Trend Report Ransomware em português

viernes, 31 de julio de 2015

Extorsão no século XXI
O flagelo do malware cripto-ransomware ganhou destaque nas previsões de ameaças de 2015 e o aumento de 165% observado no primeiro trimestre de 2015 indica que tais medos estavam bem fundamentados. Por meio de um modelo criminoso que vai de encontro a muitas das previsões de ameaça, o cripto-ransomware não tem relação com a extração de dados valiosos, ao invés disso utiliza da criptografia de arquivos, para posteriormente solicitar um resgate, a extorsão ocorre de forma agressiva. Ainda que a primeira vista a técnica possa parecer precária, a evolução do cripto-ransomware e do mercado criminoso que serve como incubadora é, na verdade, uma operação calculada que abusa das tecnologias defendidas por defensores da privacidade. As estatísticas de propagação das variantes CTB-Locker ilustram bem a difusão geográfica generalizada dessa ameaça subversiva ao longo de 2015.

O vetor de infecção utilizado pelos criminosos para propagar cripto-ransomwares varia, sendo muitas vezes simbiótico com infecções de malware anteriores; em 2014, isso seria geralmente o resultado da botnet Gameover Zeus,, em 2015, houve um crescimento do ransomware como parte do ciclo de vida de um malware que engloba "fraudes de cliques" e "publicidade maliciosa" ("malvertising").

Uma vez infectado, a técnica de criptografia assimétrica é utilizada pelo malware para criar um par de chaves pública-privada para criptografar arquivos. A chave utilizada para codificar os arquivos muitas vezes também é criptografada por meio de um processo que utiliza uma combinação de criptografias RSA e AES, sendo que, sem acesso à chave privada do agressor, é praticamente impossível decriptar os dados.

Com o passar do tempo, o preço do pedido de resgate foi ajustado pelos criminosos e, atualmente, está na faixa de $400 (€360), a serem pagos em Bitcoins, o que parece se aproximar do teto no qual ransomwares sem alvo conseguem achar um ponto de equilíbrio entre a probabilidade de pagamento e o pedido de resgate máximo por parte de um usuário comum. Entretanto, em junho de 2015, o FBI emitiu uma declaração de que a variável CryptoWall havia causado danos no total de $18 milhões de dólares, incluindo pagamentos de resgates de $200 a $10.000 dólares, tanto de indivíduos quanto de empresas.

O cripto-ransomware sintetiza o vínculo entre o criminoso cibernético moderno e o uso eficaz da velha intimidação psicológica, sendo um modelo que parece ser escalável a tecnologias como smartphone, nuvem e Internet das coisas, IoT. Na verdade o potencial de evolução dessa ameaça, alimentada pelo ecossistema de criminosos cibernéticos, pode ser mais sinistro do que ver as estatísticas de propagação.

Codificação de erros e apreensões pela aplicação da lei relativa às variantes específicas pode oferecer uma oportunidade de descriptografia em uma pequena porcentagem de casos, mas uma 'cura' deve ser considerada como inexistente. Os criminosos podem nem sequer pretende fornecer descriptografia, mas a trajetória do ransomware é testamento para o número de vítimas despreparados, que sentiu que não tinham outra escolha.

A única forma de anular o modelo comercial criminoso é não pagar o resgate;. No entanto, esse tipo de idealismo não serve para um indivíduo ou empresa infectado que não possuem medidas de proteção suficiente. Conscientização de segurança e “fortalecimento”, hardening, do ambiente tecnológico são medidas de prevenção, mas a única contingência confiável em casos de infecção é ter backups suficientes; idealmente, três cópias em dois formatos diferentes, além de uma cópia offline. Erros de codificação e apreensões por determinação judicial podem oferecer uma chance de decriptação em uma pequena percentagem dos casos, embora seja necessário considerar que não existe uma "cura". Pode ser que os criminosos nunca pretendam oferecer decriptação, mas a trajetória do ransomware é uma prova da quantidade de vítimas despreparadas que não tinham outra opção.

» Download do "Cyber Security Pulse and Ransomware report" em português

Original article by Ben Walton 
ben.walton@11paths.com

Text adapted into Portuguese by Leandro Bennaton 
leandro.bennaton@11paths.com

Dime a qué te dedicas y te diré de qué protegerte en la red

jueves, 30 de julio de 2015

Del mismo modo que el mundo tecnológico y el ciberespacio han ido evolucionando a pasos agigantados, también lo han hecho las ciberamenazas. Las compañías tienen que hacer frente a una gran variedad de ellas procedentes de diferentes actores: organizaciones cibercriminales dedicadas al fraude en internet, grupos hacktivistas y activistas que actúan en contra de los intereses de las empresas, competidores que intentan obtener ventajas competitivas ilegalmente o incluso estados que tratan de defender sus propios intereses nacionales.

Nos encontramos ante un escenario complejo en el que la seguridad demanda nuevos planteamientos. Ya no es suficiente gestionar las vulnerabilidades y riesgos de los sistemas de información internos sino que es también necesario tener conocimiento y control de las amenazas externas que nos afectan. Los incidentes, con alto impacto reputacional y económico, suceden de manera habitual ocasionados principalmente por el cambio constante de las tácticas y motivaciones de los atacantes. Es en este punto donde la inteligencia juega un papel fundamental para las empresas.

Telefónica, como proveedor líder en servicios de Ciberseguridad para empresas, ayuda a detectar de manera temprana actividades sospechosas que amenazan al negocio de sus clientes. Para ello, Telefónica ofrece el servicio de Vigilancia Digital dedicado a la monitorización de la red las 24 horas del día para conocer la exposición de sus clientes en el mundo digital e identificar las amenazas y riesgos relacionados con su Reputación y Marca, su Disrupción del Negocio y el Fraude Online.



El servicio Vigilancia Digital de Telefónica se encuadra en el concepto de Threat Intelligence definido por Gartner, basado en el conocimiento a través de evidencias que incluyen el contexto, los mecanismos, los indicadores, las implicaciones y el asesoramiento necesario acerca de amenazas y riesgos actuales o emergentes sobre los activos de sus clientes, proporcionándoles toda la información necesaria para facilitar la gestión, priorización y respuesta de aquellas amenazas con más riesgo de impacto en su negocio.

Sólo durante el año 2014, el servicio de Vigilancia Digital de Telefónica detectó más de 28.000 amenazas directas a clientes de varios sectores. El número de casos identificados variaron en función del sector económico al que pertenecen, siendo los más castigados los clientes pertenecientes a los sectores de “Banca y seguros”, “Industria y Energía” y “Retail, respectivamente. En concreto, se detectaron más de 1.350 incidentes de media en los clientes del sector de Banca y seguros, 1.200 incidentes de media por empresa del sector Energía e Industria, así como una media de 850 casos para las empresas de Retail.

En general, destacan los incidentes relacionados con el robo de credenciales y las fugas de información corporativa, que han revelado la publicación no autorizada de información de alto impacto para nuestros clientes que derivaron en accesos no autorizados a sistemas, instalaciones o procesos de la compañía.

Seguidamente, las amenazas que más se repitieron son:
  • Amenazas de tipo malware relacionadas directamente con entidades del cliente.
  • A continuación, se encuentran aquellas relacionadas con la detección de nuevas vulnerabilidades que afectan a sus activos.
  • En tercer lugar aparece la anticipación de operaciones hacktivistas, activistas y de DDoS cuyo principal objetivo es atacar los intereses de la compañía, ya sea contra sistemas y activos físicos, contra la imagen de la empresa o contra los activos tecnológicos de la organización.
  • Les siguen las amenazas relacionadas con contenidos ofensivos que menoscaban la imagen y reputación de las empresas.
  • Para finalizar se encuentra el phishing y dominios sospechosos como amenazas con gran volumen entre nuestros clientes.

En este sentido, centrándonos en las amenazas más comunes según el sector de actividad de nuestros clientes y según su volumen de aparición, tenemos:
  • En Banca y seguros destacan el malware, phishing, hacktivismo, activismo y detección de DDoS, contenidos ofensivos, uso no autorizado de la marca y la aparición de aplicaciones móviles sospechosas, especialmente aquellas que suplantan la imagen de los clientes con el objetivo de engañar al usuario final, robo de credenciales y carding.



  • En Industria y Energía, las amenazas más destacables son las relacionadas con la vulneración de mecanismos de seguridad, hacktivismo, activismo y detección de DDoS, contenidos ofensivos, dominios sospechosos, fugas de información, robo de credenciales y el uso no autorizado de marca.



  • EnRetail, destacan la vulneración de mecanismos de seguridad, contenidos ofensivos, hacktivismo, activismo y detección de DDoS, dominios sospechosos, fugas de información, el uso no autorizado de la marca, así como el rodo identidad digital y counterfeit.



No cabe duda que la detección temprana de estas amenazas, sea cual sea el sector de actividad de la empresa, es un requisito indispensable para la aplicación de contramedidas eficaces para minimizar el impacto en el negocio de las compañías. Para ello, las empresas deben tener la capacidad de entender los comportamientos de los atacantes, sus recursos y sus motivaciones, manejando la información necesaria que le ayude a coordinar una respuesta apropiada y anticipar amenazas similares en un futuro. Es ahí donde la capacidad de Threat Intelligence de Telefónica ofrece el mayor valor a sus clientes:
  • Ir más allá de la simple recopilación de información, siendo capaces de crear valor añadido a través del procesado y clasificación de la misma usando nuestra propia tecnología.
  • Entender la forma en que los atacantes operan y ser capaces de adelantarnos a futuras versiones de los ataques.
  • Anticiparnos, identificando las amenazas, así como los factores desencadenantes de las actuaciones maliciosas, recomendando contramedidas y respuestas frente a éstas, a través de la definición de estrategias de seguridad adecuadas.

Con este fin, el servicio Vigilancia Digital de Telefónica detecta, clasifica y valora el riesgo de cada una de las amenazas que atentan contra sus clientes, proporcionándoles:
  • Detección temprana de amenazas de ciberseguridad las 24 horas del día, los 365 días del año.
  • Un equipo de expertos y analistas de ciberseguridad distribuido a nivel internacional que, que de forma proactiva, detectan comportamientos maliciosos, implementando técnicas únicas de incorporación de información de ciberinteligencia desde múltiples fuentes de información.
  • Tecnologías propietarias como Tacyt, Sinfonier o JetSetMe desarrolladas e implementadas en base a nuestro expertise acumulado y necesidades de los clientes en el ámbito de la Ciberseguridad a lo largo de los últimos años, hacen único el servicio ofrecido por Telefónica.
  • Todo ello operado y gestionado desde el Global Cybersecurity Center de Telefónica situado en Madrid (España) y apoyado por el Global Security Center y la red global de SOCs y CyberSOCs de Telefónica.



Ester Bermejo 
ester.bermejo@11paths.com

Yaiza Rubio
yaiza.rubiovinuela@cybersecurity.telefonica.com

Trend Ransomware Report

miércoles, 29 de julio de 2015

21st Century Extortion
The scourge of crypto-ransomware malware featured prominently in threat predictions for 2015, and the 165% increase reported in Q1 2015 indicate that these fears were well founded. Using a criminal model that runs counter to many of the others included in the threat predictions, crypto-ransomware is not concerned with exfiltrating valuable data, instead surreptitiously encrypting files to subsequently employ an abrupt, confrontational extortion demand. While on the surface the technique may seem crude, the evolution of crypto-ransomware and the criminal marketplace which has served as its incubator, it is actually a calculated operation, abusing technologies long upheld by privacy advocates. The propagation statistics of the CTB-Locker variant are broadly illustrative of the overall geographic spread of this subversive threat to date during 2015.

The infection vector criminals use to distribute crypto-ransomware varies, and is often symbiotic with prior malware infections; during 2014 it would often be a result of the Gameover Zeus botnet, and 2015 has seen an increase in ransomware as part of a malware lifecycle encompassing ‘click fraud’ and ‘malvertising’.

Once infected, asymmetric encryption is employed to create a public-private key pair for the malware to encrypt files. The key used to encrypt the files is often itself encrypted again, in a process often using a combination of RSA and AES cryptography, and ultimately without access to the attacker’s private key it is next to impossible to decrypt the data.

Over time the price point of the ransom demand has been adjusted by criminals, and is now commonly around $400 (€360) to be paid in Bitcoin, which appears to be close to the price ceiling at which untargeted ransomware balances likelihood of payment with the maximum ransom demand from an average user. However in June 2015 the FBI issued an advisory stating the CryptoWall variant had caused $18 million in damages including ransom payments of $200-$10,000 from both individuals and businesses.

Crypto-ransomware epitomises the nexus between the modern cyber-criminal and effective use of age-old psychological intimidation, and is a model that appears to scale well to technologies like mobile, cloud and IoT. Indeed the potential for this threat to develop further, nurtured within the cyber-criminal ecosystem is perhaps more sinister than viewing propagation statistics alone.

The only way to nullify the criminal business model is if no-one paid a ransom; however such idealism is of no compensation to an individual or business who have been infected and lack sufficient safeguards. Security awareness and system hardening are preventative measures, but the only contingency to rely on should infection occur is to have sufficient backups; ideally three copies, in two different formats, with one stored offline. Coding errors and seizures by law enforcement relating to specific variants may offer a chance of decryption in a small percentage of cases, but a ‘cure’ should be regarded as non-existent. The criminals may never even intend to provide decryption, but the trajectory of ransomware is testament to the number of unprepared victims who felt they had no other choice.

» Download the "Cyber Security Pulse and Ransomware report"

Ben Walton 
ben.walton@11paths.com

Top of the app charts. Shuabang: automated malware made in China

martes, 28 de julio de 2015

Have you ever wondered how some apps rocket up the charts so quickly? Sometimes you’ll spot one that seems like a curveball, like a pub rock covers band hitting number one in the download charts. At the Barcelona eCrime symposium ElevenPaths presented some new thinking on new Android malware trend called "Shaubang" – a term used in China to describe the shady methods whereby certain apps are being "gamed" in app stores to get them to the top of charts.

Get downloading – a whole industry in China

"Shuabang" is to app markets what "Black SEO" is to search engines and is sold as a service sometimes for a few hundred or thousands of dollars.

http://www.theverge.com/2015/2/12/8024861/top-10-app-store-manipulation-photo
This image of a factory line process, with workers employed solely to download apps to boost their ranking, was picked up widely in the media earlier in the year. But there’s a stumbling block to the number of downloads you can get… Google accounts. In Google Play a Gmail account is needed to download an app. Moreover, you not only need a Gmail account (that requires CAPTCHA authentication) but you need this account to be associated with a device ID.

But to get their fake download rate up, companies would need thousands of registered accounts. There’s only so many people you can employ to hit download all day and that isn’t exactly an efficient way to run a business. This brings us to the question – "where can we get the other thousands of accounts?" It’s possible to steal them or buy them in the black market but that carries all sorts of risks. Then, of course, there’s always malware – a malicious program that can do much of the heavy lifting for you by infecting numerous devices. There’s already services in China that can break CAPTCHAs, but device IDs, which are harder to get, are also required for downloading. You can’t just invent device IDs either, as Google will spot them and ban the account from the outset taking you back to square one.

The big (Shua)bang

What Eleven Paths found (thanks to Tacyt) was a new kind of malware spread via Google Play that associated fake accounts with existing device IDs. People infected with the malware were unknowingly giving away their own device’s ID to the malware creators, which were then associated with these fake Gmail accounts.

The attacker created more than 12,000 Gmail accounts and made them available to malware providers via simple web requests. They then created a malicious app that sent a request for a Gmail account every ten minutes in the attackers’ server. The program then simulated the whole registry process against Google services – thereby creating a new, seemingly human, profile. With this the attacker had all they needed to automate the Shuabang system. These apps were disguised as downloads and spread in Google Play between September and November 2014, getting millions of downloads in the process. Users who thought they were downloading a wallpaper, for example, were actually feeding this army of fake accounts for a Shuabang company.

Steal, buy or... do it yourself with malware

ElevenPaths found and alerted Google about these apps, which were then removed. The team studied them and even had access to attackers servers. The apps showed a reversing of how Android worked during the account registering process. The server got millions of hits with results fuelling the 12,000 registered accounts over millions of innocent devices. Victim’s real accounts were not compromised, but the harm for them came in consumed traffic and the potential that their device ID could be banned for fraudulent use. The attacker created a whole system connected to a "legal" company in China that offered "positioning services" for Android apps.

New malware methods

This attack was extremely interesting, not only for the code of the malware itself, but because they managed to fool Google Play by uploading these apps hundreds of times. Antiviruses were not aware of the attack until ElevenPaths told them, and they had to invent a new variant of malware to find them.

But the work did not stop there. ElevenPaths has been following the gang since the apps were removed and got to know about their new plans. They have found new malware that does not just associate an account with a device ID, but creates the Gmail account from scratch, although it’s not believed this particular malware has spread yet. This time the new malware does not get assigned Gmail accounts but, using data from the attackers server, asks Google to create the Gmail account, sends the CAPTCHA to this service, breaks it and associates the device ID... all without the victim noticing anything.

What can the user do?

Common sense is always the best policy. It’s still very unusual for malware to take advantage of Android vulnerabilities so wider prevention is all about making users aware that they have to physically install the malware themselves. We’d recommend that people whitelist their apps, so they only install the most reputed programs. Here’s a couple of tips to make sure you don’t become a victim:
  • Never install apps from outside Google Play, or markets you really trust. If in doubt, research the developer.
  • Never trust very "new" apps. Wait until they’ve been around few months and had a few thousands downloads.
  • Ban apps you do not feel comfortable with. If an app requires too many permissions, downloading it is probably a bad idea.
  • Use an antivirus on your phone

So next time you see an app that’s simply too good to be true, the chances are it probably is. Prevention is always the best cure, so exercise due caution and don’t let the Shaubangers get the better of you.

* A version of this article has originally been published by SCMagazine, here.

El turco tras los pr0nClickers, sube badware a Google Play por cuarta vez

lunes, 27 de julio de 2015

Durante la semana pasada el turco (probablemente una banda, o una sola persona) que está detrás del malware pr0nClickers consiguió eludir de nuevo las defensas de Google Play y subir de nuevo decenas de apps que visitan enlaces pornográficos entre bambalinas. Durante 2014, esta es la cuarta vez que, modificando ligeramente el código, el atacante consigue burlar las defensas de Google Play.

Febrero, primera vez

Todo comenzó en febrero. ElevenPaths detectó al menos 32 apps que usaban una viaja técnica en el mundo del Pc, pero no era tan usada entre el badware de Android. Entre las apps simuladas, podíamos encontrar un falso Talking Tom (que estuvo online apenas unas horas) y un "Cut the Rope". En este caso visitaban sitios porno y simulaban el clic en los banners para obtener algún beneficio. Este esquema afectaba también al plan de datos del usuario, puesto que las apps seguirían realizando peticiones a páginas en el "background" sin que la víctima fuese consciente. El atacante operaba desde diciembre, subiendo apps a google Play con la única intención de arrancarse con el sistema y realizar peticiones GET entre bambalinas.

Esquema general de funcionamiento de las apps
Hicimos en su día una investigación más profunda, y publicamos este artículoEl atacante usaba dominios con nombres supuestamente reales, de forma que era sencillo encontrar hasta su perfil de Facebook.

Nombre del registrante, común a la mayoría de dominios registrados

El primero dominio usado para los ataques todavía funciona como un "generador de dominios pornográficos". Desde el principio, mostró cierta preferencia por aplicaciones y dominios relacionados con las películas.

Click F5...

Apps relacionadas con el atacante, encontradas gracias a  Tacyt

Abril, la segunda vez

Avast detectó que al atacante usando de nuevo Dubsmash 2 como app falsa para esparcir estos clickers. La forma en la que funcionaban las apps era muy similar, basándose en las mismas funciones JavaScript y partes de su código, además de direcciones turcas. Pero lo suficientemente diferentes como para burlar a los antivirus y a Google Play de nuevo.

Mayo, la tercera vez

Esta vez vue Lukas de ESET el que alertó sobre los turcos usando las mismas técnicas y reclamo (Dubsmash 2) para instalar clickers en los dispositivos de las víctimas. El atacante consiguió varios miles de instalaciones. Incluso utilizó los mismos servidores y dominios que en el ataque de febrero, desde donde los sistemas infectados tomaban la información.

Un Dubsmash 2 falso usado en mayo

Mismos dominios que la primera vez, visto desde Tacyt
Julio, la cuarta ola

Esta vez, Avast alertó de nuevo sobre el mismo grupo: Turcos, mismos dominios y apps relacionados con películas, mismo Dubsmash 2 como reclamo, mismo código en el JavaScript y en servidores. Pero de nuevo, lo suficientemente diferente para burlar a antivirus y Google Play. Nunca dejó de intentarlo durante junio, pero en julio fue más intenso.

El atacante todavía utiliza la misma estructura en sus dominios. Algunos incluso parecen que han sido comprometidos  (¿peliculasgratishd.net?). Estos son todos los dominios  (no mostramos todas las rutas) relacionados con esta ola de ataques. Ahora son inofensivos, pero esto podría cambiar en cualquier momento, por lo que no se aconseja visitarlos.
  • http://ynk.linuxum.com/
  • http://kankalar.linuxum.com/z/z5/
  • http://amas.europeanteenx.com/z/orap/
  • http://sulale.hitgit.com/com.sulale.dubb/1.png, 
  • http://tranquockarafren.peliculasgratishd.net/g/getasite/
  • http://kum.angelpinkgirls.com/z/z2/
  • http://cinar.pussyteenx.com/z/z5/
  • http://kamki.insfollows.com/com.nguyenngocjumraze.suuu/4.png
  • http://phutanjocohare.mobilprn.net/g/getasite/, 
  • http://mebk.pantiescock.com/z/z2/, 
  • http://komidin.cumshotsex.net/com.komidin.cheatscrim/3.png
  • http://rafta.girlstoyporn.com/z/orap/
  • http://sulale.hitgit.com/z/z2/
  • http://kendo.teenpornxx.com/z/orap/
  • http://fet.asianpornxx.com/z/z5/
  • http://pupa.romantictube.net/g/getasite/ 
  • http://palasandoreki.filmsme.net/z/z2/
Siguen usando el mismo nombre Turco para registrar la mayoría de los dominios. El código (dentro y fuera de las apps, en los servidores), además de usar otras características y fórmulas lo suficientemente parecidas como para atribuirlos a la misma persona.

Domino usado en febrero (arriba) y otro usado en julio (abajo)

Algunas apps todavía están disponible sen Google Play mientras escribimos estas líneas.

Uno de los clickers simulan Temple Run 3, todavía online: https://play.google.com/store/apps/details?id=com.amas.ra

Estas son algunas de las apps que hemos encontrado en los últimas días (usando Tacyt y algún clic) que comparten características. Con respecto al primer ataque, han tenido que renunciar a ciertas "comodidades" como por ejemplo, lanzarse cuando se enciende el teléfono. Esto limita el ataque al momento en el que la app se abre, por eso los atacantes intentan añadirles algo de contenido en esta última tanda.
  • Amasra 1;com.amas.ra;f617515837ebe345a68904417d7823974e382e59
  • Best : Dubsmash;com.kankalar.elma;99cc2f0ff000df5c2e856d40acac1b4dc72e9230
  • Dubs Mash 2;com.sulale.dubb;459dc9198de2875017885d89e1c04c81301213b3
  • Panita Kin;com.tranquockarafren.king;f320e227b9742527be37a1c03afe4f2689bb76f0
  • Cheats for Boom Beach;com.kum.sal;36c4d4c0ca7c2d9e948daa32c20556709984fdba
  • Cinarcik 1;com.cinar.cik;315c57bddee7a2ee5db54fb52215986bc23a9c93
  • belki yanbak;com.nguyenngocjumraze.suuu;9b0e6c03338db95a86217ea298ae9a50c85c8217
  • MayHada;com.phutanjocohare.may;9fe6f210fe5209c3d6d97800054e42d80d4e6966
  • MayHayda;com.phutanjocohare.jat;84af3da99603e9d5586a2278d180d485c74d4068
  • Cheats for Clash of Clans;com.kankalar.cheats;a0f000baa8246908bdce9feabc2f24530fd8afcb
  • Man Kaptasi;com.phutanjocohare.conc;ed7ed72b9cf1de2cd67ce74d252be5aa7a2c0d35
  • Cheats for Pou;com.mebk.adli;9d3e6747cf892a7bc7571b1b91da1d14061ad4bb
  • Cheats for Criminal Case;com.komidin.cheatscrim;df5be5567eb7dc2ef8d6f96909ff6dfc29b37d8d
  • Cheats for Hill Climb;com.rafta.chetashill;8d4a009bae65731f10adc0b7fbfb708918579e74
  • Cheats & Trucos: Gta 5;com.sulale.chetastga;1741e985d4d204da73ee9f2a35622331fe7824c0
  • Maps & Guide: GTA 5;com.sulale.cimmi;ed388d4dd304c695aba5794d089355febaeb80d8
  • Followers for Instagram;com.nguyenngocjumraze.takip;5638df53b960a0d2b16f708bba8e46d4dc996f6d
  • C l a s h o f C l a n s 2;com.kankalar.clash2;7552118b7e5f1ef3698579cc48121a6be37aa5f3
  • Komidin;com.kendo.yako;0695c87554db4a10a7b38df49ecf03f6e20eb4db
  • Fethiye;com.fet.hiye;49c37da0ca94536600cecd8290aba670164ba7a6
  • Koday;com.pupa.yelken;2e2598c930a448217b6070d934e98735e4c44732
  • Doganın Güzellikleri 2;com.palasandoreki.hsa2;961923bad0f1a986a142ef5916d57b053e6591ba
  • Doganin Guzellikleri;com.palasandoreki.hsa;193e986d65249a8a04d596b9c13ecfdf0e3dced9
  • Doganin güzellikleri 3;com.palasandoreki.hsa3;6dad78b0bae7210fcc9335ee671f4514becdb214

Así que esta es la cuarta vez que los atacantes modifican las apps y consiguen subirlas a Google Play. Pero tenemos que ser conscientes de que una vez consiguen eludir a los antivirus mutando el código, este tipo de badware es complejo de detectar porque la forma en la que funciona la app "no es tan sospechoso" (al fin y al cabo, solo visita páginas) y el comportamiento puede ser fácilmente "ocultado" por ejemplo, esperando a ciertos eventos para visitar los sitios porno..

Sergio de los Santos
ssantos@11paths.com

The Turkish behind pr0nClicker, uploads badware to Google Play for the fourth time

During last week, the Turkish (maybe a gang, maybe just a person) behind the pr0nClickers malware got to avoid Google Play defenses and upload again dozens of fake apps that visit pornographic links in the background. During 2015, this is the fourth time that, slightly modifying the code, the attacker gets to fool the defenses in Google Play.

February, the first time

It all started in February. ElevenPaths detected at least 32 apps that used an old known technique in the PC world, but not so used in Android badware. Between the simulated apps, we could find a fake Talking Tom (that was online for just a few hours) and a "Cut the Rope". In this case they visited ads and porn websites and simulated clicking in the banners, so they got some benefit. This schema affects the data plan of the user, because the apps will keep on requesting pages in the background and the victim will not be aware. The gang or person behind was operating since December, uploading apps to Google Play, with the only intention of booting with the device and making GET requests in the background.

App general schema
We made a deep research on them, and published this article about it. The attacker used domains with real names. It is easy to find even their Facebook profile.

Name of the registrar, common for most of the domains used

The first domain used for the attack still works as a "porn domain generator". Since the beginning, it showed some preference for movie related apps, domains, etc.

Click F5...

Apps related to the attacker, found thanks to Tacyt

April, the second time

Avast detected the attacker using again Dubsmash 2 as a fake app to spread these clickers. The way the apps worked were very similar, using the same JavaScript functions, part of the code, and Turkish addresses. But different enough to fool not only antivirus but Google Play again.

May, the third time

This time was Lukas from ESET, who alerted that the Turkish people were using same techniques and decoy (Dubsmash 2) to install clickers in victim's devices. The attacker got a few thousands of downloads and installations. It even used the same domains as in February, where the infected devices got the information from.

Fake Dubsmash 2 used during May

Same domains as the first time, seen in Tacyt
July, the fourth wave

This time, Avast alerted again about the same people: Turkish, same "movies related" domains and apps, same Dubsmash 2 as a decoy, same network and JavaScript code. But again, different enough to fool Google Play and antiviruses. He never stopeed trying to upload apps during June, but during July it was more aggressive.

The attacker still uses the same structure as the offensive domains. Some of them seem to be compromised domains (peliculasgratishd.net?). These are all the domains (we do not show all the paths) related with this wave of attacks. They seem harmless, but this could change any moment from now.
  • http://ynk.linuxum.com/
  • http://kankalar.linuxum.com/z/z5/
  • http://amas.europeanteenx.com/z/orap/
  • http://sulale.hitgit.com/com.sulale.dubb/1.png, 
  • http://tranquockarafren.peliculasgratishd.net/g/getasite/
  • http://kum.angelpinkgirls.com/z/z2/
  • http://cinar.pussyteenx.com/z/z5/
  • http://kamki.insfollows.com/com.nguyenngocjumraze.suuu/4.png
  • http://phutanjocohare.mobilprn.net/g/getasite/, 
  • http://mebk.pantiescock.com/z/z2/, 
  • http://komidin.cumshotsex.net/com.komidin.cheatscrim/3.png
  • http://rafta.girlstoyporn.com/z/orap/
  • http://sulale.hitgit.com/z/z2/
  • http://kendo.teenpornxx.com/z/orap/
  • http://fet.asianpornxx.com/z/z5/
  • http://pupa.romantictube.net/g/getasite/ 
  • http://palasandoreki.filmsme.net/z/z2/
The attackers keep using the same Turkish name to register most domains. Code (inside and outside the app) keep on using some characteristics and formulas that are common enough to attribute the code to the same people.

Domain used in February (up) and domain used in July (down)

Some of the files a are still available in Google Play while writing this lines.

One of the clickers simulating Temple Run 3, still online: https://play.google.com/store/apps/details?id=com.amas.ra


These are some of the apps we have found during these last days so far (using Tacyt and a few clicks) that share the same characteristics. But, since February, they had to refuse to some "commodities" as for example, starting the app with the telephone, which limits the attack to the moment the app is opened... so that is why the attacker is trying to add some content to it lately.
  • Amasra 1;com.amas.ra;f617515837ebe345a68904417d7823974e382e59
  • Best : Dubsmash;com.kankalar.elma;99cc2f0ff000df5c2e856d40acac1b4dc72e9230
  • Dubs Mash 2;com.sulale.dubb;459dc9198de2875017885d89e1c04c81301213b3
  • Panita Kin;com.tranquockarafren.king;f320e227b9742527be37a1c03afe4f2689bb76f0
  • Cheats for Boom Beach;com.kum.sal;36c4d4c0ca7c2d9e948daa32c20556709984fdba
  • Cinarcik 1;com.cinar.cik;315c57bddee7a2ee5db54fb52215986bc23a9c93
  • belki yanbak;com.nguyenngocjumraze.suuu;9b0e6c03338db95a86217ea298ae9a50c85c8217
  • MayHada;com.phutanjocohare.may;9fe6f210fe5209c3d6d97800054e42d80d4e6966
  • MayHayda;com.phutanjocohare.jat;84af3da99603e9d5586a2278d180d485c74d4068
  • Cheats for Clash of Clans;com.kankalar.cheats;a0f000baa8246908bdce9feabc2f24530fd8afcb
  • Man Kaptasi;com.phutanjocohare.conc;ed7ed72b9cf1de2cd67ce74d252be5aa7a2c0d35
  • Cheats for Pou;com.mebk.adli;9d3e6747cf892a7bc7571b1b91da1d14061ad4bb
  • Cheats for Criminal Case;com.komidin.cheatscrim;df5be5567eb7dc2ef8d6f96909ff6dfc29b37d8d
  • Cheats for Hill Climb;com.rafta.chetashill;8d4a009bae65731f10adc0b7fbfb708918579e74
  • Cheats & Trucos: Gta 5;com.sulale.chetastga;1741e985d4d204da73ee9f2a35622331fe7824c0
  • Maps & Guide: GTA 5;com.sulale.cimmi;ed388d4dd304c695aba5794d089355febaeb80d8
  • Followers for Instagram;com.nguyenngocjumraze.takip;5638df53b960a0d2b16f708bba8e46d4dc996f6d
  • C l a s h o f C l a n s 2;com.kankalar.clash2;7552118b7e5f1ef3698579cc48121a6be37aa5f3
  • Komidin;com.kendo.yako;0695c87554db4a10a7b38df49ecf03f6e20eb4db
  • Fethiye;com.fet.hiye;49c37da0ca94536600cecd8290aba670164ba7a6
  • Koday;com.pupa.yelken;2e2598c930a448217b6070d934e98735e4c44732
  • Doganın Güzellikleri 2;com.palasandoreki.hsa2;961923bad0f1a986a142ef5916d57b053e6591ba
  • Doganin Guzellikleri;com.palasandoreki.hsa;193e986d65249a8a04d596b9c13ecfdf0e3dced9
  • Doganin güzellikleri 3;com.palasandoreki.hsa3;6dad78b0bae7210fcc9335ee671f4514becdb214

So, this is the fourth time the attackers modify the apps and get them in Google Play. But we have to consider that, once you are able to "fool the antivirus" just twisting code, this kind of badware is hard to detect, since the way the apps work is not that "suspicious" ("just visiting sites") and the behavior can be easily "hidden", for example, waiting for some events to start visiting porn sites.

Sergio de los Santos
ssantos@11paths.com
@ssantosv

Latch llega a México: protege tu cuenta Movistar con la app de Latch

jueves, 23 de julio de 2015

Si la puerta de tu casa sólo se abre cuando tu entras… ¿por qué tus puertas digitales están todo el día abiertas? La puerta de tu casa tienen una cerradura. Y como tu casa es importante, también tiene un pestillo para añadir una capa más de protección.

En tu vida digital también tienes muchas casas: redes sociales, banca, entretenimiento… y son igual de importantes. Todas esas puertas tienen una cerradura con una llave, pero no es suficiente, porque esas llaves pueden ser adivinadas, copiadas o capturadas. Por eso, te presentamos, Latch, tu pestillo de seguridad para tu vida digital.

Echa el pestillo a tu cuenta Movistar México
Latch es una app que mejora la seguridad de tu vida digital 100% gratuita. Si tienes una cuenta Movistar México, Latch es una app con la que podrás añadir un nivel extra de protección a tu cuenta fija y móvil:
  • Desactiva tu acceso a la Tienda cuando no la vayas a utilizar. ¡Nadie podrá acceder a ella!
  • Programa la desactivación de tu acceso por la noche o personaliza tus horarios de desconexión.
  • Recibe avisos de intentos de acceso no autorizados.

Ya sabes, ahora puedes añadir un nivel adicional de seguridad en tres simples pasos:
  • Paso 1: Crea tu cuenta Latch: Regístrate con tu email y confirma tu cuenta de usuario.
  • Paso 2: Descarga la app de Latch: Descarga Latch en tu móvil desde tu market store oficial. Latch está disponible para dispositivos Android, Blackberry, iPhone, Firefox OS y Windows Phone.


* Latch llega a Uruguay: protege tu cuenta Movistar con la app de Latch

Gestión de vulnerabilidades con pentesting persistente, una visión global (y II)

lunes, 20 de julio de 2015

Siguiendo el razonamiento de la entrada anterior, un punto a tener en cuenta en la gestión, es la priorización de los esfuerzos para la mitigación, puesto en algunos casos esta tarea puede ser compleja cuando se detectan un número muy elevado de vulnerabilidades, o dicho de otra forma, ¿por dónde debería comenzar a corregir?

Entre los factores para realizar esta priorización se encontrarían:
  • La severidad o gravedad de la vulnerabilidad detectada, junto a la facilidad de explotación de la vulnerabilidad (privilegios necesarios, existencia de exploit,...)
  • Activos afectados: no es lo mismo una vulnerabilidad muy grave en un activo de desarrollo que en un entorno de producción, o con un alto valor para el negocio.
La combinación de ambos factores nos proporciona un valor de criticidad y urgencia para la corrección de la misma expresado en términos de negocio ya que, aunque se detectara una vulnerabilidad muy severa, (por ejemplo SQL Injection), pero se tratase de un sistema de desarrollo aislado, la criticidad y la urgencia para la organización no sería la misma que si se detectara sobre un sistema de producción.

Por tanto para lograr el éxito de este proceso de gestión de vulnerabilidades, la organización debe aplicar una clasificación y categorización de los activos analizados tanto en términos de ubicación física/lógica (Producción, Preproducción, DMZ X, …), como en términos de negocio (Ventas, CRM, SAP, …, critico para el negocio, etc.). Generalmente casi todas las organizaciones cuentan con una CMDB donde se inventarían los activos con cierto grado de categorización de los mismos, sin embargo no suele disponer de un detalle concreto en cuanto a versiones de software instalado, servicios de red ofrecidos entre otros.

El Servicio de Gestión de Vulnerabilidades es capaz de combinar la información contenida en la CMDB de la organización junto a la recogida por las herramientas de análisis de seguridad, facilitando de este modo establecer una priorización de acuerdo a términos de negocio.

Para ello almacena en su BBDD información de los activos de la organización detectados por los escáneres de seguridad. Puede completar esta información junto a la de la CMDB de la organización permitiendo crear atributos de una manera personalizada y adaptable a la organización. Por ejemplo, se puede realizar una catalogación de activos en base a unidades de negocio o grupos de activos que permitirá un mayor control y gestión estratégica de los activos.

Personalización de campos en el servicio de gestión de vulnerabilidades
Gracias a estos campos se puede realizar una rápida identificación de los activos mediante filtros, su posterior edición de forma múltiple y la creación de informes personalizados, cuyo alcance sean unidades de negocio o grupos de activos definidos.

Campos de identificación de activos en una compañía

Generalmente, las organizaciones llevan a cabo de forma más o menos industrializada ciertos procesos de revisión de seguridad de sus activos, subscripciones de servicios de alertas, uso de escáneres de seguridad, pentesting realizados... y que le proporciona información de forma disgregada, lo que lleva a emplear mucho tiempo para realizar el seguimiento de todas las amenazas detectadas.

Por tanto, es importante disponer de un cuadro de mando que permita visualizar de forma unificada las amenazas detectadas en todos los análisis de seguridad realizados. En el servicio de Gestión de vulnerabilidades, la organización podrá visualizar en tiempo real los diferentes tipos de vulnerabilidades que afectan a sus sistemas, pudiendo comprobar el origen y determinar la causa en aras de relacionarlo con los controles más adecuados.

Ejemplo de visualización de panel de amenazas

En este cuadro de mando se observan las vulnerabilidades que pueden haber sido detectadas mediante proyectos de Pentesting Persistente, pruebas manuales, escáneres de seguridad o una suscripción de alerta de vulnerabilidades. El servicio empela una taxonomía propia basada en estándares como CVE y CWE para homogeneizar la descripción y tipología de los hallazgos y permitir de ese modo una presentación unificada.

A través de los diferentes filtros aplicados en el cuadro de mando, de la categorización de los activos, la organización accede de forma ágil al listado y detalle de las vulnerabilidades detectadas para la gestión del ciclo de vida de las vulnerabilidades:



Ejemplos de cómo se observan las evidencias
El proceso de gestión de vulnerabilidades debe ser continuo y por tanto el tratamiento de las amenazas detectadas deberá ser llevado a cabo en base a la información en tiempo real que se tiene sobre las vulnerabilidades detectadas, en lugar de analizar informes estáticos del resultado de un proyecto. Si este no fuera el caso, es posible que se estén empleando recursos para la mitigación de vulnerabilidades que pudieran haber desaparecido en detrimento de otras nuevas vulnerabilidades que pudieran tener una urgencia mayor para la organización.

Esto no quiere decir que el proceso de gestión de vulnerabilidades no deba contar con informes en el que se recojan los hallazgos, sino que estos informes deben ser generados bajo demanda por la organización con la información actualizada desde la BBDD.
Informes generados bajo demanda

Aparte de disponer de un único formato de informe detallado donde se muestra la información de un proyecto concreto (activos dentro del alcance, ventanas de tiempo, detalle de las pruebas realizadas y vulnerabilidades detectadas), es necesario proporcionar otros tipos de informes que visualicen la evolución del estado de las vulnerabilidades y las diferencias entre las distintas ejecuciones de las pruebas seleccionadas de un proyecto concreto, mostrando los cambios de estado de las vulnerabilidades, así como vulnerabilidades que han aparecido nuevas, nuevos activos y cualquier otro elemento diferente entres las ejecuciones comparadas.

Como indicábamos al principio de esta serie de artículos, este proceso de gestión de Vulnerabilidades no debe verse como un proceso aislado con los existentes en la organización y por tanto debe contar con un interfaz que permita la integración con otros sistemas ya que en las organizaciones generalmente para poder realizar una acción que mitiguen una vulnerabilidad suele ser necesario abrir una solicitud en el sistema de ticketing de la organización. La generación y gestión de estas solicitudes suele consumir mucho tiempo y al ser creadas en un sistema orientado a la gestión de actividades de TI, sin un foco en seguridad, es difícil para la organización conocer si las solicitudes gestionadas corresponden a aquellas que en términos de negocio son las que tienen una mayor urgencia.

Con una integración bidireccional con el sistema de ticketing, se logra aumentar la eficiencia puesto que se dispondría de un cuadro de mando especializado en seguridad que permitiría gestionar la mitigación de las vulnerabilidades y conocer en todo momento si estas han sido mitigadas.

El servicio de Gestión de Vulnerabilidades proporciona una API XML que permite este tipo de integraciones con sistemas externos permitiendo una industrialización de este proceso.

Gestión de vulnerabilidades con pentesting persistente, una visión global (I)

Victor Mundilla
victor.mundilla@11paths.com

XKEYSCORE, el ojo que todo lo ve

jueves, 16 de julio de 2015

Ya sabemos que incluir o no prestar atención a la información que publicamos o enviamos a través de distintos canales digitales podría ser interceptada. Pero una buena parte de los usuarios piensa que este problema es exclusivo de las grandes empresas, tecnológicas o propio de entornos gubernamentales que manejan información sensible. ¿Quién se va a interesar por lo banal de la información que manejan un simple usuarios? Un ciudadano de a pie no va a formar parte de ningún guion de una película de James Bond, nuestra información no es atractiva... o puede que, en conjunto, sí.

Aunque se conoce el programa desde 2013 a través de "The Guardian", a principios de julio de 2015 se ha publicado una interesante serie en "The Intercept" a partir de la información obtenida por Edward Snowden donde se revela más información sobre el uso y ámbito de operación de las herramientas utilizadas por la NSA y donde se vuelve a hablar del todopoderoso XKEYSCORE y su alcance.

El programa XKEYSCORE barre diariamente los correos electrónicos, subidas de imágenes, comentarios a las redes sociales, conversaciones, datos y metadatos, con fines espionaje y vigilancia. Para que nos hagamos una idea, según un documento del año 2009, la recopilación de información de la época podía superar los 20 terabytes de datos diarios y se repartían por más de las 100 ubicaciones de servidores XKEYSCORE repartidos por el mundo. El acceso privilegiado a la fibra que componen la espina dorsal de internet, lo permiten.


Esquema de funcionamiento de XKEYSCORE


El gobierno norteamericano puso límites a este tipo de espionaje y fueron varios los mensajes anunciando el fin de estos procedimientos pero los escándalos continúan, como confirman diferentes gobiernos europeos que han detectado estar siendo espiados lo cual hace pensar que XKEYSCORE y otros similares a él siguen extrayendo información.

¿Cómo interpretar y atribuir toda la información obtenida y darle un sentido útil en un tiempo razonable? Esta es una labor con la que no solo la NSA ha de enfrentarse, sino que otras muchas empresas y servicios de inteligencia se encuentran con el mismo problema de agilizar la clasificación de esta información. Para conectar el tráfico a un usuario, entre las soluciones más populares se encuentran el uso de las cookies. Son pequeños archivos que almacenan los navegadores con información de los sitios web visitados y que acompañaran al usuario mientras use ese navegador. Con ellas se pueden obtener patrones de comportamiento, frecuencia, seguimiento, preferencias, autenticación etc... pero esto no es suficiente.

XKEYSCORE es capaz de extraer y etiquetar metadatos y contenido a partir de los datos en bruto con un efectivo y amplio catálogo de reglas appID, firgerprints y microplugins escritas en GENESIS (un lenguaje propio) y C++ para que posteriormente su equipo de analistas pueda procesar toda la información. Esto permite encontrar fácilmente contraseñas, usuarios y datos de cualquier tipo con solo algunas búsquedas en el sistema XKEYSCORE.

Ejemplo de AppIDS y Fingerprints para poder buscar fácilmente en la base de datos sobre Facebook

Jonathan Brossard, investigador de seguridad y CEO of Toucan Systems, dijo a The Intercept: "El trabajo que un analista debe realizar para entrar en sistemas ajenos a través de internet se ve reducido a lo ridículo. Hablamos de minutos o segundos. Tan simple como teclear palabras en Google.

Una colosal biblioteca privada con información dinámica de nuestras vidas. Ya no es necesario poner cámaras en todas las esquinas para vigilarnos, porque ya proporcionamos nosotros toda la información a través de los canales de comunicación digitales de lo que hacemos. Afortunadamente existen herramientas que ayudan a prevenir al menos la fuga de metadatos y permiten poner algo de freno a  esta voraz vulneración de la privacidad.

Antonio Bordón
antonio.bordón@11paths.com

Latch llega a Uruguay: protege tu cuenta Movistar con la app de Latch

miércoles, 15 de julio de 2015

¿Estás seguro de que estás seguro?
Celebgate, espionaje a través de webcams de portátiles, filtraciones de conversaciones personales desde el correo electrónico o WhatsApp, son sólo algunos de los casos que últimamente hemos visto en los medios de comunicación relacionados con el robo de identidad. ¿Quién nos asegura que todas las identidades digitales que tenemos estén protegidas? ¿pueden suplantar nuestra identidad y acceder a nuestra banca electrónica, redes sociales, email? Con Latch, puedes evitarlo. De la misma manera que proteges tu vida analógica y pones cerrojos a las puertas físicas en las que no quieres que nadie entre, con la app de Latch puedes hacerlo en tu vida digital, protegiendo cualquier servicio o cuenta online que tengas en la red.

¿Todavía no sabes latchear?
Mejorar la seguridad de tu vida digital es muy fácil con la app de Latch, ya que te permite añadir un nivel extra de seguridad a tus cuentas y servicios online cuando no los estés utilizando. Con un simple toque, te da el control para “apagar” todos los servicios que tengas integrados cuando no los estés utilizando. Sólo tienes que seguir estos tres sencillos pasos, así de fácil:

  • Paso 1: Crea tu cuenta Latch: Regístrate con tu email y confirma tu cuenta de usuario.
  • Paso 2: Descarga la app de Latch: Descarga Latch en tu móvil desde tu market store oficial. Latch está disponible para dispositivos Android, Blackberry, iPhone, Firefox OS y Windows Phone.

Latchea tu cuenta Movistar Uruguay
Si eres cliente de Movistar Uruguay, echa el pestillo y:
  • Desactiva tu acceso a la Tienda cuando no la vayas a utilizar. ¡Nadie podrá acceder a ella!
  • Programa la desactivación de tu acceso por la noche o personaliza tus horarios de desconexión.
  • Recibe avisos de intentos de acceso no autorizados.

Ya sabes, si tienes una cuenta Movistar Uruguay, en el siguiente vídeo puedes ver cómo integrar y usar Latch con la tienda online de Movistar Uruguay:


Gestión de vulnerabilidades con pentesting persistente, una visión global (I)

martes, 14 de julio de 2015

Las organizaciones se encuentran expuestas a una gran variedad de ataques (cada vez más sofisticados) mientras que la complejidad en sus infraestructuras y sistemas aumenta. Es crítico para la organización identificar estas amenazas y adoptar contramedidas que permitan su prevención y detección oportuna, además de la gestión adecuada de las vulnerabilidades a las que se encuentra expuesto.

No sólo se trata de una ejecución aislada en la detección de vulnerabilidades. Se busca una continuidad en el tiempo. Para ello hay que instaurar un proceso integrado con el resto, de forma que la organización sea capaz de mantener el nivel adecuado de seguridad en sus sistemas y servicios exigido por el entorno en el que se desenvuelve.

Muchas organizaciones realizan revisiones puntuales de seguridad y obtienen como resultado más probable un informe con evidencias que demuestren que ha sido posible acceder a los sistemas de información y se aporte unas recomendaciones sobre cómo mitigar las vulnerabilidades detectadas. Además, casi siempre aparecen vulnerabilidades menores que ayudan a preparar ataques más importantes o fallos de configuración en el entorno que permiten finalmente acceder al sistema.

Estas revisiones puntuales van a seguir encontrando vulnerabilidades debido a que: el tiempo que pasa entre un proceso de pentesting y otro, un sistema informático sufrirá cientos de cambios provocados por actualizaciones del software de los servidores, el software de los clientes, toda la electrónica de red, etc. También habrá actualizaciones y cambios en el código de los sitios web realizadas por los desarrolladores. Además, el sistema informático habrá crecido en tamaño con la de adición de nuevos dispositivos, y se habrá modificado por el reemplazo de otros. ¿Cuál es la mejor forma de controlar la seguridad de un sistema teniendo en cuenta el entorno actual tan cambiante?

Unido a esto, hay que considerar que una empresa debe hacer frente a ataques maliciosos de individuos que intentan encontrar debilidades para ganar acceso a los sistemas de información. Estos ataques pueden ser llevados a cabo en cualquier momento y los atacantes se ven beneficiados por ese entorno cambiante y auditado "puntualmente". ¿Cómo se pueden preparar los sistemas para hacer frente a estos ataques?

La respuesta a estas dos preguntas es a través de la industrialización de estas revisiones hacia un proceso de detección continuo, asociado a unas herramientas que permitan de forma ágil la gestión de las vulnerabilidades detectadas.

En este proceso industrializado, detectar las amenazas da paso a que esta misión sea realizada por agentes especializados. Así la organización puede centrarse en el proceso de corrección de la vulnerabilidades y gestión del ciclo de vida de las vulnerabilidades: Desde que se detectan hasta que se valida que estas no son explotables. En este sentido, este proceso puede entenderse como dos bloques claramente diferenciados.

Detección de vulnerabilidades

Si analizamos cómo actuaría un atacante externo, este no parte de un número concreto de direcciones IP o nombres de servidores (FQDN), sino que generalmente lo único con lo que cuenta es el nombre de la empresa o dominios asociados, por lo que en primer lugar se lleva a cabo una fase inicial de "Descubrimiento" orientada a obtener la visibilidad sobre todos los activos digitales del objetivo.

Una vez determinado los activos del objetivo, entra en la "Fase de Análisis" en la que trata de determinar las rutas que puede seguir para acceder a los activos, así como las técnicas usadas para poder lograr usar fallos, vulnerabilidades, malas configuraciones, recabar información sobre los objetivos, etc. Por último, se pasa a la "Fase de Explotación" en la que emplea la información de contexto de las fases anteriores para tratar de explotar vulnerabilidades sobre los activos y configuraciones detectadas, incluso combinando varias vulnerabilidades de severidad menor en aras de obtener una vulnerabilidad de mayor severidad.

Para lograr la máxima similitud entre las pruebas de detección y los ataques a los que se verán expuestos los activos de la organización, todas estas fases se han implementado en el Servicio de Pentesting Persistente, empleando para ello la tecnología Faast.

Fase de descubrimiento

Para lograr tal objetivo, en esta fase Faast lleva a cabo un descubrimiento, que partiendo de un nombre de dominio y empleando fuentes OSINT usadas habitualmente por pentesters y atacantes (buscadores, metadatos, consultas a DNS, servicios como Shodan, Robtext o Archive.org entre otros) de forma continua determina el conjunto de activos de una empresa accesibles desde Internet.

Cabe destacar la capacidad de esta fase inicial de descubrimiento, Faast emplea técnicas para determinar los diferentes Virtual Hosts configurados en una dirección IP, de modo que revisaría todas las aplicaciones accesibles desde Internet, algo que en ocasiones se pasa por alto cuando se realiza un análisis basado en direcciones IP o en FQDN. Un atacante va a implementar estas mismas técnicas para buscar puntos de entrada para detectar aplicaciones obsoletas o que escapan al control de la organización. Estas aplicaciones suelen tener un nivel de seguridad menor que el resto de los activos, ya que no se tiene consciencia de su existencia, y por ende tampoco entran dentro de actualizaciones o procedimiento de parcheado.

Fase de Análisis

En la fase de análisis se trata de determinar las rutas que puede seguir para en la siguiente fase atacar a los objetivos. Estas rutas son los servicios generalmente expuestos en Internet. Suelen evaluar SSH, Mysql, certificados SSL, análisis de cabeceras HTTP, análisis de versiones obsoletas de la infraestructura, evaluación de CMSs (Wordpress, Joomla, Drupal), metadatos, configuraciones inseguras, etc.

Cabe destacar la capacidad de Faast de combinar distintas técnicas propias de una atacante simulando de forma real su comportamiento. Ejemplo de esto sería la descargar de los distintos tipos de ficheros jugosos ("juicy files") que previamente han sido detectados en la fase de "Descubrimiento" con el enfoque recursivo. A diferencia de una herramienta de "Análisis de vulnerabilidades" que sólo indicaría la existencia de estos archivos, Faast los descarga para posteriormente analizar el contenido de estos ficheros en busca de información relevante en un proceso de pentesting: rutas a ficheros locales, rutas no indexadas en buscadores, metadatos, información generada por desarrolladores, usuarios, contraseña, ficheros ocultos o perdidos, fugas de datos y de código, etc. En definitiva, Faast realiza un estudio del contenido de los ficheros en busca de información sensible de la empresa.

Durante la ejecución de esta fase si se descubren nuevos activos, reinicia el sistema y las mismas fases se ejecutan de forma recursiva, pero esta vez con pruebas adaptadas a la nueva información obtenida.

Fase de Explotación

La última fase consiste en realizar las pruebas pertinentes de explotación, en base a la información obtenida en la fase de análisis. En esta fase se realiza una explotación controlada de las vulnerabilidades conocidas de los activos y elementos pertenecientes al dominio auditado. Básicamente se pretende simular la acción de un intruso sobre un activo al que se le ha detectado una vulnerabilidad.

Continuidad en el tiempo

Al concluir el escaneo, el sistema pasa nuevamente a la fase de descubrimiento iniciando un nuevo análisis con el objetivo de detectar otras vulnerabilidades y/o fallos de configuración provocados por actualizaciones del software de los servidores, actualizaciones y cambios en el código de las aplicaciones realizadas por los desarrolladores,...

Esquema de análisis con continuidad en el tiempo

Gestión de Vulnerabilidades

Como ya vimos, en la industrialización del proceso no acaba con la detección de los problemas, sino que continúa con la gestión del ciclo de vida de las vulnerabilidades detectadas. Esta gestión debe comenzar tan pronto son detectadas, huyendo del enfoque tradicional basado en la generación de un informe estático a la finalización de las pruebas de seguridad y finaliza cuando una vulnerabilidad se valida que ya no es explotable.

Este seguimiento de estados puede modelarse atendiendo al siguiente flujo de estados, que garantiza la trazabilidad de las acciones realizadas para determinar si una vulnerabilidad se encuentra mitigada.

"Workflow" que garantiza la trazabilidad de la gestión de vulnerabilidades

Dado que el proceso es continuado en el tiempo (en el que se lanzan varios escaneos) se debe analizar las diferencias entre las distintas ejecuciones de los tests. En este diferencial, existirán nuevas vulnerabilidades y otras que han cambiado el de estado de las mismas, de modo que si una vulnerabilidad no ha vuelto a ser detectada podría identificarse como corregida. Por el contrario, vulnerabilidades que se pensaban mitigadas, ante una nueva detección se consideraría que en realidad no está corregida.

Un punto a tener en cuenta en la gestión, es la priorización de los esfuerzos para la mitigación puesto en algunos casos esta tarea puede ser compleja cuando se detectan un número muy elevado de vulnerabilidades, o dicho de otra forma, ¿por dónde debería comenzar a corregir?

* Gestión de vulnerabilidades con pentesting persistente, una visión global (I)


Victor Mundilla
victor.mundilla@11paths.com

Studying the trojan apps for Android used in Hacking Team leak

jueves, 9 de julio de 2015

Between the information leaked these days about #HackingTeam, several trojan Android APK files have been found. A first approach with Tacyt shows interesting relations with legitimate apps, the ones leaked a few days ago, some leaked last year... and some other notable stuff.

We have studied some details of the leaked APKs. They were not public until this recent attack, and they were not detected by many antivirus engines until the leak. It is not the first time that we know about this company's APKs. During 2014 summer, some remote control Android apps were known to belong to this HackingTeam, and they were used to spy mobile devices.

A certificate for binaries in an APK. waste and a mistake

To digitally sign an executable file in Windows, an Authenticode certificate is necessary. It may be expensive, between 200 and 500 euros a year, depending on the CA that issues them. To sign an APK, Android doesn't require anything. It may be "self signed" and, therefore, free. And that is the way most of developers work. In fact, from our database, less than 100 APKs (0,002% approximately) use certificates signed by a CA.

The APKs from HackingTeam were signed by this certificate that allows signing executable files as well.

The three views of the Authenticode certificate used to sign the APKs

And the problem is not only the waste, but the exposition. These certificates were already known since early 2013, when the tools used by HackingTeam to spy remotely were discovered. So, these APKs have been signed after that, in March. We already knew, by then, that they have been used to sign malicious code (at least, since February 2013, as this link states). An unnecessary mistake from HackingTeam.

The certificate expires in November 2015. As a side note, in the executable files (in the APK, it does not make any sense) it's revoked and is not countersigned. That means that, even if it wasn't revoked, it would stop working in November 2015.

Binary file signed with the same certificate

What apps they were pretending to be

A quick search by the packageName allows us to know what apps were trying to be simulated and contained the trojan. These are some of them that we found.


Some examples of legitimate apps used as a decoy for the trojans

All of them may be downloaded right now from aptoide or Google Play (although in the latest you may find the earliest versions). The topics are different. From the Quran to spy cameras.

Legitimate apps used to create the malware

Obviously they differ from the good ones in several aspects.

Comparing the legitimate and the trojanized app

Much more permissions are needed and a Google Map link is always in the code. We guess they locate victims this way.

All the HackingTeam apps keep a Google Maps link in them


We insist: these apps shown in their markets are innocuous, it's just that HackingTeam uses them as trojans (in the more classic meaning of the word) to encourage or disguise the malware installation.

More notable facts

Both in this leak and previous analyses made to HackingTeam programs (like the one on 2014 summer, where some trojanized APKs were discovered as well), we can see some that could have allowed the early detection of these trojans (aside from using the same certificate). For example, all the APKs share a singularity: between their /assets/, they keep binary files named with a single letter.

HackingTeam Android malware contains this kind of files, with these singular names 

Searching by this kind of file or some of these hashes, we found no other sample containing them in our databases.

Some of the files shared by HackingTeam samples are a singularity for them

Finally, all the APKs in this leak (except one) were created "2013-04-09" roughly at 11:40, local timezone from the computer they were compiled in.

6 apps were created March, 9th, except one



Sergio de los Santos
ssantos@11paths.com

Adolfo Hernández
adolfo.hernandez@11paths.com