Nuevas amenazas eluden la validación de la firma digital

noviembre 27, 2013 § Deja un comentario

McAfee Labs ha publicado McAfee Labs Threats Report: Third Quarter 2013, su informe de amenazas correspondiente al tercer trimestre de 2013, que encontró nuevos esfuerzos por eludir la validación de la firma digital en aplicaciones para dispositivos basados ​​en Android. Los laboratorios de McAfee han identificado una nueva familia de malware para móviles que permite evitar la validación con firma digital de aplicaciones en dispositivos Android, lo que ha contribuido a que el malware se haya incrementado un 30% en Android. Al mismo tiempo, el malware tradicional con firma digital creció un 50% hasta alcanzar más de 1,5 millones de muestras. Menos sorprendente, pero por ello no menos peligroso fue el incremento del spam en un 125%.

Según Vincent Weafer, senior vicepresidente de McAfee Labs, “los esfuerzos para eludir la validación de códigos en dispositivos móviles y requisar por completo los PCs, representan intentos para eludir mecanismos de confianza sobre los que se basan nuestros ecosistemas digitales. La industria debería poner más interés en asegurar la integridad y la confianza de su infraestructura digital, dado que estas tecnologías se están cada vez más presentes en todos los aspectos de nuestras vidas.”

Durante el tercer trimestre McAfee también detectó varios incidentes relacionados con Bitcoin, para actividades ilícitas como la compra de drogas, armas y otras mercancías ilegales en sitios web como Silk Road. La creciente presencia de malware Bitcoin reforzó la popularidad de la moneda virtual.

Vincent Weafer continua afirmando que, “a medida que estas monedas se integran más en nuestro sistema financiero global, la seguridad y la estabilidad requieren iniciativas que aprovechan tanto los controles monetarios del sistema financiero como la supervisión, los controles técnicos y los sistemas de defensa que nuestro propio sector ofrece.”

El equipo de McAfee Labs ha detectado las siguientes tendencias gracias a la utilización de su tecnología GTI, McAfee Global Threat Intelligence:

  • Malware firmado digitalmente. Estas muestras de malware se han incrementado un 50%, hasta alcanzar más de 1,5 millones de nuevas muestras. Los laboratorios de McAfee también has descubierto los 50 certificados top utilizados para verificar pagos maliciosos. Esta amenaza creciente plantea la necesidad de validación de certificados digitales con un mecanismo fiable.
  • Nuevas familias de malware para móviles. Los investigadores de McAfee Labs una nueva familia de malware para Android, Exploit/MasterKey.A, la cual permite evitar la validación de firma digital para aplicaciones, un componente clave en los procesos de seguridad para Android. Los investigadores también encontraron un nuevo tipo de malware para Android que una vez instalado descarga una segunda carga sin el conocimiento del usuario.
  • Monedas virtuales. Los cibercriminales utilizan las nuevas monedas virtuales tanto para ejecutar transacciones ilegales como para realizar blanqueo de dinero, lo que permite unos niveles de actividad criminal nunca vistos. Estas transacciones pueden ejecutarse de forma anónima, lo que permite a los cibercriminales ofrecer productos y servicios ilegales en transacciones que normalmente serían transparentes para la policía. McAfee Labs también ha detectado el desarrollo de malware Bitcoin para infectar sistemas, minar su capacidad de proceso y producir Bitcoins para transacciones comerciales. Para más información de este tema puede leer el informe de McAfee Labs titulado “Virtual Laundry: The Use of Digital Currencies in Cybercrime.”
  • Android malware. Cerca de 700.000 nuevas muestras de malware para Android aparecieron durante este trimestre, de manera que los ataques a este sistema operativo se incrementó más de un 30%. A pesar de las nuevas medidas de seguridad de Google, McAfee Labs cree que esta plataforma seguirá siendo la preferida por los cibercriminales dado el gran número de potenciales víctimas.
  • Aumento en el Spam. El volumen de spam global aumentó un 125% en el tercer trimestre de 2013. Los investigadores de los laboratorios McAfee Labs creen que este aumento ha sido impulsado por firmas de marketing legítimas comprando y utilizando listas de emailing que proceden de fuentes de menor reputación.

Cada trimestre, el equipo de los laboratorios McAfee Labs de 500 investigadores multidisciplinares en 30 países siguen la gama completa de amenazas en tiempo real, identificando aplicación de vulnerabilidades, analizando y correlacionando los riesgos, y posibilitando remedio instantáneo para proteger empresas y usuarios.

Fuente: DiarioTI

BotFrei, un "antivirus para Botnet"

septiembre 26, 2013 § 1 comentario

Este Centro de Asesoramiento Anti-Botnet, creado por la Oficina Federal para Seguridad en la tecnología de la información (BSI) de Alemania, ayuda a eliminar infecciones botnet de el sistema. Para cumplir su objetivo colaboran con varios proveedores de Internet que informan a los clientes afectados (en Alemania).

Los botnets son una herramienta estructural para la criminalidad en Internet y son una de las mayores fuentes de ingresos ilegales de los delincuentes y este entro busca reducir significativamente la cantidad de ordenadores infectados por en el mundo.

El centro de asesoramiento Anti-Botnet (ABBZ) apoya a los usuarios afectados. El ABBZ está formado por expertos que ayudan a limpiar el sistema y a protegerlo su ordenador de nuevos ataques.

El apoyo se realiza en varias fases: Para empezar se le informa al cliente afectado mediante el proveedor de Internet acerca de una posible infección con un programa dañino. A continuación se le invita a visitar esta página web en la que se le ofrece información y medios de ayuda para la autoayuda.

En la segunda fase de la oferta de apoyo se introduce el centro de asesoramiento independiente del proveedor: aquellos clientes que necesitan más asesoramiento serán guiados por teléfono a través de los pasos necesarios para eliminar el programa.

Además, en el sitio web explican cómo funciona una botnet y el daño que causan, y ofrecen herramientas para su detección y eliminación asi como para la prevención.

Las herramientas adicionales provistas son:

Sin duda no será la solución definitiva (porque no existe) pero es una alternativa más a tener en cuenta para informarse.

Cristian de la Redacción de Segu-Info

John McAfee enseña cómo desinstalar McAfee Antivirus

junio 22, 2013 § 1 comentario

John McAfee, fundador del antivirus que lleva su nombre, cae sin lugar a dudas en la categoría de “millonarios excéntricos”, entre otras cosas por huir por la selva desde Belice a Guatemala, buscado por supuestamente asesinar a un hombre. El asunto se convertirá en una película, y quizás estamos ahora ante un “adelanto” que sólo le suma valor a la palabra “excéntrico”.
McAfee publicó un video en YouTube donde se refiere al programa que creó y que hace 15 años vendió, en una especie de tutorial extraño bajo el título “Cómo desinstalar el antivirus McAfee”. Es totalmente raro y no apto para ver en la oficina, producido sobre montones de pantalla verde, e incluye mujeres, drogas y bueno, el mencionado software.

Fuente: FayerWayer

#NetTraveler: nuevo APT que afecta varios países

junio 6, 2013 § Deja un comentario

Equipos de cómputo de diplomáticos y trabajadores de oficinas gubernamentales de 40 países del mundo fueron ciberatacados con un antiguo malware nombrado NetTraveler, según expertos de seguridad de Kaspersky Lab. NetTraveler, que Kaspersky redescubrió en las últimas semanas, ha atacado computadoras en países como Estados Unidos, Canadá, Chile, Reino Unido, Alemania y Rusia. Hasta ahora, no se han encontrado muestras del malware en México, según la firma de seguridad.

El ataque es algo similar al ciberespionaje nombrado “Octubre Rojo”, que Kaspersky descubrió hace unos meses, también fueron espiadas computadoras del gobierno y de diplomáticos.

Los autores de Octubre Rojo todavía se desconocen, pero Kaspersky dio una muy importante pista sobre la identidad de los hackers detrás de NetTraveler.

“Con base en información recolectada, se estima que grupo de atacantes es de aproximadamente 50 personas, la mayoría de los cuales hablan chino como lenguaje nativo y tienen conocimiento del idioma inglés de trabajo”, explican. “NetTraveler está diseñado para robar información confidencial, registrar pulsaciones del teclado, así como recuperar los listados del sistema de archivos y varios documentos de Office o PDF”.

NetTraveler lleva activa desde 2004, aunque ha sido entre 2010 y 2013 cuando más infecciones han realizado. Kaspersky Lab asegura que el grupo ha mostrado interés por el ciberespionaje, “incluyendo la exploración del espacio, la nanotecnología, la producción de energía, la energía nuclear, el láser, la medicina y las comunicaciones”. Los ciberdelincuentes infectan a las víctimas mediante el envío de correos electrónicos phishing con adjuntos maliciosos de Microsoft Office que contienen dos vulnerabilidades altamente explotadas (CVE-2012-0158 y CVE-2010-3333). “A pesar de que Microsoft ya publicó parches para estas vulnerabilidades están siendo muy utilizados para ataques dirigidos y han demostrado ser eficaces”, destaca Kaspersky Lab.

Según el informe de Kaspersky Lab [PDF], los ataques se han llevado a cabo en los diez países con más víctimas detectadas por son Mongolia seguidos por Rusia, India, Kazajstán, Kirguistán, China, Tayikistán, Corea del Sur, España y Alemania.

Entre las víctimas del ataque se encuentran activistas tibetanos, considerados rebeldes por China. El logotipo del virus, tal y como aparece en el interior el código del malware, es un carácter chino.

“El grupo ha infectado a las víctimas de múltiples sectores, incluidas instituciones gubernamentales, embajadas, industria del petróleo y gas, institutos de investigación, contratistas militares y activistas” Este ataque utiliza técnicas de ingeniería social para que los usuarios hagan clic en los enlaces e instalen el malware en sus dispositivos. Los hackers envían mensajes que supuestamente contienen información importante anexada. Cuando los usuarios abren los archivos, dos piezas de malware se instalan en sus dispositivos, lo que permite a los ciberespías robar datos a voluntad.

Fuente: CSO España

Veil: Antivirus bypass

junio 3, 2013 § Deja un comentario

Hace unos pocos días Christopher Truncer publicaba en su blog un artículo sobre una herramienta desarrollada por él mismo y a la que ha dado el nombre de VEIL. Esta herramienta tiene una utilidad interesante para todos aquellos que nos dedicamos al Pentesting y tenemos en ocasiones algún problema con los Antivirus, ya que genera payloads de Metasploit que luego codifica de una manera propia y genera un ejecutable nuevo, a priori no detectado por ellos.

La herramienta puede descargarse de este Github, y a priori debería ser multiplataforma, aunque yo no lo he conseguido hacer funcionar en mi Mac, así que os recomendo que lo probéis directamente con Kali Linux.

Contenido completo en fuente original Pentester

Metasploit: ENCODING y PAYLOAD para evitar antivirus

mayo 27, 2013 § Deja un comentario

En el artículo de hoy, además de jugar con los comandos msfpayload, msfencode y msfvenom del framework de #Metasploit, voy a presentar una nueva sección del Blog: ST2Labs.

¿Qué son y para que sirven?

Para saber qué son estos comandos y para que sirven que mejor que hacerlo con ejemplos ¿no creéis? , pero antes voy a poner una pequeña descripción de cada uno de ellos:

msfpayload
Es un comando que permite convertir cualquier PAYLOAD en un elemento independiente y con autonomía propia, por ejemplo un ejecutable EXE (windows), un ejecutable de Linux, o quizás un fragmento de código en una librería dinámica (DLL), etc.

msfencode
Aplica técnicas de evasión de IDS/IPS y Antivirus a un PAYLOAD en bruto (raw) para generar un elemento independiente y autónomo, como por ejemplo: ejecutable (EXE), JAVA, DLL, vba, ASP, etc.

Este comando aumenta el número y tipo de archivos que genera, incluso permite crear un ejecutable EXE utilizando como “template” (plantilla) otro; Ejemplo utilizar calc.exe para generar una versión con un backdoors del tipo meterpreter.

msfvenom
Es la unión de msfpayload y msfencode en un solo comando, mayor velocidad y simplicidad a la hora de generar los PAYLOAD y aplicarle técnicas de evasión.

Pero tiene algunas limitaciones, por ejemplo, no tiene la capacidad de aplicar varias técnicas de evasión sobre el mismo PAYLOAD, como veremos más adelante en nuestros ejemplos.

Contenido completo en fuente original Seguridad para todos: Parte 1, Parte 2 y Parte 3

Syringe Antivirus Bypass usando Meterpreter como Payload

mayo 26, 2013 § Deja un comentario

Hace un tiempo publique una serie de tres artículos sobre las diferentes forma de crear un fichero ejecutable (exe) con capacidad de evasión del sistema Antivirus utilizando el framework de seguridad #Metasploit.

En su momento estuve tentado de crear un script que generase un ejecutable con un PAYLOAD según unas especificaciones previas, y que automáticamente comprobase en Virustotal su eficacia. Ahora, buceando en Internet he ido a parar a http://www.commonexploits.com quién ha creado precisamente un script que realiza exactamente eso, es decir, generar un payload con metasploit con técnicas de evasión de antivirus.

Sin embargo, aunque el script (AV0id) es muy interesante, ese mismo artículo me ha puesto sobre la pista de una herramienta de gran utilidad, cuyo objetivo es evadir (bypass) los sistema antivirus. Es precisamente sobre esto ultimo de lo que voy a hablar a continuación: Syringe

Durante un test de penetración puede resultar muy útil disponer algún ejecutable con capacidad de “puerta trasera” (backdoor) con el que demostrar la debilidad encontrada tomando el control del equipo objeto del análisis. Es en este punto donde entra en juego el Syringe creado por un investigador de Seguridad independiente llamado Hasan (aka inf0g33k). Hasan publica un documento técnico (PDF) donde explica la técnica que utiliza para cargar la shell, generada con Metasploit, en memoria y demuestra con un ejemplo su funcionamiento.

La herramienta, básicamente carga en memoria un PAYLOAD de tipo meterpreter generado por Metasploit, utilizando técnicas de ENCODING de forma que pueda evadir el sistema Antivirus del sistema.

Contenido completo en fuente original Seguridad para todos

¿Dónde estoy?

Actualmente estás explorando la categoría antivirus en Seguridad Informática.