Buscar este blog

sábado, 8 de julio de 2017

Kaspersky lanza una herramienta que recopila pruebas de ciberataques

seguridad ciberriesgo hacker

Disponible gratuitamente para que todos los investigadores la utilicen, BitScout es una herramienta de código abierto que puede recopilar remotamente materiales forenses, adquirir imágenes de disco completas a través de la red o almacenamiento conectado localmente, o ayudar remotamente en el manejo de incidentes de malware.

Para superar la necesidad de que los investigadores viajen a lo largo y ancho para reunir evidencias de ordenadores infectados después de un ciberataque, un experto de Kaspersky Lab ha desarrollado una sencilla herramienta que puede recopilar datos de forma remota sin riesgo de contaminación o pérdida. Llamada BitScout, la herramienta es una navaja suiza para la investigación forense remota de sistemas vivos y está disponible libremente para que todos los investigadores lo utilicen.

La ciberseguridad está cambiando, al igual que la tecnología, las empresas, el mercado, el uso de los datos y, sobre todo, las intenciones de los cibercriminales.Si quieres conocer cómo está evolucionando este mercado, puedes acceder content marketing en este enlace, o bien, descargarte la revista digital haciendo clik en este enlace.

Más sobre Ciberseguridad...

Ataques con exploits: de las amenazas diarias a las campañas dirigidas

Informe Symantec sobre la seguridad de Internet (ISTR 2017)

Informe sobre la responsabilidad de las entidades financieras ante el fraude electrónico

Informe global sobre Seguridad de la Información 2016-2017 de EY

La paradoja tras la experiencia del usuario con el cripto-ransomware

En la mayoría de los ciberataques, los propietarios legítimos de sistemas comprometidos son víctimas de atacantes no identificados. Las víctimas suelen estar de acuerdo en cooperar y ayudar a los investigadores de seguridad a encontrar el vector de infección u otros detalles sobre los atacantes. Sin embargo, para los investigadores forenses tener que viajar largas distancias para recoger evidencias cruciales como muestras de malware de máquinas infectadas puede dar lugar a investigaciones costosas y tardías. Cuanto más tiempo se demore que un ataque sea analizado, más tardarán los usuarios en estar protegidos y los autores identificados.

Para solucionar el problema, Vitaly Kamluk, director del Equipo de Investigación y Análisis Global de Kaspersky Lab en Asia Pacífico (APAC), ha creado una herramienta digital de código abierto que puede recopilar remotamente materiales forenses clave, adquirir imágenes de disco completas a través de la red o almacenamiento local, o simplemente ayudar remotamente en el manejo de incidentes de malware. Los datos se pueden ver y analizar de forma remota o local mientras el almacenamiento de datos de origen permanece intacto a través de un aislamiento fiable basado en contenedores.

"La necesidad de analizar los incidentes de seguridad de la manera más eficiente y rápida posible es cada vez más importante, a medida que los adversarios se hacen cada vez más avanzados y sigilosos. Pero la velocidad a toda costa tampoco es la respuesta, pues necesitamos asegurar que la evidencia no esté contaminada para que las investigaciones sean fiables y los resultados puedan ser utilizados en el tribunal si es necesario. No pude encontrar una herramienta que nos permitiera lograr todo esto, libre y fácilmente, así que decidí construir una", señala Vitaly Kamluk. La herramienta está disponible gratuitamente en el repositorio de código GitHub.

miércoles, 31 de mayo de 2017

ContaCam, un completo software de videovigilancia gratuito

FUENTE:  Rubén Velasco

Videovigilancia

Si tenemos o estamos pensando en montar una zona con videovigilancia, lo primero que debemos tener en cuenta es, además de las cámaras que vamos a utilizar, el software que se encargará de monitorizar lo que capturen estas cámaras. Aunque la mayoría de estas aplicaciones, especialmente las más completas, suelen ser de pago, esto no siempre es así, y dentro del software gratuito podemos encontrar excelentes aplicaciones como es el caso de ContaCam.

ContaCam es un software de videovigilancia gratuito que nos va a permitir tener controladas todas las cámaras web de nuestro recinto, monitorizarlas e incluso grabar lo que se ve en ellas de manera que podamos tenerlo todo siempre controlado. Esta herramienta nos permite controlar todo tipo de cámaras, desde las webcam convencionales hasta cámaras IP o las cámaras RTSP, H.264 y H.265 HD. Además, también es capaz de grabar audio desde todo tipo de fuentes a la vez que la imagen.

ContaCam

¿Qué nos ofrece ContaCam?

Lo primero a lo que queremos hacer referencia es que esta herramienta es totalmente gratuita y no tiene ningún coste, ni directo ni oculto, siendo una alternativa igual, e incluso superior, a las conocidas soluciones de pago para videovigilancia.

Uno de sus principales puntos fuertes es el gran número de opciones de personalización. Este software nos va a permitir controlar varias cámaras al mismo tiempo y habilitar en cada una zona concreta para controlar el movimiento en ella (incluso configurando un tiempo mínimo antes de activarse la alerta de movimiento). También cuenta con complejos algoritmos de detección compatible con sensibilidad, zonas concretas, etc.

A la hora de grabar en vídeo las zonas videovigiladas, esta herramienta es compatible con una gran cantidad de opciones. Una de las más interesantes es la posibilidad de configurar un tiempo de grabación antes y después de que se detecte movimiento. Así, si tenemos ContaCam configurado para grabar vídeo cada vez que se detecte movimiento, cuando la alerta se active nos guardará, además, los 5 segundos anteriores. Las grabaciones pueden enviarse por correo o a un servidor por FTP par mayor seguridad.

Configuración ContaCam

Además de esto, la variedad de opciones de configuración son inmensas, tanto a nivel de la cámara (resolución, fps, etc) como del propio programa, comportamiento y programación periódica de grabaciones (nos permite grabar todos los días en unas horas determinadas).

Por debajo de todo esto, el programa utiliza software robusto, concretamente, Apache 2.4.25 y PHP 5.4.45, ambos protegidos por OpenSSL 1.0.2k-fips.

Si lo queremos, podemos descargar este software de forma totalmente gratuita desde su página web principal. Además de estar recién actualizado (la última versión 7.0 ha sido lanzada a mediados de mayo), este software es totalmente compatible con todas las versiones de Windows, desde XP hasta el nuevo Windows 10.

jueves, 25 de mayo de 2017

Verify If A Photo Was Really Taken By A Suspected Camera - Camera Ballistics 2.0 (Ingles)

In today's world there are basically these types of digital evidence: text, image, video, audio recording and value such as geolocation or time-stamp data. A photo plays an important role among these types of evidence, bringing not only what we can see in the picture, but also a time and place the possible owner of a phone was present at. The reality is we live in a time of mobile phones with massive photographing and sharing, so knowing who took a photo is crucial information. This new technology is able to reliably verify, if a photo truly came from a specific camera. This applies for phone cameras, standalone cameras and any device with camera sensor. When you've found crucial photographic evidence, now you can verify its origin with accuracy of 99.9% and higher. Enter Camera Ballistics.


What is Camera Ballistics?
We have chosen the name Camera Ballistics for this product, because the concept is similar to firearms ballistics. We match a photo to a camera like a bullet to a gun. You've got a set of photos you want to verify, and you have a camera. With the camera you shoot test-shots, based on which a camera fingerprint is calculated. Camera Ballistics will compare the photos under investigation to the sensor fingerprint and determine if there is a match. And because we have been pioneers in this area for years, the name of the product has also become the name of the field; you can see it being used by other vendors.


Why do I need Camera Ballistics?
What real-life case applications are there? There are innumerable possible case applications with Camera Ballistics. They key is to have your lab equipped with the right tools so when you need them. Imagine a person is suspected of producing child pornography. The suspect has many pictures saved to a hard drives, but denies that he took any of them, saying they were only downloaded from the internet. You also found a few digital cameras. Well now you can scientifically find the truth. Imagine another scenario - an explicit photo of a high school student has gone viral between classmates. The victim tells the investigator who it was that took the picture, but the suspect denies it. The investigator can quickly determine if the suspect's phone was used to take the picture or not. Or, when an alibi is in question Camera Ballistics can also be used to solidify or disprove a suspect's whereabouts if a photo is provided as 'proof'. The suspect says they were at a certain location and can prove it with photos. With our photo verification tool, an investigator can determine if the camera took the photos, when they were taken and use GPS data to pinpoint location.


The Principle
Camera Ballistics is not based on metadata such as EXIF, but it uses mathematics to analyze the physics of the sensor. Due to small differences in size and material composition, each pixel behaves differently, involving effects such as Photo Response Nonuniformity making each sensor unique. We can simplify the principle to say that it identifies anomalies of every pixel and uses this information to create a description of the camera sensor - the sensor fingerprint. This is true even between devices of the same make and model. It's these differences that allow you to generate a sensor fingerprint and link an image to the specific camera that created it. Camera Ballistics will compare the photos under investigation to the sensor fingerprint to determine if there is a match.


The Law
How is a Camera Ballistics evidence accepted in courts? Well the technology is quite new, just as firearms ballistics or fingerprint authentication were in the past. Its acceptance depends on the country. The accuracy of this method is 99.9% or better, which is in line with the classical fingerprint test. Plus, there are two more advantages independent of the law. First, with this tool you get important information, which can further help to direct the investigation on the right path. Second, you can easily get a suspect's conviction under the pressure of Camera Ballistics evidence.


Camera Ballistics version 2.0 just released
The power of Camera Ballistics is further amplified by its sleek and intuitive interface that guides you through processing in just a few clicks. Camera Ballistics takes its complex analysis method and turns it into a two-phase process. Simply create a few reference photos with the suspect camera for the program to learn about the device's sensor and a sensor fingerprint will be generated. Camera Ballistics will use this fingerprint to analyze the photos you are investigating and match it to the ones taken by the suspected camera.
We've just released a second generation of this software, which is more accurate, much faster, more robust with 64-bits and works with resized photos.
Two steps to digital forensic expertise


Step 1 - Learn

In this first step, you will supply reference photos from a camera in order to create its sensor fingerprint. The more photos you supply, the more precise your results will be. It is recommended to take at least 30 photos of white walls or clouds - images without sharp shapes and edges. Camera Ballistics will apply advanced algorithms to this folder in order to establish the sensor fingerprint.


Step 2 - Analyze

This step will match the fingerprint file created by the learn process to the photos under investigation. When you run the analysis, you can see the processing progress followed by the mathematical data and results as after analysis. Finally, a comprehensive and well-organized PDF report suitable for submission as evidence is generated. The report contains clickable thumbnails of all processed images, the camera device make and model, GPS data, camera settings, mean square error, fingerprint presence result, match probability and correlation.
Results should be interpreted like other typical ballistics tests: if traces of the device fingerprints are found, then there is an extremely high probability that a photo comes from the camera. If not found, it doesn't necessarily mean that the particular camera has not been used to capture the image. This may happen when photos are resized too much or edited so the fingerprint information is damaged or lost.


Combination with phone forensics
When you use Camera Ballistics in combination with our premier mobile device forensic tool MOBILedit Forensic Express, you get not only all photos extracted from a phone, but each photo comes with information if it was taken by analyzed phone or not. This will clearly distinguish downloaded, shared or received photos from those that were actually taken by phone owner.


Forensic Express is a phone extractor, data analyzer and report generator in one solution. A powerful 64-bit application using both the physical and logical data acquisition methods, Forensic Express is excellent for its advanced application analyzer, UFED Data analyzer and generator, deleted data recovery, cloud analyzer, wide range of supported phones including most feature phones, fine-tuned reports, concurrent phone processing, and easy-to-use user interface. With the password and PIN breaker you can gain access to locked ADB or iTunes backups with GPU acceleration and multi-threaded operations for maximum speed. For more information go here.


Conclusion
This unique photo verification tool can be an important component of your lab. Camera Ballistics brings the state-of-the art technology that you need for high-quality and effective investigations. Please Contact Us Here with any questions about Camera Ballistics. To learn more or purchase a license please go here.



About COMPELSON Labs and the MOBILedit platform
Compelson Labs was founded in 1991 and is known for its pioneering products, such as MOBILedit, currently used by millions of users worldwide for many phone-related tasks including forensics. MOBILedit supports the vast majority of phones ever manufactured, offers physical and logical acquisition, advanced application analysis, cloud analysis, password breaker and more. Compelson has recently made a substantial investment into phone forensic products, watch for their massive development. Find more at www.mobiledit.com

jueves, 18 de mayo de 2017

Cómo recuperar ficheros afectados por WannaCry. Telefónica WannaCry File Restorer.

Si has sido afectado por el ransomware WannaCry y te ha cifrado documentos existen formas con las que puedes conseguir otra vez tus documentos sin cifrar. Lógicamente, lo ideal sería que tuvieras un backup desconectado o en la nube al que pudieras recurrir, así como que los tuvieras protegidos por una solución como Latch Antiransomware. Si no es así, antes de seguir trabajando con tu equipo o formatear el disco, hay sitios en los que puedes buscar los ficheros.

Figura 1: Telefónica WannaCry File Restorer

Además de los lugares donde se quedan copias automática, como correos con adjuntos, Shadow Copies de Windows, pendrives en los que hubieras trabajado, recuperadores de ficheros eliminados al estilo Recuva o similares (no buscando solo los que hubiera borrado el malware sino también las copias borradas previamente no afectadas por el malware), existen algunos lugares menos conocidos que puedes mirar.

Las extensiones no cifradas de documentos ofimáticos

Una de las cosas que más llama la atención en WannaCry es la lista de extensiones que cifra. Bastante singular, como se puede ver:
•.lay6 •.sqlite3 •.sqlitedb •.accdb •.java •.class •.mpeg •.djvu •.tiff •.backup •.vmdk •.sldm •.sldx •.potm •.potx •.ppam •.ppsx •.ppsm •.pptm •.xltm •.xltx •.xlsb •.xlsm •.dotx •.dotm •.docm •.docb •.jpeg •.onetoc2 •.vsdx •.pptx •.xlsx •.docx
Excluidas están una cantidad buena de ficheros que tal vez tengas en tu equipo y deberías buscar, porque tal vez tengas tu documento guardado en alguno de esos formatos. Los más singulares que no cifra WannaCry son:
  • .doc – Legacy Word document.
  • .dot – Legacy Word templates.
  • .wbk - Legacy Word document backup.
  • .xls – Legacy Excel worksheets.
  • .xlt – Legacy Excel templates.
  • .xlm – Legacy Excel macro.
  • .ppt – Legacy PowerPoint presentation.
  • .pps - Legacy PowerPoint presentation.
  • .pot – Legacy PowerPoint template.
  • .pps – Legacy PowerPoint slideshow.
  • .pdf - Portable Document Format.
  • .odt - Open Document Text.
  • .ods - Open Document Spreadsheet.
  • .odp - Open Document Presentation.
  • .odg - Open Document Graphic.
  • .sxw - Open Office Binario.
  • .rtf - Rich Text Format.
  • .tmp - PowerPoint Temporary PPT.
  • .xar - Excel Temporary XLS.
  • .asd - Word Temporary DOC.
Además, si eres un usuario avanzado de Excel, recuerda que existen los formatos XLA, XLB, XLC, XLD, XLK,XLL, XLM, XLSB, XLSHTML, XLT, XLV y XLW. Algunos son ficheros especiales para guardar macros VBA o plantillas, pero otros son formatos XLS codificados en otros formatos. Te recomiendo que busques en tus carpetas de EXCEL a ver qué ficheros con estas extensiones tienes guardados.

Papeleras de reciclaje de carpetas sincronizadas en la nube

Es un comportamiento bastante peculiar, pero durante el fin de semana un compañero notó que los archivos de una carpeta cifrada estaban todos en la papelera de reciclaje de OneDrive. No es de extrañar. Cuando se borra un fichero en local que está cifrado, se elimina también en la nube, y allí muchos servicios tienen la papelera de reciclaje activada

Ficheros temporales de WannaCry

Las muestras del ransomware WannaCry que hemos analizado tienen dos formas identificadas de llevar a cabo el proceso de cifrado. En ambas formas utiliza una carpeta temporal para mover los archivos elegidos - por las extensiones - que el malware va a cifrar. Gracias a esto, se puede usar un pequeño truco para poder recuperar parte de los archivos afectados por el ransomware, usando sus archivos temporales. Hay un par de casos distintos, y tienes que ver cuál es el tuyo.

Figura 2: Carpeta con ficheros temporales de WannaCry

En el primer caso, el malware identifica que el equipo tiene una partición de datos y utiliza la ruta %userprofile%\appdata\local\temp para mover los archivos a cifrar. El primer archivo que se mueve, es renombrado como 0.WNCRYT, el segundo como 1.WNCRYT, y así sucesivamente. Esos archivos, acabados en "WNCRYT" son los que va a cifrar, pero aún no están cifrado. Es decir, son el fichero de extensión, por ejemplo, DOCX, que WannaCry selecciona para cifrar, copiado a esa carpeta pero aún sin cifrar. Posteriormente, Wannacry irá cifrando cada uno de esos archivos a [nombre].WNCRY e instantes después, elimina el fichero *.WNCRYT correspondiente.

Figura 3: El fichero WNCRYPT no está cifrado

Como ya se ha dicho, el fichero almacenado en %userprofile%\appdata\local\temp es un archivo temporal y no está cifrado, solo se ha movido a esa ubicación y renombrado, por lo que se puede recuperar su contenido. Hay que tener en cuenta, que el ransomware va intercalando mover archivos a la carpeta temporal y el cifrado de éstos. Por esta razón, es probable que no se pueda recuperar todos los archivos, pero sí un alto porcentaje de ellos.

Figura 4: El fichero PDF está intacto

En el segundo caso, WannaCry identifica que un equipo dónde se está ejecutando tiene dos particiones de datos, creando en la raíz de la segunda partición una carpeta denominada $RECYCLE, que no se debe confundir con $RECYCLE.BIN. En esta carpeta $RECYCLE realiza el mismo proceso que en el caso anterior, en el que se van moviendo los archivos a dicha carpeta con el objeto de cifrarlos. Mientras el archivo se encuentre con la extensión WNCRYT no se ha perdido, por no estar cifrado. En el instante que WannaCry cifra el archivo WNCRYT y lo convierte en el archivo WNCRY ya está cifrado.

Telefónica WannaCry File Restorer

Estos archivos temporales con extensión WNCRYPT solo se pueden recuperar si el ransomware no ha terminado el proceso de cifrado de todos los archivos de ese lote. Es decir, si WannaCry no ha terminado el proceso de cifrado por un error, porque el equipo se ha hibernado o porque apagado o se ha detenido el proceso de WannaCry con algún antimalware en ese momento. Para poder saber qué tipo de archivo es hay que ver los Magic Numbers y renombrar la extensión.

Figura 5: Magic Numbers para identificar formato de ficheros

A continuación, os mostramos un script llamado Telefónica WannaCry File Restorer que hemos desarrollado en el laboratorio de ElevenPaths, en Telefónica, con el objetivo de poder recuperar y restaurar los archivos y extensiones de los ficheros afectados.

Figura 6: Telefonica WannaCry File Restorer

FUENTE: Chema Alonso

lunes, 15 de mayo de 2017

¿Cuál ha sido la vulnerabilidad que ha explotado el ransomware que ha puesto en jaque a Telefónica y a otras grandes compañías?


Bueno, ya saben que ahora está en primera plana la infección por ransomware en Telefónica y en otras grandes empresas, incluso fuera de España, que ha hecho que todos los medios se agiten, ya que han surgido numerosos mensajes en las redes sociales con imágenes del ransom y correos de distintos departamentos rogando a los usuarios que apaguen inmediatamente sus equipos (incluso audios). Nosotros no vamos a entrar en qué compañías se han visto afectadas y cuáles no, pero si nos parece tremendamente curioso saber cuál ha sido la vulnerabilidad que ha explotado el ransomware y ha hecho que haya puesto a tantas empresas en jaque en un periodo tan corto de tiempo.

Lamentablemente o afortunadamente, no he tenido ningún caso todavía que haya podido analizar directamente, por lo que me sustento en suposiciones basadas en lo que he leído en las redes y lo que me han contado varios compañeros y colegas, y casi todas apuntaban a un RCE en MsMpEng, el conocido "crazy bad".

MsMpEng es el servicio de Protección contra Malware que está habilitado por defecto en Windows 8, 8.1, 10, Windows Server 2012 y posteriores. Además, Microsoft Security Essentials, System Center Endpoint Protection y otros productos de seguridad de Microsoft comparten el mismo core. MsMpEng se ejecuta como NT AUTHORITY\SYSTEM sin sandboxing y es accesible remotamente sin autenticación a través de varios servicios de Windows, incluidos Exchange, IIS, etc.

MsMpEng utiliza un minifiltro para interceptar e inspeccionar toda la actividad del sistema de archivos del sistema, por lo que basta con escribir cualquier contenido en cualquier lugar del disco (por ejemplo, caché, archivos temporales de Internet, descargas (incluso descargas no completadas),etc para acceder a la funcionalidad en mpengine, su componente principal responsable de la exploración y el análisis.

Es decir, un atacante puede acceder a la funcionalidad de mpengine simplemente enviando un mensaje de correo electrónico a la víctima (sin que sea necesario incluso abrirlo), visitando enlaces en un navegador web, por mensajería instantánea, etc. Mpengine es una superficie de ataque extensa y compleja, compuesta por manejadores de docenas de formatos de archivo, packers y crypters de ejecutable, emuladores de sistemas completos e intérpretes para varias arquitecturas y lenguajes etc. Como decimos, accesible por atacantes remotos porque se trata del motor antimalware que analiza cualquier actividad en el filesystem...

¿Qué pasaría entonces si de forma remota pudiera explotarse un vulnerabilidad en MsMpEng? Pues que accederíamos a la máquina de la víctima de forma remota con privilegios de SYSTEM... y sí... la vulnerabilidad existe.

Es lo que se ha denominado como "crazy bad" y corresponde a la vulnerabilidad con CVE CVE-2017-0290. Los señores de Microsoft la han considerado tan crítica que hace un par de días publicaron un parche de emergencia en el Microsoft Security Advisory 4022344. No es para menos, tenemos por tanto una vulnerabilidad crítica que afecta a casi todas las versiones de Windows (creo que XP se salva lol!), cuyo parche ha sido publicado de recientemente y fuera de ciclo por lo que muchas empresas todavía no han parcheado los sistemas, y menos un viernes víspera de fin de semana y para algunos puente.

Por otro lado, el vector de infección parece ser una campaña de spam en el que se envían mensajes con el adjunto factura.js en un zip. ¿Por qué Javascript? Pues porque Windows utiliza NScript, un componente del susodicho mpengine, que se encarga de evaluar el código javascript cuando se detecta cualquier actividad en el filesystem con código en este lenguaje. De hecho probablemente no hubiese hecho falta ni ponerle la extensión .js porque MsMpEng utiliza su propio sistema de identificación de contenido y los tipos MIME y las extensiones de archivo no son relevantes para esta vulnerabilidad. Recordemos que si se compromete MsMpEng es posible ejecutar cualquier malware en un entorno "unsandboxed" y con máximos privilegios...

Parecía lógico pensar que un malware, en este caso la versión 2.0 del ransomware WanaCrypt0r, que ha afectado a tantas y grandes empresas hubiera podido utilizar esa vulnerabilidad. Pero no...
Actualización 13/05/2017
Después de la resaca del día anterior y de leer varios artículos de diversas fuentes, incluso la oficial de Microsoft, la vulnerabilidad explotada por el ransomware WanaCrypt0r (aka WanaCry) parece ser anterior, concretamente la que explotaba la herramienta EternalBlue liberada por ShadowBrokers que afectaba al protocolo SMB y que fue remediada por Microsoft el 14 de marzo (boletín MS17-010), es decir, hace ahora ya casi dos meses.
Parece mentira que un gusano (que escanea la red por el puerto 445/TCP e incluso por el backdoor DoublePulsar) pueda propagarse en tantas y grandes organizaciones comprometiendo una vulnerabilidad que podía haber sido parcheada hace tanto tiempo, pero sí amigos, estamos peor que queremos... sólo esperamos y deseamos que este caso tan mediático sirva para propagar no sólo un ransomware si no también la concienciación de la seguridad y concretamente de mantener siempre los sistemas actualizados.
 
FUENTE: hackplayers
 

domingo, 14 de mayo de 2017

Herramienta para prevenir la infección por el ransomware WannaCry

El CCN-CERT ha desarrollado una herramienta para prevenir la infección por el malware WannaCry 2.0. Se trata de "CCN-CERT NoMoreCry Tool", una herramienta disponible para todas las entidades que lo requieran, que crea un mutex (algoritmo de exclusión mutua) en el equipo que previene la ejecución del código dañino WannaCry 2.0. Es importante reseñar que, en el caso de máquinas infectadas, la ejecución de esta herramienta NO es de aplicación al no actuar sobre la misma de la forma prevista.

El Equipo de Respuesta del Centro Criptológico Nacional hace notar que la herramienta deberá ejecutarse tras cada reinicio, debido a que no presenta persistencia en el equipo. Este proceso se puede automatizar mediante la modificación del registro de Windows o a través de la aplicación de políticas en el dominio.

Esta herramienta funciona en sistemas operativos superiores a Windows XP.

CCN-CERT NoMoreCry Tool se encuentra en la plataforma en la nube del CCN-CERT, LORETO. Junto a ella también está disponible el Script que evita la ejecución del código dañino en equipos Windows en inglés y en español.

Más información:

Enlace a la herramienta CCN-CERT NoMoreCry y script

Comunicado CCN-CERT

CCN-CERT IA-03/17 Medidas Seguridad ransomware

CCN-CERT BP-04/16 Buenas Prácticas frente al ransomware

viernes, 12 de mayo de 2017

Ataque masivo y global del ransomware Wanna Decrypt0r 2.0

 

La alerta saltaba esta mañana en España cuando la empresa Telefonica, con sede central en Madrid, era víctima de un ransomware que obligaba a sus trabajadores a apagar los ordenadores de manera urgente. Horas más tarde, el Servicio Nacional de Salud británico (NHS por sus siglas en inglés), ha confirmado el mismo ataque ( al menos 16 hospitales del Reino Unido también han sido blanco) y añade que afecta también a "otras organizaciones de una amplia gama de sectores" y que el virus responde al nombre de "Wanna Decryptor". España, Portugal, Reino Unido y Rusia, entre los afectados.

  • Ransomware que aprovecha reciente vulnerabilidad de Windows para propagarse en forma de gusano
  • WCry pide 0,1675 bitcoin para liberar los equipos, lo que al cambio son unos 300 dólares

El pasado viernes 14 de Abril, The Shadow Brokers publicó una gran cantidad de herramientas pertenecientes al arsenal de Equation Group s (sospechosamente vinculado a la NSA). Se puede encontrar dichas herramientas en el repositorio de Github de misterch0c. Las recientes graves vulnerabilidades en Windows bautizada como EternalBlue, una de las herramientas utilizadas por la NSA, parece que es el principal vector de ataque.
A diferencia de otros ransomware que utilizan principlamente ataques de phishing con suplantación de identidad para que el usuario se auto infecte, éste nuevo método, usa una vulnerabilidad para propagarse y expandirse.
Contramedidas urgentes:
Microsoft Windows - 'SrvOs2FeaToNt' SMB Remote Code Execution (MS17-010)
WanaCrypt0r 2.0 ransomware "Wanna Cry" (WCry/WannaCry)
El ransomware, una versión de WannaCry, infecta la máquina cifrando todos sus archivos y, utilizando una vulnerabilidad de ejecución de comandos remota a través de SMB - Server Message Block  (MS17-010), se distribuye al resto de máquinas Windows que haya en esa misma red.

Este ransomware cifra todos los ficheros con extensiones "populares", les añade una extensión .WNCRY y además crea un fichero de texto en el disco duro de la víctima llamado @PleaseReadMe@.txt
La aplicación Anti Ramson v3 es capaz de detectar y bloquear la infección.
Probablemente el malware que ha infectado al “paciente 0”, para el caso de las organizaciones,  ha llegado a través de un adjunto, una descarga aprovechando una vulnerabilidad de un ordenador. La versión del malware según los análisis es un WanaCryptor que es una variante de las versiones anteriores de WannaCry.

Microsoft publicó la vulnerabilidad el día 14 de marzo en su boletín y hace unos días se hizo pública una prueba de concepto que parece que ha sido el desencadenante de la campaña.
WCry funciona cifrando los archivos con el estándar AES-128. Después los renombra añadiéndoles la extensión .wcry. Por ejemplo, una fotografía que se llama "foto.jpg" pasaría a llamarse "foto.jpg.wcry". El ransomware que ha atacado Telefónica indica que el importe del pago subirá si no se hace antes de 2 días, xx horas, xx minutos y xx segundos, así como que los archivos bloqueados serán borrados en x días, xx horas, xx minutos y xx segundos. 

Se recomienda actualizar los sistemas a su última versión o parchear según informa el fabricante:

https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

Comunicado oficial de Teléfonica:


La imagen del comunicado tiene fecha del 13/03/2017

Red de hospitales de Inglaterra afectada también por el ciberataque informático de ransomware

El problema con la red de hospitales inglesa parece ser similar al de Telefónica: los atacantes tomaron control de los equipos y están pidiendo rescate en dinero. En el caso de los hospitales, la situación es definitivamente más delicados cuando tratamientos médicos (incluso de emergencia) se ven completamente afectados, lo que podría traer nefastas consecuencias en pacientes graves.

El Servicio Nacional de Salud británico (NHS por sus siglas en inglés), ha confirmado este ataque, y añade que afecta también a "otras organizaciones de una amplia gama de sectores" y que el virus responde al nombre de "Wanna Decryptor", informa AFP.

El NHS ha confirmado que se encuentra trabajando en la resolución del problema y que ofrecerá más detalles pronto. Asimismo, a través de la página NHS Digital, ha indicado que no hay pruebas de que los atacantes hayan tenido acceso a información de los pacientes, y ha añadido que “el ataque no tenía como objetivo específico al NHS y está afectando a organizaciones de diversos sectores". Se trata, ha confirmado el NHS, de un ataque con “una variante de malware Wanna Decryptor”.

Análisis de Wanna Decrypt0r 2.0 

Captura de Pantalla de Wanna Drecryptor 1.0

Imagen Wana Decrypt0r 2.0

Una de las muestras de Wana Descrypt0r, aunque casi seguro que todas, elimina las copias de seguridad copias instantáneas del sistema (Shadow Copy) mediante la ejecución del comando: "vssadmin.exe Delete Shadows /All /Quiet" 

cmd.exe /c vssadmin delete shadows /all /quiet & wmic shadowcopy delete & bcdedit /set {default} bootstatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no & wbadmin delete catalog -quiet

El ransomware cifra las extensiones de archivos:


.der, .pfx, .key, .crt, .csr, .p12, .pem, .odt, .ott, .sxw, .stw, .uot, .3ds, .max, .3dm, .ods, .ots, .sxc, .stc, .dif, .slk, .wb2, .odp, .otp, .sxd, .std, .uop, .odg, .otg, .sxm, .mml, .lay, .lay6, .asc, .sqlite3, .sqlitedb, .sql, .accdb, .mdb, .dbf, .odb, .frm, .myd, .myi, .ibd, .mdf, .ldf, .sln, .suo, .cpp, .pas, .asm, .cmd, .bat, .ps1, .vbs, .dip, .dch, .sch, .brd, .jsp, .php, .asp, .java, .jar, .class, .mp3, .wav, .swf, .fla, .wmv, .mpg, .vob, .mpeg, .asf, .avi, .mov, .mp4, .3gp, .mkv, .3g2, .flv, .wma, .mid, .m3u, .m4u, .djvu, .svg, .psd, .nef, .tiff, .tif, .cgm, .raw, .gif, .png, .bmp, .jpg, .jpeg, .vcd, .iso, .backup, .zip, .rar, .tgz, .tar, .bak, .tbk, .bz2, .PAQ, .ARC, .aes, .gpg, .vmx, .vmdk, .vdi, .sldm, .sldx, .sti, .sxi, .602, .hwp, .snt, .onetoc2, .dwg, .pdf, .wk1, .wks, .123, .rtf, .csv, .txt, .vsdx, .vsd, .edb, .eml, .msg, .ost, .pst, .potm, .potx, .ppam, .ppsx, .ppsm, .pps, .pot, .pptm, .pptx, .ppt, .xltm, .xltx, .xlc, .xlm, .xlt, .xlw, .xlsb, .xlsm, .xlsx, .xls, .dotx, .dotm, .dot, .docm, .docb, .docx, .doc
Reglas para IDS:
alert tcp $HOME_NET 445 -> any any (msg:"ET EXPLOIT Possible ETERNALBLUE MS17-010 Echo Response"; flow:from_server,established; content:"|00 00 00 31 ff|SMB|2b 00 00 00 00 98 07 c0|"; depth:16; fast_pattern; content:"|4a 6c 4a 6d 49 68 43 6c 42 73 72 00|"; distance:0; flowbits:isset,ETPRO.ETERNALBLUE; classtype:trojan-activity; sid:2024218; rev:2;)
Idiomas soportados
Bulgarian, Chinese (simplified), Chinese (traditional), Croatian, Czech, Danish, Dutch, English, Filipino, Finnish, French, German, Greek, Indonesian, Italian, Japanese, Korean, Latvian, Norwegian, Polish, Portuguese, Romanian, Russian, Slovak, Spanish, Swedish, Turkish, Vietnamese

  • attrib +h .
  • icacls . /grant Everyone:F /T /C /Q
  • C:\Users\xxx\AppData\Local\Temp\taskdl.exe
  • @WanaDecryptor@.exe fi
  • 300921484251324.bat
  • C:\Users\xxx\AppData\Local\Temp\taskdl.exe
  • C:\Users\xxx\AppData\Local\Temp\taskdl.exe
Direcciones .onion
  • gx7ekbenv2riucmf.onion
  • 57g7spgrzlojinas.onion
  • Xxlvbrloxvriy2c5.onion
  • 76jdd2ir2embyv47.onion
  • cwwnhwhlz52maqm7.onion
  • sqjolphimrr7jqw6.onion

Ransomware Overview, extensiones: También se especula con que los autores del virus están cobrando en este cuenta BitCoin los pagos:
Muestras, samples, etc
Mapas en Vivo de las infecciones
Fuentes:
https://www.ccn-cert.cni.es/seguridad-al-dia/comunicados-ccn-cert/4464-ataque-masivo-de-ransomware-que-afecta-a-un-elevado-numero-de-organizaciones-espanolas.html
https://securelist.com/blog/incidents/78351/wannacry-ransomware-used-in-widespread-attacks-all-over-the-world/