Nuevas Funcionalidades del Servicio Latch

viernes, 29 de julio de 2016

Hace unos días incluimos nuevas funcionalidades y características en el servicio Latch que hoy os presentamos.

Exportar lista de Account IDs desde LST

Muchos de nuestros developers nos habían pedido poder obtener una lista de los account IDs de sus aplicaciones de una forma cómoda y sencilla.

Por ello, ahora es posible desde la herramienta de soporte LST (disponible para clientes Silver, Gold y Platinum) descargar este listado en formato CSV.

Se puede acceder a la herramienta LST para una aplicación desde el área de desarrolladores de Latch en el panel de gestión de aplicaciones, pinchando en el botón ‘LST’:








Una vez en LST, basta con ir a la pantalla principal de la herramienta y pulsar en el botón correspondiente “Exportar CSV”:












De esta forma se puede saber en todo momento que usuarios (accountIDs) está pareados con el servicio por si en algún momento se ha perdido alguno o se tiene algún accountID que ya no es válido.

Funcionalidad ‘Changelog’

Hemos incorporado esta funcionalidad para que nuestros desarrolladores puedan estar al día de las novedades y funcionalidades que incluimos en el servicio de una forma cómoda y sencilla.

Cada vez que incluyamos alguna nueva funcionalidad en la web, la API o el servicio de Latch en general, al entrar en el panel de desarrolladores nos saldrá un aviso para estar al tanto de estas novedades.























Desde este aviso se puede visitar una página con más información de estas funcionalidades.

Por supuesto, el usuario puede en todo momento configurar estas notificaciones para que no vuelvan a mostrarse o activarlas en caso de haberlas desactivado. Para ello basta con acudir a la sección ‘Changelog’ de nuestro menú de usuario en la parte superior de la web.

Soporte para instancias

Esta es sin duda una de las grandes novedades del servicio en los últimos meses. Desde hace algún tiempo nuestros clientes ‘Platinum’ han podido disfrutar de esta funcionalidad como parte de un programa beta que ahora ha visto la luz.

Todos nuestros usuarios ya sean community, silver, gold o platinum van a poder disfrutar de las instancias. Pero, ¿qué son las instancias?

Las instancias permiten a los desarrolladores crear operaciones personalizadas para cada usuario concreto en sus aplicaciones u operaciones de forma que cada usuario pueda tener unas operaciones distintas en las operaciones de una aplicación.

En los próximos días publicaremos una entrada más detallada sobre las instancias, como operar con ellas con algún caso de uso de ejemplo.  

Más información:
https://latch.elevenpaths.com/

Cybersecurity Shot_Fuga de Información de R2Games

jueves, 28 de julio de 2016





Cybersecurity Shot es un tipo de informe de investigación sobre casos de actualidad relacionados con bases de datos filtradas en la red así con algunas recomendaciones que podrían haberlo evitado.

Cada entrega trae un caso real. Te ponemos al día de lo último en Ciberseguridad. ¡Echa un vistazo!

A continuación puedes leer un breve resumen de la última investigación:

Caso R2Games

Investigación "Fuga de información de R2Games"

El 11 de julio de 2016 se filtraba una base de datos de la plataforma Reality Squared Games de más 22 millones de usuarios. Esta compañía, que ya sufrió un incidente a finales de 2015 cuando se vieron expuestas las credenciales de más de dos millones de usuarios, se ha visto nuevamente afectada al hacerse pública la totalidad de las cuentas. La divulgación de la información fue realizada a través de la plataforma de intercambio de ficheros MEGA siendo usada la red social de Twitter para garantizar una mayor repercusión mediática.

¿Quieres conocer más datos? Descubre con nuestros analistas de inteligencia la naturaleza de la información filtrada y las recomendaciones para evitar ese tipo de ciberataques.

» Descárgate el caso “Fuga de información de R2Games

No te puedes perder el próximo:
» Caso Amazon

Más información en
Elevenpaths.com

Eleven Paths Talks: Generación de políticas nacionales de Ciberseguridad y Ciberdefensa

miércoles, 27 de julio de 2016





El próximo Jueves 28 de julio nuestro compañero Leonardo Huertas impartirá una charla en la que te describirá el concepto de Ciberdefensa, los aspectos y conceptos involucrados en esta temática, además, se dará a conocer la necesidad de implementar políticas de seguridad nacionales en los diferentes países, los roles que cumplen en ellas tanto los actores privados como públicos, la interacción qué debe existir entre los gobiernos, la ciudadanía y las fuerzas de seguridad.

La duración de la charla de Leonardo será de unos 30 minutos, divididos entre 20 y 25 minutos de exposición y de 5 a 10 minutos de preguntas y respuestas. El horario de la charla será a las 15.30h (Madrid) y estará disponible al termina ésta en nuestro canal de YouTube. La ponencia se llevará a cabo por Hangouts y se impartirá en castellano.

Si quieres saber más acerca del tema, no dudes en pasarte por nuestra Community, dónde nuestros compañeros hablan sobre éste y otros temas de interés en el mundo de la Seguridad. Puedes consultar el calendario de talks para ver los webcasts que aún quedan por celebrarse. Recuerda, tienes una cita el próximo 28 de julio a las 15.30h (Madrid). Para registrarte debes usar el siguiente formulario de ElevenPaths Talks.

Más información en:
talks.elevenpaths.com

¿Quieres profundizar sobre el tema? Aquí te dejamos algunos enlaces con contenido relacionado:

Ciberseguridad yciberdefensa: dostendencias emergentesen un contexto global
Identificación de las posibles accionesregulatorias a implementar enmateria de Ciberseguridad
Ciberseguridad y Ciberdefensa:Una primera aproximación


Comienza la Segunda Temporada de Eleven Paths Talks: ¡No dejes que te lo cuenten!

martes, 26 de julio de 2016




A partir del próximo 28 de Julio ElevenPaths vuelve con la segunda temporada de ElevenPaths Talks. Tras el éxito cosechado en la primera temporada volvemos con nuevas temáticas en el ámbito de la seguridad de la información. Las sesiones serán semanales y con una duración de unos 30 minutos, divididos entre 20 y 25 minutos de exposición por parte del ponente y de 5 a 10 minutos de preguntas y respuestas. El horario escogido será a las 15.30 (hora Madrid). La mayoría de sesiones serán en español, aunque algunas se celebrarán en inglés y portugués. Las sesiones serán grabadas y se publicarán en nuestro canal de Youtube. La plataforma sobre la que se realizarán los Webcasts es Hangouts.

No pierdas la ocasión de saber todo sobre el mundo de la seguridad informática y de lo que está por venir de la mano de nuestros CSAs. A continuación, te dejamos el listado por fechas de los Webcasts y el tema que será expuesto:
  • 28 de julio de 2016. Generación de políticas nacionales de Ciberseguridad y Ciberdefensa por Leonardo Huertas.
  • 4 de agosto de 2016. Diferencias entre análisis de Infraestructura, análisis Web y Code Review por Diego Espitia.
  • 11 de agosto de 2016. Fraude en POS (Punto de venta) por Gabriel Bergel.
  • 18 de agosto de 2016. Los 10 principales controles de Seguridad que no pueden faltar en la empresa por Leandro Bennaton.
  • 25 de agosto de 2016. Metodologías de desarrollo seguro (Secure SDLC) por Diego Espítia y un invitado especial.
  • 1 de septiembre de 2016. ¿Hacia dónde evolucionan los APT? por un invitado especial.
  • 8 de septiembre de 2016. Los SIEM y la Correlación de Eventos Avanzada por Claudio Caracciolo y un invitado especial.
  • 15 de septiembre de 2016. Inseguridad en dispositivos móviles Android por Gabriel Bergel y un invitado especial.
  • 22 de septiembre de 2016. Estructura interna de un CSIRT (Parte 2) por Leonardo Huertas.
  • 29 de septiembre de 2016. BIO Hacking por Gabriel Bergel.
  • 6 de octubre de 2016. Malware en medios de pago no tradicionales por Leandro Bennaton.
  • 13 de octubre de 2016. Analizando un protocolo Industrial por Claudio Caracciolo.
  • 20 de octubre de 2016. ¿Qué es Blockchain y por qué puede cambiar el mundo? por Rames Sarwat y un invitado especial.
  • 27 de octubre de 2016. Cifrado asimétrico en IoT por Jorge Rivera.
  • 3 de noviembre de 2016. CiberInteligencia sobre IPv6 por Leandro Bennaton y un invitado especial.
  • 10 de noviembre de 2016. El protocolo de cifrado HSTS para la web por Diego Espítia.
  • 17 de noviembre de 2016. Software Defined Radio (SDR) por Claudio Caracciolo y Jorge Rivera.
  • 24 de noviembre de 2016. Inseguridad en dispositivos móviles iOS por un invitado especial.
  • 1 de diciembre de 2016. Ventajas y desventajas de los sistemas de 2FA por Claudio Caracciolo.
  • 8 de diciembre de 2016. La gestión de los certificados digitales en la empresa por Rames Sarwat.
  • 15 de diciembre de 2016. Network Packet Manipulation por Leonardo Huertas y un invitado especial.
Te esperamos para que nuestros CSAs te enseñen lo más novedoso en el mundo de la seguridad. Recuerda que tienes una cita el próximo 28 de Julio en horario de 15.30 (hora Madrid). Para registrarte debes usar el siguiente formulario de registro de Eleven Paths Talks. Si quieres pasarte por nuestra comunidad y compartir opiniones con nuestros expertos, te esperamos.

Nueva herramienta: PinPatrol, un add-on para Firefox

lunes, 25 de julio de 2016

Hemos creado una nueva herramienta para mejorar la experiencia de uso con HSTS y HPKP en Firefox. Es un add-on de Firefox que muestra esta información en formato "legible" por un humano. Es sencillo de usar y proporciona información útil sobre los datos relativos a HSTS y HPKP que almacena el navegador.


HSTS y HPKP

HTTP Strict Transport Security protocol (HSTS) puede convertir las peticiones HTTP en HTTPS desde el propio servidor. Si un servidor decide enviar una cabecera HSTS al navegador, cada visita posterior a ese domino idesde el navegador será automáticamente y de forma transparente, convertida a HTTPS desde el navegador, evitando peticiones no seguras desde el mismo comienzo de la conexión. La aplicación de HSTS es transparente el usuario, es el navegador el responsable de redirigir y recordar por cuánto tiempo los dominios deben ser visitados por HTTPS. El dominio transfiere la información HSTS a través de la cabecera "Strict-Transport-Security header".

La idea detrás del "certificate pinning" es ser capaz de detectar cuándo se ha modificado una cadena de confianza. Para conseguirlo, un certificado presente en una cadena de certificación necesita ser asociado (normalmente en el navegador) inequívocamente a un dominio específico. Por tanto un dominio A, www.elevenpaths.com, estará enlazado a un certificado o autoridad de certificación B. Si por cualquier razón una CA B’ diferente (que depende a su vez de una autoridad de certificación) intenta emitir un certificado asociado con el dominio A, se lanza una alarma. En general, cualquier modificación de la cadena de certificación es susceptible de tratarse de una alteración. Para eso sirve el HPKP (HTTP Public Key Pins).

La herramienta

Firefox soporta HSTS desde la version 4, y HPKP desde la 32. Presentamos una extensión de Firefox que muestra en formato legible el estado de HSTS (HTTP Strict Transport Security) y HPKP (HTTP Public Key Pins) de los dominios almacenados por el navegador. Firefox no dispone de una forma de verlo de forma nativa y tampoco documenta en exceso esta información.

Un ejemplo de lo que puede mostrar el complemento

Funcionalidad

La información proporcionada en la tabla es la almacenada por el navegador y “traducida” a un formato más legible por un humano.

  • Domain: Dominio protegido bajo HSTS o HPKP.
  • Score: Se trata de un valor interno de Firefox. Incrementa en uno cada día diferente (siempre que hayan pasado 24 horas) que se visita un dominio.
  • Date: El ultimo día que fue visitado un dominio. Se calcula por Firefox utilizando el número de días que han pasado desde el 01/01/70.
  • Expiration Date: Se trata del max-age de HSTS o HPKP, en otras palabras, cuándo caducará la entrada.
  • SecurityPrpierty: Es un valor interno de Firefox. SecurityPropertyUnset si 0, SecurityPropertySet si 1 o SecurityPropertyKnockout si vale 2.
  • IncludeSubdomains: Indica si HSTS o HPKP incluye la directiva de subdominios y todos quedan protegidos.
  • HPKP Pins: Lista de pines en la cabecera HPKP.

PinPatrol está disponible desde la página oficial de Mozilla. Esperamos que os sea de utilidad.

New Tool: PinPatrol add-on for Firefox

We have created a new tool for improving the experience using HSTS and HPKP in Firefox. This tool is a Firefox add-on that shows this information in a human readable way. It is very easy to use and it can provide useful information about the HSTS and HPKP data stored by your browser.

HSTS and HPKP

The HTTP Strict Transport Security protocol (HSTS) can turn HTTP requests into HTTPS from the browser itself. If a server decides to send HSTS headers to a browser, any subsequent visit to the domain from that browser is automatically and transparently converted to HTTPS from the browser, avoiding unsafe requests from the starting point of the connection itself. The application of the HSTS protocol is transparent to the user, i.e., browsers. themselves are responsible for redirecting and remembering for how long domains should be visited via HTTPS if they have notified via HSTS. The domain transmits HSTS information to the browser with the Strict-Transport-Security header.

The idea behind the certificate pinning is to be able to detect when a chain of trust has been modified. In order to do so, a digital certificate present in a certificate chain needs to be unequivocally associated, usually in the browser, with a specific domain. Thus, a domain A, e.g. www.elevenpaths.com, will be linked to a specific certificate/certification authority B. If for any reason a different certification authority B’ (which depends on a trusted root certification authority) tries to issue a certificate associated with domain A, an alarm is launched. In general, any modification of the certification chain is suspected of a possible alteration. That is what HPKP (HTTP Public Key Pins) is for.

Description

Firefox supports HSTS from version 4 and HPKP from version 32. This is a Firefox extension that shows in a readable format, the state of HSTS and HPKP domains stored by the browser. Firefox does not have a native way to show these domains or this functionality properly documented.

An example of what the add-on shows


Functionality

The information provided by the table is the one stored by the browser, "translated" into a more human readable way.

  • Domain: Domain protected under HSTS or HPKP.
  • Score: This score is a Firefox value. It increases by one every different day (24 hours at least) the domain is visited.
  • Date: Last day the domain was visited. It is calculated by Firefox using the number of days since 01/01/70.
  • Expiration Date: Max-age of HSTS or HPKP, in other words, when the entry will expire.
  • SecurityPropierty: This is a Firefox value. SecurityPropertyUnset if 0, SecurityPropertySet if 1 or SecurityPropertyKnockout if 2.
  • IncludeSubdomains: Whether the HSTS or HPKP directive includes subdomains.
  • HPKP Pins: List of pins in the HPKP header.
PinPatrol is available from Mozilla official repository. Hope you find it useful.

Internalia Group elige nuestra app Latch para proteger su app estrella y a sus usuarios

viernes, 22 de julio de 2016

Con el objetivo de añadir una capa extra de seguridad

INTERNALIA GROUP REFUERZA CON LATCH LA SEGURIDAD DE LOS USUARIOS  DE SU APP ESTRELLA: WORKING DAY SUITE








  • Más de 30.000 usuarios de la plataforma Working Day Suite podrán proteger el acceso a la plataforma con Latch, nuestro pestillo digital que protege servicios y cuentas online.

  • La app Working Day Suite ahora tiene una capa extra de seguridad con Latch, de tal manera que un usuario puede bloquear su acceso cuando no esté realizando ningún uso de la aplicación.

    Internalia Group, la compañía líder en el desarrollo de aplicaciones móviles para empresas, acaba de incorporar en su aplicación “estrella”: Working Day Suite la herramienta de seguridad Latch, de ElevenPaths para  ofrecer una protección adicional que permite bloquear, de una manera fácil e intuitiva, el acceso al Panel de Working Day Suite, cuando no se esté utilizando.

    Esta aplicación móvil, que ayuda a empresas a optimizar el rendimiento del personal que trabaja fuera de la oficina, con seguimiento gps, envío de datos en movilidad, planificación de tareas y gestión de pedidos en tiempo real, ofrece, a partir de hoy, la posibilidad a sus usuarios de Latinoamérica, África, Dubai, Irlanda,  Francia y España “echar el pestillo” a sus cuentas online con el objetivo de reducir los riesgos de ataques dirigidos.

    Según Francisco Orellana, CEO de la compañía Internalia Group, “Entendemos que en la colaboración entre empresas, está la clave del crecimiento, por este motivo, hemos añadido una solución ya desarrollada y probada en todo el mundo, para incorporarla como un extra a nuestras Apps, y así ofrecer un valor añadido de seguridad con la garantía del grupo Telefónica”.

    ¿Cómo funciona Latch en Working Day Suite?
    Latch es nuestro servicio móvil que permite agregar un nivel extra de seguridad a tus cuentas digitales, apps y servicios online. Para estar protegido frente a posibles amenazas de suplantación de identidad,  el usuario únicamente tiene que parear su cuenta desde la pestaña Latch Protected insertando el código generado desde la aplicación Latch en el dispositivo móvil.

    Si eres usuario de Working Day Suite y quieres saber cómo conseguir el pareado con Latch y obtener así un segundo factor de autenticación aquí puedes descargarte el manual de usuario.

    *También te puede interesar:


    Más información en:

    Estrategia de Ciberseguridad Europea: Asistencia de Telefónica

    jueves, 21 de julio de 2016

    Telefónica ha acogido dos acontecimientos de gran importancia que han tenido lugar en Bruselas durante los últimos días, cuyo fin era fomentar la estrategia de seguridad cibernética europea para evitar incidentes que puedan debilitar la confianza del consumidor y causar grandes pérdidas económicas al sector empresarial europeo y a la economía en general. La ciberseguridad y la lucha contra el cibercrimen se han convertido en una de las prioridades políticas para el sector de las TIC en la UE, y Telefónica está preparada para desempeñar su papel.

    El 6 de julio, la Directiva sobre seguridad de las redes y la información se sometió a voto en el Pleno del Parlamento Europeo, tras la adopción de la misma por parte del Consejo en el pasado mes de mayo.

    La Directiva SRI es la primera legislación en toda la UE en materia de ciberseguridad, y culmina un largo proceso de negociaciones entre el Parlamento, el Consejo y la Comisión Europea.

    Una vez que la Directiva entre en vigor (veinte días después de que se haya publicado en el Diario Oficial de la UE de agosto), los Estados miembros tendrán 21 meses para incorporarla a sus legislaciones nacionales.

    Por primera vez, la Directiva SRI crea un marco legislativo que también será de aplicación en ciertos servicios digitales, creando así una igualdad de condiciones y estableciendo una armonización de requisitos, con independencia de si los proveedores de estos servicios se encuentran o no en la UE.

    Los tres pilares de la Directiva tienen como objetivo:
    • el desarrollo de las capacidades nacionales
    • la cooperación entre autoridades nacionales
    • el establecimiento de obligaciones de seguridad específicas y requisitos de notificación para los operadores de “servicios esenciales” (infraestructuras críticas tradicionales) y los proveedores de “servicios digitales” (como proveedores de la nube, mercados en línea y motores de búsqueda)

    Un día antes de que la Directiva SRI se sometiera a voto en el Parlamento Europeo, el 5 de julio, la Comisión adoptó un paquete de ciberseguridad formado por una decisión que establece una sociedad contractual público-privada (cPPP, Contractual Public-Private Partnership) sobre ciberseguridad de la que se espera que genere 1,8 mil millones de euros de inversión para el año 2020, y una comunicación sobre una industria de ciberseguridad competitiva e innovadora, sentando así las bases para una “política industrial” sobre ciberseguridad.

    Dicha sociedad contractual (cPPP) es esencialmente un contrato entre la Comisión y la industria europea con el compromiso de cofinanciar líneas específicas de investigación. Pedro Pablo Pérez, CEO de ElevenPaths y Telefónica Global Security Managing Director, ha sido nombrado miembro de la junta directiva y del Consejo de Sociedad de la Organización Europea de Ciberseguridad (ECSO), la asociación que implementará la cPPP.


    Telefónica es el único operador de telecomunicaciones que ha sido seleccionado para ocupar este cargo tan importante. Esto refuerza nuestro compromiso de mejorar la confianza digital de clientes, ciudadanos y empresas, en línea con el posicionamiento de Telefónica en políticas públicas, y nuestra voluntad de cooperación con la Comisión para cumplir el objetivo de un entorno europeo en línea seguro y de confianza.

    Los principales objetivos de la cPPP de ciberseguridad son:
    • mejorar las capacidades de la ciberseguridad industrial y la autonomía digital de la UE mediante el fomento de la confianza y la seguridad en los servicios y redes digitales como respuesta a las amenazas informáticas globales, respetando al mismo tiempo los valores de la UE (derecho fundamental a la intimidad);
    • estimular el desarrollo de los recursos industriales y tecnológicos de la UE para superar:
      • lagunas existentes en la tecnología y servicios en línea de la UE,
      • barreras existentes para la consecución de un verdadero mercado digital único de productos y servicios de ciberseguridad;
    • contribuir al fortalecimiento de la industria europea de ciberseguridad como objetivo fundamental.

    Como vemos, por nuestra parte existe un compromiso firme. Es el momento de pasar de las palabras a los hechos, porque hoy en día el mundo digital avanza mucho más rápido que el físico. No hay tiempo que perder.

    Andrea Fabra
    Gerente de Políticas Públicas e Internet

    Gmail se está utilizando para exfiltrar la información corporativa

    miércoles, 20 de julio de 2016




    ¿Sabías que Gmail se está utilizando como C&C para la exfiltración de la información corporativa? En ElevenPaths hemos descubierto cómo ciertas muestras de malware están utilizando servicios de correo electrónico como canales encubiertos formando parte de ataques persistentes avanzados.

    Las muestras de malware que utilizan servicios de correo electrónico como canales encubiertos para la exfiltración de información están formando parte de ataques persistentes avanzados. A pesar de que estas técnicas no siempre están sujetas a un alto grado de inversión, están resultando eficaces en entornos corporativos con gran cantidad de información sensible por lo que implica limitar las comunicaciones hacia proveedores que también son usados legítimamente. Su mitigación se torna difícil lo que obliga a replantearse las estrategias y elementos de defensa de malware avanzado.

    Los ciberdelincuentes han aprendido a monetizar el malware en donde las variantes más comunes se suelen convertir en piezas que dan soporte a los canales de despliegue e instalación de muestras más sofisticadas como parte de ataques persistentes avanzados. En este sentido, se está observando un aumento en el esfuerzo empleado por parte de ciertos grupos para desarrollar muestras destinadas a tareas de control de sistemas infectados y de exfiltración de datos basado en técnicas de covert channel (canal encubierto, en inglés).

    Key Threat
    Técnicas Covert Channel mediante Gmail
    Grupos cibercriminales están destinando esfuerzos a la exfiltración de información mediante técnicas de canales encubiertos. De esta manera, el malware comienza a detectarse abusando de infraestructuras de terceros, como son las plataformas de correo electrónico. En este sentido, los servicios de correo están siendo utilizados como servidores de C&C para evitar ser detectados mediante los sistemas actuales de protección de red.

    Visión del analista
    Precaución a la hora de considerar los dominios de Gmail como confiables
    Dominios de Gmail u otros proveedores de correo electrónico o incluso dominios relacionados con redes sociales podrían estar siendo utilizados para tomar el control de los sistemas de una organización. Es por ello que ElevenPaths recomienda realizar una monitorización en detalle de los mismos o incluso bloquearlos en el caso de sistemas que alberguen información sensible. Por otro lado, con las tecnologías de defensa contra malware avanzado se realiza una monitorización exhaustiva del comportamiento del endpoint, por lo que esta aproximación permitiría analizar el comportamiento del mismo si un dominio o servicio, a priori legítimo, podría estar siendo utilizado con fines maliciosos.

    » Descárgate la investigación completa desde nuestra web “Malware low cost que usa Gmail como canal encubierto“.

    También te puede interesar:
    » Malware que instala certificados raíz en Windows y Firefox automáticamente

    Más información en
    Elevenpaths.com

    Cybersecurity Shot_Fuga de Información de US Army

    martes, 19 de julio de 2016


    Cybersecurity Shot es un tipo de informe de investigación sobre casos de actualidad relacionados con bases de datos filtradas en la red así con algunas recomendaciones que podrían haberlo evitado.

    Cada entrega trae un caso real. Os ponemos al día de lo último en Ciberseguridad. ¡No dejéis que os lo cuenten!

    A continuación podéis leer un breve resumen de la última investigación:

    Caso US Army

    Investigación "Fuga de información de US Army"

    El 23 de junio se hicieron públicos los datos pertenecientes a más de 3000 militares de las fuerzas armadas de los Estados Unidos a través de una cuenta de Facebook, administrada por el grupo hacktivista Ghost Squad Hackers. La filtración fue replicada durante los días posteriores en plataformas de intercambio de información, como Pastebin o Ghostbin, para obtener una mayor visibilidad y dificultar su eliminación.

    Descubre con nuestros analistas de inteligencia los motivos de los presuntos ciberdelincuentes, la naturaleza de la información filtrada y las recomendaciones para evitar ese tipo de ataques.

    » Descárgate el caso “Fuga de información de US Army”

    No te puedes perder el próximo:
    » Caso iMesh

    Más información en
    Elevenpaths.com

    New tool: Maltego transforms for Tacyt

    lunes, 18 de julio de 2016

    If you are a Maltego user, you already know how intuitive and useful it is for researching and analyzing information. You may know as well that Maltego allows to create transforms, that are no more than scripts to call some service API or whatever other resource. Since Tacyt counts with a comprehensive API and a SDK for an easier use, transform are a natural step ahead to take advantage of everything Maltego offers. And here they are.

    Imagine you are performing a research that involves applications and its relations. You may ask Tacyt to give you results about permissions, links, names, emails, certificates, etc… And you end up with an interesting data, let’s say, an interesting domain. Who does that domain belong to? Well, instead of using external resources, you may use Maltego, run Tacyt transforms, extract the interesting information and once you get to an url, email, profile or whatever other entity, take advantage of the other many transforms available for Maltego. So the research gets easier, visual and complete in a single screenshot.

    We have created several transforms, but more are sure to come (the code is all in GitHub so you could create your own). We have created as well entities for Tacyt in Maltego, and a package to install them all. The steps to install are easy:

    1. Import the MTZ file from "Manage, Import, Config" menu.
    2. Once imported, check the Python path and transforms paths themselves match the ones in your system. Click on "Manage Transforms" and search for tct (with wildcards) to show all Tacyt transforms. Select them all using shift button.
    3. In "Transform Inputs", modify "Command line", and "Working directory" (the path where the .py transforms are stored) accordingly.

    Of course you would need to specify your API ID and Secret in APIManagement.py.
    Here is a short video about how to develop a little research with an arbitrary app.



    In the video, it is shown how, coming from an app classified as Brain Test family, relevant information may be extracted as certificate data. From a not so common alias in the Subject Common Name, we may search again this it in Tacyt, and other apps show up. From one of them we extract the domains (which we could apply some transform to, so we get their registering data). It would be possible to search if the alias corresponds with a Twitter identity (Transform from alias to Twitter user), which is confirmed (although it does not necessarily mean the account is responsible for the malware).

    The code and transforms are available here. Hope you find it useful.

    Nueva herramienta: Transformadas de Maltego para Tacyt

    Si eres un usuario habitual de Maltego, ya sabrás qué intuitiva y útil resulta para investigar y analizar información. También sabrás que Maltego permite la creación de transformadas, que son scripts que permiten llamar a un servicio externo a través de API o cualquier otro recurso. Puesto que Tacyt cuenta con una API completa y un SDK para un uso más sencillo, crear transformadas es un paso natural adelante para aprovecharse de todo lo que ofrece Maltego. Y aquí las presentamos.

    Imagina que estamos en una investigación que involucra aplicaciones y sus relaciones. Podríamos preguntarle a Tacyt que nos diera resultados sobre permisos, enlaces, correos, certificados, imágenes, etc. y se acaba con un dato interesante, digamos, un dominio. ¿A quién pertenece ese correo? En vez de utilizar recursos externos a Tacyt, se podría utilizar Maltego, correr las transformadas de Tacyt, extraer la información interesante y una vez que se tiene una URL, correo, perfil o cualquier otra entidad, aprovechar cualquiera de las muchas transformadas disponibles para Maltego. Así se facilita la investigación, más visual y completa en una sola ventana.

    Hemos creado varias transformadas, pero no tienen por qué ser las únicas (el código está en GitHub así que cualquiera puede crear una). Hemos creado también entidades para Tacyt en Maltego y un paquete para instalarlo todo. Los pasos son sencillos:

    1. Importar el fichero MTZ desde el menú "Manage, Import, Config".
    2. Una vez importada, comprobar la ruta a Python y a las propias transformadas y que correspondan a las del sistema. Clic en "Manage Transforms" y buscar por tct (con wildcards) para mostrar las transformadas de Tacyt. Selecciónalas con el botón "shift". 
    3. En "Transform Inputs", modifica "Command line", y "Working directory" (donde están las transformadas en ficheros .py) de acuerdo a tus rutas. Por supuesto, previamente se necesita especificar el API ID y el Secret en APIManagement.py.

    A continuación mostramos un vídeo de cómo desarrollar una pequeña investigación con una app arbitraria en Maltego, y no solo en Tacyt.




    En el vídeo, se muestra cómo partiendo de una app clasificada como perteneciente a Brain Test, se puede extraer información relevante como los datos del certificado. En él, aparece un alias poco común en su Subject Common Name. Si se vuelve a buscar ese dato en Tacyt, aparecen otras apps similares. A una de ellas se le extraen los dominios (a los que se podría aplicar una transformada para conocer sus datos de registro). También sería posible buscar si el alias anterior tiene cuenta en Twitter (transformada de Alias a usuario de Twitter), dato que se confirma (aunque no lo apunta necesariamente como autor o relacionado con el malware).

    El código y las transformadas están disponibles desde aquí. Esperamos que sea útil.

    El informe Chilcot y los metadatos de la guerra

    viernes, 15 de julio de 2016

    John Chilcot presidente de la Comisión Independiente para investigar la participación de UK en la guerra de Iraq, presentaba hace unos días el informe con el conjunto de conclusiones a las que se ha llegado tras una investigación que ha durado 7 años. En este informe se pone de manifiesto que Tony Blair ex-primer ministro británico (1997-2007) no tomó las medidas necesarias para agotar las posibilidades no bélicas antes de iniciar la invasión junto a Estados Unidos de un país soberano como era Iraq en el año 2003.

    Esta noticia nos hace retomar el DeLorean a los tiempos en los que el dictador Sadam Hussein gobernaba Iraq con puño de hierro, un país que se había estado reponiendo de sus pérdidas en la guerra de Kuwait unos años antes, donde a pesar de la derrota, el régimen de Sadam permaneció en el poder.

    Los acontecimientos del 11s en 2001, el rearme militar, el petróleo y las tensiones religiosas formaron un caldo de cultivo propicio para que los servicios de inteligencia norteamericanos extendieran sus tentáculos en busca de razones para planificar un derrocamiento del líder iraquí. Esto no se consiguió a pesar de los esfuerzos y el apoyo de facciones religiosas contrarias al régimen así que hubo que inventarse algo que diera los motivos necesarios ante los ojos de las Naciones Unidas de que la invasión del país era necesaria.


    Tony Blair presentó en la Cámara del Gobierno británico un informe de inteligencia proporcionado por los servicios secretos norteamericanos que afirmaba la existencia de estas armas en suelo iraquí listas para ser utilizadas contra objetivos civiles o militares. Ante la pregunta de si el informe digital era legítimo, Tony Blair defendió su integridad y su total confianza.

    Curiosamente este hecho supondría un punto de inflexión en el mundo de la seguridad digital. El plan fructificó y se hizo creer al mundo que Sadam Hussein poseía en su arsenal armas de destrucción masiva, una gran amenaza que no se podía permitir y más en manos de un dictador que expresaba públicamente su odio al mundo occidental y a Israel. Este informe fue hecho público para que el mundo pudiese ver que efectivamente existían razones justificadas para la guerra, pero lo que no se sabía es que el informe contenía oculto entre sus metadatos detalles que pondrían en duda las palabras del Primer Ministro y la veracidad del informe.

    Entre los metadatos aparecieron entre otras cosas una serie de nombres que de una u otra manera intervinieron en el informe antes de su presentación, todos pertenecientes al entorno de Tony Blair, lo cual hizo sospechar de su intencionada manipulación. Pero aquí no acaba todo, como detalle, la última persona en manipular el documento fue un becario, algo que no encajaba en la imagen seria de los servicios secretos al estilo de James Bond que siempre nos han querido mostrar. Para echarse a llorar.

    Este hecho salió a la luz gracias al descubrimiento del Dr Glen Rangwala profesor en ciencias Políticas en Cambridge el cual fue hecho público bajo el titulo Tony Blair in the Butt que a día de hoy aún se deja encontrar por la web y donde aparecen las personas que de una u otra manera gestionaron el informe.

    Encontrar hoy en día el documento Word que destapo el escandalo se ha vuelto complicado lo cual nos obliga a tirar de repositorios que aún mantienen el documento con los metadatos del momento.



    En aquellos tiempos no existían las herramientas que hoy en día nos permiten la gestión o visualización de los metadatos y esto le habría evitado al señor Blair verse involucrado en el escándalo que esto supuso y puede que sus posteriores consecuencias plasmadas en el informe Chilcot. La reputación es algo que cuesta mucho en conseguir y poco en destruir. Esto lo sabe bien el Sr. Blair.

    Un hecho que forma parte de los claros ejemplos de la historia de los metadatos y el inicio de la carrera por controlarlos, procesarlos o eliminarlos que se aceleró en los años posteriores y que a día de hoy se ha convertido en uno de los grandes retos de la seguridad digital en todo el mundo. 

    ¿Quieres prevenir y detectar a tiempo una fuga de información? En ElevenPaths ofrecemos soluciones preventivas contra la fuga de información a través de la familia Metashield. Si quieres saber más sobre el tratamiento de metadatos, habla con nuestros expertos en Ciberseguridad en la Comunidad Técnica de ElevenPaths.


    Antonio Bordón Villar
    antonio.bordon@11paths.com

    European Cybersecurity Strategy: Telefónica´s support

    jueves, 14 de julio de 2016

    Telefónica welcomes two relevant milestones that have taken place in Brussels during the last days in order to foster the European cybersecurity strategy to avoid incidents that can undermine consumer confidence and cause major economic damage to European business and the economy at large.  Cybersecurity and the fight against cybercrime has turned into one of the political priorities for the ICT sector in the EU and Telefónica is ready to play its part.
       
    On July 6th, the European Parliament Plenary voted on the Directive on Network and Information Security following the adoption by Council in last May.

    The NIS Directive is the first EU wide legislation on cybersecurity ever and culminates a long process of negotiations between Parliament, Council and European Commission.

    Once the Directive enters into force (on the twentieth day after it´s been published in the EU Official Journal in August) Member States will have 21 months to transpose it into their national laws.

    For the first time, NIS Directive creates a legislative framework that will also apply to some digital services, leveling the playing field and establishing harmonized requirements regardless of whether the providers of these services are based in the EU.

    The three pillars of the Directive aim at:
    • developing of national capabilities
    • cooperating among national Authorities
    • establishing specific security obligations and notification requirements for operators of “essential services” (traditional critical infrastructures) and providers of “digital services” (such as Cloud providers, online market places and search engines)

    One day before the NIS Directive was voted by the European Parliament, on July 5th, the Commission  adopted a Cybersecurity Package composed by a decision establishing a contractual Public-Private Partnership on Cybersecurity expected to trigger €1.8 billion of investment by 2020 and a Communication on a Competitive and Innovative Cybersecurity Industry, setting the basis for a “industrial policy” on Cybersecurity.

    The cPPP is basically a contract between the Commission and the European Industry with a commitment to co-finance specific lines of research. Pedro Pablo Pérez, ElevenPaths’ CEO and Telefónica Global Security Managing Director, has been appointed as member of Board of Directors and also Partnership Board of European Cybersecurity Organization (ECSO), the association that will implement the cPPP. 



    Telefónica is the only telco operator that has been selected to occupy this relevant position. This reinforces our commitment to enhance Digital Confidence of customers, citizens and businesses, in line with Telefónica’s positioning in Public Policy and our willingness to engage with the Commission in realizing the vision for a secure and trusted online environment in Europe.

    The main goals of the Cybersecurity cPPP are:
    • to improve industrial CyberSecurity capacities and digital autonomy of the EU, by promoting trust and security in digital services and networks in response to global cyber threats, while respecting EU values (Fundamental Right to Privacy)
    • to stimulate developments of EU industrial and technological resources to overcome
      • existing gaps in EU technology and online services
      • existing barriers for the achievement of a real Digital Single Market for Cybersecurity products and services
    • with the ultimate goal of contributing to a strong European Cybersecurity Industry

    As we can see, there is a firm commitment manifested, now it´s time to move from words to deeds because nowadays the digital world goes much faster than the physical. There is no time to waste.

    » The original post is based on Telefonica's Public Publicy Blog and written by Andrea Fabra
    "European Cybersecurity Strategy: Telefonica’s support"

    No te pierdas nuestro Tour de Seguridad Zona Norte en Chile

    martes, 12 de julio de 2016

    Hace unos pocos días os presentamos nuestra primera oficina en Argentina, un sueño hecho realidad. Hoy os queremos presentar nuestro Tour de Seguridad Zona Norte que celebramos en Chile estos días. No te puedes perder las charlas y diferentes temáticas que se tratarán allí. Si estás por Chile o resides allí, no dudes en pasarte por estas ciudades y disfrutar de nosotros de unas jornadas llenas de emoción, conocimiento y seguridad.
     
    La agenda del Tour es la siguiente:
    • Martes 12 de Julio.
      • Ciudad: Antofagasta
      • Dónde: Uribe 746, Salón Ruinas de Huanchaca
      • Hora: 15.30 (Horario Chile)
    • Jueves 14 de Julio.
      • Ciudad: Serena
      • Dónde: Cordovez 325 piso 3
      • Hora: 11.00 (Horario Chile)
    • Viernes 15 de Julio.
      • Ciudad: Copiapo
      • Dónde: Libertador Bernardo O'Higgins 531
      • Hora: 9.00, 11.00 y 15.00 (Horario Chile)
     
    Las temáticas que se abordaran en este tour son: la evolución y futuro de la seguridad de la información empresarial, tema tratado por Gabriel Bergel, CSA de Eleven Paths. La ventaja de tener a Telefónica como Partner de Seguridad, tema tratado por Gabriel Pérez, Gerente General de Network 1. Soluciones de Seguridad para la empresa de hoy, tema tratado por Remsis Perez, Ingeniero Especialista de Network 1.
     
    Os esperamos en este Tour de Seguridad en la zona norte de Chile. Confirma tu asistencia enviando un correo a: maximiliano.garces@telefonica.com. ¡Os esperamos!

    Otro mes, otra nueva familia de "rooting malware" para Android

    lunes, 11 de julio de 2016

    Hace varios meses hubo una explosión mediática sobre malware de rooteo de Android en Google Play.  Estas familias fueron descubiertas y descritas por los laboratorios de investigación y seguridad de Cheetah Mobile, Check Point, Lookout, FireEye y Trend Micro, que las denominaron NGE MOBI/Xinyinhe, Brain Test, Ghost Push, Shedun o Kemoge.  En un informe técnico posterior, tratamos a su vez de unir los puntos y conectarlas a todas. Concluimos que probablemente, todas ellas habían sido desarrolladas por el mismo grupo que habrían ido evolucionado sus técnicas desde, quizás, 2014.

    Vuelve a ocurrir: Se ha escrito en los medios sobre HummingBad, Hummer o Shedun Reloaded. ¿Pertenecen a la misma familia de malware? Todo depende de qué laboratorio este haciendo el análisis. ¿Tres familias diferentes de malware o no?

    HummingBad
    En febrero de este año, Check Point alertó al mercado sobre HummingBad. Este malware sigue las mismas "reglas" establecidas por la familia Brain Test, lo que implica que introduce también un rootkit en el móvil casi imposible de quitar, e instala aplicaciones móviles fraudulentas automáticamente. Pero era sorprendentemente más sofisticado. Infectaba a través de drive-by-downloads, su contenido estaba cifrado, y utilizaba varios métodos de redundancia para asegurar la infección (incluyendo automatización y, si esto no funcionaba, ingeniería social). Parte de la infraestructura utilizada como C&C han sido los dominios hxxp://manage.hummerlauncher.com, hxxp://cdn.sh-jxzx.com/z/u/apk, hxxp://fget.guangbom.com y hxxp://d2b7xycc4g1w1e.cloudfront.net.
    Y empeora. A principios de julio, los investigadores de Check Point atribuyeron HummingBad a una compañía de publicidad "legítima" llamada Yingmob, que según mantienen, es además responsable del malware para iOS denominado Yispecter, que se aprovecha de su certificado corporativo para instalarse por sí  mismo, y que fue descubierto a finales del 2015.
    Hummer

    También en julio, Cheetah Mobile alertó sobre un malware que llamó Hummer, una nueva amenaza diferente a "GhostPush" (su propia denominación para Shedun, Kemoge, Brain Test, etc). Aunque Cheetah Mobile no lo indica explícitamente, Hummer es HummingBad, tal y como hemos podido confirmar fácilmente con Tacyt, puesto que utiliza la misma infraestructura y el archivo de rooting "right_core.apk" que a veces va incrustado en el APK y otras veces es descargado.



    Un ejemplar de HummingBad/Hummer con algunas de las URL singulares utilizadas

    Shedun?
    Lookout piensa de forma diferente. Afirman que HummingBad, o Hummer es lo mismo que Shedun, descubierto en noviembre de 2015. Mantienen que Shedun está estrechamente relacionado con la familia de BrainTest/GhostPush, y describen HummingBad como "no nuevo", sin aportar más detalles técnicos. 
    Por tanto, ¿son HummingBad/Shedun una evolución del mismo grupo cibercriminal que llegamos a conectar en nuestra anterior investigación, o proviene de un grupo distinto? Vamos a verlo.
    Nuestro análisis

    HummingBad,  o Hummer, provienen de una compañia de adware "legítima" llamada Yingmob que por un tiempo, mantuvo su popular aplicación móvil "Hummer Launcher" en Google Play. Finalmente, Google eliminó la aplicación en mayo de 2015.

    Hummer Launcher firmado con el ismo certificado igual que algunas muestras de HummingBad

    Determinamos usando Tacyt, que incluso algunas muestras más agresivas estaban firmadas con el mismo certificado.

    Desde nuestro informe anterior de octubre, vimos algunas conductas muy específicas que asocian todas las familias de malware. Por ejemplo, la utilización de unos dominios particulares y la presencia de algunos archivos dentro del APK como "sys_channel.ng".

    Uno de los dominios particulares compartido por varias muestras analizadas en octubre

    Uno de los nombres de ficheros específicos compartido por varias muestras analizadas en octubre

    Nuestro equipo de analistas utilizó Tacyt para concluir que existe una fuerte evidencia que sugiere una relación entre varios informes diferentes de varias diferentes empresas de seguridad, y confirmar que algunas de las aplicaciones móviles agresivas descubiertas estaban en Google Play a principios del 2015. Las evidencias obtenidas sugieren que las supuestas diferentes familias de malware podrían proceder de los mismos cibercriminales chinos (utilizan la misma infraestructura, los mismos dominios, asuntos, archivos, etc), evolucionando la misma idea de servir anuncios agresivos, rotear los dispositivos, enviar comandos e instalar  nuevos paquetes.

    Llegamos a esta conclusión por varias similitudes que relacionan a las familias: dominios, fechas, permisos, nombres, certificados, recursos, etc. Este grupo chino comenzó sus actividades probablemente a finales de 2014, utilizando la "marca" OPDA y tratando de introducir malware en Google Play así como aplicaciones legítimas. Posteriormente, evolucionaron con nuevas técnicas, desde el adware Xinyinhe, que parecen ser simplemente variantes de "Ghost Push", "BrainTest"... hasta "Kemoge", todos ellos técnicamente relacionados de alguna forma.

    ¿Y qué pasa con HummingBad?

    Comprobando las singularidades de HummingBad hemos determinado que utiliza una infraestructura completamente diferente que tiene poco en común con nuestros resultados anteriores, aun cuando siguen la misma filosofía de rootear el dispositivo e instalar de forma silenciosa  aplicaciones. No podemos encontrar ninguna evidencia acerca de certificados, archivos, o cualquier otro indicio que pueda ayudarnos a vincular las dos familias juntas como lo hicimos previamente. Por supuesto, es posible que no las hayamos encontrado. Por ejemplo, HummingBad utiliza principalmente estos dominios: guangbom.com, hummerlauncher.com, hmapi.com, cscs100.com… que no son compartidos con familias de malware anteriores, excepto hmapi.com, que parece un lugar común para adware y malware. Todas las aplicaciones móviles que contienen este dominio particular en Google Play son finalmente eliminadas.

    hmapi.com compartido entre adware o malware diferente que finalmente es siempre eliminado

    Otro ejemplo puede ser que HummingBad utiliza right_core.apk como payload, que puede ser descargado o estar incrustado en el APK.

    Buscando muestras que utilicen un fichero muy específico descargado o incrustado

    Con HummingBad podemos remontarnos "solamente" a principios de 2015 con ejemplos "legítimos" de adware. Con la familia BrainTest podemos hacerlo hasta 2014.

    Fecha de firma para las muestras que nuestros analistas habían marcado como HummingBad

    Otro punto de interés es que parece que BrainTest no estaba muy interesada en el seguimiento de sus anuncios con UMENG (la popular plataforma china), mientras que HummingBad parece utilizar UMENG en muchos más ejemplos. Las claves no coinciden en todo caso.


    Comparando keys entre familias

    La filosofía coincide, pero el código, la infraestructura, o incluso la "historia" no

    Parece que Shedun y HummingBad operan desde las raíces de compañias legítimas chinas (OPDA y Yigmob), y que pueden estar relacionados de otras maneras, pero los propietarios, recursos y desarrolladores parecen ser diferentes. Por lo tanto podemos concluir un par de ideas:

    • HummingBad es Hummer, pero no parece ser el mismo malware que Shedun/GhostPush/BrainTest
    • Esto es importante, porque significaría que los cibercriminales están aprendiendo entre ellos mismos. No es sólo el mismo grupo que evoluciona su propio producto. Preocupa puesto que lo más probable es que traten de mejorar técnicamente para ganar cuota de mercado entre ellos, ya que cuentan con "competidores". 

    Conseguir la atribución es siempre un ejercicio arriesgado para cualquier analista (incluido nosotros), pero creemos que HummingBad no es una evolución sino que se trata de un nuevo y peligroso malware de rooteo que se desarrolló paralelamente a otros anteriores (igual que hay diferentes ransomware o familias de troyanos bancarios con exactamente la misma filosofía). Y también creemos que esta familia está aquí para reclamar su cuota de mercado y quedarse por un tiempo.

    SandaS: Respuesta inmediata a los ciberataques

    Hoy en día existen en el mercado proveedores que ofrecen diferentes soluciones de seguridad para organizaciones con presencia en Internet.

    En los últimos tiempos, uno de los aspectos más importantes y que más preocupa a los CIO/CISO de las compañías es el tiempo transcurrido desde que un incidente de seguridad se produce en su organización y cuándo la organización es consciente del mismo.

    Otro punto importante a destacar es el tiempo de reacción que cuentan las organizaciones para mitigar el ataque producido. En grandes corporaciones, un ataque que produzca un impacto importante y que no se resuelva a tiempo, puede suponer perdidas millonarias para el negocio y posiblemente la quiebra.

    Con el fin de ofrecer una respuesta inmediata a los ciberataques actuales, SandaS permite orquestar todos los procesos que intervienen desde la detección del ataque hasta la mitigación del mismo, estando informada la organización en todo momento.

    SandaS y su modularidad
    SandaS aporta inteligencia sobre el ecosistema de correlación tradicional existente hoy en día, proporcionando información y visibilidad de los ataques producidos sobre los activos de las organizaciones en tiempo real. Se integra con los principales fabricantes de soluciones de seguridad, como son AlienVault, RSA Security Analytics, HP ArcSight y McAfee Nitro.

    Posee una infraestructura distribuida y modular que se adapta a las necesidades específicas de las organizaciones

    Por un lado es un correlador avanzado (CA) que permite complementar al correlador nativo de los SIEM de las organizaciones agregando una capa de inteligencia adicional y por otro lado realizando el envío de las alertas junto con sus eventos para su posterior categorización.

    Posee un sistema colaborativo (SC) que permite compartir las alertas a un sistema central donde se anonimizan y sirven para que otros clientes puedan aprovechar el conocimiento de ataques comunes provenientes de Internet para así aplicar las contramedidas necesarias y reducir el tiempo de exposición a la posible amenaza.

    Categoriza cada alerta y procesa en tiempo real acciones predefinidas, como pudiera ser la notificación a un grupo de operación o aplicar una mitigación en un dispositivo de seguridad.

    Todos estos procesos son recogidos y visualizados en una consola única de gestión, permitiendo tener una visibilidad global de lo que está ocurriendo en tiempo real en las organizaciones.

    SandaS y su modularidad
    Los motores de correlación de las herramientas SIEM actuales tienen una serie de carencias:

    - Dependencias de eventos - Revisión de correlaciones tras actualización sondas de IDS/IPS/Antivirus:
    • Correlaciones ya creadas
    • Creación de nuevas correlaciones
    - Dependencia de tecnologías - Nuevos tipos de dispositivos requieren configurar nuevas correlaciones específicas ya que los eventos cambian:
    • Uso de taxonomía no muy extendida aún
    • Taxonomía no incluida en fuentes de logs propietarias
    - Reducida flexibilidad - Utilización de distintos algoritmos para la detección:
    • Normalmente solo secuencia de eventos
    - Fijación de umbrales - Correlaciones fijas y poco flexibles, que no tienen en cuenta información del entorno.

    El módulo SandaS CA es el encargado de realizar la correlación avanzada y el envío de alertas de seguridad con sus eventos asociados.

    Dicho módulo tiene una estrecha relación con el correlador desplegado en la infraestructura de cliente, ya que complementa al motor de correlación tradicional del dispositivo SIEM.

    La Correlación Avanzada consta de 4 tipos diferentes de correlación:
    • Redes neuronales
    • Árboles de decisión
    • Eventos periódicos
    • Anomalías estadísticas
    SandaS CA realiza un análisis detallado de los eventos registrados en la base de datos del correlador. Una vez aplicada la inteligencia basada en los correladores mencionados anteriormente, inyecta nuevos eventos en la base de datos del correlador.

    Además, de forma periódica envía al módulo SandaS RA las alertas generadas en el correlador y los eventos asociados a las mismas.


    SandaS RA
    Realiza la categorización de las alertas recibidas y aplica acciones según las necesidades de cada cliente. Está integrado con soluciones comerciales de monitorización de salud de activos como OPSView, permitiendo la centralización de eventos de salud y eventos de seguridad en un solo sistema.

    Por otra parte, permite la integración con sistemas de ticketing como Remedy, realizando la apertura, consulta y cierre automático de tickets en el sistema sin ningún tipo de interacción humana.

    SANDAS DASHBOARD
    Portal donde se muestra de manera gráfica y en detalle todos aquellos incidentes de seguridad y salud (en caso de estar integrado con un sistema de monitorización de salud) generados por los activos de cliente, pudiendo realizar diferentes filtros por localización, prioridad, servicio, etc.



    Caso de uso
    Cada día se producen múltiples ciberataques a las organizaciones con presencia en Internet, muchos de éstos pasan totalmente inadvertidos y el impacto en un activo en ocasiones llega a ser muy importante.

    Por ejemplo, un acceso ssh remoto desde Internet configurado por la organización para que una empresa externa contratada pueda desarrollar una determinada aplicación interna, podría provocar un incidente de seguridad grave si se produjera un ataque y éste no fuera detectado a tiempo por la organización.

    Gracias a la capacidad de integración con los fabricantes de seguridad más importantes del mercado, SandaS orquesta de forma eficaz y eficiente, por un lado la notificación del ataque producido y por otro lado la remediación automática contra dicho ataque, de tal forma que la organización esté totalmente informada del suceso y al mismo tiempo protegida, ejecutándose unas contramedidas específicas automáticamente y reduciendo el tiempo de respuesta producido desde que se detecta el ataque hasta que se aplica la contramedida efectiva para paliarlo.



    En el caso de uso que nos ocupa, intervienen 2 fabricantes de seguridad integrados actualmente con SandaS: Security Analytics de RSA como correlador de eventos de seguridad y Palo Alto como dispositivo de seguridad perimetral.

    Security Analytics
    La correlación es una pieza clave de la seguridad de toda organización, ya que es capaz de generar alertas a partir de eventos generados de diferentes dispositivos.

    Security Analytics permite la creación de reglas específicas para identificar posibles ataques. En nuestro caso hemos creado una regla que identifique como ataque más de tres intentos fallidos de inicio de sesión ssh dentro de un período de cinco minutos.




    Si en el proceso de correlación de los eventos recibidos coincide con la regla creada anteriormente, una alerta es generada y enviada a través del módulo SandaS CA a SandaS RA para su categorización, notificación y remediación.



    Notificación
    Una vez categorizado el incidente, SandaS RA lanza el proceso de notificación y mitigación en paralelo. Existen diferentes modos de notificación. En este caso se realiza mediante correo electrónico al buzón de operación de la organización.



    Palo Alto
    Una vez categorizada la alerta por SandaS RA, se procesa una acción de mitigación del ataque en el firewall de nueva generación de Palo Alto.

    Éste contiene una política que permite realizar sesiones SSH contra el servidor SSH, pero que deniega/corta una sesión SSH para cualquier ip contenida en un grupo dinámico con etiquetas definidas dentro de él.




    Al generarse la alerta desde Security Analytics y enviada a SandaS RA, éste obtiene la ip de origen del atacante desde la alerta recibida, lo etiqueta y lo inyecta automáticamente a Palo Alto junto con la acción de ser incluida dentro del grupo dinámico existente en la política.

    Finalmente el incidente es mostrado en SandaS Dashboard. En él se puede ver la severidad del incidente, la fecha y hora de cuando se ha producido, una breve descripción, el servicio al que afecta, la ip de origen del ataque, la localización, etc. Si estuviera integrada con la herramienta de ticketing indicaría además el número de ticket generado y asociado al incidente y el estado del mismo (en proceso, resuelto, etc).


    Más información en:
    elevenpaths.com

    Another month, another new rooting malware family for Android

    Several months ago there was a media explosion about Android-rooting malware on Google Play. Those families were discovered by Cheetah Mobile Security Research Lab, Check Point, Lookout, FireEye, and Trend Micro and variously named NGE MOBI/Xinyinhe, Brain Test, Ghost Push, Shedun or Kemoge. In a previous report, we tried to connect the dots and concluded that there was a good chance each malware was developed by the same group which evolved its techniques dating back to 2014.

    Now, it’s happening again: There are numerous reports in the media about HummingBad, Hummer, and Shedun Reloaded. Do them belong to the same malware family? It all depends which lab is doing the analysis. Three different families or not?

    HummingBad

    In February, Check Point alerted the market about HummingBad. It followed the same "rules" established by the Brain Test family, which means it introduces a rootkit on the phone, is almost impossible to remove, and installs fraudulent apps automatically. But it was stunningly more sophisticated. It was installed by drive-by-downloads, its content was encrypted, and it used several redundancy methods to ensure infection (including automatic and, if not possible, social engineering). Some of the infrastructure used as a C&C was hxxp://manage.hummerlauncher.com domain, hxxp://cdn.sh-jxzx.com/z/u/apk, hxxp://fget.guangbom.com and hxxp://d2b7xycc4g1w1e.cloudfront.net. And it gets worse. In early July, Check Point researchers attributed HummingBad to a "legitimate" advertising company called Yingmob, responsible as well for the iOS malware called Yispecter that took advantage of its enterprise certificate to install itself and was discovered in late 2015. 

    Hummer

    Also in July, Cheetah Mobile wrote about a malware it called Hummer, a new threat different from GhostPush (its own name for Shedun, Kemoge, BrainTest, etc). Although Cheetah Mobile does not explicitly says so, Hummer is HummingBad, as we can easily confirm with Tacyt because, for example, it uses the same infrastructure and rooting file called right_core.apk, which is sometimes embedded and sometimes downloaded.

    A HummingBad/Hummer sample with some of the singular URLs used

    Shedun?

    Lookout thinks differently. They claim HummingBad, or Hummer, is the same as Shedun, discovered in November 2015. It maintains Shedun is closely related to the BrainTest/GhostPush family, but it only describes the HummingBad malware as "not new" without any further technical details.

    So, is this HummingBad/Shedun an evolution from the same cybercriminal group we connected in our previous report, or does it come from a different group? Let’s take a look.

    Our analysis

    HummingBad, or Hummer, comes from a "legitimate" adware company called Yingmob which, for a while, had its "Hummer Launcher" app on Google Play. Google eventually removed the app in May 2015.

    Hummer Launcher signed with the same certificate as some HummingBad samples

    As we determined using Tacyt, even the aggressive payloads are signed with the same certificate.

    From our previous report in October, we saw some very specific behaviors that associated all the malware families. For example, the use of a few particular domains and the presence of some files inside the APK like "sys_channel.ng".

    One of the particular domains shared by several samples analyzed in October

    One of the particular file names shared by several samples analyzed in October

    Our analyst team used Tacyt to conclude that there is strong evidence suggesting a relationship between several different reports from different security companies, and confirmed that some of the aggressive apps discovered were on Google Play in early 2015. The evidences suggested that these supposed different families of malware, may be just the same Chinese cybercriminals (because of using the infrastructure, domains, topics, files, etc.) evolving the same idea about serving aggressive ads, rooting the devices, sending commands and installing new packages.

    We came to this conclusion because of several similarities that relate the families: domains, dates, permissions, names, certificates, resources, etc. The Chinese group started their activities maybe in late 2014, using the OPDA "brand" and trying to introduce malware on Google Play as well as legitimate apps. Later, they evolved new techniques, from Xinyinhe adware, which seems to be just a variant of Ghost Push, Brain Test to Kemoge, all technically related in some way.

    What about HummingBad? 

    Checking HummingBad’s singularities we determined that it uses a completely different infrastructure with little in common with our previous findings, even though it follows the same philosophy of rooting the device and silently installing apps. We can find no evidence about certificates, files, or any other hint that helped us to tie both families together as we did before. Of course, we may have not found them. For example, HummingBad uses mainly these domains: guangbom.com, hummerlauncher.com, hmapi.com, cscs100.com… They are not shared with previous Chinese families, except hmapi.com, which seems common place for adware and malware. All apps containing this particular domain on Google Play are eventually removed

    hmapi.com shared between several different aggresive adware or malware samples eventually removed

    As another example, HummingBad uses right_core.apk as a payload, which is either downloaded or embedded.

    Searching for samples using a specific file downloaded or embedded

    With HummingBad we can only go back to early 2015 with "legitimate" adware samples. With the BrainTest family we can go back to 2014.

    Signing date for all the samples we have labeled by our analysts as HummingBad

    Another point of interest is that it appears that Brain Test was not very interested in tracking their ads with UMENG (the popular Chinese platform), while HummingBad seems to use UMENG in many more samples. The keys do not match in any case.


    Comparing keys between families

    Philosophy matches but the code, infrastructure, and "history" do not

    Shedun and HummingBad seem to operate from the roots of "legitimate" Chinese companies (OPDA and Yingmob), and they may be related in other ways, but the owners, resources and developers appear different. So we can conclude a couple of insights:

    • HummingBad is Hummer, but it does not seem to be Shedun/GhostPush/Brain Test itself.
    • This is important, because it would mean cybercriminals are learning from each other. It is not just the same group evolving its own product. That is a scary since they will most likely improve technically to gain market share when they have "competitors". 

    Attribution is always a risky exercise for every researcher (including us), but we believe HummingBad is not an evolution but is instead another new, dangerous rooting malware that was developed alongside previous malwares (just as there are different ransomware or banking Trojan families with the exact same philosophy). And we also think this malware it here to claim its market share and stay for a while.