintNightmare Microsoft ha lanzado una actualización de seguridad con carácter urgente para parchear la vulnerabilidad crítica conocida como PrintNightmare (CVE-2021-34527) para la que hasta el momento únicamente había facilitado acciones mitigatorias. Esta vulnerabilidad permite la ejecución de código remoto con privilegios de sistema a través del servicio de distribución de la impresión de Windows (Windows Print Spooler), lo que otorga a un atacante la capacidad de instalar programas, ver, modificar o eliminar datos, e incluso crear nuevas cuentas con plenos derechos de usuario. Una vez conocida la solución facilitada, varios investigadores de seguridad destacados denunciaban haber logrado evadir, bajo ciertas condiciones, la actualización de seguridad de Windows lanzada para parchear PrintNightmare, replicando nuevamente a nivel local y remoto la vulnerabilidad en el protocolo de impresión. El origen se encontraría en una mala implementación del código actualizado, que permitiría a un atacante ejecutar remotamente código arbitrario cuando las directivas dePunto e Impresión (PointAndPrint) se encuentren activas y se desactiven los avisos en instalación de nuevos drivers (PointAndPrint NoWarningNoElevationOnInstall = 1). Desde Microsoft no se han pronunciado por el momento sobre el tema. Por ello, se mantiene como medida recomendada la deshabilitación, siempre que sea posible, de la función de impresión en todo sistema donde no sea estrictamente necesaria. Para saber más: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527 Análisis del malware GrimAgent, vinculado a la operativa de Ryuk Investigadores de Group-IB han realizado un análisis técnico del malware GrimAgent, un nuevo backdoor relacionado con la operativa de Ryuk tras la desarticulación de vectores de infección anteriormente empleados como Emotet o Trickbot. La relación de este malware con Ryuk se llevó a cabo gracias al análisis de los servidores C2 de GrimAgent, ya que, al realizarse una petición al dominio del C2 del malware, éste devolvía contenido diseñado para las víctimas de Ryuk. A partir de esta relación, los investigadores plantean que GrimAgent se esté usando como parte de las operaciones de Ryuk. Además, destacan que no se han identificado ventas en foros underground relacionadas con este malware, ni un uso del mismo en los procesos de infección de otras familias de ransomware. Entre las funciones destacadas de GrimAgent destacaría la recopilación de información sobre el sistema (IP, localización, SO, nombres de usuario, privilegios, etc) y la descarga y ejecución de shellcodes y de DLLs. Además, una de las características que destacan los investigadores son las capacidades de elusión de las distintas medidas de seguridad, lo que denota que nos encontraríamos ante un actor meticuloso y con altas capacidades. Toda la info: https://blog.group-ib.com/grimagent Vulnerabilidad en los accesos a dispositivos QNAP NAS QNAP ha corregido una vulnerabilidad de acceso indebido en la seguridad de sus dispositivos de almacenamiento en red (NAS). Esta vulnerabilidad (CVE-2021-28809), descubierta por investigadores de TXOne IoT/ICS Security Research Lab, se debe a un error en el código del software que no restringe correctamente los privilegios de acceso, permitiendo a un atacante escalar privilegios, ejecutar comandos remotos y comprometer la seguridad del dispositivo, accediendo a la información sensible sin autorización. QNAP aconseja actualizar a la última versión disponible para sus dispositivos HBS 3: QTS 4.3.6: HBS 3 v3.0.210507 o versiones posteriores, QTS 4.3.4: HBS 3 v3.0.210506 o posteriores y QTS 4.3.3: HBS 3 v3.0.210506 o posteriores. Los dispositivos QNAP NAS que ejecutan QTS 4.5.x con HBS 3 v16.x no se encuentran afectados. No es la primera vez que QNAP tiene que corregir vulnerabilidades de este tipo recientemente, habiendo tenido que solucionar en abril de este mismo año una mala gestión de accesos que daba un acceso de puerta trasera a sus dispositivos, y que acabó empleándose por varios operadores de ransomware Qlocker, Agelocker o eChoraix. Más detalles: https://www.qnap.com/en-us/security-advisory/QSA-21-19 Y si quieres más información en tiempo real, suscríbete a nuestro canal de noticias y reflexiones sobre ciberseguridad creado por el equipo de Innovación y Laboratorio de Telefónica Tech. Visita la página de CyberSecurityPulse.

Una vez más, el equipo de Innovación y Laboratorio de ElevenPaths participa en el Arsenal de Black Hat USA 2021, en Las Vegas, para compartir una nueva herramienta open source con la comunidad. En el contexto pandémico de este año, Black Hat organizará un evento híbrido con la posibilidad de participar on-site y online, o por la modalidad totalmente online. Tendrá lugar el próximo 4 o 5 de agosto, en él, parte de nuestro equipo, representados por Carlos Ávila, Diego Espitia, Claudio Caracciolo y Franco Piergallini Guida, estarán exponiendo sobre un desarrollo interno que verá la luz públicamente en esos días, un herramienta open source que hemos llamado PackageDNA. PackageDNA Con el incremento constante de las campañas de malware embebidos en paquetes de desarrollo de software, hemos identificado la necesidad de automatizar el proceso de análisis de paquetes de terceros (pypi, npm, gem, godev, etc.) que utilizamos diariamente en nuestros desarrollos sin cuestionar cómo o qué hacen internamente. PackageDNA nació para suplir esta necesidad, brindando la capacidad a desarrolladores e investigadores de hacer un análisis profundo de los paquetes que utilizan de una forma automatizada y masiva. Entre sus funcionalidades intenta obtener una vasta enumeración de las características y metadatos internos de los paquetes, como también realizar una serie de análisis automatizados como por ejemplo la búsqueda de CVEs internos, o archivos con malware, pero también realiza análisis relacionado con typosquatting de los paquetes y con el historial del desarrollador del paquete en los repositorios analizados, entre otras características. La herramienta es open source, gratuita y modular, y posee la capacidad de presentar los resultados en distintos formatos, de una forma visualmente amigable y centralizados. Como mencionamos antes, si bien la herramienta está siendo utilizada por nuestro equipo interno, estará disponible para descarga pública una vez realizada la presentación en el Arsenal para que todos puedan disfrutar de ella y colaborar con el proyecto abiertamente.

El Área de Innovación y Laboratorio de Telefónica Tech ha sido incluida como como parte del Atlas de Ciberseguridad de la Comisión Europea, una plataforma de gestión del conocimiento que mapea, clasifica, visualiza y analiza información sobre la experiencia en ciberseguridad en Europa. Su objetivo es fomentar la colaboración entre expertos europeos en ciberseguridad en apoyo de la estrategia digital de la UE. Este atlas y la taxonomía de ciberseguridad de la UE respaldan el Reglamento COM / 2018/630, que pide el establecimiento de un Centro Europeo de Competencia Industrial, Tecnológica y de Investigación en Ciberseguridad y una Red de Centros Nacionales de Coordinación. Objetivos Entre los objetivos de esta plataforma se encuentran: Facilitar el establecimiento de una comunidad en materia de investigación de la ciberseguridad en el ámbito europeo Ayudar a identificar con quién colaborar en programas y proyectos actuales y futuros Mapear las competencias de Europa de los diferentes dominios de ciberseguridad Actuar como una herramienta de gestión del conocimiento para el futuro Centro Europeo de Competencia en Ciberseguridad Aumentar la visibilidad de los participantes expertos dentro de la comunidad de ciberseguridad Coordinar mejor los esfuerzos europeos de I + D en ciberseguridad. Contribuir a dar forma a las orientaciones estratégicas de los programas de la UE que financian la investigación, la tecnología y las capacidades en materia de ciberseguridad Proporcionar información relevante para la formulación de políticas de ciberseguridad en Europa Sensibilizar a la comunidad de ciberseguridad Apoyar a la Comisión Europea en la gestión de programas de trabajo y asignación de fondos Beneficios Entre los principales beneficios para las organizaciones y los investigadores que conforman este Atlas de Ciberseguridad se encuentran: La oportunidad de ampliar la red de investigación y ponerse en contacto con pares relevantes en toda Europa La participación en la plataforma mejora la visibilidad de la organización permitiendo que la EU y la comunidad de ciberseguridad participe en las políticas, programas, eventos y actividades sectoriales de la UE

Supongamos que tienes un archivo valioso en tu sistema, algo como una billetera de bitcoins (‘wallet.dat’) o un documento con información sensible que quieres mantener seguro y para ello piensas en añadirle una contraseña. Si utilizas Windows, tal vez, has tomado alguna medida extra para protegerte de clipboard hijacking malware, pero es probable que te preguntes cuál es el siguiente paso en esta carrera por no permitir que los atacantes tomen el control. Sabemos que algunos malwares tienen como objetivo robar tu archivo ‘wallet.dat’ para que, una vez en su poder, intentar crackear la contraseña offline y transferir los fondos de esa billetera a sus cuentas. Por ello, desde el equipo de Innovación y Laboratorio, hemos creado una nueva herramienta pero, esta vez, para usuarios de Linux. Queríamos que la herramienta fuese accesible para todos, y que pudiera utilizarse para proteger archivos sensibles sin tener que realizar tediosas tareas como recompilar el kernel o configurar un SELinux, así que creamos ChainLock. Chainlock puede bloquear cualquier archivo de tu ordenador con sistema Linux de tal forma que pueda ser accedido únicamente por una aplicación especifica. Por ejemplo, puedes bloquear tu archivo ‘wallet.dat’ y garantizar que solo pueda ser accedido por tu aplicación de bitcoin de preferencia y no pueda ser copiado o abierto por otra aplicación o por un malware. ¿Cómo funciona? Primero, incorporamos el archivo a proteger con el ChainLock CLI. Este va a cifrar el archivo de destino con una contraseña segura, y luego aparece un código QR en la pantalla que podemos escanear con la aplicación complementaria para smartphone. Ahora, la llave para desbloquear el archivo protegido está guardada únicamente en tu smartphone. De esta manera ya tenemos una protección extra, ya que, para tener éxito, un atacante debería comprometer los dos dispositivos para desbloquear el archivo sin tu permiso. Cuando intentemos acceder al archivo cifrado, podemos usar la línea de comando de la aplicación para desbloquearlo. Este nos mostrará un código QR que con la aplicación complementaria desde el smartphone podemos escanear, seleccionar el archivo que deseamos desbloquear, y la app enviará la información utilizando servicios de Tor hacia nuestra computadora para desbloquearlo. ChainLock además inicia un daemon para vigilar el archivo y permitir el acceso sólo desde el binario o la aplicación autorizada, de manera tal que, una vez descifrado el archivo, no dejará que ninguna otra aplicación intente acceder al mismo si no es la aplicación que previamente se había definido para tal fin. ¿Dónde puedo encontrarlo? En la web de ChainLock se encuentra la aplicación para Linux y la aplicación complementaria para Android, y además puedes seguir el tutorial de uso. Además te dejamos un vídeo para que puedas verlo en acción: Con esta herramienta hemos intentado desarrollar una prueba de concepto y poner a disposición de la comunidad una forma de asegurar sus archivos. Esperamos que sea de utilidad.

Desde hace un tiempo, en el equipo de Innovación y Laboratorio de ElevenPaths estamos trabajando en distintos proyectos e investigaciones relacionadas con los aspectos de seguridad de los SIEM (Security Information and Event Managment). Uno de los proyectos que hemos dado a conocer es una herramienta open source y gratuita llamada SIEM Attack Framework destinada al análisis de seguridad de estas tecnologías, y que nos permite detectar debilidades en la configuración de algunos productos como Splunk, GrayLog y OSSIM. El año pasado la presentamos en BlackHat Arsenal 2019 , 8dot8 y EkoLabs, donde ganó el premio al mejor laboratorio en la EkoParty2019. La herramienta sigue viva y siendo parte de nuestro conjunto de herramientas disponibles para la comunidad. Durante este 2020 hemos contado cómo es la estructura del desarrollo y como hemos ido adjuntando el descubrimiento de nuevos SIEM dentro del framework en un capitulo de nuestros CodeTalks4Devs. En él ayudamos a entender a la comunidad cómo se planteó el desarrollo, cómo aportar o modificar módulos para fines específicos, y también para anticipar que pronto habría sorpresas. ¿Qué hemos añadido en esta actualización? Hace unos días, hemos lanzado además una actualización de la herramienta en nuestro repositorio añadiendo tres SIEMs más al framework de ataque para tratar de facilitar el trabajo de los equipos Red Team y Pentesting. En este último update hemos incorporado a los siguientes fabricantes: QRadar, para el que hemos implementamos un módulo de pruebas de fuerza bruta para detectar la contraseña del administrador. Debido a que el usuario siempre es admin solo es necesario obtener la contraseña para acceder al entorno web, aunque es un ataque muy lento debido a algunas protecciones. Sin embargo, en la API no se controla la cantidad de intentos, por lo cual es posible realizar un ataque de fuerza bruta para detectar el API-Key para luego extraer la configuración completa de configuración del SIEM y los usuarios de acceso a la base de datos interna llamada ARIEL. McAfee SIEM, en este hemos implementado un ataque de diccionario para detectar la contraseña del usuario que viene por defecto llamado “NGCP”. Debido a ciertas configuraciones de restricción este ataque puede ser lento, y por ello buscamos otra forma de obtener dichas credenciales así que implementamos un nuevo módulo aprovechando que el sistema habilita por defecto el servicio de SSH y que es posible acceder con el usuario root, pero que adicionalmente comparte la misma contraseña que el usuario NGCP. Una vez obtenidos estos datos es posible usar otros tres ataques que nos permiten obtener información de configuración, de servicios, de protecciones configuradas y extraer el archivo shadow del sistema, y con este todos los usuarios del mismo. SIEMonster, donde implementamos un módulo de ataque por diccionario similar al comentado en el caso anterior dado este SIEM tiene configurado un mismo usuario para el acceso SSH y para el acceso WEB, llamado “deploy”, por lo cual es posible obtener acceso administrativo tanto al entorno web como por consola. Además, se generaron dos ataques para obtener datos de configuración del sistema y el archivo shadow para tener todos los usuarios del mismo. ElasticSIEM, también implementamos un módulo de fuerza bruta por SSH ya que el sistema operativo que se recomienda para su instalación habilita el servicio por defecto. A su vez, para implementaciones locales no genera un control de acceso al servicio web por defecto, y requiere implementar una serie de configuraciones para que se pueda integrar un mecanismo de autenticación. A su vez, generamos un módulo que permite aprovechar esta posible configuración y acceder al sistema por consola, para obtener más datos de la configuración, aunque muchas veces comprometer este SIEM solo requiera identificarlo dentro de la red. Además, en esta nueva versión se hicieron cambios en: Se modificó la validación de los datos que se ingresan por parte del analista Se agregó la posibilidad de especificar un puerto de manera sencilla diferente al que viene por detecto en la instalación de los SIEM, de tal manera que se pueda detectar aunque lo hayan publicado en otro puerto desde la propia herramienta sin tener que recurrir a otras herramientas para ello. Se agregaron baterías de test para optimizar el funcionamiento. Se hicieron modificaciones que permiten a los usuarios ver qué datos se pueden obtener en algunos de los ataques y comparar con los resultados han obtenido. Con todos estos cambios y mejoras, la versión 0.2 de la herramienta brinda la posibilidad de analizar siete diferentes SIEMs de distintas maneras. En algunos de ellos podemos detectar y aprovechar debilidades en su configuración por defecto; en otros, en el uso de la API de gestión; y, en otros, en los servicios expuestos, pero siempre ofreciendo una posibilidad de evaluar la seguridad del sistema.

Hace pocas semanas presentamos DIARIO, el detector de malware que respeta la privacidad de los usuarios, y seguimos mejorándolo para que detecte más y mejor. Recientemente añadimos la capacidad de detectar malware en documentos ofimáticos cuyas macros usan la técnica conocida como VBA stomping. ¿En qué consiste esta técnica y por qué es tan importante? Ya sabemos que el correo electrónico con adjuntos es una de las vías de entrada de malware más populares, concretamente los adjuntos de tipo ofimático. Esto es posible, en gran medida, gracias a la capacidad de programar código en las macros de los documentos ofimáticos. Las razones por la que esta técnica sigue funcionando dos décadas después de que se comenzase a utilizar son diversas: Las macros son fáciles de esconder. Las macros son legítimas. Aun deshabilitadas por defecto, es fácil que el usuario las habilite. Es más complejo el sandboxing para emularlas. Se envían por correo electrónico, por lo que habitualmente solo se analizan estáticamente. El usuario no piensa que un documento u hoja de cálculo pueda llegar a ser peligroso. Sigue siendo una vía muy lucrativa para los ciberatacantes. Y aunque haya pasado tanto tiempo, todavía se sigue innovando sobre esta técnica. La técnica del stomping es una prueba. Veamos primero de qué se compone una macro “reciente”. Encontraremos un archivo binario, de extensión .bin dentro del archivo .zip que hoy por hoy son los documentos. Al menos en las versiones más recientes de Office. Lo primero que hay que tener en cuenta es que en ese fichero .bin no se encuentran “las macros” como tal, sino todo un sistema listo para ser compilado y ejecutado por el propio Office. Sí, puede compararse a un proyecto cualquiera realizado con Visual Studio, donde tenemos el código fuente, las definiciones, el código compilado… El sistema Office de turno, como puede ser Word o Excel, disponen de un motor de compilación y ejecución de ese código. De hecho, dentro de este fichero .bin, encontramos (si lo analizamos con las herramientas adecuadas): PROJECT: flujo (fichero): es como el fichero de configuración. VBA_PROJECT: flujo con las instrucciones para el motor VBA. Sin documentar. Dir: comprimido y tiene el layout del proyecto. Module streams del tipo VBA/ThisDocument/NewMacros/…/__SPR_1/Module1, que contiene el código que se ejecutará. Cada módulo del código se compone a su vez de PerformanceCache y el CompressedSourceCode, que es el código fuente de la macro comprimido. ¿Para qué sirve todo esto? Esto sirve para la obsesiva retrocompatibilidad de Microsoft. Imaginemos que creamos un documento con macros en una versión de Office reciente, por ejemplo Word 2016. Creamos la macro y queda compilada en el sistema, pero también se almacena el código fuente con ella. La persona que recibe el documento puede disponer de un Office 2016, en cuyo caso para ir más rápido, se ejecutará la macro compilada directamente. Pero, ¿y si quiere abrir el documento con un Word 2003? Entonces, por compatibilidad, deberá tomar el código fuente VBA de la macro, compilarlo en su motor y ejecutarlo. Y esta es la razón por la que encontramos “en claro” el código fuente de las macros en los documentos. Esto ha supuesto históricamente una ventaja para quienes analizan este tipo de malware: pueden acceder al código fácilmente, analizarlo de forma más sencilla, etc. Los antivirus han confiado en este código fuente incluso para clasificar muestras. Pero a alguien se le ocurrió que el documento podía infectar igual si se mantenía el código compilado pero se borraba el código fuente. Y así fue. Esta técnica de borrado del código fuente es el VBA stomping, y permite pasar más desapercibido al malware sin apenas tener impacto en su capacidad de infección. Solo se librarían de la infección aquellos usuarios con versiones de motor VBA (versiones de Office al fin y al cabo) no compatibles o muy antiguas. Ya existe la herramienta Evil Clippy, capaz de facilitar el VBA stomping y automatizar todos los procesos necesarios. Como se puede ver, DIARIO ya detecta este tipo de documentos y muestra el código aunque se haya usado esta técnica:

Llega por primera vez a tus manos algún IOC. Pongamos un hash, URL, IP o dominio sospechoso. Necesitas conocer cierta información básica. ¿Es malware? ¿Está en algún repositorio? ¿Desde qué fecha? ¿Whois? ¿País de origen? ¿Está en pastebin? Ahora, con la nueva versión, es todavía más fácil. Comienzas a abrir pestañas, a meter contraseñas en los diferentes servicios y comienzan las consultas. Con suerte tienes una API compartida con algún compañero de trabajo y después de consultar varios sistemas, abres un TXT para pasar a limpio la información a la plataforma de inteligencia. Tu compañero de trabajo, con el que compartes esas APIs y esas contraseñas pero que está en otro lugar del mundo en tu equipo, hace lo mismo porque también le ha llegado el mismo IOC. Esto se acabó con TheTHE. ¿Qué hay de nuevo? Hemos trabajado para mejorar sustancialmente la herramienta. Algunas de estas interesantes mejoras son: Hemos agregado un buscador global de IOCs: ahora es posible buscar cualquier IOC que esté en TheTHE desde un buscador al que se le irá ampliando la funcionalidad con nuevas características. Hemos mejorado la interfaz de selección de proyectos: ahora incluye información adicional y es posible ordenar la lista de diversas formas. Hemos creado un nuevo gestor de etiquetado que incluye la creación de tags con iconos. Además, ahora es posible eliminar un tag creado y propagar los cambios por el sistema. Ahora el instalador (install.sh) te preguntará por las variables del sistema que quieres establecer si no detecta la presencia de un archivo .env con las variables necesarias para iniciar el entorno. Hemos creado un escáner de IOCs que detecta y extrae IOCs de los resultados de los plugins. Además, ahora es posible borrar los IOCs que no nos interesen de la lista de detectados. Se agregan los siguientes plugins con sus respectivas vistas en el interfaz: URLScan y MalwareBazaar. The Threat Hunting Environment Presentamos esta herramienta en la Black Hat 2019 de Londres, donde recibió una muy buena acogida entre su público objetivo: investigadores, SOCs, equipos de Threat Hunting, empresas de seguridad, CERTs, etc. TheTHE es un entorno libre y gratuito destinado a ayudar a los analistas y hunters durante las primeras fases de su trabajo para que sea más sencillo, rápido y unificado. Uno de los mayores problemas a la hora de realizar hunting o investigación de IOCs (Indicadores de Compromiso) es lidiar con la recolección inicial de tal cantidad de información de tantas fuentes, públicas y privadas. Toda esta información está habitualmente dispersa e incluso a veces es volátil. Quizás en algún punto no exista información de un cierto IOC, pero esta situación puede variar en cuestión de horas y volverse crucial para una investigación. Basada en nuestra experiencia en Threat Hunting, hemos creado este framework libre y open source para que las primeras etapas de la investigación sean más simples: Los IOCs son tuyos: no salen de tu plataforma ni son compartidos. Gratis y libre: dockerizado y totalmente tuyo. Arquitectura cliente servidor: La investigación puede ser compartida con tu equipo. Los resultados son cacheados para que no se malgasten peticiones a las APIs. Alimenta mejor tu Threat Intelligence Platform: TheTHE permite que las investigaciones previas sean más rápidas y sencillas. Plugins fáciles: cualquier cosa que se necesita es fácilmente incrustable en la interfaz. Ideal para SOCs, CERTS y cualquier equipo. Las APIkeys se almacenan en una base de datos y pueden ser compartidas por un equipo desde un único punto. Automatización de tareas y búsquedas. Procesamiento rápido de APIs de múltiples herramientas. Unificación de la información en una única interfaz: para que así las capturas de pantalla, hojas de cálculo, archivos de texto, etc. no estén dispersos. Monitoreo periódico de un IOC en caso de que aparezca nueva información o movimientos relacionados con él (disponible en próximas versiones). TheTHE dispone de una interfaz donde el analista introduce los IOCs que serán enviados al backend. El sistema automáticamente buscará esos recursos (a través de plugins) en varias plataformas ya configuradas para obtener información uniforme desde diferentes fuentes y acceso a reportes relacionados o datos ya existentes.

Este informe pretende enfocar las posibles amenazas que podrían surgir en el entorno digital en el año 2020, dibujando un panorama de un posible futuro impulsado por la evolución de las amenazas y los avances tecnológicos. ¿Cuáles son las amenazas para el mundo digital en 2020? El año 2020 es el testigo de la transición a una nueva década, y también lo hará la ciberseguridad. Las empresas cuentan con una amplia variedad de aplicaciones, servicios y plataformas que requerirán de protección ante los posibles ataques. A grandes rasgos, seguiremos expuestos a ataques conocidos, tales como extorsión, ofuscación y phishing, no obstante, surgirán nuevos riesgos. Hay que destacar que los ciberdelincuentes no se desanimarán ante la posibilidad de comprometer los sistemas, cambiarán y se adaptarán en su elección de tácticas y vectores de ataque, lo que hará completamente necesario que los usuarios y las empresas se intenten anticipar, y sobre todo estén bien protegidos. Es bastante probable que los atacantes superen los parches incompletos, y, en consecuencia, los administradores de sistemas deberán asegurar la puntualidad como la calidad de los parches. Los investigadores de Karspersky señalan, además, que los ataques dirigidos sufrirán cambios durante el 2020. La tendencia mostraría que las amenazas crecerán en sofisticación, y serán más selectivas, diversificándose bajo la influencia de factores externos, como el desarrollo de tecnologías como el Machine Learning para el desarrollo de Deep Fakes. A grandes rasgos, y según lo analizado en este informe, hemos destacado estas tendencias para 2020, que conforman las principales tecnologías que se relacionarán a ciberataques durante los próximos meses: Ataques de ransomware Cloud Computing Machine Learning Ataques de phishing Open Banking y malware móvil 5G Informe sobre tendencias en ciberseguridad para 2020 ya disponible Puedes acceder al informe completo y descargarlo desde aquí:

El Informe de Ciberamenazas Hacktivistas es un informe analítico que recoge el escaneo periódico del comportamiento de la amenaza hacktivista en cinco anillos de observación: Europa y Reino Unido, Norteamérica, Latinoamérica, MENA/Asia, y África, donde se realiza una descripción de las operaciones hacktivistas y ciberataques más significativos, la caracterización selectiva de las identidades hacktivistas a las que se atribuye la autoría de las acciones, y un análisis enfocado de las estructuras, infraestructuras, intenciones y capacidades de las identidades hacktivistas. En este resumen adelantamos lo más destacado del año: Ciberamenazas Hacktivistas en Europa La ciberamenaza hacktivista en Europa durante 2019 se ha mantenido, al igual que en resto del mundo, concentrada en ataques por desfiguración sobre webs provistas de gestores de contenidos vulnerables o de software desactualizado. Puede afirmarse que esta es la tendencia dominante globalmente con respecto a la ciberamenaza hacktivista en todos los países. En algunos países de Europa, atacantes específicos han desarrollado ciberataques más ideológicamente motivados en la naturaleza militante del hacktivismo, adscribiendo esos ciberataques a marcos narrativos específicos desarrollados para justificar ideológicamente las acciones. En esta línea de ciberacciones ofensivas más dirigidas han destacado marcos narrativos específicos en Italia y España. Reino Unido En el Reino Unido se ha reproducido el patrón ya descrito para Europa de desfiguraciones principalmente sobre webs privadas probablemente explotando vulnerabilidades comunes de software, principalmente en gestores comerciales de contenidos. Norteamérica Las ofensivas hacktivistas en Norteamérica han estado igualmente caracterizadas durante 2019 por desfiguraciones sobre webs dotadas de software desactualizado y vulnerable, en un volumen en general menor que en otras regiones. Entre las acciones llevadas a cabo para ilustrar este patrón pueden mencionarse la llevada a cabo en enero cuando ‘zHypnogaja’ desfiguraba dos subdominios del Massachusetts Institute of Technology, que estaban programados con el gestor de contenidos Wordpress desactualizado; o en julio, la desfiguración por ‘G4mm4’ con un fichero nervo.html y su alias la web del gobierno de la ciudad de Wappingers Falls en el Estado de Nueva York, que estaba desarrollada con una versión vulnerable de Drupal; o la inyección por ‘M3sicth’ del fichero relaz.html con su alias en webs de otras tres ciudades estadounidenses, que están equipadas con un gestor de contenidos DotNetNuke vulnerable; en noviembre ‘unbid’ utilizaba su alias sobre dos subdominios alojados en la Universidad de Yale, que estaban programados con el gestor de contenidos Drupal. Latinoamérica Durante 2019 en Latinoamerica se han concentrado principalmente ciberataques vulnerando webs de instituciones de gobierno local y regional en varios países equipadas con software desactualizado y vulnerable, principalmente gestores comerciales de contenidos. Aparte esta pauta general, dos marcos narrativos de distinto ritmo se han sucedido ciberataques concentrados brevemente en Ecuador y en mayor medida en Chile como reacción hacktivista a climas de protesta social en ambos países, con un conato de resucitar ataques en Nicaragua que no resultó materializado en ningún escenario sostenido. MENA y Asia Durante 2019 la operativa hacktivista en ambas regiones se ha caracterizado, al igual en la mayoría de países afectados en otras regiones, por ataques por desfiguración sobre webs exponiendo vulnerabilidades comunes en software generalmente desactualizado. África En África, al igual que en Latinoamérica, el patrón principal de ataques hacktivistas viene dominado por acciones de desfiguración sobre webs que exponen vulnerabilidades comunes en software desactualizado, con la diferencia en África de que en vez de ser principalmente afectadas webs de gobiernos locales y regionales (como en Latinoamérica) lo son webs ministeriales de primera línea de gobierno. Elementos globales Durante todo 2019 ha sido evidente el patrón hacktivista compuesto por desfiguraciones de sitios web que exponían software desactualizado y vulnerable, seguidas esas desfiguraciones por inyecciones de contenido SEO Spam contingentes a los ataques hacktivistas por desfiguración. Este patrón ha sido protagonizado principalmente por identidades atacantes con rasgos turcos. En menor porcentaje que los contenidos SEO Spam, contingentes a las desfiguraciones también eran inyectados script en Javascript que conducen a los visitantes de las webs comprometidas a redes de distribución de contenidos maliciosos. Informe completo disponible aquí: Descargar informe: ElevenPaths-Informe tendencias ciberamenazas hacktivistas 2019 Download