ZeuS timeline

noviembre 28, 2013 § Deja un comentario

En esta serie de posts vamos a presentar un resumen de las diferentes versiones y ramificaciones de la familia de troyanos ZeuS, amenaza que vimos nacer hace ya casi 7 años, y que todavía hoy, en su versión evolucionada, sigue siendo la herramienta preferida para atacar mayormente a entidades financieras.

En la línea de tiempo superior se puede ver claramente cómo ha sido la evolución del mismo y, sobre todo, la explosión de variantes posterior al filtrado del código fuente.

De esta manera, la rama 1.x dio lugar a diferentes versiones, si bien la versión 1.2.4.2 fue la que más éxito tuvo. Es por eso que la gente metida en el mundillo seguro que reconocerá rápidamente el fichero sdra64.exe como un ZeuS 1.2.x.

Durante la evolución del mismo, se han podido observar diferentes mejoras tanto en funcionalidades como en protección, y es que durante los años 2008 y 2009 se mantuvo un desarrollo continuado que dio lugar a las versiones 1.1 a la 1.4, momento en el que se da un lavado de cara y se pasa a la versión 2.0.

A finales de 2009, con el troyano consolidado como el rey (con permiso de SpyEye) de los troyanos bancarios, surge esta nueva versión, que marcará un antes y un después con el filtrado del código fuente de la versión 2.0.8.9 en abril-mayo de 2011.

Si nos fijamos en esa fecha, se puede observar que ya existen variantes antes de esa filtración, lo que puede indicar una compra del código fuente o la verdadera evolución de ZeuS por parte de su desarrollador como se rumorea. De ahí surgió Licat, la variante más evolucionada de todas y que actualmente se conoce como Murofet. Cabe recordar que esta variante utiliza un algoritmo de generación de dominios desde sus inicios y actualmente como backup al sistema P2P de comunicación, lo que dificulta su uso como variante comercial tipo Crimeware.

También se pueden observar otras variantes menos relevantes como la que denominamos ZeuS Cryptless, debido a que se parece mucho al ZeuS 2.x estándar, pero no incluye cifrado de strings, por ejemplo, así como la variante que denominamos ZeuS Process o ZeuS Tasks, que tienen la peculiaridad de no inyectarse en el proceso explorer.exe y terminar, sino que mantendrán el proceso en memoria y, como el nombre indica, utilizará las tareas de Windows para ejecutarse, además de ser utilizado para cometer Click Fraud.

Tras el filtrado del código fuente, han ido apareciendo paulatinamente diferentes versiones, con más o menos modificaciones, desde ICE-IX (cuyas nuevas versiones son conocidas como ZeuS 4.3.3.3), una versión ZeuS 2.3.2.0 que utiliza AES como algoritmo de cifrado, el plugin bancario de Ramnit que dota a este virus de una nueva funcionalidad, la versión que utilizaba Tor para comunicarse con el panel de control, conocida como Skynet, la versión que utiliza SSL, o la más famosa y elaborada Citadel, además de las más recientes KINS y PowerZeuS.

Así pues, el panorama de las variantes de ZeuS se torna cuanto menos complejo, y ya requiere un esfuerzo para mantenerse al día de las diferentes versiones de esta misma familia, que 7 años después, sigue siendo una de las mayores amenazas para el sector financiero. En el siguiente post se detallarán algunas de las diferencias encontradas entre las diferentes variantes comentadas aquí. Mientras tanto… si has visto alguna que no hayamos contemplado, puedes dejar tu comentario :)

Continuar leyendo ZeuS timeline Parte II y Parte III

Fuente: S21sec

Nuevas amenazas eluden la validación de la firma digital

noviembre 27, 2013 § Deja un comentario

McAfee Labs ha publicado McAfee Labs Threats Report: Third Quarter 2013, su informe de amenazas correspondiente al tercer trimestre de 2013, que encontró nuevos esfuerzos por eludir la validación de la firma digital en aplicaciones para dispositivos basados ​​en Android. Los laboratorios de McAfee han identificado una nueva familia de malware para móviles que permite evitar la validación con firma digital de aplicaciones en dispositivos Android, lo que ha contribuido a que el malware se haya incrementado un 30% en Android. Al mismo tiempo, el malware tradicional con firma digital creció un 50% hasta alcanzar más de 1,5 millones de muestras. Menos sorprendente, pero por ello no menos peligroso fue el incremento del spam en un 125%.

Según Vincent Weafer, senior vicepresidente de McAfee Labs, “los esfuerzos para eludir la validación de códigos en dispositivos móviles y requisar por completo los PCs, representan intentos para eludir mecanismos de confianza sobre los que se basan nuestros ecosistemas digitales. La industria debería poner más interés en asegurar la integridad y la confianza de su infraestructura digital, dado que estas tecnologías se están cada vez más presentes en todos los aspectos de nuestras vidas.”

Durante el tercer trimestre McAfee también detectó varios incidentes relacionados con Bitcoin, para actividades ilícitas como la compra de drogas, armas y otras mercancías ilegales en sitios web como Silk Road. La creciente presencia de malware Bitcoin reforzó la popularidad de la moneda virtual.

Vincent Weafer continua afirmando que, “a medida que estas monedas se integran más en nuestro sistema financiero global, la seguridad y la estabilidad requieren iniciativas que aprovechan tanto los controles monetarios del sistema financiero como la supervisión, los controles técnicos y los sistemas de defensa que nuestro propio sector ofrece.”

El equipo de McAfee Labs ha detectado las siguientes tendencias gracias a la utilización de su tecnología GTI, McAfee Global Threat Intelligence:

  • Malware firmado digitalmente. Estas muestras de malware se han incrementado un 50%, hasta alcanzar más de 1,5 millones de nuevas muestras. Los laboratorios de McAfee también has descubierto los 50 certificados top utilizados para verificar pagos maliciosos. Esta amenaza creciente plantea la necesidad de validación de certificados digitales con un mecanismo fiable.
  • Nuevas familias de malware para móviles. Los investigadores de McAfee Labs una nueva familia de malware para Android, Exploit/MasterKey.A, la cual permite evitar la validación de firma digital para aplicaciones, un componente clave en los procesos de seguridad para Android. Los investigadores también encontraron un nuevo tipo de malware para Android que una vez instalado descarga una segunda carga sin el conocimiento del usuario.
  • Monedas virtuales. Los cibercriminales utilizan las nuevas monedas virtuales tanto para ejecutar transacciones ilegales como para realizar blanqueo de dinero, lo que permite unos niveles de actividad criminal nunca vistos. Estas transacciones pueden ejecutarse de forma anónima, lo que permite a los cibercriminales ofrecer productos y servicios ilegales en transacciones que normalmente serían transparentes para la policía. McAfee Labs también ha detectado el desarrollo de malware Bitcoin para infectar sistemas, minar su capacidad de proceso y producir Bitcoins para transacciones comerciales. Para más información de este tema puede leer el informe de McAfee Labs titulado “Virtual Laundry: The Use of Digital Currencies in Cybercrime.”
  • Android malware. Cerca de 700.000 nuevas muestras de malware para Android aparecieron durante este trimestre, de manera que los ataques a este sistema operativo se incrementó más de un 30%. A pesar de las nuevas medidas de seguridad de Google, McAfee Labs cree que esta plataforma seguirá siendo la preferida por los cibercriminales dado el gran número de potenciales víctimas.
  • Aumento en el Spam. El volumen de spam global aumentó un 125% en el tercer trimestre de 2013. Los investigadores de los laboratorios McAfee Labs creen que este aumento ha sido impulsado por firmas de marketing legítimas comprando y utilizando listas de emailing que proceden de fuentes de menor reputación.

Cada trimestre, el equipo de los laboratorios McAfee Labs de 500 investigadores multidisciplinares en 30 países siguen la gama completa de amenazas en tiempo real, identificando aplicación de vulnerabilidades, analizando y correlacionando los riesgos, y posibilitando remedio instantáneo para proteger empresas y usuarios.

Fuente: DiarioTI

El creador de Bitcoin vinculado a la ruta de la seda

noviembre 26, 2013 § Deja un comentario

Dos momentos importantes en la historia de los Bitcoin son su creación por parte Satoshi Nakamoto y la explosión de la ruta de la seda por parte de su fundador Ross William Ulbricht.

Según un informe publicado por Dorit Ron y Adi Shamir, dos científicos israelíes [PDF], Ross William Ulbricht (alias Pirata Roberts) puede vincularse económicamente a Satoshi Nakamoto. Aunque los compradores y vendedores de Bitcoin se mantienen anónimos, las transacciones son públicas y a través de ellas, los científicos fueron capaces de rastrear las interacciones.

La red Bitcoin se estableció en 2008 y se ha creído popularmente que las primeras cuentas en sus primeros días eran de Satoshi Nakamoto, quien llegó a acumular unos 77.600 BTC como resultado de la minería.
La identidad real de Nakamoto nunca ha sido descubierta a pesar de los intentos por averiguar quién tiene el conocimiento de criptografía y habilidades matemáticas suficientes para crear el sistema. Se supone que Nakamoto es el creador porque es la única persona que pudo generar esa cantidad a través de la minería en la primera semana.

Los científicos descubrieron una transferencia de 1.000 Bitcoin una semana después de que la red Bitcoin fuera lanzada y el destinatario de ese movimiento fue una cuenta controlada por Ulbricht. Sin embargo, los investigadores no pueden demostrar que la cuenta realmente pertenece a él o no.

Los investigadores creen que las comisiones incautadas por el FBI son sólo el 22% del total, mientras que ellos han sido capaces de rastrear sólo un tercio de dichas comisiones. Posiblemente, el FBI no ha incautado todos los Bitcoin de Ulbricht porque él podría estar usando otros equipo que no han sido localizado.

¿Nakamoto y Ulbricht no serán la misma persona?

Fuente: The Hacker News

Guía de protección de Infraestructuras Críticas

noviembre 25, 2013 § Deja un comentario

Destinada a operadores de infraestructuras críticas, la guía tiene como fin fundamental introducir los procedimientos y herramientas esenciales para mejorar la seguridad de los sistemas informáticos que componen las infraestructuras críticas.

En la guía se indican normas de buenas prácticas para proteger equipos individuales y el acceso a servicios, como la limitación de los privilegios y servicios a los mínimos necesarios, implantación de políticas de actualización o creación de snapshots con las configuraciones de seguridad. Incluyendo, por supuesto, la necesidad de incorporar medidas antimalware y procedimientos de backup robustos. Además, se hace énfasis en la especial atención requerida en los entornos legacy y en los equipos móviles.

También introduce la conveniencia de desplegar medidas avanzadas. Concretamente, se tratan: los sistemas de detección de intrusiones, como la plataforma open source OSSEC, que integra todos los aspectos de un HIDS (Host-based Intrusion Detection System) y de un SIM/SEM (Security Incident Management/Security Events Management); los conocidos como HoneyTokens, que funcionan como “cepo” para atraer a posibles atacantes y hacer más rápida su detección; la implantación de indicadores de compromiso, o IOC, por ejemplo por medio del framework OpenIOC de Mandiant, que sirven para identificar amenazas, de forma automática, a partir de sus características técnicas; las potentes herramientas EMET y CrystalAEP, muy útiles para la detección de exploits.

La guía “El Puesto del Operador: Guía básica de protección de Infraestructuras Críticas” se encuentra disponible para su descarga INTECO.

Fuente: INTECO

9 de cada 10 apps móviles son vulnerables a ataques

noviembre 23, 2013 § Deja un comentario

Ofrecer acceso a fuentes de información privada o carecer de las medidas de seguridad adecuadas frente a los ataques son algunas de las vulnerabilidades a las que, según un estudio de HP, están expuestas la gran mayoría de las aplicaciones móviles disponibles.

HP dio a conocer los resultados de un estudio que, tras analizar más de 2 mil 100 aplicaciones móviles de más de 600 empresas, determina que las aplicaciones móviles representan una amenaza a la seguridad real. De hecho, nueve de cada diez aplicaciones móviles presentan vulnerabilidades.

De acuerdo con el estudio, 97% de las aplicaciones móviles probadas daban acceso a al menos una fuente de información privada de un dispositivo, incluyendo listas de contactos personales y páginas web de redes sociales, mientras que 86% de esas aplicaciones no contaban con medidas de seguridad adecuadas para protegerlas de los ataques más habituales. Por otra parte, 75% de las aplicaciones no utilizaban técnicas de cifrado adecuadas para almacenar los datos en los dispositivos móviles, y 18% de las aplicaciones envían los nombres de usuario y las contraseñas a través de HTTP. Del 82% restante, 18% implementa incorrectamente SSL / HTTPS.

“Mientras que los dispositivos móviles son cada vez más críticos para el negocio, también se están convirtiendo en los principales objetivos de ataque, con aplicaciones vulnerables proporcionando acceso a datos sensibles”, asegura Mike Armistead, vicepresidente y director general de productos de seguridad para empresas Fortify en HP . “Las aplicaciones móviles son ahora la primera línea de defensa contra el enemigo y las organizaciones deberá estar preparadas para evaluar, asegurar y proteger estas aplicaciones para evitar daños por ataques”.

Fuente: CIO

Mirá qué fácil es conocer tu intimidad gracias a las redes sociales

noviembre 22, 2013 § Deja un comentario

Desde hace un par de meses, todas las semanas se destapa un nuevo escándalo de espionaje o atentados contra la privacidad en Internet. Nadie niega que esos hechos no sean graves y demanden una atención especial por parte de las autoridades. Sin embargo, no hace falta tender una red de espionaje para exponer la baja importancia que los usuarios de las redes sociales le dan a su privacidad.

Para dejar en claro este punto, el humorista estadounidense Jack Vale realizó un social media experiment (un experimento en base a redes sociales) para ver qué tanto podía averiguar de la gente que estaba a su alrededor a partir de sus perfiles públicos en las principales redes sociales.

Usando los sistemas de geolocalización que proveen Twitter, Google, Facebook e Instagram (y que muchos usuarios activan sin pensarlo dos veces), Vale buscó las publicaciones reciente más cercanas a su ubicación y empezó a indagar en sus perfiles públicos dentro de estas redes. Una vez recopilados algunos datos, abordaba a los extraños llamándolos por su nombre. Cuando estos reaccionaban sorprendidos, les contaba algunos datos personales, como la fecha de su cumpleaños, el nombre de la persona que lo acompaña o el de su mascota.

Frente a la sorpresa, el humorista insiste en aportar más datos que profundizan la incomodidad de los entrevistados. Cuando la situación se vuelve insostenible, Vale les explica la situación y todo termina en una risa relajada.

El objetivo de este experimento, que fue filmado con cámaras ocultas, era mostrar la cantidad de información privada que muchos usuarios publican en las redes sociales en forma abierta sin pernsarlo dos veces, y cómo reaccionan los usuarios frente a esto. Si bien el video está en inglés, se puede comprender fácilmente la sorpresa de los entrevistados cuando son abordados por Vale.

Fuente: La Nación

Las empresas no saben que sus sitios son vulnerables [Symantec]

noviembre 16, 2013 § Deja un comentario

La empresa Symantec ha publicado dos libros blancos de seguridad correspondientes a “guías sobre protección de sitios web” y “cómo funciona el software malicioso”.

La guía sobre protección de sitios web [PDF] dice que en el año 2012, Symantec realizó análisis de vulnerabilidades en más de 1.400 sitios web al día y, en más de la mitad de ellos, se encontraron vulnerabilidades sin resolver que alguien podría aprovechar para llevar a cabo un ataque. De hecho, la cuarta parte de los sitios web vulnerables ya estaban infectados con código dañino (malware) que podría llegar a provocar infecciones en los equipos de los visitantes o motivar la inclusión del sitio web en una lista negra. Estas cifras demuestran que millones de sitios web legítimos corren a diario el riesgo de sufrir un grave ataque y caer en manos de los cibercriminales.

Sin embargo, según este estudio de Symantec [PDF] confirma que las vulnerabilidades y su desconocimiento en las empresas, un tercio de los encuestados dan por sentado que sus sitios web son muy seguros, aunque nunca los han analizado para detectar posibles vulnerabilidades o infecciones.

Cristian de la Redacción de Segu-Info

¿Dónde estoy?

Actualmente estás explorando la categoría informes en Seguridad Informática.

Seguir

Recibe cada nueva publicación en tu buzón de correo electrónico.

Únete a otros 116 seguidores